Мыслить как безопасник

🔵 Pastebin and Its Incidental OSINT 🔵 Pastebin, often referred to as the "clipboard of the web," has become a crucial platform for sharing plaintext documents, source codes, logs, and various data snippets online. Pastebin has a unique position within the OSINT (Open Source Intelligence) community. It is frequently mentioned in OSINT guides and materials but often without detailed explanation. This article aims to enlighten readers about Pastebin, its background, how to use it for OSINT, how to use it as it was originally intended, and some other fun asp of the tool. ⏱️ Время прочтения: 5 мин ➡️ Читать: https://www.secjuice.com/pastebin-incidental-osint/ Довольно любопытная попытка систематизировать мысли о том, как Pastebian может пригодиться в OSINT. #asc_статья #asc_osint #asc_hack_and_security 📱 Канал | 🌐 ВК | 🔷 Сайт

🔻 Интервью про физические пентесты Очень интересный материал от практика с рассмотрением довольно большого количества кейсов и инструментов. У спикера даже книжка есть по теме (сам не читал, рекомендовать не могу). 📹 Часть 1 📹 Часть 2 Немножко подушню. По моим наблюдениям, физ.пентест не всегда проходит так, как должен и не с самой большой эффективностью по нескольким причинам (хотя, это дико важный процесс). 1️⃣ Не всегда ясно, кто должен являться заказчиком. По идее - это ИБ, но если подумать, то это скорее СФБ (служба физ.безопасности). Оба заказчика часто не очень хотят, чтобы у внешников получилось реализовать какой-то из сценариев, потому что камни после такого могут полететь в их огород, мол, сами не доработали. PS: на мой взгляд, это полнейшая чушь, но такой феномен есть и от него никуда не деться. Внутри корпоративные войнушки никто не отменял 🤷🏻‍♂️ 2️⃣ Часто у пентестера есть куча ограничений в действиях по разным причинам: законы, внутренние распорядки организации, нежелание останавливать какие-то бизнес-процессы, личные хотелки заказчика, причина выше и многое другое. Да, есть большая разница в исходных условиях именно у Red Team или у кого-то другого, но все же. 3️⃣ Как по мне, эффективнее всего физ.пентест работает в двух случаях: заказчик очень зрелый и точно понимает, зачем ему это нужно или компания очень маленькая и у нее нет "болезней" крупняка. На правильность не претендую, всего лишь личное мнение. #asc_hack_and_security #asc_видео 📱 Канал | 🌐 ВК | 🔷 Сайт

Колонка Анны Кулик для РБК

До тех пор, пока машины окончательно не заменят людей, главным уязвимым местом любой системы безопасности будет оставаться человек. Именно он придумывает самые технически совершенные средства защиты и хитроумные способы их обхода. Именно он пишет пароли на стикерах, которые попадают на фото с хештегом #ялюблюсвоюработу. Такие риски принято считать непрогнозируемыми, именовать их «человеческим фактором» и относиться к ним, как к «черному лебедю» Нассима Талеба. Но за последние 200 лет ученые заметно продвинулись в понимании поведения человека. И сегодня есть широкий набор методов, позволяющих заранее понять, чего ожидать от будущего сотрудника и как он будет себя вести в различных ситуациях. Один из них — профайлинг.

Прочитать статью о том, как профайлеры помогают защитить бизнес ➡️ https://pro.rbc.ru/demo/667954bd9a794779ca9dd4d6 #мывсми

🎬 Плейлист волонтёра (сериал 2023) 16+ Жанр: драма Описание: Штапич рано обзавелся семьей и также стремительно её лишился, успел поставить крест на карьере и уже в 25 лет остался не у дел. Оказавшись в поисково-спасательном отряде, он получает возможность реализовать себя в новой профессиональной среде и приобрести не просто друзей, а единомышленников, ― людей, по-настоящему горящих своим делом. Очень быстро Штапич превращается в звезду отряда, но успех на профессиональном поприще не приносит желаемого счастья. Он продолжает метаться между бывшей женой, неинтересными ему, но готовыми на все боевыми подругами и девушкой по прозвищу Кукла, к которой у Штапича возникают чувства. https://www.kinopoisk.ru/series/5089333/ Забыл рассказать вам про него на старте, поэтому исправляюсь сейчас. Хороший сериал о буднях "Лизы Алерт" и им подобным. Интересный факт, что изначально была одноименная книга Мршавко Штапича от 2020 года. Через три года уже сняли сериал. И книга, и сериал - это так называемый жанр "true-story", иными словами, просто пересказ реальных событий с минимальным вымыслом. #asc_кино 📱 Канал | 🌐 ВК | 🔷 Сайт

