Об инфраструктуре американских тюрем и ее уязвимостях

https://telegra.ph/Vzlom-amerikanskoj-tyuremnoj-sistemy-08-09

Soxoj выкатил форк Sherlock'a, лишенный недостатков большинства инструментов поиска по никнейму - минимальный процент ложных срабатываний, добавлено информирование об ошибках при парсинге и исправлен поиск по неработающим, в Шерлоке, сервисам.

На момент написания поста, Maigret уже поддерживает проверку по >300 сервисам, включая VK, Habr, Yandex и другие русскоязычные ресурсы. Анонсирована выгрузка данных в CSV, формирование HTML-отчетов и массовая проверка по списку никнеймов.

https://github.com/soxoj/maigret

С 2017 года, чтобы сделать Facebook и Instagram доступными для людей с ограниченными возможностями, сервисы используют алгоритмы распознавания образов и добавляют к изображениям описание, которое синтезаторы речи впоследствие могли бы озвучить слепым людям.

Эти подписи индексируется и по ним можно осуществлять поиск в Google Images. Для этого необходимо использовать следующую дорку:

site:instagram.com | site:facebook.com "image may contain" 

При помощи этой же дорки можно искать определенное количество людей, мебели, фруктов, прочих предметов, и получать изображения, соответствующие этим критериям.

site:instagram.com | site:facebook.com "image may contain 16 people"

Найти все изображения посадочных талонов в названных соц. сетях с сочетанием "New York".
site:instagram.com | site:facebook.com "image may contain boarding pass to new york"

Вместо image may contain, подойдет альтернативная фраза на русском (или любом другом) языке - на изображении может находиться.

В сеть утекла коллекция лучших мувисов о теории заговора с Биллом Гейтсом. А также, бонусом, исходные коды Windows XP и Windows Server 2003.

Помимо этого, Torrent включает исходники:
– MS DOS 3.30
– MS DOS 6.0
– Windows 2000
– Windows CE 3
– Windows CE 4
– Windows CE 5
– Windows Embedded 7
– Windows Embedded CE
– Windows NT 3.5
– Windows NT 4

magnet:?xt=urn:btih:3d8b16242b56a3aafb8da7b5fc83ef993ebcf35b&dn=WinLeak%20%7C%20%40cybred

Обзор нового инструмента для поиска утечек всевозможных токенов, конфигов и учетных данных на Github.

https://telegra.ph/GitDorker-kak-instrument-dlya-poiska-utechek-sekretnoj-informacii-v-publichnyh-repozitoriyah-09-28

Забавный кейс с ежегодной хакерской конференции LeHack, проходившей в Париже.

https://telegra.ph/A-pochemu-rot-v-mokkachino-ili-kak-ya-poluchil-vozmozhnost-pit-kofe-besplatno-09-29

Слухи о майнинге, засилье баннеров с рекламой казино, ставок и микрозаймов не мешают uTorrent оставаться самым популярным BitTorrent-клиентом в мире. Почитайте разбор свежей CVE, преподносящий очередной сюрприз его преданным пользователям.

https://telegra.ph/uTorrent-CVE-2020-8437---obzor-i-ehkspluataciya-09-29

Необычная находка из ТС - Занимательная манга по изучению баз данных. Существует целая серия образовательной манги, состоящая из 47 томов. Помимо программирования, в нее входит электроника, математика, машинное обучение, криптография и даже строительство.

Издательством книг на русском языке занимается «ДМК Пресс».
magnet:?xt=urn:btih:ffff321a6412550bc993a8b604df85a2828e7a11&dn=cybred

Боты @HowToFind_RU_bot и @HowToFind_bot переходят на подписку.

@Agent_noreply занимался отбором наиболее юзабельных сервисов для осинта, категорировал их и делился через вышеназванных ботов, но рано или поздно все хорошее заканчивается. Как и желание продолжать свою деятельность на безвозмездной основе. Попытка создания страницы на Patreon не увенчалась успехом, - комьюнити оценило труд Агента на 7$ в месяц. Естественно, этого оказалось очень мало, поэтому теперь вы можете приобрести подписку на ботов за 77 руб/месяц, либо 875 руб/год.

Ну а для тех, у кого сейчас нету денег на подписку, я делюсь бэкапом канала со всем актуальным (на 02.10.2020) контентом из русскоязычного бота.

Субботняя ЛГБТ-ИНФОСЕК статья, объединяющая сайт знакомств, где в качестве маскота на логотипе изображено то ли лицо белорусского силовика в балаклаве, то ли пакет битарда, с известным всеми Have I Been Pwned, под одной крышей.

https://telegra.ph/welcome-to-the-gay-club-buddy-10-03

GHunt - инструмент для сбора общедоступной информации об электронной почте Gmail.

Что умеет собирать:
- Имя владельца
- Дату редактирования профиля
- Google ID
- Активированные сервисы Google (Youtube, Google Photo, Google Maps, News360, Hangouts и пр.)
- Возможные каналы на Youtube
- Возможные никнеймы
- Публичные фотографии
- Информацию о привязанных телефонах, их прошивках и установленном ПО
- Ревью на Google Maps
- Возможное физическое местонахождение

Как установить:
1. Клонировать https://github.com/mxrch/GHunt
2. Скачать и установить Google Chrome
3. Скачать Chromedriver, поместить в папку с GHunt
Версия драйвера должна совпадать с версией Google Chrome
4. Установить зависимости
python -m pip install -r requirements.txt
5. Авторизоваться в Google, запустить check_and_gen.py и указать необходимые Cookie.

