Forwarded from 𝚂𝚚𝚞𝚊𝚍 𝚘𝚏 𝚝𝚑𝚎 𝙲𝚢𝚋𝚎𝚛𝚂𝚌𝚘𝚞𝚝𝚜 💻📲
Собственно, насчет вчерашней уязвимости в Telegram
Совсем недавно поднимали с вами эту тему, обозревая тематику угона мессенджеров.
Честно говоря, не думал, что в ближайшее время что-то вскроется подобное. Да и пока нет полной информации: свежая уязвимость или нет.
Однако, совет отключать автозагрузку остается актуальным.
Как же это делается, учитывая то, что речь идет про Desktop?
1) Нажимаем на три полосочки в левом верхнем углу
2) Нажимаем на Settings, далее переходим в Advanced
3) Буквально второй подпункт Automatic media download
4) Там и регулируем, что и в каких чатах/канал мы позволяем загрузить, а что - нет.
Экстренный совет от сайберскаутов: в личных сообщениях отключите всю автозагрузку. Запретите даже картинки.
В каналах - на ваше усмотрение. Если сидите во всяких даркнет тусовках, то и там стоит.
#экстренныесоветы
#хацкеры
Совсем недавно поднимали с вами эту тему, обозревая тематику угона мессенджеров.
Честно говоря, не думал, что в ближайшее время что-то вскроется подобное. Да и пока нет полной информации: свежая уязвимость или нет.
Однако, совет отключать автозагрузку остается актуальным.
Как же это делается, учитывая то, что речь идет про Desktop?
1) Нажимаем на три полосочки в левом верхнем углу
2) Нажимаем на Settings, далее переходим в Advanced
3) Буквально второй подпункт Automatic media download
4) Там и регулируем, что и в каких чатах/канал мы позволяем загрузить, а что - нет.
Экстренный совет от сайберскаутов: в личных сообщениях отключите всю автозагрузку. Запретите даже картинки.
В каналах - на ваше усмотрение. Если сидите во всяких даркнет тусовках, то и там стоит.
#экстренныесоветы
#хацкеры
Forwarded from 𝚂𝚚𝚞𝚊𝚍 𝚘𝚏 𝚝𝚑𝚎 𝙲𝚢𝚋𝚎𝚛𝚂𝚌𝚘𝚞𝚝𝚜 💻📲
IoC'и и почему они бывают "устаревшими"?
Немного теории
Индикаторы компрометации (IoC'и) представляют собой технические данные, которые можно использовать для идентификации действий или инструментов атакующих, например вредоносной инфраструктуры (имена хостов, доменные имена, IP-адреса), коммуникаций (URL-адреса, схемы обмена данными) или имплантов (хэши, пути к файлам, разделы и значения реестра Windows, артефакты, записанные вредоносными процессами в память, и др.) (Определение отсюда: https://securelist.ru/how-to-collect-and-use-indicators-of-compromise/106352/)
Иными словами, это некие показатели (цифровые следы, если так удобно), которые ранее были засвечены в кибератаках, в связи с чем наличие их в вашей системе указывает на то, что вы потенциально были взломаны.
Теперь к практике
Но так ли все просто? Давайте разбираться:
Как мы поняли выше, IoC'ами могут быть:
1) хеши файлов
2) пути к файлам
3) URL-ки
4) Адреса электронной почты
5) IP-адреса
И если с первыми четырьмя все ясно, то вот с пятым постоянно возникают проблемы и вопросы, особенно когда кто-то подключает свои СЗИ к "поставщикам" этих IoC'ов
Нередко задают вопросы:
Почему ЭТО отражается как IoC? Это же всего лишь сайт (условно) волгоградской аптеки?
Давайте разбираться:
1) Дело в том, что в основе своей IoC'и действительно указывают на связь с какой-либо малварью, C2-сервером и т.д. По идее, указанные данные должны проверяться всеми вендорами и поставщиками индикаторов компрометации едва ли не вручную. Но так делается не всегда и иногда собирают все подряд с вирустотала и аналогичных сервисов. Тут и возникают фолс-позитивы.
