#информация
Наткнулся на интересную аналитику проведенную компанией Device Lock. Они изучили базы слитых паролей, содержащие, в общей сложности более 4 миллиардов записей и составили топ наиболее популярных.
10-ть самых популярных паролей:
123456
123456789
qwerty
password
12345
qwerty123
1q2w3e
12345678
111111
1234567890

10-ть самых популярных паролей, содержащих только буквы:
qwerty
password
qwertyuiop
qwert
iloveyou
zxcvbnm
qazwsx
dragon
monkey
asdfgh

10-ть самых популярных паролей, содержащих буквы, цифры и спецсимволы:
)4ever
1qaz@WSX
P@ssw0rd
123456QQAqqa
p@ssw0rd (1)
wowecarts@123
1qaz!QAZ (3)
film@123
fu7u4a#$$$
stt2014

10-ть самых популярных кириллических паролей:
я
пароль
йцукен
любовь
привет
люблю
наташа
максим
андрей
солнышко

Ну что? Есть твои пароли?

#новости
Tor Project
Представители Tor Project сообщили, что Россия вышла на первое место в мире по активности использования браузера Tor, обойдя США и Иран. В первые месяцы 2019 года у Tor было не более 300 тысяч пользователей из РФ в сутки. Уже в апреле было зафиксировано резкое увеличение активности. За период с апреля по июль исторический максимум пользователей из России менялся пять раз. Рекордный показатель в 600 тысяч пользователей был достигнут 11 июля 2019 года. Очень интересен тот факт, что одновременно с этим возросло количество русскоязычных сайтов, теперь их больше чем на английском языке, а соответственно русский язык можно считать наиболее популярным в DarkNet.

​​#новости
Отключай Bluetooth на iPhone 📱
Товарищи из hexway смогли определить номер телефона пользователя iPhone c помощью AirDrop. На GitHub опубликован эксплойт позволяющий, в момент когда кто-то рядом пытается использовать AirDrop, перехватить хэш телефонного номера отправителя и восстановить из него номер. По словам hexway, если связаться с пользователем через iMessage, можно определить имя владельца телефона. Экспертам удалось узнать имя с помощью TrueCaller, а также обнаружить его в имени устройства.
Исследователи также рассказали и о проблеме, которая может возникнуть при использовании функции «Поделиться паролем Wi-Fi» на iPhone. Пользователю нужно выбрать сеть из списка, и устройство начнет отправлять запросы Bluetooth LE на другие iPhone, запрашивая у них пароль. Широкополосные запросы BLE содержат пользовательские данные, а именно хэш SHA256 номера телефона, AppleID и адрес электронной почты. По словам экспертов, отправляются только первые 3 байта хэшей, но этого достаточно, чтобы идентифицировать номер телефона.
Также hexway заявляют, что возникшая проблема не является уязвимостью, а скорее следствием функций, которые обеспечивают работу экосистемы Apple. Описанные методы работают в iOS 10.3.1 и выше, в том числе в бета-версиях iOS 13.
На данный момент единственный способ решения проблемы - отключение Bluetooth на телефоне.

Прячем файлы как Mr. Robot. Обзор VeraCrypt и DeepSound
Текстовая версия здесь - http://hacker-basement.ru/2019/07/28/hide-files-like-mr-robot-veracrypt-deepsound/

​​#информация
Crowdstrike опубликовали отчёт в котором выделили пять основных современных киберугроз для мобильных девайсов: инструменты для удаленного доступа (RAT), банковские трояны, вымогатели, криптомайнеры и рекламный кликфрод. Также в качестве шестой потенциальной угрозы исследователи отметили легальные коммерческие шпионские программы (их ещё называют spouseware или stalkerware).
➡️RAT-программы используются в основном для шпионажа, который зачастую легче осуществить на мобильных устройствах — камера, микрофон и GPS-чип уже встроены. После установки такие вредоносы, как правило, перехватывают SMS-сообщения, выискивая там токены для многофакторной аутентификации. Поскольку кросс-платформенные RAT-программы сложно разрабатывать и поддерживать, они больше присущи правительственным хакерам с серьезными ресурсами.
➡️Мобильные банковские трояны, чьи возможности схожи с RAT, представляют ещё одну киберугрозу, которая стремительно растёт. Отличительная особенность программ этого класса заключается в возможности наложения своих окон поверх легитимных приложений. Представьте: вы вводите свои учетные данные или банковские реквизиты, но поверх официального приложения вашего банка наложено невидимое окно вредоноса. В итоге вся введённая вами информация попадает в руки киберпреступников.
➡️Вымогатели и шифровальщики — эти программы тоже в последнее время переключились с десктопов на мобильные устройства. Пользователей смартфонов часто выручают облачные хранилища, в которых хранятся резервные копии файлов и операционной системы, однако злоумышленники и здесь придумали свои рабочие схемы — просто полностью блокировать устройство и требовать некую сумму за его разблокировку.
➡️Эксперты в области безопасности также стали находить на смартфонах вредоносные криптовалютные майнеры. Изначально затея майнить на мобильных устройствах может показаться безумной — обычно такой код совершенно не оптимизирован под процессоры смартфонов. С другой стороны, как утверждают в CrowdStrike, огромное количество потенциальных девайсов-жертв делают криптомайнинг заманчивым мероприятием. Ожидается, что в будущем все вредоносные программы для мобильных устройств будут оснащаться скриптами для майнинга. Этому поспособствуют минимальные требования к разработке и относительно низкая степень риска.
➡️Последняя современная угроза для пользователей смартфонов — кликфрод — пожалуй, наименее опасная из всех. Цель этого метода заключается в отправке скрытых HTTP-запросов к рекламным ресурсам. По оценкам специалистов, к 2025 году кликфрод принесёт до $50 миллиардов.

