ВЫЯВЛЕНИЕ ПОДДЕЛОК НА ФОТО И ИЗОБРАЖЕНИЕ ДОКУМЕНТОВ.
#криминалистика
Разделим методология на два направления исследований- исследование самого изображения документа и исследование его технических метаданных.
1. Начнём с пристального разглядывания самого изображения. Практически в каждом редакторе изображений, что на компьютере что на смартфоне присутствуют инструменты для цветокоррекции. Вытягивание различными ползунками поможет лучше разглядеть различные детали. Я посоветовал бы использовать для этого два доступных и бесплатных инструмента:
• GIMP - Бесплатный и мультиплатформенный редактор изображений.
• Forensically – Открытый и бесплатный сервис для криминалистического исследования изображений.
o BRIGHTNESS AND CONTRAST. Сделать тёмные области ярче, а яркие темнее. Теоретически поможет лучше разглядеть артефакты, склейки и другие места, которые «юный дизайнер» просто затёр темнёным или светлым и посчитав, что этого будет достаточно.
o COLOR ADJUSTMENT. Увеличивая насыщенность или яркость разных цветов, можно заметить неестественные цветовые переходы и границы вклейки.
o INVERT. Часто помогает увидеть скрытые детали в однотонных объектах.
o SHARPEN AND BLUR. Добавляет резкости и поможет прочитать надписи на табличках, есть целые сервисы и отдельные программы, которые могут помочь прочитать заблюренные области.
o NORMALIZATION AND HISTOGRAMS. Позволяет объединить несколько вышеуказанных манипуляций с изображением в виде работы с гистограммой, и если вы никогда не работали с изображениями, то это примерно, как управление звуковой картиной эквалайзером аудио плейера.
Далее воспользуемся специальными инструментами для анализа в составе GIMP или Forensically:
o NOISE LEVEL ANALYSIS. Находит вставку, клонирование объекта, деформацию по характерному графическому зашумлению изображения.
o ERROR LEVEL ANALYSIS. Находит артефакты наложения изображения или текста исходя из особенностей алгоритмов сжатия JPEG.
o LUMINANCE GRADIENT ANALYSIS. Находит ретушь, размытие, вставленные элементы по углу освещения на различные объекты.
o PRINCIPAL COMPONENT ANALYSIS. Находит клонирование объектов, и несоответствие цветов.
o DISCRETE WAVELET TRANSFORMATION. Находит различие в резкости, отклонения в фокусе и изменения в размерах элементов изображения.
2. Посмотрим на метаданные исследуемого документа. Для этого можно воспользоваться инструментом Metadata++ На что тут стоит обратить внимание:
o Теги «DateTimeOriginal» «DateTime» «DateTimeDigitized» Три временные метки, которые показывают, когда Документ создавался, оцифровывался и последний раз сохранялся.
o Тег “Software” показывает какое программное обеспечение использовалось для создания документа.
o Обратите внимание какие метаданные выдаёт программа или устройство которые использовались по легенде и какие в наличие по факту.
#криминалистика
Разделим методология на два направления исследований- исследование самого изображения документа и исследование его технических метаданных.
1. Начнём с пристального разглядывания самого изображения. Практически в каждом редакторе изображений, что на компьютере что на смартфоне присутствуют инструменты для цветокоррекции. Вытягивание различными ползунками поможет лучше разглядеть различные детали. Я посоветовал бы использовать для этого два доступных и бесплатных инструмента:
• GIMP - Бесплатный и мультиплатформенный редактор изображений.
• Forensically – Открытый и бесплатный сервис для криминалистического исследования изображений.
o BRIGHTNESS AND CONTRAST. Сделать тёмные области ярче, а яркие темнее. Теоретически поможет лучше разглядеть артефакты, склейки и другие места, которые «юный дизайнер» просто затёр темнёным или светлым и посчитав, что этого будет достаточно.
o COLOR ADJUSTMENT. Увеличивая насыщенность или яркость разных цветов, можно заметить неестественные цветовые переходы и границы вклейки.
o INVERT. Часто помогает увидеть скрытые детали в однотонных объектах.
o SHARPEN AND BLUR. Добавляет резкости и поможет прочитать надписи на табличках, есть целые сервисы и отдельные программы, которые могут помочь прочитать заблюренные области.
o NORMALIZATION AND HISTOGRAMS. Позволяет объединить несколько вышеуказанных манипуляций с изображением в виде работы с гистограммой, и если вы никогда не работали с изображениями, то это примерно, как управление звуковой картиной эквалайзером аудио плейера.
Далее воспользуемся специальными инструментами для анализа в составе GIMP или Forensically:
o NOISE LEVEL ANALYSIS. Находит вставку, клонирование объекта, деформацию по характерному графическому зашумлению изображения.
o ERROR LEVEL ANALYSIS. Находит артефакты наложения изображения или текста исходя из особенностей алгоритмов сжатия JPEG.
o LUMINANCE GRADIENT ANALYSIS. Находит ретушь, размытие, вставленные элементы по углу освещения на различные объекты.
o PRINCIPAL COMPONENT ANALYSIS. Находит клонирование объектов, и несоответствие цветов.
o DISCRETE WAVELET TRANSFORMATION. Находит различие в резкости, отклонения в фокусе и изменения в размерах элементов изображения.
