Друзья, каналу сегодня исполнилось 4 года! 🥳

За все это время были разные взлеты и падения. Самое сложное - это постоянно находить мотивацию продолжать писать (все, кто ведет блог хотя бы 2 года, хорошо меня поймут). С этим у меня, естественно, возникали сложности, но пока держимся.

Огромное всем спасибо за поддержку и интерес к контенту, которым я с вами делюсь. Буду стараться продолжать в том же духе, следите за обновлениями 😎

#asc_security

📱 Канал | 🌐 ВК | 🔷 Сайт

🔍 OSINT Investigation Challenge - Real World Scenario

Наткнулся тут вчера на интересный райтап одной OSINT таски от Pak Cyberbot. Если я правильно понял, это потенциальная таска для CTF платформы Try Hack Me.

➡️ Смотреть: https://www.youtube.com/watch?v=IJLBVZjMFlw

📝 Читать: https://pakcyberbot.medium.com/private-investigator-walkthrough-e99b859a463c

Тут вам и SOCMINT, и GEOINT, и прочие прелести. Никаких сложных тулзов не использовалось, только логика, поиск по тексту и картинке, и внимательное изучение постов в соцсетях.

Напоминаю, что у нас вот тут куча таких тасок. Если хотите потренироваться или просто с пользой провести время, велком!

#asc_osint #asc_практика

📱 Канал | 🌐 ВК | 🔷 Сайт

🎬 Пантеон / Pantheon 18+ (сериал 2022-2023)

Жанр: анимация, фантастика

Описание: Мэдди не пользуется большим успехом в школе и ведет затворнический образ жизни. Однажды с ней в чате списывается таинственный незнакомец, который слишком много о ней знает. Вскоре она начинает замечать в нем черты своего умершего отца. Оказывается, что его сознание было оцифровано научной корпорацией, и теперь его интеллект и знания используются в коммерческих целях. Мэдди решает спасти отца, не понимая, каким могущественным силам ей придется противостоять.

🍿 https://www.kinopoisk.ru/series/1397749/

Рецензия: https://www.mirf.ru/serial/panteon-serial/?ysclid=lvm3psju2t705894157

Совершенно случайно открыл для себя эту красоту. Очень глубокий, поднимающий кучу проблем про оцифровку сознания, этику, виртуальную реальность, большие корпорации, ИИ в целом и многое другое. Как кто-то сказал в комментах под одной рецензией: «это как впервые прочитать Нейроманта».

#asc_кино

📱 Канал | 🌐 ВК | 🔷 Сайт

🔺 Шадаев: процедуру выдачи займов на «Госуслугах» изменят из-за мошенников

Минцифры России планирует изменить на портале «Госуслуг» процедуру оформления займов в микрофинансовых организациях (МФО) для борьбы с мошенниками, которые выводят средства с помощью чужих учетных записей на свои счета.

От учетки "Госуслуг" можно подать все документы на получение кредита, но указать реквизиты банковской карты другого человека, дальше деньги прямо в заявлении выводятся, условно, на дропера, подставное лицо, – сказал министр.

Минцифры будет «закрывать эту опцию», и тогда получить кредит сможет «только то лицо, которое обратилось», пообещал глава Минцифры.

➡️ Источник: https://www.vedomosti.ru/finance/news/2024/06/08/1042695-protseduru

Это просто шикарные новости! Много лет это является очевидной дыркой. В совокупности с инициативой самозапрета выдачи кредитов, это прямо сильно поможет снизить подобный вид мошенничества. Будем надеяться, что инициативу не похоронят.

#asc_обзор_новостей #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

🧑‍💻🔥 Понравившиеся мне доклады с PHD Fest 2 - часть 2

Прошло время, большинство докладов на фоне я наконец досмотрел, поэтому решил выложить вторую часть подборки. Важно: это мое субъективное мнение, так же, как и в первой части. У разных коллег на каналах есть подборки с другими докладами.

⬜️ Криптомошенничество: тренды, угрозы, кейсы, как уберечь себя и свой проект

⬜️ Служба безопасности банка, «черная пятница» и дипфейки: как нас обманывают в повседневной жизни

⬜️ Как нам стерли всю базу в Confluence и как мы героически ее восстанавливали

⬜️ Как меняется повестка топ-менеджмента под влиянием ИБ

⬜️ Как мы искали доказательства компрометации нашей сети

⬜️ Что вы знаете о своих подрядчиках

Ждем следующего года для новых подборок 😎

#asc_hack_and_security #asc_обзор_новостей

📱 Канал | 🌐 ВК | 🔷 Сайт

☀️ "Положение Солнца при рождении не связано с субъективным благополучием: опровержение астрологических утверждений"

Все, кто читают меня давно, наверняка знают как именно я отношусь к астрологии. Поэтому, чтобы не лить кучу воды, о том, какая это все дичь, я предлагаю ознакомиться с очень свежим исследованием с довольно хорошей выборкой.

