🖖🏻 Приветствую тебя, user_name.• EXIF — стандарт, позволяющий добавлять к изображениям и прочим медиафайлам дополнительную информацию, комментирующую этот файл, описывающий условия и способы его получения. Хочу напомнить, что метаданные являются одним из основных источников информации. Соответственно, данный материал будет весьма полезным для #OSINT специалистов.
• В этой статье мы познакомимся с форматом EXIF и узнаем, какую информацию содержат метаданные фотографий, как эту информацию можно получить, и каким образом использовать. В качестве примера будем использовать фототеку, управляемую с помощью Apple Photos.
• Дополнительный материал:
- Как поменять модель камеры в метаданных снимка;
- Как сохранить метаданные в отдельный файл;
- Копирование метаданных между файлами;
- Обработка большого количества фотографий;
- Пример подмены метаданных;
- Как изменить примечания в метаданных файла фотографии;
- Как изменить дату съёмки в метаданных фотографии;
- Как изменить GPS координаты в фотографии;
- Как удалить только определённые теги в метаданных;
- Название тегов метаданных. Группы тегов;
- Как узнать координаты любого места.
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
🖖🏻 Приветствую тебя, user_name.
• Вы когда нибудь отдавали свой паспорт для регистрации при заселении в отель или гостиницу? А задумывались над тем, что ваши данные могут оказаться в руках хакеров?
• Короткая, но интересная статья про пентест отеля и уязвимости, благодаря которым пентестер получил доступ к персональным данным и всем хостам в сети объекта.
• Автор: @r00t_owl
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
• Данный материал написан в соавторстве с @mycroftintel.
• Дарквеб – это один из самых крупных работодателей для дизайнеров. Не верите? И зря. На большинстве форумов существует раздел с вакансиями и для дизайнера без моральных принципов там раздолье. Каждому скам-проекту нужна красивая картинка, потому что эстетика продает. Но самая мякотка не просто в графическом дизайне, а в отрисовке.
• Когда я в первый раз узнал про отрисовщиков, то не сразу понял, кто они такие и чем занимаются. Но на деле все довольно прозаично. Многие сервисы требуют вашу фотографию с документом в руках (ну или с банковской карточкой – опционально). Это наивная попытка верифицировать пользователя и отстроиться от совсем уж непрофессиональных скамеров. Это самая первая задача, с которой вам помогут профессиональные художники: под имеющиеся у вас данные они нарисуют и лицо, и документы.
• Классом выше – отрисовка настоящих документов. К ним относятся паспорта: как на реальных людей, так и на фейки. Хотите скан нотариального свидетельства – легко. На любую недвижимость. Скан прав – это тоже не проблема. Но можно сложнее – сканы контрактов, доверенностей и прочих деловых документов. Идеально для рейдеров – пока суд будет разбираться в подлинности, активы уже будут совершенно в других руках. И самое главное – все с печатями.
• Из этого вывод – любой, совершенно любой документ можно задублировать и отрисовать. Было бы желание и деньги. Естественно, все это незаконно. И рассказываю я это вам чтобы вы были начеку: обещать не значит жениться. А скан – это еще не документ.
❗️ Внимание! Вся представленная информация предоставляется только в ознакомительных целях.
• Дополнительная информация доступна в группе @mycroftintel
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
🖖🏻 Приветствую тебя, user_name.• 24 и 25 августа состоялась четвертая конференция по практической кибербезопасности OFFZONE 2023. Она объединила безопасников, разработчиков, исследователей, а также преподавателей и студентов технических вузов.
• За два дня на конференции выступили 108 экспертов с 89 докладами. Очень много интересного материала по разным темам, начиная от #OSINT и заканчивая Lockpicking. Предлагаю уделить время и послушать материал, будет весьма полезно. Вот некоторые из докладов:
• Как скрыть свои действия, когда отслеживается каждый шаг;
• Как устроен мошеннический кол‑центр?
• Фиолетовый — цвет боли!
• Багхантинг: кейсы, инструменты и рекомендации;
• Подосинтовики;
• Гаджеты хакера из будущего, которые можно достать уже сегодня;
• Как реклама следит за тобой?
• LockPick: как это сделано?
• Опять забыл комбинацию? Как работают кодовые замки;
• CTF как швейцарский нож специалиста;
• Логические уязвимости повышения привилегий в ОС Windows;
• Evalsploit: захват сервера одной строкой.
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
🖖🏻 Приветствую тебя, user_name.