2. Посмотрим на метаданные исследуемого документа. Для этого можно воспользоваться инструментом Metadata++ На что тут стоит обратить внимание:
o Теги «DateTimeOriginal» «DateTime» «DateTimeDigitized» Три временные метки, которые показывают, когда Документ создавался, оцифровывался и последний раз сохранялся.
o Тег “Software” показывает какое программное обеспечение использовалось для создания документа.
o Обратите внимание какие метаданные выдаёт программа или устройство которые использовались по легенде и какие в наличие по факту.
👍5
ВЫЯВЛЕНИЕ СЛЕЖКИ ЗА СМАРТФОНОМ.
#антишпионаж
Я ещё помню те времена, когда совершенно обычным делом считалось подарить коллеге в корпоративной среде смартфон, заряженный программой для удалённого контроля. Было это в период бума сервисов «контроля за детьми» - вполне легальным сервисам, которые позволяли, предварительно установив программный агент на аппарат получать через веб сервис всю информацию, которую генерировал пользователь на телефоне (сделанные фото, сообщения, звонки, смс и тп). Нужно было сделать только одну вещь- скрыть саму программу из меню запуска, и это делалось совсем элементарным способом на андроиде и при помощи jailbreak на iOS. Конечно же такая простота использования не могла не сказаться на башенной популярности среди, как и любопытствующих корпоративных служащих, так и среди ревнивых супругов.
Помимо общедоступных сервисов для контроля за детьми типа FlexiSpy или iKeyMonitor. При этом, вполне успешно существуют и более серьёзные решения под общим названием RAT – remote admin tools, которые позволяют прятать себя гораздо качественнее, но при этом представляя такие же простые в установке и использование.
И так, как же найти у себя на телефоне такую неприятную штуку?
Для начала давайте разберёмся по каким признакам можно выявить присутствие такого ПО на вашем смартфоне, без особо глубоких знаний во внутреннем устройстве смартфона. Все очень просто – после каждого определённого действия программный агент-шпион будет связываться с собственным удалённым сервером и передавать информацию о том, что вы сделали на телефоне.
Для детектирования подобных активностей существует 2 очень интересных и полезных проекта:
• TinyCheck
Образ операционной системы для одноплатного компьютера Raspberry Pi, который будет выступать в качестве буфера канала связи и в достаточно простом, но информативном интерфейсе может показывать информацию о присутствие на устройстве чего-то следящего. Подробно, про то, как создать это устройство самому, можно прочитать тут
• PiRogue OS
Так же являющийся образом операционной системы для Raspberry Pi, но предназначенной уже для продвинутых пользователей, предоставляя исчерпывающую информацию о сетевой активности заражённого устройства.
#антишпионаж
Я ещё помню те времена, когда совершенно обычным делом считалось подарить коллеге в корпоративной среде смартфон, заряженный программой для удалённого контроля. Было это в период бума сервисов «контроля за детьми» - вполне легальным сервисам, которые позволяли, предварительно установив программный агент на аппарат получать через веб сервис всю информацию, которую генерировал пользователь на телефоне (сделанные фото, сообщения, звонки, смс и тп). Нужно было сделать только одну вещь- скрыть саму программу из меню запуска, и это делалось совсем элементарным способом на андроиде и при помощи jailbreak на iOS. Конечно же такая простота использования не могла не сказаться на башенной популярности среди, как и любопытствующих корпоративных служащих, так и среди ревнивых супругов.
Помимо общедоступных сервисов для контроля за детьми типа FlexiSpy или iKeyMonitor. При этом, вполне успешно существуют и более серьёзные решения под общим названием RAT – remote admin tools, которые позволяют прятать себя гораздо качественнее, но при этом представляя такие же простые в установке и использование.
И так, как же найти у себя на телефоне такую неприятную штуку?
Для начала давайте разберёмся по каким признакам можно выявить присутствие такого ПО на вашем смартфоне, без особо глубоких знаний во внутреннем устройстве смартфона. Все очень просто – после каждого определённого действия программный агент-шпион будет связываться с собственным удалённым сервером и передавать информацию о том, что вы сделали на телефоне.
Для детектирования подобных активностей существует 2 очень интересных и полезных проекта:
• TinyCheck
Образ операционной системы для одноплатного компьютера Raspberry Pi, который будет выступать в качестве буфера канала связи и в достаточно простом, но информативном интерфейсе может показывать информацию о присутствие на устройстве чего-то следящего. Подробно, про то, как создать это устройство самому, можно прочитать тут
• PiRogue OS
Так же являющийся образом операционной системы для Raspberry Pi, но предназначенной уже для продвинутых пользователей, предоставляя исчерпывающую информацию о сетевой активности заражённого устройства.
ЗАЩИТА ОТ ТРЕКЕРОВ.