2) Ботнет. Сервер, имеющий данный IP-адрес, мог быть банально заражен, став одним из армии "зомби-компьютеров". И да. на нем при этом может лежать сайт волгоградской аптеки, но это не отменяет того, что он принимает участие в кибератаках.
3) Сервер был передан другому заказчику. К примеру, злодей арендовал выделенку, поднял на ней vpn и попытался атаковать ряд сайтов. На него пожаловались. Жалоба дошла до хостинг-провайдера. Он "выгнал" арендатора, передал другому, а тот оказался вполне безобидным, опять же, тем же аптекарем из Волгограда. Такие ситуации нечастые, но имеют место быть.
Вывод
Да, среди IoC'ов так или иначе будет процент фолс-позитивных сработок. Хотите вы того или нет. Поэтому нужно стараться перепроверять каждый случай по мере возможностей.
#хацкеры
#экстренныесоветы
Немного теории
Индикаторы компрометации (IoC'и) представляют собой технические данные, которые можно использовать для идентификации действий или инструментов атакующих, например вредоносной инфраструктуры (имена хостов, доменные имена, IP-адреса), коммуникаций (URL-адреса, схемы обмена данными) или имплантов (хэши, пути к файлам, разделы и значения реестра Windows, артефакты, записанные вредоносными процессами в память, и др.) (Определение отсюда: https://securelist.ru/how-to-collect-and-use-indicators-of-compromise/106352/)
Иными словами, это некие показатели (цифровые следы, если так удобно), которые ранее были засвечены в кибератаках, в связи с чем наличие их в вашей системе указывает на то, что вы потенциально были взломаны.
Теперь к практике
Но так ли все просто? Давайте разбираться:
Как мы поняли выше, IoC'ами могут быть:
1) хеши файлов
2) пути к файлам
3) URL-ки
4) Адреса электронной почты
5) IP-адреса
И если с первыми четырьмя все ясно, то вот с пятым постоянно возникают проблемы и вопросы, особенно когда кто-то подключает свои СЗИ к "поставщикам" этих IoC'ов
Нередко задают вопросы:
Почему ЭТО отражается как IoC? Это же всего лишь сайт (условно) волгоградской аптеки?
Давайте разбираться:
1) Дело в том, что в основе своей IoC'и действительно указывают на связь с какой-либо малварью, C2-сервером и т.д. По идее, указанные данные должны проверяться всеми вендорами и поставщиками индикаторов компрометации едва ли не вручную. Но так делается не всегда и иногда собирают все подряд с вирустотала и аналогичных сервисов. Тут и возникают фолс-позитивы.
2) Ботнет. Сервер, имеющий данный IP-адрес, мог быть банально заражен, став одним из армии "зомби-компьютеров". И да. на нем при этом может лежать сайт волгоградской аптеки, но это не отменяет того, что он принимает участие в кибератаках.
3) Сервер был передан другому заказчику. К примеру, злодей арендовал выделенку, поднял на ней vpn и попытался атаковать ряд сайтов. На него пожаловались. Жалоба дошла до хостинг-провайдера. Он "выгнал" арендатора, передал другому, а тот оказался вполне безобидным, опять же, тем же аптекарем из Волгограда. Такие ситуации нечастые, но имеют место быть.
Вывод
Да, среди IoC'ов так или иначе будет процент фолс-позитивных сработок. Хотите вы того или нет. Поэтому нужно стараться перепроверять каждый случай по мере возможностей.
#хацкеры
#экстренныесоветы
securelist.ru
Индикаторы компрометации (IOC): как мы их собираем и используем
Как специалисты по информационной безопасности используют индикаторы компрометации в ежедневной работе? Этот вопрос мы задали трем экспертам «Лаборатории Касперского»
Forwarded from 𝚂𝚚𝚞𝚊𝚍 𝚘𝚏 𝚝𝚑𝚎 𝙲𝚢𝚋𝚎𝚛𝚂𝚌𝚘𝚞𝚝𝚜 💻📲
О вовлечении в террористические сообщества в онлайн-играх
Пока я собирал материал, выявлял самое годное и писал данное небольшое творчество, нас накопилось 3000!!!