Как использовать:
python hunt.py <gmail>

Прим.: Инструмент основан на исследованиях Sector035 - https://t.iss.one/cybred/61

Мнение зарубежного ресерчера о поиске информации в социальных сетях, выходящих за пределы большой тройки. В частности, критерии, на которые стоит обращать внимание при сборе сведений, преимущества вконтактов и дноклассников перед Facebook, и социальные сети для пожилых немцев, о которых вы, вероятно, не слышали.

https://telegra.ph/Socialnye-seti-po-vsemu-miru-10-05

https://telegra.ph/-10-06-148

Сообщество Ring Ø Labs просто и доходчиво рассказывают об анализе различных вредоносов. Если вы думали вкатиться в реверс-инжиниринг, то статьи с их сайта - то, с чего, возможно, стоило бы начать (еще есть замечательная книга Сикорски «Вскрытие покажет!», блог fumik'а, @OrderOfSixAngles и немногих других) Перевел одну из таких статей - пример того, как можно анализировать вредоносные документы Microsoft Office Word.

https://telegra.ph/-10-04-93

Большинство популярных сервисов заботятся об удалении метаданных из файлов, поэтому, при скачивании чужих фотографий из социальных сетей, вы не сможете обнаружить в EXIF никакой полезной информации - ни точной геолокации, ни модели фотоаппарата, ни параметров съемки - абсолютно ничего. В прошлый раз я уже рассказывал о том, как ориентироваться на местности и определять по фотографиям природы, где конкретно они были сделаны. Сегодня я делюсь статьей на тему того, как определять примерную геолокацию по отражениям в стекле (и не только!).

deface - инструмент командной строки для защиты людей, запечатленных на фотографиях или видеозаписях, от возможной деанонимизации, путем размытия или замены их лиц на черные прямоугольники.

Как работает
Используется система распознавания, основанная на CenterFace - нейронной сети, оптимизированной для быстрого и точного обнаружения лиц на фотографиях. Обучена на WIDER FACE - датасете из аннотированные фотографий лиц в самых разных масштабах, позах и окклюзиях.

Как установить
1. Создать и активировать виртуальное окружение (не обязательно)

python3 -m venv venv

2. Используя менеджер пакетов pip, инсталлировать deface

python3 -m pip install deface

Как использовать

python3 deface <путь к фото/видео файлу>

P.S.: Видео отсюда

Что общего у индийских нефтяных магнатов, ближневосточных правительственных чиновников, катарских, кашмирских и сикхских политических партий? Все они являются жертвами атак сильнейшей хакерской группировки, известной под именем BAHAMUT. В этом отчете BlackBerry расскажет историю об одном из самых неуловимых, выносливых и эффективных игроков в киберпреступном мире. Мы исследуем их исторический и современный таргетинг, их профессионализм, включающий в себя использование огромной империи фейковых новостных сайтов, и аккаунтов в социальных сетях. BlackBerry также идентифицирует более десятка приложений от BAHAMUT, которые, на момент написания отчета, все еще активны как в Google Play™ Store, так и в App Store™.

Зеркало Интернета. Используем поисковые системы профессионально. Поиск приватной информации

Мы используем поисковые системы каждый день для поиска той или иной информации. В этом курсе мы будем учиться это делать профессионально и делать это по шагам с практическими примерами. Вы научитесь используя поисковые системы профессионально - искать быстрее, получать более полную и более точную информацию. Вы научитесь искать приватную информацию.

Примеры практического использования навыка, который демонстрировался в курсе:
— мы увидели список пользователей знаменитой облачной crm;
— мы нашли свежие сканы личных документов;
— мы нашли закрытую базу данных клиентов компании с их контактами;
— мы много раз находили доступ к разной чувствительной информации: документы, базы, пароли, доступы;
— мы поискали релевантные страницы сайта для перелинковки;
— мы нашли таргетированные базы электронных почт под рассылку;

Огромный курс по поиску с использованием дорков в различных поисковых системах (Google, Shodan, Ya, Bing).

Продолжая тему реверса. Небольшая статья с исследованием дроппера, скачивающего с FTP-сервера кучу дополнительных файлов, среди которых несколько batников, стиллеров (каждый на свой браузер) и отдельный (!)FTP-клиент, отправляющий собранные учетные данные на отдельный сервер. Угадайте, где и в каком виде хранились данные для подключения к нему

https://telegra.ph/Obnaruzhen-bolshoj-server-uchetnyh-dannyh-zhertvy-10-11

Nitin Pandey раскрыл действующий способ получить доступ практически к любой странице Facebook в один клик, используя штатный функционал социальной сети и социальную инженерию. Под программу Bug Bounty эта хитрость не попадает, так что администрация не торопится что-либо предпринимать.

Напомню: крупнейший "взлом" Twitter в середине июня, в ходе которого были скомпрометированы учетные записи Билла Гейтса, Илона Маска, Джо Байдена, Барака Обамы и прочих известных личностей, был реализован при помощи обычного фишинга.

https://telegra.ph/Socialnaya-inzheneriya-za-kotoruyu-Facebook-ne-platit-Bounty---kak-stat-administratorom-lyuboj-stranicy-10-12