Как прятать приложения от любопытных глаз?
Бывают случаи, когда вам приходится разрешать кому-то копаться в вашем телефоне/компьютере против собственной воли, иначе же вас могут заподозрить в чем-то. Это могут быть ваши родственники, парни/девушки...пограничники 😳
В этом случае вам нужно заранее позаботиться о собственной безопасности, скрыв нежелательные приложения от любопытных глаз. Да и вообще, в мире информационной безопасности есть такой принцип - "security through obscurity", означающий "безопасность путем сокрытия", который часто работает даже лучше любой системы защиты и который лично меня не раз ставил в тупик: если не понятно, что у вас есть, то и не понятно, что искать.
Скрыть приложения можно практически в любой операционной системе. Вот примеры для наиболее распространенных:
▪️Для Android самым универсальным вариантом будет установить кастомный домашний экран (Home Screen), поддерживающий сокрытие приложений. Например, Apex Launcher (скрывает с домашнего экрана и из поиска).
▪️Для iOS (Apple, iPad) - удалить приложение с домашнего экрана и скрыть его из поиска (подробнее тут).
▪️Для Windows/macOS/Linux надежнее всего использовать программы для запуска приложений в изолированной оболочке (лучшая в своем роде - Sandboxie, о ней еще поговорим в будущий постах). Такие программы позволяют запускать приложения в "песочнице" - изолированном месте. Если вдобавок вы спрячете файлы песочницы, как это было рассказано в посте "Прячьте ценные файлы", то никто и никогда не заподозрит вас в использовании приложения 😎
Ну и не забывайте отключать уведомления из скрываемых программ, чтобы в самый неподходящий момент они вас не разоблачили.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Бывают случаи, когда вам приходится разрешать кому-то копаться в вашем телефоне/компьютере против собственной воли, иначе же вас могут заподозрить в чем-то. Это могут быть ваши родственники, парни/девушки...пограничники 😳
В этом случае вам нужно заранее позаботиться о собственной безопасности, скрыв нежелательные приложения от любопытных глаз. Да и вообще, в мире информационной безопасности есть такой принцип - "security through obscurity", означающий "безопасность путем сокрытия", который часто работает даже лучше любой системы защиты и который лично меня не раз ставил в тупик: если не понятно, что у вас есть, то и не понятно, что искать.
Скрыть приложения можно практически в любой операционной системе. Вот примеры для наиболее распространенных:
▪️Для Android самым универсальным вариантом будет установить кастомный домашний экран (Home Screen), поддерживающий сокрытие приложений. Например, Apex Launcher (скрывает с домашнего экрана и из поиска).
▪️Для iOS (Apple, iPad) - удалить приложение с домашнего экрана и скрыть его из поиска (подробнее тут).
▪️Для Windows/macOS/Linux надежнее всего использовать программы для запуска приложений в изолированной оболочке (лучшая в своем роде - Sandboxie, о ней еще поговорим в будущий постах). Такие программы позволяют запускать приложения в "песочнице" - изолированном месте. Если вдобавок вы спрячете файлы песочницы, как это было рассказано в посте "Прячьте ценные файлы", то никто и никогда не заподозрит вас в использовании приложения 😎
Ну и не забывайте отключать уведомления из скрываемых программ, чтобы в самый неподходящий момент они вас не разоблачили.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍25❤4🔥3
Ставьте пароль на браузер
Любой современный браузер - это кладезь ценной информации для хакера. Браузер запоминает "для вашего удобства" все ваши пароли и держит открытыми сессии на сайтах, в которых вы залогинились. В большинстве случаев, если я получу доступ к вашему браузеру, я смогу стащить доступ в ваши аккаунты, даже не зная пароля (стащив куки). А если вы дадите мне пару минут, я установлю в ваш браузер расширение GreaseMonkey, которое будет на каждой странице исполнять мой вредоносный Javascript-код, перехватывающий все, что вы вводите в поля ввода и отправлять ко мне на сервер (и пароли в первую очередь).
Если вы не контролируете доступ к своему устройству на 100% (если иногда им пользуется кто-то еще), самое простое, что вы можете сделать прямо сейчас для собственной безопасности - поставить пароль на свой браузер. К огромному удивлению, ни один разработчик современного браузера не позаботился о защите браузера паролем, поэтому придется использовать сторонние расширения, которые не пропустят в ваш браузер никого, кто не знает пароль:
1. Расширение для Google Chrome
2. Расширение для Firefox (стандартный мастер-пароль в Firefox не работает, как надо)
3. Для Safari существует более надежный метод - блокировка запуска браузера с помощью приложений вроде AppCrypt (рабочих расширений не нашел)
Все это довольно топорные варианты, которые можно обойти при должном желании за 5-10 минут, но это лучшее и наиболее простое, что можно выбрать в условиях, когда разработчики забили на такую очевидную защиту, как установка пароля на браузер. Более продвинутым методом защиты является использование раздельных учеток на вашем устройстве, об этом в следующем посте.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Любой современный браузер - это кладезь ценной информации для хакера. Браузер запоминает "для вашего удобства" все ваши пароли и держит открытыми сессии на сайтах, в которых вы залогинились. В большинстве случаев, если я получу доступ к вашему браузеру, я смогу стащить доступ в ваши аккаунты, даже не зная пароля (стащив куки). А если вы дадите мне пару минут, я установлю в ваш браузер расширение GreaseMonkey, которое будет на каждой странице исполнять мой вредоносный Javascript-код, перехватывающий все, что вы вводите в поля ввода и отправлять ко мне на сервер (и пароли в первую очередь).
Если вы не контролируете доступ к своему устройству на 100% (если иногда им пользуется кто-то еще), самое простое, что вы можете сделать прямо сейчас для собственной безопасности - поставить пароль на свой браузер. К огромному удивлению, ни один разработчик современного браузера не позаботился о защите браузера паролем, поэтому придется использовать сторонние расширения, которые не пропустят в ваш браузер никого, кто не знает пароль:
1. Расширение для Google Chrome
2. Расширение для Firefox (стандартный мастер-пароль в Firefox не работает, как надо)
3. Для Safari существует более надежный метод - блокировка запуска браузера с помощью приложений вроде AppCrypt (рабочих расширений не нашел)
Все это довольно топорные варианты, которые можно обойти при должном желании за 5-10 минут, но это лучшее и наиболее простое, что можно выбрать в условиях, когда разработчики забили на такую очевидную защиту, как установка пароля на браузер. Более продвинутым методом защиты является использование раздельных учеток на вашем устройстве, об этом в следующем посте.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍25👏2
Пользуйтесь раздельными учетками
В предыдущем посте речь шла о защите своего браузера от посторонних с помощью пароля. Но на самом деле есть более правильный способ защиты своего "личного" цифрового пространства, который не ограничивается одним лишь браузером - использование раздельных учетных записей.
Все популярные операционные системы предлагают этот механизм в том или ином виде. Поэтому, если вам приходится кому-то давать пользоваться своим устройством, создайте на устройстве несколько учеток, и, каждый раз, когда вам понадобится кому-то дать свой компьютер/телефон, выходите из своей учетной записи и логиньте человека в гостевой. В идеале на каждого человека - своя учетка.
При использовании учеток происходит изоляция вашего личного(домашнего) пространства от чужих домашних пространств, что позволяет пользоваться одной и той же программой (браузер, офисный пакет, игры) в "параллельных" пространствах - ваши сессии в браузере будут изолированы от сессий из чужих учеток, а прогресс в компьютерной игре будет недоступен младшему брату 😁 Не все программы, правда, по-честному сохраняют все приватные данные в домашнем пространстве, поэтому каждую программу проверяйте индивидуально на "вшивость" из-под тестовых учеток.
Разные учетки также позволят вам защищаться от вирусов, если вы будете всегда запускать любые программы из-под учетных записей с ограниченными правами (а не из-под админа, как многие любят) - в таком случае вирусы будут сильно ограничены в своих возможностях, да и данных особо похитить не смогут, т.к в домашнем пространстве учетки будет пусто. Если же вирус как-то и навредит системе, можно будет просто удалить учетку.
Но все же, ничего не сравнится по уровню изоляции и безопасности с запуском программ внутри виртуальной машины. Но если у вас нет такой возможности, пользуйтесь раздельными учетками.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
В предыдущем посте речь шла о защите своего браузера от посторонних с помощью пароля. Но на самом деле есть более правильный способ защиты своего "личного" цифрового пространства, который не ограничивается одним лишь браузером - использование раздельных учетных записей.
