Pre izvesnog vremena ovo što vidite na slici ispod objavio je jedan član foruma na svom Twitter nalogu. U prevodu podatke građana je mogao da prikupi bilo ko samo pogađajući linkove. Rešenje "stručnjaka" je da poveća link i smanji vreme brisanja generisanih dokumenata.

Samo iz ovog teksta ja sam zaključio da tu postoji:

• A01 - Broken Access Control 
  
• A04 - Insecure Design 
  
• A07 - Identification and Authentication Failures 
  
• A09 - Security Logging and Monitoring Failures
  

Attached Files

Thumbnail(s)
   

hola! 

Obično pišem na twitter ali moram i ovdje. I know...

Moja drugarica/koleginica (koja je content writer) je dobila neki čudan email za posao, ali s obzirom da smo u našoj firmi imali security awareness, nije kliknula. Što znači da je obuka bila "great success"     

Kao što se vidi u screenshot ispod, u email je poslat i link. Pomoću nekog redirect checker smo vidjeli da taj link vodi do iapwe[.]org
Ona definitivno nije se prijavila prije na ovaj ili sličan sajt. 

IAPWE ili "International Association of Professional Writers & Editors" kako piše, imaju online prisustvo (LinkedIn, Twitter, Facebook, YouTube, itd.) ali kad se malo dublje pogleda, profili su skoro pa prazni. (jedino na Twitter đe objave neke random linkove)
Domain lookup ne daje neke značajne informacije, ali čim se gugla "IAPWE" autocomplete nudi neke zanimljive rezultate. Takođe na Twitter search možete da pogledate šta ostali pričaju (a to ne mora da znači da je validno jer ponekad mogu da budu i botovi). 

kako ova prevara funkcioniše:
predstavljaju se kao besplatan servis, ali traže PayPal login, nakon odredjenog vremena 'skidaju' sredstva sa PayPal naloga.

više detalja na sledećom linku:
https://medium.com/@bonnyalbo/yes-iapwe-...bcaa88daa7

zaključak: Think twice. Ako nešto zvuči "too good to be true" možda i jeste. Takođe, ako piše da je nešto hitno i to je neki znak prevare. 


                  

Pozdrav svima i hvala na pozivu. Ja sam Ivana i od "rodjenja" me interesuju racunari, programiranje i hakovanje. Poslednjih 10 godina se profesionalno bavim etickim hakovanjem, imam iskustva i u red i u blue timu. Drago mi je sto sam clan ovog foruma i jos jednom hvala na pozivu ))

Antivirus mi blokirao sajt fpn-a:
Webpage "hxxps://www[.]fpn[.]bg[.]ac[.]rs" was blocked due to reputation rated harmful

VT kaže clean, samo DNS8 smatra da je sumnjiv:
   
https://www.virustotal.com/gui/url/3cce8...504f2b9fbd

Scumware nalazi samo ovo:
   

Jedino što sam video je da je WordPress 5.9.5 dakle nije skoro ažurirano.

Kačim ovde jer smo i ranije imali detekcije za koje ne nalazimo 100% da je kompromitovano, primer dzns.rs (postoji tema), ali se ispostavi nakon mesec dana ili manje da ipak biva hakovan i zloupotrebljen. Ovo posmatram kao rano upozorenje.

Želeo sam samo da saznam do kada cveta ambrozija... Na žalost stanje ovog sajta je slično ekologiji u Srbiji.

