🔝 5 лучших хаков 2021 года.

2021 — год хакерских скандалов. Вспомните SolarWinds или CD Projekt Red. Огромные корпорации потеряли огромные деньги. И репутацию — тоже. Но этот список не столько о масштабах трагедии, сколько об искусности хакеров. Собрали самые интересные случаи, чтобы вы могли чему-то научиться.

Колониальные трубопроводы

В июле 2021 года банда DarSide атаковала Колониальные трубопроводы, которые проходят через всю Америку. Они тянутся на 5.500 миль (8.850 км), и ежедневно по ним перевозят 3 миллиона баррелей топлива. 3 МИЛЛИОНА, КАРЛ! DarkSide практически лишила топлива всю Америку.

Как они сделали это? Хакеры зашифровали важные файлы — компания Colonial Pipelines Company не могла выставлять счета своим клиентам: она потеряла доступ к информации.

DarkSide предложила купить ключ дешифровки за 75 биткоинов (на тот момент около 4 миллионов долларов США). Но Colonial Pipelines Company задержала выплату, надеясь, что власти поймают хакеров.

Это привело к дефициту топлива по всей стране. Началась внутренняя борьба за бензин: появились сообщения о пустых заправочных станциях по всей Америке.

В конце концов, Colonial Pipeline Company сдалась и заплатила хакерам. При этом DarkSide не привлекли к ответственности — за информацию о банде назначена награда в $10.000.000.

Взлом Kaseya

Kaseya — это крупный хостер MSP, который обслуживает IT-отделы в самых разных компаниях, в том числе правительственных учреждениях. В июле 2021 Kaseya атаковала российская хакерская группировка REvil. Пострадало более 1.500 организаций.

Из-за чего? Хакеры нашли брешь в системе компании и установили в нее вредоносное ПО, которое заразило все подключенные к ней. Причем Kaseya давно знала об этой утечке и работала над ее исправлением. Однако REvil оказалась быстрее.

Создатель предлагал купить ключ за 70 миллионов долларов, но его поймали до выплаты.

Вокруг этой истории ходило много слухов: подозревали президента России Владимира Путина и крупные американские агентства.

Через пару недель одна из фирм, отвечающих за кибербезопасность, выпустила универсальный дешифратор. Он разблокировал файлы, и пострадавшие организации получили свои данные назад.

Взлом Twitch

Twitch — это Мекка для онлайн-стримеров: платформа хорошо платит, часто заключает крупные сделки. Поэтому когда в прошлом году произошла утечка данных, начался скандал. Причина — глупая ошибка в конфигурации сервера.

Из-за нее хакеры украли 128 ГБ очень ценных данных Twitch: исходный код, сведения о пожертвованиях и битовых подарках.

Это сильно ударило по имиджу компании. Виновные до сих пор не установлены.

Взлом Microsoft Exchange

Microsoft Exchange — это как Google Workspace: популярный почтовый сервер, который используют многие предприятия и компании. Поэтому когда в январе его взломали, это стало катастрофой. Предположительный виновник — китайская хакерская группировка Hafnium. А последствия — утечка информации из 250.000 серверов неправительственных организаций, университетов и местных органов власти.

В марте выпустили исправление, но прошло несколько недель и даже месяцев, прежде чем его развернули полностью. За это время нанесли серьезный ущерб. Но к 22 марта Microsoft исправила 92% существующих серверов.

Log4Shell

В конце 2021 года обнаружили эксплойт, который подарил сисадминам Java-приложений, возможно, худшую неделю в их жизни. Когда о нем впервые стало известно, повсюду царила неопределенность: серверы поражались налево и направо. Удаленное выполнение кода затронуло даже серверы Minecraft.

Эксплойт позволял злоумышленникам выполнять собственный код на сервере — они могли взять под контроль любой подключенный к интернету сервер или сервис, содержащий уязвимый log4j include.

Хитрые игроки Minecraft, манипулируя игровыми серверами, смогли выручить с эксплойта реальные деньги. Они присваивали себе предметы и продавали их с огромной прибылью.

В конце концов, вышли обновления, которые решают проблему, но поскольку более 7000 maven-контекстов содержат Log4J, она затянулась на месяцы, а то и годы.

Обсудить в чате 👉 https://news.1rj.ru/str/+jrxm2KHbIl9kMDQy

📓 Ловушка для багов. Полевое руководство по веб-хакингу.

🙍🏻‍♂️ Питер Яворски

📁 Формат: PDF

💬 Чтобы чему-то научиться, надо применять знания на практике. Именно так мы освоили ремесло взлома» – Майкл Принс и Йоберт Абма, соучредители HackerOne. «Ловушка для багов» познакомит вас с белым хакингом – поиском уязвимостей в системе безопасности.

Неважно, являетесь ли вы новичком в области кибербезопасности, который хочет сделать интернет безопаснее, или опытным разработчиком, который хочет писать безопасный код, Питер Яворски покажет вам, как это делается.

