Phishing sa sajta instituta za puteve

   

link iz maila vodi na: hxxps[:]//ahlmka[.]hamaforton[.]com/?zfjyl=cHVyY2hhc2VvcmRlcnNAYTEucnM=
a odatle redirektuje na: hxxps[:]//sparkriffro[.]shop/kdin4wgqxprinceequiR3g5wTcjY/?NohyO9mXgWY=cHVyY2hhc2VvcmRlcnNAYTEucnM=

Izgleda da je već detektovan, na drugom linku izlazi error 403 forbidden.

Odeljak iz headera:

Pre par godina objavljena je fotografija na Twitteru za koju se tvrdi da je iscurela sa sigurnosnih kamera (https://hiljade.kamera.rs/). Nisam se detaljno udubio tada, i trenutno ne mogu da nađem originalnu fotografiju, ali svejedno možda možemo da sakupimo sada zajedno još detalja, i uvrdimo/potvrdimo pravi izvor

Izvori su: 
- https://twitter.com/DragoslavicM/status/...0497678336
- https://twitter.com/ivanmarkovicsec/stat...2345298944

I arhivirano ovde:
- https://archive.ph/gRcwc
- https://archive.ph/aqZbj

Pa da krenemo, ovo je fotografija:






Ovo je potvrda da je kamera na zvaničnom spisku (broj 6):


Ovo je ta lokacija na Google Maps:




Prvo pitanje ovde je da li možemo da utvrdimo na osnovu ugla slikanja da li je stvarno moguće da je sa te kamere? Neko iz Beograda bi možda mogao da izmeri visinu i proveri ugao, kao i tip kamere.

Daljom analizom fotografije našao sam još par detalja:

- Rezolucija originalne fotke sa twitera je 1600 × 900
- Kamere su 2MP (ili 8MP za prepoznavanje tablica ali mislim da to nije slučaj ovde)
- Dakle fotka bi trebala da bude rezolucije 1920x1080?
- Kamere su tipa: IPC6625-Z30 ili IPC6225-VRZ-ES
- Fotografija je manipulisana u programu "PhotoShop", ili je u tom formatu kamera čuva?

Zašto sumnjam na moguće "kropovanje" uz pomoć "PhotoShop"-a, ovo je zaglavlje:



Iako bi Twitter trebao da pobriše sve EXIF, XMP i slične podatke, izgleda da ipak ostavlja neke tragove. Vrednost 0x0425 posle 8BIM je PS IPTCDigest tag. Više detalja o ovom formatu možete videti ovde: https://exiftool.org/TagNames/Photoshop.html i ovde: https://metacpan.org/pod/Image::MetaData...13-segment.

Drugo pitanje koje možemo da postavimo je u kom formatu tačno ove kamere ili pridruženi sistemi čuvaju fotografije?

Šta vi mislite? Hvala

Attached Files

Thumbnail(s)
               

IIS default page:

Републички завод за статистику
https://webrzs.stat.gov.rs/
IP: 195.222.96.78

Ministarstvo finansija
http://ifkj.mfin.gov.rs/
Sajt se regulatno otvara ako se otvori sa https://ifkj.mfin.gov.rs
IP: 195.222.99.204

Министарство рударства и енергетике
https://gis.mre.gov.rs/
IP: 195.222.99.250

eUprava
http://ezakazivanje.euprava.gov.rs/
IP: 195.222.99.119

eUprava
http://eplacanje.euprava.gov.rs/
Sa https redirektuje na: https://eplacanje.euprava.gov.rs/Account...urnUrl=%2f
IP: 195.222.98.107

AГЕНЦИЈА ЗА ПРИВРЕДНЕ РЕГИСТРЕ
https://cesv.apr.gov.rs/
IP: 195.178.56.19

Agencija za bezbednost saobraćaja
http://bazabs.abs.gov.rs/
IP: 195.222.99.60

Министарство пољопривреде, шумарства и водопривреде
https://gp.upz.minpolj.gov.rs/
Ovo se koristi kao resurs na upz.minpolj.gov.rs kao odvojeni app, login se nalazi na: https://gp.upz.minpolj.gov.rs/InzemBid
IP: 195.222.96.100

Ministarstvo Zaštite životne sredine
http://mail.ekologija.gov.rs/
IP: 93.87.11.169

Republički zavod za statistiku
http://nn01.stat.gov.rs/
IP: 195.222.96.79

Smatra se lošom praksom ostaviti javno koji se web server koristi jer napadaču olakšava napad odnosno potragu za propustima koje bi mogao da iskoristi za pokušaj napada. U gore navedenim slučajevima, kao što su ifkj.mfin.gov.rs i eplacanje.euprava.gov.rs nisu postavljene redirekcije pa sajt regularno radi sa https, dok se ostali uglavnom koriste kao resursi za neki drugi sajt, u takvim slučajevima, slično kao i sa directory listing problemom, potrebno je samo zabraniti pristup, ukloniti default page ili postaviti neku stranicu... U slučaju https://gp.upz.minpolj.gov.rs/ bi trebalo postaviti redirekciju na app koji se servira.

Ovo bi bio primer zaštićenog resursa: https://publikacije.stat.gov.rs/

Eventualno postaviti custom 403 page kako se ne bi po default 403 stranici predpostavilo koji web server je u pitanju.

Sve je pronađeno samo pomoću Google pretrage:

Mozda je malo offtopic tema, al' hajde da je podelim mozda ce nekom znaciti...

