Как на самом деле подделывают голос?

Каждую неделю появляются новости о мошенниках, которые с помощью подделанного голоса крадут деньги. Но если спросить: «Как именно они это делают?», в СМИ чаще всего встречаются общие фразы вроде «используют ИИ». [1] [2] [3] [4]

Многих устраивает такой ответ, но давайте все-таки разберемся, как именно происходит эта "подделка".

История из жизни
В 2022 году, на 5-м курсе, я писал научно-исследовательскую работу (НИР) на тему «Атаки на систему верификации диктора по голосу».

Мне дали экспериментальную систему верификации диктора по голосу (СВДГ), и задача была проста: сгенерировать образцы аудио, которые обманут эту систему.

После долгих поисков я наткнулся на проект DiffVC [5] — реализацию диффузионной модели для преобразования голоса. Этот код выложили в открытый доступ буквально за несколько дней до начала моей работы, что было особенно ценно, так как тогда это была действительно передовая технология.

Как это работает (если упростить)?
1️⃣ Берем два аудиофайла:
Голос А (человек 1 говорит фразу X)
Голос B (человек 2 говорит фразу Y)
2️⃣ Подаем их в модель
3️⃣ На выходе получаем аудио, где человек 1 говорит фразу Y голосом человека 2.

Генерация одной записи занимала ~10 секунд (на слабом железе), а качество было почти неотличимо от оригинала — никакого «робоголоса» или шумов.

Эксперимент
Я сгенерировал несколько образцов и прогнал их через СВДГ. Результат:
💥 21,7% успешных атак (из 2256 тестов).

До этого (из предыдущих научных работ, которые я изучал) другие методы давали максимум 5% успешных атак. Для меня это был шок — стало ясно, что подделка голоса скоро станет массовой.

Таким образом, аудио и видео по умолчанию уже нельзя считать достоверными, а способы их подделки с каждым годом сильно дешевеют и довольно просты в реализации.

P.S. Если кому-то интересно, то текст работы закинул в комментарии (титульник, реферат и оглавление удалил).

#ИнформационнаяБезопасность #Кибербезопасность #Deepfake #VoiceCloning #ИИ #Мошенничество #Технологии #Фишинг #НИР #СВДГ

Радио-серфинг: как исследовать короткие волны без спецоборудования

Недавно узнал, что в Нидерландском университете Твенте есть коротковолновый приемник, к которому можно подключиться через обычный браузер [ссылка] и исследовать ответы тысяч радиостанций по всему миру (в режиме реального времени).

С помощью ресурса можно:
1️⃣ Слушать радиолюбительские передачи, авиационные каналы, морскую связь и многое другое
2️⃣ Исследовать разные частоты и находить интересные сигналы
3️⃣ Делать записи эфиров, чтобы потом прогонять их через декодеры
4️⃣ Погрузиться в мир радио, даже если у вас нет собственного оборудования

Этот ресурс — настоящий портал в мир радио. Даже если вы, как и я, не станете радиолюбителем, это отличный способ узнать что-то новое.

Вот несколько интересных частот с которых можно начать:
🇳🇱 1008.00 кГц — Radio Twenty Gold (Нидерланды)
🇷🇺 4625.00 кГц — легендарная "Жужжалка" (УВБ-76). Загадочный сигнал, о котором ходят легенды. Подробнее можно почитать здесь
🇫🇷 9790.00 кГц — Radio France
🇷🇴11930 кГц — Radio Romania International

P.S. ещё там есть онлайн чат, в котором вы можете общаться с другими радиолюбителями

#радио #технологии #хобби

Как узнать, кто слил ваши данные?

В 20 лет я планово обновил паспорт. Через пару недель мне позвонили весьма продвинутые мошенники. Меня сразу начали "обрабатывать" и для укрепления доверия называть мои ПДн. В разгаре беседы "господа из техподдержки компании Х" назвали мои новые паспортные данные! 🤯
Я сильно удивился скорости утечки нового паспорта и стало интересно: кто же был источником слива? Тогда я нашел лайфхак, который помогает с высокой вероятностью выяснить, откуда произошла утечка (пользуюсь им и по сей день).

📌 В чем суть?
Если добавить к вашему email знак "+" и любой текст (например, email+your-data@gmail.com), то почтовые сервисы (Gmail, Mail.ru, Outlook и др.) будут считать это тем же адресом (email@gmail.com). Письма будут приходить на основной email, но текст после символа "+" может отличаться и помогать отследить источник.