Все популярные операционные системы предлагают этот механизм в том или ином виде. Поэтому, если вам приходится кому-то давать пользоваться своим устройством, создайте на устройстве несколько учеток, и, каждый раз, когда вам понадобится кому-то дать свой компьютер/телефон, выходите из своей учетной записи и логиньте человека в гостевой. В идеале на каждого человека - своя учетка.
При использовании учеток происходит изоляция вашего личного(домашнего) пространства от чужих домашних пространств, что позволяет пользоваться одной и той же программой (браузер, офисный пакет, игры) в "параллельных" пространствах - ваши сессии в браузере будут изолированы от сессий из чужих учеток, а прогресс в компьютерной игре будет недоступен младшему брату 😁 Не все программы, правда, по-честному сохраняют все приватные данные в домашнем пространстве, поэтому каждую программу проверяйте индивидуально на "вшивость" из-под тестовых учеток.
Разные учетки также позволят вам защищаться от вирусов, если вы будете всегда запускать любые программы из-под учетных записей с ограниченными правами (а не из-под админа, как многие любят) - в таком случае вирусы будут сильно ограничены в своих возможностях, да и данных особо похитить не смогут, т.к в домашнем пространстве учетки будет пусто. Если же вирус как-то и навредит системе, можно будет просто удалить учетку.
Но все же, ничего не сравнится по уровню изоляции и безопасности с запуском программ внутри виртуальной машины. Но если у вас нет такой возможности, пользуйтесь раздельными учетками.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍16🔥2
Как узнать пароль, сохраненный в браузере?
Пост-дополнение к посту о необходимости защиты своего браузера от посторонних. Во все современные браузеры встроена функция сохранения паролей, которая, делает вашу жизнь удобнее за счет снижения вашей безопасности. Если вы сохраняете все свои пароли внутри браузера, то практический смысл от совета использовать менеджер паролей пропадает.
Чтобы узнать ваш пароль, достаточно разлогиниться на сайте, далее перейти на страницу авторизации, браузер любезно подставит сохраненный логин и пароль, ну а далее немного "хакерской магии": открываем консоль браузера(F12 обычно), вбиваем в консоль код, который прочитает все пароли на странице и отобразит их в консоли:
сворованномувосстановленному паролю, который когда-то давно забыли сохранить в менеджер паролей 😁
Как видите, в современном браузере вся ваша личная информация по умолчанию, как на ладони, поэтому не сохраняйте в браузере пароли хотя бы от сайтов с наиболее чувствительными данными: онлайн-банки, почтовые сервисы, облачные хранилища, бэкап-сервисы. Запрещайте браузеру сохранять ваши пароли на таких сайтах, и каждый раз, когда нужно залогиниться на таком сайте - доставайте пароль из менеджера паролей. В идеале каждый раз после использования сайта с чувствительными данными разлогиниваться на нем - на многие такие сайты вы заходите пару раз в неделю, поэтому долго держать сессию активной на таких сайтах нет нужды. Ну и пользуйтесь двухфакторной аутентификацией - она в таком случае предстает последним надежным рубежом защиты.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Пост-дополнение к посту о необходимости защиты своего браузера от посторонних. Во все современные браузеры встроена функция сохранения паролей, которая, делает вашу жизнь удобнее за счет снижения вашей безопасности. Если вы сохраняете все свои пароли внутри браузера, то практический смысл от совета использовать менеджер паролей пропадает.
Чтобы узнать ваш пароль, достаточно разлогиниться на сайте, далее перейти на страницу авторизации, браузер любезно подставит сохраненный логин и пароль, ну а далее немного "хакерской магии": открываем консоль браузера(F12 обычно), вбиваем в консоль код, который прочитает все пароли на странице и отобразит их в консоли:
[...document.querySelectorAll("input[type='password']")].map(password =>console.log(password.value));
И далее радуемся успешно Как видите, в современном браузере вся ваша личная информация по умолчанию, как на ладони, поэтому не сохраняйте в браузере пароли хотя бы от сайтов с наиболее чувствительными данными: онлайн-банки, почтовые сервисы, облачные хранилища, бэкап-сервисы. Запрещайте браузеру сохранять ваши пароли на таких сайтах, и каждый раз, когда нужно залогиниться на таком сайте - доставайте пароль из менеджера паролей. В идеале каждый раз после использования сайта с чувствительными данными разлогиниваться на нем - на многие такие сайты вы заходите пару раз в неделю, поэтому долго держать сессию активной на таких сайтах нет нужды. Ну и пользуйтесь двухфакторной аутентификацией - она в таком случае предстает последним надежным рубежом защиты.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👏10🔥5❤2
Как получать доступ к функциям сайта, которые он пытается ограничить для вас?
Каждый в Интернете натыкался на сайты, которые ограничивали в возможностях использования своих функций тем или иным путем: кто-то просит подтвердить номер телефона, перегораживая весь интерфейс, кто-то купить триал, кто-то не хочет пускать к себе из-под "плохого" IP-адреса...Благо, жадность личится ;)
Т.к браузер и код, исполняющийся в нем, полностью под вашим контролем, вам ничего не мешает "подредактировать" сайт под себя. Разберем на реальных примерах, как обходить ограничения сайтов.
#1. Сайт, на котором можно смотреть интересную аналитику по акциям фондового рынка (он же на прилагаемом скриншоте) - блокирует интерфейс, разрешая смотреть только по 5 акций в день 😢. Находим в исходном коде страницы всплывающее окно и просто удаляем его клавишей DEL. Для дополнительной "сложности" сайт заблюррил страницу, разблюрриваем обратно и пользуемся сайтом в неограниченном режиме.
#2. Социальная сеть VK со своим постоянным требованием привязать почту/телефон. Тут все еще проще - тыкаем правой кнопкой мыши на назойливое окно, далее "Посмотреть код" и сносим назойливый элемент.
#3. Еще один инвестиционный сайт, предлагающий аналитику за нехилые деньги. Если посмотреть в консоли браузера, какие запросы он отправляет после регистрации, то окажется, что эти же запросы можно воспроизводить в соседней вкладке бесплатно - смотрите сами
#4. Криптообменник, не пускающий вас к себе по расовому признаку 👎🏿. Проверяет из вашего же браузера, из "правильной" ли вы страны запросом(с API ключом) на сервер IpAPI. Тут немного сложнее - нужно подделать ответ на запрос для сайта. Сделать это можно с помощью любого прокси сервера (вот урок для BurpSuite, например), после чего проходим, как ни в чем не бывало 😎
Если вас хотят ограничить, значит, вы на верном пути (с)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Каждый в Интернете натыкался на сайты, которые ограничивали в возможностях использования своих функций тем или иным путем: кто-то просит подтвердить номер телефона, перегораживая весь интерфейс, кто-то купить триал, кто-то не хочет пускать к себе из-под "плохого" IP-адреса...Благо, жадность личится ;)
Т.к браузер и код, исполняющийся в нем, полностью под вашим контролем, вам ничего не мешает "подредактировать" сайт под себя. Разберем на реальных примерах, как обходить ограничения сайтов.
#1. Сайт, на котором можно смотреть интересную аналитику по акциям фондового рынка (он же на прилагаемом скриншоте) - блокирует интерфейс, разрешая смотреть только по 5 акций в день 😢. Находим в исходном коде страницы всплывающее окно и просто удаляем его клавишей DEL. Для дополнительной "сложности" сайт заблюррил страницу, разблюрриваем обратно и пользуемся сайтом в неограниченном режиме.
#2. Социальная сеть VK со своим постоянным требованием привязать почту/телефон. Тут все еще проще - тыкаем правой кнопкой мыши на назойливое окно, далее "Посмотреть код" и сносим назойливый элемент.
#3. Еще один инвестиционный сайт, предлагающий аналитику за нехилые деньги. Если посмотреть в консоли браузера, какие запросы он отправляет после регистрации, то окажется, что эти же запросы можно воспроизводить в соседней вкладке бесплатно - смотрите сами
#4. Криптообменник, не пускающий вас к себе по расовому признаку 👎🏿. Проверяет из вашего же браузера, из "правильной" ли вы страны запросом(с API ключом) на сервер IpAPI. Тут немного сложнее - нужно подделать ответ на запрос для сайта. Сделать это можно с помощью любого прокси сервера (вот урок для BurpSuite, например), после чего проходим, как ни в чем не бывало 😎
Если вас хотят ограничить, значит, вы на верном пути (с)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍15❤3🔥2
Что могут узнать о вас при переходе по ссылке?
