-
Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Новости к этому часу: Internet Archive (о котором недавно рассказывал) был взломан, что привело к утечке 31 миллиона учётных записей. Утекли следующие данные: хэши паролей пользователей в формате bcrypt, время изменения паролей, email и имена пользователей. Наиболее свежая запись в БД датирована 28 сентября. Компрометацию своих учётных данных можно проверить через сервис haveibeenpwned.com, который содержит сведения из утекшей БД archive.org.
➡ Источник.
Вторая новость: Недавно появилась информация, что на одном из даркнет-форумов продают данные более 5 миллионов клиентов, совершавших заказы из мобильного приложения "БУРГЕР КИНГ". По заверениям продавца им был взломан сервер MSSQL. Утекла следующая информация: номер телефона, эл. почта, ФИО, дата рождения, пол, город, дата заказа. Эта история получила продолжение и теперь все данные попали в открытый доступ, они были слиты сегодня утром в один из телеграм-каналов.
➡ Источник.
#Новости
🧠 Социальная инженерия в 2024.
• Два очень содержательных отчета от экспертов positive technologies, где описаны сценарии реализации целевых фишинговых атак и обсуждаются полезные нагрузки, которые можно эффективно использовать в качестве векторов получения начального доступа.
• Первый отчет содержит следующую информацию:
1. Почему вложения — моветон.
2. Актуальные способы доставки и хранения полезной нагрузки:
- HTML Smuggling;
- Облачные сервисы;
- WebDAV.
3. Актуальные способы получения начального доступа:
- Контейнеризация;
- LNK;
- MSI.
4. Новые векторы Steal Credentials:
- Атака Browser-in-the-Browser;
- Атака Browser-in-the-Middle.
5. Ключевые тренды.
• Содержание второго отчета:
1. HTML/PDF/SVG Smuggling:
- HTML Smuggling;
- SVG Smuggling;
- PDF Smuggling и PDF Polyglot (aka MalDoc in PDF).
2. URL.
3. PDF Luring.
4. VBA Macro (Hold):
- VBA Purging;
- VBA Stomping;
- VBA Tricks;
- VelvetSweatshop.
5. Разработчикам приготовиться.
6. QR-коды.
7. DLL Side-Loading:
- Примеры атак с использованием DLL Side-Loading.
8. Почему не справляются средства защиты.
#СИ #Отчет
• Тут проходит конкурс среди блогеров в Московской области. Одна из номинаций — лучший АНОНИМНЫЙ TG канал. А вся соль в том, что для участия собирают ФИО, дату рождения, телефон и другие данные.... Забавно конечно )))
➡️ https://mimp.mosreg.ru/pixel
#Разное
⏺Первый видеозвонок.
• Идея видеозвонков начала волновать умы уже с конца XIX века, когда был изобретен первый телефон. Людям стало недостаточно просто слышать собеседника, они стремились видеть его. Об этом свидетельствуют многочисленные патенты и эксперименты, проведенные вскоре после появления телефона.
• Однако для реализации этой идеи не хватало технологий и особенно стабильных камер. Прорыв произошел только в апреле 1927 года, когда телекоммуникационный гигант «Bell Labs» представил первый действующий телевизионный комплекс, который транслировал изображение министра торговли Гувера на расстояние более 300 км из Бостона в Нью-Йорк. Правда, связь была односторонней: зрители в Нью-Йорке видели министра, а он их нет.
• Первая двусторонняя видеосвязь появилась в 1931 году, когда «Bell Labs» продемонстрировали видеоразговор между двумя своими офисами. Тогда собеседники впервые увидели друг друга, но Великая депрессия затормозила развитие этих технологий.
• Только в 1959 году «Bell Labs» показала прототип системы двусторонней видеосвязи, который мог передавать лишь один кадр каждые две секунды, но зато обеспечивал четкое изображение. Проект получил название Picturephone Mod I от AT&T. Это название отражало суть устройства — "телефон с изображением". Спустя десять лет компания продемонстрировала усовершенствованную версию Picturephone, способную транслировать 30 кадров в секунду и предназначенную для офисной видеосвязи.
