Наш Telegram канал — t.me/overlamer1
Второй канал — www.youtube.com/c/igorover
Паблик — overpublic1 — vk.com/over_view

Заказать рекламу вы можете здесь:
bit.ly/2nChGY8

Инстаграмчик здесь:
www.instagram.com/overbafer1

AliExpress в рамках закона [Bad AliExpress]:
vk.com/public137607137

Некультурный AliExpress:
vk.com/public146011210

Многие юзеры не обращают внимания на оповещения в браузере, да в целом не обращают внимания на все оповещения. Ведь «Google нам ничего плохого не желает» или «Да у меня стоит антивирус и я в полной безопасности». Как же они заблуждаются… Искать по IP уже не нужно, даже не нужен доступ к геолокации, или встроенному GPS. Все происходит путем API. С помощью API геолокации можно узнать, в каком месте находится пользователь — конечно, всегда с его согласия, но почти все не обращают внимания на вспыльчивые окна.
Да и не обращают внимания на сайт в целом. Но, что произойдет если злоумышленник создаст такой сайт, с помощью которого сможет удаленно управлять вашим устройством, будь то компьютер или смартфон. И это не сказки.
Trape — инструмент, который позволяет следить за людьми, получая при этом довольно обширный объём информации.
На что он способен:
· Одной из функций является дистанционное распознавание сеансов. Вы можете знать, где человек был зарегистрирован, удаленно. Это осуществляется в соответствии с политикой происхождения (SOP)
· В настоящее время вы можете попробовать все, начиная с веб-интерфейса. (Консоль, становится предварительным просмотром журналов и действий)
· Регистрация зараженных устройств проходят в режиме реального времени.
· При наличии большого количества информации, можно модифицировать векторы атаки, продуманные и изощренные.
· Проведение фишинг-атак в реальном времени
· Картографирование по API и GPS
· Получение важных конфиденциальных данных
· Захват учетных данных
· Интеграция с открытым исходным кодом (OSINT)
И антивирус вас не спасёт, поскольку вы сами предоставите доступ злоумышленнику к вашему устройству по вашей же невнимательно.
Единственное решение — всегда делать акцент на те ресурсы, на которые переходите. Не предоставляйте доступ неизвестным программам и сайтам к вашему устройству, да и вообще в целом не посещайте те источники, которые кажутся для вас сомнительными.
Ваша безопасность — в вашим руках.
Если произойдёт что-то плохое то полиция не сможет отследить злоумышленника, туннель с ngrok просто уничтожится не оставив за собой зацепки.
Более подробных и конкретных данных по защите от подобного метода атаки я дать не могу, благо инструмент сырой, поэтому вероятность успешной эксплуации мала.

ПРОДОЛЖЕНИЕ — www.youtube.com/watch?v=FD8KfP8W6uQ
Наш Telegram канал — t.me/overlamer1
Второй канал — www.youtube.com/c/igorover
Паблик — overpublic1 — vk.com/over_view

