🔍 SpiderFoot: как пробить всю информацию о сайте.
Представим, что задача — найти всю информацию об организации. Вот буквально всю! Номера телефонов сотрудников, адреса, счета в банках и т.д. Куда за всем этим идти? Можно использовать популярные поисковые машины (поиграться немного с языком запросов, и вот результаты) или залезть в общедоступные базы данных (телефоны, whois и т.д.). В принципе, рабочая схема. Но удобство — вот компонент, которого здесь не хватает.
Spiderfoot — это специализированное разведывательное ПО. Оно ищет по-умному: разделяет, сортирует информацию, а главное — указывает взаимосвязи. Там очень много разных модулей, и судя по времени, которое уходит на сканирование, работают они как надо. Объясним: на получение цельного результата может уйти от нескольких часов до суток. И даже больше! Долго? Ну да. Но за всё хорошее нужно платить, а Spiderfoot даёт настолько подробный отчёт, что от наплыва ценной информации можно захлебнуться.
У программы есть знаменитый аналог — Maltego. Но в отличие от него, Spiderfoot абсолютно бесплатен, а по результатам так и вовсе обходит именитого конкурента. Так что выбор очевиден!
#OSINT
Обсудить в чате 👉 https://t.iss.one/+jrxm2KHbIl9kMDQy
_______
Источник | #cyberyozh_official
Представим, что задача — найти всю информацию об организации. Вот буквально всю! Номера телефонов сотрудников, адреса, счета в банках и т.д. Куда за всем этим идти? Можно использовать популярные поисковые машины (поиграться немного с языком запросов, и вот результаты) или залезть в общедоступные базы данных (телефоны, whois и т.д.). В принципе, рабочая схема. Но удобство — вот компонент, которого здесь не хватает.
Spiderfoot — это специализированное разведывательное ПО. Оно ищет по-умному: разделяет, сортирует информацию, а главное — указывает взаимосвязи. Там очень много разных модулей, и судя по времени, которое уходит на сканирование, работают они как надо. Объясним: на получение цельного результата может уйти от нескольких часов до суток. И даже больше! Долго? Ну да. Но за всё хорошее нужно платить, а Spiderfoot даёт настолько подробный отчёт, что от наплыва ценной информации можно захлебнуться.
У программы есть знаменитый аналог — Maltego. Но в отличие от него, Spiderfoot абсолютно бесплатен, а по результатам так и вовсе обходит именитого конкурента. Так что выбор очевиден!
#OSINT
Обсудить в чате 👉 https://t.iss.one/+jrxm2KHbIl9kMDQy
_______
Источник | #cyberyozh_official
Intel 471
Combat Cybercrime with Attack Surface Management
Strengthen your cyber defense & stay ahead of cybercrime. Get the latest Attack Surface Management solutions.
📱 Почему IMEI смартфона должен быть строго засекречен.
Начнём с терминов. Что это вообще такое — IMEI? Это идентификационный номер. Он уникален, присваивается автоматически, не может быть изменён. Какую опасность таит IMEI? Тот, кто его знает, может проверить смартфон на подлинность. А ещё — определить местонахождение включённого гаджета. Такая возможность 100% есть у сотрудников полиции. А также у хакеров. Ну, если постараются. Опасаться стоит как одних, так и других.
Российские мошенники построили целый бизнес на IMEI чужих смартфонов. Они выискивают объявления о продаже смартфонов на сайтах объявлений, связывают с продавцами, а затем добывают приватные данные. Каким образом? Стандартный набор фраз — «Какой телефон?», «Насколько смартфон старый?», «Экран исправен?». Так усыпляется бдительность.
Дальше злоумышленник начинает делать вид, что готов купить смартфон. А затем (как бы между делом) интересуется, какой у продаваемого устройства IMEI. Зачем ему эта информация? Якобы нужно проверить, оригинальный гаджет или нет! К тому же а вдруг он краденый? Подделки продаются на каждом углу, так что такой вопрос не вызывает подозрений. А если мы говорим о человеке, который ничего не знает об информационной безопасности (обычное дело), тем более.
Когда продавец называет мошеннику IMEI, последний исчезает. Но через какое-то время появляется снова, — чтобы сообщить, что он внёс идентификационный номер в базу краденных устройств. «Хочешь, чтобы он исчез? Плати!» — вот и вся схема. У продавца не остаётся вариантов, ведь он всё-таки хочет продать смартфон. А как это сделать, если IMEI во всех базах? То-то и оно. Никак!
Что важно, злоумышленник действительно вносит IMEI в эту самую базу. Это не попытка «взять на понты»! Не верите — можете проверить. Базы краденных телефонов находятся в открытом доступе, и данные может внести кто угодно. Модерация? К сожалению, никудышная. Самое уязвимое звено, как всегда, — человеческий фактор.
_______
Источник | #cyberyozh_official
Начнём с терминов. Что это вообще такое — IMEI? Это идентификационный номер. Он уникален, присваивается автоматически, не может быть изменён. Какую опасность таит IMEI? Тот, кто его знает, может проверить смартфон на подлинность. А ещё — определить местонахождение включённого гаджета. Такая возможность 100% есть у сотрудников полиции. А также у хакеров. Ну, если постараются. Опасаться стоит как одних, так и других.
Российские мошенники построили целый бизнес на IMEI чужих смартфонов. Они выискивают объявления о продаже смартфонов на сайтах объявлений, связывают с продавцами, а затем добывают приватные данные. Каким образом? Стандартный набор фраз — «Какой телефон?», «Насколько смартфон старый?», «Экран исправен?». Так усыпляется бдительность.
