发射地穴
打击数字时代的“勒索”
意外泄露的时代
当您的品牌成为钓鱼诱饵时,您的声誉就在线
避免遭受网络钓鱼攻击的6条提示
警报用户电子邮件是由Office 365中的外部邮箱发送的
RoCET —远程代码执行工具
RoCET —远程代码执行工具

整个项目以vulnhub.com上的ctf开始。 最初,我是为红色团队做的,该团队决定每周我们需要一个新的vulnhub完成。 到目前为止,还没有大佬,我有两个。 不过这是不同的。 我正在阅读一些演练,并收集了有关本地文件包含漏洞如何工作的信息。 我回想起几个月前,我偶然发现有人写了一个Shell,该Shell能够与粘贴在网站上的文件列表脚本进行交互。 这给了我一个想法,创建一个可以与文件包含物交互的外壳,有效地提供了一个完整的外壳,脱离了您可以读取某个文件的基础,并运行了将打印到该文件的命令。 我在LFInT上开发的vm被称为evilscience,可以在此处下载。 您打开虚拟机,发现它没有头。 您对此进行了简单的nmap扫描,发现一些有趣的端口打开了: 好的,有不错的端口开放,但是在探索之前,因为它是 托管在端口80上,让我们立即对其进行漏洞扫描。 事实证明,有可能包含本地文件 通过此扫描结果: 知道可能会让我看到文件的下一件事是尝试查找其中包含的其他文件。 浏览包含的常用文件,有些事情引起了我的注意。 /var/log/auth.log是一个常用的文件,我们的目标正在运行ssh。 因此,尝试卷曲此文件: 嗯不错。 现在,我可以读取通过ssh进行身份验证的日志的位置。 但是,这里有一个问题:感谢curl,它采用HTML。 根据过去的经验,我知道可以通过简单的一行PHP来插入一行,例如, 并在服务器上执行命令。 那么,为什么不尝试使用它作为ssh的用户名,并卷曲页面并为其提供命令呢? 现在卷曲: 我们有成功! 现在,这是我在CTF挑战赛中停下来的地方。 原因是我立即开始考虑编写脚本,该脚本使我可以利用此远程代码执行漏洞做很多事情。 在挑战之后,您通常会运行某种反向外壳程序,并完成标志。 老实说,到目前为止,我还没有完成挑战。 但是,这个脚本来了。 首先,我开始通过python简单执行,特别是使用os.system。 在笑着说我不知道​​如何使用os.system编写python之前,只知道这整个过程为我带来了更好的方法。 这是我最初如何通过python卷曲网站的示例: os.system("curl '192.168.150.128/index.php?file=/var/log/auth.log&" + cmd) 接下来,我使用一些非常糟糕的文件读/写操作来解析文件。 它使用sed和awk写入文件,使用sed清理此虚拟机专用的内容,然后使用awk清理重复的行。 不过,随着时间的流逝,我决定使其更像一个脚本,并实现库。 第一个方便的库是pycurl库。 从逻辑上讲,这是在这种情况下最好的库,因为它执行与curl相同的操作。 当然,导入StringIO可以写入和读取curl的字节。 这样可以使我的卷曲操作非常干净。 下一步非常简单,创建一些方法来获取工作目录,主要方法包括遍历目录并执行。 剩下的唯一步骤是解析提供给我们的信息,并将其打印到终端上作为基本外壳。 至此,我将项目重命名为RoCET,代表远程命令执行工具。 如果您能够执行命令并将其打印输出到html,则该工具可以与通过网络执行的任何远程代码一起使用。 这个shell仍在开发中,但是在我的github上。

