​​Как пользоваться Kali Linux в браузере

Если у вас нет возможности установить Kali Linux на свой компьютер, можно воспользоваться сайтом linuxzoo.net.

Для начала нужно зарегистрироваться и встать в очередь на использование машины. Как только подойдет ваша очередь (обычно сразу), появится окно с выбором различных способов подключения. Можно подключиться, по SSH или используя утилиту удаленного рабочего стола или напрямую в браузере через JavaScript VNC. Выбираем наиболее удобный для вас способ и подключаемся.

При входе вас попросит ввести пароль. Данные для входа в Kali Linux - Username: root, Password: Kali

#хакинг #linux

Тотальная индексация. Поиск уязвимых устройств и паролей при помощи Гугл дорков

Поскольку Гугл индексирует практически все, что подключено к интернету и имеет веб-интерфейс, мы легко можем найти некорректно настроенные устройства и службы.

Вы удивитесь, но спектр потенциальных целей довольно широк, начиная от систем управления бассейном на яхте в океане и заканчивая конфигурационными интерфейсами критических систем. Все эти устройства и службы могут оказаться подключенными к интернету, исходя из лучших побуждений, хозяева которых даже не догадываются, что девайс оказался доступным всем и каждому.

📌 Поиск уязвимых устройств и паролей при помощи Гугл дорков

​​Школьник придумал кандидата в Конгресс США и получил галочку в Twitter

Для того, чтобы зарегистрировать страницу «кандидата в Конгресс» школьник, придумал ему всю биографию. Его фотографию сгенерировал ИИ. Через несколько недель после регистрации он получил от Twitter синюю галочку, которая подтверждает его личность.

Это новая политика социальной сети, которая призвана проверить подлинность кандидатов на должность президента страны и в Конгресс. Twitter отмечал, что галочки помогут американцам «найти достоверную информацию о политиках в преддверии выборов 2020 года».

Студент отправил информацию об Эндрю Уолзе на сайт под названием Ballotpedia, с которым Twitter сотрудничает с для выявления официальных аккаунтов кандидатов на выборы. Ballotpedia передала информацию об Эндрю Уолзе в социальную сеть, несмотря на то, что у Уолза было всего 10 подписчиков

Взломать админа. Атака на организацию с применением социальной инженерии

Проверка осведомленности персонала об ИБ-угрозах является одним из самых востребованных кейсов. Проводится она, как правило, методами социальной инженерии. Цель этого эксперемента - получение информации, которая позволит реализовать атаку «повышение привилегий».

📌 Атака на организацию с применением социальной инженерии

​​Как узнать IP собеседника в переписке

Один из самых простых способов узнать IP адрес собеседника - это использование так называемых IP ловушек или IP логгеров. Принцип действия давольно прост. Достаточно того, чтобы собеседник открыл ссылку, которую вы ему пришлете. Ссылку можно замаскировать, как ссылку на изображение или на любой другой документ.

Для этого зайдите на сайт https://iplogger.ru/shortener/. Вставьте ссылку на изображение и сайт выдаст вам специальную короткую ссылку, по которой будет открываться нужный вам сайт, но при этом iplogger будет сохранять информацию о всех переходах по ссылке.

Ссылку можно сократить, к примеру через сервис bit.ly, так она будет выглядеть более правдоподобно. Дальше в ход идет социальная инженерия. Например, вы можете сказать, что это скриншот квитанции оплаты или ссылка на облако с файлами.

​​12 Марта в 19:30 Будут выбраны победители конкурса.

У Вас есть последний шанс принять участие в этом конкурсе и выиграть ценные призы.

Победители будут выбраны в случайном порядке, автоматически. Шанс на победу есть у каждого.

С условиями конкурса Вы можете ознакомиться перейдя по этой ссылке https://t.me/c/1307778786/1233

Удачи 😉

​​Двое программистов опубликовали все возможные мелодии, освободив их от авторских прав

Двое программистов записали все возможные в мире MIDI-мелодии на жёсткий диск, защитили всё его содержимое авторским правом и затем выложили в публичный доступ. Они посчитали, что таким образом они смогут прекратить поток судебных тяжб по вопросам авторских прав, которые, по их мнению, сильно ограничивают творческую свободу артистов.

Зачастую в судебных исках по вопросам нарушения авторских прав, относящихся к мелодиям песен, артистов обвиняют в «подсознательном» копировании – в частности, в случаях, когда у них был доступ к оригинальному контенту, даже если им довелось прослушать его всего единожды. Одним из самых нашумевших дел подобного рода стал иск Тома Петти к Сэму Смиту – Петти утверждал, что песня Смита «Stay With Me» чересчур похожа на его собственный хит «I Won't Back Down», и в результате Сэму пришлось указать Тома соавтором композиции, отчисляя ему часть авторских доходов.