• В 1991 году студенты факультета компьютерных технологий Кембриджского университета изобрели первую веб-камеру, которая передавала изображение в серых оттенках со скоростью один кадр в секунду.
• С наступлением 2000-х годов началась эра смартфонов. В дополнение к уже обычным камерам, стали добавляться фронтальные камеры, специально предназначенные для видеосвязи. Первым пионером был Kyocera Visual Phone VP-200, выпущенный в Японии в 1999 году.
• Технологии видеосвязи постепенно проникали в различные сферы жизни. В 2001 году произошел знаковый случай: первая в мире операция с использованием видеосвязи. Команда врачей из Нью-Йорка успешно провела операцию пациенту, который находился во Франции. Это стало возможным благодаря развитию телемедицины и улучшению качества видеосвязи. Таким образом, технологии видеосвязи продолжали развиваться, открывая новые возможности для различных отраслей...
#Разное
👩💻 Уроки форензики. Большой гид по артефактам Windows
• Объемная шпаргалка о методах поиска информации в операционной системе Windows — с целью выявления различных инцидентов. В этой статье описан последовательный процесс сбора артефактов на заведомо взломанном ПК. Содержание следующее:
• Typical Forensic investigation flow.
• Tools:
- Acquire artifact’s Tools;
- Forensic analysis tools;
- OS / Linux Distros.
• KAPE cheatsheet:
- KAPE target extraction;
- Memory dump;
- Live response command and scanner;
- All in one artifact parsing;
- Event log / log scanning and parsing;
- Program Execution;
- File folder activity;
- NTFS and FileSystem parsing;
- System activity;
- Mounted image scanner.
• Analysis Findings:
- Live Forensics;
- Memory analysis;
- Disk analysis;
- Windows event logs analysis;
- Triage artifacts parsing and analysis;
- Other Artifacts.
• Lateral Movement Detection and Investigation:
- Credential harvesting;
- File sharing;
- Remote login;
- Remote Execution.
#Форензика
🔐 Схема карьерных треков в кибербезопасности.
• На интерактивной схеме показаны рабочие роли (трудовые функции) в области кибербезопасности, сформированные на основе анализа текущих вакансий.
• Если Вы задаетесь вопросом "как развиваться в кибербезопасности и к какой должности стремиться? какие задачи я смогу решать через несколько лет? смогу ли я изменить свой карьерный путь, если пойму, что мне становится скучно?", то эта карта Вам обязательно поможет:
➡ https://cybersecurity-roadmap.ru
#Roadmap
• Google экспериментирует с новым функционалом, который поможет пользователям переходить на официальный домен, а не фишинговый.
• Напротив настоящего домена пользователи будут наблюдать галочку (верификацию) и смогут с легкостью распознать настоящий ресурс от поддельного. Данное нововведение пока находится на этапе тестирования и работает только у некоторых пользователей.
➡️ Источник.
#Новости
🎯 Ключевой вектор атак 2024 - социальная инженерия.
Но мы знаем, как сделать ваших сотрудников неуловимыми для угроз! Обеспечьте безопасность рабочих мест с Kaspersky EDR Expert. Это комплексная защита на базе единого агента, в руках которого:
- Новейшие методы контроля рабочих мест
- Автоматическое предотвращение массовых угроз
- Обнаружение, приоритезация и расследование инцидентов
- Точное и быстрое реагирование
Эффективнее работает с Kaspersky Security для бизнеса, также подружится с решениями и от сторонних поставщиков.
Запросите 🚀 пилот продукта сейчас и исключите себя и из списка легкой добычи киберпреступников.
Реклама. ООО "КРАЙОН". ИНН 9717087315. erid: LjN8KWXbv
👩💻 Manjaro Linux.
• В начале октября 2024 года состоялся релиз дистрибутива Manjaro Linux 24.1, построенного на базе Arch Linux и ориентированного на начинающих пользователей. Но тут речь пойдет не о релизе, а о том, что многие люди при переходе на Linux дома или на работе, обычно ставят Ubuntu, Mint, Fedora, порой даже Debian. И очень зря не пробуют Manjaro Linux — хотя этот дистрибутив гораздо удобнее Убунты и даже удобнее Минта.
