Киберхата приветствует всех членов экипажа! Здесь будут приколы из мира infosec, а также кейсы взлома реальной жизни. Да, стоило создать такой канал раньше, но ведь лучше поздно чем никогда, верно?
Сейчас мир активно меняется, и чтобы оставаться в курсе всех фишек, я буду делиться своими наблюдениями здесь.
Ваш Киберэксперт 👾
Сейчас мир активно меняется, и чтобы оставаться в курсе всех фишек, я буду делиться своими наблюдениями здесь.
Ваш Киберэксперт 👾
🔥3
Критические, на первый взгляд, дыры не всегда ведут к полному фейлу безопасности
Как бы не визжали аналитики безопасности насчет дыр по типу
ой, а у вас phpMyAdmin наружу открыт
ой, а SSH по паролю пускает, надо тока по ключу
вы охуели совсем, log.txt в корне сайта оставлять??
Но по факту, когда дело дойдет до практики, эти уязвимости могут и вовсе не привести к компрометации сервера. Да, они дадут злоумышленнику кое-какую инфу о сервере, но внутрь он все равно не попадет. Это как смотреть на пачку денег на бронированным стеклом.
Я не говорю, разумеется, что надо теперь болт ложить на безопасность своей инфраструктуры. Скорее это напоминание о том, что планировать безопасность нужно разумно.
Как бы не визжали аналитики безопасности насчет дыр по типу
ой, а у вас phpMyAdmin наружу открыт
ой, а SSH по паролю пускает, надо тока по ключу
вы охуели совсем, log.txt в корне сайта оставлять??
Но по факту, когда дело дойдет до практики, эти уязвимости могут и вовсе не привести к компрометации сервера. Да, они дадут злоумышленнику кое-какую инфу о сервере, но внутрь он все равно не попадет. Это как смотреть на пачку денег на бронированным стеклом.
Я не говорю, разумеется, что надо теперь болт ложить на безопасность своей инфраструктуры. Скорее это напоминание о том, что планировать безопасность нужно разумно.
И сразу поговорим про то, как защищаться от хакеров IRL
Я всегда закладываю возможность, что кто-то может попытаться пролезть в мои девайсы. Хотя на практике такой угрозы по сути нет, максимум мелкий куда-нибудь залезет. Также нужно понять для себя, что ты вообще защищаешь и от кого. А правила я выделил такие:
Телефон с пин-кодом; чтобы не палить пароль при вводе, используется отпечаток пальца. Вообще биометрия хороша тем, что секреты нельзя подсмотреть в процессе аутентификации, как с паролями, например. Но злоумышленники могут заставить вас против своей воли пройти биометрическую аутентификацию. На этот случай нужно успеть включить режим Lockdown. Это делается одной кнопкой и отпечаток пальца и распознавание лица перестает работать. Плюс есть приложение, которое блокирует экран, когда телефон выхватывают из рук, но это на крайний случай, в повседневной жизни мешает.
На компе диски шифруем, это понятное дело. Помогает от физических векторов атаки, например, если диск изымут и будут читать на другом компе
Я всегда закладываю возможность, что кто-то может попытаться пролезть в мои девайсы. Хотя на практике такой угрозы по сути нет, максимум мелкий куда-нибудь залезет. Также нужно понять для себя, что ты вообще защищаешь и от кого. А правила я выделил такие:
Телефон с пин-кодом; чтобы не палить пароль при вводе, используется отпечаток пальца. Вообще биометрия хороша тем, что секреты нельзя подсмотреть в процессе аутентификации, как с паролями, например. Но злоумышленники могут заставить вас против своей воли пройти биометрическую аутентификацию. На этот случай нужно успеть включить режим Lockdown. Это делается одной кнопкой и отпечаток пальца и распознавание лица перестает работать. Плюс есть приложение, которое блокирует экран, когда телефон выхватывают из рук, но это на крайний случай, в повседневной жизни мешает.