➡️ Текст исследования: https://www.researchgate.net/publication/380911535_The_sun's_position_at_birth_is_unrelated_to_subjective_well-being_Debunking_astrological_claims

Как это связано с безопасностью, спросите вы? Некоторые руководители в крупных компаниях до сих пор используют астрологию, таро и нумерологию в качестве "методики" оценки персонала при найме 🤷🏻‍♂️ Я бы тоже хотел верить, что это анекдот, но нет. Надеюсь, что этот пост кому-то поможет.

#asc_profiling

📱 Канал | 🌐 ВК | 🔷 Сайт

🍉 Breadcrumbs by Trace Labs - подкаст

Все те, кто практикуют OSINT, в какой-то момент времени точно должны были столкнуться в своем инфополе с Trace Labs. По сути, это своего рода "Лиза Алерт", только в цифровом смысле и с мировой географией.

Недавно наткнулся на их подкаст:

💸 Слушать: https://podcasts.apple.com/ru/podcast/breadcrumbs-by-trace-labs/id1542092539

🎵 Слушать: https://open.spotify.com/show/1PHveMFjdgyxJJAZJWWF8G

Сейчас выпущено 28 эпизодов, в которых разбираются разные поисковые техники, методы и кейсы. Каждому интересующемуся темой обязательно к прослушиванию!

#asc_osint

📱 Канал | 🌐 ВК | 🔷 Сайт

👍 Антифорензика: защита противодействием или криминальная наука?

Недавно нашел любопытную статью про "зачистку цифрового следа":

💬 "Антифорензика — это набор методов и инструментов, которые позволяют скрыть или уничтожить ваши цифровые следы от тех, кто хочет использовать эту информацию в корыстных или преступных целях.

В этой статье рассмотрим основы антифорензики, ее методы и стратегии, а также предоставим практические советы по защите."

➡️ Читать: https://securitymedia.org/info/antiforenzika-zashchita-protivodeystviem-ili-kriminalnaya-nauka.html

Стоит отметить, что уклон в статье идет больше на затирание/сокрытие данных на рабочих станциях, а не про "анонимность в широком смысле". Для тех, кто с термином совсем не знаком, будет полезно почитать (уровень beginner).

#asc_статья #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

🎬 Почему вы меня убили? / Why Did You Kill Me? (2021)

Жанр: документальный, криминал

Описание: Граница между справедливостью и местью стирается, когда горюющая семья использует социальные сети, чтобы выследить людей, убивших 24-летнюю Кристал Теобальд.

🍿 https://www.kinopoisk.ru/film/4426937

Довольно любопытная документалка о том, как с помощью базовых методов SOCMINT и социалочки, можно идентифицировать преступников и собрать доказательную базу. Вот тут есть краткая выжимка по деталям инцидента, если не боитесь спойлеров.

У меня лишь возникает логичный вопрос, почему местные правоохранительные органы не пошли по такому же пути, как семья жертвы. Даже при условии того, что все случилось в 2006, базовые поисковые механизмы в сети + "легендирование" работало прекрасно.

#asc_кино

📱 Канал | 🌐 ВК | 🔷 Сайт

🧠 И снова о профайлинге

Так вышло, что в последний месяц у меня в информационном поле снова началась волна вопросов на тему профайлинга: "Что это такое? Где используется? А научно ли?" Я пишу, говорю и выступаю на эту тему часто, но, видимо, стоит повториться еще раз. Предлагаю несколько материалов для ознакомления:

1️⃣ Статья: "Профайлинг — технология “взлома” человека"

💬 "Ближайшие 20 минут я постараюсь максимально подробно рассказать о крайне популярной сегодня сфере деятельности. Самая главная задача — развеять мифы и предубеждения. Ну и конечно, ответить на самые популярные вопросы, которые до сих пор гуляют по интернету.