• Manjaro — производная от Arch Linux (так же как Ubuntu — производная от Debian), пилится европейской командой Manjaro Team. У Манжары почти такая же структура системы, как у Арча, но с некоторыми особенностями, которые делают его на 146% юзерфрендли.
• Вероятно, что Manjaro является первым дистрибутивом Линукса, который можно использовать, не открывая терминала. Все накладные функции вроде настройки железа и системы реализованы в GUI. Видеодрайвер Nvidia ставится нажатием кнопки, после чего не доставляет проблем. Так же легко ставятся локали и даже версии ядер, включая realtime-ветку и нестабильное ядро из гита. Все нужные сторонние модули ядра, от всяких проприетарных драйверов до ZFS, лежат готовые в основных репозиториях.
• Если столкнулись с какой-либо проблемой, то с ней можно обратиться на официальный форум, там всегда есть кто-нибудь из Manjaro, которые помогут ответить на вопросы. Для искушённых — wiki дистрибутива, а в случае чего можно использовать мощнейшую wiki Арча, ибо Манжара ему почти идентична.
• В общем и целом, если хотели перейти на Linux, то рекомендую начать именно с этого дистрибутива. Если интересно описание релиза, то вот тут можно прочитать о всех изменениях: https://forum.manjaro.org/t/manjaro-24-1-xahea-released/168699
#Linux
🔑 NIST предложил новые требования к паролям ради удобства пользователей.
• Национальный институт стандартов и технологий США (NIST) предложил пересмотреть некоторые требования к паролям, чтобы сделать их использование более удобным. Так, предлагается отказаться от обязательного сброса паролей, ограничений на использование определённых символов и контрольных вопросов.
• Институт предлагает больше не требовать от пользователей периодически менять пароли. Это требование исчерпало себя, так как сервисы внедряют использование более надёжных паролей из случайных символов или фраз. Их постоянная смена, напротив, мотивирует пользователей к тому, чтобы использовать более простые и легко запоминающиеся сочетания.
• Рекомендации NIST:
➡верификаторы и CSP (структуры, которые регистрируют аутентификаторы) не должны вводить другие правила составления паролей, в том числе о сочетании различных типов символов;
➡обязаны требовать, чтобы длина пароля составляла не менее восьми символов, а также могут требовать, чтобы она составляла не менее 15 символов;
➡должны разрешать максимальную длину пароля как минимум 64 символа;
➡должны позволять использовать в паролях все печатные символы ASCII [RFC20] и символ пробела;
➡должны принимать в паролях символы Unicode [ISO/ISC 10646], и каждый Unicode-символ должен учитываться как один символ;
➡не должны устанавливать иные правила составления паролей;
➡не должны требовать периодической смены паролей, однако верификаторы обязаны производить её принудительно, если есть доказательства компрометации;
➡не должны разрешать пользователям хранить подсказки, доступные неаутентифицированном лицам;
➡не должны предлагать пользователям использовать проверки на основе знаний или контрольные вопросы при выборе пароля;
➡обязаны проверять весь введённый пароль полностью.
• Если рекомендации NIST будут приняты к окончательной версии документа, то они не станут обязательными для всех, но могут мотивировать компании и организации к отказу от многих устаревших практик.
• К слову, что касается периодической смены паролей, то Microsoft еще в 2019 году убрали эти требования из базового уровня безопасности для персональных и серверных версий Windows 10. Об этом я уже упоминал вот тут: /channel/it_secur/2006
#Разное
Открытый практикум Linux by Rebrain: Репликация PostgreSQL
Для знакомства с нами после регистрации мы отправим вам запись практикума «DevOps by Rebrain». Вы сможете найти её в ответном письме!
👉Регистрация
Время проведения:
9 октября (среда) в 20:00 по МСК
Программа практикума:
🔹Разберем, чем хорош PostgreSQL
🔹Поговорим о том, что такое Vacuum и зачем он нужен
🔹Настроим физическую репликацию в PostgreSQL
Кто ведёт?
Андрей Буранов — системный администратор в департаменте VK Play. 10+ лет опыта работы с ОС Linux. 8+ лет опыта преподавания. Входит в топ-3 лучших преподавателей образовательных порталов.
