Iyouport
31.3K subscribers
2.07K photos
1.91K videos
494 files
8.56K links
iYouPort(iyp) Ⓐ Foundation
🏴 新项目一期工程:https://iyouport.notion.site/aa93a0b99cb94c81aa3177827785beb2
Download Telegram
还说 “查手机“ 问题。刚才看到有 iPhone 用户在发愁如何隐藏翻墙应用程序,提醒:iPhone是可以更换应用程序图标的,对​​iOS 15及以上版本来说。这里有一个简单的教程:https://www.lsbin.com/28353.html
把敏感应用的图标换成时钟或者计算器或者纸牌游戏等,就是那些最不会吸引人去打开的东西,您知道的。作为最简单的紧急措施。

不论如何,敏感文件尽可能不要储存在移动设备上;照片和视频加密储存。对于正在持续从事高风险工作的用户(比如组织者、紧急联络人、物资团队等等)不要使用移动设备登入/打开最敏感的工作事项/文档等,即便是临时,也不要这样做!如果您还记得我们介绍的关于警用移动设备取证的知识,您会理解这点

#tips #privacy
对 Telegram 用户说:

近期出现了一些这样的案例 —— 用户收到来自自己的联系人名单中某人发来的私密消息,声称被赠送了一个Telegram高级订阅会员账户。如果你按其要求按下了其中的确认按钮,就会收到一个授权码,这一切表面上看起来都像是为了激活高级订阅,但事实上,是攻击者获得了对您的账户的访问权,接下来他们会假借您的名义继续对您的其他朋友进行网络钓鱼

换句话说,如果您的联系人中有人缺乏保护意识,这种攻击方法将对您和其他所有通讯录上的朋友产生威胁。

📌 关于保护意识:https://www.patreon.com/posts/cong-telegram-lu-72200795

频道管理员和群组管理员尤其需要注意,一旦您的账户被劫持,意味着攻击者将可以向非常多的人发送恶意链接/文档。

这种攻击方式曾经在其他需要手机号码注册/验证的应用中被使用过(包括Instagram 和 Facebook )现在只是更多转向Telegram了,随着其用户量的飞涨,这是可以预想的。

甚至还有另一种神奇的案例:骗子创建了一个叫“Saved Messages”的账户,使用系统的图标作为头像,也就是说表面上看起来与telegram系统自带的信息保存功能一模一样,结果是,受害用户主动向该钓鱼账户发送重要的信息,有些情况下包括登入凭据和银行卡信息。

建议您将真正的“Saved Messages”置顶,或者,最好不要使用它来保存任何重要的信息。


#Privacy #Security #Selfdefence #Telegram
安全问题不是纯粹的技术问题,就如安全这个词本身所描述的东西一样,它是一个系统,一种状态;于是它的结果取决于协调性,而非其中某个/或某几个部分的专业性。

同时,不幸的是,局部的专业性过高有可能降低(而不是提升)整体的协调性。

“编程随想” 案作为一个非常令人遗憾的安全事故,它提醒人们:在安全方面,中国的异议人士有两个方面的弱点,比较严重 …

📌 更新《当您准备像编程随想那样工作…:须知》

https://iyouport.substack.com/p/46b

#Security #privacy #selfdefense
许多智能手机用户早已习惯了被操作系统制造商、 软件开发商和ISP以一种或另一种形式收集有关用户的信息。 但可能很少有人会去怀疑手机芯片厂商在监视资本主义中的作用。

一份新的调查报告发现装有高通公司芯片的智能手机会秘密向高通公司发送用户的个人数据。这些数据是在未经用户同意的情况下发送的,并且没有经过加密,甚至在使用无谷歌的安卓系统发行版时也是如此。受影响的智能手机是索尼Xperia XA2和可能的Fairphone以及更多使用流行的高通芯片的安卓手机。

报告列出了高通公司根据其隐私政策可能从您的手机中收集的数据:

唯一ID
芯片组名
芯片组序列号
XTRA软件版本
移动国家代码
移动网络代码(允许识别国家和无线运营商)
操作系统的类型和版本
设备品牌和型号
自上次启动应用处理器和调制解调器的时间
设备上的软件列表
IP地址

