Forwarded from Харків 1654 | Місто-герой 🇺🇦
Tell me about your Russian peace. Расскажи мне о своем русском мире...
Kharkiv 03.03.2022
Photo by @fomenko_ph
Kharkiv 03.03.2022
Photo by @fomenko_ph
Forwarded from Менеджмент опору
Коли я відчув, що потрібен жорсткий менеджмент власної волонтерської діяльності
Як ви неодноразово чули, раніше вважали, що існує дві найпоширеніші реакції на загрозу - битися чі бігти. Зараз виділили ще одну - завмерти. Русня розгорнула повномасштабне вторгнення 24 лютого. Коли вся країна прокинулася від вибухів, кожен приймав рішення для себе, що він буде робити далі. Приймав таке рішення і я. Але вагався не довго - варіанти «бігти» та «завмерти» були для мене про те, що я залишу тут всіх, хто важить найбільше в моєму житті. Над інтеграцією чи над створенням груп цих людей я працював останні роки, тому кинути їх було практично неможливо.
При цьому я не хочу, шоб це рішення сприймалося як героїзм чи ще щось таке. Ні, це було суто раціо: мені потрібно попіклуватися про близьких та друзів, а далі буду приймати рішення. Але перш за все - допомогти тим, кого я вважаю «своїми».
Тож рішення було прийняте за 3-5 хвилин. Далі були сбори, якась закупівля по километрових чергах, базове забезпечення. Незабаром я почав координуватися з одноклубниками та друзями. Усе було досить хаотично, бо ми зовсім не розуміли, які потреби ми наразі повинні закривати. Ми намагалися приготувати коктейлі Молотова, створити запаси їжі та води, знайти ліки… Про все це ми з Сергієм Клочко розповідали у підкасті.
Але ось пройшов перший день. І стало зрозуміло, що є одна дуже-дуже велика проблема в місті - транспорт. Загалом, я зі свого дивана вважаю, що на війні перш за все треба вирішувати 2 проблеми: зв’язок і логістику. Щось зробити зі зв’язком я був не в змозі, а от логістика - це саме те, чого не вистачало. Та й друзі та знайомі постійно телефонували й питалися, чо можу я їх швіденько кудись підкинути. Тож транспорт став вочевидь тим, у чому я міг допомогти. 25 лютого я проїздив хаотично по місту, підбираючи людей виключно по черзі. Надаючи пріорітет своїм, але по черзі. Викатав десь близько 100 літрів бензу і зрозумів, що треба робити інакше.
Тож прийшов час впорядкування діяльності. Перше, що треба робити в такій ситуації - ставити перед собою чітку ціль, яку можно виміряти. Моя ціль була не такою, але близькою до цього. Сформулював я її так - надати допомогу якомога більшій кількості людей, пріоретизуючи своїх близьких людей. Друге, що треба робити після того, як ціль сформульована - зрозуміти критерії успіху. Як я можу сказати, що досягнув візначенної цілі? Я сформулював власні критерії ось так:
⁃ я витрачаю на одну сім’ю не більше, чим півгодини;
⁃ я працюю весь час від закінчення до початку комендантського часу
⁃ тобто я допогамаю як мінімум Х*2 людей, де Х - кількість годин від закінчення до початку комендантського часу.
⁃ я надаю пріорітет запитам від близьких, від близьких близьких, та всім іншим.
Тож прийшов час відмовляти. Так, це було важко, але я почав відмовляти в допомозі, бо не міг допомогти всім. Я беззаперечно ставив у чергу близьких та їх родичів, але усі інші люди ставали в загальну чергу. Я формував чергу з сьогодні на завтра, але деяких людей я змушений був ставити в чергу на післязавтра. Так бувало, якщо в мене не залишалось часу згідно моїм нормам.
