Привет ХАБР. Тема, которой посвящена эта статья с одной стороны важна, ведь в кибер-пространстве «неспокойно». Каждый день приходят новости, что ту или иную компанию взломали хакеры, получили дампы или зашифровали данные. Защищаться от кибер-угроз, выстраивая целую инфраструктуру из всевозможных средств защиты хорошо и нужно, но никогда не стоит забывать о разведке. В кибер-пространстве как в армии. Хорошо, когда на границах вырыты окопы, дежурит артиллерия и ПВО, но без разведки не понятно куда и чем противник будет атаковать. В цифровом мире базовая военная стратегия в целом не отличается. Разведка важна и нужна, чтобы быть готовыми и собирать данные, которые собирают злоумышленники о вас и вашей инфраструктуре. В этой статье разберем вопрос о том как создавалось направление кибер-разведки(OSINT open-source intelligence ) в компании.

С чего зародилась идея создания направления OSINT?

В наше время стал мейнстримом тренд на защиту персональных данных и всякой конфиденциалки в компании. Запрос на поиск источников утечек и их закрытия очевиден. Самое сложное расставить приоритеты или ответить на вопрос: "Что будем собственно искать?" Если открыть внутренние документы любой компании, то сведений, составляющих какую-либо из тайн (персональные, конфиденциальные, коммерческие) большое количество. Важно выбрать те, которые являются самыми важными для контроля и утечки которых реально можем находить и устранять.

Путем расстановки приоритетов и реальных возможностей мы выделили основные направления для OSINT:

Читать далее

https://habr.com/ru/post/706656/?utm_source=habrahabr&utm_medium=rss&utm_campaign=706656

Все таргетированные хакерские атаки начинаются с разведки. Социальные инженеры, красные команды и отдельные пентестеры также собирают информацию о своих целях перед тем, как перейти к активным действиям. Им помогают десятки инструментов и хаков. Под катом ссылки на некоторые из них.

Пост состоит из 8 объемных разделов:

1. метапоисковики и поисковые комбайны;

2. инструменты для работы с дорками;

3. поиск по электронной почте и логинам;

4. поиск по номерам телефонов;

5. поиск в сети TOR;

6. поиск по интернету вещей, IP, доменам и поддоменам;

7. поиск данных об уязвимостях и индикаторов компрометации;

8. поиск по исходному коду.

В этом списке собраны инструменты, которые члены нашей команды используют в работе. И все же, эта подборка пригодится не только пентестерам, но и разработчикам, журналистам, HR, маркетологам и всем, кто много ищет в интернете. Знания — это сила. Используйте их во благо.

Читать далее

https://habr.com/ru/post/688972/?utm_source=habrahabr&utm_medium=rss&utm_campaign=688972

Итак, вы уже получили всю необходимую информацию в результате разведки — о том, как это сделать мы говорили в первой части статьи. Помните, на чем мы остановились? Мы предупреждали, что выполнять любые работы по физическому проникновению можно только при подписанном договоре с заказчиком и непосредственно по поручению работодателя!

Теперь самое время сформировать план реализации сценариев проникновения. Важно отметить, что в план обязательно должна входить заключительная фаза — отход после достижения цели.

В этом разделе также стоит сказать пару слов про сами инструменты: физический пентест — это не всегда локпикинг.

Читать далее

https://habr.com/ru/post/668846/?utm_source=habrahabr&utm_medium=rss&utm_campaign=668846

"Анонимность — это как укрыться мягким одеялом", — говорил один из героев боевика “Mission: Impossible”. Но что делать, если спасительного одеяла не окажется под рукой в нужную минуту или оно начнет предательски просвечивать? Однажды сотруднику Group-IB надо было проникнуть на производство фармацевтической компании. Вначале все шло гладко: пентестер представился специалистом фирмы, обслуживающей системы видеонаблюдения, в его легенду поверили, выписали пропуск и пропустили на объект.

Однако сразу на проходной его взяли на прицел два сотрудника IT-департамента, которые внимательно следили за каждым шагом гостя. Разумеется, они не были в курсе проводимого пентеста, а аудитор никак не мог раскрыть им детали операции. Эксперту пришлось включить невозмутимый покерфейс и заболтать своих охранников, чтобы незаметно раскидать на территории объекта “зараженные” флешки. Любопытные сотрудники фармкомпании начали вставлять USB-накопители в свои рабочие ПК, еще когда эксперт Group-IB был на производстве, и увлеченно делали это весь день — в том числе после работы на личных ноутах (упс!)

Кажется, что всё пошло не по плану? И да, и нет. С “физикой” всегда так: планов значительно больше одного, но на месте исполнителю обязательно придется импровизировать, подстраиваясь под ситуацию.

Читать далее

https://habr.com/ru/post/668036/?utm_source=habrahabr&utm_medium=rss&utm_campaign=668036

Мы с командой постоянно используем в работе фиды с данными о киберугрозах. И мы не понаслышке знаем о таких проблемах, как недостаточное количество информации или ее дублирование в разных источниках, а также слишком большое число ложных срабатываний. Чтобы облегчить себе жизнь, мы решили подумать, как оценивать источники и выбирать из них наиболее качественные.

В статье я расскажу об OSINT-фидах, которые мы сравнивали с нашими и партнерскими данными. Всего на поиск и анализ источников, написание скриптов для загрузки данных, создание методики, тестирование данных, оценку по методике ушло около двух-трех месяцев. В результате исследования нам удалось найти несколько фишек, которые делают поиск данных более приятной процедурой. Табличку с критериями для оценки качества и наши выводы ищите в конце.

