Plastik

2020-07-28 19:32:38 ​Где купить сливы данных?
Сегодня расскажу о площадках, где чаще всего выкладываются или продаются утечки данных.

Если в СМИ публикуют новости об очередном взломе и утечке данных клиентов, то скорее всего предложение о продаже будет размещено на одном из следующих форумов:
Raidforums — известный англоязычный форум в мире утечек информации.
Постоянно появляются новые базы данных.
Так, например, на этом форуме был недавно размещен дамп базы форума dava.com.
Помимо открытых тем с утечками и дампами, есть отдельная тема "Database Requests", где пользователи оставляют свои запросы на данные. Это связано с тем, что не все селлеры готовы продавать данные публично.
Cracking — англоязычный форум, где можно купить БД с разных сайтов.
Например, на сайте не так давно был выложен дамп пользователей в открытый доступ другого хакерского форум cracked.to.
В основном на форуме размещаются сливы учетных записей бесплатно. Но есть и приватные предложения.
Probiv(onion ссылка) — на известном среде хакеров ресурсе есть отдельная ветка "Покупка и продажа баз данных".
В целом на форуме есть разного рода утечки, которые можно купить. Также есть достаточно запросов на определенные данные сервисов или жителей какой-то страны.
Darkmoney — известный форум, на котором также есть профильный раздел с утечками.
Иногда попадаются базы разных сервисов, сливы с государственных ресурсов и т.д. Некоторые продавцы предлагают бесплатный тест, чтобы оценить качество базы и данных в ней. Открыть/Комментировать

2020-07-27 17:48:03 10.000$ за смену никнейма в Uber. SSTI
Привет, Аноним.
Пользователь сменил свой ник на сайте uber.com на . За эту уязвимость хакер получил $10 000 вознаграждения.
Вкусно?
Сегодня я расскажу и покажу, как найти SSTI уязвимость и раскрутить ее до выполнения кода на сервере. Открыть/Комментировать

2020-07-26 15:30:15 ​НОВОСТНОЙ ДАЙДЖЕСТ
В Санкт-Петербурге задержаны трое кардеров.
Злоумышленники «клонировали» известные интернет-магазины и похищали банковские данные покупателей. Ущерб составил порядка 4 млн руб.
Подробнее
Утекли логи 20 млн пользователей VPN.
1.2 Тб логов утекли у VPN-провайдеров, "не хравшивших логи". Помимо логов, на сервере лежали открытыми персональные данные: адреса электронной почты, пароли (открытым текстом), IP-адреса, домашние адреса, модели смартфонов, идентификаторы устройств и т.д.
Жертвами оказались те кто пользовался UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN.
Подробнее
Netflix and Malware. Мошенники маскируют вирусы под сериалы.
Злоумышленники добавляют названия популярных шоу в рекламные и вредоносные программы, а также используют их для проведения фишинговых атак.
Подробнее
КиноПираты. Теневые инвесторы интернет-пиратства.
Специалисты Group-IB раскрыли основных бенефициаров пиратских онлайн-кинотеатров и пиратского спортивного стриминга. Финансируют пиратскую индустрию онлайн-казино Lucky Partners и Welcome Partners, букмекер 1xBet, а также техподдержка со стороны легальных хостеров «Многобайт» и «ДДОС-ГВАРД».
Подробнее
iPhone для хакеров. Apple выпустила специальную версию смартфона.
Избранным исследователям предоставят специальные версии iPhone. У них отключено большинство функций безопасности, а так же будут иметь меньше ограничений и обеспечат более глубокий доступ к операционной системе и железу.
Подробнее Открыть/Комментировать

2020-07-24 14:49:49 Garmin всё! Хакерская пробежка.
Привет, Аноним.
Компания Garmin подверглась хакерской атаке.

Помимо сбоя в приложении, проблемы наблюдаются и на стороне колл-центра.
По некоторым данным, деятельность полностью парализована, включая производственную линию в Азии.
Подробнее разбираемся в статье. Открыть/Комментировать

2020-07-23 17:49:50 ​ Контрольные суммы (хеш-суммы)

Очень часто на сайтах разных дистрибутивов и софта можно увидеть колонки с названием SHA256Sum или MD5Sum.
Это контрольные суммы (или хеш-суммы), которые вычисляются с помощью криптографических алгоритмов.
Контрольные суммы позволяют проверить подлинность и целостность файла. Также, по контрольным суммам очень легко искать файлы в поисковых системах.

Зачем нужны контрольные суммы?
Например, если файл был скачан не полностью, или файл был частично поврежден или полностью подменен на выходе он будет иметь другую контрольную сумму.
Скачивая образ дистрибутива с сайта можно сверить контрольную сумму. При условии что все прошло без каких-либо происшествий с файлом контрольная сумма должна совпадать.
Это особо актуально, если приходится работать в небезопасных и нестабильных сетях. Значение контрольной суммы меняется, если хотя бы один бит файла изменился.