#антишпионаж
Слежка с использованием BLE меток стала безумно популярной с появлением Air Tag от apple. Что может быть лучше – батарейку можно не менять год, размер минимальный, погрешность определения местоположения в городских условиях сравнима с GPS-маяками, а иногда и точнее. Безусловно, Apple предприняла меры, когда слежка при помощи Air Tag стала массовым явлением – внедрив механизм оповещения того, что за вами вдруг начала двигаться метка, привязанная к чужому аккаунту… только работает это именно с Air Tag и включено по умолчанию только на устройствах этого бренда, а на остальных необходимо ставить дополнительное ПО. Да и многие бренды (Samsung, Huawei, Tile и т. п.) стали выпускать метки для собственных экосистем.
Для обнаружения подобных меток существуют приложения, которые постоянно мониторят эфир для выявления вдруг появившихся и постоянно с вами перемещающихся устройств.
Как пример таких решений для смартфонов использую их Android можно рекомендовать следующие два:
• AirGuard
• MetaRadar
Оба они работают по следующему принципу- периодически сканируя частоты, на которых работают BLE маяки, приложения определяют те идентификаторы, которые находятся постоянно с вами (смарт браслеты, наушники, метки, принадлежащие вам). Как только появляется новое устройство перемещающиеся с вами (порог срабатывания выставляется либо вручную, либо по умолчанию фиксируется 3 появления в зоне присутствия смартфона) приложения шлют вам уведомление о том, что у вас появился спутник-преследователь с отметками на карте, где он был зафиксирован. В среднем обнаружение может занимать от 30 минут до 3х часов.
#антишпионаж
Слежка с использованием BLE меток стала безумно популярной с появлением Air Tag от apple. Что может быть лучше – батарейку можно не менять год, размер минимальный, погрешность определения местоположения в городских условиях сравнима с GPS-маяками, а иногда и точнее. Безусловно, Apple предприняла меры, когда слежка при помощи Air Tag стала массовым явлением – внедрив механизм оповещения того, что за вами вдруг начала двигаться метка, привязанная к чужому аккаунту… только работает это именно с Air Tag и включено по умолчанию только на устройствах этого бренда, а на остальных необходимо ставить дополнительное ПО. Да и многие бренды (Samsung, Huawei, Tile и т. п.) стали выпускать метки для собственных экосистем.
Для обнаружения подобных меток существуют приложения, которые постоянно мониторят эфир для выявления вдруг появившихся и постоянно с вами перемещающихся устройств.
Как пример таких решений для смартфонов использую их Android можно рекомендовать следующие два:
• AirGuard
• MetaRadar
Оба они работают по следующему принципу- периодически сканируя частоты, на которых работают BLE маяки, приложения определяют те идентификаторы, которые находятся постоянно с вами (смарт браслеты, наушники, метки, принадлежащие вам). Как только появляется новое устройство перемещающиеся с вами (порог срабатывания выставляется либо вручную, либо по умолчанию фиксируется 3 появления в зоне присутствия смартфона) приложения шлют вам уведомление о том, что у вас появился спутник-преследователь с отметками на карте, где он был зафиксирован. В среднем обнаружение может занимать от 30 минут до 3х часов.
👍5
ОТСЛЕЖИВАНИЕ АВТОТРАНСПОРТА.
#наблюдение
Установив на свой смартфон или планшет программу Mobile LPR (для Android или iOS) вы получите возможность распознавать автомобильные номера со встроенной камеры смартфона, с камеры подключённой по USB и используя сетевые камеры, а так же распознавать номера из видеофайла снятого ранее чем то ещё.
Какие возможности это даёт:
1. Найти машину по регистрационному номеру на парковке или в автомобильном потоке, заранее указав интересующий вас номер. При обнаружении номера из списка (списки тут тоже поддерживаются) программа просигнализирует вам пуш-уведомлением или уведомлением на почту или в облачный сервис. Может быть полезным, например для поиска угнанного автомобиля.
2. Выявить автомобиль, который следует за вами. Выставив количество повторных попаданий в поле видения установленной usb камеры, в качестве видеокамеры заднего вида, ваш смартфон покажет все точки на карте, когда автомобильный номер вашего преследователя попадал в кадр.
3. Контролировать заезд на парковку или определённую территорию определённого транспорта (поддерживаются черные и белые списки) подключившись по сети к установленным на въезде камерам видеонаблюдения.
4. Отслеживать передвижение автотранспорта по уже снятым где-то видеозаписям, просто загрузив эту запись в программу, используя черные и белые списки.
#наблюдение
Установив на свой смартфон или планшет программу Mobile LPR (для Android или iOS) вы получите возможность распознавать автомобильные номера со встроенной камеры смартфона, с камеры подключённой по USB и используя сетевые камеры, а так же распознавать номера из видеофайла снятого ранее чем то ещё.
Какие возможности это даёт:
1. Найти машину по регистрационному номеру на парковке или в автомобильном потоке, заранее указав интересующий вас номер. При обнаружении номера из списка (списки тут тоже поддерживаются) программа просигнализирует вам пуш-уведомлением или уведомлением на почту или в облачный сервис. Может быть полезным, например для поиска угнанного автомобиля.
2. Выявить автомобиль, который следует за вами. Выставив количество повторных попаданий в поле видения установленной usb камеры, в качестве видеокамеры заднего вида, ваш смартфон покажет все точки на карте, когда автомобильный номер вашего преследователя попадал в кадр.