Nema SSLa i radi se redirekcija sa porta 443 na port 80 - it's a feature! Mislim da bih to nazvao obrnutom redirekcojom, obrnutom od prakse i zdravog razuma. Možda u potpis stavim i to da postoji besplatan sertifikat https://letsencrypt.org/ 

Na žalost osim toga je tu i otvorena baza mysql, ftpd, apache... CVE spisak je predugačak, više detalja na Shodanu:
https://www.shodan.io/host/77.46.150.206

Određeni resursi se nalaze na http://prtr.sepa.gov.rs/ koji redirektuje na IP adresu - one more feature!
Tu je tek tuga i sa verzijom PHP-a, zastarelom verzijom WordPress-a... i naravno neadekvatno zaštićenim resursima samog CMS-a, pa je tu i directory listing:
http://77.46.150.218/wp-content/uploads/

"The objective of this work package is to provide a technical solution for monitoring the Windows telemetry component. The developed research tool (SAM) extends Event Tracing for Windows and enables detailed recordings of system and application behavior and resource usage based on recording profiles. The tool is therefore an extensive information source for research and system analysis."



https://www.bsi.bund.de/EN/Service-Navi/..._node.html

https://kirs.gov.rs/images/

https://kirs.gov.rs/media/

https://kirs.gov.rs/backoffice/

Pre svega, nerelevatne poruke na signalizaciji su opasne za bezbednost u saobraćaju! Sa druge strane ostavljanje političkih poruka znači da je ova infrastruktura kompromitovana na više nivoa. Ako svako može da ostavi poruke koje želi, onda to može da znači više stvari (iz ugla IT bezbednosti):

- Da nepostoji adekvatna fizička bezbednost infrastrukture
- Da ne postoje polise bezbednost koje određuju ko, kada, i kako može da kontroliše ovu infrastrukturu
- Da ne postoji nadzorni organ koji donosi gore pomenute polise i nadzire primenu
- Da ne postoji svest o mogućnostima zloupotrebe
- Dopišite po želji...

Izvor: https://twitter.com/UPA1974_/status/1582718592067710977
Arhivirano: https://archive.ph/UHDcD

Attached Files

Thumbnail(s)
           

Pozdrav svima!

Ja sam jos jedna osoba ovde koja voli sigurnost. Zaposlen kao devops inzinjer, tako da mi je ona "plava" strana sigurnosti malo bliza ali po mom misljenju nije sve to tako crno belo da se delimo po bojama, vec je cilj podeliti znanje medjusobno.

Clan hakerpsace-a "Tilda center" a verujem da me neki znaju ili sa BalcCon-a ili sa twittera.
Od operativnih sistema mogu biti od pomoci za Linux i FreeBSD.

Od tema kojima bih se bavio rado su uglavnom post exploit stvari, tipa incident response i digitalna forenzika mada nista nije viska.

Drago mi je da sam na ovoj temi vec video par poznatih lica. Neke znam uzivo neke online, tako da verujem da ce ovde biti zabavno

Juče su se na Twitter-u pojavile dve poruke (od "Banka Intesa" i "Kancelarija za saradnju sa medijima") koje su bile markirane kao Phishing od strane GMAIL-a. Iako poruke na prvi pogled stižu sa validnih izvora i imaju validne parametre koje se obično koristite za zaštitu e-mail poruka, detaljnom analizom zaglavlja i tela poruke došli smo do detalja koji mogu da budu "okidači" za ovakvo markiranje poruka.

U vezi sa tim dajemo vam par saveta kako da izbegnete da i vaše poruke budu ovako označene:

1. Uvek pravilno podesite SPF podešavanja i za "MAIL FROM" i za "HELO" servere.
   
2. Uvek pravilno podesite SPF i za servere koji se koriste za forward-ovanje poruka.
   
3. Koristite što manje linkova u porukama (ako je to moguće), i uvek ih dobro istaknite (ne smeju biti ni na koji način sakriveni).
   
4. Pored pomenute tri preporuke (direktno povezane sa pomenutim slučajevima) uvek preporučujemo i korišćenje DMARC protokola (a evo i zašto: https://bezbedanbalkan.net/thread-118.html).
   

1. https://twitter.com/mileusna/status/1582423554007920641
   
2. https://twitter.com/radomir_martin/statu...9329569792
   

Attached Files

Thumbnail(s)