В книге рассматриваются распространенные типы ошибок и реальные хакерские отчеты о таких компаниях, как Twitter, Facebook, Google, Uber и Starbucks. Из этих отчетов вы поймете принципы работы уязвимостей и сможете сделать безопасней собственные приложения

👁 Скачать

#RU

📓 Python глазами хакера.

🙍🏻‍♂️ Авторы: Н. Марков, И. Афанасьев.

📁 Формат: PDF

💬 Рассмотрены современные интерпретаторы языка Python. Описано устройство reverse shell, файлового вируса, трояна, локера и шифровальщика. Представлены примеры инструментов для автоматизированного сбора информации о компьютере, динамического анализа вредоносного кода, в том числе с использованием API VirusTotal.

Приведены примеры программ для разгадывания капчи, поиска людей на видео, обработки сложных веб-форм, автоматизации iOS. Показано, как написать на Python новый навык для голосового помощника «Алиса» и различные программы для одноплатных компьютеров. Для программистов и специалистов по информационной безопасности.

👁 Скачать

#RU

​​Callbreaker - может сымитировать звонок практически любого популярного сервиса: от Discord до Telegram. В перечень входит около 12-ти разных мессенджеров и приложений для конференц-связи.

Киберпанк приходит в наш дом https://academy.cyberyozh.com/courses/linuxcyberpunk

Напоминаем также, что завтра стартует курс «Кибердетектив» https://academy.cyberyozh.com/courses/cyberdetective
А 1 сентября второй поток курса «Убойный Android» https://academy.cyberyozh.com/courses/android

По любым вопросам, связанным с нашими курсами, пишите @cyberhackGL

❌ Как удаленно стереть все данные с потерянного или украденного ноутбука с Windows 10/11?

Включите функцию «Найти мое устройство».

Функция «Найти мое устройство» доступна только в Windows 10/11. Эта функция позволяет определить местонахождение потерянного или украденного устройства. С ее помощью можно даже заблокировать устройство или стереть данные удаленно.

▫️ Прежде всего, откройте меню «Пуск» и нажмите на «Настройки».

▫️ В Настройках нажмите на пункт «Обновление и безопасность/Приватность и безопасность» и выберите пункт «Найти мое устройство».

▫️ Включите кнопку-переключатель за опцией «Найти мое устройство».

▫️Теперь, если вы потеряли свое устройство, вам нужно нажать на опцию «Посмотреть все устройства, привязанные к вашей учетной записи».

▫️ Это приведет вас на официальную страницу Microsoft «Найти мое устройство». Там выберите устройство, и вы увидите информацию о его местонахождении. Также вы можете заблокировать устройство на странице Мои устройства.

Это позволит вам заблокировать только потерянное или украденное устройство.

CyberYozh

Обсудить в чате 👉 https://news.1rj.ru/str/+jrxm2KHbIl9kMDQy

Наши курсы + ваши ресурсы = охрененные фурсы

🥷 «Linux Киберпанка» https://academy.cyberyozh.com/courses/linuxcyberpunk
👨‍✈️«Кибердетектив» https://academy.cyberyozh.com/courses/cyberdetective
💎«Убойный Android» https://academy.cyberyozh.com/courses/android

Вопросы? @cyberhackGL

Друзья, у нас переносится курс Linux Киберпанка на 1 октября. Спикера настигла корона.

Курс будет огненным https://academy.cyberyozh.com/courses/linuxcyberpunk, пусть и немного позже.

💥CyberWeekend: расписание (28.10 - 30.10).

Очень скоро на нашем канале пройдет онлайн-мероприятие «CyberWeekend». В течении 3-х дней мы будем делиться с вами инструкциями, материалами и уроками. В завершении каждого дня наши эксперты проведут прямой эфир и ответят на ваши вопросы.

28 октября

Видеоурок – 12:00
Встраивание физического жучка в телефон. Технические и юридические особенности. Способы обнаружения.

Видеоурок – 15:00
Парсинг telegram-чатов (18+). Собираем информация о пользователе через его сообщения.

Прямой эфир – 20:00
Что нужно уметь, если есть, что скрывать?
Спикер: Евгений Ивченков

29 октября

Видеоурок – 12:00
Выбираем "оффшорный" хостинг для VPN. Как работает цепочка серверов и какую страну лучше выбрать для создания собственного сервера.

Видеоурок – 15:00
Бесплатный конструктор VPN. Настраиваем VPN и DNS автоматически.

Прямой эфир – 19:00
Хакер и владелец сервера. Игра в прятки.
Спикер: d14k0pt1s

30 октября

Инструкция – 12:00
Когда никто не meshает. Статья-инструкция по использованию mesh-сетей.

Запись интервью – 15:00
Охота на вашу геолокацию. Как вычисляют местонахождение пользователей по их смартфонам, какие инструменты используют при охоте и как от этого защищаться.