Ежедневно каждый переходит по сотням Интернет-ссылок, не задумываясь о том, что может быть субъектом чьего-то наблюдения. Вот минимальный список того, что о вас можно узнать, когда вы переходите по ссылке:
▪️ Ваш IP адрес (фейковый, если вы пользуетесь VPN)
▪️ Вашу страну и город (по IP адресу)
▪️ Программу, из которой вы пришли (название и версию)
▪️ Часовой пояс
▪️ Язык
▪️ Название и версию операционной системы
Объем того, что о вас могут узнать, сильно зависит от приложения, из которого вы открываете ссылку. Так, например, Telegram умеет открывать ссылки без перехода в браузер, и это сделано не просто так - открывая ссылку вместо браузера, Telegram пытается максимально вас анонимизировать. Когда же вы открываете ссылку внутри браузера, объем получаемой о вас информации увеличивается кратно(спасибо, JavaScript):
▪️ Параметры железа (ОЗУ, CPU и т.д)
▪️ Ваши реальные GPS-координаты
▪️ Размер вашего экрана
▪️ Список расширений и плагинов, установленных в браузере
▪️ И много чего еще, можете посмотреть сами
Справедливости ради стоит сказать, что все это не какая-то критическая информация о вас, но это та информация, которая может послужить звеном в сложной цепочке и использоваться в будущем против вас - например, в ходе фишинговой атаки.
Однажды я вылавливал Интернет-мошенника, и информация, полученная простым переходом мошенника по моей ссылке(сгенерированной тут), помогла мне подготовиться ко второму этапу атаки: узнав версию браузера, стало понятно, что мошенник использует устаревшую версию, уязвимую для известных атак, что позволило далее с помощью публичного эксплоита(о чем уже писал здесь) пробраться внутрь компьютера мошенника, опять убедив его перейти по ссылке 😁. Поэтому открывайте сомнительные ссылки из анонимных браузеров, об этом в следующем посте ;)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Ежедневно каждый переходит по сотням Интернет-ссылок, не задумываясь о том, что может быть субъектом чьего-то наблюдения. Вот минимальный список того, что о вас можно узнать, когда вы переходите по ссылке:
▪️ Ваш IP адрес (фейковый, если вы пользуетесь VPN)
▪️ Вашу страну и город (по IP адресу)
▪️ Программу, из которой вы пришли (название и версию)
▪️ Часовой пояс
▪️ Язык
▪️ Название и версию операционной системы
Объем того, что о вас могут узнать, сильно зависит от приложения, из которого вы открываете ссылку. Так, например, Telegram умеет открывать ссылки без перехода в браузер, и это сделано не просто так - открывая ссылку вместо браузера, Telegram пытается максимально вас анонимизировать. Когда же вы открываете ссылку внутри браузера, объем получаемой о вас информации увеличивается кратно(спасибо, JavaScript):
▪️ Параметры железа (ОЗУ, CPU и т.д)
▪️ Ваши реальные GPS-координаты
▪️ Размер вашего экрана
▪️ Список расширений и плагинов, установленных в браузере
▪️ И много чего еще, можете посмотреть сами
Справедливости ради стоит сказать, что все это не какая-то критическая информация о вас, но это та информация, которая может послужить звеном в сложной цепочке и использоваться в будущем против вас - например, в ходе фишинговой атаки.
Однажды я вылавливал Интернет-мошенника, и информация, полученная простым переходом мошенника по моей ссылке(сгенерированной тут), помогла мне подготовиться ко второму этапу атаки: узнав версию браузера, стало понятно, что мошенник использует устаревшую версию, уязвимую для известных атак, что позволило далее с помощью публичного эксплоита(о чем уже писал здесь) пробраться внутрь компьютера мошенника, опять убедив его перейти по ссылке 😁. Поэтому открывайте сомнительные ссылки из анонимных браузеров, об этом в следующем посте ;)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍18🔥8❤2
Как ваш браузер помогает другим идентифицировать вас?
В предыдущем посте было показано, как любой браузер предоставляет просматриваемому сайту много ненужной технической информации о вас, без которой сайт вполне мог бы обойтись. Причем однажды может оказаться так, что сумма всей такой информации, будет указывать ни на кого иного, кроме как на вас любимого.
Популярные браузеры (Chrome, Firefox, Safari) не сильно парятся о вашей анонимности (особенно о паролях, см.пост), а потому сливают всем сайтам без разбора кучу данных, чтобы они просто "нарисовали" сайт максимально красиво в ущерб вашей анонимности. В результате в цифровом мире у вас образуется "цифровой отпечаток" (fingerprint), который вас сильно выделяет из миллиардов пользователей по всему миру...
Посмотрите прямо сейчас, насколько вы "уникальны" в Интернете - тык, тык. Для идентификации вас потенциально могут использоваться тысячи признаков: начиная от вашего User-Agent (информация о программе и версии, из которой вы пришли) и заканчивая скоростью рендеринга сложной браузерной 3D-сцены (у хакеров компьютеры быстрые 😎).
Так, например, если я буду пользоваться своим привычным браузером для взломов, то детективу нужно будет поговорить всего лишь с ~1700000 подозреваемых, чтобы найти меня 😁. Но если серьезно, мой браузерный fingerprint таки может оказаться весомым аргументом на будущих звеньях цепочки расследования. Детективы и хакеры тут похожи :)
В 99% случаев, нет ничего страшного, что кто-то в Интернете получит ваш fingerprint — ну покажет вам рекламная сеть чуть более таргетированную рекламу, однако знать о такой "особенности" современных браузеров необходимо. А если у вас случай из числа 1%, пользуйтесь анонимным браузером TorBrowser, который передает сайтам минимально данных о вас, блокирует JavaScript и шифрует весь трафик так же надежно(и бесплатно), как хороший VPN.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
В предыдущем посте было показано, как любой браузер предоставляет просматриваемому сайту много ненужной технической информации о вас, без которой сайт вполне мог бы обойтись. Причем однажды может оказаться так, что сумма всей такой информации, будет указывать ни на кого иного, кроме как на вас любимого.
Популярные браузеры (Chrome, Firefox, Safari) не сильно парятся о вашей анонимности (особенно о паролях, см.пост), а потому сливают всем сайтам без разбора кучу данных, чтобы они просто "нарисовали" сайт максимально красиво в ущерб вашей анонимности. В результате в цифровом мире у вас образуется "цифровой отпечаток" (fingerprint), который вас сильно выделяет из миллиардов пользователей по всему миру...
Посмотрите прямо сейчас, насколько вы "уникальны" в Интернете - тык, тык. Для идентификации вас потенциально могут использоваться тысячи признаков: начиная от вашего User-Agent (информация о программе и версии, из которой вы пришли) и заканчивая скоростью рендеринга сложной браузерной 3D-сцены (у хакеров компьютеры быстрые 😎).
Так, например, если я буду пользоваться своим привычным браузером для взломов, то детективу нужно будет поговорить всего лишь с ~1700000 подозреваемых, чтобы найти меня 😁. Но если серьезно, мой браузерный fingerprint таки может оказаться весомым аргументом на будущих звеньях цепочки расследования. Детективы и хакеры тут похожи :)
В 99% случаев, нет ничего страшного, что кто-то в Интернете получит ваш fingerprint — ну покажет вам рекламная сеть чуть более таргетированную рекламу, однако знать о такой "особенности" современных браузеров необходимо. А если у вас случай из числа 1%, пользуйтесь анонимным браузером TorBrowser, который передает сайтам минимально данных о вас, блокирует JavaScript и шифрует весь трафик так же надежно(и бесплатно), как хороший VPN.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍17🔥2
Пользуйтесь временными почтовыми ящиками
Сайты в настоящее время стали совсем жадными до ваших данных, а потому каждый первый просит от вас регистрацию, дабы потом заработать на вас хотя бы в ходе рекламных email-рассылок, если вы не будете платить им за подписку в будущем. Нам дела нет до проблем с финансами у таких сайтов, а потому загрязнять свой основной почтовый ящик спамом от них тоже смысла никакого нет.
Чтобы "попробовать" сайт, не обязательно указывать при регистрации свой настоящий email - указывайте временный. Если сайт вам не понравится, в будущем вы не будете видеть спама от него в своем основном инбоксе. Сервисов для получения временного почтового ящика сейчас навалом (и они не требуют регистрации 😁), вот самые популярные: temp-mail, dropmail, fakemail - выбирайте любой, в целом разницы между ними нет.
