Ты зашел на сайт через анонимный браузер, включил самый продвинутый VPN, почистил кэш и завел новый аккаунт. Пишешь сообщение в чат или вводишь пароль,система безопасности мгновенно понимает, что это именно ты.
Цифрой отпечаток,ну или клавиатурный почерк.
У каждого человека есть уникальный ритм набора текста. Он такой же индивидуальный, как походка или отпечаток пальца. Когда ты печатаешь, специальные скрипты на сайтах работают незаметно замеряют две главные вещи.
1.Dwell Time (Время удержания) Сколько миллисекунд твой палец держит зажатой конкретную клавишу (например, букву А).
2.Flight Time (Время полета) Сколько миллисекунд проходит между тем, как ты отпустил букву А и нажал букву Б.
Алгоритм собирает эту карту пауз, переходов и скорости ввода. Ему достаточно, чтобы ты ввел всего 200–300 символов, чтобы составить твой уникальный цифровой профиль.
Для чего им это вообще нужно?
Для защиты от кражи аккаунтов.
Вы замечали, что при входе в свой или чужой аккаунт после ввода пароля доступ иногда предоставляется моментально, а в других случаях требуется дополнительное подтверждение. Это связано с биометрией поведения. Алгоритмы видят изменение временных интервалов между нажатиями клавиш в конкретном сеансе.
Деанонимизация. Если спецслужбы или хакеры ищут автора анонимного канала, они могут сравнить ритм набора постов в этом канале с тем, как подозреваемый пишет комментарии со своего реального аккаунта в соцсетях. Если совпадении профиля на 95%,то к тебе приедут :)
Давайте быстро расскажу как это обойти.
1.Использовать офлайн блокнот.
Писать сначала в блокнот или в заметки,а потом скопировать и вставлять туда куда вам нужно.
2.Смена раскладки и девайса. Твой почерк на ПК и на смартфоне это два разных профиля. Скорость печати одной рукой на ходу сильно отличается от набора десятью пальцами за столом
3.Специальные расширение для браузеров.Существуют редкие плагины для браузеров, которые искусственно задерживают отправку вводимых символов на доли миллисекунд,Но я бы не доверял.
Цифрой отпечаток,ну или клавиатурный почерк.
У каждого человека есть уникальный ритм набора текста. Он такой же индивидуальный, как походка или отпечаток пальца. Когда ты печатаешь, специальные скрипты на сайтах работают незаметно замеряют две главные вещи.
1.Dwell Time (Время удержания) Сколько миллисекунд твой палец держит зажатой конкретную клавишу (например, букву А).
2.Flight Time (Время полета) Сколько миллисекунд проходит между тем, как ты отпустил букву А и нажал букву Б.
Алгоритм собирает эту карту пауз, переходов и скорости ввода. Ему достаточно, чтобы ты ввел всего 200–300 символов, чтобы составить твой уникальный цифровой профиль.
Для чего им это вообще нужно?
Для защиты от кражи аккаунтов.
Вы замечали, что при входе в свой или чужой аккаунт после ввода пароля доступ иногда предоставляется моментально, а в других случаях требуется дополнительное подтверждение. Это связано с биометрией поведения. Алгоритмы видят изменение временных интервалов между нажатиями клавиш в конкретном сеансе.
Деанонимизация. Если спецслужбы или хакеры ищут автора анонимного канала, они могут сравнить ритм набора постов в этом канале с тем, как подозреваемый пишет комментарии со своего реального аккаунта в соцсетях. Если совпадении профиля на 95%,то к тебе приедут :)
Давайте быстро расскажу как это обойти.
1.Использовать офлайн блокнот.
Писать сначала в блокнот или в заметки,а потом скопировать и вставлять туда куда вам нужно.
2.Смена раскладки и девайса. Твой почерк на ПК и на смартфоне это два разных профиля. Скорость печати одной рукой на ходу сильно отличается от набора десятью пальцами за столом
3.Специальные расширение для браузеров.Существуют редкие плагины для браузеров, которые искусственно задерживают отправку вводимых символов на доли миллисекунд,Но я бы не доверял.
Короче, вы поняли. Реальная анонимность это вообще не история про (скачал пару прог, нажал кнопку и я анонимен). Это так не работает. Настоящая приватность собирается на ходу из сотни мелких привычек и цифровой гигиены. Стоит забить на какую-то одну деталь,и все в пустую.
👍7❤1
Сегодня немного паранойи.
Мало кто из вас знает или вообще задумывался, что ваш смартфон это готовый прибор ночного видения, который может палить шпионские камеры. Тема сейчас максимально актуальная, особенно когда все едут на отдых,и заселяться в отели.