Спасибо всем, кто с нами!)
Для скептиков и особо ранимых: в данной статье я два раза повторил, что в ней нет посыла о том, что компьютерные игры - виновники всему злу. Повторюсь и здесь, чтобы вы со спокойной душой могли почитать)
https://telegra.ph/O-vovlechenii-v-terroristicheskie-soobshchestva-v-onlajn-igrah-07-25
#осинт
#инструменты
#хацкеры
Пока я собирал материал, выявлял самое годное и писал данное небольшое творчество, нас накопилось 3000!!!
Спасибо всем, кто с нами!)
Для скептиков и особо ранимых: в данной статье я два раза повторил, что в ней нет посыла о том, что компьютерные игры - виновники всему злу. Повторюсь и здесь, чтобы вы со спокойной душой могли почитать)
https://telegra.ph/O-vovlechenii-v-terroristicheskie-soobshchestva-v-onlajn-igrah-07-25
#осинт
#инструменты
#хацкеры
Telegraph
О вовлечении в террористические сообщества в онлайн-играх
Сегодня мы затронем крайне щепетильную, но актуальную тему. С киберпреступностью и OSINT она связана косвенно, так как вовлечение/вербовку в запрещенные организации в сети Интернет можно также отнести к киберпреступности при широком толковании последнего…
Forwarded from 𝚂𝚚𝚞𝚊𝚍 𝚘𝚏 𝚝𝚑𝚎 𝙲𝚢𝚋𝚎𝚛𝚂𝚌𝚘𝚞𝚝𝚜 💻📲
Немного про Cellebrite и краткое слово об анонимности
Я вот читал достаточно интересную статью про довольно крутое устройство под названием Cellebrite, которое позволяет копировать различные данные с одного мобильного устройства на другое, при этом модели, ОС-ки могут быть совершенно разные. Функционал огромен, постоянно дорабатывается, да и стоит такая штука немало.
Естественно, мне пришли в голову мысли о том, что ПО скорее всего весьма полезно для специальных служб и правоохранительных структур, так как может быть применимо в рамках ОРД (для начала только как-то получить бы физ доступ к устройству, но это уж вопрос то творческий, особенно если объект заинтересованности не разбирается в законодательстве)
Теперь, почему я вспомнил об анонимности? И сюда же вопрос о недавнем задержании известного персонажа во Франции.
На самом деле вопрос анонимности и приватности достаточно прост. Да, есть ряд нюансов, но вся основа упирается в базовые знания сетевых технологий, сотовой связи и операционных систем, ну еще как браузеры работают тоже неплохо понимать. И суть в том, что в любом мессенджере, в любой социальной сети можно остаться анонимным, даже ВКонтакте, если вы соблюдаете правила анонимности на максимум, а ведь чаще всего это бывает просто лень делать, да и со временем даже у опытного преступника внимание рассеивается.
Под тезисом "анонимен или нет тот или иной сервис" чаще всего имеется ввиду другой вопрос: выдает ли данные разработчик гос органам или нет? Кто-то выдает, кто-то нет, но такой существует до тех пор, пока сильно не помешает кому-то, кто-то выдает, но частично (собственно, как и Telegram скорее всего).
Но что, если в ответе на свой запрос структуры увидят, что подключение шло каждый раз с нового ip, и все они - либо китайский vpn, либо тор? Ну хорошо, тор частично под контролем АНБ, допустим, но не все же НОДы, верно?
Далее запрашиваются переписки, а они все пустые, потому что их и не было... Сильно поможет такой ответ? Нет.
...
Тем не менее, конспирологические версии о том, что анонимность вообще невозможна и все читается, подкрепляется историями людей, чаще всего тоже не разбирающихся в технологиях, о том, как друга/брата/свата задержали, а у них оказалась вся переписка в секретных чатах, да и вообще, знали, что перед каждой тренировкой пьет эспрессо или бамбл с сиропом (так я делаю на самом деле).