报告称高通公司的 "XTRA服务”还提供了辅助GPS(A-GPS),有助于为移动设备提供准确的卫星定位。

全球约 30% 的 Android 设备现在都在高通芯片上运行。

报告强调数据包是通过 HTTP 发送的,没有使用 HTTPS、SSL 或 TLS 进行加密。 这意味着网络上的任何其他人,包括黑客、政府机构、网络管理员、本地和外国的电信运营商,都可以轻松拦截此数据,存储它并使用唯一标识符和手机序列号创建历史记录。 高通将它们发送到名为 Izat Cloud 的云中。

🧬 https://www.nitrokey.com/news/2023/smartphones-popular-qualcomm-chip-secretly-share-private-information-us-chip-maker

#privacy
研究人员使用人工智能对1560万个流行密码进行破解 ——

来自 Home security heroes 的研究人员决定调查使用人工智能的密码破解速度。他们使用了1560万个流行密码的集合进行测试。

结果显示,PassGAN人工智能可以做到:

- 51%的密码集合在1分钟内被破解;
- 在1小时内破解集合中65%的密码;
- 在24小时内破解集合中71%的密码;
- 1个月内从集合中破解81%的密码。

“人工智能根据它所学到的一切,预测最可能的下一个数字。它没有寻求外部知识,而是依靠它通过学习形成的模式”,研究人员说。

当然,算力始终是挑战。越复杂越长的密码需要的破解时间就越多,对AI来说也一样。

🧬您可以在这里查看AI 在 2023 年破解您选择的密码需要多长时间:
https://www.homesecurityheroes.com/ai-password-cracking/

#Security #Passwords #Privacy #AI
This media is not supported in your browser
VIEW IN TELEGRAM
对于上述消息,它不意味着给Telegram的匿名安全性加分。CNN的报道可能不是该公司与巴西当局的全部故事,但确实存在多个针对Telegram用户去匿名化的工具。

比如:https://tomhunter.ru/pk
该工具被称为“Okhotnik”(Охотник),意思是“猎人”。据说使用超过 700 个数据点来建立关联和相关性,从而可以揭露匿名 Telegram 用户的身份。

这些“数据点”来自社交网络、博客、论坛、即时通讯工具、留言板、加密货币区块链、暗网和政府服务,以及关注名字、昵称、电子邮件地址、网站、域、加密货币钱包、加密密钥、电话号码、地理位置信息、IP 地址等等。

该工具旨在盯紧目标用户在过去任何时候犯下的任何操作错误,因此即使是最轻微和最久远的真实身份暴露线索,也可以用来创建去匿名化路径。

类似的工具还有其他。上面这个动图所演示的是另一个类似的去匿名化工具,自2018年至今;它通过手机号码、连接的设备和设备数据、以及地理定位信息来识别用户。

📌 在此重申我们一直的强调:

时间是所有安全措施的杀手。因为人会疲劳,会积累压力,从而增大误操作的可能性。所以,建议;

从事高风险工作的人,请不要持续使用单一伪装身份;
每个身份最好只匹配1~2个具体任务,任务完成后彻底摧毁身份。
对于单枪匹马的前线工作者来说,请尽可能避免使用虚构身份积累网络知名度,那将是得不偿失的。
您当然可以在拥有知名度/倡导能力和影响力的同时更持久地保持匿名安全,那需要您采取集体身份,
此原理相当于 Black bloc,其中每一位成员都享有集体知名度,而集体掩护每位成员的个人匿名安全。

当您准备开启一项计划之前,只要该计划涉及到社交媒体传播,建议先仔细研读这篇文章:
《您在什么时候需要假名、匿名和公开在线身份?– 在线创建和管理身份的思考方式》
https://iyouport.substack.com/p/as46-

#Privacy #Security #Selfdefense
不要接听Telegram拨打来的电话 ——

这可能泄露您的位置。

有专门工具可用来提取通话人IP。

比如 Wireshark(https://www.wireshark.org/download.html )。通过Telegram拨打电话。只要用户接听电话,就会立即开始显示数据,其中就有被呼叫用户的IP地址。