Бесплатные практикумы по DevOps, Linux, Networks и Golang от REBRAIN каждую неделю. Подключайтесь!
Реклама. ООО "РЕБРЕИН". ИНН 7727409582 erid: 2Vtzqw9Xvd6
👨💻 Roadmap для тех, кто собирается в DevOps.
• Многие, кто изучают DevOps, ориентируются на Roadmap.sh. Это классный ресурс, который помогает понять, какие компетенции нужно приобрести в профессии. Но в нём очень много информации, начинающие специалисты рискуют утонуть в деталях.
• Более оптимальный роадмап можно найти на хабре. Он разбит на уровни, фокусирует внимание на том, что в первую очередь понадобится для старта и роста в профессии и содержит ссылки на наши платные и бесплатные курсы. Статья будет полезна разработчикам и системным администраторам, которые хотят перейти в DevOps.
➡️ https://habr.com/ru/post/773618
#DevOps #Roadmap
👨💻 Attacking MongoDB.
• MongoDB — это кроссплатформенная документо-ориентированная система управления базами данных. Относясь к категории NoSQL, MongoDB отказывается от традиционной таблично-ориентированной структуры реляционных баз данных в пользу JSON-документов с динамическими схемами, что делает интеграцию данных в приложениях более быстрой и простой.
• Поговорим о защищенности MongoDB. На самом деле MongoDB безопасна в использовании, если вы знаете, что искать и как это настраивать.
• Enumeration:
➡Nmap MongoDB Brute Force Attack;
➡Metasploit MongoDB Login Scanner;
➡Shodan Search for MongoDB Instances;
➡Manual MongoDB Interaction via PyMongo;
➡Common MongoDB Commands;
➡Automating MongoDB Enumeration with Nmap.
• Brute Force:
➡MongoDB Login Methods;
➡Checking for MongoDB Authentication Using Nmap;
➡Manual Brute Forcing;
➡Lack of Authentication in MongoDB Instance.
• Disable Unused Network Interfaces;
• Enable Access Control (Authentication);
• Enable SSL/TLS Encryption;
• Disable HTTP Interface;
• Enable Audit Logging:
➡Set Appropriate File Permissions;
➡Disable Unused MongoDB Features;
➡Enable Firewalls and Limit Access to MongoDB Ports.
• Exploiting Default Admin Users;
• Exploiting Misconfigured Role-Based Access Control (RBAC);
• Leveraging File System Access via MongoDB;
• Leveraging MongoDB API and Insecure Bindings;
• Misconfigured Backup Systems.
#MongoDB #devsecops
☝ Факты о Linux: cуперкомпьютеры.
• Знаете ли вы, что абсолютно все суперкомпьютеры из топ-500 самых мощных систем мира работают под управлением Linux? Ни одной другой ОС в этом списке нет. Linux безраздельно господствует в мире высокопроизводительных вычислений.
• Суперкомпьютеры используются для решения самых сложных научных и инженерных задач – от моделирования климата и биологических процессов до проектирования новых материалов и лекарств. Эти системы состоят из тысяч серверов, объединенных высокоскоростными сетями, и способны выполнять квадриллионы операций в секунду. Linux легко адаптируется под конкретные вычислительные задачи, поддерживает параллельные вычисления на тысячах узлов и эффективно управляет огромными объемами данных.
• Самые известные суперкомпьютеры мира, такие как Summit в национальной лаборатории Ок-Ридж (США), Sunway TaihuLight в Национальном суперкомпьютерном центре в Уси (Китай), Fugaku в Научно-техническом компьютерном центре RIKEN (Япония) используют специализированные дистрибутивы Linux, оптимизированные под конкретную аппаратную архитектуру и вычислительные задачи.
• Многие коммерческие ЦОДы, облачные платформы и дата-центры также строятся преимущественно на базе Linux. Где нужна предельная вычислительная мощность и надежность – там Linux чувствует себя как дома.
#Разное #Linux
Открытый практикум Linux by Rebrain: Elasticsearch — как перевезти кластер
Для знакомства с нами после регистрации мы отправим вам запись практикума «DevOps by Rebrain». Вы сможете найти её в ответном письме!