В Kali Linux есть две утилиты sha256sum и md5sum, которые доступны с коробки. С названия становиться очевидным что первая утилита использует алгоритм SHA-256, а вторая — MD5. Иногда, на сайтах можно увидеть сразу две контрольных суммы файла, а иногда только одну.
Для проверки контрольных сумм на машине достаточно выполнить команды:
$ md5sum
$ sha256sum

19.3K views14:49

Открыть/Комментировать

2020-07-22 17:49:23 Угоняем API-ключ Админа. CORS.
Привет, Аноним.
CORS — сross-origin resource sharing.
Узнаем что это такое.
Как найти сайт имеющий уязвимую конфигурацию CORS.
С помощью Javascript эксплоита, угонем API ключ админа сервиса. Открыть/Комментировать

2020-07-21 18:56:36 ​ Хакинг. ТОП-5 сервисов для прокачивания навыков

Сегодня я расскажу тебе о лучших сервисах, которые позволяют прокачать навыки в практической наступательной безопасности .

На сервисах размещены одни из лучших материалов, практических заданий и лабораторий, для получения практических навыков. Большинство их них являются бесплатными. Задания максимально адаптированы под реальные ситуации.

HackTheBox — площадка, которая заслуживает отдельного внимания и находится на первом месте в нашем списке.
Это целое комьюнити людей, которые делятся опытом, знаниями и советами на форуме. Есть платная подписка за 10 фунтов/месяц, которая предоставляет неограниченный доступ к машинам и гайдам для прохождения.
Основная фишка сервиса — уязвимые машины (170), которые включают веб-уязвимости, инфраструктурные и другие. После регистрации, доступен OpenVPN конфиг к сети, где есть уязвимые машины. Для погружения в тему поможет канал IppSec.

PortSwigger Web Security Academy — добротный материал от разработчиков известного инструмента Burp Suite.
На сайте есть краткая теория и лабы по Web Security. Можно прокачать свои навыки в SQL, XSS, CSRF, CORS, XML, SSRF, SSTI атаках и других аспектах. Информация подготовлена интересно, лабы актуальные, это один из лучших способов прокачать свои навыки в WEB безопасности. Все доступно с браузера, сервис является полностью бесплатным.

Root-Me — сервис, который предоставляет пользователям отдельные задания по направлениям и комнаты.
В любой из 20 комнат можно присоединиться к текущему заданию или создать свое на выбор. В комнате могут быть несколько машиной с Active Directory. Как правило, в ходе решения нужно получить флаг, которые будет являться решением задания.

Tryhackme — на этом ресурсе можно потренировать навыки повышения привилегий Windows и Linux.
Пользователю предоставляется доступ к уязвимой машине по SSH, где есть разные способы получить root-права. Способы повышения максимально адаптированы под реальные условия. Процесс обучения построен в формате последовательного выполнения заданий. Открыть/Комментировать

2020-07-20 20:16:07 Как хранить пароли? KeePass
Привет, Аноним.
Сегодня я расскажу зачем нужны парольные менеджеры, какая разница между KeePass, KeePassX и KeePassXC.
Пошагово установим один из инструментов и настроим базу для хранения паролей.
Не стоит быть халатным к безопасности собственных ресурсов. Открыть/Комментировать

2020-07-19 20:11:55 ​НОВОСТНОЙ ДАЙДЖЕСТ
Twitter. Крупнейшая атака в истории.
Украдено более $120.000. Рассказываем подробности в статье.
Подробнее
Иранские хакеры случайно слили обучающие видео и файлы.
Обнаружен сервер с 40 Гб видео и других файлов, проливающих свет на «работу» группы.
Подробнее
Хакеры украли 336 биткоинов.
Для вывода использовали смешивания монет чтобы затруднить отслеживание средств.
Подробнее
В Конгрессе США готовится закон против «русских хакеров».
Или как попытаться украсть данные о вакцине против COVID-19.
Подробнее
В СИЗО "Матросская тишина" ребята организовали колл-центр.
Когда нет времени сидеть, остается только действовать.
Подробнее Открыть/Комментировать

2020-07-17 17:38:47 ​Как безопасно скачивать и просматривать видео
Очень часто на рабочей машине или в поездках, нет хорошего доступа к интернету. И нет возможности посмотреть видео в хорошем качестве.
Да и просмотр роликов на площадках с рекламой не приносит особого удовольствия. Особенно если нужно регистрироваться и оставлять свои данные.

Youtube-dl прекрасно решает эту боль.
Инструмент позволяет скачивать видео с Youtube, VK, Instagram, а также еще с 100-ни других сайтов в оригинальном качестве.
Youtube-dl работает на GNU/Linux. А для Mac OS X и Windows имеется удобный GUI-интерфейс. Установка и работа максимально удобная и происходит буквально в два клика.

Установка:
$ sudo curl -L https://yt-dl.org/downloads/latest/youtube-dl -o /usr/local/bin/youtube-dl

$ sudo chmod a+rx /usr/local/bin/youtube-dl

Использование:
$ youtube-dl — скачать видео или плейлист с Youtube/Instagram и других сайтов со списка.
$ youtube-dl -u LOGIN -p PASS — скачать видео с VK.com.
$ youtube-dl -a video-url.txt — скачать несколько видео с файла.
$ youtube-dl -x — скачать только аудио дорожку с видео.
$ youtube-dl -F — можно посмотреть доступные форматы с качеством, размер для конкретного видео.

20.2K views14:38

Открыть/Комментировать