• Делюсь очень полезным чек-листом, который содержит полезные советы и хитрости на тему пентеста Wi-Fi сетей. Материал содержит следующую информацию:• Что использовать?
• Настройка;
• Мониторинг;
• Пентест;
- WPA/WPA2 Handshake;
- PMKID Attack;
- ARP Request Replay Attack;
- High-rate Injection test;
- WPS PIN (а вдруг включен);
- Атака на WPA/WPA2-Enterprise (MGT);
- WPA/WPA2-Personal (PSK) Rogue AP Evil Twin;
- Базовая точка доступа WPA/WPA2-PSK;
- WPA/WPA2-PSK AP Evil Twin + Captive Portal Attack;
- WPA/WPA2-PSK AP Evil Twin + (половинный) захват рукопожатия WPA;
- WPA/WPA2-Enterprise (MGT) Rogue AP Evil Twin;
- WPA/WPA2-Enterprise AP Evil Twin + Кража учетных данных RADIUS;
- EAP Downgrade Attack;
- WPA/WPA2-Enterprise AP Evil Twin + Captive Portal Attack;
- WPA/WPA2-Enterprise AP Evil Twin + NetNTLM Hash Capture;
- Krack (ни разу не пригодилось);
• Словари;
• Password Spraying;
• Mind карта для пентеста wifi;
• MacStealer: Wi-Fi Client Isolation Bypass.
• Добавляйте в избранное и больше практикуйтесь.
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
👨🏻💻 Курс: Python для этичного хакера.
• Для изучения данного языка программирования, в сети существует просто уйма ресурсов с качественным и бесплатный материалом. Единственное что от тебя требуется, это желание и время для изучения. Сегодня поделюсь с тобой крутым и интересным курсом на русском языке, который освещает тему этичного хакинга и программирования на языке Python. Вот некоторые лекции:
• Python 2 vs Python 3;
• Mac-адрес и как его поменять;
• Пишем очень простую программу для смены Mac-адреса;
• Реализуем алгоритм проверки смены Маc адреса;
• Словари;
• Извлекаем MAC адреса из ответов;
• Захват паролей компьютера, в одной сети;
• Перехват пакетов Создание прокси;
• Конвертируем пакеты в пакеты Scapy;
• Модифицируем пакеты на лету;
• Перенаправляем DNS ответы;
• Модифицируем HTTP запросы на лету;
• Подменяем HTTP запросы;
• Перехват и подмена скачанных файлов;
• Обходим HTTPS и снифим учетные данные;
• Заменяем загружаемые файлы на HTTPS страницах;
• Угоняем пароли от WiFi;
• Пишем основу локального килоггера;
• Логирование специальных символов;
• Основы получения паролей;
• Угон удаленных паролей.
➡ Полный список уроков: https://www.youtube.com/playlist
• P.S. Не забывай про дополнительный курс "Python для сетевых инженеров" https://t.me/Social_engineering/2322 и добавляй в избранное.
S.E. ▪️ infosec.work
🖖🏻 Приветствую тебя, user_name.• Python недаром называют «самым хакерским языком программирования» — помимо создания веб‑сайтов, написания скриптов и ПО, Python позволяет создавать вирусы, бэкдоры, шифровальщики, а также средства для детекта вредоносного ПО и противодействия им. Вот почему Python столь популярен и у хакеров, и у специалистов в области информационной безопасности.
• Для изучения данного языка программирования, в сети существует просто уйма ресурсов с качественным и бесплатный материалом. Единственное что от тебя требуется, это желание и время для изучения. Сегодня поделюсь с тобой крутым и интересным курсом на русском языке, который освещает тему этичного хакинга и программирования на языке Python. Вот некоторые лекции:
• Python 2 vs Python 3;
• Mac-адрес и как его поменять;
• Пишем очень простую программу для смены Mac-адреса;
• Реализуем алгоритм проверки смены Маc адреса;
• Словари;
• Извлекаем MAC адреса из ответов;
• Захват паролей компьютера, в одной сети;
• Перехват пакетов Создание прокси;
• Конвертируем пакеты в пакеты Scapy;
• Модифицируем пакеты на лету;
• Перенаправляем DNS ответы;
• Модифицируем HTTP запросы на лету;
• Подменяем HTTP запросы;
• Перехват и подмена скачанных файлов;
• Обходим HTTPS и снифим учетные данные;
• Заменяем загружаемые файлы на HTTPS страницах;
• Угоняем пароли от WiFi;
• Пишем основу локального килоггера;
• Логирование специальных символов;
• Основы получения паролей;
• Угон удаленных паролей.