3. Контролировать заезд на парковку или определённую территорию определённого транспорта (поддерживаются черные и белые списки) подключившись по сети к установленным на въезде камерам видеонаблюдения.
4. Отслеживать передвижение автотранспорта по уже снятым где-то видеозаписям, просто загрузив эту запись в программу, используя черные и белые списки.
👎1
Видео с моей лекции про форензику и антифорензику, которую я читал на выставке Страж Экспо в Санкт-Петербурге.
#ЦифроваяКриминалистика
#ЦифроваяКриминалистика
YouTube
"Антифорензика" и "Прикладная форензика" / Борощук Дмитрий
"Антифорензика" и "Прикладная форензика"
Борощук Дмитрий, Руководитель агентства BeholderIsHere Consulting, Криминалист и исследователь в области кибербезопасности
Борощук Дмитрий, Руководитель агентства BeholderIsHere Consulting, Криминалист и исследователь в области кибербезопасности
👍6
ПРОФАЙЛИНГ И ОСОБЕННОСТИ ВОСПРИЯТИЯ ИНФОРМАЦИИ.
#психология
И к счастью и к сожалению, мы не можем быть полностью объективны при анализе другого человека, и, смирившись с этим, надо работать над тем, чтобы снизать зависимость своего анализа от наших субъективных фильтров восприятия. А это невозможно сделать без структурного и четкого понимания когнитивных искажений. Их цель – святая – сэкономить ресурсы нашего мозга, но когда у нас есть профессиональная задача, которая напрямую касается судьбы человека, такая экономия совершенно неуместна.
В ситуациях, когда мы сталкиваемся с переизбытком информации, наш мозг начинает экономить ресурсы, выборочно направляя наше внимание на то, что для него более значимо. А именно:
– мы в основном замечаем лишь то, что хотим заметить, то, что с чем уже знакомы или чаще встречали;
– контрастные, необычные, смешные привлекательные стимулы привлекают наше внимание больше, чем привычные и не смешные;
– наш мозг ориентирован на поиск динамики: мозгу скучна статика и стабильность, он хочет видеть и лучше отмечает изменения.
– мы ориентированы больше видеть и ценить ту информацию, которая подтверждает нашу точку зрения. Остальная информация ценится значительно меньше.
– к себе и к информации о себе мы относимся гораздо менее критично, чем к информации о других. Мы гораздо легче обнаруживаем изъяны в других, чем в себе. Особенно мы любим то, что способствует повышению нашей самооценки и стремимся получать эту информацию как можно больше и чаще.
В ситуациях, когда мы анализируем неоднозначную, сложную информацию, мы склонны:
– мыслить стереотипами и шаблонами. А если их нет или они не работают, то мы сами склонны придумывать ложные закономерности, на которых основываем собственные решения.
– упрощать способ принятия решений, а если это невозможно, то откладываем принятие решения или возлагаем ответственность за него на третью сторону.
– дополнять и самостоятельно додумывать ту часть информации, которая больше согласуется с нашими предпочтениями и предыдущим опытом.
– упрощать числа и вероятности, чтобы ими было легче оперировать.
– думать, что хорошо понимаем себя и других людей, их ценности и причины поступков, хотя это на самом деле далеко не так.
В ситуациях, когда нам необходимо действовать быстро и принимать решения в условиях дефицита времени, мы склонны:
– фокусироваться на близких и измеряемых результатах, вместо отложенных и абстрактных.
– преувеличивать значимость и ценность собственных действий в сравнении с действиями и поведением других участников ситуации.
– завершать то, во что вложили много времени и усилий, отталкиваем от себя новые альтернативы, предпочитая консервативное планирование и решения.
– не принимать решений, имеющие необратимые последствия и сохранять текущий статус ситуации и отношений.
– выбирать простые, понятные и знакомые пути решения ситуации, избегая новых, неоднозначных и сложных способов.
Особенности нашей памяти, которая во многом определяет то, каким образом мы анализируем информацию, заставляют нас:
– редактировать воспоминания для придания им более позитивного и эгоцентричного образа.
– отбрасывать и забывать детали событий, которые не вписываются в текущее понимание ситуации, вычеркивать частности для поиска, построения и закрепления паттернов.
– упрощать и сокращать количество сущностей и категорий до ключевых моментов и элементов.
– по–разному относиться к воспоминаниям в зависимости от их значимости, текущего состояния и настроения.
– достраивать необходимую информацию для ее лучшего соответствия нашему основному мнению.
Это особенности необходимо учитывать всякий раз, когда мы принимаем ответственные решения и анализируем текущие события.
Автор: Алексей Филатов
#психология
И к счастью и к сожалению, мы не можем быть полностью объективны при анализе другого человека, и, смирившись с этим, надо работать над тем, чтобы снизать зависимость своего анализа от наших субъективных фильтров восприятия. А это невозможно сделать без структурного и четкого понимания когнитивных искажений. Их цель – святая – сэкономить ресурсы нашего мозга, но когда у нас есть профессиональная задача, которая напрямую касается судьбы человека, такая экономия совершенно неуместна.