👉Регистрация
Время проведения:
16 октября (среда) в 20:00 по МСК
Программа практикума:
🔹Добавление новой ноды в кластер Elasticsearch
🔹Настройка репликации данных
🔹Перемещение шардов между нодами кластера
Кто ведёт?
Андрей Буранов — системный администратор в департаменте VK Play. 10+ лет опыта работы с ОС Linux. 8+ лет опыта преподавания. Входит в топ-3 лучших преподавателей образовательных порталов.
Бесплатные практикумы по DevOps, Linux, Networks и Golang от REBRAIN каждую неделю. Подключайтесь!
Реклама. ООО "РЕБРЕИН". ИНН 7727409582 erid: 2VtzqvS4wkM
🌍 Сканеры для поиска уязвимостей в веб-серверах.
• В этой подборке собраны различные сканеры, которые позволят повысить безопасность Вашего веб-ресурса. Описание каждого инструменты Вы найдете по соответствующей ссылке. Что касается подборки, то она составлена в определенном порядке: от наиболее популярных решений, к менее известным. Не забудьте сохранить пост в избранное!
• General Purpose Web Scanners:
- ZAP + ZAP Extensions;
- Hetty;
- W3af;
- Arachni;
- Astra;
- Wapiti;
- Skipfish;
- Sitadel;
- Taipan;
- Vega;
- Reaper;
- Tuplar;
- Ugly-duckling;
- BrowserBruter;
- Pākiki.
• Infrastructure Web Scanners:
- Nuclei + Nuclei Templates;
- Tsunami;
- Nikto;
- Striker;
- Jaeles.
• Fuzzers / Brute Forcers:
- dirsearch;
- Ffuf;
- gobuster;
- Wfuzz;
- feroxbuster;
- rustbusterv;
- vaf;
- radamsa.
• CMS Web Scanners:
- WPscan;
- Volnx;
- Droopescan;
- CMSScan;
- JoomScan;
- Clusterd.
• API Web Scanners:
- Cherrybomb;
- Akto;
- Automatic API Attack Tool;
- VulnAPI.
• Specialised Scanners:
- Sqlmap;
- XSStrike;
- Commix;
- Dalfox;
- Xsscrapy;
- Domdig.
#Пентест #Web
🌐 Wi-Fi и LoRa: гибридная технология, которая позволит расширить радиус действия Wi-Fi за счет протокола сети дальнего действия LoRa.
• Учёные разработали гибридную технологию - WiLo (Wi-Fi + LoRa), которая продемонстрировала на 96% успешную передачу данных на расстоянии до 500 метров. Преимуществом такой технологии станет возможность её работы на уже существующем оборудовании. Однако для одновременной работы Wi-Fi и эмуляции сигналов LoRa устройства потребляют больше энергии. Учёные планируют решить эту проблему, оптимизировав энергоэффективность, скорость передачи данных и устойчивость WiLo к помехам.
• Видимо следующим шагом станет дальнейшая оптимизация системы, а также тестирование WiLo в различных условиях IoT, в том числе систем датчиков для умных городов, где требуется передача данных на большие расстояния с минимальным энергопотреблением.
➡️ https://ieeexplore.ieee.org/document/10680638
• Напомню, что в сентябре компания Morse Micro установила новый мировой рекорд дальности действия Wi-Fi, используя стандарт HaLow (802.11ah). В ходе эксперимента в сельском национальном парке Джошуа-Три удалось установить связь на расстоянии 15,9 км.
#Разное
Прокачай свои навыки киберзащитника на онлайн-симуляторе Standoff Cyberbones!
Он доступен всем пользователям платформы Standoff 365. Есть бесплатная версия, а также расширенная платная: внутри — 70 заданий и 5 расследований, основанные на самых интересных атаках из истории кибербитв Standoff.
В прокачке навыков помогут разные классы современных средств защиты информации, среди которых: MaxPatrol SIEM, PT Network Attack Discovery, PT Application Firewall, PT Industrial Security Incident Manager, PT Sandbox.