Можете прямо сейчас проверить, возьмите пульт от телика, включите фронталку (на селфи камере это работает лучше всего, там ИК фильтр слабее,и лучше на расстоянии не более 3-х метров), направьте пульт в объектив и зажмите любую кнопку. Глазами вы не увидите ничего, а на экране телефона диод начнет ярко моргать фиолетовым или белым светом. Это инфракрасный луч.
Важный момент, чтобы вы сейчас не пошли ломать всю бытовую технику в номерах.
Как отличить обычный датчик от телика или кондея от реальной скрытой камеры? Ведь ИК свет будет и там, и там.
Смотрите на три вещи.
Как моргает. Датчик на телевизоре загорается только тогда, когда вы жмете кнопку на пульте (или выдает короткую вспышку раз в 10 секунд). Скрытая камера фигачит в экран телефона постоянным, ровным и плотным светом, потому что ей нужно непрерывно освещать комнату для записи.
Количество диодов. У телика или приставки диод всегда один. У камеры ночного видения вокруг объектива обычно стоит целое кольцо из мелких ИК точек или один жирный светящийся прожектор. На экране это выглядит как четкий светящийся диск.
Где находится. Если точка горит на нижней панели телевизора, где логотип это значит все нормально (наверное). Если точка светится внутри вентиляционной решетки на задней крышке телика, в розетке или в датчике дыма на потолке тот тут лучше заклеить изолентой.
Мало кто из вас знает или вообще задумывался, что ваш смартфон это готовый прибор ночного видения, который может палить шпионские камеры. Тема сейчас максимально актуальная, особенно когда все едут на отдых,и заселяться в отели.
Можете прямо сейчас проверить, возьмите пульт от телика, включите фронталку (на селфи камере это работает лучше всего, там ИК фильтр слабее,и лучше на расстоянии не более 3-х метров), направьте пульт в объектив и зажмите любую кнопку. Глазами вы не увидите ничего, а на экране телефона диод начнет ярко моргать фиолетовым или белым светом. Это инфракрасный луч.
Важный момент, чтобы вы сейчас не пошли ломать всю бытовую технику в номерах.
Как отличить обычный датчик от телика или кондея от реальной скрытой камеры? Ведь ИК свет будет и там, и там.
Смотрите на три вещи.
Как моргает. Датчик на телевизоре загорается только тогда, когда вы жмете кнопку на пульте (или выдает короткую вспышку раз в 10 секунд). Скрытая камера фигачит в экран телефона постоянным, ровным и плотным светом, потому что ей нужно непрерывно освещать комнату для записи.
Количество диодов. У телика или приставки диод всегда один. У камеры ночного видения вокруг объектива обычно стоит целое кольцо из мелких ИК точек или один жирный светящийся прожектор. На экране это выглядит как четкий светящийся диск.
Где находится. Если точка горит на нижней панели телевизора, где логотип это значит все нормально (наверное). Если точка светится внутри вентиляционной решетки на задней крышке телика, в розетке или в датчике дыма на потолке тот тут лучше заклеить изолентой.
Как вам вообще такие заходы? Стоит копать дальше в сторону шпионских гаджетов и физической безопасности, или вам интереснее чисто про софт, операционки и хакинг?
🔥13👍7
Что такое SSH-Key,и как он работает?
Обычно мы заходим на web сайт с помощью "логин+пароль",но некоторые сайт поддераживают защиту SSH key.
Представьте, что обычный пароль это кодовый замок. Код можно подсмотреть, угадать или подобрать перебором с помощью Brute Force.
SSH-ключи работают иначе. Это пара из двух очень длинных и уникальных цифровых кодов.
Публичный ключ (Public Key) это замок. Вы загружаете его на свой сервер. Он открыт для всех и не представляет ценности без ключа.
Приватный ключ Private Key) это физический ключ. Вы храните его на своем личном устройстве и никогда никому не показывайте.
Когда вы подключаетесь к серверу, он сверяет ваш приватный ключ со своим замком(Public Key). Если они подошли друг к другу, вы внутри.
Обычно мы заходим на web сайт с помощью "логин+пароль",но некоторые сайт поддераживают защиту SSH key.
Представьте, что обычный пароль это кодовый замок. Код можно подсмотреть, угадать или подобрать перебором с помощью Brute Force.
SSH-ключи работают иначе. Это пара из двух очень длинных и уникальных цифровых кодов.
Публичный ключ (Public Key) это замок. Вы загружаете его на свой сервер. Он открыт для всех и не представляет ценности без ключа.
