💻Насколько безопасны биометрические терминалы?

Свежих новостей про 👍биометрию вам подвёз. 🚚Разгружаем.

Как сообщают исследователи из "Лаборатории Касперского", биометрические устройства, используемые в целях 💻улучшения физической безопасности, могут нести не только удобство и пользу, но и 😷 большие риски для вашей информационной системы.

↔️ Если передовые технологии вроде биометрии обернуты в незащищенное устройство, это практически сводит на нет весь смысл биометрической аутентификации. Так, недостаточная настройка терминала может привести к тому, что он окажется уязвимым к простым атакам. Как следствие, физическую безопасность критических зон в организации станет легко нарушить.

В ходе исследования 👁биометрического терминала производства 🎰ZkTeco обнаружено🕷❗️24 уязвимости.

Многие из них оказались похожи друг на друга, потому что возникали из-за ошибки в одном месте внутри библиотеки, служащей «оберткой» для базы данных. Мы обобщили эти уязвимости как множественные, указав тип и причину возникновения, поэтому конкретных CVE в итоге вышло меньше.

📊Статистика выглядит следующим образом:

▶️6 SQL-инъекций;
▶️7 переполнений буфера на стеке;
▶️5 инъекций команд;
▶️4 записи произвольных файлов;
▶️2 чтения произвольных файлов.

📔 https://securelist.ru/biometric-terminal-vulnerabilities/109673/

🖥 https://github.com/klsecservices/Advisories

✋ @Russian_OSINT

🔥 Полезные библиотеки Python

😕 Geogramint — OSINT инструмент, который использует API Telegram для определения местоположения пользователей в Telegram

Geogramint находит только пользователей и группы Telegram, которые активировали функцию “Люди Рядом”.

Поддерживается в Windows и частично в дистрибутивах Mac OS и Linux.

Установка:

$ git clone https://github.com/Alb-310/Geogramint.git

$ cd Geogramint/

$ pip3 install -r requirements.txt

Использование:

$ python3 geogramint.py # for GUI mode

$ python3 geogramint.py --help # for CLI mode

⚙️ GitHub/Инструкция

#python #osint #soft #github

🔤 Masscan – быстрый сетевой сканер, который хорошо подходит для сканирования большого диапазона IP-адресов и портов. Это самый быстрый сканер портов Интернета, отправляя 10 миллионов пакетов в секунду, он может сканировать весь интернет за 6 минут.

➡️https://github.com/robertdavidgraham/masscan

🍪 Поддержать канал
📱 НАШИ КОНТАКТЫ

#⃣ #OSINT #CYBINT #TOOLS #MASSCAN

🐬 Flipper Zero — мнение пентестера после двух лет «полевой» эксплуатации.

• Летом 2020 года компания Flipper Devices Inc. вышла на Kickstarter с девайсом Flipper Zero. Их стартовой целью было собрать 60К$. Но за первые сутки было собрано 1млн$. За сутки?! Мультитул произвел настолько сильную шумиху в сообществе, что про Flipper Zero теперь знает каждый второй пользователь интернета, сидящий в YouTube.

• Одновременно с этим, у некоторых людей складывается определённое мнение, что с помощью этого инструмента можно только развлекаться с крышками зарядного порта Tesla, копировать ключи от домофона и выключать телевизоры в KFC. Таких людей встречал очень много и они все мне старались доказать, что данный инструмент только для баловства и с точки зрения проведения пентестов он совершенно не подходит, хотя это абсолютно не так...

• Один из пентестеров и социальных инженеров компании Бастион согласился поделиться впечатлениями от использования этого устройства. Он честно рассказал, полезен ли Flipper для проведения тестов на проникновение, какие задачи позволяет выполнять на объектах клиентов и стоит ли устройство своих денег. Рассмотрим плюсы и минусы девайса, с которыми приходится сталкиваться в «полевых» условиях.

• Содержание статьи:
- Для чего может понадобиться Flipper?
- Первые впечатления;
- Как применяют Flipper в бою;
- Клонирование пропусков;
- Эмуляция радиокнопок;
- Преимущества Flipper с точки зрения пентестера;
- Минусы Flipper Zero c точки зрения пентестера.

➡ Читать статью [8 min].

S.E. ▪️ infosec.work ▪️ VT

💻 Инструкция по обеспечению безопасности смартфонов от АНБ "Mobile Device Best Practices". Несмотря на то, что писалась она еще в 2020 году, актуальность не утрачена.