На компе диски шифруем, это понятное дело. Помогает от физических векторов атаки, например, если диск изымут и будут читать на другом компе
👍4
или если мамкин какер додумается загрузиться с флешки с линуксом — в таком случае не помешает поставить еще и пароль на биос.
Экран должен блокироваться автоматически, минут через 10, а также вручную каждый раз, когда отходишь от рабочего места. У тебя должна быть уже привычка нажимать Win+L все время, даже когда один дома.
Даже если злоумышленник как-то проник в твой компьютер, он все равно не должен ничего найти. В браузере должны быть отдельные профили, на запуск телеги пароль. Секретные материалы можно сокрыть тупо в скрытой папке (ясное дело их показ надо отключить). Примонтированные диски в системе не надо выставлять на показ. Внешние носители с критической информацией шифровать.
Также стоит иметь удалённый рабочий стол, который не блокирует сеанс при подключении, в линуксе это VNC. Так ты сможешь контролировать происходящее на пека, если возникнут подозрения.
Этот перечень может показаться шизойдным, и что когда кто-то узнает о том, что ты используешь эти меры, то точно поймёт, что тебе есть что скрывать. Но не забывай, только ты знаешь полный список, другие видят лишь то, с чем им приходится столкнуться. Но лучше конечно, чтобы даже не приходилось.
Список будем дополнять
Экран должен блокироваться автоматически, минут через 10, а также вручную каждый раз, когда отходишь от рабочего места. У тебя должна быть уже привычка нажимать Win+L все время, даже когда один дома.
Даже если злоумышленник как-то проник в твой компьютер, он все равно не должен ничего найти. В браузере должны быть отдельные профили, на запуск телеги пароль. Секретные материалы можно сокрыть тупо в скрытой папке (ясное дело их показ надо отключить). Примонтированные диски в системе не надо выставлять на показ. Внешние носители с критической информацией шифровать.
Также стоит иметь удалённый рабочий стол, который не блокирует сеанс при подключении, в линуксе это VNC. Так ты сможешь контролировать происходящее на пека, если возникнут подозрения.
Этот перечень может показаться шизойдным, и что когда кто-то узнает о том, что ты используешь эти меры, то точно поймёт, что тебе есть что скрывать. Но не забывай, только ты знаешь полный список, другие видят лишь то, с чем им приходится столкнуться. Но лучше конечно, чтобы даже не приходилось.
Список будем дополнять
👍4
Эмоджи в качестве пароля 🔑
Звучит дико на первый взгляд, и скорее всего, вы и не задумывались о возможности ставить на пароль эмоджи. Тому есть логичное объяснение — эмоджи не напечатаешь на клавиатуре так легко, как обычные символы. Но это не значит, что их нельзя использовать для аутентификации.
Теоретически, они должны быть безопаснее стандартных паролей, так как предлагают 3633 комбинаций на одно знакоместо против около сотни для стандартных символов. Единственный минус — сервис должен поддерживать мультибайтовую кодировку, что в 2к22 не должно быть уже проблемой, а также должен разрешать эмоджи в фильтре пароля, это уже зависит от ума разработчиков.
Я попробовал использовать эмоджи на некоторых сайтах и это работает! На Blockchain.com удалось поставить пароль из 8 эмоджи и он счел его очень сложным. Вышел и зашел с паролем — все успешно. А вот MyAnimeList.net уже не дает ставить эмоджи на пароль из-за регулярного выражения.
Звучит дико на первый взгляд, и скорее всего, вы и не задумывались о возможности ставить на пароль эмоджи. Тому есть логичное объяснение — эмоджи не напечатаешь на клавиатуре так легко, как обычные символы. Но это не значит, что их нельзя использовать для аутентификации.