Заказать рекламу вы можете здесь:
bit.ly/2nChGY8

Инстаграмчик здесь:
www.instagram.com/overbafer1

AliExpress в рамках закона [Bad AliExpress]:
vk.com/public137607137

Некультурный AliExpress:
vk.com/public146011210

#whatsapp #уязвимость #pentest

Уязвимости WhatsApp
По состоянию на начало 2018 года приложение для обмена сообщениями, принадлежащее Facebook, — WhatsApp имеет более 1,5 миллиарда пользователей, более миллиарда групп и 65 миллиардов сообщений, отправляемых каждый день. С таким большим количеством пользователей есть большая вероятность для онлайн-мошенничества, фишинга и фальшивых новостей.
Группа Check Point Research недавно обнародовала новые уязвимости в популярном приложении для обмена сообщениями, которые могут позволить злоумышленникам перехватывать и обрабатывать сообщения, отправленные как в личных, так и в групповых чатах, предоставляя им огромные возможности для создания и распространения дезинформации. Так как подменить сообщения WhatsApp?
Давайте взглянем на виды угроз:
1) Используя функцию «цитата» в групповом диалоге можно изменить имя отправителя, даже если этот человек не является членом группы.
2) Изменить текст чужого ответа. То есть подмена сообщений в WhatsApp
3) Отправлять личные сообщения члену группы, когда тот заблокировал эту возможность.
Как известно, WhatsApp шифрует каждое отправляемое вами сообщение: изображение, звонок, видео и тд., чтобы его мог видеть только получатель.
Эти процессы шифрования привлекли, и решили попробовать изменить алгоритм WhatsApp для расшифровки данных. И после расшифровки WhatsApp они обнаружили, что WhatsApp использует для этого «протокол protobuf2».
Преобразовав эти данные protobuf2 в Json, они смогли увидеть фактические отправленные параметры и манипулировать ими, чтобы проверки безопасности WhatsApp.
Для манипуляции потребовался инструмент BurpSuite. Однако, чтобы начать манипулирование, сначала нужно получить закрытый и открытый ключ нашего сеанса и заполнить его в нашем расширении burpsuit.
Подробный материал вы найдете в нашем телеграм канале через несколько дней после релиза этого видео — t.me/overlamer1
Второй нюанс — это брешь CVE-2019-11931. Она позволяла злоумышленникам удаленно, с помощью WhatsApp, взламывать устройства, зная только номера телефонов пользователей, другими словами это взлом WhatsApp. Хакеры отправляли жертвам специальный файл в любом формате (главное отправленный как документ), с помощью которого на гаджете устанавливалась шпионская программа или бэкдор, то есть как взломать WhatsApp. Это вело к проблемам с переполнением буфера и сбою. Проблема кроется в парсинге метаданных таких типов файлов. Результатом успешной эксплуатации может стать как состояние DoS, так и удаленное выполнение кода.
Фактически с помощью отправленного документа хакеры получали доступ к сообщениям и файлам, которые отправляли пользователи через WhatsApp.
Уязвимость была обнаружена в версиях программы для всех платформ: Android, iOS, Enterprise Client, Windows Phone, а также Business for Android и Business for iOS.
Её конечно залатали, но вот не долго длилось счастье. Если раньше она была привязана к конкретным операционным системам и к конкретным версиям вотсап. То сейчас уязвимость CVE-2019-2232 еще не устранена и она выполняет такие же функции: вызывает перманентную DoS-атаку на устройство, из-за чего оно может выйти из строя.
При этом для осуществления такой атаки не требуются права администратора, а также какое-либо участие владельца устройства — все происходит в фоновом режиме. Опасной уязвимости подвержены смартфоны на базе Android 8.0, Android 8.1, Android 9 и Android 10.
В Google заявили о том, что декабрьский патч, устраняющий все три проблемы, уже выпущен, а значит пользователям не о чем волноваться. Однако, беспокоиться все же стоит — дело в том, что очередные обновления операционной системы появляются на смартфонах Android в разное время. В то время, как клиенты одного производителя уже могут выдохнуть с облегчением, пользователи со смартфонами другого бренда пока не могут чувствовать себя в безопасности.

Вебинар прошел 12 апреля 2018

Специалисты Positive Technologies каждый год проводят работы по оценке осведомленности сотрудников различных компаний в вопросах информационной безопасности. Эксперты имитируют действия злоумышленников, использующих приемы социальной инженерии для проведения атак на корпоративную инфраструктуру.

На вебинаре мы расскажем, как исследователи притворяются нарушителями, сколько сотрудников запускают файл с темой «Список сотрудников на увольнение» — и что с этим делать. Тема будет интересна всем, кто пользуется электронной почтой. Любое использование данного материала без прямого разрешения АО «Позитив Текнолоджиз» запрещено.

Онлайн-сервис Викиум — goo.gl/xcqZ3W
Наш Telegram канал — t.me/overlamer1
Второй канал — www.youtube.com/c/igorover
Паблик — overpublic1 — vk.com/over_view

Заказать рекламу вы можете здесь:
bit.ly/2nChGY8

Инстаграмчик здесь:
www.instagram.com/overbafer1

AliExpress в рамках закона [Bad AliExpress]:
vk.com/public137607137

Некультурный AliExpress:
vk.com/public146011210

Начнём по порядку. Burger King шпионит за клиентами — началось всё с этой статьи на Пикабу.
Где пользователь решил промониторить трафик, идущий с этого приложения. Всё бы ничего, но! Как удалось заметить, приложение производит запись экрана мобильного телефона, причем делает это постоянно (значение 0 в разделе MaxVideoLenght) и этот *mp4 файл отправляется на сервер Burger King и на сервер Appsee. Круто, да? В этом видео указываются данные:
* номер телефона
* имя
* адрес почты
* ваше геоположение
* номер БАНКОВСКОЙ карты
После того как пользователь указал на эти ошибки ему поступила угроза от главных в БК, мол «вы там кое что не замазали в своих скриншотах, и теперь мы знаем кто вы и что вы, проведем проверку».