🌐 Давно не меняли пароль? Сейчас самое время! Вчера случилось кое что очень важное, но не удивительное. 💬 "Крупнейшая подборка паролей, содержащая почти десять миллиардов уникальных паролей, была опубликована на популярном хакерском форуме. Исследовательская группа Cybernews считает, что утечка представляет серьезную опасность для пользователей, склонных к повторному использованию паролей." ➡️ Источник: https://cybernews.com/security/rockyou2024-largest-password-compilation-leak/ Есть несколько мыслей на этот счет: 1️⃣ Вот прямо сейчас идите и поменяйте пароли хотя бы на чувствительных аккаунтах. Причем, нужно придумать что-то совершенно новое, НЕ использовать старых паттернов, потому что так "удобно". 2️⃣ Сейчас точно начнется новый виток брутфорса, о котором мы все более-менее забыли в последние годы. Есть большая вероятность, что количество взломов сильно возрастет (по крайней мере, на какое-то время). Злоумышленники будут брать для брутфорса сразу пароли из утечки и пробовать подставлять их во все сервисы. В случае неудачи, они будут подставлять куски из утечки, а остальное перебирать. Скорость перебора сильно возрастет, так как подавляющее большинство людей только слегка видоизменяет свой основной пароль от сервиса к сервису (та самая паттерность), а не меняет его полностью. 3️⃣ Упрощение идентификации пользователей. В целом, и до этой утечки было направление "поиска по паролю". Теперь просто станет еще легче, потому что к паролю есть какой-то привязанный идентификатор (почта, как правило). #asc_обзор_новостей #asc_hack_and_security 📱 Канал | 🌐 ВК | 🔷 Сайт

Недавно попался очень крутой и наглядный майндмеп по работе с почтой от Social Links. Наверняка, все эти поисковые вектора вам известны, но круто, когда все собрано в одном месте. Пользуйтесь 😎 #asc_osint #asc_советы 📱 Канал | 🌐 ВК | 🔷 Сайт

📞 Риски включенной переадресации звонков Для тех, кто не знает или забыл - это абсолютно легальная возможность вписать за деньги номер телефона, на который будет перенаправлен вызов, если не смогут дозвониться до вашего основного номера. В чем тут риски? Ну, в основном, они репутационные. Рекомендую прочитать очень показательный кейс ниже на этот счет (хотя он и старый). Если коротко, мужик взял кредит, поставил номер своего бывшего руковода на переадресацию и ему начали звонить коллекторы. На месте этого руковода могла быть вторая половинка, с которой вы плохо разошлись или любой другой сценарий. 📰 Читать: https://vc.ru/claim/109819-moi-byvshii-sotrudnik-vzyal-kredity-i-postavil-pereadresaciyu-so-svoego-nomera-na-moi-teper-mne-zvonyat-kollektory Помимо «репутации» не стоит забывать про то, что вы когда-то очень давно могли оформить переадресацию сами на какой-то свой доверенный номер, и просто об этом забыть, а сейчас этот номер уже может быть давно не вашим (симку перевыпустили на другого человека). Что вообще с таким можно сделать? *#21# - показывает, включена ли у вас в принципе переадресация звонков и смс. *#62# - показывает, куда с вашего номера отправляются входящие вызовы и смс (конкретный номер/номера). ##002# - отключает какую-либо переадресацию (если не сработает, то можно пойти в личный кабинет вашего оператора и искать отключение этой "прекрасной" фичи там). #asc_hack_and_security #asc_советы 📱 Канал | 🌐 ВК | 🔷 Сайт

📚 Итак, вас публично опозорили. Как незнакомцы из социальных сетей превращаются в палачей - Джон Ронсон (2021) Язык: RU 🇷🇺 Описание: Несколько лет Джон Ронсон изучал феномен "публичного шейминга", встречаясь с его жертвами, оскандалившимися по-крупному. Всего одно прегрешение — и волна народной ярости накатывала подобно мощному цунами, снося все на своем пути. Что это: новый вид правосудия или превышение полномочий? "Итак, вас публично опозорили" — это исследование Ронсона, одновременно обескураживающее и невероятно смешное, о том, как люди под прикрытием восстановления справедливости порой буквально разрушают жизни других людей. Довольно любопытная попытка проанализировать базовые механизмы массовой агрессии. Хоть книга и для широкого круга читателей, некоторые кейсы отсюда могут быть полезны для PR в связке с безопасниками, в случаях отрабоки публичных инцидентов, типо утечек. #asc_книги 📱 Канал | 🌐 ВК | 🔷 Сайт

📍 На Google-картах обнаружили секретный американский военный подводный дрон 💬 "Прототип сверхсекретного оружия подводной лодки США под названием «Манта Рэй» был замечен зоркими пользователями Google Maps и остается хорошо видимым для интернет-публики. Спутниковые фотографии, показывающие корабль, похожий на «Звездные войны», пришвартованный на военно-морской базе Порт-Уэнеме в Калифорнии, стали вирусными в воскресенье, его безошибочный профиль резко контрастировал с его соседями по доку." ➡️ Источник: https://nypost.com/2024/06/24/us-news/top-secret-us-aquatic-drone-weapon-manta-ray-spotted-on-google-maps/ Вот вам и весь GEOINT 😁 #asc_обзор_новостей #asc_osint 📱 Канал | 🌐 ВК | 🔷 Сайт