• P.S. Не забывай про дополнительный курс "Python для сетевых инженеров" https://t.me/Social_engineering/2322 и добавляй в избранное.
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
🖖🏻 Приветствую тебя, user_name.
• Спустя более четырёх лет с момента создания платы Raspberry Pi 4 организация #Raspberry Pi Foundation представила плату нового поколения - Raspberry Pi 5, которая поступит в продажу в конце октября по цене $60 за вариант с 4 ГБ ОЗУ и $80 за вариант с 8 ГБ ОЗУ. • Для сравнения плата Raspberry Pi 4 с 2 ГБ ОЗУ продавалась за $35, 4 ГБ ОЗУ - $55, а 8 ГБ ОЗУ - $75, но при этом заявлено, что производительность платы Raspberry Pi 5 в 2-3 раза выше Raspberry Pi 4.
• Ознакомиться со спецификацией можно по ссылке: https://datasheets.raspberrypi.com/
• Официальный сайт: https://www.raspberrypi.com/products/raspberry-pi-5/
• В дополнение: Шпионская "Малина". Создаем вредоносную док-станцию USB-C.
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
🖖🏻 Приветствую тебя, user_name.• Цитирую новость: "Главного бухгалтера ФМБА России развели телефонные мошенники от имени заместителя руководителя Федерального медико-биологического агентства Натальи Михайловой. По данным канала Shot, 59-летней работнице пришло сообщение якобы от её руководства — Натальи Михайловой. В нём говорилось, что с ней свяжется специалист по безопасности из Минздрава РФ по очень серьёзному делу. Позже набрал "сотрудник ФСБ" и сообщил, что нужно поймать преступника, который прямо сейчас пытается оформить на неё кредит. Дальше всё банально — главный бухгалтер ФМБА обналичила со своего счёта в банке 3,5 млн рублей и отдала мошенникам".
• А всё почему? Низкая осведомленность населения и хорошая подготовка атакующих. Эти два фактора сделали своё дело. Ведь мошенники знали, что на счету главного бухгалтера была кругленькая сумма, а не пустой банковский счет. Что касается низкой осведомленности, то почти в каждом третьем случае люди лишаются денежных средств из-за собственной беспечности.
• Подготовка к атаке (сбор информации о цели, заготовленные скрипты и прокаченный уровень межличностной коммуникации) и психологическое воздействие на жертву сыграли ключевую роль в текущей ситуации. Так как любая атака такого рода идет в обход аналитических инструментов разума и действует в основном на уровне эмоциональной сферы, привычно подавляемой у большинства людей, занятых умственным трудом. И высокий IQ жертвы тут мало поможет, поскольку вышеперечисленные методы атакующих воздействуют по шаблонам поведения и страха.
• Делитесь подобными новостями с близкими и родственниками, повышайте уровень осведомленности, берегите свои данные и не дайте себя обмануть.
• Новость: https://t.me/banksta/42476
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
• Данный материал написан в соавторстве с @mycroftintel.
• Как зарабатывают в Дарквебе? Это извечный вопрос, который задают себе все юзеры сети: от ламеров до хакеров. И да, в Дарквебе люди могут зарабатывать. Естественно, незаконным путем, но тем не менее, зарабатывать. В ближайших постах мы расскажем про профессии в Дарквебе. Чем люди себе на хлеб зарабатывают.
• Дополнительная информация доступна в группе @mycroftintel
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
🖖🏻 Приветствую тебя, user_name.
• В наши дни всеобщей компьютеризации вирусы стали банальной и обыденной проблемой, которую можно с некоторой вероятностью избежать при минимальных усилиях.• А вот в старые времена, вирусы были на слуху. Их боялись, их знали по именам, они учиняли бардак и дестрой, попутно глумясь над попавшими под удар бедолагами.
• В этой подборке материала из трёх частей, ты узнаешь о самых известных и странных компьютерных вирусах 80-х и 90-х годов:
- Часть 1;
- Часть 2;
- Часть 3.
• Другие увлекательные истории: [1], [2], [3], [4], [5].
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
🖖🏻 Приветствую тебя, user_name.