Вытаскиваем пароли и хеши из операционной системы windows программой mimikatz. Знакомство с mimikatz

Интернет вещей — следующий рывок развития ИТ. Это, с одной стороны, бизнес-возможность, с другой — глобальная угроза для развития предприятий, для интернета и всего современного мира ИТ. Будут обсуждаться технические, организационные и правовые вопросы безопасности IoT, нападение и защита. Участники: Дмитрий Березин, Александр Бутенко, Игорь Гиркин, Григорий Маршалко, Павел Новиков. Модератор: Алексей Лукацкий.
Среди докладов: Подход к обеспечению безопасности IoT в Enterprise
Дмитрий Березин и Александр Бутенко, «КРОК».
Cisco: взгляд сетевого гиганта
Игорь Гиркин, CISCO Любое использование данного материала без прямого разрешения АО «Позитив Текнолоджиз» запрещено.

Как Открытые данные изменят общество и государства? Какие глобальные проблемы они помогут решить, а какие создать? Как в контексте будущего будет выглядеть Россия?
Иван Бегтин, генеральный директор АНО «Инфокультура», член КГИ.

Выступление от 19 ноября 2016 года в рамках первой осенней сессии проекта «Образ будущего», организованной Общероссийским гражданским форумом (ОГФ) и Комитетом гражданских инициатив (КГИ).
Будущее, как вызов. Неизбежные и прогнозируемые изменения в различных сферах. Будущее, как ресурс — изменения, которые могу быть спроектированы нами.
Мир меняется. По новому формулируется социальная ответственность государства, культура вновь заявляет о своей ключевой роли в формировании будущего, а «большие данные» открывают новые возможности, как для эффективного прогнозирования, так и для манипулирования людьми. Важно понять, выявить и поддержать позитивное развитие важнейших инициатив, за которыми будущее. И помочь им родиться там, где созрели для этого условия, не упустить шанс и возможности, которые даёт нам время.

***
Спонсор выпуска: Okko.
Смотрите фильмы из подборки от Алексея Пивоварова в Okko всего за 1 рубль по промокоду 563436. В подписке «Оптимум» вас ждут 60 000 фильмов и сериалов на 60 дней!
Переходите по ссылке: okko.tv/s/red
Если у вас появятся вопросы, как активировать промокод, напишите в чат на okko.tv

***
1999 в России — это год, когда вся страна жила в страхе. В страхе за свою безопасность в собственном доме.

Той осенью один за одним происходят взрывы жилых многоэтажек сразу в нескольких городах. В результате этих терактов гибнут несколько сотен человек.

В современной России не любят вспоминать те события. За всю историю «Редакции» мы не получали столько отказов в интервью. И никогда нам не говорили так часто, что «тема стрёмная». Почему? Потому что есть популярная версия, согласно которой за этими взрывами может стоять ФСБ. Возникла эта версия после странной истории, случившейся в те дни в Рязани.

Мы в «Редакции» не предлагаем готовых суждений и не занимаемся политикой. Мы, как обычно, излагаем факты. Потому что считаем неправильным, когда в нашем с вами общем недавнем прошлом есть какое-то мутное пятно, о котором люди опасаются вспоминать.