Происходит это из-за того, что текст после "+" игнорируется почтовым сервером при доставке писем, но сохраняется в адресе получателя.

Как это работает?
Представим, что у вас есть почтовый ящик ruvm@mail.ru
1️⃣ Вы регистрируетесь на сайте с адресом, например, ruvm+github@mail.ru.
2️⃣ Письма от этого сайта будут приходить на ruvm@mail.ru, но в адресе получателя будет указано ruvm+github@mail.ru

Для чего можно использовать?
✅ Отслеживание утечек данных
Если вы используете email+название_сервиса@gmail.com, то легко поймете, кто передал ваши данные третьим лицам. Например, если на email+instagram@gmail.com начал приходить спам, значит, Instagram поделился вашими данными.

✅ Организация писем
Можно создавать уникальные адреса для каждого сервиса (например, email+netflix@gmail.com, email+github@gmail.com) и настраивать фильтры для автоматической сортировки.

✅ Тестирование и регистрация для разработчиков или тестировщиков: используйте "+" для создания временных адресов (например, email+test1@gmail.com, email+test2@gmail.com). Для большинства сайтов - каждый из таких email-ов расцениваются как разные почты. Т.е. на одну почту становится возможным зарегистрировать неограниченное количество аккаунтов.

⚠️ Важно:
— Не все сайты поддерживают "+" в email. Если сервис считает такой адрес невалидным, то придется использовать основной email;
— "+" и последующий текст можно добавлять только до символа "@", иначе способ работать не будет

На скрине привел пример работы этого способа при регистрации на github.com

P.S. Как думаете, можно ли докрутить эту фичу, чтобы отчеты по ней ней начали принимать в bug bounty?

#Кибербезопасность #Лайфхаки #ЗащитаДанных #Email #ИнформационнаяБезопасность #Спам #Почта

Сбор данных из DHT (Пишем свой аналог IKnowWhatYouDownload)

После моего прошлого поста прилетело много фидбэка. Я не эксперт в области торрентов, но благодаря комментариям узнал несколько интересных нюансов. Это вдохновило меня на создание мини-аналога IKnowWhatYouDownload, и, как оказалось, его можно сделать буквально за пару часов.

Начнем с базы
Разберемся, как работает IKnowWhatYouDownload (и подобные агрегаторы).
Вот что говорят его создатели:
Торрент-файлы попадают в нашу базу данных несколькими способами. Во-первых, мы собираем новинки с популярных торрент-сайтов (как зарубежных, так и российских). Во-вторых, у нас есть компоненты, которые постоянно мониторят DHT-сеть. Если кто-то ищет или анонсирует infohash, мы также добавляем его в базу.

Данные по одному торрент-файлу собираются раз в несколько часов. Чем дольше вы находитесь на раздаче, тем выше вероятность попасть в нашу базу. Данные на сайте обновляются с задержкой в сутки.

Что такое DHT?
DHT (Distributed Hash Table) — это технология, которая используется в торрент-сетях для децентрализованного поиска участников раздачи (пиров) без необходимости подключения к центральному трекеру. Вместо того чтобы полагаться на сервер, DHT позволяет каждому участнику сети хранить и обмениваться информацией о пирах напрямую.

Проще говоря, DHT хранит данные о том, какие пиры участвуют в раздаче конкретного торрента (по его info_hash). Когда вы обращаетесь к DHT, другие узлы сети возвращают список IP-адресов и портов, которые они знают для данного торрента. Именно эту информацию собирают агрегаторы, делая запросы с определенным интервалом.

Как написать свой агрегатор?
После изучения вышеперечисленных деталей стало понятно, что для создания своего аналога нужно выполнить следующие шаги:
1️⃣ Собрать хэши интересующих раздач с трекеров;
2️⃣ Делать запросы в DHT по каждому хэшу, чтобы получить IP-адреса и порты пиров, участвующих в раздаче, и сохранять их в удобном формате (например, JSON).
3️⃣ Загружать данные в базу для дальнейшей обработки и отображения пользователю.
4️⃣ Повторять процесс с определенным интервалом (например, раз в час).

Пункты 1, 3 и 4 довольно просты (для первого понадобится VPN, а для остальных есть множество готовых гайдов).

Самый сложный - это пункт 2. Документации и гайдов по работе с DHT мало, а готового кода я не нашел. Поэтому пришлось немного по python-ить самостоятельно.