Приватный ключ Private Key) это физический ключ. Вы храните его на своем личном устройстве и никогда никому не показывайте.
Когда вы подключаетесь к серверу, он сверяет ваш приватный ключ со своим замком(Public Key). Если они подошли друг к другу, вы внутри.
👍5
После закрытия AudiA6 в сети активно ходит версия, что Dark2Web был просто партнёром, и отдельной площадкой. Многие говорят что AudiA6 просто рекламировались там и всё.
На деле это не так.
По материалам Минюста и Europol (дело ведёт Eastern District of Pennsylvania), Руслан Ткачук и Александр Леденев были ключевыми фигурами обеих площадок. Они не просто размещали рекламу они управляли и самим миксером, и форумом.
Dark2Web выполнял роль основной рекламной и клиентской площадки, там искали заказчиков из ransomware, прогоняли сделки, обсуждали условия. Фактически это была единая структура производство услуги + собственный маркетплейс.
Именно поэтому, когда операция началась, закрыли всё и сразу, и AudiA6, и Dark2Web, и связанную инфраструктуру.
На деле это не так.
По материалам Минюста и Europol (дело ведёт Eastern District of Pennsylvania), Руслан Ткачук и Александр Леденев были ключевыми фигурами обеих площадок. Они не просто размещали рекламу они управляли и самим миксером, и форумом.
Dark2Web выполнял роль основной рекламной и клиентской площадки, там искали заказчиков из ransomware, прогоняли сделки, обсуждали условия. Фактически это была единая структура производство услуги + собственный маркетплейс.
Именно поэтому, когда операция началась, закрыли всё и сразу, и AudiA6, и Dark2Web, и связанную инфраструктуру.
Для пользователей все печально.
Если вы когда либо пользовались AudiA6,или активно сидели на Dark2Web, считайте что все ваши данные,старые адреса, ники скомпрометированы.Особенно тех кто выводил крупные суммы.
❤6
На днях читал пост (https://t.me/TorZireael1/92) и вспомнил, что у меня было то же самое. Я решил проверить, исправили они это или нет (думал: ну бред, точно не работает). Как вы думаете? Спустя несколько заходов и выходов из сессии Telegram начал пускать меня в аккаунт без SMS.
Как вообще это работает?
Когда вы нажимаете кнопку «Выйти», Telegram Desktop не уничтожает данные на жестком диске. Он просто блокирует интерфейс. Вся ваша активность, ключи авторизации и кэш остаются лежать в папке tdata (в AppData на Windows или в конфигах на Linux/macOS).
Если вы снова введете свой номер на этом же ПК, сервер ТГ сверит аппаратные хэши, поймет, что устройство «свое», и мгновенно впустит вас без SMS-кода.Telegram сейчас почти не шлет SMS на ПК-версии ради экономии, поэтому система входа для своих десктопов работает максимально агрессивно.
У меня случился траур.
Решил немного копнуть глубже и понять, используют ли эту уязвимость как-то хакеры и используют ли они её вообще.
Как оказалось, они используют её полным ходом.
Как хакеры именно пользуются этим,и как от этого защититься решил расписать все в отдельном борде.
👉 Читать статью: Как хакеры используют tdata [https://onion.as/723]
Как вообще это работает?
Когда вы нажимаете кнопку «Выйти», Telegram Desktop не уничтожает данные на жестком диске. Он просто блокирует интерфейс. Вся ваша активность, ключи авторизации и кэш остаются лежать в папке tdata (в AppData на Windows или в конфигах на Linux/macOS).
Если вы снова введете свой номер на этом же ПК, сервер ТГ сверит аппаратные хэши, поймет, что устройство «свое», и мгновенно впустит вас без SMS-кода.Telegram сейчас почти не шлет SMS на ПК-версии ради экономии, поэтому система входа для своих десктопов работает максимально агрессивно.
У меня случился траур.
Решил немного копнуть глубже и понять, используют ли эту уязвимость как-то хакеры и используют ли они её вообще.
Как оказалось, они используют её полным ходом.
Как хакеры именно пользуются этим,и как от этого защититься решил расписать все в отдельном борде.
👉 Читать статью: Как хакеры используют tdata [https://onion.as/723]
onion.as
Анатомия уязвимости: Как хакеры используют tdata и угоняют Telegram без SMS - onion.as
Когда вы входите и выходите из сессии Telegram несколько раз,в следующие разы при попытке войти в аккаунт он не будет просить SMS и сразу даст доступ к сессии.Telegram Desktop не затирает файлы сессии намертво. Он просто переводит в деактивированный режим…
❤4🔥2
Уже не в первый раз слышу про moriVPN. Немного посмотрел на их сайт и выяснилось, что данный проект, позиционирующий себя как максимально безопасный и анонимный инструмент от владельца маркетплейса, сразу заставил меня искать подвох.
