☀️Ищем геолокацию по теням

В данном видео, автор рассказывает о том, как определять точную геолокацию фото, используя тени и такие инструменты как SunCalc, видео может быть полезным, так как новички часто испытывают неуверенность, когда работают с тенями.

Смотреть

🌎 Кросс-доменные запросы (CORS): защита от кражи данных в сети

Современные реалии таковы, что веб-ресурсам необходимо взаимодействовать между собой и обмениваться информацией. Но как при этом не нарушать политику безопасности браузера? Именно для этого используются кросс-доменные запросы (CORS).

➡️ В новой статье на сайте рассказали, как работает CORS и как этот механизм позволяет защититься от кражи данных.

Опубликовали первый в мире индекс киберпреступности (WCI)

Недавно было проведено исследование нацеленное на изучение географии киберпреступности, оно было организовано вокруг пяти основных видов киберпреступности: технические услуги и продукты, атаки и вымогательство, кража данных и личности, мошенничество, отмывание денежных средств. Исследование проводилось посредством создания анонимного онлайн-опроса, в котором участвовали ведущие мировые эксперты по киберпреступности.

Вот первая пять самых киберпреступных стран:

1️⃣Российская Федерация
WCI — 58.39/100
👑Технические продукты/услуги, атаки и вымогательства.

2️⃣Украина
WCI — 36.44/100
👑Технические продукты/услуги, атаки и вымогательства.

3️⃣Китай
WCI — 34.22/100
👑Распространены все 5 категорий.

4️⃣США
WCI — 32.15/100
👑Распространены все 5 категорий.

5️⃣Нигерия
WCI — 27.36/100
👑Мошенничество, кража данных и личности.

😈 OSINT: подборка дэшбордов по мониторингу киберугроз

Наблюдение за тем, какие изменения происходят на планете в масштабах стран и континентов — настоящий источник вдохновения для OSINT-аналитиков, так что если тебе не чужды контурные карты глобальных стратегий или может, ты восхищался(ась) глобусом в центре управления X-COM, то эта подборка тебе понравится.

1. ShadowServer — собирает информацию о разнообразных угрозах, таких как DDoS-атаки, ботнеты, сканирование портов и выявление CVE-уязвимостей. На картах и диаграммах представлена ежедневно обновляемая статистика.
2. Live Threat Map — здесь можно посмотреть сводную статистику по кибератакам за последний час, сутки или месяц, а также выделить наиболее атакуемые страны, топ векторов атак и самые сканируемые порты.
3. exposure.shodan — АСУ ТП, открытые порты, торчащие наружу базы с разбивкой по регионам. Все, как мы любим 🎧
4. ddos-attack-map — Live-карта DDoS-атак с временной шкалой, фильтрами по странам и отраслям, а также указанием силы атак.
5. Cyber Attack Map — топ нанесенных на карту серверов-распространителей спама и вредоносного ПО.

🔤 Выложу ещё пару OSINT- подборок по интернет-инфраструктуре, протоколам, сервисам и отслеживанию различных видов транспорта, если увижу важу заинтересованность под постом.

#OSINT #Dashboard

КАК ВЗЛОМАТЬ КОМПАНИЮ? // ПРОЕКТ ПО ФИЗИЧЕСКОЙ КИБЕРАТАКЕ

Есть у меня хороший знакомый, Егор Зайцев @r00t_owl. Статный мужчина, так ещё и Директор департамента противодействия киберугрозам в «Информзащите». До знакомства с ним у меня было спорное отношение к Информзащите. Но узнав, что у них есть настолько крутой отдел red team'а и противодействия киберугрозам. Впервые мы с ним познакомились на Awillix Pentest Award, который кстати пройдет в этом году тоже и будет расширен.