Данная статья основана на моем опыте работы в сфере расследований, а также многолетнем опыте моих коллег. Так же по глубине и масштабу можно вспомнить статью одного интернет-издания (сейчас уже запрещенного и ссылку дать проблематично), которая писалась при участии моей коллеги, друга и по совместительству учителя — Анны Кулик"

2️⃣ Хакнуть маньяка: взгляд криминального профайлера | АННА КУЛИК

💬 "Тут моя коллега Анна Кулик очень подробно рассказывает про такой тип профайлинга, как "криминальный"

3️⃣ Научный доклад: "Профайлинг: история, исследования, практика"

💬 "Библиографическую основу доклада составляют работы зарубежных специалистов, ранее не переводившихся на русский язык и не подвергавшиеся глубокому научному исследованию. В докладе подробно рассматривается история профайлинга, его основные виды. Особое внимание уделяется рассмотрению различных научно-методологических подходов в профайлинге"

4️⃣ OSINT mindset podcast №10 | Никита Артемов aka Emisare: профайлинг, корп. безопасность и инсайдеры

💬 "Подкаст про будни корпоративного безопасника. Поговорили о разном, но основной посыл был про то, как именно профайлинг применяется в профессии, обсудили некоторые методики и мифы, как во все в это интегрируется OSINT и о многом другом"

5️⃣ Интервью про профессию профайлера

💬 "Тут я рассказываю о том, что такое профайлинг в контексте профессии и является ли вообще это профессией, Где на такое учатся, какие навыки для этого необходимы и т.д."

Можно было бы написать еще много чего, но этих материалов для нормального понимания вполне достаточно, исходя из тех вопросов, которые ко мне снова начали прилетать.

#asc_статья #asc_видео #asc_profiling

📱 Канал | 🌐 ВК | 🔷 Сайт

📚 Итак, вас публично опозорили. Как незнакомцы из социальных сетей превращаются в палачей - Джон Ронсон (2021)

Язык: RU 🇷🇺

Описание: Несколько лет Джон Ронсон изучал феномен "публичного шейминга", встречаясь с его жертвами, оскандалившимися по-крупному. Всего одно прегрешение — и волна народной ярости накатывала подобно мощному цунами, снося все на своем пути. Что это: новый вид правосудия или превышение полномочий? "Итак, вас публично опозорили" — это исследование Ронсона, одновременно обескураживающее и невероятно смешное, о том, как люди под прикрытием восстановления справедливости порой буквально разрушают жизни других людей.

https://www.labirint.ru/books/786789/

Довольно любопытная попытка проанализировать базовые механизмы массовой агрессии. Хоть книга и для широкого круга читателей, некоторые кейсы отсюда могут быть полезны для PR в связке с безопасниками, в случаях отрабоки публичных инцидентов, типо утечек.

#asc_книги

📱 Канал | 🌐 ВК | 🔷 Сайт

📞 Риски включенной переадресации звонков

Для тех, кто не знает или забыл - это абсолютно легальная возможность вписать за деньги номер телефона, на который будет перенаправлен вызов, если не смогут дозвониться до вашего основного номера.

В чем тут риски? Ну, в основном, они репутационные. Рекомендую прочитать очень показательный кейс ниже на этот счет (хотя он и старый). Если коротко, мужик взял кредит, поставил номер своего бывшего руковода на переадресацию и ему начали звонить коллекторы. На месте этого руковода могла быть вторая половинка, с которой вы плохо разошлись или любой другой сценарий.

📰 Читать: https://vc.ru/claim/109819-moi-byvshii-sotrudnik-vzyal-kredity-i-postavil-pereadresaciyu-so-svoego-nomera-na-moi-teper-mne-zvonyat-kollektory

Помимо «репутации» не стоит забывать про то, что вы когда-то очень давно могли оформить переадресацию сами на какой-то свой доверенный номер, и просто об этом забыть, а сейчас этот номер уже может быть давно не вашим (симку перевыпустили на другого человека).

Что вообще с таким можно сделать?

*#21# - показывает, включена ли у вас в принципе переадресация звонков и смс.

*#62# - показывает, куда с вашего номера отправляются входящие вызовы и смс (конкретный номер/номера).

##002# - отключает какую-либо переадресацию (если не сработает, то можно пойти в личный кабинет вашего оператора и искать отключение этой "прекрасной" фичи там).

#asc_hack_and_security #asc_советы

📱 Канал | 🌐 ВК | 🔷 Сайт

Недавно попался очень крутой и наглядный майндмеп по работе с почтой от Social Links.

Наверняка, все эти поисковые вектора вам известны, но круто, когда все собрано в одном месте. Пользуйтесь 😎

#asc_osint #asc_советы

📱 Канал | 🌐 ВК | 🔷 Сайт

🌐 Давно не меняли пароль? Сейчас самое время!

Вчера случилось кое что очень важное, но не удивительное.

Крупнейшая подборка паролей, содержащая почти десять миллиардов уникальных паролей, была опубликована на популярном хакерском форуме. Исследовательская группа Cybernews считает, что утечка представляет серьезную опасность для пользователей, склонных к повторному использованию паролей.

➡️ Источник: https://cybernews.com/security/rockyou2024-largest-password-compilation-leak/

Есть несколько мыслей на этот счет:

1️⃣ Вот прямо сейчас идите и поменяйте пароли хотя бы на чувствительных аккаунтах. Причем, нужно придумать что-то совершенно новое, НЕ использовать старых паттернов, потому что так "удобно".