В ситуациях, когда мы сталкиваемся с переизбытком информации, наш мозг начинает экономить ресурсы, выборочно направляя наше внимание на то, что для него более значимо. А именно:
– мы в основном замечаем лишь то, что хотим заметить, то, что с чем уже знакомы или чаще встречали;
– контрастные, необычные, смешные привлекательные стимулы привлекают наше внимание больше, чем привычные и не смешные;
– наш мозг ориентирован на поиск динамики: мозгу скучна статика и стабильность, он хочет видеть и лучше отмечает изменения.
– мы ориентированы больше видеть и ценить ту информацию, которая подтверждает нашу точку зрения. Остальная информация ценится значительно меньше.
– к себе и к информации о себе мы относимся гораздо менее критично, чем к информации о других. Мы гораздо легче обнаруживаем изъяны в других, чем в себе. Особенно мы любим то, что способствует повышению нашей самооценки и стремимся получать эту информацию как можно больше и чаще.
В ситуациях, когда мы анализируем неоднозначную, сложную информацию, мы склонны:
– мыслить стереотипами и шаблонами. А если их нет или они не работают, то мы сами склонны придумывать ложные закономерности, на которых основываем собственные решения.
– упрощать способ принятия решений, а если это невозможно, то откладываем принятие решения или возлагаем ответственность за него на третью сторону.
– дополнять и самостоятельно додумывать ту часть информации, которая больше согласуется с нашими предпочтениями и предыдущим опытом.
– упрощать числа и вероятности, чтобы ими было легче оперировать.
– думать, что хорошо понимаем себя и других людей, их ценности и причины поступков, хотя это на самом деле далеко не так.
В ситуациях, когда нам необходимо действовать быстро и принимать решения в условиях дефицита времени, мы склонны:
– фокусироваться на близких и измеряемых результатах, вместо отложенных и абстрактных.
– преувеличивать значимость и ценность собственных действий в сравнении с действиями и поведением других участников ситуации.
– завершать то, во что вложили много времени и усилий, отталкиваем от себя новые альтернативы, предпочитая консервативное планирование и решения.
– не принимать решений, имеющие необратимые последствия и сохранять текущий статус ситуации и отношений.
– выбирать простые, понятные и знакомые пути решения ситуации, избегая новых, неоднозначных и сложных способов.
Особенности нашей памяти, которая во многом определяет то, каким образом мы анализируем информацию, заставляют нас:
– редактировать воспоминания для придания им более позитивного и эгоцентричного образа.
– отбрасывать и забывать детали событий, которые не вписываются в текущее понимание ситуации, вычеркивать частности для поиска, построения и закрепления паттернов.
– упрощать и сокращать количество сущностей и категорий до ключевых моментов и элементов.
– по–разному относиться к воспоминаниям в зависимости от их значимости, текущего состояния и настроения.
– достраивать необходимую информацию для ее лучшего соответствия нашему основному мнению.
Это особенности необходимо учитывать всякий раз, когда мы принимаем ответственные решения и анализируем текущие события.
Автор: Алексей Филатов
Telegram
Профайлинг, нейротехнологии и детекции лжи
Канал Алексея Филатова, посвященный небанальным новостям профайлинга, верификации лжи и нейротехнологий.
Сайт www.ProProfiling.com
Чат канала: T.me/ProProfilingChat
Сайт www.ProProfiling.com
Чат канала: T.me/ProProfilingChat
👍2
Видео с моей лекции про форензику дронов, которую я читал на выставке Страж Экспо в Санкт-Петербурге.
#ЦифроваяКриминалистика
#ЦифроваяКриминалистика
YouTube
Мастер-класс «Форензика дронов» / Дмитрий Борощук
Мастер-класс «Форензика дронов»
Борощук Дмитрий, Руководитель агентства BeholderIsHere Consulting, Криминалист и исследователь в области кибербезопасности
Борощук Дмитрий, Руководитель агентства BeholderIsHere Consulting, Криминалист и исследователь в области кибербезопасности
👍3
ШПАРГАЛКИ_РАЗВЕДЫВАТЕЛЬНЫЕ_ЦИКЛЫ_OSINT.pdf
331 KB
#osint
Когда мы говорим про любое информационно-аналитическое исследование, то подразумеваем целый ряд мероприятий. В этой шпаргалке вы найдете все эти мероприятия разделенные на циклы с описанными требованиями к ним.
Когда мы говорим про любое информационно-аналитическое исследование, то подразумеваем целый ряд мероприятий. В этой шпаргалке вы найдете все эти мероприятия разделенные на циклы с описанными требованиями к ним.
👍3
КАК РАССЛЕДОВАТЬ УТЕЧКИ ИНФОРМАЦИИ.
#расследования
Для начала давайте попробуем уложить все наши действия в простой алгоритм из трех шагов:
ШАГ 1. Поскольку чаще всего об утечке мы узнаем постфактум, когда она уже появляется на чёрном рынке, начнём с простого - исследования того, в каком виде она попала в публичное поле. На что стоит обратить внимание:
📡 Канал распространения:
- Место публикации утечки
- Дата и время публикации
- Кто опубликовал
- Кошелёк для покупки (если платно)
Для чего это? Для поиска места первоначального размещения и идентификации того, кто является потенциальным выгодоприобретателем.