Оказалось, что весь проект это и есть подвох. Исходный код закрыт. Я решил лично проанализировать сетевой трафик, и, как оказалось, не зря. Несмотря на заявления о нераспространении личных данных, они спокойно сливают ваш настоящий IP на сервер (ipapi.co) не только при подключении к серверам, но и при самом запуске программы. При этом даже не шифруют ваши реальные данные, и любой может перехватить трафик и узнать ваш настоящий IP-адрес.
Ранее один мой хороший знакомый говорил, что они ещё и сливают device_id, в чём я даже не сомневаюсь.
Оказалось, что весь проект это и есть подвох. Исходный код закрыт. Я решил лично проанализировать сетевой трафик, и, как оказалось, не зря. Несмотря на заявления о нераспространении личных данных, они спокойно сливают ваш настоящий IP на сервер (ipapi.co) не только при подключении к серверам, но и при самом запуске программы. При этом даже не шифруют ваши реальные данные, и любой может перехватить трафик и узнать ваш настоящий IP-адрес.
Ранее один мой хороший знакомый говорил, что они ещё и сливают device_id, в чём я даже не сомневаюсь.
Даже при том, что код закрыт, скачиваний более 50 000, и это только в Google Play. Надеюсь, теперь вы понимаете, почему я так сильно рекомендовал стараться обходить закрытые проекты, уж тем более от таких личностей.
🤝10❤7👍4🤔1💯1
GrapheneOS
GrapheneOS: the private and secure mobile OS
GrapheneOS is a security and privacy focused mobile OS with Android app compatibility.
Android 17 на GrapheneOS.Серьезно переработали логику сетевых разрешений, закрывая старые векторы локального фингерпринтинга и сканирования сети приложениями.Раньше сетевое разрешение (
Теперь доступ к локальной сети (LAN access) стал частью разрешения Nearby Devices (Устройства поблизости). Чтобы приложение могло сканировать вашу домашнюю сеть, искать умные устройства или NAS, ему нужно выдать оба разрешения: и Network, и Nearby Devices. Само по себе разрешение Network теперь дает доступ исключительно во внешний интернет (WAN). Это огромный плюс для изоляции недоверенных приложений.
Так же В кодовой базе Android 17 устранены очередные мелкие утечки идентификаторов устройств через Wi-Fi и сотовые сети. GrapheneOS традиционно докрутил это до максимума: их раздельные тумблеры для Wi-Fi/Cellular и LTE-only режим теперь работают бесшовно с новыми сетевыми API семнадцатого Андроида, минимизируя возможность фингерпринтинга устройства базовыми станциями.
Давайтк наберем максимальное количество реакций!
Network permission) давало приложению доступ вообще ко всему сетевому стеку.Теперь доступ к локальной сети (LAN access) стал частью разрешения Nearby Devices (Устройства поблизости). Чтобы приложение могло сканировать вашу домашнюю сеть, искать умные устройства или NAS, ему нужно выдать оба разрешения: и Network, и Nearby Devices. Само по себе разрешение Network теперь дает доступ исключительно во внешний интернет (WAN). Это огромный плюс для изоляции недоверенных приложений.
Так же В кодовой базе Android 17 устранены очередные мелкие утечки идентификаторов устройств через Wi-Fi и сотовые сети. GrapheneOS традиционно докрутил это до максимума: их раздельные тумблеры для Wi-Fi/Cellular и LTE-only режим теперь работают бесшовно с новыми сетевыми API семнадцатого Андроида, минимизируя возможность фингерпринтинга устройства базовыми станциями.
самую долгожданную фичу я покажу чуть позже
Давайтк наберем максимальное количество реакций!
🔥12❤8👍4
Cейчас я нахожусь в отпуске и хотел бы принести свои извинения за редкое появление постов. Свои основные девайсы я оставил дома, и у меня нет возможности проводить более глубокие и научные анализы.По этому поговорим про методы социальной инженерии.
1.Попросите об одолжении.
Представь, что у тебя есть знакомый, который относится к тебе немного прохладно или отстраненно.Логично бы нужно сделать ему что-то хорошее (угостить кофе,что то подарить,или даже посмеяться над его глупой шуткой), чтобы завоевать расположение. Но социальная инженерия работает наоборот.
Ты подходишь и просишь(да именно просишь) его о небольшой, но экспертной услуге.