Что получилось?
Я написал скрипт, который:
1️⃣ Принимает на входе хэш торрента (либо файл с набором хэшей)
2️⃣ Делает запрос к DHT и сохраняет результаты в JSON-файл (ключом в файле является хэш торрента, а значением — список IP-адресов и портов пиров, участвующих в раздаче)

Для теста я нагуглил хэш торрента с игрой "Ведьмак 3".
В результате работы скрипта отображается информация об активных на текущий момент пирах (скрины работы в комментариях): часть пиров совпала с данными IKnowWhatYouDownload, а часть — нет (IKnowWhatYouDownload работает с задержкой в сутки + некоторые клиенты могут появляться и исчезать довольно быстро и агрегатор может не успевать их собирать). Т.е получилось собрать больше данных, чем у вышеупомянутого агрегатора (мини-успех).
Итоговый скрипт залил на GitHub.

Важный момент: пользователи могут отключать DHT (он включен по умолчанию). В таком случае этот способ их не "обнаружит" (как и агрегаторы).

Если тема вызовет интерес, я глубже погружусь в работу торрентов и расскажу, как пользователи могут "обманывать" агрегаторов, которые следят за DHT.

@ru_vm
#ru_vm #Торренты #DHT #ИнформационнаяБезопасность #Разработка

Как использование торрентов демаскирует тебя в сети?

Пользовались ли вы когда-нибудь торрентами? Если да, то у меня для вас плохие новости.

Когда пользователь скачивает или раздаёт файл через торрент, его IP-адрес становится видимым для других участников сети.
Сервис IKnowWhatYouDownload собирает эту информацию, систематизирует и предоставляет возможность поиска по IP-адресу.

Чтобы узнать, какие файлы связаны с конкретным IP, достаточно ввести адрес в поисковую строку на сайте. Сервис покажет список торрентов, которые были загружены или разданы с этого IP. Также можно увидеть дату и время активности.

Где это может использоваться?
1️⃣ Мониторинг сети: администраторы корпоративных или домашних сетей могут использовать сервис для проверки активности устройств в своей сети. Это помогает выявить несанкционированное использование торрентов без закупки дорогостоящего ПО.

2️⃣ Юридические вопросы: правообладатели или юристы могут использовать сервис для отслеживания распространения пиратского контента.

3️⃣ Таргетированная реклама: рекламные агрегаторы могут собирать данные через подобные сервисы, чтобы показывать пользователям таргетированную рекламу на основе их активности.

4️⃣ RedTeam: сервис может использоваться для сбора информации о потенциальной цели, что может помочь подготовить целевую фишинговую атаку ("Беспокоит Служба Безопасности ... Было обнаружено, что вы используете торрент в корпоративной сети. Срочно заполните форму, иначе вас уволят <ссылка>").


Вывод
Использование торрентов может раскрыть вашу активность в сети, даже если вы этого не ожидаете.
Помните: ваши данные — это ваша ответственность. Не оставляйте их на виду.

В комментариях привожу пример того, как легко извлекается информация об использовании торрентов из сети с арендованными VPS.

#ru_vm #Кибербезопасность #Торренты #Конфиденциальность #IKnowWhatYouDownload

Как искать скрытую информацию в Telegram

Последнее время я ломал голову над вопросом: "как искать Telegram-каналы, где публикуют информацию об информационной безопасности?"
В Twitter, например, всё просто: купил подписку — и получаешь доступ к куче данных, которые легко парсить. В Telegram же официальных способов для такого поиска нет.

Но я был уверен, что "хитрушки" существуют. И сегодня я их нашёл! Всё оказалось до безобразия просто.

Есть ресурсы, которые используют множество ботов. Эти боты добавляются во все возможные Telegram-каналы и сохраняют всё, что там публикуется. Потом на этих ресурсах можно искать по ключевым словам и находить каналы, где упоминается нужная вам информация.

Долгое время я находил только платные сервисы, доступ к которым стоил космических денег — около 50к в месяц. Но сегодня я нашел ДВА КРУТЫХ БЕСПЛАТНЫХ РЕСУРСА, которые дают просто фантастические результаты.

Например, при поиске по фразе "CVE-2025", эти сервисы выдают список каналов, где публикуют информацию об уязвимостях. Причём это могут быть как крупные каналы (которые легко найти через обычный поиск), так и каналы с 20 подписчиками (которые без таких инструментов обнаружить почти невозможно).

