fenix

Эксперт
Команда форума
Судья
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐⭐⭐⭐⭐
Private Club
Регистрация
26/8/16
Сообщения
9.688
Репутация
53.002
Реакции
52.775
RUB
10.000
Депозит
300 000 рублей
Сделок через гаранта
208


В данной теме будут добавляться сайты, проекты, боты и тд. по безопасности в сети, обзору кибербезопасности.
Мы не призываем к их использованию.

— iOS-файервол со встроенным VPN.

Что такое «файервол» (иногда его называют «брандмауэр»)? Говоря простым языком, это система, которая предотвращает несанкционированный доступ к сети. Файервол играет роль вышибалы, стоящего на входе: идентифицирует каждого, кто пытается войти. Любая попытка несанкционированного доступа блокируется автоматически! Эта штука добавляет важный уровень защиты в механизм передачи данных.

iOS-версия «огненной стены». Настоящий раритет для «яблочных»! Объясним: если найти файервол для Android относительно легко, — достаточно хорошо поискать в F-Droid или Aurora Store, — то в случае с ОС от Apple всё гораздо печальнее. Годных предложений практически нет! Как и комплексных решений для защиты данных (Lockdown Privacy также имеет встроенный VPN).

КРИТИЧЕСКИ ВАЖНО: исходный код открыт. Делаем такой акцент не просто так: это должно быть определяющим критерием отбора утилит. Почему? Все лгут!
 
— реальная практика OSINT.

Лучший способ прокачать навык — практика. И OSINT — это такой же скилл, как управление автомобилем или программирование. Вы никогда не освоите разведку, пока не отправитесь в неё лично! И задач-то вроде хватает — собрать информацию о симпатичной соседке этажом выше, пробить фейковый аккаунт обидчика, проверить достоверности новостей.

Но, скажите честно, далеко продвинулись? Обычно дело не заходит дальше чтения материалов на ресурсах вроде нашего. Мы ошиблись? Значит, вы всё-таки тренируетесь в полевых условиях? Отлично! Жмём руку. Но что, если есть вариант покруче? Представьте, что в практику внедрены игровые механики, а ваши «напарники» — представители мирового комьюнити. Когда в процессе есть элементы фана, мотивация возрастает десятикратно.

— это небольшая веб-игра. Здесь вы случайным образом попадаете почти в любую точку мира (Google Street View). Задача — «геолокировать» себя. Вам придётся работать с номерными знаками, уличными указателями, климатом и т.д. Это отличная возможность не только освоить, но и проверить навыки! Может быть, вы крутой спец и «на спокойном» выполняете стандартные задания. Но вот в один момент вы внезапно просыпаетесь на другом краю света. Выберетесь?
 
предохранитель для «режима инкогнито».

Для многих (да, такие существуют) «режим инкогнито» — это такой мини- . Якобы он не хранит логи, и никто не может узнать, кто там посещает этот подозрительный сайт. Ну, это, как бы так помягче сказать... тупо!

Да, в «режиме инкогнито» история браузера остаётся чистой. НО! Только для других пользователей PC. Доступ к этим данным — он открыт для интернет-провайдера? Да! А владелец Wi-Fi-точки в кафе может посмотреть? Может! Как и администратор локальной сети в офисе.

Настоящая конфиденциальность — это . Виртуальная частная сеть скрывает IP-адрес и заменяет его «фейковым». Если вас разыскивает Интерпол, этого мало, но для простого смертного здесь раздолье — гуляй, не хочу!

«Тогда к чему этот пост? Инкогнито же отстой!» — скажете вы. Не совсем. Всё зависит от ваших целей. Допустим, задача пользователя — скрыть интернет-активность от сожителей. Не больше! Тогда почему бы и не «инкогнито»?

А с расширением вы укрепите самое уязвимое звено для хакерских атак — человеческий фактор. Мы, люди, забывчивые. Мы рассеянные. Это нормально! И бороться с естеством — так себе вариант. А вот компенсировать — уже получше! Auto Incognito Mode автоматически открывает сайты в «режиме инкогнито». Ваша зона ответственности — всего-то заранее добавить эти самые сайты в список. И всё!
 
Как узнать, какие данные собирает конкретный сайт.