Но почему то никто не задумывается о более простой трактовке событий. Я не буду рассказывать о том, каким образом, казалось бы, засекреченные переписки могут оказаться в руках специальных служб по двум причинам: первая - на меня может наругаться товарищ майор (который все никак не получит подпола), вторая - большинство из вас и так прекрасно понимает все, ведь голливудские фильмы и сериалы про ментов раскрыли многие методы работы товарища майора.
Но зато "слежка тотальная, анонимности не существует"
А что я хочу ответить: если не включать голову, то и джаббер анонимным не окажется. Проверено.
#инструменты
#хацкеры
#экстренныесоветы
Я вот читал достаточно интересную статью про довольно крутое устройство под названием Cellebrite, которое позволяет копировать различные данные с одного мобильного устройства на другое, при этом модели, ОС-ки могут быть совершенно разные. Функционал огромен, постоянно дорабатывается, да и стоит такая штука немало.
Естественно, мне пришли в голову мысли о том, что ПО скорее всего весьма полезно для специальных служб и правоохранительных структур, так как может быть применимо в рамках ОРД (для начала только как-то получить бы физ доступ к устройству, но это уж вопрос то творческий, особенно если объект заинтересованности не разбирается в законодательстве)
Теперь, почему я вспомнил об анонимности? И сюда же вопрос о недавнем задержании известного персонажа во Франции.
На самом деле вопрос анонимности и приватности достаточно прост. Да, есть ряд нюансов, но вся основа упирается в базовые знания сетевых технологий, сотовой связи и операционных систем, ну еще как браузеры работают тоже неплохо понимать. И суть в том, что в любом мессенджере, в любой социальной сети можно остаться анонимным, даже ВКонтакте, если вы соблюдаете правила анонимности на максимум, а ведь чаще всего это бывает просто лень делать, да и со временем даже у опытного преступника внимание рассеивается.
Под тезисом "анонимен или нет тот или иной сервис" чаще всего имеется ввиду другой вопрос: выдает ли данные разработчик гос органам или нет? Кто-то выдает, кто-то нет, но такой существует до тех пор, пока сильно не помешает кому-то, кто-то выдает, но частично (собственно, как и Telegram скорее всего).
Но что, если в ответе на свой запрос структуры увидят, что подключение шло каждый раз с нового ip, и все они - либо китайский vpn, либо тор? Ну хорошо, тор частично под контролем АНБ, допустим, но не все же НОДы, верно?
Далее запрашиваются переписки, а они все пустые, потому что их и не было... Сильно поможет такой ответ? Нет.
...
Тем не менее, конспирологические версии о том, что анонимность вообще невозможна и все читается, подкрепляется историями людей, чаще всего тоже не разбирающихся в технологиях, о том, как друга/брата/свата задержали, а у них оказалась вся переписка в секретных чатах, да и вообще, знали, что перед каждой тренировкой пьет эспрессо или бамбл с сиропом (так я делаю на самом деле).
Но почему то никто не задумывается о более простой трактовке событий. Я не буду рассказывать о том, каким образом, казалось бы, засекреченные переписки могут оказаться в руках специальных служб по двум причинам: первая - на меня может наругаться товарищ майор (который все никак не получит подпола), вторая - большинство из вас и так прекрасно понимает все, ведь голливудские фильмы и сериалы про ментов раскрыли многие методы работы товарища майора.
Но зато "слежка тотальная, анонимности не существует"
А что я хочу ответить: если не включать голову, то и джаббер анонимным не окажется. Проверено.
#инструменты
#хацкеры
#экстренныесоветы
Хабр
Cellebrite Touch — телепорт для телефона
Привет Хабр! Несколько дней назад ко мне в руки попало необычное и очень крутое устройство. Наверное, по заглавной картинке можно догадаться о его назначении, однако, это лишь вершина айсберга. Меня...