🔥 Ссылки на ресурсы:
1️⃣ tgdev.io/tme/
2️⃣ https://cse.google.com/cse?q=+&cx=006368593537057042503:efxu7xprihg (Telegago)

Если понравился пост, то реакции и репосты приветствуются (цель не поменялась - к лету 500 подписчиков)

#Telegram #поисквтелеграм #Хитрушки #CVE #ИБ

10 марта - последний день подачи заявок на PHDays 2025

Ещё в 11 классе у меня была мечта выступить на PHDays. Она сбылась только в 2022 году, когда мы с Женей Полонским рассказали про атаки на цепочки поставок на примере реального кейса — захвата инфраструктуры через TeamCity.
Всё проходило круто, я был счастлив, как слон, до самого конца доклада. Но потом случился неприятный момент. Обычно после выступления организаторы подходят к спикерам, вручают документ, подтверждающий, что ты был спикером и коробку с мерчем. Про меня же просто забыли. Сказали, что разберутся и пришлют всё позже.

Но «позже» так и не наступило. Я дважды писал организаторам в личные сообщения в течение полугода, мне обещали, что всё исправят. Но годы шли, а ничего не приходило.

Всё изменилось в прошлом году. Мне в Telegram написала HR, которая искала спикеров на PHD 2024 среди тех, кто выступал раньше. Сообщение начиналось со слов: «Евгений, добрый день!» (а я не Евгений). Тогда я высказал всё, что накопилось за два года, и мы довольно продуктивно поговорили. В итоге мерч мне прислали, но документы, к сожалению, сделать уже не смогли.

В этом году я решил начать историю своих выступлений с чистого листа. Если мою заявку примут, то жду всех в мае на докладе «Как я парсил вашу дату?». Я расскажу о недостатках всех существующих баз уязвимостей и о том, как мы устраняем их в рамках проекта PT Expert System — от идеи до результата.

@ru_vm
#PHDays2025 #ru_vm

Как WayBack Machine помог мне стать мидл-программистом

Многие знают, что с помощью WayBack Machine можно посмотреть, как выглядел сайт в прошлом. Но мало кто догадывается, что этот инструмент может быть полезен для поиска скрытых возможностей ресурсов, включая API и другие данные. Сегодня я хочу поделиться историей, как WayBack Machine помог мне в карьере.

📖 Пять лет назад я работал младшим программистом и занимался разработкой ETL-пайплайнов. Основные задачи заключались в автоматизированном сборе данных с различных ресурсов и их последующей обработке. Однажды, с одним из ресурсов возникла проблема: почти на каждый запрос выскакивала капча, а сайт был напичкан сложным JavaScript, что делало невозможным сбор данных через стандартные инструменты вроде requests и Selenium. Через некоторое время эту задачу поручили мне.

После нескольких неудачных попыток я понял, что "в лоб" задачу не решить. Тогда я вспомнил о WayBack Machine . Я ввёл URL ресурса в поисковую строку и добавил в конце /*, чтобы получить список всех когда-либо обработанных URL. Среди результатов оказался URL, ведущий на скрытый от поисковиков API этого ресурса.
Это был настоящий клад: никаких капч, никакого JavaScript, только чистый JSON с данными. После согласования использования этой находки с владельцем ресурса, я смог использовать найденный API для сбора данных. Задача была выполнена за пару дней, а через несколько недель я получил повышение до мидл-программиста.

С того момента этот способ очень часто помогал и помогает мне в решении различных задач.

Его также можно использовать в Bug Bounty для поиска скрытых возможностей ресурсов, которые не отображаются в поисковиках. Однажды я нашёл кейс, где у ресурса несколько лет назад был открытый Swagger с описанием всего функционала. Хотя доступ к Swagger позже закрыли, API остался прежним.


🎯Вывод
WayBack Machine — это не только инструмент для просмотра старых версий сайтов, но и мощный ресурс для поиска скрытых данных, API и других возможностей. Он может стать вашим секретным оружием в решении сложных задач, будь то автоматизация, Bug Bounty или просто поиск информации. Не ограничивайтесь стандартными подходами — иногда стоит копнуть глубже!
Не бойся искать нестандартные пути. Иногда именно они приводят к самым крутым результатам.🔥

P.S. приведу описанный выше способ поиска на примере сайта Microsoft (см. скрин)

#WayBackMachine #Программирование #Автоматизация #BugBounty #API #DataScience #КарьераИТ #MiddleDeveloper #Лайфхаки

Как покупка домена может обанкротить ваш проект

Сегодняшний пост должен был быть на другую тему, но вчера я наткнулся на статью про одну интересную историю с покупкой домена, которая мне показалась весьма поучительной и актуальной. Думаю, этот кейс может быть полезен многим.