Все знают, что Большой Брат вездесущ: веб-трекинг, cookie и далее по списку. У каждого пользователя уникальный идентификатор, и если владелец не подменяет данные, его очень быстро, что называется, спалят. Sad story! Обычно сайты собирают эту информацию в маркетинговых целях, но мы считаем, что полная анонимность — это полная анонимность. Никаких полумер! Вы должны быть невидимкой всегда и везде.

О'кей, значит, мы знаем, что интернет — «недружелюбное» место (а ведь брать без спроса — что это, если не моветон?). Но, допустим, есть конкретный сайт. Какие данные он собирает? Чем мы рискуем, когда посещаем его? — вот ответ. Сервис сканирует веб-страницу и выявляет, какие технологии отслеживания используются. Здесь и рекламные трекеры, и сбор отпечатков браузера, и отслеживание движения мыши, и клики, и прокрутки... В общем, и себя обезопасите, и новое что, возможно, узнаете.

А всё, что требуется, — просто ввести адрес нужной страницы. И ведь интересно, какие данные собирает сайт Навального или, например, Bellingcat. Даже просто из любопытства? Вы ведь слышали, что внешность обманчива? Не нагнетаем!
 
— уникальное приложение для защиты данных.

Помните того плохого парня со взрывчаткой? Из боевика. «Убьёшь меня — здание с заложниками взлетит на воздух» — вот такое условие он ставил герою. И последний оказывался в цейтноте, ведь это не понты — выключатель, который приводит устройство в действие, удерживается в положении «off» только до тех пор, пока пульс на руке подрывника подаёт признаки жизни. Если его убьют, бомба взорвётся!

Вот это и называется «Переключатель мёртвого человека». Систему используют везде: в локомотивах, грузовых лифтах, газонокосилках, тракторах, персональных водных мотоциклах, подвесных моторах, бензопилах, снегоуборщиках, беговых дорожках, снегоходах, аттракционах... в общем, реально везде. И нашим ИБ-целям она тоже может послужить. Причём ой как хорошо!

— это защитное приложение, которое работает по принципу «Переключатель мёртвого человека». Вот есть важные данные и есть вы, их хранитель. Представим, что вас нейтрализовали (шут его знает, кто тут чем занимается). Ну, или просто отняли доступ к источнику этих самых данных. В общем, случилось что-то неожиданное! В таком случае Dead Switch отправит электронное письмо указанным вами лицам.

Вот как работает механика: через определённый промежуток времени (вы указываете его сами) приложение требует ввести установленные логин и пароль. Не ввели? Dead Switch воспримет это как сигнал SOS, и электронное письмо отправится адресату. Такие дела!
 
Как пробить человека по фото. Часть 1

Что человека можно пробить по фотографии, не знали разве что древние греки. Даже один снимок может дать потрясающий результат! Причём многовекторный. Взять, например, геолокацию — она определяется (как минимум) двумя способами: метаданные и задний фон. И всё это — автоматизированная работа сервисов. Загружай себе фоточки, да смотри, что в выдаче. «Вы про Search4faces собрались рассказывать? Каменный век же!» — скажете вы. Да, тема не fresh, но хотя поле это и паханое, пару бороздок дачник всё-таки пропустил.

Начнём? У любой фотографии есть метаданные — дата и название модели устройства. Всё? Нет. Если фото редактировали, это тоже остаётся в «памяти». А иногда так вообще можно сразу же определить ГЕО. Но последнее — случай, надо сказать, достаточно редкий.

Начинать поиск лучше именно с EXIF (те самые метаданные). Как их, окаянных, вытащить? Это под силу любому устройству. НО! Добычу, так сказать, нужно освежевать. На классической охоте для этого используют нож, но наша охота — она немного другая. И подход здесь другой. Так что «вооружимся» специальными программами для расширенного просмотра.

1️⃣ — одна из таких утилит. Она считывает не только EXIF, но и GPS, XMP, IPTC, JFIF, GeoTIFF, ICC Profile, Photoshop IRB и др. Приложение бесплатное, поддерживает как Windows, так и macOS.

2️⃣ — аналог ExifTool. Точно так же определяет EXIF. Всё, чем отличается, — не требуется установки на PC.

3️⃣ — ещё один софт для определения метаданных. Дополнительный функционал: ищет другие фото, сделанные с устройства.

4️⃣ — сервис, который показывает место съёмки на карте (при условии, что в метаданных нашлась информация о ГЕО).

5️⃣ — сервис, который проверяет фото на наличие признаков обработки.