十大要点-黑帽-通过社会工程学提高安全意识
十大要点-黑帽-通过社会工程学提高安全意识

我今年在Black Hat参加了“通过社会工程攻击实现安全意识”课程! 资源 以下是我们在培训中讨论的内容以及主要要点的摘要: “信息不一定是贵重物品的秘密”〜CIA 社会工程学的关键要素之一是开源情报(OSINT),它是从可公开获取的数据中收集到的见解。 如果您的社交媒体帐户中没有适当的隐私设置,则您放置在其中的信息是公开的 。 在课堂上,我们讨论了一个名叫特拉维斯(Travis)的人的案例,该人将自己的徽章,护照,机票,职务,工作场所甚至电子邮件的图片放在Instagram上。 我们分析了如何在社交媒体上大肆宣传某人,并将其作为目标,而且相对简单也就不足为奇了。 我们还讨论了用于获取和查找相关信息的工具和技术。 有一项练习是关于使用OSINT在1小时内针对(我们的组织中的)某人起草(不发送)鱼叉式网络钓鱼电子邮件。 没有人使用自己的工作场所,也没有人说他们在哪里工作,但我们以良好的成绩完成了任务。 要点1:查看您的隐私设置,不要在社交媒体上发布私人信息。 “请检查您的隐私设置,不要在社交媒体上发布私人信息。 开源情报工具可用于挖掘您的数据并创建网络钓鱼机会。” 推特 作为培训的一部分,他们给了我们一些来自Hak5的有趣小工具,包括WiFi菠萝和Bash兔子。 它们是用于渗透测试的工具,它们具有许多恶作剧,可以通过在安全和受控的设置中展示其相关的危险来帮助进行安全意识计划。 我们还获得了小 松鼠 作为额外礼物! WiFi Pineapple是一种无线审核工具,可以用作中间人平台。 除其他外,它允许所有者拦截开放的WiFi连接并检查和修改HTTP流量,将用户重定向到恶意站点,或与过去的公共WiFi连接关联并“假装”成为其中之一。 例如,如果您在菠萝附近,而手机已打开WiFi并正在积极寻找连接,则突然之间您可能会连接到6个月前使用的机场网络,而某个站点可能会要求您为此付费服务。 他们在硅谷电视节目中提到了它。 这是WiFi菠萝塔的图片,因为……黑帽。 要点2:尽可能避免开放或公共网络,尤其是在拥挤的空间中。 如果您不在受信任的空间中,请仅在确实需要时才打开WiFi。 “尽可能避免开放或公共网络,尤其是在拥挤的空间中。 如果您不在受信任的空间中,请仅在确实需要时才打开WiFi。” 推特 Bash Bunny是一个USB攻击平台,可以模拟受信任的USB设备,例如千兆以太网,串行,闪存和键盘。 我们在课堂上做了一些实验:首先,我们使用了一个“恶作剧”的有效载荷,该载荷在特定的日期和时间上摇动目标。 交付此负载所需的时间不到20秒。 然后,我们测试了一个“侦察”负载,我们可以获得完整的终端历史记录,剪贴板内容,系统用户, ifconfig ,WAN IP和所有已安装的应用程序。 这花了一点时间,但速度仍然很快,并且计算机处于睡眠模式。 要点3:请勿在公共场所使用USB随身碟,并要小心。 “请勿插入随机的USB驱动器,在公共场所工作时要小心。” 推特 我们讨论了其他主题,例如策略,安全意识计划,模因以及培训期间重复的重要性。 这些是体验的十大要点: 查看您的隐私设置,不要在社交媒体上发布私人信息。 尽可能避免开放或公共网络,尤其是在拥挤的空间中。 如果您不在受信任的空间中,请仅在确实需要时才打开WiFi。 不要插入随机的USB驱动器,在公共场所工作时要小心。 Clickbait被广泛用于社会工程中,请不要相信它。 在进行网络钓鱼活动之前,应有政策和正规培训。 尽管可能引起争议,但很难发现鱼叉式网络钓鱼电子邮件会产生更具影响力的“可教导时刻”(如Jayson所说)。 安全意识培训的某些主题应根据角色进行定制。 […]