Одну из историй, которую он рассказывал на своём канале, про то, как они с bodycam проводили red team и заказчик в записи потом смотрел фильм, про то как их же ломали. Там куча историй, как они проникали на казалось бы защищенный объекты, похекали АСУТП и т.д. Тот самый романтизм ИБ, только в профессиональном измерении) Максимально рекомендую зайти почитать и заодно подписаться 🐈

Так в итоге, мы шутили про фильм, шутили и вот дошутились))
Ребята буквально сняли нарезку того, как у них проходит реальный проект

📹 https://www.youtube.com/watch?v=1N5WyC1qwtI 📹

➡️ Подписывайтесь! @pro_pentest

🌚 @poxek

🦟Получаем транскрипцию текста из аудио

TurboScribe это инструмент для транскрипции звонков, записей, лекций, обсуждений и др. он работает с помощью Whisper от OpenAI, который конечно же использует искусственный интеллект для точной транскрипции аудио.

Сервис обладает тремя режимами, Cheetah, Dolphin и Whale, первый самый ускоренный, но менее точный, второй работает сбалансировано и третий самый точный, но медленный режим. Меня лично этот инструмент выручал не раз, он так же позволяет выполнить транскрипцию 3 раза бесплатно за день, что очень удобно.

📝Список ИИ-инструментов для OSINT

CScorza это итальянская фирма, которая занимается исследованиями в сфере разведки на основе открытых источников. Они составили достаточно хороший список инструментов которые работают с помощью ИИ и могли быть крайне полезны в области интернет-расследований.

Среди них, обычные чат боты, поисковые системы с ИИ-функциями, инструменты для анализа активности таких соц сетей, как Twitter, или инструменты для составления, или анализа резюме. Вообщем разные инструменты, которые впрямую, или косвенно могут быть полезными при проведении расследования.

🐞Карта знаний по закону защиты данных (GDPR)

General Data Protection Law (GDPR) это закон который нацелен на защиту персональных данных в странах Европейского союза, в карте знаний описаны общие принципы работы этого закона.

drawDB - программа для проектирования баз данных и генерации SQL-запросов, для работы с которой не требуется специальных знаний.

▫️https://github.com/drawdb-io/drawdb
▫️https://drawdb.vercel.app/

🇷🇺 интернет-розыск.рф
📲 @irozysk 📲 @irozysk
📲 @ibederov 📲 @ibederov

💬 связаться с нами
☕️ поддержать канал

👣Процесс сетевого футпринтинга

Статья достаточно понятно описывает процесс сетевого футпринтинга, это кстати говоря, процесс сбора информации о цели, чтобы узнать максимум данных о структуре сети, IP-адресах и других ключевых аспектах сети до начала активных действий.

Достаточно хорошо рассказано о трассировке, TCP, UDP и ее анализе, говорится о разных инструментах которые можно использовать при проведении сетевого футпринтинга. Вообще статья хорошая, включает в себя разные диаграммы, подробные описания всех процессов.

Читать

🥧Работаем с архивной версией веб-сайта

Существует инструмент, который упрощает исследование архивных версий страниц веб-сайта. Он выгружает все доступные сохранения из Wayback Machine, после выгрузки, вы во первых самостоятельно можете их рассматривать, а во вторых, вы сможете проводить поиск по ключевым словам, это одна из функций этой утилиты.

Сам инструмент называется wayback keyword search и он доступен на GitHub. На данный момент пользователи жалуются на то что он работает медленно, тем не менее, будем надеется на то что эту ошибку скоро починят.

😈 STEIN: ИБ, OSINT — авторский канал от известного OSINT-расследователя. В нём множество обучающих материалов по кибер-разведке и профайлингу с массой полезных инструментов:

· OSINT-разведка: идентификация пользователя по заданной местности
· GEOINT: поиск местоположения по фото
· OSINT: Нахождение секретной техники ВВС США по фото
· OSINT: Применение разведки в военных целях

📨 Подписывайся и осваивай искусство поиска, оно откроет перед тобой массу возможностей!