• Когда ты хочешь передать кому-то секретный текст, ссылку, пароль или другие данные, то стоит предусмотреть дополнительные меры безопасности. А именно, необходимо позаботиться о том, что копия твоего сообщения хранится во многих местах: в логах почтового сервера, в истории сообщений различных мессенджеров, в истории браузера и т.д. Как обеспечить секретность информации в таких условиях?• Мы можем минимизировать риски компрометации передаваемых данных с помощью одноразовых записок (как вариант). В сети есть множество ресурсов и сервисов, которыми я поделюсь в этом посте. К слову, у каждого сервиса есть свой уникальный функционал, который доступен в описании каждого сервиса:
• Onetimesecret;
• Read2burn;
• Protectedtext;
• Coded pad;
• Securenote;
• Cryptgeon;
• Snote;
• Secserv;
• Wipenote;
• P.S. Список не претендует на полноту. Дополнительная информация доступна в самом объемном и актуальном руководстве по обеспечению анонимности и безопасности в сети: https://anonymousplanet.org/guide.html
• P.S.S. Вероятно ты задаешься вопросом, можно ли доверять этим сервисам и действительно ли они уничтожают записки после прочтения? Доверие формируется из репутации сервиса и его технической реализации. Однако, быть уверенным на все 100% можно только в том сервисе, который ты реализуешь самостоятельно и "правильно". Для самостоятельного создания подобного инструмента, воспользуйтесь мануалами в сети, которых великое множество.
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
• Данный материал написан в соавторстве с @mycroftintel.
• Продолжаем пост, как зарабатывают деньги в Дарквебе. Напоминаю, что все перечисленные профессии незаконны, какими бы привлекательными и денежными они ни были. Все, что здесь рассказывается – только и исключительно в ознакомительных целях.
• Дополнительная информация доступна в группе @mycroftintel Всем безопасности!
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
🖖🏻 Приветствую тебя, user_name.
• Направление программ-вымогателей сохраняет свое лидерство в рейтинге киберугроз для бизнеса по сей день. Количество ресурсов, где злоумышленники публикуют похищенные данные компаний для более эффективного давления на жертву, за 2022 год выросло на 83%, достигнув 44. Ежедневно на таких сайтах оказываются данные 8 жертв, атакованных шифровальщиками, а в общей сложности, за прошедший год, в публичном доступе были выложены данные 2894 компаний.• У нас сегодня очень интересный материал: техники, тактики и процедуры, которые относятся к определенным группам шифровальщиков. Информация представлена в виде красивой матрицы в структурированном виде, с пруфами и сигма-правилами.
• P.S. Если Вы увидите форму авторизации на сайте, то можете ее пропустить и начать изучение материала (это для тех, кто видит форму авторизации и сразу закрывает сайт).
• За ссылку отдельное спасибо: @alexredsec
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
🖖🏻 Приветствую тебя, user_name.• Cobalt Strike — без преувеличения является одним из самых популярных инструментов, который используют хакеры и пентестеры. Этот фреймворк используют все, начиная от правительственных APT-группировок и заканчивая операторами шифровальщиков.
• Недавно у всех пользователей появилась возможность обновиться или скачать новую версию Cobalt Strike 4.9, которая может похвастаться существенными изменениями. В этом релизе внесены улучшения в возможности постэксплуатации Cobalt Strike, включая экспорт Beacon без рефлективного загрузчика, добавление официальной поддержки URL в prepend, поддержку обратных вызовов во многих встроенных функциях и многие другие обновления.
• Changelog доступен по ссылке: https://www.cobaltstrike.com
• Новость на RU и источник: https://www.securitylab.ru
• Официальный сайт: https://www.cobaltstrike.com
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
🖖🏻 Приветствую тебя, user_name.
• Речь пойдет о приложении на #Android, которое представляет собой изолированный справочник контактов. Данное решение будет интересно тем, кто обеспокоен вопросами приватности и анонимности, безопасности своих контактов и не хочет светить данную информацию сторонним приложениям.• Суть заключается в том, что если мы запишем контактны в этой тулзе, то ни одно приложение на смартфоне не получит к ним доступ (пока сами не разрешите). Это приложение сохраняет контакты в собственной базе данных отдельно от контактов Android. К слову, приложение имеет открытый исходный код и поддерживается разработчиками.
• Более подробное описание и предназначение можно найти тут: https://t.me/tvoijazz/1622
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
• Данный материал написан в соавторстве с @mycroftintel.
• Как бы то ни было, YouTube стал неотъемлемой частью нашей повседневной интернет-жизни. Оно и логично. Огромное количество контента на любой вкус: хочешь учись, а хочешь развлекайся. Для многих ТыТруба стала источником дохода (до известных событий корпорация добра платила плюс-минус два бакса за тысячу просмотров). За что я не люблю YouTube – это за провесточку и толерастию, которая обычно заканчивается банами (теневыми и не очень), а также срезанием монетизации.