Ну и в качестве бонуса сервисы временного почтового ящика позволят вам повысить анонимность, если произойдет утечка, а также создать несколько аккаунтов на любом сайте, где для регистрации нужен только email - что будет полезно, если вам нужно что-то накрутить.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Сайты в настоящее время стали совсем жадными до ваших данных, а потому каждый первый просит от вас регистрацию, дабы потом заработать на вас хотя бы в ходе рекламных email-рассылок, если вы не будете платить им за подписку в будущем. Нам дела нет до проблем с финансами у таких сайтов, а потому загрязнять свой основной почтовый ящик спамом от них тоже смысла никакого нет.
Чтобы "попробовать" сайт, не обязательно указывать при регистрации свой настоящий email - указывайте временный. Если сайт вам не понравится, в будущем вы не будете видеть спама от него в своем основном инбоксе. Сервисов для получения временного почтового ящика сейчас навалом (и они не требуют регистрации 😁), вот самые популярные: temp-mail, dropmail, fakemail - выбирайте любой, в целом разницы между ними нет.
Ну и в качестве бонуса сервисы временного почтового ящика позволят вам повысить анонимность, если произойдет утечка, а также создать несколько аккаунтов на любом сайте, где для регистрации нужен только email - что будет полезно, если вам нужно что-то накрутить.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍15❤4🔥2
Пользуйтесь программами, у которых открыт исходный код
Многие производители современного ПО (и даже многие серьезные из них) пытаются скрыть исходный код своих творений, чтобы общественность не лицезрелазакладки недокументированные возможности и конкуренты не утащили лакомый кусок кода в свои продукты. Такой подход защищает производителя, но наплевательски относится к пользователям.
Если же у программы открыт исходный код, то это явная декларация разработчика о том, что ему нечего скрывать и он готов это доказать публично - кто хочет, может проанализировать код программы на подозрительные участки и, если что обнаружится, написать разоблачающую статью во все СМИ. Иногда, правда, разработчики считают себя слишком умными - делают исходный код открытый, а закладки - замысловатыми, но их в итоге все равно рано или поздно находят независимые исследователи. На заре своего существования, кстати, на такой закладке поймали Telegram - пришлось исправляться.
Как проверить, открыт ли у программы исходный код? Достаточно просто загуглить (по запросу "исходный код [имя программы]") или поискать репозиторий по названию программы на сайте GitHub. Если поисковые запросы приводят вас к искомой программе, то программа с большей долей вероятности безопасная и ее можно запускать у себя в системе даже без изоляции.
Почти у каждой программы есть альтернатива с открытым исходным кодом(OpenSource), ее нужно просто поискать. Каждый раз, когда у вас есть возможность пользоваться OpenSource-программой вместо программы с закрытым исходным кодом(проприетарной), пользуйтесь OpenSource, оставайтесь в безопасности 😎
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Многие производители современного ПО (и даже многие серьезные из них) пытаются скрыть исходный код своих творений, чтобы общественность не лицезрела
Если же у программы открыт исходный код, то это явная декларация разработчика о том, что ему нечего скрывать и он готов это доказать публично - кто хочет, может проанализировать код программы на подозрительные участки и, если что обнаружится, написать разоблачающую статью во все СМИ. Иногда, правда, разработчики считают себя слишком умными - делают исходный код открытый, а закладки - замысловатыми, но их в итоге все равно рано или поздно находят независимые исследователи. На заре своего существования, кстати, на такой закладке поймали Telegram - пришлось исправляться.
Как проверить, открыт ли у программы исходный код? Достаточно просто загуглить (по запросу "исходный код [имя программы]") или поискать репозиторий по названию программы на сайте GitHub. Если поисковые запросы приводят вас к искомой программе, то программа с большей долей вероятности безопасная и ее можно запускать у себя в системе даже без изоляции.
Почти у каждой программы есть альтернатива с открытым исходным кодом(OpenSource), ее нужно просто поискать. Каждый раз, когда у вас есть возможность пользоваться OpenSource-программой вместо программы с закрытым исходным кодом(проприетарной), пользуйтесь OpenSource, оставайтесь в безопасности 😎
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍22👏2❤1
Проверяйте свои пароли на присутствие в утечках
Если вы только начали пользоваться менеджером паролей или по какой-то причине только планируете начать им пользоваться, не спешите сохранять туда используемые пароли - проверьте, присутствуют ли ваши пароли в базах с утечками. Если присутствуют, то прятать то, что и так известно любому желающему, смысла нет.
Ранее я уже писал, что ежедневно взламываются десятки сайтов, и хакеры после взлома вываливают в Интернет данные, которыми им удалось завладеть - нередко среди этих данных присутствуют пароли пользователей, которые не были защищены должным образом. Чтобы проверить, утек ли ваши пароль при очередном таком взломе, просто вбейте его здесь - сервис покажет вам, в каком числе утечек присутствует ваш пароль. Можно также поискать утечки своих данных по email - если по email утечки нашлись, а по паролю нет, то значит взломанный сайт защитил ваши пароли.
Если же ваш пароль присутствует в утечках, это означает, что его могут использовать в будущих атаках методом перебора, поэтому использовать такой пароль больше небезопасно, и его необходимо сменить. Также рекомендую периодически проверять на утечку свои пароли от наиболее критических сайтов и сервисов. А для пущей надежности заведите привычку менять пароли раз в 3-6 месяцев.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Если вы только начали пользоваться менеджером паролей или по какой-то причине только планируете начать им пользоваться, не спешите сохранять туда используемые пароли - проверьте, присутствуют ли ваши пароли в базах с утечками. Если присутствуют, то прятать то, что и так известно любому желающему, смысла нет.
Ранее я уже писал, что ежедневно взламываются десятки сайтов, и хакеры после взлома вываливают в Интернет данные, которыми им удалось завладеть - нередко среди этих данных присутствуют пароли пользователей, которые не были защищены должным образом. Чтобы проверить, утек ли ваши пароль при очередном таком взломе, просто вбейте его здесь - сервис покажет вам, в каком числе утечек присутствует ваш пароль. Можно также поискать утечки своих данных по email - если по email утечки нашлись, а по паролю нет, то значит взломанный сайт защитил ваши пароли.
Если же ваш пароль присутствует в утечках, это означает, что его могут использовать в будущих атаках методом перебора, поэтому использовать такой пароль больше небезопасно, и его необходимо сменить. Также рекомендую периодически проверять на утечку свои пароли от наиболее критических сайтов и сервисов. А для пущей надежности заведите привычку менять пароли раз в 3-6 месяцев.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍13❤2🔥1
Как я сделал фейковые пробки по всей Москве
Однажды я стоял в московской пробке в такси, и от скуки в меня закралась мысль - а можно ли создать искусственные пробки там, где их на самом деле нет, чтобы без пробок доехать от точки А до точки Б. Я обратил внимание на то, как таксисты определяют, каким образом им ехать до точки назначения: перед ними был самый привычный Яндекс.Навигатор, проложивший путь от точки моей посадки до места назначения, которому доверяют сотни тысяч автомобилистов Москвы...
На следующий день я провел эксперимент - взял 10 смартфонов с установленным Яндекс.Навигатором, включил режим движения на автомобиле и прошелся пешком по безлюдной улице метров 800. Удивлению не было предела, когда вся улица следом за мной оказалась закрашенной красным (даже бордовым - 10-бальная пробка). В этот же день я начал копаться во внутреннем устройстве мобильного приложения Яндекс.Навигатор (техника реверс-инжиниринга, о ней в будущих постах), чтобы понять, как приложение отправляет данные о пробках на сервера Яндекса.
Спустя пару суток анализа работы приложения у меня был готов "хакерский" скрипт на Python, который с помощью тысяч прокси-серверов имитировал отправку данных о пробках с миллионов фейковых устройств. На удивление, Яндекс доверял данным от каждого мобильного приложения навигатора, которое присылало ему свои гео-координаты, скорость и направление движения каждые 10 секунд. Результат можно увидеть на скриншоте и даже прочитать о нем в некоторых СМИ, заметивших неладное.