🗣 Дмитрий Стуров, Ренессанс Банк: Будущее систем информационной безопасности – за поведенческим анализом

Дмитрий Стуров, Начальник управления информационной безопасности в «Ренессанс Банке», рассказал порталу Cyber Media об особенностях систем управления доступом, балансе между правами сотрудников в инфраструктуре и информационной безопасностью, а также о развитии систем управления доступом в организациях.

🫂Telegram "Люди Рядом" выходит на новый уровень

Инструмент CCTV (Close-Circuit Telegram Vision) о котором активно пишут каналы, действительно упрощает работу с функцией люди рядом, которая показывает ближайших к вашей локации пользователей Telegram. Естественно, функция включена далеко не у всех, тем не менее, есть много людей которые активировали ее, возможно случайно.

Как только вы установите инструмент, вы сможете ввести координаты и осуществить поиск. После этого, вам будет доступна карта, со всеми пользователями в радиусе 500 метров от указанной вами локации, это достаточно внушительный радиус. Ранее существовали похожие инструменты, но радиус был гораздо меньше. По информации 404 Media, создатель инструмента, Иван Глинкин, бывший сотрудник СК России и выпускник университета Минобороны РФ.

📖 OSINT: инструменты анализа теней для геолокации по фото/видео

OSINT-расследователи массового стали определять место и время, где сделаны фото и видео по расположению теней от объектов, попавших в кадр. На одной логике без багажа утилит тут не уедешь, порой придётся рассчитывать высоту объектов, высчитывать тень и пр.

— В подобных видах расследований(раз, два) важна каждая деталь, поэтому чтобы поиски были более результативными, необходимо обзавестись пулом разного рода утилит, таких как:

1. SunCalc — самая известная тулса для анализа теней, позволяет определить местоположение и время съемки, что помогает исследователям установить точное время и место происшествия на основе анализа теней и положения солнца в кадре.
2. ShadeMap — дашборд с интерактивной визуализацией теней от гор, зданий и даже отдельных деревьев, использующая карты OpenStreetMap.
3. Shadowmap — интерактивная карта теней с трехмерным отображением зданий. Есть возможность использовать данные со спутниковых снимков и другие платные функции.
4. F4map Demo — еще одна карта теней с 3D-режимом.
5. 3D Sun-Path — специализированное веб-приложение, демонстрирующее положение солнца и его лучей по отношению к географическим объектам в течение года.

🪫 Если тема теней вам по нраву, разберём его возможности на конкретных примерах, от вас жду реакций, а с меня пока хватит - я offline 😎

#OSINT #Shadow | 😈 @secur_researcher

✋️Присоединяйтесь в нашу группу

Многие не знают о том, что у нашего канала есть своя группа, в которой состоят лидирующие эксперты русскоговорящего osint-сообщества. Вы всегда можете перейти в группу и задать вопрос на тему компьютерной криминалистики, или разведки на основе открытых источников. Мы всегда рады новым участникам.

Ссылка

Ежегодная независимая премия для пентестеров — Pentest award возвращается!

Раз в году у этичных хакеров появляется шанс громко заявить о своих достижениях, показать свой вклад в развитие российского рынка ИБ и обменяться лучшими историями из практики на церемонии награждения Pentest award.

В этот раз вас ждут 6 номинаций, по три призовых места в каждой:

— Пробив WEB 🆕
— Пробив инфраструктуры 🆕
— Девайс 🆕
— Hack the logic
— Раз bypass, два bypass
— Ловись рыбка

Главный приз — тяжеленная стеклянная именная статуэтка за первое место. Не менее главные призы: макбуки, айфоны, смарт-часы, умные колонки, а также бесценные подарки от партнеров проекта BI.ZONE Bug Bounty и VK Bug Bounty.

Сбор заявок уже открыт на сайте — https://award.awillix.ru/
Давайте покажем, на что способны этичные хакеры!
#pentestaward