И снова про утечки, OPSEC и обочины электронных дорог, где с воза падает всяко-разное, что осинтер может подобрать.

Многие используют программу Lightshot для того, чтобы делать скриншоты, просто потому что это чертовски удобно. Много возможностей: выбрать область, нарисовать стрелочки, добавить надпись или замазать область, загрузить в интернет и получить ссылку, которую можно отправить кому-то... Стоп, что? Общедоступная ссылка на скриншот? Попахивает возможностью парсинга чужих скринов, и не зря.

На сайте prnt.sc куда Lightshot загружает скрины, действительно есть возможность парсить чужие картиночки, но только старые, загруженные до 2021 года. Потому как примерно тогда разработчики сервиса поняли, что их детище можно парсить и находить там всякое: логины и пароли, seed-фразы, куски кода разных программ, нюдсы, ханипоты, бессмысленные диалоги из игр и вообще все, что кому-то пришло в голову заскринить и отправить кому-то или самому себе.

Так было, пока для генерации страницы с картинкой использовался случайный путь, состоящий из 6 символов a-z0-9. Это 36 в 6 степени, или 2,176,782,336 возможных путей. Наверное, когда в 2009 году этот сервис создавался, разработчикам и в голову не приходило, что в их сервис загрузят порядка миллиарда картинок. А именно столько, как мне кажется, их там есть, судя по статистике парсинга. Из 100 запросов в среднем 47 приносят красочные плоды.

Сейчас уже используется путь из 12 символов с пулом a-zA-Z, а также символы "-" и "_", что дает 3.22626676 × 10^21 или 3 секстилиона (21 нолик) возможных комбинаций. Разрабам на заметку, это вполне годный способ борьбы с брутфорсом. А такой парсинг с генерацией случайных путей это он и есть, старый добрый брутфорс.

Тем не менее, я бы все равно не стал загружать скриншоты на их сервера. Во-первых, неизвестно, какой алгоритм для генерации псведослучайной строки они используют. Строка скорее всего именно псевдослучайная, сгенерированная компьютером, а он не умеет в рандом. Он может делать что-то похожее на рандом, но зная алгоритм, можно сильно сузить поле возможных комбинаций, а то и вообще угадывать путь, если они используют хеширование самой картинки для генерации ее пути, например. Возможно когда-то мне будет настолько нечем заняться, что я с помощью частотного анализа попробую проверить их “рандом” на вшивость...

Есть и "во-вторых": их могут элементарно поломать и слить картиночки. И в-третьих, мы же не хотим загружать приватную информацию туда, откуда не сможем её удалить? Правда же, не хотим?..

Тут для уважаемых коллег, и особенно начинающих осинтеров я размещу напоминалку: пересылайте данные по защищенным и контролируемым каналам!

Нарушая OPSEC, ты подставляешь себя, работодателя, клиента и очень огорчаешь богов осинта.

Хитрость и изобретательность людей не устает меня удивлять и порой вдохновлять. Когда я наткнулся на возможность парсинга того, что доверчивые граждане загрузили через Lightshot в облако, я конечно же решил попарсить и полюбопытствовать, что же туда загружают.

Я кстати залил код своего парсера на github в публичный репо, пользуйтесь на здоровье: https://github.com/cyb3rm4gus/prntscrape

Попарсив, среди всякого, порой шокирующего контента я нашел такие вот скриншотики:

К сожалению, этот сайт уже недоступен. Можем только на вебархиве посмотреть как он выглядел в далеком 2019 году.

Я ранее натыкался уже на такие ханипоты, схема там замечательная: юзер входит в личный кабинет, используя спарсенные с prnt.sc логин-пароль, и видит что в "личном кабинете" лежит приличная сумма в BTC, на пару десятков тысяч долларов. Окрыленный жадностью и ощущением что он самый умный, такой юзер немедленно жмет на "вывод", и видит что вывести средства можно только на кошелек, который использовался для ввода средств в систему. Облом, но что если пополнить счет, может тогда система даст вывести все это богатство на свой кошелек? На странице ввода средств обычно указан кошелек для ввода и указано, что минимальная сумма для пополнения эквивалентна 100 или 200 USD.

Думая, что "оно же отобьется" многие наверняка пополняли кошелек создателя такого ханипота, после чего конечно же ничего они не выводили. Красота и поучительная часть тут в том, что заходя в чужой ЛК даже по найденным в публичном доступе логину-паролю, пользователь совершает неправомерный доступ к заведомо чужой информации, что незаконно в большинстве стран. А пытаясь вывести средства, еще и совершает попытку хищения. И кому ты потом побежишь жаловаться на то, что тебя заскамили, когда ты пытался украсть чужую крипту? Как там говорят про фраера и жадность?...

Используйте безопасные способы хранения и передачи любой информации, особенно скриншотов и фотографий с ценными данными.

Если разрабатываете сайт или сервис, где данные будут защищены незнанием пути, делайте пути действительно длинными, недоступными для bruteforce-атак.

Даже там, где нам кажется, что мы охотимся на глупых неразумных юзеров, допустивших утечку данных, кто-то может охотиться на таких умников как мы. Be smarter.