В Интернете можно накрутить все, что угодно - начиная от безобидных просмотров в Telegram и заканчивая информацией о пробках, влияющей на жизни миллионов людей (на скриншоте также видна цена за такси в блудную ночь), но важнее всего осознавать, что накрутку может сделать любой при небольшом уровне мотивации и интереса 😎
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Однажды я стоял в московской пробке в такси, и от скуки в меня закралась мысль - а можно ли создать искусственные пробки там, где их на самом деле нет, чтобы без пробок доехать от точки А до точки Б. Я обратил внимание на то, как таксисты определяют, каким образом им ехать до точки назначения: перед ними был самый привычный Яндекс.Навигатор, проложивший путь от точки моей посадки до места назначения, которому доверяют сотни тысяч автомобилистов Москвы...
На следующий день я провел эксперимент - взял 10 смартфонов с установленным Яндекс.Навигатором, включил режим движения на автомобиле и прошелся пешком по безлюдной улице метров 800. Удивлению не было предела, когда вся улица следом за мной оказалась закрашенной красным (даже бордовым - 10-бальная пробка). В этот же день я начал копаться во внутреннем устройстве мобильного приложения Яндекс.Навигатор (техника реверс-инжиниринга, о ней в будущих постах), чтобы понять, как приложение отправляет данные о пробках на сервера Яндекса.
Спустя пару суток анализа работы приложения у меня был готов "хакерский" скрипт на Python, который с помощью тысяч прокси-серверов имитировал отправку данных о пробках с миллионов фейковых устройств. На удивление, Яндекс доверял данным от каждого мобильного приложения навигатора, которое присылало ему свои гео-координаты, скорость и направление движения каждые 10 секунд. Результат можно увидеть на скриншоте и даже прочитать о нем в некоторых СМИ, заметивших неладное.
В Интернете можно накрутить все, что угодно - начиная от безобидных просмотров в Telegram и заканчивая информацией о пробках, влияющей на жизни миллионов людей (на скриншоте также видна цена за такси в блудную ночь), но важнее всего осознавать, что накрутку может сделать любой при небольшом уровне мотивации и интереса 😎
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍15🔥4🤯2
Перезагружайте свои девайсы периодически
Долго держать свои девайсы включенными (особенно компьютеры) не очень хорошо с точки зрения персональной безопасности. Ежедневно вы пользуетесь кучей программ, которые на полную катушку используют вашу оперативку, забывая подчищать за собой чувствительные данные после закрытия. Пароли, логины, данные из буфера обмена - все это хранится в оперативной памяти - кладези для хакера.
Проблема тут такая же, как и с жестким диском - после закрытия приложения данные в памяти не обнуляются, а продолжают существовать, пока другое приложение их не перезатрет. Это приводит к тому, что если в вашу систему все-таки проберется вирус и сможет просканировать оперативную память, то он сможет найти там много полезного для себя (правда определить что есть что в памяти далеко не всегда возможно).
Периодическая перезагрузка (хотя бы пару раз в неделю) зачищает всю память разом. Кстати говоря, все то время, пока у вас запущена программа, работающая с чувствительными данными в памяти, ваша безопасность снижена. Поэтому не стоит держать подолгу открытыми такие программы, как менеджер паролей - если в вашей системе живет зловред, все ваши пароли угонят, просканировав оперативную память - так что не забывайте про правило №8 😎
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Долго держать свои девайсы включенными (особенно компьютеры) не очень хорошо с точки зрения персональной безопасности. Ежедневно вы пользуетесь кучей программ, которые на полную катушку используют вашу оперативку, забывая подчищать за собой чувствительные данные после закрытия. Пароли, логины, данные из буфера обмена - все это хранится в оперативной памяти - кладези для хакера.
Проблема тут такая же, как и с жестким диском - после закрытия приложения данные в памяти не обнуляются, а продолжают существовать, пока другое приложение их не перезатрет. Это приводит к тому, что если в вашу систему все-таки проберется вирус и сможет просканировать оперативную память, то он сможет найти там много полезного для себя (правда определить что есть что в памяти далеко не всегда возможно).
Периодическая перезагрузка (хотя бы пару раз в неделю) зачищает всю память разом. Кстати говоря, все то время, пока у вас запущена программа, работающая с чувствительными данными в памяти, ваша безопасность снижена. Поэтому не стоит держать подолгу открытыми такие программы, как менеджер паролей - если в вашей системе живет зловред, все ваши пароли угонят, просканировав оперативную память - так что не забывайте про правило №8 😎
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍23❤1
Как за вами могут следить через социальные сети и мессенджеры
Каждый раз, когда вы совершаете действие в социальной сети, на сервер отправляются подробные данные о вашем действии, которые часто бывают доступны всем другим пользователям.
Самый явный тому пример - ваш статус "онлайн" или "оффлайн". Этот статус виден всем, если вы его явно не скрыли. Что это дает шпиону за вами? Самое очевидное - продолжительное наблюдение за вами и всеми вашими потенциальными собеседниками, чтобы в будущем сопоставить время вашего онлайна с онлайнами собеседников и понять, с кем вы, вероятнее всего, общаетесь и когда. Если вы стабильно общаетесь с некоторыми людьми перед сном или по утрам, то в течение 1-2 недельного периода с большой вероятностью это станет известно тому, кто наблюдает за вашим онлайном. Есть куча готовых приложений для этого, вот примеры для WhatsApp и Telegram.
Другой пример - лайки и комментарии. Получить список всех лайкнувших пост или список всех комментариев к посту - проще простого. Если мне нужно будет узнать, кому жертва симпатизирует из своих контактов в социальной сети, я просто получу список ее друзей, просканирую страницу каждого из них в поисках лайков и комментариев, а далее просто отсортирую по количеству - сразу выявятся лучшие друзья 😁
Самое интересное, что часто в UI не отображается и половина тех интересных данных, которые сервер присылает приложению мессенджера или социальной сети "под капотом", а значит научившись работать с API социальной сети, хакер может достать о жертве даже больше информации, чем вы видите на экране. Пример - в Telegram каналах админам видно только 200 последних подписчиков и не видно, когда они подписались, а на самом деле можно получить всех подписчиков с датой их подписки с точностью до секунды!
Пользуйтесь левыми аккаунтами в социальных сетях и мессенджерах, если не хотите палиться, а также скрывайте свой онлайн - благо, почти все это позволяют.
С любовью, ваш хакер 🦾
—————————————
@personal_security_consulting
Каждый раз, когда вы совершаете действие в социальной сети, на сервер отправляются подробные данные о вашем действии, которые часто бывают доступны всем другим пользователям.
Самый явный тому пример - ваш статус "онлайн" или "оффлайн". Этот статус виден всем, если вы его явно не скрыли. Что это дает шпиону за вами? Самое очевидное - продолжительное наблюдение за вами и всеми вашими потенциальными собеседниками, чтобы в будущем сопоставить время вашего онлайна с онлайнами собеседников и понять, с кем вы, вероятнее всего, общаетесь и когда. Если вы стабильно общаетесь с некоторыми людьми перед сном или по утрам, то в течение 1-2 недельного периода с большой вероятностью это станет известно тому, кто наблюдает за вашим онлайном. Есть куча готовых приложений для этого, вот примеры для WhatsApp и Telegram.
Другой пример - лайки и комментарии. Получить список всех лайкнувших пост или список всех комментариев к посту - проще простого. Если мне нужно будет узнать, кому жертва симпатизирует из своих контактов в социальной сети, я просто получу список ее друзей, просканирую страницу каждого из них в поисках лайков и комментариев, а далее просто отсортирую по количеству - сразу выявятся лучшие друзья 😁
Самое интересное, что часто в UI не отображается и половина тех интересных данных, которые сервер присылает приложению мессенджера или социальной сети "под капотом", а значит научившись работать с API социальной сети, хакер может достать о жертве даже больше информации, чем вы видите на экране. Пример - в Telegram каналах админам видно только 200 последних подписчиков и не видно, когда они подписались, а на самом деле можно получить всех подписчиков с датой их подписки с точностью до секунды!
Пользуйтесь левыми аккаунтами в социальных сетях и мессенджерах, если не хотите палиться, а также скрывайте свой онлайн - благо, почти все это позволяют.
С любовью, ваш хакер 🦾
—————————————
@personal_security_consulting
👍12🔥2
Как взломать тысячи камер по всему миру разом?
Когда чего-то становится в избытке, обычно снижается и качество этого "чего-то". Это универсальный закон, который работает и в сфере информационной безопасности: если у вас слишком много девайсов, проникнуть в вашу личную жизнь легче, чем если бы у вас был только 1 девайс. Причем чем больше девайсов у вас, тем ниже ваша безопасность, подумайте сами: где-то забыли пароль поставить, где-то софт обновить от уязвимостей, а где-то вирус прокрался к вам незаметно. Камеры наблюдения - отличный тому пример.