💾 Файл, в который упакована утечка:
- Формат файла
- Метаданные полученного файла.
- Даты создания и изменения.
- Хэш сумма файла.
Для чего? Для идентификации файлов в различных источниках, возможные паттерны изменения в зависимости от миграции и сравнения разных версий.
🗂 Содержимое файла:
- Используемые поля
- Формат их записи
- Полнота присутствующих полей
- Дата/время первой записи
- Дата/время последней записи
Для чего? Для получения информации о "срезе" данных их полноте и возможно времени получения "среза". На этом этапе мы стараемся понять, когда фактически произошла утечка, не является ли она компиляцией и кто гипотетически мог иметь доступ исходя из формата записей.
ШАГ 2. Исследуем легитимный источник данных, находящийся в утечке. Со следующими точками интереса:
• Основной формат хранения данных
• Возможные форматы получения данных при условии различных условиях их копирования (бэкап, экспорт, парсинг и т.д.)
Для чего? Для поиска возможного способа и формы полученной утечки.
Далее мы должны посмотреть на нашу систему, из которой могла произойти утечка данных и выявить следующие:
• Перечень уровней доступа.
• Перечень доступных полей для каждого уровня доступа.
• Перечень пользователей с доступом к утекшим данных.
Целью этих действий для нас будет фиксации возможных причастных учетных записей пользователей и способов доступа к данным, которые могут находится в «срезе» опубликованной утечки.
• Фиксация временного отрезка по полноте данных в утечке.
Для чего? Для формирования временных рамок поискового ландшафта. Как правило, отсчёт ведётся в обратном порядке от момента первичного размещения в публичном поле до (примерно) минус 60 суток от даты последних внесённых данных в "срезе"
• Логи доступа к целевым данным пользователей
• Логи изменений в целевом источнике данных.
Это нужно для реконструкции истории обращений к источнику целевых данных пользователей системы.
ШАГ 3. Ну и в заключительном шаге нам предстоит самое интересное – выявление и фиксация аномалий в поведенческих паттернах пользователей.
#расследования
Для начала давайте попробуем уложить все наши действия в простой алгоритм из трех шагов:
ШАГ 1. Поскольку чаще всего об утечке мы узнаем постфактум, когда она уже появляется на чёрном рынке, начнём с простого - исследования того, в каком виде она попала в публичное поле. На что стоит обратить внимание:
📡 Канал распространения:
- Место публикации утечки
- Дата и время публикации
- Кто опубликовал
- Кошелёк для покупки (если платно)
Для чего это? Для поиска места первоначального размещения и идентификации того, кто является потенциальным выгодоприобретателем.
💾 Файл, в который упакована утечка:
- Формат файла
- Метаданные полученного файла.
- Даты создания и изменения.
- Хэш сумма файла.
Для чего? Для идентификации файлов в различных источниках, возможные паттерны изменения в зависимости от миграции и сравнения разных версий.
🗂 Содержимое файла:
- Используемые поля
- Формат их записи
- Полнота присутствующих полей
- Дата/время первой записи
- Дата/время последней записи
Для чего? Для получения информации о "срезе" данных их полноте и возможно времени получения "среза". На этом этапе мы стараемся понять, когда фактически произошла утечка, не является ли она компиляцией и кто гипотетически мог иметь доступ исходя из формата записей.
ШАГ 2. Исследуем легитимный источник данных, находящийся в утечке. Со следующими точками интереса:
• Основной формат хранения данных
• Возможные форматы получения данных при условии различных условиях их копирования (бэкап, экспорт, парсинг и т.д.)
Для чего? Для поиска возможного способа и формы полученной утечки.
Далее мы должны посмотреть на нашу систему, из которой могла произойти утечка данных и выявить следующие:
• Перечень уровней доступа.
• Перечень доступных полей для каждого уровня доступа.
• Перечень пользователей с доступом к утекшим данных.
Целью этих действий для нас будет фиксации возможных причастных учетных записей пользователей и способов доступа к данным, которые могут находится в «срезе» опубликованной утечки.
• Фиксация временного отрезка по полноте данных в утечке.
Для чего? Для формирования временных рамок поискового ландшафта. Как правило, отсчёт ведётся в обратном порядке от момента первичного размещения в публичном поле до (примерно) минус 60 суток от даты последних внесённых данных в "срезе"
• Логи доступа к целевым данным пользователей
• Логи изменений в целевом источнике данных.
Это нужно для реконструкции истории обращений к источнику целевых данных пользователей системы.
ШАГ 3. Ну и в заключительном шаге нам предстоит самое интересное – выявление и фиксация аномалий в поведенческих паттернах пользователей.
👍11
КАК РАССЛЕДОВАТЬ УТЕЧКИ ИНФОРМАЦИИ. ЧАСТЬ 2
#расследования
Безусловно, на рынке масса решений призванных помочь с расследованием утечек данных. Конечно же на ум сразу приходят коммерческие deception решения типа Xello, R-TDP или разработки от той же AVsoft. И это я только российские вспомнил. Но мы будем стараться решать задачи с минимумом бюджета или полным его отсутствием. Знакомая история, ведь правда?