⌛️Симулятор работает в режиме 24/7, так что выполнять задания можно в комфортном темпе.
Заходите на Standoff Cyberbones и изучайте тактики и техники сильнейших российских и иностранных белых хакеров.
📶 Uptime Kuma.
• Удобный open source инструмент для мониторинга ресурсов сети. Умеет слать алерты Вам в Telegram, Discord, Gotify, Slack, Pushover, Email и еще кучу разных сервисов. Позволяет мониторить срок действия SSL-сертификатов, сайты по HTTP, DNS записи, открытые TCP порты, статус Docker контейнеров, SQL сервера и еще кучу всего разного: https://github.com/louislam/uptime-kuma
• Из минусов, не хватает мониторинга параметров сервера (место на диске, нагрузка).
• Вы, конечно, можете использовать Zabbix, но для многих он будет тяжеловесным и избыточным решением.
➡️ Сайт проекта | Docker-образ | Демо без установки.
#Мониториг
• Архив Интернета — некоммерческая организация, которая была основана еще в 1996 году, а для большинства из Вас Архив Интернета известен своей Wayback Machine, которая индексирует архивирует веб-страницы и ежедневно собирает около миллиарда URL...
• Так вот, мало кто знает, что физический архив интернета расположен недалеко от Сан-Франциско и даже есть возможность посетить экскурсию, где можно узнать много фактов и интересных вещей. Забавно, что экскурсию может лично провести сам основатель Архива - Брюстер Кейл.
• Сам архив доверху забит грузовыми контейнерами, которые заполнены старыми книгами и другими материалами. Если честно, я даже и не знал, что ребята собирают еще и книги \ видеокассеты \ диски и т.д., я предполагал, что цель данного проекта только в архиве веб-страниц. Но все гораздо глобальнее..
• Физический архив, как следует из его неформального названия — это хранилище физических носителей: книг, каталогов, старых компьютерных дисков, плёнок, аудиозаписей, кассет и многого другого. Когда в Архив поступает новый носитель, его персонал сначала решает, не является ли он дубликатом чего-то уже имеющегося; этот процесс они называют дедупликацией. Если он оказывается дубликатом, то его выбрасывают или отдают. Если нет, то его оцифровывают, а физический объект архивируют. Что касается музыки, то она традиционно имела разнообразные форматы хранения — винил, компакт-диски, кассеты, MP3 и так далее.
• В этом году Архив Интернета попал в новости из-за юридических атак со стороны как книгоиздательского бизнеса, так и музыкальной индустрии. Основатель поясняет, что выжить Интернет Архиву совсем не просто, и что Архив выживает на пожертвования примерно 110 тысяч человек, в среднем переводящих примерно по $5, а также на средства фондов, переводящих серьёзные суммы денег. А еще Архив предоставляет абонентские услуги библиотекам и другим организациям.
• Что касается серверов, то тут точные данные не раскрываются. Ориентировочно Архив Интернета закупает по 1 стойке в месяц, которая может хранить в себе около 5 петабайт. Вот такие дела...
➡️ Тут есть много фоточек с экскурсии: https://thenewstack.io/a-visit-to-the-physical-internet-archive/
#Разное
⚙ Red Team Toolkit.
• Автор этого материала собрал полезный список инструментов и оборудования, которое пригодится при проведении пентеста. У большинства инструментов есть ссылки на магазин и альтернативное решение.
• Спиcок разбит на категории, где Вы найдете всё, что используется в арсенале Red Team специалистов (от инструментов для взлома Wi-Fi, до дронов и наборов для локпикинга):
- Reconnaissance Tools;
- LockPicking & Entry Tools;
- Bypass tools;
- Drops and Implants;
- EDC tools;
- Additional tools;
- Suppliers and Cool websites.
➡ https://www.kitploit.com/2023/03/redteam-physical-tools-red-team-toolkit.html
#Пентест
🎉 Результаты розыгрыша:
Победители:
1. Fermat (@FermatTheorem)
2. Павел (@l0t0s0k)
3. CEPGEI
Проверить результаты
👾 DOCGuard.