По всей планете куча народу устанавливает камеры наблюдения, чтобы приглядывать за своими домами, питомцами, растениями, соседями удалённо. Часто люди покупают камеры подешевле от какого-нибудь китайского производителя, что приводит к интересному комбо: продавцу все равно на безопасность, клиенту тоже. В конечном счете это приводит к тому, что куча камер из разных уголков планеты доступна каждому, кто ее сумел тупо "найти" в Интернете. А найти их не так-то и трудно: вот, например чья-то веб-камера в доме в Бразилии, вот камера в чьей-то мастерской на юге Германии, вот камера наблюдения за дорожным движением в Сербии...
Причем существуют целые сайты, сканирующие Интернет на предмет уязвимых устройств и существенно упрощающие жизнь хакерам - такие как Shodan - по запросу найдет вам любые незащищенные устройства по всему миру. Все, что подобные сайты делают, это просто регулярно сканируют Интернет и находят тысячи незащищенных устройств.
Поэтому каждый раз, когда в очередной сводке новостей вы будете видеть, что хакеры получили доступ к тысячам камер(или тысячам любых других устройств), знайте, что скорее всего, им даже не пришлось ничего взламывать 😁
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Когда чего-то становится в избытке, обычно снижается и качество этого "чего-то". Это универсальный закон, который работает и в сфере информационной безопасности: если у вас слишком много девайсов, проникнуть в вашу личную жизнь легче, чем если бы у вас был только 1 девайс. Причем чем больше девайсов у вас, тем ниже ваша безопасность, подумайте сами: где-то забыли пароль поставить, где-то софт обновить от уязвимостей, а где-то вирус прокрался к вам незаметно. Камеры наблюдения - отличный тому пример.
По всей планете куча народу устанавливает камеры наблюдения, чтобы приглядывать за своими домами, питомцами, растениями, соседями удалённо. Часто люди покупают камеры подешевле от какого-нибудь китайского производителя, что приводит к интересному комбо: продавцу все равно на безопасность, клиенту тоже. В конечном счете это приводит к тому, что куча камер из разных уголков планеты доступна каждому, кто ее сумел тупо "найти" в Интернете. А найти их не так-то и трудно: вот, например чья-то веб-камера в доме в Бразилии, вот камера в чьей-то мастерской на юге Германии, вот камера наблюдения за дорожным движением в Сербии...
Причем существуют целые сайты, сканирующие Интернет на предмет уязвимых устройств и существенно упрощающие жизнь хакерам - такие как Shodan - по запросу найдет вам любые незащищенные устройства по всему миру. Все, что подобные сайты делают, это просто регулярно сканируют Интернет и находят тысячи незащищенных устройств.
Поэтому каждый раз, когда в очередной сводке новостей вы будете видеть, что хакеры получили доступ к тысячам камер(или тысячам любых других устройств), знайте, что скорее всего, им даже не пришлось ничего взламывать 😁
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍16🤔2❤1🤯1
Как наказать нерадивого гражданина?
Все мы так или иначе попадаем в конфликтные ситуации, выйти из которых не всегда получается элегантно. Конфликты подстерегают много где: хамы на дорогах, любители громкой музыки по соседству, докопавшийся товарищ-полицейский. Большинство таких людей полагает, что за свои поступки они останутся ненаказанными. Но только если они не перешли дорогу читателям Персональной Безопасности, которые как никто в курсе цифровой разведки 🦾
Как я уже писал ранее, на просторах Интернета существует тонна предложений по сливу персональных данных граждан любого характера. Об этом мало кто знает, потому и ведут себя плохо 😁. Единственное, что вам нужно для доступа в чужую частную жизнь - иметь хоть какие-то вводные данные: ФИО, номер автомобиля, адрес прописки и т.д.
За 300 рублей вам сольют досье на любого человека, включающего в себя паспортные данные, место проживания и список зарегистрированных номеров телефонов. Далее все зависит от вашей фантазии:
➖ имея паспортные данные, можно набрать микрозаймов;
➖ зная номер телефона, можно его заблокировать или забрать себе (а если выберите второе, то из поста про двухфакторную аутентификацию, вы знаете, что можно сделать дальше с цифровой жизнью жертвы);
➖ по номеру телефона пробить аккаунты в социальных сетях (о том, как это сделать - в будущих постах) и начать написывать обидчику от имени кого-угодно (фишинг)
➖ зная место обитания и место парковки авто, можно сделать так;
➖ а в крайнем случае и при наличии хорошего бюджета, завладев информацией о месте жительства обидчика, можно натравить на него своих обидчиков.
Все это не является руководством к действию, но знать про эти возможности должен каждый - возможно, тогда и люди станут подобрее друг к другу 😎
—————————————
С любовью, ваш хакер 🦾
Все мы так или иначе попадаем в конфликтные ситуации, выйти из которых не всегда получается элегантно. Конфликты подстерегают много где: хамы на дорогах, любители громкой музыки по соседству, докопавшийся товарищ-полицейский. Большинство таких людей полагает, что за свои поступки они останутся ненаказанными. Но только если они не перешли дорогу читателям Персональной Безопасности, которые как никто в курсе цифровой разведки 🦾
Как я уже писал ранее, на просторах Интернета существует тонна предложений по сливу персональных данных граждан любого характера. Об этом мало кто знает, потому и ведут себя плохо 😁. Единственное, что вам нужно для доступа в чужую частную жизнь - иметь хоть какие-то вводные данные: ФИО, номер автомобиля, адрес прописки и т.д.
За 300 рублей вам сольют досье на любого человека, включающего в себя паспортные данные, место проживания и список зарегистрированных номеров телефонов. Далее все зависит от вашей фантазии:
➖ имея паспортные данные, можно набрать микрозаймов;
➖ зная номер телефона, можно его заблокировать или забрать себе (а если выберите второе, то из поста про двухфакторную аутентификацию, вы знаете, что можно сделать дальше с цифровой жизнью жертвы);
➖ по номеру телефона пробить аккаунты в социальных сетях (о том, как это сделать - в будущих постах) и начать написывать обидчику от имени кого-угодно (фишинг)
➖ зная место обитания и место парковки авто, можно сделать так;
➖ а в крайнем случае и при наличии хорошего бюджета, завладев информацией о месте жительства обидчика, можно натравить на него своих обидчиков.
Все это не является руководством к действию, но знать про эти возможности должен каждый - возможно, тогда и люди станут подобрее друг к другу 😎
—————————————
С любовью, ваш хакер 🦾
🔥12👍9👏1
Как вам могут отрезать связь от внешнего мира
Эффективность хакера определяется тем, как быстро он может найти готовые решения и скомбинировать их в нужное ему решение. Однажды передо мной стояла задача заглушить всю связь в округе, чтобы отрезать жертву от внешнего мира по всем каналам связи (мобильный канал, интернет, радио и т.д). В те времена я убедился, что почти под все в наше время есть готовое решение и доступное всем.
Каждый может просто пойти в магазин и купить готовую глушилку нужной мощности - послабее, или посильнее (и подороже), чтобы заглушить связь всем окружающим.
Сосед громко разговаривает по телефону поздно ночью и мешает вам спать? "Радиолюбители" громкой музыки за стенкой? Родственники, не вылезающие из Интернета? Или может кто-то хочет позвонить в полицию и доложить на вас? Вы знаете, что делать 😁
Но не забывайте, что тот же метод атаки против вас может быть применен кем угодно, так что если вы замечаете регулярные необъяснимые проблемы со своими каналами связи (радиоканалами), то знайте - возможно, вас кто-то глушит.
—————————————
С любовью, ваш хакер 🦾
Эффективность хакера определяется тем, как быстро он может найти готовые решения и скомбинировать их в нужное ему решение. Однажды передо мной стояла задача заглушить всю связь в округе, чтобы отрезать жертву от внешнего мира по всем каналам связи (мобильный канал, интернет, радио и т.д). В те времена я убедился, что почти под все в наше время есть готовое решение и доступное всем.
Каждый может просто пойти в магазин и купить готовую глушилку нужной мощности - послабее, или посильнее (и подороже), чтобы заглушить связь всем окружающим.