Дальше злоумышленник начинает делать вид, что готов купить смартфон. А затем (как бы между делом) интересуется, какой у продаваемого устройства IMEI. Зачем ему эта информация? Якобы нужно проверить, оригинальный гаджет или нет! К тому же а вдруг он краденый? Подделки продаются на каждом углу, так что такой вопрос не вызывает подозрений. А если мы говорим о человеке, который ничего не знает об информационной безопасности (обычное дело), тем более.
Когда продавец называет мошеннику IMEI, последний исчезает. Но через какое-то время появляется снова, — чтобы сообщить, что он внёс идентификационный номер в базу краденных устройств. «Хочешь, чтобы он исчез? Плати!» — вот и вся схема. У продавца не остаётся вариантов, ведь он всё-таки хочет продать смартфон. А как это сделать, если IMEI во всех базах? То-то и оно. Никак!
Что важно, злоумышленник действительно вносит IMEI в эту самую базу. Это не попытка «взять на понты»! Не верите — можете проверить. Базы краденных телефонов находятся в открытом доступе, и данные может внести кто угодно. Модерация? К сожалению, никудышная. Самое уязвимое звено, как всегда, — человеческий фактор.
_______
Источник | #cyberyozh_official
Telegram
CyberYozh
📱 Почему IMEI смартфона должен быть строго засекречен.
Начнём с терминов. Что это вообще такое — IMEI? Это идентификационный номер. Он уникален, присваивается автоматически, не может быть изменён. Какую опасность таит IMEI? Тот, кто его знает, может проверить…
Начнём с терминов. Что это вообще такое — IMEI? Это идентификационный номер. Он уникален, присваивается автоматически, не может быть изменён. Какую опасность таит IMEI? Тот, кто его знает, может проверить…
💀 Dead Switch — уникальное приложение для защиты данных.
💬 Помните того плохого парня со взрывчаткой? Из боевика. «Убьёшь меня — здание с заложниками взлетит на воздух» — вот такое условие он ставил герою. И последний оказывался в цейтноте, ведь это не понты — выключатель, который приводит устройство в действие, удерживается в положении «off» только до тех пор, пока пульс на руке подрывника подаёт признаки жизни. Если его убьют, бомба взорвётся!
Вот это и называется «Переключатель мёртвого человека». Систему используют везде: в локомотивах, грузовых лифтах, газонокосилках, тракторах, персональных водных мотоциклах, подвесных моторах, бензопилах, снегоуборщиках, беговых дорожках, снегоходах, аттракционах... в общем, реально везде. И нашим ИБ-целям она тоже может послужить. Причём ой как хорошо!
Dead Switch — это защитное приложение, которое работает по принципу «Переключатель мёртвого человека». Вот есть важные данные и есть вы, их хранитель. Представим, что вас нейтрализовали (шут его знает, кто тут чем занимается). Ну, или просто отняли доступ к источнику этих самых данных. В общем, случилось что-то неожиданное! В таком случае Dead Switch отправит электронное письмо указанным вами лицам.
Вот как работает механика: через определённый промежуток времени (вы указываете его сами) приложение требует ввести установленные логин и пароль. Не ввели? Dead Switch воспримет это как сигнал SOS, и электронное письмо отправится адресату. Такие дела!
Обсудить в чате 👉 https://t.iss.one/+jrxm2KHbIl9kMDQy
_______
Источник | #cyberyozh_official
💬 Помните того плохого парня со взрывчаткой? Из боевика. «Убьёшь меня — здание с заложниками взлетит на воздух» — вот такое условие он ставил герою. И последний оказывался в цейтноте, ведь это не понты — выключатель, который приводит устройство в действие, удерживается в положении «off» только до тех пор, пока пульс на руке подрывника подаёт признаки жизни. Если его убьют, бомба взорвётся!
Вот это и называется «Переключатель мёртвого человека». Систему используют везде: в локомотивах, грузовых лифтах, газонокосилках, тракторах, персональных водных мотоциклах, подвесных моторах, бензопилах, снегоуборщиках, беговых дорожках, снегоходах, аттракционах... в общем, реально везде. И нашим ИБ-целям она тоже может послужить. Причём ой как хорошо!
Dead Switch — это защитное приложение, которое работает по принципу «Переключатель мёртвого человека». Вот есть важные данные и есть вы, их хранитель. Представим, что вас нейтрализовали (шут его знает, кто тут чем занимается). Ну, или просто отняли доступ к источнику этих самых данных. В общем, случилось что-то неожиданное! В таком случае Dead Switch отправит электронное письмо указанным вами лицам.
Вот как работает механика: через определённый промежуток времени (вы указываете его сами) приложение требует ввести установленные логин и пароль. Не ввели? Dead Switch воспримет это как сигнал SOS, и электронное письмо отправится адресату. Такие дела!
Обсудить в чате 👉 https://t.iss.one/+jrxm2KHbIl9kMDQy
_______
Источник | #cyberyozh_official
💬🔒 Session — анонимный мессенджер.
Чтобы наши сообщения читали чужие люди, — никто этого не хочет. Или существует разновидность мазохизма, о которой мы не знаем? Неважно! В мессенджерах решаются судьбы бизнес-сделок, отправляются интимные фотографии, покупаются оружие и наркотики. Сказать, что пользователь должен быть уверен в своей безопасности, — не сказать ничего. Даёт ли гарантию Telegram? Если и да, то рассказывать Павлу Дурову об этом только в школе.