📖 Вкратце
Автор статьи купил новое доменное имя для своего проекта (до этого проект работал на другом домене). Спустя некоторое время автор заметил, что переходы из поисковых систем на его сайт равны нулю, но не придал этому значения.

🔍 Через год выяснилось, что до 2022 года на этом домене был сайт, который занимался размещением пиратских копий музыки. С июня 2018 по февраль 2021 этот ресурс получил тысячи жалоб за нарушение авторских прав. В результате из выдачи поисковых систем было исключено более 20 000 его URL-адресов.

💥 Итог
Автор статьи потерял большую часть аудитории, потому что не проверил историю домена перед покупкой.

Что делать, чтобы не повторить его ошибку?
1️⃣ Проверяйте историю домена через Wayback Machine.
Если увидите, что на сайте раньше размещался незаконный или "сомнительный" контент, будьте готовы к большим трудностям после покупки.
2️⃣ Поищите домен в Google Transparency Report, где хранятся отчёты об URL-ах исключенных из поиска.
Пример отчета по домену, который лучше не покупать: https://transparencyreport.google.com/copyright/domains/musicbox.fun
Пример отчета по домему, который можно смело покупать, если есть возможность) https://transparencyreport.google.com/copyright/domains/ptsecurity.com (404 означает, что репортов не было)

Этот инструмент также полезен для анализа конкурентов и исследований. Например, вот статистика по yandex.ru, из которой можно увидеть кто и когда кидал репорты, а также правообладателя данных (важно обращать внимание на то, сколько репортов в итоге было принято).
3️⃣ Поищите домен в Lumen Database. Этот ресурс собирает и анализирует юридические жалобы и запросы на удаление контента.

⚠️ Важно
Если на домене раньше размещался запрещенный контент, и на него было множество жалоб, то даже спустя годы и смену контента отозвать старые репорты невозможно. "Темная" история домена останется с ним навсегда.
🔔 Будьте внимательны при выборе домена, чтобы не столкнуться с подобными проблемами!

Полный текст статьи

#SEO #домены #кейсы #безопасность

Исследуем репутацию IP адресов

Сетевая безопасность - это далеко не мой профиль, но ресурс, о котором я расскажу далее, весьма удивил меня своим контентом и функционалом.

NERD — это инновационная база, разработанная командой CESNET, которая помогает анализировать репутацию сетевых объектов, таких как IP-адреса, доменные имена и URL-адреса.

Как это работает?
Ресурс агрегирует данные из множества источников, включая:
1️⃣Открытые базы данных угроз.
2️⃣Данные от honeypots (систем, имитирующих уязвимые сервисы для сбора информации о атаках).
3️⃣Результаты анализа сетевого трафика.

Затем данные обрабатываются и предоставляются в удобном формате, который можно интегрировать в свои системы или использовать для аналитики.

Ссылки:
🔗Основной интерфейс:https://nerd.cesnet.cz/nerd/ips/
🔗Выгрузка данных: https://nerd.cesnet.cz/nerd/data/
🔗Расширенная информация об интересуемом IP (в комплекте ко всему прочему ещё статистика из Shodan и DNS history): https://nerd.cesnet.cz/nerd/ip/

Реакции:
👍 - не знал о таком, мне нравится
🔥 - огонь, начинаю на этом пилить стартап
🦧 - ресурс плохой, как и пост

#Кибербезопасность #Стартап #Инновации #IPанализ #NERD #Технологии #DataScience #ИнтернетБезопасность

Как развеять фейки в пару кликов?

Каждый день на нас обрушивается поток информации из множества источников, и часто она бывает противоречивой. Возникает вопрос: кому верить?
"Никому!" — ответят многие и будут правы. Но бывают ситуации, когда информацию нужно проверить, и приходится искать способы как это сделать.

🛠 Сегодня я расскажу об одном инструменте, который в некоторых случаях может стать вашим надёжным помощником.

Пример из жизни:
Несколько лет назад я понял, что купить квартиру при текущих ипотечных условиях практически невозможно, и решил вложить все доступные деньги в покупку гаража. Если о жилых кварталах информации в избытке, то о гаражных кооперативах её гораздо меньше.
В тот момент я активно участвовал в CTF-соревнованиях, и на одном из ивентов узнал об инструменте Snradar.

С его помощью можно было выбрать точку на карте и радиус вокруг неё, а затем найти все посты из VK, сделанные в этом районе за определенный промежуток времени.