Dakle, cesto se nadjem u situaciji gde radim na jednoj masini pod jednim user account-om a da mi trebaju razliciti "profili" kljuceva, konfiguracija, fajlova itd.. kao npr. .gitconfig, .ssh, .gnupg, .config/nvim, .aws, .azure... Neki od navedenih alata imaju podrsku za vise profila a neki nemaju, a to je bio razlog da napravim alat opste namene koji bi na neki nacin "fizicki" razdvojio profile. A pritom da alat bude i ostane keep it simple, bez config fajla, budzenja a i da bude stateless na neki nacin. Naravno, sve to da bude automatizovano i bez dodatnih privilegija no sto sam korisnik ima (tj. sve da se desava u korisnickom ~ direktorjumu).

Ideja je bila da jedan namespace prestavlja jedan kontekst (direktorijum) tj. entitet koji moze biti npr. ime neke firme, projekata, klijenta, licni, .. (nema pravila). Sve sto je vezano za taj entitet, fajlovi, git projekti, kljucevi, konfiguracije raznih alata drzati u tom namespace-u (~/.ns/<namespace>). Aktiviranjem namespace-a alat pravi symlink-ove od svih fajlova i foldera iz nemaspace-a u ~ korisnika. Pritom pravi backup (tj. rename) svih fajlova/foldera ako postoji preklapanje u imenima. Kada se namespace aktivira uvek se napravi jedan dodatni symlink ~/.current_ns koji vas vodi na putanju ~/.ns/<namespace>. Deaktiviranje namespace-a desava se unlink svih fajlova/foldera i vraca sve "backup" fajlove u provitno stanje tj. ime.

Verujem da se moze vremenom uraditi neka vrsta integracije sa btrfs, s3, shell, .. sto bi olaksalo backup/snapshot procese i koriscenje samog alata.

Alat jos uvek nije stabilan i u fazi je razvijanja, nemojte ga koristiti sa pravim podacima.

Neko moje predvidjanje je da ce tek od verzije v1.0.0 biti safe-to-use. 
Bacite pogled ko ima vremena, svaka ideja i kritika je dobro dosla.   

https://github.com/alekbuza/punsctl

Na slici ispod možete videti da Poštanska štedionica ne šalje e-mail poruke sa osetljivim informacijama putem enkriptovanih kanala. Na ovaj način ova poruka će biti dostupna u čistom tekstu prilikom slanja kroz mrežu.

Postavlja se i pitanje da li je samo pogrešna konfiguracija, ili neko(napadač)/nešto(IPS) uklanja "STARTSSL" da bi mogao da radi inspekciju paketa? Bilo bi dobro kada bi neko mogao da potvrdi da li je situacija oduvek ovakva ili je ovo od skorije.

Izvor: https://twitter.com/Nikola68800720/statu...3407587328
Arhivirano: https://archive.ph/Yl8hH

Attached Files

Thumbnail(s)
   

directory listing: http://mhe.mre.gov.rs/
dakle nema default stranice/front page-a

Osim toga, ako pokušate da posetite https://mhe.mre.gov.rs/ dolazi do greške jer je postavljen pogrešan sertifikat, za domen aa.gov.rs

IP: 195.222.99.250

Zdravo svima!

Zovem se Aleksandar i dolazim iz ravnog lepog Banata..  
Uglavnom, vremenom se moje polje interesovanja najvise se usmerilo ka radu sa podacima, sigurnost softvera i hardvera, kriptologiji, programiraju, DevOps principima, ...
Neko moje profesionalno iskustvo (pocevsi od ~2014.) je vezano za DevOps pozicije koje me prati od pocetka, ali cesto plivam i po sirem spektrumu.
Igrom slucaja postao sam korisnik GNU/Linux i BSD sistema vec godinama unazad, dok micro$oft ekosistem uvek nekako mudro uspem da izbegnem..  

Bice mi drago ako uspem da doprinesem ovoj zajednici, forumu i sire o/

Default Apache page na CentOS-u:
https://media.srbija.gov.rs/

IP: 77.105.38.93
NS : ns4.gov.rs.
NS : ns3.gov.rs.
NS : ns1.gov.rs.
NS : ns2.gov.rs.
SOA : ns1.gov.rs. administrator.uzzpro.gov.rs. 2010022310 10800 3600 1209600 86400

Nećemo ulaziti u to koje su verzije web servera i operativnog sistema.

Directory listing:
https://media.srbija.gov.rs/medeng/
https://media.srbija.gov.rs/medsrp/

(www.)media.srbija.gov.rs je sresurs koji se može videti posetom (www.)sajta srbija.gov.rs 

Pronađeno upotrebom Google pretraživača.

Potrebno je isključiti mogućnost izlistavanja fajlova kao i ukloniti početnu stranu koja otkriva tehnologije na serverskoj strani, postaviti redirekciju ka glavnom sajtu.

Pozdrav svima,

Dolazim iz BiH, po zanimanju sam inzenjer Informacijskih tehnologija. Dugo godina sam se bavio etickim hakiranjem, a trenutno radim na poziciji IT Security Engineer-a u jednoj banci tako da su mi poznate i ofanzivna i defanzivna strana.

Zaljubljenik sam u Linux i Mac. U slucaju nuzde mogu da koristim i Windows, to obicno radim kroz Meterpreter 

Sa ovog spiska: https://www.vladars.net/eng/vlada/Pages/...in_RS.aspx
Imate tuzilastvo-rs[.]org sa bitcoin fraud shemom
( slika je u attachmentu dole izgleda sajta )

Samo da zahvalim Zoranu na informaciji

Attached Files

Thumbnail(s)