Теоретически, они должны быть безопаснее стандартных паролей, так как предлагают 3633 комбинаций на одно знакоместо против около сотни для стандартных символов. Единственный минус — сервис должен поддерживать мультибайтовую кодировку, что в 2к22 не должно быть уже проблемой, а также должен разрешать эмоджи в фильтре пароля, это уже зависит от ума разработчиков.
Я попробовал использовать эмоджи на некоторых сайтах и это работает! На Blockchain.com удалось поставить пароль из 8 эмоджи и он счел его очень сложным. Вышел и зашел с паролем — все успешно. А вот MyAnimeList.net уже не дает ставить эмоджи на пароль из-за регулярного выражения.
🤩5
1. Регистрация на блокчейне. Обратите внимание, как стоят точки в маске пароля. За точками эмоджи
2. Регистрация на MAL. Тут куча допустимых символов, в которые мы все равно не попадаем
3. Сохранение пароля в менеджер паролей
2. Регистрация на MAL. Тут куча допустимых символов, в которые мы все равно не попадаем
3. Сохранение пароля в менеджер паролей
Блядский телеграм не дает писать больше 1024 символов, если пост с картинкой. Зато дает писать хоть 4096, когда без. Ну какой даун придумал эти ограничения. Горит! Не первый раз теряю текст из-за этого. И главное, он молча обрезает, даже не предупреждает.
Так вот, я в том посте писал, что это странно, когда сервис ограничивает в выборе символов в пароле. Хэш-функции энивей работают с байтами, им все равно, что у тебя за текст. А если есть ограничения, то это либо недальновидность разработчиков, либо пароль хранится в открытом виде, кто его знает.. 🤷♀️
А чтобы эмоджи не запоминать (ведь его не наберешь на клавиатуре, как обычный текст), используйте менеджеры паролей. Проверил на KeePassXC, он поддерживает эмоджи, см. пост выше. Не хватает только генератора, но он есть онлайн.
Так вот, я в том посте писал, что это странно, когда сервис ограничивает в выборе символов в пароле. Хэш-функции энивей работают с байтами, им все равно, что у тебя за текст. А если есть ограничения, то это либо недальновидность разработчиков, либо пароль хранится в открытом виде, кто его знает.. 🤷♀️
А чтобы эмоджи не запоминать (ведь его не наберешь на клавиатуре, как обычный текст), используйте менеджеры паролей. Проверил на KeePassXC, он поддерживает эмоджи, см. пост выше. Не хватает только генератора, но он есть онлайн.
😱3
Количество пользователей в боте
В телеграме можно легко увидеть количество участников канала или группы. Но помимо них, существуют еще и боты. Говорить о количестве их участников, это все равно что сказать, сколько у твоего собеседника диалогов. Посчитать участников бота может только его разработчик, и то если у него используется база данных и он предусмотрел такую возможность заранее.
Ввиду этого, число пользователей бота считается чем-то интимным, так уж сложилось. К слову, это позволяет наебывать неопытных рекламодателей, заявляя им о милионной аудитории, хотя бот создан только вчера!
Так вот, представьте, что было бы, если бот давал бы статистику о себе любому человеку. Как минимум имело бы место повышение доверия со стороны пользователей. Если только статистика не нарисованная, но это уже совсем другая история...
В телеграме можно легко увидеть количество участников канала или группы. Но помимо них, существуют еще и боты. Говорить о количестве их участников, это все равно что сказать, сколько у твоего собеседника диалогов. Посчитать участников бота может только его разработчик, и то если у него используется база данных и он предусмотрел такую возможность заранее.
Ввиду этого, число пользователей бота считается чем-то интимным, так уж сложилось. К слову, это позволяет наебывать неопытных рекламодателей, заявляя им о милионной аудитории, хотя бот создан только вчера!
Так вот, представьте, что было бы, если бот давал бы статистику о себе любому человеку. Как минимум имело бы место повышение доверия со стороны пользователей. Если только статистика не нарисованная, но это уже совсем другая история...
🔥4