Авторы сообщают, что весь этот материал выпущен с использованием лицензии Creative Commons Zero, а следовательно, «никакие права не защищены» – другими словами, опубликованное ими является всеобщим достоянием. Повлияет ли этот проект на судопроизводство в области авторского права, пока непонятно.

​​Как узнать на каких сайтах зарегистрирован адрес электронной почты

Сервис account.lampyre.io позволяет вам получить полную сводку по адресу электронной почты, которая будет включать в себя: аккаунты на Facebook, LinkedIn, Skype, PayPal и других, а также информацию о модели телефона и дате регистрации пользователя.

Тоже можно получить информацию о номере телефона, как например Caller ID (ФИО) и связанные аккаунты Facebook.

Для использования сервиса необходимо зарегестрироваться. В бесплатной версии доступно 4 проверки.

#полезно #OSINT

​​В Китае создали браслет-глушитель умных колонок

Очевидно, умные колонки уже доказали в массовом сознании свой статус как устройств, которым нельзя доверять. Пара исследователей из Китая создала устройство, которое позволяет скрывать разговоры от «умных» колонок. «Браслет молчания» достаточно надеть на руку, как умные часы, чтобы голосовые ассистенты не услышали речь человека.

Технически «браслет молчания» представляет собой 24 спикера, которые соединены вместе и излучают ультразвуковые волны. Для большинства людей звук незаметен, однако микрофоны вокруг начинают слышать высокочастотный шум вместо окружающих звуков.

Пока браслет существует только в виде прототипа, но исследователи утверждают, что могут изготовить его за 20 долларов.

​​Шифр Виженера

Представим, что у нас есть таблица, построенная по тому же принципу, что и приведенная ниже, и ключевое слово, допустим, «EXPLOIT». Шифр Виженера использует тот же принцип, что и шифр Цезаря, за тем исключением, что каждая буква меняется в соответствии с кодовым словом.

В нашем случае первая буква послания будет зашифрована согласно шифровальному алфавиту для первой буквы кодового слова (в нашем случае «E»), вторая буква — согласно алфавиту для второй буквы кодового слова («X»), и так далее. В случае, если послание длиннее кодового слова, то для (k*n+1)-ой буквы (где n — это длина кодового слова) вновь будет использован алфавит для первой буквы кодового слова, и так далее.

Очень долгое время шифр Виженера считался невзламываемым. Чтобы его расшифровать, для начала угадывают длину кодового слова и применяют частотный анализ к каждой n-ной букве послания, где n — предполагаемая длина кодового слова. Если длина была угадана верно, то и сам шифр вскроется с большей или меньшей долей вероятности. Если предполагаемая длина не дает верных результатов, то пробуют другую длину кодового слова, и так далее до победного конца.   abaw rwgi, epnymk

#криптография

​​Программы для взлома из сериала Мистер Робот

На Github опубликован набор для взлома сайтов, собранный по мотивам сериала Мистер Робот! В нем присутствуют программы, которые использует Эллиот, а также те, без которых при пентесте обойтись нельзя.

Можно установить как на Kali Linux, так и на Termux и OsX

Установка:
git clone https://github.com/Manisso/fsociety.git

Запуск:
cd fsociety && python fsociety.py

#хакинг #linux #termux

​​Китайские школьники обрушили рейтинг приложения для получения домашних заданий

Школьники из Китайского района Ухань, которых из-за карантина по новому коронавирусу перевели на домашние обучение, обрушили рейтинг приложения DingTalk, через которое они получали домашние задания, чтобы его удалили из AppStore и они  больше не могли  получать домашних заданий.

Школьники выяснили, что если достаточное количество пользователей поставят приложению одну звезду, оно удалится из App Store». После этого рейтинг приложения за одну ночь упал с 4,9 до 1,4. Владельцам DingTalk пришлось просить о пощаде. «Приложению только пять лет. Пожалуйста, не убивайте его», — написали они в соцсетях.

Рейтинг приложения поднялся до 2,4. И пока не ясно, кто победит в этой борьбе.

Найдется все! Изучаем методы взлома и проникновения с помощью Google

Для обычного человека Google - это просто поисковая система, используемая для поиска текста, изображений, видео и новостей. Тем не менее, в мире информационных технологий Google является полезным хакерским инструментом.

Google Dorking - это практика использования Google для поиска уязвимых веб-приложений и серверов с использованием собственных возможностей поисковой системы Google.

📌 Изучаем методы взлома и проникновения с помощью Google

​​Поиск адресов корпоративной почты

Сервис hunter.io — это инструмент поиска адресов корпоративной почты, с помощью которого можно получить контактную информацию по доменам.