DV的持续安全性
DV的持续安全性

如果没有可扩展的流程和不断的学习,那么即使是配备最完善的安全操作也会失败。 这就是我们在BCG Digital Ventures建立安全至上的文化的方式。 BCG Digital Ventures信息安全和合规全球总监Astera Schneeweiz 在加入BCGDV之前,我谈到了如何建立安全团队。 实际上,很多时候我都在谈论为什么应将安全性视为一种实践而不是团队。 但是,当我开始从事DV工作之后,我不得不改变我的重点:我们如何组建团队或实践以与数十种不同的企业合作,以确保每家企业的安全性,而又不会像外部顾问一样? 毕竟,DV与大多数安全性操作不同,因为我们必须保护多个企业,每个企业都拥有不同的软件和团队。 还有其他问题。 其中包括:作为安全专家,我们在组织中应扮演什么角色? 安全如何在全球范围内影响DV文化的形成? 团队本身的动力是什么? 在这篇文章中,我将重点介绍我们与合资企业的合作,这占我们工作的50%。 是什么使DV成为独特的安全挑战 在回答这些问题之前,我想退后一步,向您简要介绍一下使像DV这样的风险构建者的安全性与其他公司所需要的不同之处: 我们建立的每一个合资企业都始于不同的人员配置,这些人员由DVer,自由职业者,承包商和从我们公司合作伙伴中嵌入的团队成员组成。 每个合资公司的周转时间都需要尽快,因为我们有一个固定的时间直到完成日期。 因此,很难对每个风险团队进行长期投资。 每个合资企业均由大型企业合作伙伴提供支持。 这使它们与传统的初创企业区分开来—赌注更高。 随着数据泄露的规模越来越大,我们的客户需要认真对待数据安全性。 他们以自己的声誉信​​任我们,我们需要维护这种信任。 必须满足严格的安全要求,我们在全球越来越多的地点开展工作。 此外,我们经常在新兴行业工作,每个行业都有其自己的要求和合规性义务。 总结一下:一切总是有些不同。 唯一不变的是,它总是快节奏的。 那么,在这些情况下我们如何建立安全性? 降低风险的连续计划 在过去的几年中,DV在定义我们建立新企业的方法论方面所做的并将继续做得非常出色。 还有什么比我们自己的信息安全流程更好的学习模式? 这是我们降低持续风险(CR2)计划背后的原则。 这个花哨的标题的背后是一个定义明确的课程表,该课程在需要时对我们的每个风险团队进行数据保护,安全概念,安全工程和体系结构设计以及合规性主题方面的培训。 为了支持学习过程,我们开发了两个文档领域。 向每家企业发布《企业安全检查表》,以确保在每个阶段都满足安全性和合规性要求。 我们提供了大量示例,每个示例都可以根据使用的语言和框架以及企业规模进行调整。 在DV完成工作并为自己的生命做好准备之后,我们还提供了合资企业将继续使用并保留的文档。 这里包括用于数据分类的安全策略和模板。 在降低持续风险的整个过程中,风险团队学习如何使用代码分析工具和扫描服务,以在运行首次渗透测试(也是CR2的一部分)之前很长时间就立即获得有关其生产的服务和系统的反馈。 总体而言,我们的流程与拥有完善的安全团队的大型,成熟的公司的流程相比是有利的,同时仍然能够支持仅由几个人组成的敏捷且快速发展的风险团队。 培训课程和文档的最终目的是最终使我们的风险团队不仅了解如何使用特定的安全产品或实现合规性目标,而且还学会了如何进行风险评估并以轻量级的方式管理其安全状况。 这是我们所有人都能真正感到自豪的事情。 为了使流程尽可能容易理解和简单明了,我们跟踪并比较所有企业中的一项指标:关键风险指标(KRI)。 此度量标准是由风险安全检查表所指示的风险安全状态,风险评估和处理流程以及在CR2计划的每个阶段与我们的团队进行交互(例如体系结构审查和渗透测试结果)所产生的结果的组合。 除了能够数字化并形象化地说明我们如何帮助企业安全成功之外,没有什么比这更有意义了。 我们的主要优势 让我与您分享一项令人惊奇,出色且极具激励性的奖金,这是我在这里工作时所享受并受益的。 之前,我提到过,一切总是不同的,企业不断更新其方法,产品和流程。 这意味着,与单个公司和机构不同,我们作为信息安全团队可以快速迭代我们的流程并看到直接而宝贵的影响。 每一家合资企业都处于空白状态,我们将有机会每次重新评估和更新我们的安全流程和基础架构,并确保我们紧跟最新的最新技术和安全概念。 当我们支持一项冒险活动时,我们会收到反馈,学习和优化-并不断改进。 我们在2019年实施的计划与2018年中期的计划不同,我敢肯定它也不会与几个月后的计划相同。 […]