Находя подходящий вариант, я вбивал его координаты в Snradar и смотрел, что происходило в радиусе 500 метров от гаража за последние годы. В одном случае я нашёл посты "потенциального соседа", где он жаловался, что каждый год его гараж и соседние затапливает, и даже прикладывал фото последствий. В другом случае обнаружились посты о взломах гаражей в этом районе.

Итог? Гараж я так и не купил, но принцип "пробива" мест через посты в соцсетях показался довольно полезным.

Спустя некоторое время Snradar закрылся, и долгое время аналогов найти не удавалось. Но недавно всё изменилось с появлением Huntintel (https://app.huntintel.io/).

Этот ресурс ищет посты не только в VK, но и в:
- YouTube
- Twitter/X
- Snapchat
- Facebook
- Instagram

Для использования нужно зарегистрироваться. На скриншоте я показал пример поиска: выбрал томский аэропорт с радиусом 1 км. Как видите, нашлось множество постов, сделанных за последнее время.

Помните: верить никому нельзя (кроме постов в этом канале 😉), но проверять информацию необходимо. Надеюсь, этот инструмент поможет вам в жизни и позволит развеять множество фейков.

Подписывайтесь на канал, чтобы не пропускать новые лайфхаки (рекомендации друзьям тоже приветствуются). Цель - собрать к лету 500 подписчиков.

#Кибербезопасность #Лайфхаки #Инструменты #Соцсети #ПроверкаИнформации #Huntintel #Snradar #Полезное #Подпишись

От канареек к потере учетных данных через .url файл в общей сетевой папке

Вчера, пока писал пост про канарейки вспомнилась одна тактика, которую широко применяют при проведении аудитов безопасности (но, почему-то статей о ней очень мало). Эта тактика по принципу действия очень похожа на canary-token, но при этом намного опаснее.

📂 Пример из реальной жизни
Представим, что у вас есть крупная организация с развитой IT-инфраструктурой. Чтобы сотрудникам было удобнее взаимодействовать друг с другом, вы создали общую сетевую папку, куда они могут загружать свои файлы и скачивать файлы коллег. Казалось бы, всё просто и удобно, но здесь кроется серьезная угроза.

🛠 Уязвимость Фича Windows: автоматическое обращение к внешним ресурсам
В Windows есть множество неприятных особенностей, одна из которых заключается в том, что когда пользователь заходит в сетевую директорию через проводник, система автоматически обращается к внешним ресурсам, если обнаруживает файлы, которые на них ссылаются. Речь идет о файлах с расширениями .url или .lnk. Эти файлы могут содержать ссылки на внешние серверы, и при их обнаружении проводник попытается подключиться к указанным ресурсам (пример на скрине).

Чем это опасно?
Когда система обращается к внешним ресурсам, она передает данные для аутентификации. В большинстве случаев пароль передается не в открытом виде, а в виде хеша NTLM или NTLMv2 (в современных системах наиболее распространен NTLMv2). Если злоумышленник сможет перехватить этот хеш, он может попытаться его сбрутить и получить исходный пароль. В случае успеха это открывает доступ к учетной записи пользователя и, возможно, к другим ресурсам сети.

🎯Как происходит атака?
1️⃣Получение доступа к общей папке: злоумышленник получает доступ к общей сетевой директории с возможностью записи
2️⃣Подкладывание файла: атакующий создает и размещает в общей папке специально сгенерированный файл, который ссылается на его SMB-сервер (например privet.url)
3️⃣Автоматическое обращение к серверу: когда кто-то из пользователей заходит в общую папку, проводник Windows автоматически пытается обратиться к SMB-серверу, указанному в .url файле. При этом система отправляет NTLMv2 хеш пользователя
4️⃣Перехват хеша: злоумышленник получает NTLMv2 хеш (например, через responder) и начинает его брутить, используя специализированные инструменты
5️⃣Получение пароля: если пароль недостаточно сложный, то злоумышленник может успешно его подобрать и получить доступ к учетной записи

Способы защиты советовать не стану, а то половина подписчиков канала работает в SOC-е и они точно скажут, что мои рекомендации плохие и можно сделать лучше (поэтому сразу жду ваши предложения в комментарии).

Атаки, основанные на автоматическом обращении к внешним ресурсам через .url файлы, могут быть крайне опасными для вашей организации. Однако, соблюдая базовые меры безопасности и регулярно обучая сотрудников, вы можете значительно снизить риски. Помните, что безопасность — это непрерывный процесс, и важно всегда быть на шаг впереди злоумышленников.

