👍 Fingerprint.

• Фингерпринт – это чума 21-го века. Беда в том, что от него практически нельзя скрыться. Телеметрию снимают практически все сайты: им же надо знать, кто их аудитория. Java-скрипты используются не только для красивого дизайна, но и для выполнения целевых действий незащищенным браузером. А уж про межсайтовые куки я вообще молчу: поискал телевизор на одном сайте – увидел рекламу этого товара через минуту на другом.

• Хорошо это или плохо – вопрос спорный. Хорошо для бизнеса – продавать стало гораздо удобнее. Плохо для людей: они знают все про ваши потребности, болевые точки и интересы. Не знают только вашего имени. Но найти его – секундное дело. Если вы простой юзер – расслабьтесь и не переживайте. Ничего плохого с вами не случится. Но если вы ведете интересный образ жизни, то вам нужно учиться следы за собой заметать. Так, на всякий случай.

• Сразу говорю, попсу типа Хрома, Огнелиса, Оперы или Яндекс Браузера – даже не рассматриваем. С точки зрения приватности дырок в них больше, чем в швейцарском сыре.

• Могу ли я посоветовать безопасный браузер? Нет, не могу. Почему? Его просто не существует. Есть только условно безопасные, которые можно использовать, но помнить: memento mori (моментально в море).

• Поэтому первый – Brave. Я его использую только для личных дел. Ибо подтекает и не прошел аудит комьюнити. А так – браузер блокирует все, что нужно, красивый, да еще и платит тебе за просмотр рекламы.

• LibreWolf – всем хорош, защищен, прошел аудит. Но я его потыкал и нашел слишком много соединений с Mozilla, на которой он и построен. Ну и еще некоторые сомнительные коннекты при запуске. Мелочь, а неприятно.

• Третий – Mullvad. Он не блокирует фингерпринт, как первые два, а подменяет его на стандартный: все пользователи сайта будут на одно лицо, точнее, на один фингерпринт. Его делала команда Tor и Mullvad VPN. Пока это мой первый выбор.

• Чем пользоваться решать вам. Но помните, абсолютной безопасности не бывает!

#ИБ

👨‍💻 Веб-маяки на сайтах и в электронной почте.

• Вы когда-нибудь задумывались над тем, по какому принципу нам показывают таргетированную рекламу? Почему, даже ничего не лайкая во время сёрфинга пользователь, возвращаясь в любимую социальную сеть, видит рекламу, связанную с посещёнными им сайтами? И кто заинтересован в том, чтобы отслеживать пользователей?

• Веб маяк («web beacon», или «1x1 pixel image») — это крошечная или прозрачная картинка, которая встраивается в страницу и используется для отслеживания действий пользователей. Такие невидимые маяки могут использоваться не только для веб аналитики, но и для сбора агрегированной информации с целью продажи её сторонним сайтам, для построения социальных графов.

• В этой статье эксперты Лаборатории Касперского расскажут, что такое веб-маяки (web beacons, web bugs, трекинговые пиксели), какие компании, как и для чего используют их на веб-сайтах и в электронной почте.

➡️ https://securelist.ru/web-beacons-on-websites-and-in-email/106703/

#Разное #ИБ

🔑 «Пароль неверный». Парольные менеджеры глазами хакера.

• Пароль и безопасность для многих людей могут казаться синонимами. Но когда возникает вопрос о безопасности самих паролей, то непосредственно безопасность выходит на первое место. В конкурентной борьбе вендоры предлагают различные решения, чья надежность на первый взгляд не подлежит сомнению, однако за разрекламированными менеджеры паролей могут скрывать банальные уязвимости, что может сыграть с ними злую шутку.

• Любой из Вас знает, что самое надежное хранилище паролей — это голова. В то же время, большинство программ, требующих авторизации пользователя, предоставляют возможность сохранения пароля в программе для ускорения процесса входа в систему в дальнейшем.

• Разработчики реализуют такой функционал по разному — кто-то хранит пароль в файлах настроек, кто-то в реестре, кто-то в защищенном хранилище Windows (тот же реестр, но доступный лишь пользователю System). Вариантов хранения масса. Впрочем, как и методов кражи паролей из этих мест. К чему это приводит, все понимают. А как происходит такая компрометация — читайте в сегодняшней статье:

➡️ https://habr.com/ru/post/713284/

#Разное #ИБ

👨‍💻 Adaptive DLL Hijacking.

