eDiscovery: сбор цифровых доказательств и их представление в суде

Корректно собранная и оформленная доказательная база — это фундамент, на котором строятся все дальнейшие этапы расследования и возбуждения дел в суде. 20% самостоятельных расследований «разваливаются» на этапе взаимодействия с правоохранительными органами ввиду ошибок при сборе и оформлении цифровых доказательств.

Эксперты лаборатории компьютерной криминалистики Group-IB расскажут о применении цифровых доказательств в судебном делопроизводстве, представят ряд практических кейсов с использованием методов и экспертизы цифровой форензики.

Основные рассматриваемые темы:
- Как применять цифровые улики в юридической практике.
- Как осуществлять сбор цифровых улик и взаимодействовать с правоохранительными органами.
- Уникальные кейсы с использованием цифровых доказательств.

Статья о том, почему нельзя игнорировать мобильные приложения при поиске новых источников информации для OSINT-расследований, и как правильно с ними работать.

https://telegra.ph/Poisk-poleznyh-ehndpointov-dlya-setevoj-razvedki-v-mobilnyh-prilozheniyah-06-29

Схожий баг, при помощи которого можно было получить реальный IP-адрес практически любого собеседника, был найден в Telegram, еще в 2018 году. Но там ошибка была напрямую связана с косяком разработчиков мессенджера, здесь - проблема в WebRTC, которая может затрагивать и другие приложения, помимо Signal.

https://telegra.ph/Abuzing-WebRTC-dlya-chastichnoj-deanonimizacii-polzovatelej-Signal-05-24

Определяем местоположение фотографий, сделанных на природе, без привычных зацепок, которые, например, обычно есть на снимках из городов (вроде транспорта, адресов, зданий и прочего). Надеюсь, что DC7495 прочитают статью и усложнят свои поисковые челленджи, чтобы они не сводились лишь к поиску в Яндекс Картинках.

https://telegra.ph/Kak-opredelit-mestopolozhenie-po-fotografiyam-prirody-07-05

Как запустить простой и недоступный из интернета C2-сервер в докере, с несколькими маршрутами, перенаправляющими доставку полезной нагрузки и выполняющими обработку сеансов.

https://telegra.ph/Sozdanie-svoego-C2-servera-s-ispolzovaniem-Docker-i-Socat-07-08

У меня наконец-то дошли руки до более-менее длинной статьи, да еще и по реверсу!

Надеюсь, что вскоре свободного времени станет больше и я перестану пропадать на годы между постами.

https://telegra.ph/Revers-inzhiniring-prilozheniya-Nike-Run-Club-s-ispolzovaniem-Frida-07-13

От отслеживания судов и сбора информации об их экипаже до поиска уязвимых тачек в Shodan компаний, занимающихся морскими грузоперевозками

https://telegra.ph/OSINT-v-more-sposoby-sbora-informacii-o-morskih-gruzoperevozkah-08-03

Об инфраструктуре американских тюрем и ее уязвимостях

https://telegra.ph/Vzlom-amerikanskoj-tyuremnoj-sistemy-08-09

Soxoj выкатил форк Sherlock'a, лишенный недостатков большинства инструментов поиска по никнейму - минимальный процент ложных срабатываний, добавлено информирование об ошибках при парсинге и исправлен поиск по неработающим, в Шерлоке, сервисам.

На момент написания поста, Maigret уже поддерживает проверку по >300 сервисам, включая VK, Habr, Yandex и другие русскоязычные ресурсы. Анонсирована выгрузка данных в CSV, формирование HTML-отчетов и массовая проверка по списку никнеймов.

https://github.com/soxoj/maigret

С 2017 года, чтобы сделать Facebook и Instagram доступными для людей с ограниченными возможностями, сервисы используют алгоритмы распознавания образов и добавляют к изображениям описание, которое синтезаторы речи впоследствие могли бы озвучить слепым людям.

Эти подписи индексируется и по ним можно осуществлять поиск в Google Images. Для этого необходимо использовать следующую дорку:

site:instagram.com | site:facebook.com "image may contain" 

При помощи этой же дорки можно искать определенное количество людей, мебели, фруктов, прочих предметов, и получать изображения, соответствующие этим критериям.

site:instagram.com | site:facebook.com "image may contain 16 people"

Найти все изображения посадочных талонов в названных соц. сетях с сочетанием "New York".
site:instagram.com | site:facebook.com "image may contain boarding pass to new york"

Вместо image may contain, подойдет альтернативная фраза на русском (или любом другом) языке - на изображении может находиться.

В сеть утекла коллекция лучших мувисов о теории заговора с Биллом Гейтсом. А также, бонусом, исходные коды Windows XP и Windows Server 2003.