Одним из основных способов отслеживания утечек является маркировка данных, собственно, для дальнейшего их отслеживания. И тут вариантов может быть масса- и «контролируемые утечки» в стиле романа «Статский советник» (помните, как Фандорин, назначил встречу в банях всем подозреваемым, но в разных номерах?) и отслеживания факта открытия или редактирования файла используя различные «маяки» и применение различной «дополнительной нагрузки» которая бы вела различную контрразведывательную деятельность уже на стороне злоумышленника и еще много чего того на что будет способна ваша фантазия и оперативный опыт.
Сегодня я остановлюсь на трех методах из собственного арсенала:
Метод №1 «Водяные знаки»
Физические объекты (ценные бумаги, документы и тп) всегда можно отмаркировать, чтобы сделать их в своем роде уникальными носителями идентифицируемых признаков. То же самое можно сделать с файлами при помощи «стеганографии» - методики помещения одной информации в другую. Тут конечно же приходит на ум старички OpenStego и OpenPuff которые из удобного и лаконичного интерфейса позволяет проводить все операции с файлами и их маркировкой.
Есть одно «но» - детектируется антивирусами уже достаточно регулярно, но вы всегда можете найти альтернативу или свежий форк.
Основываясь на этом же методе, работает решение wholaked получая файл, который будет использоваться совместно, и список получателей оно создает уникальную подпись для каждого получателя и скрыто добавляет ее в файл. После этого wholaked автоматически отправляет файлы соответствующим получателям с помощью интеграции Sendgrid, AWS SES или SMTP, ну или по старинке «вручную»
Метод №2 «Маяки»
Тут во всю правит бал знаменитая «канарейка» и ее различные вариации с открытым исходным кодом. Штука хорошая и удобная, ввиду своей формы - может быть как внешний сервис, а может быть и развернута где-нибудь у вас на сервере. И содержания – повесить «маяк» можно на очень разные действия.
Метод №3 «Хакерский»
Тут уже на свой страх и риск, ибо законодательство той страны в которой вы находитесь может это расценивать не в вашу пользу. Я же плохому вас не учу и всячески это порицаю, но про способ рассказать должен.
К вашему документу вполне может быть прикреплен микро сервис, который при открытии документа будет захватывать например доступ к микрофону или камере на компьютере злодея как это делают SayHello или CamPhish
#расследования
Безусловно, на рынке масса решений призванных помочь с расследованием утечек данных. Конечно же на ум сразу приходят коммерческие deception решения типа Xello, R-TDP или разработки от той же AVsoft. И это я только российские вспомнил. Но мы будем стараться решать задачи с минимумом бюджета или полным его отсутствием. Знакомая история, ведь правда?
Одним из основных способов отслеживания утечек является маркировка данных, собственно, для дальнейшего их отслеживания. И тут вариантов может быть масса- и «контролируемые утечки» в стиле романа «Статский советник» (помните, как Фандорин, назначил встречу в банях всем подозреваемым, но в разных номерах?) и отслеживания факта открытия или редактирования файла используя различные «маяки» и применение различной «дополнительной нагрузки» которая бы вела различную контрразведывательную деятельность уже на стороне злоумышленника и еще много чего того на что будет способна ваша фантазия и оперативный опыт.
Сегодня я остановлюсь на трех методах из собственного арсенала:
Метод №1 «Водяные знаки»
Физические объекты (ценные бумаги, документы и тп) всегда можно отмаркировать, чтобы сделать их в своем роде уникальными носителями идентифицируемых признаков. То же самое можно сделать с файлами при помощи «стеганографии» - методики помещения одной информации в другую. Тут конечно же приходит на ум старички OpenStego и OpenPuff которые из удобного и лаконичного интерфейса позволяет проводить все операции с файлами и их маркировкой.
Есть одно «но» - детектируется антивирусами уже достаточно регулярно, но вы всегда можете найти альтернативу или свежий форк.
Основываясь на этом же методе, работает решение wholaked получая файл, который будет использоваться совместно, и список получателей оно создает уникальную подпись для каждого получателя и скрыто добавляет ее в файл. После этого wholaked автоматически отправляет файлы соответствующим получателям с помощью интеграции Sendgrid, AWS SES или SMTP, ну или по старинке «вручную»
Метод №2 «Маяки»
Тут во всю правит бал знаменитая «канарейка» и ее различные вариации с открытым исходным кодом. Штука хорошая и удобная, ввиду своей формы - может быть как внешний сервис, а может быть и развернута где-нибудь у вас на сервере. И содержания – повесить «маяк» можно на очень разные действия.
Метод №3 «Хакерский»
Тут уже на свой страх и риск, ибо законодательство той страны в которой вы находитесь может это расценивать не в вашу пользу. Я же плохому вас не учу и всячески это порицаю, но про способ рассказать должен.