Содержание:
0:00 Вступление
01:00 Теракты, о которых в России боятся говорить
04:53 Как произошел взрыв на улице Гурьянова?
07:39 Первые версии
11:04 Кто предупреждал о взрыве?
15:00 Гексоген — слово, о котором узнала вся страна
15:48 Кто арендовал складское помещение, где была взрывчатка?
17:18 Как менялись фотороботы организатора теракта?
19:47 Новый взрыв — 13 сентября, Каширское шоссе
24:13 Как 10 тонн взрывчатки попали в Москву?
29:27 Организатор терактов не найден до сих пор?
34:00 О теракте в Волгодонске объявили за три дня до самого взрыва. Как это возможно?
36:44 Как произошел взрыв в Волгодонске?
43:36 Исполнители взрывов, по версии следствия
44:55 Кто такой Хаттаб?
47:00 Все теракты организовала одна и та же группа?
50:22 Рязанский сахар. Кто и как обнаружил мешки в подвале рязанского дома?
53:15 Что происходило в городе?
56:00 План перехват для сотрудников ФСБ
58:48 Глава МВД: это теракт. Директор ФСБ: это учения
01:02:11 Сотрудники рязанского ФСБ ничего не знали об учениях
01:04:22 Жители дома задают вопросы ФСБ в эфире НТВ
01:06:05 Был ли план учений?
01:08:21 Так что было в мешках: сахар или взрывчатка?
01:11:39 О разборках в конторе после инцидента в Рязани
01:15:10 Как укрепилась версия о причастности ФСБ ко взрывам домов?
01:15:55 Роль Березовского
01:18:25 Что все-таки произошло в Рязани 22 сентября?
01:21:00 Какую помощь оказали пострадавшим в терактах?
01:23:30 На месте взорванных домов на Гурьянова построили новые многоэтажки
01:28:25 Как проходил судебный процесс по делу о взрывах домов?
01:31:10 Кого боевики обвинили в организации терактов?
01:35:53 Кто такой Макс Лазовский и причем тут он?
01:38:43 Взрывы домов стали причиной начала Второй Чеченской?
01:41:16 Могли ли сотрудники ФСБ организовать эти взрывы?
01:45:55 Почему мы не умеем помнить?

Благодарим:
— Дизайн-завод Флакон за помощь в организации съёмок: flacon.ru
— Константина Шутова за предоставленные съёмки из Волгодонска: www.facebook.com/Shutovfilm/
— Портал Кавказский Узел: www.youtube.com/user/CaucasianKnot

***
Станьте спонсором «Редакции»:
www.youtube.com/channel/UC1eFXmJNkjITxPFWTy6RsWg/join

Мерч «Редакции»: mamcupy.com/catalog/redaktsiya/

Подписывайтесь на наши социальные сети:

Телеграм-канал «Редакции»:
t.me/redakciya_channel

Инстаграм Алексея:
www.instagram.com/pivo_varov

Редакция в «ВК»:
vk.com/redakciya_pivovarova

Канал «Редакции» в вайбере:
vb.me/redakcia_yt

Твиттер Алексея:
twitter.com/pivo_varov

Редакция в фейсбуке:
www.facebook.com/pivovarov.red

Одноклассники:
ok.ru/redakciya

Наш блог в «Дзене»:
zen.yandex.ru/redakciya

Сотрудничество и идеи:
info@redakciya.com

По вопросам рекламы:
newsroom@blogo-sphere.com

Приложение «Редакции» в AppStore:
clck.ru/MXaE9

Приложение «Редакции» в Google Play:
clck.ru/MXaFL

#редакция #пивоваров

В этом видео уроке я покажу, как сделать самодельный электродвигатель (моторчик) из простых и доступных материалов.
=====================================================
Все уроки плейлист
www.youtube.com/watch?v=953z0BDH1Ik

Разговор с убийцей, полная версия. Алексей Навальный разговаривает с военным химиком Константином Кудрявцевым — сотрудником ФСБ и участником группы убийц-отравителей.
Разговор состоялся в 7:27, 14 декабря, за несколько часов до публикации расследования о группе убийц из ФСБ, покушавшихся на жизнь Навального. Слушайте внимательно и помогайте распространять.

Расшифровка разговора здесь: navalny.com/p/6447/
Алексей Навальный о разговоре с его отравителем: youtu.be/ibqiet6Bg38
Расследование отравления Навального: youtu.be/smhi6jts97I

Станьте нашим спонсором: youtube.com/channel/UCgxTPTFbIbCWfTR9I2-5SeQ/join

Продюсер «Навальный LIVE» — Любовь Соболь twitter.com/sobollubov

Подписывайтесь на «Навальный LIVE» в соцсетях:

Твиттер: twitter.com/navalnylive

Инстаграм: www.instagram.com/navalny.live

Телеграм: navalny.live/t

ВК: vk.com/navalny_live

Фейсбук: www.facebook.com/navalnylive