По просьбам подписчиков добавил к каналу чат. Посмотрим что из этого получиться 🙃
https://t.me/pulsechanelchat

​​#полезности
Добавил на сайт списки ресурсов для поиска по открытым источникам:
Украина
Россия

Обзор и настройка Whonix. Объединяем Whonix и Kali Linux

Текстовая версия, со всеми командами и ссылками, здесь - http://hacker-basement.ru/2019/08/08/overview-and-installation-whonix/

Основы Wireshark. Настройка, захват и расшифровка трафика

Текстовая версия здесь - http://hacker-basement.ru/2019/08/14/basics-wireshark-decryption-capture-traffic/

​​​​#новости
Поддельный сайт NordVPN распространяет банковский троян

Сотрудники антивирусной компании "Dr.Web" обнаружили фишинговый сайт VPN-сервиса "NordVPN".

Поддельный сайт имеет схожий домен, выглядит идентично оригинальному и содержит действительный SSL-сертификат безопасности.

✅ Оригинальный адрес: https://nordvpn.com/
❌ Подделка: https://nord-vpn.club/

Мошеннический сайт предлагает скачать программу NordVPN. При этом, в ней встроен обновленный банковский троян Bolik.
Вирус может перехватывать трафик, отслеживать нажатия клавиатуры и воровать информацию из банковских приложений.

Криптография для хакеров. Основы алгоритмов шифрования

Текстовая версия здесь - http://hacker-basement.ru/2019/08/23/kryptografia-dlay-hakerov-algorytmy-shifrovaniy/

Как защитить компьютер. Автовыключение и самоуничтожение

Текстовая версия здесь - http://hacker-basement.ru/2019/08/28/bezopasnost-komputera-usbdeath-luksnuke/

Страница на Patreon - https://www.patreon.com/pulsepagemy

​​По просьбам подписчиков запустил Jabber сервер.

Доменное имя XMPP: fuckthesystem.does-it.net

✅ можно использовать любое клиентское приложение (PSI, Pidgin, Spark и т.д.);
✅ регистрация новых пользователей прямо из клиентского приложения;
✅ поддержка сертификатов (через протоколы TLS и SSL);
✅ логи переписок не ведутся, логи подключений очищаются сразу после отключения клиента от сервера (всё как вы любите 😉);
✅ любое количество аккаунтов с одного IP, каждый может создавать групповые чаты;
✅ включен обмен файлами;
✅ есть вэб-морда Candy (вдруг кому надо): http://fuckthesystem.does-it.net:7070/candy/

⏰Сервер будет работать 24/7;
🛠В процессе работы буду допиливать всякие ништяки;

🎥В ближайшие дни будет видос про Jabber и всё, что с этим связанно, с подробными инструкциями по клиентским приложениям, серверам, OTR, GPG и т.д.

——————————————————
💰Закинуть монет на развитие всего этого дела и запуск новых проектов (например proxy-сервера) можно здесь:
https://www.donationalerts.com/r/pulse_ds
или здесь:
https://www.patreon.com/pulsepagemy

Как анонимно общаться в сети. Все про Jabber

Текстовая версия здесь - http://hacker-basement.ru/2019/10/14/vse-pro-jabber-xmpp/

​​#новости
Вышла Tails 4.0

https://tails.boum.org/news/version_4.0/index.en.html

Это самое большое обновление за всю историю проекта, теперь новая Tails основана на Debian 10 (Buster).
Улучшена производительность и защищенность:
- скорость загрузки на 20% быстрее;
- требуется на 250 Мб меньше оперативной памяти;
- добавленная поддержка устройств Thunderbolt;
- упрощенно использование экранной клавиатуры;
- добавленная возможность посмотреть пароль Persistence volume при его создании;
- добавлена поддержка функции USB-модема с использованием iPhone;
- устранено большое количество проблем безопасности которые были в версии 3.16 (https://tails.boum.org/security/Numerous_security_holes_in_3.16/).

Обновлено большое количество предустановленных приложений:
- KeePassX заменен на KeePassXС;
- Обновлен OnionShare с 0.9.2 до 1.3.2;
- Tor Browser обновлен до версии 9.0;
- MAT обновлен с 0.6.1 до 0.8.0 и теперь не имеет графического интерфейса, а вызывается нажатием правой кнопки мыши на файл и выбором пункта "Remove metadata";
- Electrum Bitcoin Wallet обновлен до версии 3.3.8;
- Удалён Scribus (интересно, им кто-нибудь пользовался?);
- Обновлены версии Audacity, GIMP, Inkscape, LibreOffice, git, Tor.

Детальный обзор Tails. Самая защищенная ОС

Текстовая версия здесь: http://hacker-basement.ru/2019/10/28/tails-bezopasnost-i-anonimnost/

Здарова, други!
Народ в чате активно делится всякими курсами, книгами, обучалками, видео-уроками и т.д. , причём попадаются очень годные. И это прекрасно. Проблема только в том, что со временем, эти материалы становится трудно найти, придется долго проматывать чат, хэштеги конечно помогают, но это недостаточно удобно. У меня, кстати, тоже накопился определенный объём интересных книг и материалов. Собственно это я к чему. Появилась идея сделать что-то типо файлообменки, где собирать всякие годные материалы, чтобы каждый мог зайти и найти то что ему интересно. Естественно доступ будет бесплатный и без ограничений. Можно к этому всему делу прикрутить веб-морду в ввиде каталога, для удобства поиска и навигации. Вообщем вот такая идея меня посетила, она конечна сырая, но если заморочиться - должно получится прикольно.