Cybred

2021-06-27 18:32:13 ⁤AirportWebcams - база данных с более чем 2300 IP-камерами из различных аэропортов. Есть поле для поиска, можно искать по коду аэропорта или обозначениям взлетно-посадочных полос. Поддерживается сортировка по странам, часовому поясу и скорости обновления данных с камер.

На агрегаторе также публикуются ссылки на FlightRadar24, LiveATC, FlightStats, FlightAware, SkyVector, официальные сайты аэропортов и их вики.

Аэропорты Беларуси и Северной Кореи обошли стороной. Открыть/Комментировать

2021-06-14 12:00:00 ⁤Квантовые компьютеры вскоре могут быть использованы для взлома биткоин-кошельков

В прошлом году случилось неприятное - Стефану Томасу, программисту и основателю нескольких IT-компаний из Сан-Франциско, «посчастливилось» утерять пароль от своего зашифрованного IronKey.

По словам Томаса, на зашифрованном usb-носителе, помимо исходников Анубиса и отчета о независимой экспертизе (нет), находились и приватные ключи от личного электронного кошелька с 7002 биткоинами на счету.

IronKey дает 10 попыток на то, чтобы ввести правильный пароль, иначе - самоуничтожается: память подчистую очищается, а сам накопитель становится непригоден для использования.

Стефан Томас потратил 8 из 10 возможных попыток на то, чтобы подобрать пароль, но ни одна из них не увенчалась успехом: «Я просто лежал в постели и думал об этом», - сказал Стефан. «В перерывах я подходил к компьютеру с какой-нибудь новой стратегией, она не срабатывала, и я снова впадал в отчаяние».

Однако скоро ситуация может измениться. Хотя квантовые вычисления все еще находятся в зачаточном состоянии, правительства и частные компании, такие как Microsoft и Google, работают над тем, чтобы воплотить их в жизнь.

В течение десятилетия квантовые компьютеры могут стать достаточно мощными, чтобы взломать криптографическую безопасность, которая защищает сотовые телефоны, банковские счета, адреса электронной почты и - да - биткойн-кошельки.

«Если бы у вас сегодня был квантовый компьютер, и вы были бы государственным спонсором - например, Китаем - скорее всего, лет через восемь вы смогли бы взломать кошельки на блокчейне» - сказал Фред Тиль, генеральный директор компании Marathon Digital Holdings, специализирующейся на добыче криптовалюты.

Не смотря на то, что, по словам Тиля «Национальный институт науки и технологий (NIST) работает над новым стандартом шифрования будущего, который является квантовым доказательством», остается надежда, что Стефан через пару лет выложит свою счастливую фотографию (в статье от NT он очень взгрустнул), взломав флешку с устаревшими, к тому времени, криптографическими алгоритмами. Открыть/Комментировать

2021-06-13 11:13:11 ⁤Мне наконец-то удалось плотно поработать с реверсом Android-приложений. Если раньше хватало Burp'а для анализа трафика, чтобы посмотреть простенькие запросы к API (для OSINT'а, например), а дальше заглядывать было лень, то в этот раз сама жизнь заставила и пришлось немного углубиться в тему.

В основном, я использовал Frid'у (просто незаменимый и очень-очень удобный фреймворк) и некоторые тулзы для сборки/декомпиляции/подписи/просмотра исходного кода, о которых, возможно, напишу в следующих постах.

Для тех, кто хотел вкатиться, вот все ресурсы, которые были мною использованы для обучения, думаю, будет полезно.

Вводные статьи по Java:
https://docs.oracle.com/javase/tutorial/
https://beginnersbook.com/java-tutorial-for-beginners-with-examples/
https://www.tutorialspoint.com/java/java_tutorial.pdf

Шпаргалка по Smali на русском:
*выше на канале*

Цикл видосов по Android Reverse Engineering:




Канал "Android AppSec" на Youtube:
https://www.youtube.com/channel/UC5bY16WSEa_ttTPqj8aTeIw/videos

Подробнейшая инструкция по настройке рабочего окружения:
https://blog.cobalt.io/getting-started-with-android-application-security-6f20b76d795b

Документация Frida + Codeshare и сниппеты:
https://frida.re/docs/javascript-api/
https://codeshare.frida.re/
https://github.com/iddoeldor/frida-snippets

Бложики со статьями, наполненные одами о Frida:
https://grepharder.github.io/blog/
https://neo-geo2.gitbook.io/adventures-on-security/
https://joshspicer.com/android-frida-1
https://11x256.github.io/
(на русском: https://forum.reverse4you.org/t/android-frida/1128)

Статья на Zennolab о Frida:
https://zennolab.com/discussion/threads/android-na-post-get-s-pomoschju-frida-server-burpsuite-i-bonus.79264/

Статья на Xakep о Frida:
https://xakep.ru/2018/03/19/android-frida/

Самые полезные и полные гайды с большим количеством примеров (Tiktok и Frida):
https://www.fatalerrors.org/a/code-and-example.html
https://www.fatalerrors.org/a/0d901j8.html