Помимо этого, Torrent включает исходники:
– MS DOS 3.30
– MS DOS 6.0
– Windows 2000
– Windows CE 3
– Windows CE 4
– Windows CE 5
– Windows Embedded 7
– Windows Embedded CE
– Windows NT 3.5
– Windows NT 4

magnet:?xt=urn:btih:3d8b16242b56a3aafb8da7b5fc83ef993ebcf35b&dn=WinLeak%20%7C%20%40cybred

Обзор нового инструмента для поиска утечек всевозможных токенов, конфигов и учетных данных на Github.

https://telegra.ph/GitDorker-kak-instrument-dlya-poiska-utechek-sekretnoj-informacii-v-publichnyh-repozitoriyah-09-28

Забавный кейс с ежегодной хакерской конференции LeHack, проходившей в Париже.

https://telegra.ph/A-pochemu-rot-v-mokkachino-ili-kak-ya-poluchil-vozmozhnost-pit-kofe-besplatno-09-29

Слухи о майнинге, засилье баннеров с рекламой казино, ставок и микрозаймов не мешают uTorrent оставаться самым популярным BitTorrent-клиентом в мире. Почитайте разбор свежей CVE, преподносящий очередной сюрприз его преданным пользователям.

https://telegra.ph/uTorrent-CVE-2020-8437---obzor-i-ehkspluataciya-09-29

Необычная находка из ТС - Занимательная манга по изучению баз данных. Существует целая серия образовательной манги, состоящая из 47 томов. Помимо программирования, в нее входит электроника, математика, машинное обучение, криптография и даже строительство.

Издательством книг на русском языке занимается «ДМК Пресс».
magnet:?xt=urn:btih:ffff321a6412550bc993a8b604df85a2828e7a11&dn=cybred

Боты @HowToFind_RU_bot и @HowToFind_bot переходят на подписку.

@Agent_noreply занимался отбором наиболее юзабельных сервисов для осинта, категорировал их и делился через вышеназванных ботов, но рано или поздно все хорошее заканчивается. Как и желание продолжать свою деятельность на безвозмездной основе. Попытка создания страницы на Patreon не увенчалась успехом, - комьюнити оценило труд Агента на 7$ в месяц. Естественно, этого оказалось очень мало, поэтому теперь вы можете приобрести подписку на ботов за 77 руб/месяц, либо 875 руб/год.

Ну а для тех, у кого сейчас нету денег на подписку, я делюсь бэкапом канала со всем актуальным (на 02.10.2020) контентом из русскоязычного бота.

Субботняя ЛГБТ-ИНФОСЕК статья, объединяющая сайт знакомств, где в качестве маскота на логотипе изображено то ли лицо белорусского силовика в балаклаве, то ли пакет битарда, с известным всеми Have I Been Pwned, под одной крышей.

https://telegra.ph/welcome-to-the-gay-club-buddy-10-03

GHunt - инструмент для сбора общедоступной информации об электронной почте Gmail.

Что умеет собирать:
- Имя владельца
- Дату редактирования профиля
- Google ID
- Активированные сервисы Google (Youtube, Google Photo, Google Maps, News360, Hangouts и пр.)
- Возможные каналы на Youtube
- Возможные никнеймы
- Публичные фотографии
- Информацию о привязанных телефонах, их прошивках и установленном ПО
- Ревью на Google Maps
- Возможное физическое местонахождение

Как установить:
1. Клонировать https://github.com/mxrch/GHunt
2. Скачать и установить Google Chrome
3. Скачать Chromedriver, поместить в папку с GHunt
Версия драйвера должна совпадать с версией Google Chrome
4. Установить зависимости
python -m pip install -r requirements.txt
5. Авторизоваться в Google, запустить check_and_gen.py и указать необходимые Cookie.

Как использовать:
python hunt.py <gmail>

Прим.: Инструмент основан на исследованиях Sector035 - https://t.iss.one/cybred/61

Мнение зарубежного ресерчера о поиске информации в социальных сетях, выходящих за пределы большой тройки. В частности, критерии, на которые стоит обращать внимание при сборе сведений, преимущества вконтактов и дноклассников перед Facebook, и социальные сети для пожилых немцев, о которых вы, вероятно, не слышали.

https://telegra.ph/Socialnye-seti-po-vsemu-miru-10-05

https://telegra.ph/-10-06-148

Сообщество Ring Ø Labs просто и доходчиво рассказывают об анализе различных вредоносов. Если вы думали вкатиться в реверс-инжиниринг, то статьи с их сайта - то, с чего, возможно, стоило бы начать (еще есть замечательная книга Сикорски «Вскрытие покажет!», блог fumik'а, @OrderOfSixAngles и немногих других) Перевел одну из таких статей - пример того, как можно анализировать вредоносные документы Microsoft Office Word.