- Регистрация
- 23 Янв 2019
- Сообщения
- 1,396
- Баллы
- 0
- Общие продажи
- 0$
- Общие покупки
- 0$
Как используют наши фото на популярных фотообменниках?
Давайте откинем в сторону анализ самых частоиспользуемых эксплоитов такого прекрасного Framework'a как Metasploit и поговорим о ваших файлах, о материалах, которые вы доверяете на сохранение Всемирной Паутине на свой страх и риск.
По традиции, в мои обязанности входит вставить сюда авторский дисклеймер, который по общепринятым суждениям должен избавить автора от ответственности, но мы прекрасно пониманием, что даже если представленная информация будет использована с зловредными целями и даже, если, кто-то пострадает, то вина исключительно на ваших плечах, точнее на ключице злоумышленника, ну и на моих, конечно. Никакой дисклеймер и тому подобная чушь не избавит меня от мучений совести, ведь какие-то моральные качества сохранить, всё же, удалось. Занимаясь написанием этой статьи, преследованным мной только хорошие побуждения, ведь это не есть инструкцией, как хакнуть пару тройку ПК друзей, не-е-е-т! Это сделано, чтобы от подобных действий каждый с читающих мог противостоять и защитить себя и свои персональные данные от действий неблагонадёжного контингента.
И здесь речь идёт не только о файлах, но и о прочей информации. Этот пример, лично мне, хотелось-бы рассмотреть на примере фотографий, а точнее разобрать и проанализировать недобросовестные ресурсы, которые компрометируют пользователей, который доверяет порталу свои приватные фотоматериалы. Естественно, я понимаю, что все ждут от меня немного других статей, а именно продолжения, точнее вторую часть, анализа эксплоитов. Всё пока-что в разработке, наберитесь терпения и узрите моё новое творения на тему информационной безопасности. Без лишней болтовни приступим к делу. В качестве подопытного кролика выступит, достаточно популярный, интернет ресурс, который даже не имеет собственных серверов для сохранения файлов, а банальным образом выгружает их на другие порталы, встречайте - LightShot.
И собственно в чём суть? Чтобы понять эту тайну, нам нужно подробно разобрать принцип работы этого чуда, поехали. Чтобы сделать скриншот, cайт prntscr.com, то бишь Lightshot, предлагает нам скачать их официальное приложения для этого дела, без особых совестных мучений мы его качаем и устанавливаем, после делаем скриншот и выгружаем его на "сервер", как я говорил его не существует, он пользуется чужие. И здесь начинается кульминация статьи, переходим по ссылке и можем наблюдать свою фотографию. "Да ты гений" - сказали бы вы, но я ведь не закончил, а хоть кто-то думал, что будет если мы сменим одну переменную в ссылке на мой скрин? Нет? Давайте попробуем, к примеру, мы изменили одну цифру и можем наблюдать скрин совершенно иной, только что мы получили доступ к фотографии, которая, от нудь, не принадлежит нам.
Возникает следующая цепочка вопросов, мы что-то взломали? Чтобы ответить на это, давайте обратимся к пользовательским соглашениям программы от , где нет ни одной строчки о конфиденциальности пользователей, то есть мы получили доступ и так к открытому материалу, то есть расценить как несанкционированное проникновения это - нельзя. Но давайте теперь посмотрим правде в глаза, а точнее человеческой наивности и доверчивости, людишки очень склонны к сохранению своей приватной информации в скринах, а эти фото они зачастую выгружают на подобные ресурсы.
Я бы это назвал целым раем для Социального инженера, чего только стоит скрин, который мне удалось нарыть за пять минут, 4 с которых я потратил на чаепитие, что может сделать опытный обладатель продвинутыми навыками СИ? Ну, для начала, имея подобную информацию в распоряжении, можно получить доступ к имейлу, а там уже и ко всем сервисам.
Как и во всех случаях, не нужно всё время менять переменные ссылки, ведь существует несколько репозиториев на гитхабе, которые автоматизируют этот процесс, давайте рассмотрим первый.
Этот python-script грабит фотографии, рандомизируя переменные в ссылке и работает только по , а если вспомнить о том, что лайтшот не имеет собственных серверов для хранения файлов, поэтому он заливает их на имгур и отображает их вам.
Думаю, не имеет смысла засорять кодом текст, вся установка и использование - на скринах. Подойдя вплотную к моменту, где я должен был, по идее, сделать вывод, мне пришло в голову более интересное решения - такие-же действия провести с другими популярными файлообменниками, ну и знаете что? Да, верно, всё работает и с ними.
Выводы:
Они насколько очевидны, что нет желания их писать, поэтому сформулируем данное дело вопросом, о какой, твою мать, приватности и анонимности может идти речь на подобных ресурсах, если обычным изменениям переменных ссылки - мы получаем доступ к приватным фотографиям. Опытный социальный инженер знает, что с подобным делать, та и для составления психологического портрета жертвы - самое то... Стоит ли доверять свою же безопасность подобным ресурсам ? Решать уж вам, но крайне не советую.
А Метаданные? Мне лично знаком с этими негодниками, но о этом потом.
И да, не советую просматривать сграбленные фото, там просто огромное количество разнообразной обнажёнки. В скором времени у вас будет возможность прочесть вторую часть анализа, а пока что довольствуйтесь этим и не попадайтесь на уловки жуликов и мошенников. Good luck. И да! Если удалить фотографию с самого лайтшота, она там исчезнет, но на имгуре она будет существовать вечно, ибо от туда вы её никак уже не удалите.