2️⃣ Сейчас точно начнется новый виток брутфорса, о котором мы все более-менее забыли в последние годы. Есть большая вероятность, что количество взломов сильно возрастет (по крайней мере, на какое-то время). Злоумышленники будут брать для брутфорса сразу пароли из утечки и пробовать подставлять их во все сервисы. В случае неудачи, они будут подставлять куски из утечки, а остальное перебирать. Скорость перебора сильно возрастет, так как подавляющее большинство людей только слегка видоизменяет свой основной пароль от сервиса к сервису (та самая паттерность), а не меняет его полностью.

3️⃣ Упрощение идентификации пользователей. В целом, и до этой утечки было направление "поиска по паролю". Теперь просто станет еще легче, потому что к паролю можно гипотетически найти какой-то привязанный идентификатор (почта, как правило).

#asc_обзор_новостей #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

🎬 Плейлист волонтёра (сериал 2023) 16+

Жанр: драма

Описание: Штапич рано обзавелся семьей и также стремительно её лишился, успел поставить крест на карьере и уже в 25 лет остался не у дел. Оказавшись в поисково-спасательном отряде, он получает возможность реализовать себя в новой профессиональной среде и приобрести не просто друзей, а единомышленников, ― людей, по-настоящему горящих своим делом.

Очень быстро Штапич превращается в звезду отряда, но успех на профессиональном поприще не приносит желаемого счастья. Он продолжает метаться между бывшей женой, неинтересными ему, но готовыми на все боевыми подругами и девушкой по прозвищу Кукла, к которой у Штапича возникают чувства.

🍿 https://www.kinopoisk.ru/series/5089333/

Забыл рассказать вам про него на старте, поэтому исправляюсь сейчас. Хороший сериал о буднях "Лизы Алерт" и им подобным. Интересный факт, что изначально была одноименная книга Мршавко Штапича от 2020 года. Через три года уже сняли сериал. И книга, и сериал - это так называемый жанр "true-story", иными словами, просто пересказ реальных событий с минимальным вымыслом.

#asc_кино

📱 Канал | 🌐 ВК | 🔷 Сайт

🔻 Интервью про физические пентесты

Очень интересный материал от практика с рассмотрением довольно большого количества кейсов и инструментов. У спикера даже книжка есть по теме (сам не читал, рекомендовать не могу).

📹 Часть 1

📹 Часть 2

Немножко подушню. По моим наблюдениям, физ.пентест не всегда проходит так, как должен и не с самой большой эффективностью по нескольким причинам (хотя, это дико важный процесс).

1️⃣ Не всегда ясно, кто должен являться заказчиком. По идее - это ИБ, но если подумать, то это скорее СФБ (служба физ.безопасности). Оба заказчика часто не очень хотят, чтобы у внешников получилось реализовать какой-то из сценариев, потому что камни после такого могут полететь в их огород, мол, сами не доработали.

PS: на мой взгляд, это полнейшая чушь, но такой феномен есть и от него никуда не деться. Внутри корпоративные войнушки никто не отменял 🤷🏻‍♂️

2️⃣ Часто у пентестера есть куча ограничений в действиях по разным причинам: законы, внутренние распорядки организации, нежелание останавливать какие-то бизнес-процессы, личные хотелки заказчика, причина выше и многое другое. Да, есть большая разница в исходных условиях именно у Red Team или у кого-то другого, но все же.

3️⃣ Как по мне, эффективнее всего физ.пентест работает в двух случаях: заказчик очень зрелый и точно понимает, зачем ему это нужно или компания очень маленькая и у нее нет "болезней" крупняка.

На правильность не претендую, всего лишь личное мнение.

#asc_hack_and_security #asc_видео

📱 Канал | 🌐 ВК | 🔷 Сайт

🔵 Pastebin and Its Incidental OSINT 🔵

💬 "Pastebin, often referred to as the "clipboard of the web," has become a crucial platform for sharing plaintext documents, source codes, logs, and various data snippets online.

Pastebin has a unique position within the OSINT (Open Source Intelligence) community. It is frequently mentioned in OSINT guides and materials but often without detailed explanation.

This article aims to enlighten readers about Pastebin, its background, how to use it for OSINT, how to use it as it was originally intended, and some other fun asp of the tool."

⏱️ Время прочтения: 5 мин

➡️ Читать: https://www.secjuice.com/pastebin-incidental-osint/

Довольно любопытная попытка систематизировать мысли о том, как Pastebian может пригодиться в OSINT.

#asc_статья #asc_osint #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт