Ворганов

Методы разведки

2025-01-22T22:12:50.928Z

Когда говорят о разведке в кибербезопасности, подразумевают естественно киберразведку. Это относительно новое направление, которое только-только начинает развиваться.

Здесь может показаться, что термин киберразведка очень схож с уже изученным осинтом. Это не совсем так, поэтому давайте разбираться.

лько-только начинает развиваться.

OSINT — разведка, собирающая данные в открытых источниках, но данные преимущественно не технические (сведения о людях, местах, событиях и т. п.), позволяющие выявить индикаторы кибератаки.

Есть еще одно направление, называемое TI (Threat Intelligence). Здесь уже речь о сборе технических данных, в том числе индикаторов компрометации (IOC), способов атак, используемых эксплойтов и уязвимостей. Эти данные предоставляются в виде фида конечному потребителю. Однако Threat Iintelligence не занимается тем, чем занимается осинт.

И вот тут-то, на стыке Threat intelligence и OSINT рождается киберразведка. Многие компании/эксперты чаще всего называют киберразведку Threat Intelligence, это НЕ неправильно, просто потому что она берёт немного из OSINT и по максимуму из Threat intelligence. Почему из Threat Iintelligence берётся больше, чем из OSINT? Потому что в последнем есть очень много направлений. OSINT включает и научно‑техническую разведку, и разведку, связанную с визуальными образами, и многое другое. Киберразведке интересно только несколько областей из большого количества направлений разведки по открытым источникам — в первую очередь, всё связанное со взаимодействием с людьми.

Далее идет разделение:

FININT - финансовая разведка. Тут в данном случае киберразведка ограничивается областью криптовалют, поскольку конечная цель — с помощью специализированных методов получить на основе данных Bitcoin-кошелька электронный почтовый адрес, который с ними ассоциирован
SOCINT - разведка по социальным сетям, получение информации по профилям из различных соцсетей.
HUMINT - яркий пример - общение с объектом, задавая ему наводящие вопросы для представления уже предмета разведки.

Киберразведка - это один из наиболее сложных и в то же время важных элементов ИБ в компании. Она помогает выстроить надёжную систему защиты с опорой на информацию о хакерских группировках, атаки которых направлены против компаний в конкретном регионе или определённой сфере деятельности.

Существует три уровня киберразведки:

Стратегический - закачики (топ-руководители компании) должны оценить совокупность киберугроз и риски для бизнеса. Результат - изменения в информационной политике компании
Операционный - средний менеджмент компании должен пересмотреть цели и обеспечить выполнение задач. Сюда также относится пресечение вторжений и обеспечить устранение изъянов в компании
Тактический - разведка проявляется в применении различных тактических приемов, методик и процедур. Эти пункты помогают выявлять угрозы и противостоять им.

В принципе как и во всех практиках кибербезопасности многое зависит от выбранной стратегии (или как это модно называть - вектора). Но если один вектор не сработал, это не означает, что не надо прибегать ко второму и так далее. Необходимо проэксплуатировать все варианты.

Работа была одобрена Воргановым.

Разведка данных

Разведка социальных сетей.

2025-01-22T22:01:27.701Z

Здраствуйте на связи ворганов, сегодня я вам расскажу что такое socmint, или же всем известная разведка социальных сетей. Начнем.

Разведка социальных сетей ( SMI или SOCMINT ) включает в себя коллективные инструменты и решения, которые позволяют организациям анализировать разговоры, реагировать на синхронизацию социальных сигналов и синтезировать социальные точки данных в значимые тенденции и анализ на основе потребностей пользователя. Разведка социальных сетей позволяет использовать сбор разведданных с сайтов социальных сетей , используя как интрузивные, так и неинтрузивные средства, из открытых и закрытых социальных сетей . Этот тип сбора разведданных является одним из элементов OSINT (Open-Source Intelligence).

Кем был введён данный термин?

Термин был введен в научный оборот в 2012 году в статье, написанной сэром Дэвидом Омандом , Джейми Бартлеттом и Карлом Миллером

Как деанонимизировать пользователей в Telegram.

2024-12-27T00:59:26.288Z

Введенние: Telegram, один из самых популярных мессенджеров в мире, привлекает пользователей своей скоростью, удобством и заявленной безопасностью. Однако, несмотря на репутацию защищенной платформы, вопросы приватности в Telegram остаются актуальными, особенно на фоне растущих случаев деанонимизации пользователей.

Приватность в Telegram: мифы и реальность

Telegram позиционирует себя как платформа с высоким уровнем безопасности и приватности, предлагая такие функции, как секретные чаты с end-to-end шифрованием. Однако реальность может отличаться от рекламных заявлений.

Ключевые факты о приватности в Telegram:

• Метаданные: Telegram собирает различные метаданные, включая IP-адреса, информацию об устройствах и историю изменения имен пользователей. Эти данные могут быть использованы для отслеживания активности пользователей.

• Запросы властей: В некоторых случаях Telegram может быть вынужден раскрыть данные пользователей по запросу правоохранительных органов. Например, в 2022 году власти Германии получили доступ к данным пользователей Telegram в рамках расследования экстремистской деятельности.

• "Живое" местоположение: Функция обмена "живым" местоположением может раскрыть точные координаты пользователя, если не использовать ее с осторожностью.

• Публичные каналы и группы: Информация, размещенная в публичных каналах и группах, может быть доступна и индексироваться поисковыми системами, что увеличивает риск деанонимизации.

Понимание этих аспектов крайне важно для осознанного использования Telegram и защиты своей приватности в 2024 году.

Методы деанонимизации в Telegram:

Деанонимизация пользователей Telegram может происходить различными способами, от простого анализа открытых данных до сложных технических методов. Рассмотрим основные подходы:

1. Анализ открытых источников (OSINT)

• Сопоставление никнеймов и профилей на разных платформах

• Анализ публичных сообщений и комментариев.

• Исследование фотографий профиля и других визуальных материалов.

2. Технический анализ

• Использование специализированных инструментов для анализа сетевого трафика (например, Wireshark).

• Отслеживание IP-адресов и их сопоставление с географическим местоположением.

• Анализ метаданных сообщений и файлов.

3. Социальная инженерия

• Использование ботов-ловушек для сбора данных

• Провоцирование пользователей на раскрытие личной информации.

• Анализ поведенческих паттернов в чатах и группах. На этом я думаю закончить, в этой статье мы поговорили о методах деанонимизации пользователя в телеграмме. Работа была выполнена Воргановым.

На этом я думаю закончить, в этой статье мы поговорили о методах деанонимизации пользователя в телеграмме. Работа была выполнена Воргановым.

OSINT - Информация

2024-12-26T00:29:14.298Z

OSINT – Open Source Intelligence, или разведки из открытых источников. Это весьма эффективный способ познания информации о человеке.

Современные реалии таковы, что тем, кто хочет узнать о вас побольше информации, уже не надо долго её собирать по различным материальным источникам. Вы сами напишите на себя досье в своих социальных сетях, комментариями под постами друзей и т.д. Разведчику нужно только проанализировать весь тот объём информации, который вы ему даёте и структурировать её.

Итак, сейчас мы поговорим именно про методы и инструменты OSINT. Я предлагаю не задерживаться и сразу начинать.

Как это все работает?

Фактически, весь OSINT сводится к тому, что вы просто анализируете всю доступную в интернете информацию о человеке. Внезапно, но для этого её надо ещё и найти, тут есть два пути: ручной поиск и автоматизация.

Ручной поиск информации действительно актуален очень редко, только когда вам надо выполнить поиск на очень специфических сайтах или на сайтах, которые не анализируются доступными инструментами (ну, или нужно проанализировать один или два источника и нет смысла использовать инструменты).

При автоматизированном же поиске между вами и процессом поиска есть посредник — ваш фреймворк. Именно он выполняет поиск по сотням различных источников, предоставляя вам полученную информацию. Всё, что вам нужно сделать — проанализировать и структурировать её, а также сделать выводы (хотя сейчас эту функцию постепенно берут на себя программы).

В целом, тут и дураку поймёт, что автоматизация намного лучше. Например, один из самых лучших инструментов для поиска по нику (он называется snoop и о нем речь пойдёт позже) выполняет поиск как минимум по 500 источникам. Руками вы будете это делать часа полтора, а у программы уходит меньше двух минут.

Как мы уже поняли, все операциация.

Инструменты

Основными инструментами при поиске по открытым источникам являются инструменты для:

Сбора информации;

Анализа и визуализации (особенно полезно, если вы проводите полноценное расследование);

Мониторинга появления новой информации где-либо (полезно, если вы используете соцсети для разведки, а цель активно их ведёт);

Анализа сайтов и поиск уязвимостей на серверах (это отдельная большая тема, в этой статье я её рассматривать не буду);

Поиск Информации

Итак, начнём с самого простого (но не всегда) - поиск информации. В общем, тут есть много различных вариантов того, что нам может быть дано. Это может быть всё, что угодно, начиная от фото машины, заканчивая каким-то личными данными.

данными.

Фактически, если вы знаете реальное имя цели, вы запросто её найдёте в соцсетях (за очень редким исключением), а затем вы узнаете всё, о том, с кем цель общается, где живёт и т.д. Даже если в профиле у цели нет ни одной фотографии, но есть хоть одни друг, вы всё равно сможете узнать, как минимум город проживания, а при определённых удачных условиях — всё, с точностью до дома и этажа.

После того, как вам станет известен ник хоть в одной социальной сети, вы сможете попробовать найти этого же человека и в других соцсетях. Т.к. люди в большинстве своём склонны использовать схожие username’ы на разных сервисах.

Поиск по фото

Теперь давайте немного о поиске по изображению. Как я и говорил раньше, люди не только написали на себя досье, но многие ещё и приложили большой объём своих фотографий. И мы можем это использовать, чтобы найти человека, даже если пока не знаем его имени, но у нас есть хоть одно его фото.

Инструмент, которым лично я пользовался, и он меня вполне устраивает: https://search4faces.com/en/ Относительно быстро и удобно ищет людей по фото (преимущественно с аватарок) в ВК, TikTok и одноклассниках. В интерфейсе разберётся любой. Больше про него ничего сказать не могу.

Поиск по местности

Далее не менее важен поиск по местности, т.е. когда у нас есть пара — тройка фоток и нам надо узнать, где это снято. Тут выбор инструментов очень большой, по факту можно использовать даже банальный Google Maps, но есть и более удобные инструменты:

• 2gis - https://2gis.ru/ — хорошо подходят для поиска какого-либо малого бизнеса, т.к. там отмечены даже границы помещений внутри здания, в котором сидит компания.

• DualMaps - https://www.dualmaps.com/ — если кратко: это просто Google Maps с двух разных ракурсов и Google Street Viewer. Это может быть полезно, например, если нет возможности использовать второй монитор, а переключаться между окнами неудобно.

• demo.f4map - https://demo.f4map.com/#camera.theta=0.9 — хорошо детализированная 3D карта. Может быть полезна, если надо «заглянуть» в какой-нибудь двор или посмотреть на город в 3D.

Поиск по Email

Теперь, немного про поиск по Email:

https://haveibeenpwned.com/ — проверка на наличие Email’а в слитых базах;

https://github.com/mxrch/GHunt — поиск информации о владельце Google аккаунта;

Поиск по номеру телефона

Также не будем забывать про поиск по номеру телефона, тут всё просто:

PhoneInfoga - https://github.com/sundowndev/phoneinfoga — одна из самых лучших программ для этого. Я не буду на неё останавливаться, я думаю Google’ом все пользоваться умеют.

"OPEN — SOURCE INTELLIGENCE"

На этом я думаю и закончить, в следующей статье я напишу как мониторить и анализировать информацию соц. сетей.

Масштабную работу выполнил t.me/flased или же Ворганов.

Метаданные #2

2024-12-25T16:16:52.053Z

Виды метаданных:

• Описательные метаданные — это дополнительные данные, которые помогают изучать содержимое книг и файлов для их дальнейшего сбора или группирования. Например, описательные метаданные научной статьи будут включать такие сведения, как заголовок или имя автора публикации, аннотацию, используемые в работе ключевые слова и т. д.

• Структурные метаданные — это информация о том, как хранятся данные. Например, цифровую книгу можно скачать в виде изображений отдельных страниц, файла PDF или HTML. Структурные метаданные телефонного разговора будут включать длительность и время разговора, а цифрового изображения — размер и тип файла.

• Административные метаданные используются для управления ресурсом или контентом. Пример: лицензионные ограничения на распространение информации, права доступа с определёнными условиями использования. Такие метаданные полезны для администраторов баз данных или трафика.

Примеры метаданных:

Метаданные используются при организации разных видов цифровой информации. Вот несколько примеров:

• Изображения — метаданные включают в себя производителя камеры, используемое программное обеспечение для редактирования, время диафрагмы объектива, время экспозиции, ориентацию, цветовое пространство, яркость, владельца камеры и даже местоположение изображения по GPS.

• Электронная почта — имя и адрес электронной почты отправителя и получателя, IP-адрес, с которого оно было отправлено, точное время его отправки и пр.

• Социальные сети — указанные в учётной записи сведения, привязанный к аккаунту номер мобильного телефона, список друзей, лайки, просмотры и т. д.

•Веб-страницы — заголовок страницы, дата публикации, описание, ключевые слова.

Метаданные - Что это?

2024-12-25T15:58:30.916Z

Метаданные — это средство классификации, упорядочивания и характеристики данных.

Проще говоря, метаданные — это данные о данных (об их составе, содержании, статусе, происхождении, местонахождении, качестве, форматах, объёме, условиях доступа, авторских правах и т. п.).

Ежедневно мы отправляем электронные сообщения или файлы. У каждого такого послания есть не только содержание, но и дата и время отправки, указание отправителя и получателя, тип вложения, его объём и прочие характеристики. Это и есть метаданные.

Пример употребления на "Секрете"

«ProPublica обвинила корпорацию в сборе метаданных пользователей WhatsАpp — картинок, номеров телефонов, часовых поясов и даже IP-адресов. Куда они потом передавались? Журналисты ProPublica утверждают, что прямиком к американским силовикам».

Нюансы

Изначально этот термин означал средство каталогизации архивной информации: карточки библиотечного каталога включают систематизированные данные о каждой книге, в том числе название книги, его автора, жанр, аннотацию и т. д. Идея метаданных с тех пор не изменилась, хоть поле деятельности перешло в цифровой мир. По сути, вы генерируете метаданные прямо сейчас.

У любого файла, телефонного разговора, публикации в Facebook, видеофильма или перевода денег через банковское приложение есть метаданные. Мы часто не замечаем их, поскольку наше внимание закономерно сфокусировано на содержании. Но метаданные неотделимы от самих данных — трудно представить себе документ, у которого нет даты создания или редактирования.

Наличие возможности фильтровать метаданные значительно облегчает поиск определённого документа, файла или контента, ведь они содержат больше ценной информации, чем может показаться на первый взгляд. По метаданным можно выследить человека или получить на него компромат, полностью изменив его жизнь.

Доступ к вашим метаданным, которые передаются через интернет, есть у самых разных людей и организаций. Это могут быть как маркетологи, так и хакеры с госорганами. Например, заголовки писем могут быть доступны не только отправителю и адресату, но и почтовым провайдерам и даже спецслужбам. Владелец сайта, на который вы заходите, может узнать не только ваш IP-адрес, но и версии браузера и операционной системы. Это объясняется тем, что зачастую метаданные общедоступны и никак не защищены.

Правительства разных стран требуют от телекоммуникационных компаний хранить метаданные определённое количество времени для нужд правоохранительных органов и спецслужб. В России за эту процедуру отвечает «пакет Яровой», который предписывает сотовым операторам и интернет-компаниям хранить до шести месяцев весь пользовательский трафик — переписку в мессенджерах, социальных сетях и электронной почте, аудиозаписи звонков. При этом метаданные — то есть информацию о том, кому и когда звонил или пересылал файлы пользователь, — нужно хранить ещё дольше, а именно в течение трёх лет. Правоохранительные органы могут получить эту информацию по запросу.

Google Dorks

2024-12-23T23:03:01.463Z

Google Dorks или Google Hacking — техника, используемая СМИ, следственными органами, инженерами по безопасности и любыми пользователями для создания запросов в различных поисковых системах для обнаружения скрытой информации и уязвимостях, которые можно обнаружить на общедоступных серверах. Это метод, в котором обычные запросы на поиск веб-сайтов используются в полную меру для определения информации, скрытой на поверхности.

Как работает Google Dorking?

Данный пример сбора и анализа информации, выступающий как инструмент OSINT, является не уязвимостью Google и не устройством для взлома хостинга сайтов. Напротив, он выступает в роли обычного поискового процесса данных с расширенными возможностями. И это не в новинку, так как существует огромное количество веб-сайтов, которым уже более десятка лет и они служат как хранилища для изучения и использования Google Hacking.

В то время как поисковые системы индексируют, сохраняют хедеры и содержимое страниц, и связывают их между собой для оптимальных поисковых запросов. Но к сожалению, сетевые пауки любых поисковиков настроены индексировать абсолютно всю найденную информацию. Даже несмотря на то, что у администраторов веб ресурсов не было никаких намерений публиковать этот материал.

Однако самое интересное в Google Dorking, так это огромный объем информации, который может помочь каждому в процессе изучения поискового процесса Google. Может помочь новичкам в поиске пропавших родственников, а может научить каким образом можно извлечь информацию для собственной выгоды. В общем, каждый ресурс интересен и удивителен по своему и может помочь каждому в том, что именно он ищет.

Какую информацию можно найти через Dorks?

Начиная, от контроллеров удаленного доступа различных заводских механизмов до конфигурационных интерфейсов важных систем. Есть предположение о том, что огромное количество информации, выложенной в сети, никто и никогда не найдет.

Однако, давайте разберемся по порядку. Представьте себе новую камеру видеонаблюдения, позволяющая просматривать ее трансляцию на телефоне в любое время. Вы настраиваете и подключаетесь к ней через Wi-Fi, и загружаете приложение, для аутентификации входа в систему камеры наблюдения. После этого можно получить доступ к этой же камере из любой точки мира.

На заднем плане не все выглядит таким простым. Камера посылает запрос на китайский сервер и воспроизводит видео в режиме реального времени, позволяя войти в систему и открыть видеотрансляцию, размещенную на сервере в Китае, с вашего телефона. Этот сервер может не требовать пароля для доступа к каналу с вашей веб-камеры, что делает ее общедоступной для всех, кто ищет текст, содержащийся на странице просмотра камеры.

И к сожалению, Google безжалостно эффективен в поиске любых устройств в Интернете, работающих на серверах HTTP и HTTPS. И поскольку большинство этих устройств содержат определенную веб платформу для их настройки, это означает, что многие вещи, не предназначенные быть в Google, в конечном итоге оказываются там.

Безусловно, самый серьезный тип файлов, это тот, который несет в себе учетные данные пользователей или же всей компании. Обычно это происходит двумя способами. В первом, сервер настроен неправильно и выставляет свои административные логи или журналы в открытом доступе в Интернете. Когда пароли меняются или пользователь не может войти в систему, эти архивы могут утечь вместе с учетными данными.

Второй вариант происходит тогда, когда конфигурационные файлы, содержащие ту же информацию (логины, пароли, наименования баз данных и т.д.), становятся общедоступными. Это файлы должны быть обязательно скрыты от любого публичного доступа, так как в них часто оставляют важную информацию. Любая из этих ошибок может привести к тому, что злоумышленник найдет данные лазейки и получит всю нужную информацию.

Данная статья иллюстрирует использование Google Dorks, для того чтобы показать не только как находить все эти файлы, но и насколько бывают уязвимы платформы, содержащие информацию в виде списка адресов, электронной почты, картинок и даже перечня веб-камер в открытом доступе.

@flased - Работал Ворганов

Луковый протокол

2024-12-22T22:58:35.976Z

Луковый протокол [Onion routing] — технология анонимного обмена информацией через компьютерную сеть. Сообщения неоднократно шифруются и затем отсылаются через несколько сетевых узлов, называемых луковыми маршрутизаторами.

t.me.flased

#Инструменты

2024-12-19T18:49:19.472Z

Darkdump — поиск в Deep Web прямо из вашего терминала

Darkdump — это простой скрипт, написанный на Python3.9, который позволяет пользователям вводить поисковый запрос, и darkdump вытащит все веб-сайты, относящиеся к этому запросу.

Заголовок:

2024-12-16T18:27:15.055Z

Что такое OSINT?

2. OSINT в сфере информационной безопасности.

3. Инструменты и алгоритмы.

Что такое Osint?

OSINT — Open Source Intelligence — разведка из открытых источников. Думаю, не сложно догадаться почему OSINT-специалисты — одни из самых востребованных специалистов в сфере информационной безопасности (Если не самые востребованные). Людям любой специальности часто приходится прибегать к разведке из открытых источников, даже вам. Прежде чем что-то купить, подписать, утвердить, чему-то поверить, нужно это "что-то" изучить и проанализировать, ведь так? Поэтому, OSINT — занятие не только хакеров и детективов. Вы сталкиваетесь с разведкой из открытых источников каждый день, вероятно, даже об этом не задумываясь. Вот почему специалисты в сфере поиска и анализа информации так востребованы.

OSINT в сфере информационной безопасности

Со взломом, так же, как и с покупкой товара, нужно сначала изучить и проанализировать предмет, с которым вы собираетесь взаимодействовать.

Как пример, мы возьмем сервис любой компании. Очевидно, что слепо взламывать будет глупо и иррационально, тем более, когда вас никто не ограничивает во времени. Перед тем, как взломать сервис, следует: проанализировать сайт компании; проанализировать все сведения касательно компании из сторонних источников; найти людей с руководящей должностью, чтобы использовать "их указания" как предлог для проведения мероприятий социальной инженерии и т.д.

Можем взять пример проще, с которым вам, я уверен, вам, как читателю, приходится сталкиваться чаще. Представим, что вы попали в ситуацию, в которой вам нужно найти сведения о вашем собеседнике в Telegram — "пробить". Этот самый "пробив" и подразумевает под собой сбор OSINT и, вероятно, HUMINT — сбор разведывательного досье путём мероприятия социальной инженерии.

Поисковые системы для поиска и анализа существенных вводных данных:

1. Глаз Бога

2. QuickOsint

3. Userbox

4. InfoLAB

5. LeakOSINT

Если существенных вводных данных не нашлось, то вы можете использовать инструмент Insight, чтобы выстроить план проведения HUMINT.

Утилиты для анализа информации:

1. Maigret (поиск информации по alias`у)

2. Satoshi (простенький мультитул с выдачами на русском языке)

3. Holehe (поиск используемых сервисов по email)

4. Devanok (мультитул с выдачами на русском языке, есть функция поиска торрент треккеров по внешнему IP)

5. Mr.Holmes (Один из самых любимых инструментов для обработки данных)

6. Nmap (Поиск открытых портов, сканирование сети, поиск хостов)

Инструменты:

1. Maltego (визуализация данных)

2. Shodan (поисковая система серверов)

3. vk220 (архив ВК)

4. city4me (архив ОК)

5. iplogger (получение внешнего IP адреса и useragent путём мероприятия социальной инженерии)

6. NAMINT (поиск возможных логинов на основе ФИО)

7. GeoSPY (Нейросеть, для проведения гео-разведки по фото)

8. PimEyes, search4faces (OSINT по фото)