美国政府如何侵犯我们的第四修正案权利
美国政府如何侵犯我们的第四修正案权利

第四项修正案保护我们的隐私权以及此处所述的其他条款: 不得侵犯人民保护其人身,房屋,纸张和财物的权利,以免进行不合理的搜查和扣押,也不得发出认股权证,但应在可能的原因下,经誓言或肯定的支持,并特别描述要搜寻的地方,以及要扣押的人或物。 换句话说,任何政府组织都不得在没有法院命令的情况下对您进行监视或窥探您的财产,包括没有可能的理由没收您的财产。 必须由现任法官签发手令才能进行上述任何操作。 这也确保了您的隐私权。 换句话说,国家安全局,中央情报局和联邦调查局在没有正当理由和法官许可的情况下,不得监视普通公民。 那么为什么他们要定期这样做呢? Wikileaks谈论了国家安全局和中央情报局在其Vault 7版本中通过我们的计算机,网络摄像头和电话进行的非法间谍活动。早在2010年,爱德华·斯诺登(Edward Snowden)还以较小的规模暴露了这种情况。 那么,谁赋予他们侵犯我们的隐私并听和看我们的权利? 这就像是《老大哥》在1984年的糟糕版面世。 在当今的生活中,您仍然应该拥有隐私的地方就是您的家中。 但是,似乎并非如此。 在每个街道拐角处,商店和工作场所各处都有摄像机,我们像囚犯一样不断受到监视。 当然,这些视频可以在抢劫,谋杀甚至恐怖行为的情况下提供帮助,但是在公共街道上行走的人不必在视频中。 现在,我们发现,他们正在我们的家中这样做。 根据CIA在Wikileaks上的最新泄密事件,我们的电视中装有监听设备。 他们还用什么监视我们? 这是一个可怕的场景。 更糟糕的是,许多人根据指控没收了财产。 就朱利安·阿桑奇(Julian Assange)而言,他在瑞典时不知道他的信用卡,而他却没有任何资金照顾自己。 实际上,这导致他与几个女孩住在一起,这些女孩在床上给他提供了临时的睡房,并导致了强奸指控被撤销。 然后是@KimDotCom这个黑客的案例,该黑客被美国政府没收了数百万美元的资产。 直到政府没收了他所有的财产并试图将他引渡到美国之后的两年,才提起诉讼。 渔获物不是针对他的案件,而是针对他的资产的案件。 对你有意义吗? 就他而言,政府有一定的权利这样做,但他甚至还没有上过庭,更不用说定罪了。 那么,有多少人在被指控前将被非法监视或没收其物品? 对我来说,这是不对的,我们的政府已经超越了它的界限。 美国国家安全局和中央情报局还听取了其他案例,例如在特朗普政府统治下的特朗普大厦,肖恩·汉尼提和几位国会议员等他们没有业务往来的谈话。 我们人民需要站起来反对我们的第四修正案权利的侵犯。 我们需要写信给国会,总统,司法部甚至媒体来抱怨这些违法行为。 如果我们使用自己的声音,经常投票并写信,我们可以改变这种非法制度。

关于数据泄露
关于数据泄露

出色的连通性带来了出色的骗局。 您好,您是我要找的人吗? 您不会对陌生人敞开心heart,对吗? 但是,每次您在Google上查询查询以找出流感症状,或向Facebook朋友询问镇上最新的演出时,您就是这样做的。 这就是隐私悖论的根源-您觉得自己已经掌握了在线控制权 (Pfanner,2009),安全地藏在一个匿名的茧中,而实际上却并非如此。 您可以放心-这只是技术大佬,他们会做正确的事。 事实证明,他们不会。 隐私和安全常常(如果不是经常的话)在公司利润的牺牲品中被牺牲。 公开您的信息的门槛很低。 欢迎来到监督资本主义(Johnson,2019)。 因此,您的数据会通过整个供应链漏斗泄漏。 链中的每个参与者都有其自己的渠道,数据还会泄漏更多。 简而言之,您不知道数据在哪里结束。 或者,在谁的手中。 或者,出于什么目的。 请记住,这些并不是您的数字生活的离散片段。 您迈出的每一步 我们的研究表明,跟踪是在您甚至还没有出生的时候就开始的:通过怀孕跟踪器,母亲=很乐意向一些非常粗略的(从隐私角度而言)的商店提供敏感的个人信息。 如今,为您的新生儿注册身分证所需的时间要比一碗Maggi(ANI,2018)花费的时间少。 整个过程的安全性尚无定论。 您为孩子选择的超级有趣的活动-可能也在泄漏她的数据。 和你的。 即使是跨大陆的努力也无法消除这种混乱(Doe,2019)。 同时,您的孩子学习浏览,并访问Mattel或Hasbro检查镇上最酷的玩具。 猜猜有哪些立法者? 同样的玩具制造商也偷看孩子。 非常违法,非常不酷! 众所周知,学校(Vidyut,2018)和大学在数据安全方面表现不佳。 您可以一千美元的价格获取150万个这样的数据点(Laha,2017)。 您肯定是来自不太知名的机构的吗? 我们发现了多个IIT被黑客入侵的证据,并且至少有一个IIM泄露了当前和潜在学生的数据。 即使您从未达到您选择的IIM,也要丢掉它,而您却丢失了数据。 这个孩子,现在是一个成年妇女,开始工作。 出于职业和个人原因,她更多的时间都花在网上。 更多服务,更多突破。 从无名品牌到Facebook和Google之类的漏洞,泄漏不会停止。 年纪大了,就诊频率更高? 您也有违反医疗保健数据的规定。 (Krebs,转录服务泄漏的医疗记录,2018) 那么,您对印度看到的第二大数据泄露事件感到惊讶吗? (BI印度局,2019) 打他们 出色的连通性带来了出色的骗局。 简而言之,这就是我们数字生活的本质。 永恒的警惕实在是太高了,我们愿意为此付出代价。 因此,诈骗者的电子邮件地址威胁要向您的Facebook朋友透露您最黑暗的性幻想。 太尴尬了吗? 付$ 3000。 (Cox,2018)不是电子邮件用户? 不用担心,您也可以通过蜗牛邮件获得这些信息。 (克雷布斯,2018) 如果您还没有,现在是时候开始进行habeenpwned了 。 […]

替代数据:《算法战争》的续集?
替代数据:《算法战争》的续集?