Реакции по классике:
👍 - все понятно, побольше бы такого контента
🤯 - сложно, давай что-нибудь попроще - это муть какая-то

#Кибербезопасность #ИнформационнаяБезопасность #Windows #NTLM #SMB #Угрозы #ЗащитаДанных #ITбезопасность #СетевыеУгрозы #Хеширование #АудитБезопасности

"Канарейки" или как ловить утечки данных за 0 рублей

Знаете, что объединяет баян и кибербезопасность? Иногда самые простые методы работают лучше всего! Сегодня речь пойдет об инструменте, который очень прост в использовании и может помочь вам обнаружить утечки данных.

Canary-токены (они же "канарейки") — это фальшивые файлы, ссылки или данные, которые выглядят как настоящие, но на самом деле являются ловушками. Если кто-то взаимодействует с таким токеном (например, открывает файл или переходит по ссылке), вы сразу получаете уведомление о возможной утечке данных.

🔍 Как это работает?
Представим, что компания хранит конфиденциальные данные в облачном хранилище. Чтобы защитить их, администратор может создать canary-токен в виде файла с названием "passwords.xlsx" и разместить его в папке с важными документами. Если злоумышленник попытается скачать этот файл, система отправит уведомление администратору, и он сможет оперативно отреагировать на инцидент.

💡 Где применяются canary-токены?
1️⃣ Защита файлов: встраивание токенов в документы, которые могут быть украдены или переданы третьим лицам.
2️⃣ Мониторинг баз данных: добавление токенов в таблицы для обнаружения несанкционированного доступа.
3️⃣ API-безопасность: использование токенов для отслеживания подозрительных запросов к API.
4️⃣ Фишинг-атаки: Создание поддельных учетных данных или ссылок для выявления попыток фишинга (привет киберучениям).
5️⃣ Сетевые ресурсы: размещение токенов на веб-сайтах или в облачных хранилищах для обнаружения сканирования или взлома.

Для своих нужд поднимать отдельную систему, которая будет выпускать свои canary-токены - довольно затратно. Благо на просторах сети есть отличный ресурс canarytokens.org, который позволяет создавать токены за пару кликов абсолютно бесплатно. Просто выбираете тип токена (а их там на любой вкус), указываете почту для уведомлений — и готово! После того, как кто-то попытается обратиться к объекту с вашим токеном, вы получите уведомление, в котором увидите белый IP того, кто открыл ваш файл/ссылку/таблицу/... и его User-Agent (пример на втором скрине).

P.S. если хотите использовать подобное в рамках организации, а не личных нужд, то стоит поднять свой сервис 🙃

Если вас не затруднит, то поставьте реакции:
👍 - не знал о таком, расскажи ещё о подобных лайфхаках
🦍 - баян, знал о нем ещё в 2005-ом, расскажи что-нибудь посложнее

#Кибербезопасность #CanaryTokens #ЗащитаДанных #ИБ #Хакеры #Фишинг #Безопасность #Лайфхаки

Периодически у меня возникают идеи для стартапов. Большинство из них я сразу отбрасываю, но иногда попадаются действительно интересные.

🦍 Например, в 9 классе я зарегистрировал аккаунт в Google Play, написал простое приложение для подготовки к экзаменам и собрал 150 тысяч скачиваний, заработав на котлеты с пюрешкой макарошками.

🕹 Через пару лет я создал бота, который продавал вещи из Steam на сторонних площадках, а вырученные деньги ставил на киберспортивные матчи. Матчи проходили чуть ли не каждые 10 минут. Бот ждал, пока до закрытия ставок останется меньше минуты (чтобы инсайдеры успели сделать свои ставки), анализировал вероятность победы каждой из команд и, если шанс на победу был выше 80%, делал ставку (чем выше процент, тем больше сумма). Если шанс был ниже, матч пропускался. Этот стартап мог бы быть очень прибыльным, но на тот момент у меня на балансе была всего пара сотен рублей, так что много заработать не получилось.

На этих выходных я придумал идею для стартапа в сфере информационной безопасности. С одной стороны, она проста, но с другой — может быть крайне полезной.

Каждый день на GitHub появляются тысячи новых репозиториев, а также обновляются уже существующие.