🍪 Поддержать канал
📱 НАШИ КОНТАКТЫ

#⃣ #PHONE #NSA #SECURITY

🧭 Кибербезопасность: главные принципы

📖 OSINT: инструментарий по анализу профилей VK

Подавляющее большинство из вас интересует анализ физ. лиц, что-ж, да будет так, подготовил вам подборку различных ботов и сервисов(ГБ и др. в список не включены, о них и ленивый знает). В РУ-сегменте основоположником анализа по соц. сетям является VK, телега хоть и стала отдаляться от понятия мессенджера трансформируясь в соц. сеть и набирать всё бОльшую популярность, но пока и рядом не стояла по объёму потенциально важной информации о цели 👮‍♀️

— Стоит отметить, что ВКонтакте уже начал умирать, и по моим предположениям, уже через два-три года былой актуальности от анализа ждать не стоит, народ заметно реже стал им пользоваться. Всё же, VK остаётся ключевым инструментом при анализе биографии человека, его интересов, окружения, происхождения и др. 🌃

1. 220vk — Старый, добрый и весьма потрёпанный сервис, позволяющий определить скрытых друзей, узнать на кого подписалась/отписалась цель и её интересы исходя из подписок на сообщества и людей (с временным таймлайном), а также какие были изменения в профиле и др.
2. VKHistoryRobot — Бот в тг, даст вам представление о том, как профиль выглядел в прошлом(очень полезен в случае, если профиль закрытый) предоставляет информацию в виде краткого дампа: Ф.И.; URL; фотография.
3. FindClone, search4faces — сервисы обратного поиска изображения по VK, позволяют произвести поиск профиля по загруженной фотографии, search4faces из этих двух - бесплатен.
4. Social Graph Bot — бот в телеге, позволяющий выстроить графы взаимосвязей среди списка друзей , с этим инструментом вы поймёте: насколько разноплановое окружение, кто из списка друзей является родственником и т.д; легитимен ли аккаунт и имеет ли он связь с какой либо группой лиц. (применений масса, вот вам гайд с хабра)

❗️ Есть и другие сервисы, но выдача по ним гораздо менее эффективна, заострять внимание смысла не вижу, но можете поспорить в комментариях, хоть актив вырастет в чате 🏆

#OSINT #VK | 😈 @secur_researcher

📖 Общедоступная и неочевидная практика OSINT, методы и кейсы

Пожалуй, одно из самых толковых выступлений на тему осинта, запись попадалась на глаза ещё несколько лет назад, но канал в тот момент я ещё не вёл, так, что - Максим, настало твоё время! 👍

00:38 - Что такое OSINT
01:20 - Место OSINT в ИБ
03:05 - Сфера применения OSINT
07:08 - Модельный кейс
22:11 - Практический кейс №1: на чистую воду
31:18 - Практический кейс №2: как всё устроено
34:16 - Практический кейс №3: плохая пресса
38:14 - Практический кейс №4: шекспировские страсти
41:25 - Практический кейс №5: некачественная доставка
45:07 - Практический кейс №6: неконкурентные торги
47:44 - Методы: сбор информации по открытым источникам
54:01 - Информация с веб-ресурсов
1:02:16 - Сведения о физических лицах
1:05:06 - Социальные графы
1:06:40 - Сведения о юридических лицах

Кейсы разобранные от Максима Авдюнина разноплановые, для себя можете подчеркнуть инструментарий и алгоритм поиска, в общем, советую.

📤 Проводим исследования в социальной сети ВКонтакте. Принимаю вызов от коллег и делюсь действительно полезными источниками и методами, применяемыми при проведении расследований.

1️⃣ Мониторинг и поиск постов доступен через саму социальную сеть, различные дорки (site:vk.com) и Крибрум
2️⃣ Аналитика профилей и сбор публичной информации о пользователях возможен в публичных сервисах, таких как: 220vk, city4me, nebaz или коммерческом ИАС "Буратино"
3️⃣ Поиск совпадений по фотографии пользователя FindClone, search4faces. Обнаружение геолокаций по фото GeoSpy
4️⃣ Поиск совпадений по имени или никнейму пользователя кастомный Google, Social Searcher, Maigret и Namech_k
5️⃣ Поиск публичных упоминаний пользователя по ID (замените 1 на нужный ID)
6️⃣ Визуализация связей пользователя Social Graph Bot и Yasiv
7️⃣ Архив профилей VKHistoryRobot, Archive.org, BotsMan
8️⃣ Логирование canarytokens и iplogger
9️⃣ Установление профилей администраторов сообществ возможно через приложение InfoApp или посредством поиска GIF-файлов на стене сообщества

🍪 Поддержать канал
📱 НАШИ КОНТАКТЫ

#⃣ #OSINT #VK