Session — защищённое приложение для обмена сообщениями. Для регистрации не требуется указывать почту или номер телефона. Что вместо? Назначается Session ID. Бездомного нельзя оштрафовать как шумного соседа, потому что у него нет квартиры. Точно так же Session нельзя обвинять в утечке персональных данных. Потому что у компании нет серверов! Маршрутизация проходит через участников.
Session можно использовать на компьютере, ноутбуке, телефоне и других гаджетах. Одновременно! Условие: наличие синхронизации ключей между двумя устройствами.
_______
Источник | #cyberyozh_official
———
сырое но интересное
Чтобы наши сообщения читали чужие люди, — никто этого не хочет. Или существует разновидность мазохизма, о которой мы не знаем? Неважно! В мессенджерах решаются судьбы бизнес-сделок, отправляются интимные фотографии, покупаются оружие и наркотики. Сказать, что пользователь должен быть уверен в своей безопасности, — не сказать ничего. Даёт ли гарантию Telegram? Если и да, то рассказывать Павлу Дурову об этом только в школе.
Session — защищённое приложение для обмена сообщениями. Для регистрации не требуется указывать почту или номер телефона. Что вместо? Назначается Session ID. Бездомного нельзя оштрафовать как шумного соседа, потому что у него нет квартиры. Точно так же Session нельзя обвинять в утечке персональных данных. Потому что у компании нет серверов! Маршрутизация проходит через участников.
Session можно использовать на компьютере, ноутбуке, телефоне и других гаджетах. Одновременно! Условие: наличие синхронизации ключей между двумя устройствами.
_______
Источник | #cyberyozh_official
———
сырое но интересное
Session
Session | Send Messages, Not Metadata. | Private Messenger
Session is a private messenger that aims to remove any chance of metadata collection by routing all messages through an onion routing network.
📄 CryptPad — безопасная альтернатива Google Docs.
Юваль Ной Харари, израильский историк и футуролог, написал книгу «21 урок для 21 столетия». Google там сравнивается с испанской инквизицией и КГБ. Компания собирает громадные массивы личных данных и попадает в скандал каждый год: в одном только 2018-ом пострадало 52,5 миллиона пользователей. Журналисты, эксперты и отдельные страны ЕС давно заклеймили Google как шпионский сервис.
Вывод: пользоваться Google Docs — всё равно что давать согласие на кастрацию. И ладно бы альтернатив не было. Но они же есть! Вот, пожалуйста — CryptPad. Это такой же онлайн-пакет для создания документов, электронных таблиц, презентаций и т.д. НО! Здесь всё зашифровано. Причём не «зашифровано», а именно зашифровано — исходный код открыт.
Google Docs — это индексация документов поисковиками, систематические сливы и продажа данных третьим лицам. CryptPad — сквозное шифрование, ограниченный доступ (даже администраторы сервиса не смогут открыть ваши документы) и здоровые нервы. CryptPad — бро, Google Docs — не бро.
_______
Источник | #cyberyozh_official
Юваль Ной Харари, израильский историк и футуролог, написал книгу «21 урок для 21 столетия». Google там сравнивается с испанской инквизицией и КГБ. Компания собирает громадные массивы личных данных и попадает в скандал каждый год: в одном только 2018-ом пострадало 52,5 миллиона пользователей. Журналисты, эксперты и отдельные страны ЕС давно заклеймили Google как шпионский сервис.
Вывод: пользоваться Google Docs — всё равно что давать согласие на кастрацию. И ладно бы альтернатив не было. Но они же есть! Вот, пожалуйста — CryptPad. Это такой же онлайн-пакет для создания документов, электронных таблиц, презентаций и т.д. НО! Здесь всё зашифровано. Причём не «зашифровано», а именно зашифровано — исходный код открыт.
Google Docs — это индексация документов поисковиками, систематические сливы и продажа данных третьим лицам. CryptPad — сквозное шифрование, ограниченный доступ (даже администраторы сервиса не смогут открыть ваши документы) и здоровые нервы. CryptPad — бро, Google Docs — не бро.
_______
Источник | #cyberyozh_official
Life.ru
Сервис Google слил в Сеть данные 52,5 миллиона пользователей
Разработчики компании обнаружили критическую уязвимость в программном интерфейсе соцсети и пообещали устранить её в течение 90 дней.
🐁 Деанонимизация по движениям мыши: мифы и реальность.
Владельцы коммерческих сайтов следят за пользователями и анализируют их поведенческие паттерны: сколько времени проведено на странице, какие разделы заинтересовали, в какой последовательности посещались. Mouselogger работает примерно по такому же принципу: регистрирует динамику движения целевой мыши. Это как биометрия нажатия клавиш: каждый оставляет уникальный след.
Если установите программу, её разработчики сохранят ваш email- и MAC-адрес на своих серверах. А потом начнут собирать данные, — перемещения курсора, клики, прокрутка, — чтобы идентифицировать вас. Когда они закончат, на ваш email придёт письмо. ВАС ЗАМЕТИЛИ! Ну, или не придёт. Но обычно приходит.
Mouselogger — это исследовательский проект студентов Равенсбургского университета из Трансильвании. Они хотят доказать, что пользователей можно деанонимизировать по поведенческим паттернам мыши.
Обсудить в чате 👉 https://t.iss.one/+jrxm2KHbIl9kMDQy
_______
Источник | #cyberyozh_official
Владельцы коммерческих сайтов следят за пользователями и анализируют их поведенческие паттерны: сколько времени проведено на странице, какие разделы заинтересовали, в какой последовательности посещались. Mouselogger работает примерно по такому же принципу: регистрирует динамику движения целевой мыши. Это как биометрия нажатия клавиш: каждый оставляет уникальный след.
Если установите программу, её разработчики сохранят ваш email- и MAC-адрес на своих серверах. А потом начнут собирать данные, — перемещения курсора, клики, прокрутка, — чтобы идентифицировать вас. Когда они закончат, на ваш email придёт письмо. ВАС ЗАМЕТИЛИ! Ну, или не придёт. Но обычно приходит.
Mouselogger — это исследовательский проект студентов Равенсбургского университета из Трансильвании. Они хотят доказать, что пользователей можно деанонимизировать по поведенческим паттернам мыши.
Обсудить в чате 👉 https://t.iss.one/+jrxm2KHbIl9kMDQy
_______
Источник | #cyberyozh_official
GitHub
GitHub - Studienarbeit-Mouse-Dynamics-DHBW-FN/MouseLogger-App: A python app using kivy and pynput to log and upload mouse dynamics.
A python app using kivy and pynput to log and upload mouse dynamics. - Studienarbeit-Mouse-Dynamics-DHBW-FN/MouseLogger-App
🔍 OSINT: как ускорить сбор данных с веб-архивов.
Что в веб-архивах много полезной информации для расследований, мы уже выяснили. Вот суть вкратце: там хранятся все версии сайтов — можно найти что-то, чего нет в обновленных. Интернет помнит всё! Даже если владелец удалил данные.
Wayback Machine — это расширение «его величества» Интернет-архива. Принцип такой же: позволяет просмотреть заархивированную версию веб-страницы. НО! Скорость — вот в чем его фишка: не нужно переходить на сторонние сайты, залезать в поиск и вот это всё. Попали на интересный сайт — сразу же открыли расширение. Готово.
_______
Источник | #cyberyozh_official | #полезности
Что в веб-архивах много полезной информации для расследований, мы уже выяснили. Вот суть вкратце: там хранятся все версии сайтов — можно найти что-то, чего нет в обновленных. Интернет помнит всё! Даже если владелец удалил данные.
Wayback Machine — это расширение «его величества» Интернет-архива. Принцип такой же: позволяет просмотреть заархивированную версию веб-страницы. НО! Скорость — вот в чем его фишка: не нужно переходить на сторонние сайты, залезать в поиск и вот это всё. Попали на интересный сайт — сразу же открыли расширение. Готово.
_______
Источник | #cyberyozh_official | #полезности
Telegram
CyberYozh
🔍 Веб-архивы как OSINT-инструмент.
Веб-архив — своеобразная машина времени. Там хранятся все версии сайтов. В чём ценность? Доступ к полной информации. За всю историю существования сайты обновляются чуть ли не каждый месяц. При этом «официально» вы видите…
Веб-архив — своеобразная машина времени. Там хранятся все версии сайтов. В чём ценность? Доступ к полной информации. За всю историю существования сайты обновляются чуть ли не каждый месяц. При этом «официально» вы видите…
🔍 OSINT: как найти зарегистрированные на электронную почту аккаунты.
В среде кибербезопасников есть правило: для каждого сайта — отдельный электронный адрес. Кто-то использует временную почту, кто-то — email-алиасы. А кто-то, как Уолтер Уайт, во все тяжкие: родное «мыло» везде — VK, теневой форум, GitHub, Wildberries и т.д.
Оно и понятно: делать по технологии — морока. Надо записывать данные, чтобы не забыть, где какой адрес. А еще письма приходят вразнобой.
Какова цена лени?
Holehe — инструмент для поиска зарегистрированных на электронную почту аккаунтов. Он пробивает 120 популярных сервисов: Instagram, Twitter, Imgur и др. Используйте его, чтобы узнавать о других больше, и вспоминайте каждый раз, когда проходите регистрацию.
__
Источник | #cyberyozh_official
В среде кибербезопасников есть правило: для каждого сайта — отдельный электронный адрес. Кто-то использует временную почту, кто-то — email-алиасы. А кто-то, как Уолтер Уайт, во все тяжкие: родное «мыло» везде — VK, теневой форум, GitHub, Wildberries и т.д.
Оно и понятно: делать по технологии — морока. Надо записывать данные, чтобы не забыть, где какой адрес. А еще письма приходят вразнобой.
Какова цена лени?
Holehe — инструмент для поиска зарегистрированных на электронную почту аккаунтов. Он пробивает 120 популярных сервисов: Instagram, Twitter, Imgur и др. Используйте его, чтобы узнавать о других больше, и вспоминайте каждый раз, когда проходите регистрацию.
__
Источник | #cyberyozh_official
Telegram
CyberYozh
📩 Как скрыть реальный email-адрес: лучше временной почты.
Кто-то всё ещё считает это теорией заговора (надеемся, здесь таких нет), но тотальная интернет-слежка — жестокая реальность. О'кей, даже если признать (только на секунду), что это неправда, email…
Кто-то всё ещё считает это теорией заговора (надеемся, здесь таких нет), но тотальная интернет-слежка — жестокая реальность. О'кей, даже если признать (только на секунду), что это неправда, email…
🔒 Как защититься от пробива места съемки по солнцу.
Кибербезопасник может фотографироваться подальше от мест, которые легко опознать, и даже удалять метаданные, но это не гарантия приватности. SunCalc определяет место съемки по солнцу. Точность — высокая.
🧐 — А на Photoshop что, санкции наложили? И на пиратские сайты — тоже?
Во-первых, программы для обработки фото нужно осваивать — это небыстро. А OutCast — обученная нейросеть, которая выполняет за пользователя всю работу. Причем обученная не абы кем, а сотрудниками Университетского колледжа Лондона и их коллегами из Adobe и Apple.
Во-вторых, Photoshop — это скорее лоск. А OutCast буквально меняет освещение на снимке. Нейросеть идентифицирует все объекты на фото и анализирует их тени — так определяется источник света. Когда обработка закончена, вы можете поменять положение солнца.
Если некто захочет узнать, где сделано ваше фото, он получит дезинформацию. Все по правилам кибербезопасности: не скрывать данные, а подменять. Пользуйтесь OutCast, чтобы путать карты грамотно.
___
Источник | #cyberyozh_official
Кибербезопасник может фотографироваться подальше от мест, которые легко опознать, и даже удалять метаданные, но это не гарантия приватности. SunCalc определяет место съемки по солнцу. Точность — высокая.
🧐 — А на Photoshop что, санкции наложили? И на пиратские сайты — тоже?
Во-первых, программы для обработки фото нужно осваивать — это небыстро. А OutCast — обученная нейросеть, которая выполняет за пользователя всю работу. Причем обученная не абы кем, а сотрудниками Университетского колледжа Лондона и их коллегами из Adobe и Apple.
Во-вторых, Photoshop — это скорее лоск. А OutCast буквально меняет освещение на снимке. Нейросеть идентифицирует все объекты на фото и анализирует их тени — так определяется источник света. Когда обработка закончена, вы можете поменять положение солнца.
Если некто захочет узнать, где сделано ваше фото, он получит дезинформацию. Все по правилам кибербезопасности: не скрывать данные, а подменять. Пользуйтесь OutCast, чтобы путать карты грамотно.
___
Источник | #cyberyozh_official
www.suncalc.org
SunCalc sun position- und sun phases calculator
Application for determining the course of the sun at a desired time and place with interactive map.
📃 Лайфхак: как за секунду «прочитать» политику конфиденциальности сайта.
Это немыслимо! Чтобы я, человек из темных уголков интернета, попался на такой дешевый трюк. Двойственные чувства. С одной стороны — праведный гнев: «Ну как я мог на такое повестись?!» С другой — восхищение: меня «обработали» настолько чисто, что наблюдай я со стороны, наверное, аплодировал бы стоя.
О каком трюке речь? Владельцы сайтов открыто признаются, что собирают персональные данные пользователей — это прописано в политике конфиденциальности.
Например, Facebook может читать личные сообщения, а еще хранит удаленные данные. И вы разрешаете! Но не потому, что мазохист, а потому, что лень читать.
Чем это опасно? Владельцы сайтов получают юридическое право вмешиваться в вашу личную жизнь. Захотите оспорить его в суде — проиграете. С треском.
🤬 — Н-да, перспективка — так себе. И что, каждый раз придется теперь читать эту длинную, напичканную канцеляритами простыню? Отстой!
Спокойствие, только спокойствие. Можно сделать проще: установить ToSDR. Этот сервис превращает пользовательские соглашения в краткие тезисные сводки и на их основе выставляет сайтам оценки: от А (прекрасно) до F (ужасно).
Угадайте, что поставили DuckDuckGo? Правильно — А. А вот YouTube ругают: он может просматривать историю браузера, и удаленные видео на самом деле не удаляются. Плохой ютьюб!
⭐️ Для удобства установите расширение: оно автоматически сокращает документ на сайтах, которые посещаете. А если попадете на опасную страницу, оно выведет уведомление в правом нижнем углу. Лень — двигатель прогресса.
Обсудить в чате 👉 https://t.iss.one/+jrxm2KHbIl9kMDQy
_______
Источник | #cyberyozh_official
Это немыслимо! Чтобы я, человек из темных уголков интернета, попался на такой дешевый трюк. Двойственные чувства. С одной стороны — праведный гнев: «Ну как я мог на такое повестись?!» С другой — восхищение: меня «обработали» настолько чисто, что наблюдай я со стороны, наверное, аплодировал бы стоя.
О каком трюке речь? Владельцы сайтов открыто признаются, что собирают персональные данные пользователей — это прописано в политике конфиденциальности.
Например, Facebook может читать личные сообщения, а еще хранит удаленные данные. И вы разрешаете! Но не потому, что мазохист, а потому, что лень читать.
Чем это опасно? Владельцы сайтов получают юридическое право вмешиваться в вашу личную жизнь. Захотите оспорить его в суде — проиграете. С треском.
🤬 — Н-да, перспективка — так себе. И что, каждый раз придется теперь читать эту длинную, напичканную канцеляритами простыню? Отстой!
Спокойствие, только спокойствие. Можно сделать проще: установить ToSDR. Этот сервис превращает пользовательские соглашения в краткие тезисные сводки и на их основе выставляет сайтам оценки: от А (прекрасно) до F (ужасно).
Угадайте, что поставили DuckDuckGo? Правильно — А. А вот YouTube ругают: он может просматривать историю браузера, и удаленные видео на самом деле не удаляются. Плохой ютьюб!
⭐️ Для удобства установите расширение: оно автоматически сокращает документ на сайтах, которые посещаете. А если попадете на опасную страницу, оно выведет уведомление в правом нижнем углу. Лень — двигатель прогресса.
Обсудить в чате 👉 https://t.iss.one/+jrxm2KHbIl9kMDQy
_______
Источник | #cyberyozh_official
tosdr.org
Terms of Service; Didn't Read
We help you understand Terms of Service and Privacy Policies
🔝 5 лучших хаков 2021 года.
2021 — год хакерских скандалов. Вспомните SolarWinds или CD Projekt Red. Огромные корпорации потеряли огромные деньги. И репутацию — тоже. Но этот список не столько о масштабах трагедии, сколько об искусности хакеров. Собрали самые интересные случаи, чтобы вы могли чему-то научиться.
Колониальные трубопроводы
В июле 2021 года банда DarkSide атаковала Колониальные трубопроводы, которые проходят через всю Америку. Они тянутся на 5.500 миль (8.850 км), и ежедневно по ним перевозят 3 миллиона баррелей топлива. 3 МИЛЛИОНА, КАРЛ! DarkSide практически лишила топлива всю Америку.
Как они сделали это? Хакеры зашифровали важные файлы — компания Colonial Pipelines Company не могла выставлять счета своим клиентам: она потеряла доступ к информации.
DarkSide предложила купить ключ дешифровки за 75 биткоинов (на тот момент около 4 миллионов долларов США). Но Colonial Pipelines Company задержала выплату, надеясь, что власти поймают хакеров.
Это привело к дефициту топлива по всей стране. Началась внутренняя борьба за бензин: появились сообщения о пустых заправочных станциях по всей Америке.
В конце концов, Colonial Pipeline Company сдалась и заплатила хакерам. При этом DarkSide не привлекли к ответственности — за информацию о банде назначена награда в $10.000.000.
Взлом Kaseya
Kaseya — это крупный хостер MSP, который обслуживает IT-отделы в самых разных компаниях, в том числе правительственных учреждениях. В июле 2021 Kaseya атаковала российская хакерская группировка REvil. Пострадало более 1.500 организаций.
Из-за чего? Хакеры нашли брешь в системе компании и установили в нее вредоносное ПО, которое заразило все подключенные к ней. Причем Kaseya давно знала об этой утечке и работала над ее исправлением. Однако REvil оказалась быстрее.
Создатель предлагал купить ключ за 70 миллионов долларов, но его поймали до выплаты.
Вокруг этой истории ходило много слухов: подозревали президента России Владимира Путина и крупные американские агентства.
Через пару недель одна из фирм, отвечающих за кибербезопасность, выпустила универсальный дешифратор. Он разблокировал файлы, и пострадавшие организации получили свои данные назад.
Взлом Twitch
Twitch — это Мекка для онлайн-стримеров: платформа хорошо платит, часто заключает крупные сделки. Поэтому когда в прошлом году произошла утечка данных, начался скандал. Причина — глупая ошибка в конфигурации сервера.
Из-за нее хакеры украли 128 ГБ очень ценных данных Twitch: исходный код, сведения о пожертвованиях и битовых подарках.
Это сильно ударило по имиджу компании. Виновные до сих пор не установлены.
Взлом Microsoft Exchange
Microsoft Exchange — это как Google Workspace: популярный почтовый сервер, который используют многие предприятия и компании. Поэтому когда в январе его взломали, это стало катастрофой. Предположительный виновник — китайская хакерская группировка Hafnium. А последствия — утечка информации из 250.000 серверов неправительственных организаций, университетов и местных органов власти.
В марте выпустили исправление, но прошло несколько недель и даже месяцев, прежде чем его развернули полностью. За это время нанесли серьезный ущерб. Но к 22 марта Microsoft исправила 92% существующих серверов.
Log4Shell
В конце 2021 года обнаружили эксплойт, который подарил сисадминам Java-приложений, возможно, худшую неделю в их жизни. Когда о нем впервые стало известно, повсюду царила неопределенность: серверы поражались налево и направо. Удаленное выполнение кода затронуло даже серверы Minecraft.
Эксплойт позволял злоумышленникам выполнять собственный код на сервере — они могли взять под контроль любой подключенный к интернету сервер или сервис, содержащий уязвимый log4j include.
Хитрые игроки Minecraft, манипулируя игровыми серверами, смогли выручить с эксплойта реальные деньги. Они присваивали себе предметы и продавали их с огромной прибылью.
В конце концов, вышли обновления, которые решают проблему, но поскольку более 7000 maven-контекстов содержат <...>
_______
Источник | #cyberyozh_official
2021 — год хакерских скандалов. Вспомните SolarWinds или CD Projekt Red. Огромные корпорации потеряли огромные деньги. И репутацию — тоже. Но этот список не столько о масштабах трагедии, сколько об искусности хакеров. Собрали самые интересные случаи, чтобы вы могли чему-то научиться.
Колониальные трубопроводы
В июле 2021 года банда DarkSide атаковала Колониальные трубопроводы, которые проходят через всю Америку. Они тянутся на 5.500 миль (8.850 км), и ежедневно по ним перевозят 3 миллиона баррелей топлива. 3 МИЛЛИОНА, КАРЛ! DarkSide практически лишила топлива всю Америку.