Сосед громко разговаривает по телефону поздно ночью и мешает вам спать? "Радиолюбители" громкой музыки за стенкой? Родственники, не вылезающие из Интернета? Или может кто-то хочет позвонить в полицию и доложить на вас? Вы знаете, что делать 😁
Но не забывайте, что тот же метод атаки против вас может быть применен кем угодно, так что если вы замечаете регулярные необъяснимые проблемы со своими каналами связи (радиоканалами), то знайте - возможно, вас кто-то глушит.
—————————————
С любовью, ваш хакер 🦾
👍13
Подключайтесь к чужим Wi-Fi точкам с осторожностью
Одним лишь VPNом не отделаться при подключении к чужой точке. Да, ваш Интернет-трафик не смогут подслушать, если вы спрячетесь за VPN, но сам факт подключения зафиксируется в журнале WiFi-точки, и владелец сможет потом посмотреть, кто и когда подключался.
Каждый раз, когда вы подключаетесь к точке Wi-Fi, имя вашего устройства (см.фото), а также MAC-адрес устройства будут "слиты" владельцу, что в будущем позволит ему зайти в параметры своего роутера и узнать, что "iPhone-Светик" или "Samsung S23 Николая" подключались к его Wi-Fi.
Поэтому будьте на чеку, если не хотите лишний раз палиться, находясь у кого-то в гостях или у себя дома, когда кого-то приглашаете 😎. Проблема усугубляется еще тем, что многие современные мобильные устройства автоматически устанавливают имя по данным из вашего облачного аккаунта, не уведомляя об этом владельца. Знаете ли вы имя своих устройств? Скорее всего нет, а значит потенциально палитесь, в то время как могли бы оставаться анонимным.
Прямо сейчас зайдите в настройки своих устройств(ноутбуки, планшеты, мобильники) и дайте им имена, которые бы не выдавали вас при подключении к чужим Wi-Fi.
—————————————
С любовью, ваш хакер 🦾
Одним лишь VPNом не отделаться при подключении к чужой точке. Да, ваш Интернет-трафик не смогут подслушать, если вы спрячетесь за VPN, но сам факт подключения зафиксируется в журнале WiFi-точки, и владелец сможет потом посмотреть, кто и когда подключался.
Каждый раз, когда вы подключаетесь к точке Wi-Fi, имя вашего устройства (см.фото), а также MAC-адрес устройства будут "слиты" владельцу, что в будущем позволит ему зайти в параметры своего роутера и узнать, что "iPhone-Светик" или "Samsung S23 Николая" подключались к его Wi-Fi.
Поэтому будьте на чеку, если не хотите лишний раз палиться, находясь у кого-то в гостях или у себя дома, когда кого-то приглашаете 😎. Проблема усугубляется еще тем, что многие современные мобильные устройства автоматически устанавливают имя по данным из вашего облачного аккаунта, не уведомляя об этом владельца. Знаете ли вы имя своих устройств? Скорее всего нет, а значит потенциально палитесь, в то время как могли бы оставаться анонимным.
Прямо сейчас зайдите в настройки своих устройств(ноутбуки, планшеты, мобильники) и дайте им имена, которые бы не выдавали вас при подключении к чужим Wi-Fi.
—————————————
С любовью, ваш хакер 🦾
👍17🔥7❤1😢1
Как скачать нужный контент с любого сайта
Часто бывает, что вы находите какой-то полезный медиа-контент (аудиоклипы, картинки и т.д), но жадный сайт не дает вам его скачивать. Те, кто давно подписаны на канал уже в курсе, что большинство защит, которые вы встречаете в цифровом мире - профанация на уровне интерфейса (пост), как и защита от скачивания.
В сфере информационной безопасности есть простое правило: нельзя защитить ту информацию, которая и так публичная. И даже если программа(браузер), через которую вы получили контент запрещает вам делать какие-то манипуляции с контентом, это не значит, что такие манипуляции запрещены в принципе 😉. Вот отличный пример сайта, который не позволяет скачивать с него картинки и видео - сайт.
Как и в вышеупомянутом посте, этот сайт решил защититься от скачивания своих картинок (можете проверить сами), однако разработчики не учли, что браузеру все равно надо как-то показать картинки пользователю, а перед показом их, очевидно, нужно скачать. Что ж, давайте посмотрим картинки с сайта в браузере без участия сайта.
Чтобы посмотреть, откуда сайт загружает свой контент, достаточно просто открыть нашу любимую консоль (обычно, F12), перейти на вкладку сеть (Network) и отфильтровать запросы по типу интересующего вас контента. Voilà, ссылка на нужную картинку и даже на видео получена.
—————————————
С любовью, ваш хакер 🦾
Часто бывает, что вы находите какой-то полезный медиа-контент (аудиоклипы, картинки и т.д), но жадный сайт не дает вам его скачивать. Те, кто давно подписаны на канал уже в курсе, что большинство защит, которые вы встречаете в цифровом мире - профанация на уровне интерфейса (пост), как и защита от скачивания.
В сфере информационной безопасности есть простое правило: нельзя защитить ту информацию, которая и так публичная. И даже если программа(браузер), через которую вы получили контент запрещает вам делать какие-то манипуляции с контентом, это не значит, что такие манипуляции запрещены в принципе 😉. Вот отличный пример сайта, который не позволяет скачивать с него картинки и видео - сайт.
Как и в вышеупомянутом посте, этот сайт решил защититься от скачивания своих картинок (можете проверить сами), однако разработчики не учли, что браузеру все равно надо как-то показать картинки пользователю, а перед показом их, очевидно, нужно скачать. Что ж, давайте посмотрим картинки с сайта в браузере без участия сайта.
Чтобы посмотреть, откуда сайт загружает свой контент, достаточно просто открыть нашу любимую консоль (обычно, F12), перейти на вкладку сеть (Network) и отфильтровать запросы по типу интересующего вас контента. Voilà, ссылка на нужную картинку и даже на видео получена.
—————————————
С любовью, ваш хакер 🦾
👍10❤3👏2
Как с вероятностью 95% оценить, что ваше устройство взломано?
Когда хакер проникает на ваше устройство, первое, что он хочет сделать, это наладить обратную связь с вашим устройством, чтобы в будущем беспрепятственно отправлять ему команды и получать на них ответы (например, "отправь мне документы из такой-то папки"). Обратная связь невозможна без сетевого взаимодействия устройства с сервером в Интернете. И это то, что позволит выявить подавляющее большинство хакеров у вас на устройстве - анализ Интернет-трафика.
Существует много утилит для наблюдения за трафиком на самом устройстве. Но самым надежным вариантом будет поднять собственную Wi-Fi точку и воспользоваться бесплатной (и Opensource-ной) программой Wireshark, которая не пропустит ни одно сетевое взаимодействие. Вот алгоритм действий, который вам нужно выполнить, чтобы обнаружить хакеров у себя на устройстве:
▪️ Поднимите Wi-Fi на своем компьютере (mac или windows)
▪️ Подключитесь к точке устройством, которое вызывает у вас подозрение (другим компьютером, телефоном и т.д)
▪️ Закройте все доверенные сетевые приложения на компьютере и на подключенном устройстве (мессенджеры, браузеры, облачные хранилища и т.д)
▪️ Установите и запустите программу Wireshark на компьютер, где поднят Wi-Fi
▪️ Оставьте компьютер и устройство на ночь включенными, чтобы накопились данные по сетевому взаимодействию за адекватный срок
▪️ Утром в программе Wireshark посмотрите все соединения, которые произошли за ночь: "Статистика"->"Диалоги" (см. скриншот поста)
▪️ Пробейте IP адреса из списка на предмет принадлежности их безымянным компаниям. Сайт ipinfo вам в этом поможет.
▪️ Если не можете объяснить, откуда в списке некоторые IP адреса, то вы в зоне риска
Способ с поднятием собственной Wi-Fi точки позволит вам не упустить ни одного взаимодействия устройства с подозрительными серверами, однако вы можете обойтись только программой Wireshark, запустив ее на своем компьютере и проверить только его на предмет взлома.
———————————————————
С любовью и заботой, ваш хакер 🦾
Когда хакер проникает на ваше устройство, первое, что он хочет сделать, это наладить обратную связь с вашим устройством, чтобы в будущем беспрепятственно отправлять ему команды и получать на них ответы (например, "отправь мне документы из такой-то папки"). Обратная связь невозможна без сетевого взаимодействия устройства с сервером в Интернете. И это то, что позволит выявить подавляющее большинство хакеров у вас на устройстве - анализ Интернет-трафика.