6️⃣ — уникальный сервис, который определяет место съёмки по солнцу. Точность — высокая.

В чём проблема метаданных? Да-да, всё совсем не так радужно, как могло показаться, — потому что их легко можно стереть. Любым редактором! А пользуется им практически каждый. К тому же есть для удаления EXIF. Не все такие умные и знают, что к чему в инфосеке, но какой-то процент всё-таки разбирается, так что... ставить только на метаданные — быть идиотом. Ну правда!

Для справки: Instagram, Facebook, Twitter и VK стирают метаданные автоматически, а вот Google+, Google Photo, Flickr, Tumblr — нет.

Прозвучит глупо, но начинайте поиск с... поисковиков! Нет, это не ошибка. И, да, речь о «Яндексе», Google, Mail.ru, Bing, Tinye и т.д. Если бы Telegram позволял, мы бы вставили здесь изображение Энакина Скайуокера. Того самого — с фразой «Ты недооцениваешь мою мощь!» в речевом облаке. А заместо лица прилепили бы логотипы перечисленных компаний. Это на самом деле так! В кэше поисковиков хранится ну просто необъятнейшее количество изображений, в том числе из соцсетей. Конечной цели можно достичь уже на этом этапе. Ну а если нет, тогда идём дальше.

Иногда само фото — уже ответ. Всё, что нужно, — изучить объекты на заднем фоне. Это может быть вывеска, кафе, улица... всё, что может дать подсказку! В какой стране сделан снимок? Что это за город? А улица? Имеющий глаза — да увидит.

К тому же есть вот такая штучка — . Она поможет с технической и исторической составляющей. Чтобы вы понимали, это огромная база знаний и потрясный набор вычислительных алгоритмов. Её возможности практически безграничны!
 
Как пробить человека по фото. Часть 2

Ну что, настал черёд распознания лиц? Объективно самая интересная часть исследования. И блок этот, что бы вы там ни подумали, не Search4faces единым. Собрали здесь очевидное (грешны, каемся) и неочевидное. Но последнего — больше!

1️⃣ — сервис, который позволяет скачать полноразмерную аватарку из Instagram.
2️⃣ — аналог FindFace (R.I.P.). Собирает информацию о профиле VK. Сильная сторона: большой архив исторических данных.
3️⃣ — сервис для сравнительного анализа фото. Есть подозрение, что на двух разных фото один и тот же человек? Проверьте!
4️⃣ — сервис, который ищет первоисточник снимка, а также всех связанных доменов.
5️⃣ — сервис для поиска похожих изображений и связанных с оригиналом сайтов.
6️⃣ — здесь можно скачать фото пользователей VK из указанного города, а затем сформировать эти данные в базу биометрических данных. С привязкой к профилям!
7️⃣ — сервис, который позволяет определить возраст человека на снимке.
8️⃣ — сравнение лиц.

Следующий раздел — поиск по картам и описанию. Вот допустим, вам удалось определить примерный район или приблизительную местность съёмки. О'кей! Что дальше? Google Maps, а если точнее, Street View. Кто-то, возможно, удивится, но процент успешного поиска по этой методе — запредельный. Чекайте раздел со спутниковыми снимками. Это ваш верный слуга, товарищ и брат.

1️⃣ — сервис с расширенными возможностями для поиска на карте.
2️⃣ — сайт сообщества картографов, которые добавляют и обновляют данные о дорогах, тропах, кафе, вокзалах и других объектах по всему миру.

Лайфхак: если на фото с целью есть уникальные объекты, которые можно описать словами, можно попробовать вбить в поисковик запрос (на русском или английском).

«А если не получается?» — спросите вы. Такое бывает. Например, на заднем плане горы, и объять их количество ну просто невозможно. — вот что может поправить положение. Здесь можно отфильтровать запрос по всему что угодно. Вот взять те же горы, — выбираем "Показать все горные массивы" и изучаем карту, пока не найдём что-то похожее. Кропотливо? Ну да! Таков путь.

Подрезюмируем? Этих инструментов хватит, чтобы провести комплексный пробив по фото. Но конечная ли это? Да нет конечно. Мы всего лишь собрали всё, что используется в повседневке. И используется эффективно! Но OSINT безграничен.
 
  • Нравится
Реакции: Crypt91 и Zarik3232
Zarik3232 20 балл(ов) Наполнение форума полезной информацией
— поймать хакера на живца.