Как они сделали это? Хакеры зашифровали важные файлы — компания Colonial Pipelines Company не могла выставлять счета своим клиентам: она потеряла доступ к информации.
DarkSide предложила купить ключ дешифровки за 75 биткоинов (на тот момент около 4 миллионов долларов США). Но Colonial Pipelines Company задержала выплату, надеясь, что власти поймают хакеров.
Это привело к дефициту топлива по всей стране. Началась внутренняя борьба за бензин: появились сообщения о пустых заправочных станциях по всей Америке.
В конце концов, Colonial Pipeline Company сдалась и заплатила хакерам. При этом DarkSide не привлекли к ответственности — за информацию о банде назначена награда в $10.000.000.
Взлом Kaseya
Kaseya — это крупный хостер MSP, который обслуживает IT-отделы в самых разных компаниях, в том числе правительственных учреждениях. В июле 2021 Kaseya атаковала российская хакерская группировка REvil. Пострадало более 1.500 организаций.
Из-за чего? Хакеры нашли брешь в системе компании и установили в нее вредоносное ПО, которое заразило все подключенные к ней. Причем Kaseya давно знала об этой утечке и работала над ее исправлением. Однако REvil оказалась быстрее.
Создатель предлагал купить ключ за 70 миллионов долларов, но его поймали до выплаты.
Вокруг этой истории ходило много слухов: подозревали президента России Владимира Путина и крупные американские агентства.
Через пару недель одна из фирм, отвечающих за кибербезопасность, выпустила универсальный дешифратор. Он разблокировал файлы, и пострадавшие организации получили свои данные назад.
Взлом Twitch
Twitch — это Мекка для онлайн-стримеров: платформа хорошо платит, часто заключает крупные сделки. Поэтому когда в прошлом году произошла утечка данных, начался скандал. Причина — глупая ошибка в конфигурации сервера.
Из-за нее хакеры украли 128 ГБ очень ценных данных Twitch: исходный код, сведения о пожертвованиях и битовых подарках.
Это сильно ударило по имиджу компании. Виновные до сих пор не установлены.
Взлом Microsoft Exchange
Microsoft Exchange — это как Google Workspace: популярный почтовый сервер, который используют многие предприятия и компании. Поэтому когда в январе его взломали, это стало катастрофой. Предположительный виновник — китайская хакерская группировка Hafnium. А последствия — утечка информации из 250.000 серверов неправительственных организаций, университетов и местных органов власти.
В марте выпустили исправление, но прошло несколько недель и даже месяцев, прежде чем его развернули полностью. За это время нанесли серьезный ущерб. Но к 22 марта Microsoft исправила 92% существующих серверов.
Log4Shell
В конце 2021 года обнаружили эксплойт, который подарил сисадминам Java-приложений, возможно, худшую неделю в их жизни. Когда о нем впервые стало известно, повсюду царила неопределенность: серверы поражались налево и направо. Удаленное выполнение кода затронуло даже серверы Minecraft.
Эксплойт позволял злоумышленникам выполнять собственный код на сервере — они могли взять под контроль любой подключенный к интернету сервер или сервис, содержащий уязвимый log4j include.
Хитрые игроки Minecraft, манипулируя игровыми серверами, смогли выручить с эксплойта реальные деньги. Они присваивали себе предметы и продавали их с огромной прибылью.
В конце концов, вышли обновления, которые решают проблему, но поскольку более 7000 maven-контекстов содержат <...>
_______
Источник | #cyberyozh_official
Telegram
CyberYozh
🔝 5 лучших хаков 2021 года.
2021 — год хакерских скандалов. Вспомните SolarWinds или CD Projekt Red. Огромные корпорации потеряли огромные деньги. И репутацию — тоже. Но этот список не столько о масштабах трагедии, сколько об искусности хакеров. Собрали…
2021 — год хакерских скандалов. Вспомните SolarWinds или CD Projekt Red. Огромные корпорации потеряли огромные деньги. И репутацию — тоже. Но этот список не столько о масштабах трагедии, сколько об искусности хакеров. Собрали…
☯️ 5 инновационных способов защиты персональных данных.
С развитием технологий растет и потребность в защите информации. Предприятия и частные лица открывают для себя новые методы защиты данных.
Начиная от защиты личности, сквозного шифрования и защиты паролем, давайте рассмотрим пять инновационных идей, направленных на то, чтобы сделать защиту данных более доступной и простой.
1️⃣ Банковская карта с CVV, который меняется каждый час
Если преступники завладеют вашей кредитной картой, они не смогут воспользоваться ею более одного часа. После изменения кода безопасности карта становится бесполезной для тех, у кого есть номер карты, но не измененный CVV.
Вместо CVV, напечатанного на обратной стороне карты, код движения CVV отображается на мини-экране и автоматически обновляется до случайного кода каждый час.
Экран питается от литиевой батареи. В остальном карта выглядит так же, как и любая другая.
2️⃣ Программное обеспечение, заменяющее пароль криптографическим ключом
Компания из Лос-Анджелеса под названием Woven (сейчас Nevo) была создана с целью снижения риска нарушения безопасности предприятий путем уменьшения уязвимостей, связанных с цифровыми учетными данными.
Они реализовали эту идею, заменив пароль пользователя криптографическим ключом, несколькими биометрическими слоями и цифровыми учетными данными, которые можно проверить.