• В операционной системе Windows приложения и службы при запуске ищут DLL, необходимые для их правильного функционирования. Если эти DLL не найдены или их загрузка реализована небезопасным способом (DLL вызываются без использования полного пути), то можно повысить привилегии, заставив приложение загрузить и выполнить вредоносный DLL-файл. В этой статье описаны различные методы, которые можно использовать для перехвата DLL:

- Known DLLs;
- Safe Search;
- What is Export Table;
- How Export Table Cloning Process Work;
- Dynamic IAT patching: Modifying the Import Address Table;
- How Dynamic IAT Patching works?
— Advantages of Dynamic IAT Patching;
— Example Code Snippet (Simplified);
- Siofra;
- DLLSpy;
- Robbers;
- Explanation of module search order;
- Stack walking: Manipulating the call stack;
— Manipulating the Call Stack;
- Run-time table reconstruction: Rebuilding tables during execution;
— Adaptive DLL Hijacking Techniques;
— Advanced Techniques;
- Security Research.

• В качестве дополнительного материала: Perfect DLL Hijacking. Разбор техники.

#ИБ #DLL #RE

📰 Security Reports.

• Репозиторий, который включает в себя ежегодные отчеты по кибербезопасности от крупнейших ИТ компаний. Этот репо постоянно поддерживают в актуальном состоянии, что поможет нам узнать много нового и полезного (варианты эксплуатации различных уязвимостей, векторы атак и т.д.).

➡ https://github.com/jacobdjwilson/awesome-annual-security-reports

• В качестве дополнения: обратите внимание на другие источники, за которыми наблюдаю сам и стараюсь всегда делиться с Вами новым материалом:

- Много интересного материала есть у ребят из Лаборатории Касперского, тут можно найти много новой и актуальной информации: https://securelist.ru
- Ребята из BiZone публикуют достаточно интересный материал, который можно найти тут: https://bi.zone/expertise/research/
- Материал от позитивов: https://www.ptsecurity.com/ru-ru/research/analytics/
- У cisoclub есть отдельный раздел с отчетами, но у них информация появляется с большой задержкой. Однако тут можно найти интересные отчеты: https://cisoclub.ru/category/reports/
- Подборка ТОП отчетов от hackerone: https://github.com/reddelexc/hackerone-reports
- Полезный репозиторий, где собраны разборы о фишинговых кампаниях APT группировок, содержащие пример писем и описание инструментов, с помощью которых осуществлялась рассылка: https://github.com/wddadk/Phishing-campaigns

#Отчет #ИБ

🔎 deepdarkCTI.

• Собранная информация об актуальных угрозах и хакерских группировках, позволяет нам изучить цели, тактику, методы и различные инструменты, которые применяются на этапе разведки и проникновения. Такую информацию можно собирать вручную или автоматически из разных источников, в том числе из новостей, форумов, ресурсов даркнета, мессенджеров и т.д. А найти такие источники поможет репозиторий, в котором перечислены различные ресурсы и аккуратно разбиты на категории:

- Discord;
- Telegram;
- Twitter;
- Forum;
- Exploits;
- Phishing;
- Maas;
- Markets;
- Methods;
- Search engines;
- Rat;
- CVE most exploited;
- Ransomware gang;
- Others.

➡️ https://github.com/fastfire/deepdarkCTI

#ИБ #OSINT

🔐 Безопасность в сети.

• На мой скромный взгляд есть два ключевых сервиса для проверки объекта на вшивость. Первый и самый главный, наша опора и надежа – Virus Total. Этот сервис проверит файл по сигнатурам более чем в 40 баз данных. Куда там одному жалкому антивирусу! На втором этапе из файла будет извлечена вся метадата, чтобы мы могли проанализировать все цифровые составляющие нашего объекта. После этого сервис проверит, как ведет себя пациент в условиях живой природы (это я говорю про виртуальные машины) и даст полный отчет о всех попытках закрепиться в системе или выйти на связь с внешним миром.

• Вторым номером является Intenzer. Он умеет не только защищать ресурсы, но и не хуже справляться с задачами по препарированию файлов. Объектами могут стать не только файлы и url-ссылки, но и запущенные процессы прямо на вашей машине, а также дампы памяти и многое другое. Intenzer осуществляет поиск по известным CVE-уязвимостям, а также высылает алерты в случае обнаружения непотребства. Еще в системе есть интересные новостные ленты с самыми хайповыми на данный момент угрозами.

• Обязательно пользуйтесь этими двумя сервисами и ваша жизнь станет гораздо безопаснее!

#ИБ

🍪 Кража cookie в 2024 году.

• В этом посте есть несколько полезных советов для защитников о том, как обнаружить неправомерное использование вызовов DPAPI, пытающихся захватить конфиденциальные данные браузера.