• Но несмотря на все минусы, YouTube остается одним из мест с наибольшей концентрацией лидеров мнений и важной информации. Очень частно нам нужно уследить за блогером и всем, что он говорит. Но как это сделать, если ни в описании, ни в заголовке видео нет интересующих нас ключевых слов? Тут есть одно интересное решение, которое не раз уже спасало мою шкуру.
• Это поисковик по субтитрам для YouTube. С его помощью можно буквально искать по всем словам из интересующей нас темы. Причем по всем лидерам мнений сразу. Даже если по вашему вопросу высказался непрофильный блогер – все равно вы его не пропустите. Инструмент бомбический, за что его люблю и уважаю.
• Собственно, называется он Filmnot. И искать он позволяет не только по ручным субтитрам, но и по автоматическим! Вы представляете, текстовая версия YouTube у вас под рукой. Это ли не прогресс! Ну и в дополнение – можно искать информацию даже по метадате. Мелочь, а очень приятно!
• Дополнительная информация доступна в группе @mycroftintel Всем богатого улова!
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
• Реестр Windows — это «центральная иерархическая база данных», предназначенная для хранения информации, необходимой для настройки системы для одного или нескольких пользователей, приложений и аппаратных устройств.
• Информация, которая может быть найдена в реестре, включает:
- Пользователи и время последнего использования системы;
- Последнее используемое программное обеспечение;
- Любые устройства, подключенные к системе;
- Когда система подключена к определенной точке беспроводного доступа;
- История поисковых запросов, выполненных в системе.
И многое, многое другое.....
• Сегодня ты узнаешь о том, как можно найти вышеперечисленную информацию и использовать реестр с точки зрения атакующего:
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
🖖🏻 Приветствую тебя, user_name.• В апреле этого года ФБР опубликовало отчет об атаках, нацеленных на государственные и правоохранительные органы, а также некоммерческие организации. Атакующие загружают на устройства жертв скрипты, доставляющие сразу несколько вредоносных программ разных типов. В частности, хакеры пытаются использовать ресурсы компаний для майнинга, крадут данные с помощью кейлоггеров и получают доступ к системам через бэкдор.
• Даже если заражение майнерами кажется вам незначительной проблемой, стоит иметь в виду, что если атакующие смогли загрузить в инфраструктуру компании майнер, они смогут загрузить и более опасное ПО.
• В этой статье описано поведение таких вредоносных скриптов на ПК жертвы, их логика и последовательность работы. Материал будет полезен специалистам в области информационной безопасности.
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
• На протяжении многих лет большинство конференций по информационной безопасности не обходятся без докладов по локпикингу. А ведь это правильно, так как изучение того, как взламывать замки, окажется крайне полезным навыком для получения доступа к компаниям, сейфам, офисам, лифтам и другим местам, где будет храниться необходимая информация.
• Стоит ли говорить, что помимо важности данной темы, она еще является очень интересной и увлекательной. Многие из подписчиков SE начали активно развивать навыки взлома, ведь у нас есть весь необходимый материал для старта. Обратите внимание на информацию по хештегу #Lockpicking, сегодня добавим к этому списку еще несколько полезных статей:
• Лучшие карты Wallet Lock Pick для повседневного использования;
• Ломаем замок. 13 эффективных методов.
• Копируем ключи. 6 методов.
• Отвёртка - наше всё.
• 5 способов обойти дверной замок и открыть дверь.
• Кодовый замок, как открыть? Полезные советы.
• Дополнительную информацию ищите в нашей подборке: https://t.me/Social_engineering/2343
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
🖖🏻 Приветствую тебя, user_name.
• Предлагаю ознакомиться с очень объемной схемой возможных векторов атак на сети. Весь материал разбит по категориям, с необходимыми примерами конфигов и постоянно поддерживается автором в актуальном состоянии.• Скачиваем,
• Дополнительную информацию можно найти по навигации: https://t.me/Social_engineering/2258
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
👨💻 Fingerprint.
• Данный материал написан в соавторстве с @mycroftintel
• Фингерпринт – это чума 21-го века. Беда в том, что от него практически нельзя скрыться. Телеметрию снимают практически все сайты: им же надо знать, кто их аудитория. Java-скрипты используются не только для красивого дизайна, но и для выполнения целевых действий незащищенным браузером. А уж про межсайтовые куки я вообще молчу: поискал телевизор на одном сайте – увидел рекламу этого товара через минуту на другом.