Суть идеи:
1️⃣ Раз в несколько минут запрашивать через GitHub API список репозиториев, обновленных за последний час. Пример запроса
2️⃣ Проходить по каждому репозиторию, извлекать все коммиты
3️⃣ Анализировать содержимое файлов из каждого коммита (исключая бинарные файлы и файлы больше 50 МБ для ускорения работы)
4️⃣ Загружать данные в базу
5️⃣ Периодически запускать анализатор, который проверяет данные на наличие утечек информации
6️⃣ Проверять, не были ли удалены недавно собранные репозитории
7️⃣ Если репозиторий удален, анализировать его отдельно — возможно, в нем было что-то ценное.

Как можно монетизировать:
1️⃣ Предоставлять доступ к базе по подписке
2️⃣ Зарабатывать на багбаунти (должно очень сильно повезти)
3️⃣ Собирать IOC-индикаторы и продавать фиды
4️⃣ <место для вашей идеи>


В Воскресенье я собрал Proof of Concept с ограниченным функционалом и сразу столкнулся с рядом проблем, в основном связанных с rate limit'ами GitHub API.

Прикинув примерные затраты, я понял, что стартап "не стоит свеч":
1️⃣ ~150к рублей на старте (frontend + backend).
2️⃣ ~40к рублей в месяц (прокси, аренда серверов, Cloudflare и т.д.).

Но идея мне нравится. Если кто-то захочет развить её или просто обсудить — пишите, может, вместе что-нибудь придумаем!

#Github #Api #ИнструментыИБ #Стартап

🔒 Рубрика "Эксклюзив" 🔒

Когда-то мне в руки попалась уникальная сравнительная таблица, где подробно описаны различные C2 (Command and Control) серверы. Эта таблица – настоящий кладезь информации, позволяющая не только систематизировать данные о потенциальных угрозах и атаках, но и помочь в разработке эффективных защитных мер. Данные в ней постоянно обновляются

Ссылка: https://docs.google.com/spreadsheets/d/1b4mUxa6cDQuTV2BPC6aA-GR4zGZi0ooPYtBe4IgPsSc

7️⃣ Января, пока большинство людей отмечало Рождество и готовилось к завершению новогодних каникул, произошла довольно любопытная ситуация.

🔍 На платформе HackerOne (это платформа для поиска уязвимостей, где исследователи безопасности сообщают о найденных проблемах и могут зарабатывать на вознаграждениях) появился отчет от пользователя, который рассказал, что нашел в публичном Google документе секретные данные Министерства обороны США.
Ссылка на отчет: https://hackerone.com/reports/2926447

Организация подтвердила факт утечки и в течение нескольких дней удалила все данные.

Правда это или нет - неизвестно, но эта ситуация подняла важную проблему, с которой сталкиваются не только крупные компании, но и рядовые пользователи: публикация приватной информации в открытых местах.

📄 Особенно опасно, что в случае с Google Документами, доступ к данным можно получить через прямую ссылку. Эти ссылки могут быть довольно длинными, что делает невозможным перебор всех вариантов за адекватное время. И да, некоторые документы со временем удаляются, но это не всегда решает проблему.

Так как же защитить свою организацию от подобных утечек?

🚀 Есть организация под названием Common Crawl. Она занимается сбором и хранением огромных объемов данных со всего Интернета. Собираемые данные включают не только текстовое содержимое, но и метаданные, такие как ссылки, структура страниц и другая информация. По завершению сбора, данные сохраняются и становятся доступными для общего пользования.

Уже смекаете, к чему подходим ❓

Некоторые исследователи, скачивают эти данные себе и запускают поиск по ключевым словам, например, поиск по подстроке "https://docs.google.com/document/d/". Таким образом, исследователи получают множество прямых ссылок на документы, а в некоторых случаях и их содержимое.

Мой посыл в том, что если использовать домен вашей компании в качестве ключевого слова, то можно относительно быстро выявлять утечки данных (которые могут не замечать другие средства защиты) и оперативно их устранять.

Но есть и большие минусы:
1️⃣Common Crawl собирает не все страницы Интернета. И, скорее всего, документа из отчета HackerOne в его данных вы не найдете.
2️⃣ Исходных данных в Common Crawl — сотни терабайт, и обработать их на одном компьютере невозможно. Да, можно скачивать данные частями, например, по 10 ГБ, но проанализировать весь объём за один раз у вас не получится.

Если вам интересно, как работать с Common Crawl, ставьте реакции и подписывайтесь на канал! Если на этом посте наберется 40 реакций, то выпущу гайд, в котором будет описано, как упростить работу с Common Craw

#Безопасность #Common #Crawl #Google #DataScience