• Что нужно делать, если перед вами документ сомнительного происхождения? Ответ прост: проверить файлик через определенные инструменты или загрузить на специализированные ресурсы. Одним из таких ресурсов является DOCGuard, который проверит документ на наличие известных уязвимостей, подозрительных скриптов и ссылок на фишинговые ресурсы.
• Но тут немного не об этом. Ценность ресурса представляет совершенно другой функционал, который будет полезен пентестерам и специалистам в области информационной безопасности. У DOCGuard есть очень интересная страница с примерами вредоносных документов, которые не детектят большинство антивирусов, что позволяет мониторить новые техники и методы. Пользуйтесь: https://app.docguard.io/examples
#Malware
📰 Использование досок объявлений в фишинге.
• Фишинг — один из самых распространенных векторов атак на сегодняшний день, и одно из популярнейших направлений Социальной Инженерии.
• В этой статье описаны схемы злоумышленников, которые нацелены на покупателей и продавцов на онлайн-досках объявлений! Содержание следующее:
- Как обманывают пользователей досок объявлений;
- Как злоумышленники выбирают жертв;
- Как обманывают жертву;
- Как выглядят фишинговые страницы;
- Группировки;
- Мошенничество как услуга (Fraud-as-a-Service);
- На какие страны направлен скам с досками объявлений;
- Мануал по ворку;
- Монетизация украденных карт;
- Автоматизация мошенничества с помощью Telegram-бота;
- Как выглядят фишинговые ссылки;
- Обновление ботов;
- Что происходит после перехода по ссылке;
- Прибыль и статистика;
- Как не попасться на удочку воркера.
➡ Читать статью [13 min].
#Фишинг
💿 42 года компакт-диску.
• Ровно 42 года назад на свет появилась технология, в буквальном смысле слова изменившая мир. Именно в этот день, 1 октября 1982 года, компании Sony и Phillips выпустили на японский рынок первый компакт-диск. В тот же день Sony анонсировала первую в мире модель проигрывателя для компакт-дисков, получившую наименование CDP-101.
• Удивительно, но технологию лазерной записи данных на оптический носитель трудно было назвать принципиально новой даже в 1982 году. Способ сохранения информации на светопропускающем носителе был изобретен Дэвидом Полом Греггом в 1958 году, а запатентован — в 1961-м. В своих исследованиях Грегг использовал принцип оптического чтения и записи данных «на просвет», который не отличался высокой точностью и эффективностью — значительно большей плотности хранения информации и более высокой скорости ее обработки можно было добиться только с использованием отраженного света. Именно такой метод и применила компания Philips в процессе создания своей технологии LaserDisc. В отличие от более позднего CD, LaserDisc использовал аналоговую запись и не поддерживал полностью цифровой формат хранения данных. Диски имели довольно большой диаметр — 30 сантиметров, и внешне походили на виниловые грампластинки.
• Первый LaserDisc, на котором был записан голливудский блокбастер «Челюсти», поступил в продажу 15 декабря 1978 в Атланте, США. Однако в Америке, да и во всем мире эта технология не снискала популярности, так и не вытеснив с рынка видеокассеты форматов VHS и Betamax — прежде всего потому, что у пользователей отсутствовала возможность записывать на оптический носитель видеофильмы и телепрограммы. Определенное признание этот формат получил лишь в Японии, Южной Корее и в Сингапуре, в основном, благодаря распространившимся там точкам проката дисков с видеофильмами. Однако проигрыватели для LaserDisc стоили слишком дорого, хотя производились они во многих странах, в том числе, и в Советском Союзе.
• По сравнению со своим предшественником, появившийся в 1982 году Compact Disc (CD) был действительно «компактным» — он имел привычный нам диаметр 120 мм, но при этом сохранил прежнюю плотность записи за счет того, что данные сохранялись на носителе в цифровом формате. Первоначально носитель использовался только для аудиозаписей, даже назывался соответственно — Digital Audio Compact Disc, но позже на CD научились записывать другие типы информации. На читаемой поверхности компакт-диска располагалась спиральная оптическая дорожка довольно большой плотности, позволявшая хранить до 75 минут аудио. На самом первом коммерческом компакт-диске был издан альбом группа ABBA «The Visitors».