• Хорошо это или плохо – вопрос спорный. Хорошо для бизнеса – продавать стало гораздо удобнее. Плохо для людей: они знают все про ваши потребности, болевые точки и интересы. Не знают только вашего имени. Но найти его – секундное дело. Если вы простой юзер – расслабьтесь и не переживайте. Ничего плохого с вами не случится. Но если вы ведете интересный образ жизни, то вам нужно учиться следы за собой заметать. Так, на всякий случай.
• Я уже раньше рассказывал вам про необходимость файрволлов. Теперь поговори о браузерах. Сразу говорю, попсу типа Хромого, Огнелиса, Оперы или не дай бог Яндекс Браузера или (совсем кощунство) Edge – даже не рассматриваю. С точки зрения приватности дырок в ней больше, чем в швейцарском сыре.
• Могу ли я посоветовать безопасный браузер? Нет, не могу. Почему? Его просто не существует. Есть только условно безопасные, которые можно использовать, но помнить: memento mori (моментально в море).
• Поэтому первый – Brave. Я его использую только для личных дел. Ибо подтекает и не прошел аудит комьюнити. А так – браузер блокирует все, что нужно, красивый, да еще и платит тебе за просмотр рекламы.
• LibreWolf – всем хорош, защищен, прошел аудит. Но я его потыкал и нашел слишком много соединений с Mozilla, на которой он и построен. Ну и еще некоторые сомнительные коннекты при запуске. Мелочь, а неприятно.
• Третий – Mullvad. Он не блокирует фингерпринт, как первые два, а подменяет его на стандартный: все пользователи сайта будут на одно лицо, точнее, на один фингерпринт. Его делала команда Tor и Mullvad VPN. Пока это мой первый выбор.
• Чем пользоваться решать вам. Но помните, абсолютной безопасности не бывает!
• Дополнительная информация доступна в группе @mycroftintel
S.E. ▪️ infosec.work
• Данный материал написан в соавторстве с @mycroftintel
• Фингерпринт – это чума 21-го века. Беда в том, что от него практически нельзя скрыться. Телеметрию снимают практически все сайты: им же надо знать, кто их аудитория. Java-скрипты используются не только для красивого дизайна, но и для выполнения целевых действий незащищенным браузером. А уж про межсайтовые куки я вообще молчу: поискал телевизор на одном сайте – увидел рекламу этого товара через минуту на другом.
• Хорошо это или плохо – вопрос спорный. Хорошо для бизнеса – продавать стало гораздо удобнее. Плохо для людей: они знают все про ваши потребности, болевые точки и интересы. Не знают только вашего имени. Но найти его – секундное дело. Если вы простой юзер – расслабьтесь и не переживайте. Ничего плохого с вами не случится. Но если вы ведете интересный образ жизни, то вам нужно учиться следы за собой заметать. Так, на всякий случай.
• Я уже раньше рассказывал вам про необходимость файрволлов. Теперь поговори о браузерах. Сразу говорю, попсу типа Хромого, Огнелиса, Оперы или не дай бог Яндекс Браузера или (совсем кощунство) Edge – даже не рассматриваю. С точки зрения приватности дырок в ней больше, чем в швейцарском сыре.
• Могу ли я посоветовать безопасный браузер? Нет, не могу. Почему? Его просто не существует. Есть только условно безопасные, которые можно использовать, но помнить: memento mori (моментально в море).
• Поэтому первый – Brave. Я его использую только для личных дел. Ибо подтекает и не прошел аудит комьюнити. А так – браузер блокирует все, что нужно, красивый, да еще и платит тебе за просмотр рекламы.
• LibreWolf – всем хорош, защищен, прошел аудит. Но я его потыкал и нашел слишком много соединений с Mozilla, на которой он и построен. Ну и еще некоторые сомнительные коннекты при запуске. Мелочь, а неприятно.
• Третий – Mullvad. Он не блокирует фингерпринт, как первые два, а подменяет его на стандартный: все пользователи сайта будут на одно лицо, точнее, на один фингерпринт. Его делала команда Tor и Mullvad VPN. Пока это мой первый выбор.
• Чем пользоваться решать вам. Но помните, абсолютной безопасности не бывает!
• Дополнительная информация доступна в группе @mycroftintel
S.E. ▪️ infosec.work