Существует много утилит для наблюдения за трафиком на самом устройстве. Но самым надежным вариантом будет поднять собственную Wi-Fi точку и воспользоваться бесплатной (и Opensource-ной) программой Wireshark, которая не пропустит ни одно сетевое взаимодействие. Вот алгоритм действий, который вам нужно выполнить, чтобы обнаружить хакеров у себя на устройстве:
▪️ Поднимите Wi-Fi на своем компьютере (mac или windows)
▪️ Подключитесь к точке устройством, которое вызывает у вас подозрение (другим компьютером, телефоном и т.д)
▪️ Закройте все доверенные сетевые приложения на компьютере и на подключенном устройстве (мессенджеры, браузеры, облачные хранилища и т.д)
▪️ Установите и запустите программу Wireshark на компьютер, где поднят Wi-Fi
▪️ Оставьте компьютер и устройство на ночь включенными, чтобы накопились данные по сетевому взаимодействию за адекватный срок
▪️ Утром в программе Wireshark посмотрите все соединения, которые произошли за ночь: "Статистика"->"Диалоги" (см. скриншот поста)
▪️ Пробейте IP адреса из списка на предмет принадлежности их безымянным компаниям. Сайт ipinfo вам в этом поможет.
▪️ Если не можете объяснить, откуда в списке некоторые IP адреса, то вы в зоне риска
Способ с поднятием собственной Wi-Fi точки позволит вам не упустить ни одного взаимодействия устройства с подозрительными серверами, однако вы можете обойтись только программой Wireshark, запустив ее на своем компьютере и проверить только его на предмет взлома.
———————————————————
С любовью и заботой, ваш хакер 🦾
👍10🤔4❤3
Как безопасно передавать секретную информацию через Интернет?
Логины, пароли, ключи доступа - все это нельзя передавать по сети в открытом виде(в мессенждерах, социальных сетях и т.д), потому что второе, что будет делать хакер, проникнувший в вашу систему, после закрепления в ней (если не первое) - это высасывать максимум ценной информации из ваших файлов и переписок.
Как защищать файлы, я уже рассказывал ранее, с переписками все еще проще. Для этого существуют сервисы, которые "принимают" ваш секрет, генерируют на него одноразовую ссылку и предоставляют эту ссылку вам, чтобы вы могли ее отправить тому, кто так нуждается в вашем секрете. Открыв ссылку 1 раз, второй раз ее уже никто открыть не сможет, после открытия секрет будет уничтожен.
Вот некоторые из таких сервисов, которые я могу рекомендовать с точки зрения безопасности (все они, конечно же Opensource-ные):
▪️OneTimeSecret (один из первых в своем роде)
▪️SendSecure (автор - известная компания по безопасности)
▪️Scrt (а тут можно даже файл пошарить как секрет)
Возьмите себе установку - каждый раз, когда хотите передать какой-то секрет по сети(и другого выхода у вас нет), отправляйте собеседникам одноразовые ссылки с самоуничтожением секрета. В таком случае даже если взломают вашего собеседника, ваш секрет останется в безопасности. А как правильно хранить сами секреты, вы уже знаете.
———————————————————
С любовью и заботой, ваш хакер 🦾
Логины, пароли, ключи доступа - все это нельзя передавать по сети в открытом виде(в мессенждерах, социальных сетях и т.д), потому что второе, что будет делать хакер, проникнувший в вашу систему, после закрепления в ней (если не первое) - это высасывать максимум ценной информации из ваших файлов и переписок.
Как защищать файлы, я уже рассказывал ранее, с переписками все еще проще. Для этого существуют сервисы, которые "принимают" ваш секрет, генерируют на него одноразовую ссылку и предоставляют эту ссылку вам, чтобы вы могли ее отправить тому, кто так нуждается в вашем секрете. Открыв ссылку 1 раз, второй раз ее уже никто открыть не сможет, после открытия секрет будет уничтожен.
Вот некоторые из таких сервисов, которые я могу рекомендовать с точки зрения безопасности (все они, конечно же Opensource-ные):
▪️OneTimeSecret (один из первых в своем роде)
▪️SendSecure (автор - известная компания по безопасности)
▪️Scrt (а тут можно даже файл пошарить как секрет)
Возьмите себе установку - каждый раз, когда хотите передать какой-то секрет по сети(и другого выхода у вас нет), отправляйте собеседникам одноразовые ссылки с самоуничтожением секрета. В таком случае даже если взломают вашего собеседника, ваш секрет останется в безопасности. А как правильно хранить сами секреты, вы уже знаете.
———————————————————
С любовью и заботой, ваш хакер 🦾
❤5👍3🔥2
Как вытащить файл с компьютера, на котором вас ограничили в передаче файлов во внешний мир?
Если вы работаете внутри плюс-минус состоявшейся организации, то наверняка не раз сталкивались с блокировками ваших действий файрволлом. Любой файрволл существует по одной причине - вам не могут просто взять и отрезать весь Интернет полностью (потому что он нужен для полноценной работы), поэтому службе безопасности приходится "изворачиваться" и блокировать вам Интернет точечно.
К каким последствиям это приводит? Да к самым очевидным: блокируются только очевидные пути утечки данных, а "изощренные" из разряда "продвинутого пользователя" игнорируются (часто из-за того, что службы безопасности сами не в курсе таковых).
Вот, например, нужно вам вытащить во внешний мир какой-то файл с рабочего места, что вы будете делать? Большинство тех, кто с нами недавно, подумают залогиниться в какое-нибудь облачное хранилище(чего делать ни в коем случае нельзя не на своих девайсах), и пошарить файл. Служба безопасности думает точно также, потому в "черный список" корпоративного файрволла она уже давно занесла все мессенджеры, Dropbox, iCloud, Google/Yandex диски и т.д.
Но думает ли служба безопасности, что файл можно превратить в обычную строку, а строку разместить, например, в блоге на Яндекс.Дзене/Хабре/Google или на сервисе обмена секретами? Как показывает практика, в 95% случае - нет.
Есть такой стандарт кодирования любой цифровой информации - Base64 - он преобразует любые данные в последовательность букв и цифр, которую можно также легко раскодировать обратно. Поэтому если вдруг вам однажды понадобится "вытащить файл", зайдите с корпоративного ПК в Google, найдите там любой сервис по преобразованию файлов в Base64-строку и сохраните ее где-нибудь в Интернете (желательно только не публично). Ну а после рабочего дня уже со своего личного компьютера зайдите в то место Интернета, где вы сохранили строку и проверните над ней обратную операцию по преобразованию уже в файл.
———————————————————
С любовью и заботой, ваш хакер 🦾
Если вы работаете внутри плюс-минус состоявшейся организации, то наверняка не раз сталкивались с блокировками ваших действий файрволлом. Любой файрволл существует по одной причине - вам не могут просто взять и отрезать весь Интернет полностью (потому что он нужен для полноценной работы), поэтому службе безопасности приходится "изворачиваться" и блокировать вам Интернет точечно.
К каким последствиям это приводит? Да к самым очевидным: блокируются только очевидные пути утечки данных, а "изощренные" из разряда "продвинутого пользователя" игнорируются (часто из-за того, что службы безопасности сами не в курсе таковых).
Вот, например, нужно вам вытащить во внешний мир какой-то файл с рабочего места, что вы будете делать? Большинство тех, кто с нами недавно, подумают залогиниться в какое-нибудь облачное хранилище(чего делать ни в коем случае нельзя не на своих девайсах), и пошарить файл. Служба безопасности думает точно также, потому в "черный список" корпоративного файрволла она уже давно занесла все мессенджеры, Dropbox, iCloud, Google/Yandex диски и т.д.
Но думает ли служба безопасности, что файл можно превратить в обычную строку, а строку разместить, например, в блоге на Яндекс.Дзене/Хабре/Google или на сервисе обмена секретами? Как показывает практика, в 95% случае - нет.
Есть такой стандарт кодирования любой цифровой информации - Base64 - он преобразует любые данные в последовательность букв и цифр, которую можно также легко раскодировать обратно. Поэтому если вдруг вам однажды понадобится "вытащить файл", зайдите с корпоративного ПК в Google, найдите там любой сервис по преобразованию файлов в Base64-строку и сохраните ее где-нибудь в Интернете (желательно только не публично). Ну а после рабочего дня уже со своего личного компьютера зайдите в то место Интернета, где вы сохранили строку и проверните над ней обратную операцию по преобразованию уже в файл.
———————————————————
С любовью и заботой, ваш хакер 🦾
👍12🔥2❤1