• Вот основные этапы происходящего:

➡Вредоносное ПО запускается на машине пользователя;
➡Вредоносная программа запускает браузер с включенной функцией удаленной отладки (в данном случае мы будем рассматривать браузеры на базе Chromium, но и другие имеют аналогичные возможности);
➡Вредоносное ПО подключается к порту отладки;
➡Вредоносная программа обращается к API, и злоумышленник скачивает все cookies или удаленно управляет браузером;
➡Злоумышленник использует cookie-файлы и получает доступ к ресурсам Примечание: Эта специфическая техника использования порта удаленной отладки была первоначально описана @mangopdf как "Преступления с печеньками" для Chrome.

➡️ Подробное описание всех этапов и их техническая составляющая описана в этой статье: https://embracethered.com/blog/posts/2024/cookie-theft-in-2024-and-what-todo/

#ИБ #ttp #cookies

• Вот такой вектор атак существует в дикой природе. Вы переходите на сайт, ставите галочку "Я не робот", а дальше происходит всё как на видео. По итогу жертва запускает вредоносный PowerShell скрипт и компрометирует свой ПК.

• Эта схема работает по нескольким причинам: человечкий фактор (люди уже давно приучены делать то, что просят их сделать для подтверждения капчи) и техническая возможность записывать текст в буфер обмена посетителя сайта.

➡️ Более подробно описано вот тут: https://github.com/JohnHammond/recaptcha-phish.

#ИБ #Фишинг

📱 Пост выходного дня: хакерский мультитул из старого смартфона.

• Возможность свободного выбора устройств, приложений и информации сейчас — движущая сила, которая мотивирует разработчиков создавать и совершенствовать свои продукты. Сегодня обсудим, какая альтернатива может быть у знаменитого Flipper Zero и реализуем альтернативу с помощью старого смартфона.

➡️ https://habr.com/ru/post/848524/

#ИБ

🐾 Цифровое наследие SIM-карт.

• Сегодня большое количество онлайн-сервисов предлагают своим пользователям вход по номеру мобильного телефона. Сценарий простой: указывается свой номер, на него приходит СМС с одноразовым кодом, после введения кода появляется доступ к своему аккаунту. Такой способ авторизации постепенно приходит на замену привычным логинам и паролям, потому что это быстро и удобно — телефон всегда под рукой и нет необходимости вспоминать учетные данные. Таким образом, к номеру телефона пользователя оказываются привязанными десятки разнообразных сервисов: мессенджеры, соцсети, маркетплейсы, службы доставки и другие.

• Давайте теперь представим, что по каким-то причинам пользователь перестал пользоваться номером телефона. Что произойдет? Спустя какое-то время бездействия (как правило, от 60 до 365 дней, в зависимости от используемого оператора и выбранного тарифного плана) конкретная SIM-карта будет заблокирована. Еще через какое-то время номер телефона вновь поступит в продажу, и его сможет приобрести другой пользователь. Что будет, если новый владелец попробует авторизоваться в онлайн-сервисе, где ранее с этим номером регистрировался прежний владелец?

• Потеря номера — это одновременно и утрата доступа к онлайн-сервисам и приложениям, к которым этот номер был привязан. А это, в свою очередь, дает почву для атак злоумышленников, как только ваш прежний номер телефона вновь поступит в продажу. В этой статье описаны полезные рекомендации для абонентов, разработчиков приложений и операторов мобильной связи, которые помогут повысить ваш уровень защищенности:

➡️ https://habr.com/ru/post/856538/

#ИБ

• Программа 90-дневного обучения по кибербезу, которая содержит ссылки на материалы, видео и онлайн-лабы.

➡Network+;
➡Security+;
➡Linux;
➡Python;
➡Traffic Analysis;
➡Git;
➡ELK;
➡AWS;
➡Azure;
➡Hacking.

➡️ https://github.com/farhanashrafdev/90DaysOfCyberSecurity

#ИБ

📱 Подборка материалов по мобильной безопасности.

• Здесь собраны материалы, которые могут быть полезны с практической точки зрения. Из них можно узнать о способах атак на приложения, прочитать об уязвимостях, изучить, как работают механизмы операционной системы и т.д.:

• iOS Security Awesome:
➡Инструменты анализа;
➡Инструменты защиты;
➡Уязвимые приложения;
➡Видео;
➡Статьи.

• Android Security Awesome:
➡Инструменты анализа;
➡Общие;
➡Динамический анализ;
➡Онлайн анализаторы;
➡Инструменты защиты;
➡Уязвимые приложения;
➡CTF;
➡Прохождение CTF;
➡Видео;
➡Подкасты;
➡Статьи.

#ИБ

• Awesome Cloud Security Labs - объемный набор бесплатных лаб для самостоятельного изучения безопасности облачных сред и технологий:

➡AWS;
➡Azure;
➡GCP;
➡Kubernetes;
➡Container;
➡Terraform;
➡Research Labs;
➡CI/CD.

➡ https://github.com/iknowjason/Awesome-CloudSec-Labs

#Cloud #ИБ