Eсли человек тратит на тебя хотя бы 5 минут,то этот момент его мозг делает вывод: «Я ему помогаю, значит, мы в нормальных отношениях». Когда в следующий раз ты попросишь его о более крупном одолжении (или ему понадобится твоя помощь), барьер уже будет сломан, и он откликнется гораздо охотнее.
2. Требуйте большего.
Тебя необходимо попросить собеседника исполнить нечто более значительное, чем то, что вы на самом деле желаете получить. Можно также попросить сделать что-то нелепое. Скорее всего, он откажется. Вскоре после этого смело просите то, что хотели с самого начала человек почувствует себя некомфортно из-за того, что отказал вам в первый раз, и, если вы теперь попросите нечто разумное, он будет чувствовать себя обязанным помочь.
Исследователи подходили к студентам колледжа и изображали представителей благотворительной организации. Они просили студентов взять на себя обязанности волонтеров и два года бесплатно работать менторами для несовершеннолетних правонарушителей (тратя на это по 2 часа в неделю).
Разумеется, огромная просьба пугала людей, и 100% студентов ответили отказом.
Сразу после отказа исследователи смягчили позицию и говорили что-то вроде:
Ожидаемо более 70% участников согласились.
https://en.wikipedia.org/wiki/Door-in-the-face_technique
В основе этой техники лежит правило взаимного обмена (или взаимных уступок). Человеку кажется, что если собеседник пошел на уступку (снизил свои требования с огромных до маленьких), то и он сам должен сделать ответный шаг навстречу и согласиться.
Если вам интересен такой контент могу выложить продолжение.Делать 2-ю часть?
1.Попросите об одолжении.
Представь, что у тебя есть знакомый, который относится к тебе немного прохладно или отстраненно.Логично бы нужно сделать ему что-то хорошее (угостить кофе,что то подарить,или даже посмеяться над его глупой шуткой), чтобы завоевать расположение. Но социальная инженерия работает наоборот.
Ты подходишь и просишь(да именно просишь) его о небольшой, но экспертной услуге.
«Слушай, я знаю, ты хорошо разбираешься в Linux. Можешь мне собрать gentoo?»
Eсли человек тратит на тебя хотя бы 5 минут,то этот момент его мозг делает вывод: «Я ему помогаю, значит, мы в нормальных отношениях». Когда в следующий раз ты попросишь его о более крупном одолжении (или ему понадобится твоя помощь), барьер уже будет сломан, и он откликнется гораздо охотнее.
2. Требуйте большего.
Тебя необходимо попросить собеседника исполнить нечто более значительное, чем то, что вы на самом деле желаете получить. Можно также попросить сделать что-то нелепое. Скорее всего, он откажется. Вскоре после этого смело просите то, что хотели с самого начала человек почувствует себя некомфортно из-за того, что отказал вам в первый раз, и, если вы теперь попросите нечто разумное, он будет чувствовать себя обязанным помочь.
Исследователи подходили к студентам колледжа и изображали представителей благотворительной организации. Они просили студентов взять на себя обязанности волонтеров и два года бесплатно работать менторами для несовершеннолетних правонарушителей (тратя на это по 2 часа в неделю).
Разумеется, огромная просьба пугала людей, и 100% студентов ответили отказом.
Сразу после отказа исследователи смягчили позицию и говорили что-то вроде:
«Хорошо, мы понимаем, это слишком тяжело. Но не согласились бы вы тогда просто один раз сопроводить этих ребят на двухчасовую экскурсию в зоопарк?»
Ожидаемо более 70% участников согласились.
https://en.wikipedia.org/wiki/Door-in-the-face_technique
В основе этой техники лежит правило взаимного обмена (или взаимных уступок). Человеку кажется, что если собеседник пошел на уступку (снизил свои требования с огромных до маленьких), то и он сам должен сделать ответный шаг навстречу и согласиться.
Если вам интересен такой контент могу выложить продолжение.Делать 2-ю часть?
🔥5🤝5❤4👍2💯1
Рекомендуется практиковать все изучаемые знания. Чтение мануалов само по себе не имеет смысла.Можно изучить всю книгу по социальной инженерии или программированию, но информация будет быстро забыта, и практического понимания не будет достигнуто,так как вы ни чем не подкрепили изученную вами информацию. На примере социальной инженерии рекомендую усвоить один метод и попытаться применить его на практике. Это позволит максимально закрепить навык, после чего можно переходить к изучению следующего правила. Со временем многие методы будут применяться неосознанно. Все профессиональные навыки формируются исключительно через практику.
❤9💯5🔥2