自2017年以来,我一直关注着替代数据的世界,当时我遇到《外部洞察》(Outside Insight),这是一本有关投资者和企业主使用数字面包屑在竞争异常激烈的战场上取胜的书。 当彭博社本周宣布将向其数据平台添加替代数据时,我开始怀疑这将对今天使用替代数据的方式产生什么影响。 什么是替代数据? 我参与了一个评估alt数据在私募股权中的使用的项目,在这个行业中,alt数据已在许多对冲基金中变得司空见惯,在这个行业中,ludite最为人所知。 机构投资者,2018年11月: “私募股权管理人在使用下一代数据方面进一步落后……目前,近一半的私募股权管理人不使用,也不希望将来使用下一代数据。” 对冲基金处于另一端。 绝大多数(70%)期望将替代数据用作其投资流程的一部分。 该项目使我对人们日常生活中收集的数据的规模和范围大开眼界,在不知不觉中留下了数字踪迹,供投资者用来预测下一个盈利季节或商品价格的结果。 基于电子邮件收件箱中收据的订阅趋势,基于传感器和移动应用程序的店内人流量以及基于红外和卫星图像的作物产量都是从收集和处理大量原始数据中收集到的信号。 一些公司甚至甚至付钱给有人开车兜风,并将 传感器贴 在德克萨斯州的 石油钻塔 上。 主流化的​​二阶效应 彭博社(Bloomberg)向其数据平台中添加替代数据,这无疑是替代数据正在成为主流的迹象。 Alt数据已为许多基金经理带来了alpha生成,特别是那些将基础分析与诸如数据科学和算法交易之类的现代工具相结合的基金经理。 这些基金经理通常不得不聘请专门的技术人员团队来确定该领域最佳的替代数据提供商(其中很多是由风险投资资助的初创公司),并将其集成到自己的系统中。 现在,彭博社正在其自身的数据平台上提供可访问性,这对替代数据世界意味着什么? 随着替代数据进入主流,我的假设是,他们用来提供的“信号”将变成听起来更像“噪声”的信号,而预测却无法与基础数据保持一致。 斯科特·帕特森(Scott Patterson)的《 2012年黑池 :机器交易者的兴起和美国股市的上涨》详细说明了机器人交易者的兴起。 最初,这些交易员(或“鲨鱼”)能够以较慢的,受基本价值驱动的投资者“海豚”为食。 然而,随着高频机器驱动交易的兴起,鲨鱼开始相互取食,并且变得如此凶猛。 来自交易的信号迅速变成噪音,并且该策略开始在缝隙处破裂。 下一步是什么? 随着越来越多的投资者获得“替代”数据的交易机会,我怀疑这些数据的阿尔法只能随着距离主流越来越远而获得。 这意味着收集更加个人化,更具侵入性的数据。 在当今世界,越来越多的隐私时代学者正在检查原始数据的收集者,获取更多个人数据的途径尚不清楚。 移动应用程序作者,社交媒体平台和技术公司已经达到了消费者容忍的边缘,并且收集更多数据似乎是他们永远不会得到的圣杯(至少在法律上是不合法的)。 但是,消费者的容忍度和政府对数据收集的支持在世界范围内差异很大。 欧盟在2018年对GDPR表现出了不宽容的立场 另一方面,在隐含的条件下,中国可以自由地允许其最大的科技公司收集各种形式的个人数据,而这可能会影响到数据挖掘的力量 亚洲其他地区的做法不平衡,但在很大程度上是允许的。 实用主义根深蒂固,如果数据共享的回报超过成本,那么消费者和政府通常愿意承担 美国处于欧盟和中国之间的中间地带,强大的科技公司和强大的消费者之间的紧张关系使创新得以继续进行,同时受授权公众定期进行检查 由于这种异质性,可以想象,在更宽松的数据收集环境中,从alt数据生成alpha会更容易。 依次为:中国,亚洲(可能还有其他新兴经济体),美国,最后是欧盟。 随着有关中国和新兴经济体的更多数据可用,当今的替代数据向导可能会向这些市场迁移,从而为alpha引入了新的竞争者。