К вашему документу вполне может быть прикреплен микро сервис, который при открытии документа будет захватывать например доступ к микрофону или камере на компьютере злодея как это делают SayHello или CamPhish
👍6
ПОРЯДОК_РАЗРАБОТКИ_ПАСПОРТА_АНТИТЕРРОРИСТИЧЕСКОЙ_ЗАЩИЩЕННОСТИ_ОБЪЕКТА.pdf
250.6 KB
#безопасность
Паспорт антитеррористической безопасности - один из основных документов, действительно необходимых для поддержания этой самой безопасности!
И дело тут не в регуляторе как таковом- поддерживая этот документ в актуальном состояние, вы получите великолепный инструмент показывающий "куда бежать, чем пользоваться, и что делать" в случае наступления ситуации "Арктический пушной зверек постучался в наши двери."
Паспорт антитеррористической безопасности - один из основных документов, действительно необходимых для поддержания этой самой безопасности!
И дело тут не в регуляторе как таковом- поддерживая этот документ в актуальном состояние, вы получите великолепный инструмент показывающий "куда бежать, чем пользоваться, и что делать" в случае наступления ситуации "Арктический пушной зверек постучался в наши двери."
👍7👎1
САМОАУДИТ СОБСТВЕННОЙ ИТ ИНФРАСТРУКТУРЫ.
#ИБ
Часто так случается, что клиент из небольшой компании приходит с запросом на аудит ИБ, без понимания того, а что у него творится в IT инфраструктуре на самом деле. И тут чаще всего нужно не "тестирование на проникновение" ибо чего тестировать, если оно держится на молитвах и честном слове системного администратора, а просто понимание того, как оно все работает и как это для начала просто причесать.
Сам я использовал опросник, который вы видите в приложение к этому посту - около сотни вопросов, которые дают первичное понимание положению вещей. А вот команда Expel, несколько лет назад, сделала прекрасную экселевскую табличку (а Уважаемый EntryP0int ее перевел специально для канала) предназначенную именно для самодиагностики, с красивыми диаграммами, которые визуализируют концептуальное состояние вашего IT-хозяйства. Просто, недорого и практично! Да и мы часто забываем, что безопасность начинается с простого понимания реального положения дел...
#ИБ
Часто так случается, что клиент из небольшой компании приходит с запросом на аудит ИБ, без понимания того, а что у него творится в IT инфраструктуре на самом деле. И тут чаще всего нужно не "тестирование на проникновение" ибо чего тестировать, если оно держится на молитвах и честном слове системного администратора, а просто понимание того, как оно все работает и как это для начала просто причесать.
Сам я использовал опросник, который вы видите в приложение к этому посту - около сотни вопросов, которые дают первичное понимание положению вещей. А вот команда Expel, несколько лет назад, сделала прекрасную экселевскую табличку (а Уважаемый EntryP0int ее перевел специально для канала) предназначенную именно для самодиагностики, с красивыми диаграммами, которые визуализируют концептуальное состояние вашего IT-хозяйства. Просто, недорого и практично! Да и мы часто забываем, что безопасность начинается с простого понимания реального положения дел...
👍7
ЧЕМ ПРАВИЛЬНО РАСЧИТАТЬ ПАРАМЕТРЫ ВИДЕОКАМЕР ДЛЯ СИСТЕМ ВИДЕОНАБЛЮДЕНИЯ.
#наблюдение
Правильное проектирование системы видеонаблюдения- 80% успеха в проведение расследований с ее использованием. Ведь важно понимать, в каких местах будет уместна обзорная камера, показывающая общую картину происходящего, в каких видеокамера для идентификации лиц или номеров автомобилей, а в каких будет эффективна интеллектуальная система видео детекторов (чтоб без ложных срабатываний даже на смену освещения или качающейся листвы) Для этого существуют специальные программные конструкторы, которые очень сильно облегчают работу не только инженеру проектировщику, но и самому «безопаснику» компании.
[IPVM] - достаточно простенький но очень удобный проектировщик в первую очередь уличного видеонаблюдения с привязкой к Google картам
[JVSG] ЗD моделирование видимости объектов для подбора нужной высоты установки и выбора правильных объективов для видеокамер.
[IPDROM] - Комплексный калькулятор для подбора серверного оборудования для систем одного из лидеров российских систем видеонаблюдения Axxon
#наблюдение
Правильное проектирование системы видеонаблюдения- 80% успеха в проведение расследований с ее использованием. Ведь важно понимать, в каких местах будет уместна обзорная камера, показывающая общую картину происходящего, в каких видеокамера для идентификации лиц или номеров автомобилей, а в каких будет эффективна интеллектуальная система видео детекторов (чтоб без ложных срабатываний даже на смену освещения или качающейся листвы) Для этого существуют специальные программные конструкторы, которые очень сильно облегчают работу не только инженеру проектировщику, но и самому «безопаснику» компании.
[IPVM] - достаточно простенький но очень удобный проектировщик в первую очередь уличного видеонаблюдения с привязкой к Google картам
[JVSG] ЗD моделирование видимости объектов для подбора нужной высоты установки и выбора правильных объективов для видеокамер.
[IPDROM] - Комплексный калькулятор для подбора серверного оборудования для систем одного из лидеров российских систем видеонаблюдения Axxon
👍6