Hunter.io способен делать поиск email по домену или названию организации,  искать отдельного сотрудника по имени и компании делать подтверждение работоспособности и актуальности почты, узнать количество email для одного домена или для одной компании.

Для чего это может быть полезно? Такие сведения необходимы, чтобы далее проверить найденные email'ы на компрометацию, например, на сайте haveibeenpwned.com или intelx.io

#OSINT

​​Как звонить с подменой номера прямо в телеграм

С помощью @SafeCallsBot можно совершать безопасные звонки с подменой номера, подменой голоса и еще множеством других функций.

Для того, чтобы позвонить с другого номера запустите бота и перейдите в раздел Подмена, выберите Caller ID  и введите номер, с которого вы хотите сделать вызов. Затем перейдите в раздел Позвонить и укажите номер, на который хотите позвонить. Далее вас попросят позвонить боту, через которого вы и будете говорить с абонентом.

Если такой номер уже записан в контактах у абонента, высветится как будто звонит этот контакт.

Бот дает 8 часов демо доступа для новых пользователей и тестовый баланс 0,10$, чего хватит на несколько пробных звонков. Количество смен номера не ограничено.

​​Как новая атака на Android-устройства помогает имитировать нажатия на экран

Группа исследователей из японского университета Васэда представила доклад о новом типе атак на Android-устройства. Для реализации Tap 'n Ghost понадобится специальный девайс, состоящий из медного листа, подключенного к генератору сигналов DDS и устройств для чтения/записи NFC.

После того, как пользователь разместит свой смартфон в зоне действия NFC (от 4 до 10 см), аппаратура для чтения/записи NFC может начать работу и получить базовую информацию об устройстве, а затем злоумышленник может задействовать медную пластину, чтобы вызвать электрические помехи на экране, спровоцировав возникновение нажатий на экран, эмулировуя нажатие на кнопку «Да», что позволит устройству подключиться к мошеннической сети Wi-Fi, или разрешить вредоносное соединение посредством Bluetooth

Исследователи уверяют, что такое устройство можно без труда спрятать в обычном журнальном столике, стойке кафе и других предметах мебели, на которые жертва может положить свой смартфон.

​​Как организовать спам SMS сообщениями на Termux

Для начала нам необходимо скачать Termux. Через Play Market.

Запускаем Termux и обновляем пакеты:
apt update & apt upgrade -y

Устанавливаем git:
pkg install git

Указываем ссылку на GitHub, где лежит пакет установки:
git clone https://github.com/Argisht44/android.git

Переходим в директорию и запускаем бомбер:
cd android
cd Infinite-Bomber-arm64
chmod 777 infinite-bomber
./infinite-bomber

После ввода этих команд, SMS Bomber запустится. Тебе потребуется ввести номер телефона, который ты собираешься использовать для атаки и следовать инструкции. Если запустить несколько сессий в Termux то у тебя получится отправить в разы больше SMS.

#хакинг #Termux

​​Как идентифицировать пользователей при помощи сенсоров мобильных устройств

Любой сайт или приложение могут без каких-либо специальных разрешений получить доступ к заводским данным о калибровке таких сенсоров: гироскоп, магнитометр и акселерометр. Извлечение этих данных занимает не больше одной секунды, причем положение и ориентация устройства на это не влияют.

Данные калибровки могут стать уникальным идентификатором устройства, который рекламные или аналитические компании смогут использовать для отслеживания пользователя в интернете, в том числе при переключении между разными браузерами и сторонними приложениями.

Дело в том, что данные калибровки — это постоянная, которая не изменяется даже после сброса устройства к заводским настройкам, то есть идентификатор получается надежным и неизменным, как IMEI.

Взлом IoT устройств. Или как удаленно включить чужую кофемашину

Интернет и обычная жизнь постепенно сливаются воедино. Именно такой расклад способствует сделать жизнь людей удобнее и лучше, основываясь на новых технологиях и умных устройствах. Но не все так радужно, взломщики никогда не спят.

📌 Взлом IoT устройств. Или как удаленно включить чужую кофемашину

​​Как организовать спам на электронную почтуКак организовать спам на электронную почту

Потребности спама электронной почты могут быть разные. Возможно, Вы просто хотите подшутить над другом, а возможно над недругом. Рассмотрим способ спам-рассылки электронной почты с помощью HTML скрипта.

Запускаем скрипт в браузере и в форму для ввода Email вводим почту, которую хотим заспамить. После ввода почты нажимаем кнопку «Start» и через несколько секунд спам начнётся и продлится около 10 минут. На введенный адрес электронной почты будет отправляться по несколько сотен писем в минуту.

Однако, в получаемых письмах будет указан IP адрес компьютера, на котором был запущен скрипт, так что для безопасности стоит использовать VPN или TOR.

💾 Скачать скрипт можно из Библиотеки хакера