В 2016-ом году на имиджборде «Двач» транслировали специфичное интернет-шоу, которое вёл неизвестный хакер. «Ведущий» взламывал веб-камеры случайных пользователей сети и наблюдал за их действиями. А чтобы зрители не заскучали, включал на компьютерах жертв порно, вступал с ними в переписку и выкладывал их личные данные в общий доступ. Весело? Не очень. Идём дальше!

В 2014-ом году «Би-би-си» об одном российском сайте. Ну, в принципе, сайт и сайт, ничего такого. Единственное — транслирует веб-камеры по всему миру! Как тебе такое, Илон Маск? Две с половиной тысячи каналов из США, две из Франции и полторы из Нидерландов. Плевать на ИБ? Тогда мы идём к вам!

А разоблачительные показания Эдварда Сноудена? У АНБ есть доступ к миллионам веб-камер. Злоупотребляют им или нет, — не суть важно. А вот что на ус мотнуть нужно, да как следует: абсолютно не взламываемых технологий не существует.

Мораль: веб-камеру надо деактивировать. Срочно! Способов много: кто-то заклеивает, кто-то покупает портативную крышку. Отчаянные криптоанархисты принимают такие же отчаянные меры — демонтаж. Есть и специальный софт, который блокирует вебку. Но всё это — более менее известно.

А вот — нет. Тут цель немного другая: не лишить хакера «глаз», а поймать его на месте преступления. Софт отображает процессы и приложения, которые используют веб-камеру. Несанкционированный доступ? NOT IN MY HOUSE!

Вернёмся к двачевскому стриму из 2016-го. Представим, что тот самый хакер, прокляни его цифровые боги, взял на прицел вас. Он предвкушает победу: очередной лопух развеселит зрителей, а счётчик доната поползёт вверх. План-капкан! Прямо как в сериале «Мистер Робот»: крутой хакер нагибает систему, и всё на глазах у восхищённой толпы. Но не тут-то было! Process Explorer превращает охотника в жертву. А как воспользоваться доминирующим положением — это уже задачка для пранкеров.
 
Веб-архивы как OSINT-инструмент.

Веб-архив — своеобразная машина времени. Там хранятся все версии сайтов. В чём ценность? Доступ к полной информации. За всю историю существования сайты обновляются чуть ли не каждый месяц. При этом «официально» вы видите только одну версию — которая актуальна прямо сейчас. Это как учебник истории: что напечатать, решает номенклатура. Информация дискредитирует? На свалку! Так вот веб-архив — и есть та самая свалка. Вот несколько таких:

1️⃣
2️⃣
3️⃣
4️⃣

Undelete — босс этой качалки. Потому что он отслеживает аккаунты из соцсетей. Там можно найти удалённые посты, фотографии, видео и др. И, да, пусть вас не смущает слово "свалка". Если вы зашли на сайт с конкретной целью, достичь её — пара кликов, и готово. Склад — пожалуй, вот более подходящее определение. Склад, где всё аккуратненько разложено по полочкам и ждёт своего разоблачителя.
 
— защита от фишинга.

Фишинг — детская забава? О'кей, вот немного статистики: в 2004 году жертвы фишеров потеряли 2,4 млрд долларов США, в 2006 году ущерб составил 2,8 млрд долларов, в 2007 — 3,2 миллиарда. Да, она старовата, но, как говорят на теневых форумах, «новый мамонт рождается каждый день». Глобально ничего не меняется.

Положение усугубляет Google, который пропускает мошенников в ТОП поисковой выдачи — злоумышленники продвигают фишинговые сайты через AdSense. В 2021 из-за этого сильно пострадала Dodo Pizza — компания 2.700.000₽ всего за 3 месяца. В этот период функционировало примерно 172 скамерских сайта.

«Да я-то что? Дурачка нашли что ли?» — скажете вы. Знания и опыт — хорошо. НО! Умён тот, кто всегда допускает, что может ошибиться. Поэтому — must have для всех. Это расширение пробивает сайт по огромной базе, в которой все криптобиржи, банки, букмекерские конторы и т.д. Причём в учёт идёт не только URL, но и другие параметры: хостинг, SSL-сертификат, дата создания и т.д. Это комплексный пробив.