• На момент появления технологии в 1982 году компакт-диск мог хранить гораздо больше данных, чем жесткий диск персонального компьютера, который в те времена имел объем 10 Мбайт. Это и предопределило судьбу формата, обеспечив ему популярность.
• Несмотря на преклонный возраст, компакт-диски и их наследники — DVD и Blu-ray активно используются до сих пор, в основном, для хранения и архивации данных. Возможно, еще через несколько лет мы отметим круглую дату этой технологии.
#Разное
🐇 Plan 9.
• В 80-х годах XX века компания Bell Labs внезапно решила, что Unix устарел. Эта операционная система, разработанная Кеном Томпсоном и Деннисом Ритчи в недрах Bell ещё в начале 70-х, прекрасно зарекомендовала себя в качестве платформы для обслуживания телефонии, учёта абонентов и автоматизации различных технологических процессов. Но в Bell Labs пришли к выводу, что нужно двигаться дальше — и главного разработчика Unix привлекли к созданию ОС нового поколения, получившей название Plan 9.
• Проектом занялось специализированное подразделение Bell, известное как «Исследовательский центр компьютерных наук» (CSRC), а фактически разработку вела та же команда, которая изначально трудилась над Unix и языком программирования С — Кен Томпсон, Ден Ритчи, Роб Пайк, Дэйв Пресотто и Фил Уинтерботт.
• Plan 9 изначально задумывался как опытная модель для решения различных проблем операционных систем, нежели как реальный коммерческий продукт. Правда, это не помешало владельцам проекта продавать лицензии на систему. Однако не очень успешно и весьма дорого. В течение жизненного цикла ОС было выпущено 4 версии. Первая была доступна только университетам. Вторая продавалась за немалые $350 всем желающим. Третья распространялась бесплатно под лицензией Plan 9 License, а четвертая — под Lucent Public License v1.02. В 2014 году Plan 9 опубликовали под GPLv2.
• С некоторыми допущениями можно сказать, что Plan 9 — прямой потомок Unix: вне графической оболочки система управляется Unix-командами, а в основе новой операционной системы лежал применяемый в Unix принцип «всё есть файл», но здесь он был расширен до идеи «всё есть файл на любом устройстве» — ОС изначально была рассчитана на работу в сети по специальному файловому протоколу 9P. Это общий, независимый от среды протокол, обеспечивающий доставку сообщений в клиент-серверной архитектуре. В Plan 9 у каждого процесса имеется собственное изменяемое пространство имён, которое он может модифицировать, не затрагивая пространства имён связанных процессов. Среди таких модификаций предусмотрена возможность монтировать по протоколу 9Р соединения с серверами, что позволяет локальной ОС гибко использовать различные удалённые ресурсы — как отдельные файлы, так и устройства.
• В общем и целом, эксперимент остался экспериментом, а Plan 9 вдохновил на создание нескольких “потомков”: HarveyOS, Jehanne OS и Inferno OS. Что касается кода системы, то он достаточно компактен и легок. В теории Plan 9 можно портировать практически на любую процессорную архитектуру с аппаратной поддержкой MMU.
• Весьма курьезно происхождение имени ОС: она названа в честь второсортного ужастика 1959 года Plan 9 From Outer Space (в чем-то мысли разработчиков операционных систем сходятся). Посмотреть на работу системы в виртуальной машине можно тут: https://www.youtube.com/watch?v=8Px491QOd1Y
➡️ https://9p.io/plan9/
#Разное
❓ Как обнаружить SQL-уязвимость?
Освойте методы атаки и защиты на курсе SQL Injection Master! Аналогов по объему практики в СНГ и EN-cегменте нет.
🗣️ На курсе подробно разберём эксплуатацию SQL-инъекций, одну из наиболее опасных и эксплуатируемых видов атак на веб-приложения.
🎮 Немного оффтопа или пост выходного дня.
• Олды вспомнят и прослезятся: по ссылке ниже можно поиграть в первую Diablo и даже загрузить свое сохранение для продолжения игры с определенного момента.
➡️ https://d07riv.github.io/diabloweb/
#оффтоп