Читать дальше →

https://habr.com/ru/post/572128/?utm_source=habrahabr&utm_medium=rss&utm_campaign=572128

Вступление

TikTok — одно из самых популярных приложений для просмотра мобильного видео. В нём зарегистрировано 800 миллионов пользователей. Пользователи создают контент с помощью фильтров, музыки, эффектов. Видео создаются странные, но захватывающие внимание.



Для столь обширной и популярной платформы развлечения есть очень большой пласт минусов, которые постепенно становятся явными для СМИ. Незащищенный HTTP трафик и спуфинг СМС ссылок — это конкретные примеры уязвимости, которые были обнаружены в приложении за последние 3 месяца. Несмотря на это, люди продолжают публиковать видео. Показывают, в какие школы они ходят, видео внутри и за пределами своих домов и даже раздают телефонные номера и другую личную информацию. Именно с этой темы стоит и начать нашу статью.
Читать дальше →

https://habr.com/ru/post/502966/?utm_source=habrahabr&utm_medium=rss&utm_campaign=502966

Чтобы спасти людей, нужна скорость. И открытые источники данных как раз позволяют эту скорость получить. OSINT дает возможность следить за новыми данными в режиме реального времени и узнавать об эпидемиях на 1-2 недели раньше официальных объявлений. А в случае, когда каждый день может уносить тысячи жизней, это время критически важно.



В свою очередь традиционный вариант мониторинга эпидемий является более длительным и дорогостоящим, хотя одновременно и более точным. Заразившемуся нужно понять, что с ним что-то не так, прийти в больницу, сдать анализы. Врачи должны поставить диагноз, а после выявления какого-то опасного заболевания отправить данные в здравоохранительные органы для принятия мер.
Читать дальше →

https://habr.com/ru/post/503220/?utm_source=habrahabr&utm_medium=rss&utm_campaign=503220

Чтобы спасти людей, нужна скорость. И открытые данные как раз позволяют эту скорость получить. OSINT дает возможность следить за новыми данными в режиме реального времени и узнавать об эпидемиях на 1-2 недели раньше официальных объявлений. А в случае, когда каждый день может уносить тысячи жизней, это время критически важно.



В свою очередь традиционный вариант мониторинга эпидемий является более длительным и дорогостоящим, хотя одновременно и более точным. Заразившемуся нужно понять, что с ним что-то не так; прийти в больницу; сдать анализы; врачи должны поставить диагноз; а после выявления какого-то опасного заболевания, отправить данные в здравоохранительные органы для принятия мер.
Читать дальше →

https://habr.com/ru/post/501950/?utm_source=habrahabr&utm_medium=rss&utm_campaign=501950

Twitter — достаточно старый, но при этом все еще популярный у широкой аудитории сервис микроблогов, которым активно пользуются как рядовые пользователи, так и публичные личности. Лучший пример — официальные Twitter-аккаунты политиков, писателей, музыкантов, актеров. Конечно, зачастую такие учетные записи ведутся «специально обученными людьми», но если речь идет об OSINT в производственной сфере, то наблюдение за аккаунтами рядовых инженеров или менеджеров может дать великолепные результаты.



Немаловажно и то, что для эффективной работы с массивом данных из Twitter не обязательно обрабатывать каждый твит вручную, либо же бросаться в другую крайность — подключаться к API и самому писать софт. Хотя стандартный интерфейс сервиса не дает нам почти ничего в плане поисковых инструментов или инструментов фильтрации, при этом Twitter поддерживает огромное множество поисковых запросов и правил, о которых нигде толком в стандартном веб-интерфейсе или приложении не упоминается. Именно с использования этих запросов и стоит начать.
Читать дальше →

https://habr.com/ru/post/493618/?utm_source=habrahabr&utm_medium=rss&utm_campaign=493618

На Github-e выложен OSINT-инструмент, заточенный (в том числе) для поиска %username по СНГ локации

Если вам до боли знаком такой софт, как namechk или spiderfoot, то «Snoop Project» вас явно порадует, он даёт «им» фору вместе взятым и это не желтый заголовок «Статья вечерняя» — это реальная «forensic-работа» по цифровым следам в киберпространстве… Читать дальше →

https://habr.com/ru/post/488432/?utm_source=habrahabr&utm_medium=rss&utm_campaign=488432

Протокол Telegram известен своей доступностью и открытостью. У него есть множество публичных реализаций: tdlib/td, rubenlagus/TelegramApi, vysheng/tg, LonamiWebs/Telethon и другие. Однако, даже имея в распоряжении столь богатый инструментарий и объемную документацию (https://core.telegram.org/api), решить прикладную задачу, собрав из многообразия методов API нужную цепочку – не так-то просто. Сможет, например, “неподготовленный ум“ сходу догадаться, как решить прикладную задачу а-ля “поиск по номеру в Telegram“? — Скорее всего, придется потратить какое-то время на изучение API.

Официальный клиент Telegram содержит в себе массу API-цепочек, реализующих определенные пользовательские сценарии. Если подумать, взаимодействие на основе сценариев — наиболее удобный и предпочтительный способ, поэтому мы решили пойти по пути упрощения взаимодействия с Telegram на основе реализации библиотеки сценариев. Так как наша деятельность тесно связана с направлением OSINT, то в первую очередь мы решили реализовать ряд OSINT-сценариев, применимых в сети Telegram, о которых и хотим рассказать в этой статье.

Для решения задач OSINT мы еще давно начали работу над собственным клиентом для сети Telegram, который в последствии трансформировался в расширяемую библиотеку сценариев — telegram-osint-lib.

Читать дальше →

https://habr.com/ru/post/486322/?utm_source=habrahabr&utm_medium=rss&utm_campaign=486322