Райтапы ØxＯＰＯＳɆＣ, связанные с криптографией:
https://inesmartins.github.io/oposec-don-joe/
https://inesmartins.github.io/oposec-secrets/
https://inesmartins.github.io/htb-crypto-challenge-call/
https://inesmartins.github.io/htb-crypto-challenge/
https://inesmartins.github.io/oxopos-c-summer-challenge-2020-web-challenges-write-up/
https://inesmartins.github.io/0xoposec/

Отдельно выделю их же цикл статей "Undeground Leaks":
https://inesmartins.github.io/oposec-underground-leaks/
https://inesmartins.github.io/oposec-underground-leaks-part-ii/
https://inesmartins.github.io/opoleaks-underground-leaks-part-iii/

Если есть что добавить, кидайте в обратную связь, - запилю отдельный пост. Открыть/Комментировать

2021-06-12 22:14:51 Скрипты TamperMonkey/Greasemonkey, добавляющие отдельное боковое меню для парсинга пользователей и сообщений из чатов и каналов Telegram. Собранные данные можно экспортировать в .csv для дальнейшего анализа.

https://gist.github.com/fabledowl/ Открыть/Комментировать

2021-06-08 19:02:10 Cheatsheet по smali-коду. Открыть/Комментировать

2021-06-05 18:17:59 Пароль на архив: @cybred Открыть/Комментировать

2021-06-05 18:17:59 ⁤Задолго до того, как появился LeakCheck и другие подобные ему сайты (кроме have i been pwned), боты и Ашоты, никто и не думал, что поиск по почте можно монетизировать, и притом успешно.

Многие сами сливали базы и делились ими на теневых форумах, а чтобы при их коллекционировании не забивать жесткий диск повторяющимися почтами, буквально у каждого был свой аналогичный локальный сервис, предназначенный для сравнения свежих строк с уже имеющимися, и оценки процента уникальности.

Самой известной программой был и остается Archivar, и как можно предположить, отличался он не только простотой интерфейса, но и своей медлительностью (прям как я с публикацией постов).

Ни с какими СУБД он не работал, каждый текстовик с раздачи ложился в общую папку, а софт каждую новую проверку рекурсивно обходил ее и все подпапки, открывал файлы вновь и вновь, сравнивая каждую строчку с почтами из свежего файла.

Тогда я задумался о написании клиент-серверного приложения с подписочной моделью, которое облегчило бы процесс сравнения, агрегируя все базы с раздач в единой месте.

API написал, а вот до клиента так и не дошло. Разгребая завал на жд'шнике, обнаружил старые php-шные файлы, в связи с чем делюсь находкой с вами, смахивая слезу ностальгии ;) Открыть/Комментировать

2021-05-20 20:15:22 ⁤Представим ситуацию: на прикрепленном скриншоте изображен твит цели, пароль к профилю которой нам необходимо подобрать. Как это сделать?

Существует множество вариантов заполучить пароль конечного пользователя - прибегнуть к социальной инженерии и отослать фишинговое письмо, попробовать подобрать вручную, перейти к атаке по маске или воспользоваться паяльником. Но каждый из них крайне ситуативен и не всегда оправдан.

В одной из сцен «Собаки Баскервилей» Шерлок Холмс, осмотрев личные вещи жертвы, с первого раза смог угадать ее пароль. Такой же трюк мог бы пригодиться нам в настоящее время, но можем ли мы применить его в социальных сетях?

Согласно экспериментам, проведенным Карлтонским университетом и университетом Карнеги — Меллона, большинство людей придумывают пароли для учетных записей на основе личных интересов. Зачастую многие используют слова, напрямую связанные с любимыми увлечениями, работой, исповедуемой религией, видеоиграми, личными отношениями и прочими темами, которые их тревожат.

Взглянем еще раз на твит и сделаем предположения относительно пароля, согласно проведенным исследованиям: дочь цели зовут Джулия, любимый писатель цели - Джордж Оруэлл, самая известная книга которого - 1984. Объединим это все и получим «Julia1984». Это так просто?

Да, это действительно так. Анализируя утечки Ashley Madison и Myspace при помощи PACK (Password Analysis and Cracking Kit), можно также прийти к выводу, что люди склонны выбирать в качестве личного пароля существительные или имена собственные.

Использование твиттера значительно упрощает процедуру подбора - люди склонны щитпостить в него массу контента, подавляющая часть из которого - их личные переживания и интересы. В этой социальной сети также существует жесткое ограничение на количество символов, что заставляет пользователей писать более осмысленные тексты.

Похоже, что это и есть тот самый Шерлок, который вместо личных вещей роется в профилях пользователей и использует их как источник данных. Чтобы затем, объединив наиболее значимые из них, получить список всевозможных паролей.

https://github.com/utkusen/rhodiola Открыть/Комментировать

2021-05-19 19:03:09 Один из самых больших чеклистов в интернете по тестированию веб-приложений. Открыть/Комментировать