此外 tshark(https://github.com/n0a/telegram-get-remote-ip )也是同类的工具。

#Security #Privacy #Tools
英国政府即将在全球范围内削弱加密技术 ——

英国议会正在推进一项庞大的互联网监管法案,该法案将损害世界各地人们的隐私。所谓的《在线安全法案》目前正处于上议院通过之前的最后阶段,该法案赋予英国政府在消息服务中强行设置后门的能力,这将破坏端到端加密。尚未接受任何可以减轻该法案最危险因素的修正案

如果《在线安全法案》获得通过,对于全球隐私和民主本身来说将是一个巨大的倒退。要求人们只能使用政府批准的软件是一个糟糕的先例。

在线交谈的私密性是一项基本人权。为了在数字世界中实现这些权利,目前为止我们拥有的最好的技术就是端到端加密。然而这项基本人权与所谓的《在线安全法案》中要求的政府批准的消息扫描技术完全背道而驰。

提供加密消息传递的公司(例如 WhatsApp、Signal 和英国的 Element )也解释了该法案的危险。然而针对这些抵制浪潮,英国政府的反应是摆手否认现实 ……

这场斗争已经持续多年。我们的列表-1中有“加密和反加密之战”的板块 (https://start.me/p/xbYXdR/iyp-1 ) 记录了一些重点事件,如果您希望了解的话。

EFF正呼吁更多人权捍卫者加入抵抗该法律的斗争。

#privacy #IMs #Encryption
一些朋友也许有误解,以为无政府主义不夺权,也许可以绕过统治者的警惕。这不是事实。无政府主义运动/行动的风险非常高,您应该最先采取充分的防护措施。

再次提醒注意:

📌《Telegram的隐私保护指南,和信息搜索工具》
https://iyouport.substack.com/p/telegram-c2e

📌《技术是愚蠢的 - 这就是为什么您应该格外小心:基本手册给行动者、敏感人士和任何期待安全的普通公民》
https://iyouport.substack.com/p/--d75

#Anarchy #Privacy #DigitalSecurity
Forwarded from Iyouport
紧急更新一个帖子给中国朋友。

关于:
1、Telegram有哪些地方是不安全的;
2、如果您必需使用它,您至少应该如何保护自己;
3、昨天我们提醒了接下来更可能出现的局势  — — 不仅有“秋后”,还包括信息战,统治者将使用大量歪曲的信息污染抗议战略,分化抗议者、恐吓支持者,旨在扑灭那些已经燃起的火焰。这种情况下后勤人员需要发挥作用:搜集信息、验证信息,即 开源情报。这里提供一些Telegram信息搜索工具。

🧬《Telegram的隐私保护指南,和信息搜索工具》
https://iyouport.substack.com/p/telegram-c2e

#tips #tools #privacy #China #ZeroCovidPolicy #protest
俄版加密货币用户去匿名化项目 ——

俄罗斯已经学会了识别加密货币的所有者。至少,俄罗斯联邦金融监测局(Rosfinmonitoring)是这么说的。该机构负责人尤里·奇汉钦说,该机构有一个工具可以追踪俄罗斯人的数字资产交易。这项名为 "透明区块链" 的服务允许监控者 "查看资金的发送方和接收方"。

目前对这项服务的细则还知之甚少。在2021年该计划开启的最初,它似乎还只能识别比特币交易,但现在,据称可以追踪30多种加密货币。该机构定期吹嘘 “透明区块链” 项目的成果,例如,报告声称它被用来追踪雇佣杀手。

国家杜马加密货币工作组专家委员会成员米哈伊尔·乌斯宾斯基看起来并不信任这类技术,他说:"经常有这样的情况,你可以追踪数字货币到某个交易所的路径,但从所有其他迹象来看,这显然是一个不真实的人。执法部门在这种情况下最多只能尝试在欺诈行为的幕后黑手和真正的实施者之间建立联系。但这些联系通常是通过暗网远程构建的 ……”。相比下他更信任人类情报,也就是线人。