Давайте откинем в сторону анализ самых частоиспользуемых эксплоитов такого прекрасного Framework'a как Metasploit и поговорим о ваших файлах, о материалах, которые вы доверяете на сохранение Всемирной Паутине на свой страх и риск.
По традиции, в мои обязанности входит вставить сюда авторский дисклеймер, который по общепринятым суждениям должен избавить автора от ответственности, но мы прекрасно пониманием, что даже если представленная информация будет использована с зловредными целями и даже, если, кто-то пострадает, то вина исключительно на ваших плечах, точнее на ключице злоумышленника, ну и на моих, конечно. Никакой дисклеймер и тому подобная чушь не избавит меня от мучений совести, ведь какие-то моральные качества сохранить, всё же, удалось. Занимаясь написанием этой статьи, преследованным мной только хорошие побуждения, ведь это не есть инструкцией, как хакнуть пару тройку ПК друзей, не-е-е-т! Это сделано, чтобы от подобных действий каждый с читающих мог противостоять и защитить себя и свои персональные данные от действий неблагонадёжного контингента.
И здесь речь идёт не только о файлах, но и о прочей информации. Этот пример, лично мне, хотелось-бы рассмотреть на примере фотографий, а точнее разобрать и проанализировать недобросовестные ресурсы, которые компрометируют пользователей, который доверяет порталу свои приватные фотоматериалы. Естественно, я понимаю, что все ждут от меня немного других статей, а именно продолжения, точнее вторую часть, анализа эксплоитов. Всё пока-что в разработке, наберитесь терпения и узрите моё новое творения на тему информационной безопасности. Без лишней болтовни приступим к делу. В качестве подопытного кролика выступит, достаточно популярный, интернет ресурс, который даже не имеет собственных серверов для сохранения файлов, а банальным образом выгружает их на другие порталы, встречайте - LightShot.
И собственно в чём суть? Чтобы понять эту тайну, нам нужно подробно разобрать принцип работы этого чуда, поехали. Чтобы сделать скриншот, cайт prntscr.com, то бишь Lightshot, предлагает нам скачать их официальное приложения для этого дела, без особых совестных мучений мы его качаем и устанавливаем, после делаем скриншот и выгружаем его на "сервер", как я говорил его не существует, он пользуется чужие. И здесь начинается кульминация статьи, переходим по ссылке и можем наблюдать свою фотографию. "Да ты гений" - сказали бы вы, но я ведь не закончил, а хоть кто-то думал, что будет если мы сменим одну переменную в ссылке на мой скрин? Нет? Давайте попробуем, к примеру, мы изменили одну цифру и можем наблюдать скрин совершенно иной, только что мы получили доступ к фотографии, которая, от нудь, не принадлежит нам.
Возникает следующая цепочка вопросов, мы что-то взломали? Чтобы ответить на это, давайте обратимся к пользовательским соглашениям программы от , где нет ни одной строчки о конфиденциальности пользователей, то есть мы получили доступ и так к открытому материалу, то есть расценить как несанкционированное проникновения это - нельзя. Но давайте теперь посмотрим правде в глаза, а точнее человеческой наивности и доверчивости, людишки очень склонны к сохранению своей приватной информации в скринах, а эти фото они зачастую выгружают на подобные ресурсы.
Я бы это назвал целым раем для Социального инженера, чего только стоит скрин, который мне удалось нарыть за пять минут, 4 с которых я потратил на чаепитие, что может сделать опытный обладатель продвинутыми навыками СИ? Ну, для начала, имея подобную информацию в распоряжении, можно получить доступ к имейлу, а там уже и ко всем сервисам.
Как и во всех случаях, не нужно всё время менять переменные ссылки, ведь существует несколько репозиториев на гитхабе, которые автоматизируют этот процесс, давайте рассмотрим первый.
Этот python-script грабит фотографии, рандомизируя переменные в ссылке и работает только по , а если вспомнить о том, что лайтшот не имеет собственных серверов для хранения файлов, поэтому он заливает их на имгур и отображает их вам.
Думаю, не имеет смысла засорять кодом текст, вся установка и использование - на скринах. Подойдя вплотную к моменту, где я должен был, по идее, сделать вывод, мне пришло в голову более интересное решения - такие-же действия провести с другими популярными файлообменниками, ну и знаете что? Да, верно, всё работает и с ними.
Выводы:
Они насколько очевидны, что нет желания их писать, поэтому сформулируем данное дело вопросом, о какой, твою мать, приватности и анонимности может идти речь на подобных ресурсах, если обычным изменениям переменных ссылки - мы получаем доступ к приватным фотографиям. Опытный социальный инженер знает, что с подобным делать, та и для составления психологического портрета жертвы - самое то... Стоит ли доверять свою же безопасность подобным ресурсам ? Решать уж вам, но крайне не советую.
А Метаданные? Мне лично знаком с этими негодниками, но о этом потом.
И да, не советую просматривать сграбленные фото, там просто огромное количество разнообразной обнажёнки. В скором времени у вас будет возможность прочесть вторую часть анализа, а пока что довольствуйтесь этим и не попадайтесь на уловки жуликов и мошенников. Good luck. И да! Если удалить фотографию с самого лайтшота, она там исчезнет, но на имгуре она будет существовать вечно, ибо от туда вы её никак уже не удалите.