Прямой эфир – 19:00
Сниффинг, который будет жить вечно.
Спикер: Lizard Root

31 октября – Бонусный день

🎁 Материалы из СyberYozh Private Community 2.0
🎁 Большой урок про шифрование «Защищаем данные и файлы с помощью криптографии».

📱Встраивание физического жучка в телефон. Технические и юридические особенности. Способы обнаружения. 👉 https://news.1rj.ru/str/cyberyozh_official/1119

Как узнать, кто подключен к нашему Wi-Fi?

С помощью приложения Fing вы можете видеть активность в своей сети, а также отслеживать устройства, подключенные к сети.

Вы уверены, что к вашей сети Wi-Fi подключены только ваши устройства? Возможно, у вас есть соседи, которые угадали ваш интернет-пароль и в настоящее время используют ваш канал. Кроме того, если злоумышленник имеет доступ к нашей сети, последний может получить контроль над некоторыми устройствами, такими как смарт-ТВ, или, что еще хуже, всем трафиком.

С помощью приложения Fing вы можете видеть активность в своей сети, а также отслеживать устройства, подключенные к сети. Fing может сканировать любую сеть, в которой вы находитесь. Наряду с IP-адресами устройств в сети программа также отображает информацию о моделях и MAC-адресах.
Fing также может уведомлять нас о новых подключенных устройствах в нашей сети, что может помочь нам, например, обнаружить скрытые сетевые устройства. Приложение бесплатное и доступно для устройств Android и iOS.

Что должен знать пользователь, чтобы настроить свою анонимность и безопасность?

Мы подготовили вам самый полный чек-лист, который только есть в интернете https://academy.cyberyozh.com/courses/anonymous/program

Проверь себя и не забудь расшарить другу, который думает, что все знает.

Вопросы 👉 @cyberhackGL

🔥🔥🔥 Подборка бесплатных анонимайзеров. 🔥🔥🔥

CroxyProxy.com - это самая современная бесплатная и безопасная служба веб-прокси. Он поддерживает любые виды сайтов: видео-хостинги, поисковые системы, социальные сети, почтовые сервисы и многое другое.

UnblockProxy.me - это простой веб-прокси, он действует как сервер-посредник между пользовательским интернет-трафиком и целевой веб-страницей. Это позволяет пользователям получать доступ к заблокированным веб-сайтам.

TurboHide.org - еще один бесплатный анонимайзер, который не только скрывает ваш IP-адрес, но и предлагает функцию шифрования SSL для большей конфиденциальности.

ProXurf - предлагает пользователям некоторые возможности шифрования и удаления скриптов, которые позволяют не только разблокировать все веб-сайты, но и не дать себя отследить различным трекерам.

Megaproxy – это уникальный бесплатный прокси-сервис, поскольку он не только маскирует IP-адрес пользователя, но и скрывает браузер и операционную систему (по крайней мере, он так утверждает).

Weboproxy.com - это анонимайзер на базе Tor, который позволяет пользователям получать доступ к заблокированным сайтам с функциями доп. безопасности.

GenMirror.com - Созданный для разблокировки YouTube , GenMirror является предпочтительным анонимайзером для анонимно просматривать видео.

Как зашифровать файл 👌

Picocrypt очень простая, однако очень безопасная утилита, которую вы можете использовать для шифрования своих файлов, генерирования контрольных сумм, уничтожения файлов и много чего ещё.

🔥 Что умеет:

1️⃣ Генератор устойчивых к брутфорсу паролей;

2️⃣ Возможность удалять/редактировать метаданные файла;

3️⃣ Режим «параноика»: шифрование ваших данных по XChaCha20 и Serpent и применение HMAC-SHA3 для аутентификации;

И многое другое. Cтраница на GitHub.

Ваша приватность и безопасность под угрозой. Верните её себе, благодаря защите ваших файлов с помощью Picocrypt.

Анонимный SMS-активатор.

sms-reception.com

Island - песочница, позволяющая клонировать выбранные приложения и запускать их в изоляции, предотвращая доступ к вашим личным данным или информации об устройстве.

Одна из самых мощных нейронок для обработки голоса — Alterd Studio.

Можно превратить мужской голос в женский или детский, добавить ему низких или высоких тонов без неприятного эффекта электронной обработки. Всё делается на лету.

Платно, есть недельный триал — карту не просит, можно пользоваться сразу.

Попробовать можно на официальном сайте

CENO 2.0 — мобильный веб-браузер, использующий р2р-сеть для обхода блокировок.

Построен на основе движка GeckoView (применяется в Firefox для Android).

P2P-функциональность вынесена в отдельную библиотеку Ouinet.

Использует кэширование контента на стороне каждого пользователя с поддержанием децентрализованного кэша популярного контента.

Hacker's TOYS

Инженер Джеймс Браун (James Brown) из Новой Зеландии изготовил кольцо с экраном, на котором можно запустить Doom.

Устройство работает автономно, поэтому его можно использовать в качестве украшения. Пока игровым персонажем нельзя управлять, но автор проекта уже работает над улучшением.

Hacker's TOYS