近几年里,围绕加密货币追踪的服务,有一场全球大国的 军备竞赛。不论如何这场猫鼠游戏都会继续下去。

在这里看到我们曾经介绍的书和相关内容:https://t.me/iyouport/7097
以及,更多追踪加密货币的开源情报工具:
https://t.me/iyouport/10294

#cryptocurrency #privacy
好消息:Signal 正在测试用昵称代替电话号码。

有了这项新功能,您就可以向潜在的对话者发送二维码或链接,同时保密您的电话号码。在这种情况下,新联系人将无法看到 Signal 用户的电话号码,只能看到用户在账号中指定的昵称。

目前该功能仍处于内部测试阶段。

#E2EE #privacy
注重隐私的浏览器扩展 【1】——

1、Self Destructing Cookies (https://add0n.com/self-destructing-cookies.html) - 在您离开网站后立即删除 Cookie。

2、WebRTC Leak Prevent (https://github.com/aghorler/WebRTC-Leak-Prevent ) - 允许您在Chromium浏览器中禁用WebRTC。在Firefox 中则在设置中禁用。

3、ScriptSafe (https://github.com/andryou/scriptsafe ) - 可以阻止某些脚本的执行。

4、Site Bleacher (https://github.com/wooque/site-bleacher ) - 自动删除 cookie、本地存储、IndexedDB 和Service Worker。

5、Skip Redirect (https://github.com/sblask/webextension-skip-redirect ) - 跳过链接中嵌入的所有重定向站点,直接指向最终站点。

6、Web Archives (https://github.com/dessant/web-archives/wiki/Search-engines ) - 允许您从多种存档和缓存源中进行搜索,允许您:Wayback Machine、Archive is、Google 和其他。

#tools #privacy
Kali Linux 2023.4

开发者们推出了该发行版在2023年的第四个也是最后一个新版本。这款新产品已经可以下载,同时包含15种新工具和GNOME 45。

新工具:

cabby - TAXII 客户端实现;
cti-taxi-client - TAXII2 客户端库;
enum4linux-ng - 下一代 enum4linux 带附加功能(Windows/Samba枚举工具);
exiflooter - 在所有URL和图像目录中进行搜索和地理位置;
h8mail - 电子邮件开源情报和查找密码泄露的工具;
Havoc - 一种现代、灵活的后渗透管理和控制系统;
OpenTAXII - TAXII 服务器实现;
PassDetective - 扫描 shell 命令历史记录,检测意外写入的密码、API密钥和机密;
Portspoof - 所有65535 TCP 端口始终开放并模拟服务;
Raven - 轻量级 HTTP 文件下载服务;
ReconSpider - OSINT高级框架;
rling - RLI Next Gen (Rling),一个更快的多线程和功能丰富的 rli 替代方案;
Sigma-Cli - 列出 Sigma 规则并将其转换为查询语言;
sn0int - 半自动 OSINT 框架和包管理器;
SPIRE - 一组 SPIFFE 运行时环境 API,用于建立软件系统之间的信任。

从这个版本开始,Kali Linux AMD64 和 ARM64 可以在亚马逊 AWS 和微软 Azure 市场上得到,从而可以轻松地在云中部署 Kali。

#Kali Linux 2023.4 Release (Cloud ARM64, Vagrant Hyper-V & Raspberry Pi 5)

🧬 https://www.kali.org/blog/kali-linux-2023-4-release/

#OS #Anonymity #Hacking #Privacy
Forwarded from Iyouport
安全问题不是纯粹的技术问题,就如安全这个词本身所描述的东西一样,它是一个系统,一种状态;于是它的结果取决于协调性,而非其中某个/或某几个部分的专业性。

同时,不幸的是,局部的专业性过高有可能降低(而不是提升)整体的协调性。

“编程随想” 案作为一个非常令人遗憾的安全事故,它提醒人们:在安全方面,中国的异议人士有两个方面的弱点,比较严重 …

📌 更新《当您准备像编程随想那样工作…:须知》

https://iyouport.substack.com/p/46b

#Security #privacy #selfdefense