Не буду розповідати, як мене намагались сприйняти, як таксі, що буде виконувати забаганки клїєнта. Як мене намагались купити, щоб я посунув когось в черзі. Як зливали мій номер телефону в загальнодоступні джерела і на мене виливався водоспад дзвінків з незнайомих номерів. А може й буду. Але це буде далї.
Тож, підсумуємо:
⁃ стала потреба в ефективності;
⁃ сформулювали ціль;
⁃ визначили критерії успіху;
⁃ визначили кроки реалізації;
⁃ імплементуємо;
⁃ русня здохла.
Айтішники, нічого не нагадує?
Як ви неодноразово чули, раніше вважали, що існує дві найпоширеніші реакції на загрозу - битися чі бігти. Зараз виділили ще одну - завмерти. Русня розгорнула повномасштабне вторгнення 24 лютого. Коли вся країна прокинулася від вибухів, кожен приймав рішення для себе, що він буде робити далі. Приймав таке рішення і я. Але вагався не довго - варіанти «бігти» та «завмерти» були для мене про те, що я залишу тут всіх, хто важить найбільше в моєму житті. Над інтеграцією чи над створенням груп цих людей я працював останні роки, тому кинути їх було практично неможливо.
При цьому я не хочу, шоб це рішення сприймалося як героїзм чи ще щось таке. Ні, це було суто раціо: мені потрібно попіклуватися про близьких та друзів, а далі буду приймати рішення. Але перш за все - допомогти тим, кого я вважаю «своїми».
Тож рішення було прийняте за 3-5 хвилин. Далі були сбори, якась закупівля по километрових чергах, базове забезпечення. Незабаром я почав координуватися з одноклубниками та друзями. Усе було досить хаотично, бо ми зовсім не розуміли, які потреби ми наразі повинні закривати. Ми намагалися приготувати коктейлі Молотова, створити запаси їжі та води, знайти ліки… Про все це ми з Сергієм Клочко розповідали у підкасті.
Але ось пройшов перший день. І стало зрозуміло, що є одна дуже-дуже велика проблема в місті - транспорт. Загалом, я зі свого дивана вважаю, що на війні перш за все треба вирішувати 2 проблеми: зв’язок і логістику. Щось зробити зі зв’язком я був не в змозі, а от логістика - це саме те, чого не вистачало. Та й друзі та знайомі постійно телефонували й питалися, чо можу я їх швіденько кудись підкинути. Тож транспорт став вочевидь тим, у чому я міг допомогти. 25 лютого я проїздив хаотично по місту, підбираючи людей виключно по черзі. Надаючи пріорітет своїм, але по черзі. Викатав десь близько 100 літрів бензу і зрозумів, що треба робити інакше.
Тож прийшов час впорядкування діяльності. Перше, що треба робити в такій ситуації - ставити перед собою чітку ціль, яку можно виміряти. Моя ціль була не такою, але близькою до цього. Сформулював я її так - надати допомогу якомога більшій кількості людей, пріоретизуючи своїх близьких людей. Друге, що треба робити після того, як ціль сформульована - зрозуміти критерії успіху. Як я можу сказати, що досягнув візначенної цілі? Я сформулював власні критерії ось так:
⁃ я витрачаю на одну сім’ю не більше, чим півгодини;
⁃ я працюю весь час від закінчення до початку комендантського часу
⁃ тобто я допогамаю як мінімум Х*2 людей, де Х - кількість годин від закінчення до початку комендантського часу.
⁃ я надаю пріорітет запитам від близьких, від близьких близьких, та всім іншим.
Тож прийшов час відмовляти. Так, це було важко, але я почав відмовляти в допомозі, бо не міг допомогти всім. Я беззаперечно ставив у чергу близьких та їх родичів, але усі інші люди ставали в загальну чергу. Я формував чергу з сьогодні на завтра, але деяких людей я змушений був ставити в чергу на післязавтра. Так бувало, якщо в мене не залишалось часу згідно моїм нормам.
Не буду розповідати, як мене намагались сприйняти, як таксі, що буде виконувати забаганки клїєнта. Як мене намагались купити, щоб я посунув когось в черзі. Як зливали мій номер телефону в загальнодоступні джерела і на мене виливався водоспад дзвінків з незнайомих номерів. А може й буду. Але це буде далї.
Тож, підсумуємо:
⁃ стала потреба в ефективності;
⁃ сформулювали ціль;
⁃ визначили критерії успіху;
⁃ визначили кроки реалізації;
⁃ імплементуємо;
⁃ русня здохла.
Айтішники, нічого не нагадує?
Выше пост моего хорошего друга из канала, где он будет описывать работу в топовом айти в условиях войны с террористическим государством. Обещаю, будет интересно
🌐PnwedOrNot - это специализированная утилита, которая поможет вам узнать, была ли подвержена ваша электронная почта нападкам со стороны хакеров.
Инструмент действует путём поиска по базам утечек данных, в случае успеха при поиске, выдаёт все возможные вариации паролей.
🔥Установка:
Инструмент действует путём поиска по базам утечек данных, в случае успеха при поиске, выдаёт все возможные вариации паролей.
🔥Установка:
pkg update
pkg upgrade
apt install git
git clone https://github.com/thewhiteh4t/pwnedOrNot.git
pip install cfscrape
Использование:python pwnedornot.py
Далее вводим почту и ждём, пока завершится процесс. Если все пройдёт успешно, то вам будет предоставлен список паролей, которые могут быть связаны с аккаунтом.Автосохранение сторис с геометками
Линка на гитхаб. Тулка мониторит сторисы юзеров, выкачивает их и сохраняет. В комплекте - удобная вебморда, где это все можно посмотреть.
Линка на гитхаб. Тулка мониторит сторисы юзеров, выкачивает их и сохраняет. В комплекте - удобная вебморда, где это все можно посмотреть.
GitHub
GitHub - Jasawn/python-instagram-story-visualiser
Contribute to Jasawn/python-instagram-story-visualiser development by creating an account on GitHub.
🕵️ Удобный парсер слитых персональных данных. ТЫК
Ленивое оружие, известное как back-me-up, обеспечивает анализ утечек конфиденциальной информации посредством остроумных шаблонов и высококлассных регулярных выражений. Эти шаблоны аккуратно сфокусированы на рассекречивании информации, спрятанной в уголках Wayback Machine.
Ленивое оружие, известное как back-me-up, обеспечивает анализ утечек конфиденциальной информации посредством остроумных шаблонов и высококлассных регулярных выражений. Эти шаблоны аккуратно сфокусированы на рассекречивании информации, спрятанной в уголках Wayback Machine.
GitHub
GitHub - Dheerajmadhukar/back-me-up: This tool will check for Sensitive Data Leakage with some useful patterns/RegEx. The patterns…
This tool will check for Sensitive Data Leakage with some useful patterns/RegEx. The patterns are mostly targeted on waybackdata and filter everything accordingly. - Dheerajmadhukar/back-me-up
⚒RedEye — это инновационный аналитический инструмент с открытым исходным кодом, разработанный для эффективной поддержки профессиональных пентестеров и Red-хакеров в задачах визуализации данных и составления информативных отчетов о своей работе.
Отличный инструмент позволяет проводить анализ и визуализацию сложных данных, оценивать стратегии и формировать дальнейшие планы действий. Софтина умеет переваривать логи от, например, Cobalt Strike, и выводить их в человекопонятном виде.
Отличный инструмент позволяет проводить анализ и визуализацию сложных данных, оценивать стратегии и формировать дальнейшие планы действий. Софтина умеет переваривать логи от, например, Cobalt Strike, и выводить их в человекопонятном виде.
GitHub
GitHub - cisagov/RedEye: RedEye is a visual analytic tool supporting Red & Blue Team operations
RedEye is a visual analytic tool supporting Red & Blue Team operations - cisagov/RedEye
В Atlas VPN обнаружена уязвимость "нулевого дня" в клиенте для Linux, которая позволяет узнать реальный IP-адрес пользователя всего лишь при посещении любого веб-сайта.
Atlas VPN - это VPN-сервис на базе протокола WireGuard с саппортом всех существующих ОС.
Исследователь опубликовал доказательство концепции на Reddit, и описывает, что клиент Atlas VPN для Linux, в частности последняя версия 1.0.3, имеет API-энпоинт на 127.0.0.1:8076.
API предоставляет CLI для выполнения различных действий, таких как отключение VPN-сессии через URL http://127.0.0.1:8076/connection/stop.
Однако эндпоинт API не имеет аутентификации, что позволяет любому приложению отправлять команды через CLI
На Reddit пользователь с никнеймом 'Educational-Map-8145' опубликовал PoC, который демонстрирует работу уязвимости.
Этот PoC создает скрытую форму, которая автоматически отправляется с использованием JS для подключения к эндпоинту API http://127.0.0.1:8076/connection/stop. При тычке в этот эндпоинт, все активные сеансы Atlas VPN автоматически завершаются.
После отключения VPN, эксплойт подключается к URL api.ipify.org для логгирования айпишника юзера.
Инженер по кибербезопасности из Amazon, Крис Партридж, провел тестирование и подтвердил эксплойт, создав видеоролик, который демонстрирует, как можно использовать уязвимость для раскрытия IP-адреса.
Atlas VPN - это VPN-сервис на базе протокола WireGuard с саппортом всех существующих ОС.
Исследователь опубликовал доказательство концепции на Reddit, и описывает, что клиент Atlas VPN для Linux, в частности последняя версия 1.0.3, имеет API-энпоинт на 127.0.0.1:8076.
API предоставляет CLI для выполнения различных действий, таких как отключение VPN-сессии через URL http://127.0.0.1:8076/connection/stop.
Однако эндпоинт API не имеет аутентификации, что позволяет любому приложению отправлять команды через CLI
На Reddit пользователь с никнеймом 'Educational-Map-8145' опубликовал PoC, который демонстрирует работу уязвимости.
Этот PoC создает скрытую форму, которая автоматически отправляется с использованием JS для подключения к эндпоинту API http://127.0.0.1:8076/connection/stop. При тычке в этот эндпоинт, все активные сеансы Atlas VPN автоматически завершаются.
После отключения VPN, эксплойт подключается к URL api.ipify.org для логгирования айпишника юзера.
Инженер по кибербезопасности из Amazon, Крис Партридж, провел тестирование и подтвердил эксплойт, создав видеоролик, который демонстрирует, как можно использовать уязвимость для раскрытия IP-адреса.
Vimeo
Demonstration of AtlasVPN zero-day flaw
A demonstration by Chris Partridge of a new AtlasVPN zero-day that reveals users' IP addresses. More info here: https://infosec.exchange/@[email protected]/110997661587544933
Всегда горил, что моднявые хранилища паролей - полное говно, и вот тебе раз:
Утечка данных LastPass (которую они описывали как несущественную) привела к суммарной потере >$35 миллионов в крипте.
Храните чувствительные данные в собственных хранилищах и в зашифрованном виде. Проблем не будет.
Утечка данных LastPass (которую они описывали как несущественную) привела к суммарной потере >$35 миллионов в крипте.
Храните чувствительные данные в собственных хранилищах и в зашифрованном виде. Проблем не будет.
The Verge
LastPass security breach linked to $35 million stolen in crypto heists
Researchers found that almost every victim was a LastPass user.
Правительство Китая запретило чиновникам центральных правительственных учреждений приносить в офисы телефоны иностранных марок, в том числе iPhone, или использовать их для работы в правительстве, сообщает The Wall Street Journal. Ссылаясь на неназванные источники, в статье говорится, что Китай стремится «сократить зависимость страны от иностранных технологий» и усилить кибербезопасность, а также предотвратить утечку конфиденциальных данных иностранным правительствам.
Хотя этот шаг в целом нацелен на смартфоны иностранного производства, Apple выделяется среди других, поскольку Китай остается одним из крупнейших рынков для компании. Страна также продолжает оставаться важной частью своей цепочки поставок, даже несмотря на то, что она переносит производство в такие страны, как Индия. Поскольку Китай является такой большой частью прибыли, Apple в прошлом вносила изменения в свое программное обеспечение iOS, чтобы успокоить страну, например, ограничивая временное окно AirDrop до 10 минут или удаляя смайлики с тайваньским флагом.
Хотя этот шаг в целом нацелен на смартфоны иностранного производства, Apple выделяется среди других, поскольку Китай остается одним из крупнейших рынков для компании. Страна также продолжает оставаться важной частью своей цепочки поставок, даже несмотря на то, что она переносит производство в такие страны, как Индия. Поскольку Китай является такой большой частью прибыли, Apple в прошлом вносила изменения в свое программное обеспечение iOS, чтобы успокоить страну, например, ограничивая временное окно AirDrop до 10 минут или удаляя смайлики с тайваньским флагом.
Реально пугающая нейронка Pimeyes — достаточно одной фотки человека, чтобы найти ее лицо во всех возможных кешах.
Концепт настолько сумасшедший, что может найти вашу морду в стикерах Telegram.
Концепт настолько сумасшедший, что может найти вашу морду в стикерах Telegram.
Pimeyes
PimEyes: Face Recognition Search Engine and Reverse Image Search |
PimEyes is an advanced face recognition search engine, a reverse image search tool, and a photo search mechanism used to find which websites publish your photos online.
Forwarded from opennet news (HK-47)
Атака GPU.zip, позволяющая воссоздать данные, отрисовываемые GPU
Группа исследователей из нескольких университетов США разработала новую технику атаки по сторонним каналам, позволяющую воссоздать визуальную информацию, обрабатываемую в GPU. При помощи предложенного метода, который получил название GPU.zip, атакующий может определить выводимую на экран информацию. Среди прочего атака может быть проведена через web-браузер, например, продемонстрировано, как открытая в Chrome вредоносная web-страница может получить информацию о пикселях, выводимых при отрисовке другой web-страницы, открытой в том же браузере.
Группа исследователей из нескольких университетов США разработала новую технику атаки по сторонним каналам, позволяющую воссоздать визуальную информацию, обрабатываемую в GPU. При помощи предложенного метода, который получил название GPU.zip, атакующий может определить выводимую на экран информацию. Среди прочего атака может быть проведена через web-браузер, например, продемонстрировано, как открытая в Chrome вредоносная web-страница может получить информацию о пикселях, выводимых при отрисовке другой web-страницы, открытой в том же браузере.
Forwarded from Записки админа
This media is not supported in your browser
VIEW IN TELEGRAM
🗜 Попался на глаза занятный инструмент для обмена файлами - утилита croc. Просто указываем какой файл хотим отправить, передаём получателю специальный код и он, используя этот код, загружает файл себе.
- Github: https://github.com/schollz/croc
- Подробности: https://schollz.com/tinker/croc6/
- Интервью с автором: https://console.substack.com/p/console-91
#croc #будничное #filetransfer
- Github: https://github.com/schollz/croc
- Подробности: https://schollz.com/tinker/croc6/
- Интервью с автором: https://console.substack.com/p/console-91
#croc #будничное #filetransfer
Кто понял, тот понял
https://github.com/ErikWynter/CVE-2023-22515-Scan
https://github.com/ErikWynter/CVE-2023-22515-Scan
GitHub
GitHub - ErikWynter/CVE-2023-22515-Scan: Scanner for CVE-2023-22515 - Broken Access Control Vulnerability in Atlassian Confluence
Scanner for CVE-2023-22515 - Broken Access Control Vulnerability in Atlassian Confluence - ErikWynter/CVE-2023-22515-Scan
🥔 Coerced Potato
Новая тулка для повышения привелегий на виндовсных машинах. Плюс-минус работает на свежих версиях винды
⚙️ Тулка:
https://github.com/hackvens/CoercedPotato
📝 Документация:
https://blog.hackvens.fr/articles/CoercedPotato.html
Новая тулка для повышения привелегий на виндовсных машинах. Плюс-минус работает на свежих версиях винды
⚙️ Тулка:
https://github.com/hackvens/CoercedPotato
📝 Документация:
https://blog.hackvens.fr/articles/CoercedPotato.html
GitHub
GitHub - hackvens/CoercedPotato
Contribute to hackvens/CoercedPotato development by creating an account on GitHub.
Пришло время формализировать все наработки, хотя бы базовые. Начинаем цикл статей #ИБотАдоЯ. Просто чтоб было для потомков
https://telegra.ph/IB-ot-Script-kiddie-do-CEH-chast-1-10-22
https://telegra.ph/IB-ot-Script-kiddie-do-CEH-chast-1-10-22
Telegraph
ИБ от Script kiddie до CEH (часть 1)
Основы Penetration Testing: Техническое Введение, что это и с чем его едят.
Если вы знакомы с инструментами команды ProjectDiscovery, возможно, слышали о фреймворке Katana. Если нет, давайте вас ознакомим.
⚒ Katana - это удобный инструмент для краулинга, парсинга и поиска информации, аналогичный режиму Spider в Burp Suite, но CLI
1️⃣ Сканирование веб-сайтов:
- Стандартный режим:
- Показывать только пути:
- Вывод в файл:
- Конкурентность и параллелизм:
- Обход определенной строки URL:
- Глубина сканирования:
⚒ Katana - это удобный инструмент для краулинга, парсинга и поиска информации, аналогичный режиму Spider в Burp Suite, но CLI
1️⃣ Сканирование веб-сайтов:
- Стандартный режим:
$ katana -u http://example1.com
- Режим без отображения интерфейса: $ katana -u http://example2.com -hl
- Краулинг JavaScript-файлов: $ katana -list url_list.txt -jc
2️⃣ Фильтрация результатов:- Показывать только пути:
$ katana -u http://example3.com -fields path
- Показывать только файлы: $ katana -u http://example4.com -fields file
- Сопоставление расширений файлов: $ katana -u http://example5.com -em php,js,txt
- Фильтрация выходных данных по расширениям: $ katana -u http://example6.com -ef png,gif,woff
3️⃣ Сохранение результатов:- Вывод в файл:
$ katana -u http://example7.com -o out
- Вывод в JSON: $ katana -u http://example8.com -j -o out.json
- Тихий режим: $ katana -u http://example9.com -silent
4️⃣ Настройка параметров:- Конкурентность и параллелизм:
$ katana -u http://example10.com -d 10 -c 5
- Задержка: $ katana -list targets.txt -p 5 -delay 12
- Ограничение скорости: $ katana -u http://example11.com -rl 20
5️⃣ Дополнительные опции:- Обход определенной строки URL:
$ katana -u http://example12.com -cs images
- Исключение указанной строки URL: $ katana -u http://example13.com -cos admin
- Сканирование всего домена: $ katana -u http://example14.com -fs fqdn
6️⃣ Полезные настройки:- Глубина сканирования:
$ katana -u http://example15.com -depth 10
- Таймаут: $ katana -u http://example16.com -timeout 20
- Использование прокси: $ katana -u http://example17.com -proxy http://127.0.0.1:8080
GitHub
GitHub - projectdiscovery/katana: A next-generation crawling and spidering framework.
A next-generation crawling and spidering framework. - projectdiscovery/katana