Больше контента на тему инфосека и осинта тут:

https://t.me/zerodaily_ru

И снова про утечки, OPSEC и обочины электронных дорог, где с воза падает всяко-разное, что осинтер может подобрать.

Многие используют программу Lightshot для того, чтобы делать скриншоты, просто потому что это чертовски удобно. Много возможностей: выбрать область, нарисовать стрелочки, добавить надпись или замазать область, загрузить в интернет и получить ссылку, которую можно отправить кому-то... Стоп, что? Общедоступная ссылка на скриншот? Попахивает возможностью парсинга чужих скринов, и не зря.

На сайте prnt.sc куда Lightshot загружает скрины, действительно есть возможность парсить чужие картиночки, но только старые, загруженные до 2021 года. Потому как примерно тогда разработчики сервиса поняли, что их детище можно парсить и находить там всякое: логины и пароли, seed-фразы, куски кода разных программ, нюдсы, ханипоты, бессмысленные диалоги из игр и вообще все, что кому-то пришло в голову заскринить и отправить кому-то или самому себе.

Так было, пока для генерации страницы с картинкой использовался случайный путь, состоящий из 6 символов a-z0-9. Это 36 в 6 степени, или 2,176,782,336 возможных путей. Наверное, когда в 2009 году этот сервис создавался, разработчикам и в голову не приходило, что в их сервис загрузят порядка миллиарда картинок. А именно столько, как мне кажется, их там есть, судя по статистике парсинга. Из 100 запросов в среднем 47 приносят красочные плоды.

Сейчас уже используется путь из 12 символов с пулом a-zA-Z, а также символы "-" и "_", что дает 3.22626676 × 10^21 или 3 секстилиона (21 нолик) возможных комбинаций. Разрабам на заметку, это вполне годный способ борьбы с брутфорсом. А такой парсинг с генерацией случайных путей это он и есть, старый добрый брутфорс.

Тем не менее, я бы все равно не стал загружать скриншоты на их сервера. Во-первых, неизвестно, какой алгоритм для генерации псведослучайной строки они используют. Строка скорее всего именно псевдослучайная, сгенерированная компьютером, а он не умеет в рандом. Он может делать что-то похожее на рандом, но зная алгоритм, можно сильно сузить поле возможных комбинаций, а то и вообще угадывать путь, если они используют хеширование самой картинки для генерации ее пути, например. Возможно когда-то мне будет настолько нечем заняться, что я с помощью частотного анализа попробую проверить их “рандом” на вшивость...

Есть и "во-вторых": их могут элементарно поломать и слить картиночки. И в-третьих, мы же не хотим загружать приватную информацию туда, откуда не сможем её удалить? Правда же, не хотим?..

Тут для уважаемых коллег, и особенно начинающих осинтеров я размещу напоминалку: пересылайте данные по защищенным и контролируемым каналам!

Нарушая OPSEC, ты подставляешь себя, работодателя, клиента и очень огорчаешь богов осинта.

Хитрость и изобретательность людей не устает меня удивлять и порой вдохновлять. Когда я наткнулся на возможность парсинга того, что доверчивые граждане загрузили через Lightshot в облако, я конечно же решил попарсить и полюбопытствовать, что же туда загружают.

Я кстати залил код своего парсера на github в публичный репо, пользуйтесь на здоровье: https://github.com/cyb3rm4gus/prntscrape

Попарсив, среди всякого, порой шокирующего контента я нашел такие вот скриншотики:

К сожалению, этот сайт уже недоступен. Можем только на вебархиве посмотреть как он выглядел в далеком 2019 году.

Я ранее натыкался уже на такие ханипоты, схема там замечательная: юзер входит в личный кабинет, используя спарсенные с prnt.sc логин-пароль, и видит что в "личном кабинете" лежит приличная сумма в BTC, на пару десятков тысяч долларов. Окрыленный жадностью и ощущением что он самый умный, такой юзер немедленно жмет на "вывод", и видит что вывести средства можно только на кошелек, который использовался для ввода средств в систему. Облом, но что если пополнить счет, может тогда система даст вывести все это богатство на свой кошелек? На странице ввода средств обычно указан кошелек для ввода и указано, что минимальная сумма для пополнения эквивалентна 100 или 200 USD.

Думая, что "оно же отобьется" многие наверняка пополняли кошелек создателя такого ханипота, после чего конечно же ничего они не выводили. Красота и поучительная часть тут в том, что заходя в чужой ЛК даже по найденным в публичном доступе логину-паролю, пользователь совершает неправомерный доступ к заведомо чужой информации, что незаконно в большинстве стран. А пытаясь вывести средства, еще и совершает попытку хищения. И кому ты потом побежишь жаловаться на то, что тебя заскамили, когда ты пытался украсть чужую крипту? Как там говорят про фраера и жадность?...

Используйте безопасные способы хранения и передачи любой информации, особенно скриншотов и фотографий с ценными данными.

Если разрабатываете сайт или сервис, где данные будут защищены незнанием пути, делайте пути действительно длинными, недоступными для bruteforce-атак.

Даже там, где нам кажется, что мы охотимся на глупых неразумных юзеров, допустивших утечку данных, кто-то может охотиться на таких умников как мы. Be smarter.

Больше контента на тему инфосека и осинта тут:

https://t.me/zerodaily_ru