3️⃣ Приложение, которое управляет всеми вашими конфиденциальными данными
Jumbo - это приложение, которое обещает пользователям управлять всеми настройками конфиденциальности из одного места.
Одним нажатием кнопки он может изменить настройки конфиденциальности Facebook, создать резервные копии и даже удалить старые твиты, голосовые запросы Alexa или поисковые запросы Google.
Приложение не взаимодействует ни с каким сервером, а все общение с пользователем происходит на его телефоне. Это означает, что Jumbo даже не знает и не помнит, кто пользуется приложением.
4️⃣ Интеллектуальная система, шифрующая аппаратные устройства
Winston - это интеллектуальная аппаратная система шифрования для всех подключенных домашних устройств. Эта простая в установке система обещает защитить конфиденциальность пользователя в интернете.
При работе его аппаратный фильтр защищает все подключенные устройства дома.
Он работает со всеми устройствами, потоковыми сервисами и веб-сайтами, включая веб-камеры, WiFi-роутеры, телевизоры Smart TV и даже Amazon's Alexa.
Алгоритм работает путем взлома и шифрования местоположения и интернет-активности пользователя с группой из двадцати или тридцати других пользователей Winston.
5️⃣ Децентрализованная поисковая система с открытым исходным кодом и повышенной конфиденциальностью
Research - это децентрализованная поисковая система с открытым исходным кодом, которая поставляется с улучшенными настройками конфиденциальности.
Поисковая система построена на блокчейне, а также платит своим пользователям в криптовалютных токенах. Она надеется нарушить доминирование Google на рынке поисковых систем в интернете.
Вы можете использовать криптовалюту для покупки спонсорства ключевых слов для своих рекламных объявлений, но пользователи не отслеживаются за своими поисками.
_______
Источник | #cyberyozh_official
С развитием технологий растет и потребность в защите информации. Предприятия и частные лица открывают для себя новые методы защиты данных.
Начиная от защиты личности, сквозного шифрования и защиты паролем, давайте рассмотрим пять инновационных идей, направленных на то, чтобы сделать защиту данных более доступной и простой.
1️⃣ Банковская карта с CVV, который меняется каждый час
Если преступники завладеют вашей кредитной картой, они не смогут воспользоваться ею более одного часа. После изменения кода безопасности карта становится бесполезной для тех, у кого есть номер карты, но не измененный CVV.
Вместо CVV, напечатанного на обратной стороне карты, код движения CVV отображается на мини-экране и автоматически обновляется до случайного кода каждый час.
Экран питается от литиевой батареи. В остальном карта выглядит так же, как и любая другая.
2️⃣ Программное обеспечение, заменяющее пароль криптографическим ключом
Компания из Лос-Анджелеса под названием Woven (сейчас Nevo) была создана с целью снижения риска нарушения безопасности предприятий путем уменьшения уязвимостей, связанных с цифровыми учетными данными.
Они реализовали эту идею, заменив пароль пользователя криптографическим ключом, несколькими биометрическими слоями и цифровыми учетными данными, которые можно проверить.
3️⃣ Приложение, которое управляет всеми вашими конфиденциальными данными
Jumbo - это приложение, которое обещает пользователям управлять всеми настройками конфиденциальности из одного места.
Одним нажатием кнопки он может изменить настройки конфиденциальности Facebook, создать резервные копии и даже удалить старые твиты, голосовые запросы Alexa или поисковые запросы Google.
Приложение не взаимодействует ни с каким сервером, а все общение с пользователем происходит на его телефоне. Это означает, что Jumbo даже не знает и не помнит, кто пользуется приложением.
4️⃣ Интеллектуальная система, шифрующая аппаратные устройства
Winston - это интеллектуальная аппаратная система шифрования для всех подключенных домашних устройств. Эта простая в установке система обещает защитить конфиденциальность пользователя в интернете.
При работе его аппаратный фильтр защищает все подключенные устройства дома.
Он работает со всеми устройствами, потоковыми сервисами и веб-сайтами, включая веб-камеры, WiFi-роутеры, телевизоры Smart TV и даже Amazon's Alexa.
Алгоритм работает путем взлома и шифрования местоположения и интернет-активности пользователя с группой из двадцати или тридцати других пользователей Winston.
5️⃣ Децентрализованная поисковая система с открытым исходным кодом и повышенной конфиденциальностью
Research - это децентрализованная поисковая система с открытым исходным кодом, которая поставляется с улучшенными настройками конфиденциальности.
Поисковая система построена на блокчейне, а также платит своим пользователям в криптовалютных токенах. Она надеется нарушить доминирование Google на рынке поисковых систем в интернете.
Вы можете использовать криптовалюту для покупки спонсорства ключевых слов для своих рекламных объявлений, но пользователи не отслеживаются за своими поисками.
_______
Источник | #cyberyozh_official
Telegram
CyberYozh
📚 Бесплатная книга «Анонимность и безопасность»: https://book.cyberyozh.com/ru
🦔 CyberYozh Shop: @CyberYozh_shop
👨🎓 Академия: @cyberyozh_academy
👉 Чат: @cyberyozhtalks
Dzen https://dzen.ru/id/5b4260ec8bcd5700a97722e1
📌 Поддержка: @cyberhackGL
🦔 CyberYozh Shop: @CyberYozh_shop
👨🎓 Академия: @cyberyozh_academy
👉 Чат: @cyberyozhtalks
Dzen https://dzen.ru/id/5b4260ec8bcd5700a97722e1
📌 Поддержка: @cyberhackGL