Ещё раз. Вася считает, что он всё знает лучше всех. А Коля всегда сомневается: много думает, анализирует, просчитывает, предохраняется. Вася никогда не поймёт, что факапнулся, — потому что он «самый умный» и не может ошибиться. Это называется «стагнация»! А Коля, наоборот, считает себя уязвимым, а потому никогда не теряет бдительность. В итоге Коля на коне, а Вася — нет. Будьте как Коля!
 
— анонимный мессенджер.

Чтобы наши сообщения читали чужие люди, — никто этого не хочет. Или существует разновидность мазохизма, о которой мы не знаем? Неважно! В мессенджерах решаются судьбы бизнес-сделок, отправляются интимные фотографии, покупаются Орудие и наркотики. Сказать, что пользователь должен быть уверен в своей безопасности, — не сказать ничего. Даёт ли гарантию Telegram? Если и да, то рассказывать Павлу Дурову об этом только в школе.

— защищённое приложение для обмена сообщениями. Для регистрации не требуется указывать почту или номер телефона. Что вместо? Назначается Session ID. Бездомного нельзя оштрафовать как шумного соседа, потому что у него нет квартиры. Точно так же Session нельзя обвинять в утечке персональных данных. Потому что у компании нет серверов! Маршрутизация проходит через участников.

Session можно использовать на компьютере, ноутбуке, телефоне и других гаджетах. Одновременно! Условие: наличие синхронизации ключей между двумя устройствами.
 
Как подменить геолокацию в приложениях.

Мобильные приложения запрашивают доступ к геоданным. И, да, иногда это оправданно — например, чтобы оповещать о пробках или находить рестораны поблизости. Но известно, что эти данные также продаются рекламодателям и ритейлерам. В общем, ничего хорошего! Чтобы избавиться от «слежки», нужно изменить настройки на своём устройстве.

— это приложение, которое в один клик подменяет информацию о местоположении. Из дополнительных опций: возможность симулировать маршрут. При этом скорость и время пребывания настраиваются. Идеальное преступление!

Для справки: журналисты NYT изучили базу с данными более миллиона смартфонов в районе Нью-Йорка. В ней есть подробные маршруты людей, и в некоторых случаях информация обновлялась по 14 000 раз в день. Как пример приводят учительницу Лизу Магрин. Приложение обновляло информацию о её местонахождении каждые две секунды. Куда ездила Магрин? Как долго была там? Всё фиксировалось.
 
— безопасная электронная почта.

Когда вы отправляете письмо, допустим, c Mail.ru на Yandex.ru, сообщение может быть перехвачено минимум 7 раз: на компьютере отправителя, при передаче на сервер Mail.ru, на сервере Mail.ru, при передаче из Mail.ru на Yandex.ru, на серверах Yandex.ru, при передаче на компьютер адресата и наконец на компьютере получателя. BOOM! Причём даже если участники переписки примут меры безопасности, всё равно придётся полагаться на защиту Mail.ru и Yandex.ru. Такие дела!

— это бельгийский сервис безопасной электронной почты. Здесь нет отслеживания: никакой рекламы, никакого спама, никаких бэкдоров, никакой государственной слежки. MailFence поддерживает шифрование GnuPrivacy Guard (GPG) и не выдаёт данные пользователей третьим лицам. В Бельгии очень строгий закон о защите конфиденциальности!

В комплекте идёт интегрированный набор инструментов: календари, документы, контакты-группы... Почему MailFence? Простота использования и реальная безопасность!
 
— продвинутый генератор паролей.

У нас выходило много постов на тему паролей. Они должны быть сложными: состоять из букв верхнего и нижнего регистра, цифр и спецсимволов. Чем их больше, тем лучше! Но с этим проблема: чтобы запомнить такую комбинацию, нужно владеть чёрным поясом по мнемотехникам.

У большинства таких регалий нет, поэтому мы рассказывали об особенном способе — заложить в основу пароля фразу. И вот дополнение для самых ленивых — . Этот бот генерирует комбинации в виде стихов Пушкина. Возьмём, например, «Любовью; может быть, и Узница моя». И вот что на выходе: «Lyubovyu-mozhet5)».

Чем чаще меняете пароль, тем больше дам покорится романтику! Хотя кому это сейчас нужно... В общем, главное — с пароль-фраза подбирается быстро и легко. И запоминается она точно так же.
 
— безопасная альтернатива Google Docs.

Юваль Ной Харари, израильский историк и футуролог, написал книгу «21 урок для 21 столетия». Google там сравнивается с испанской инквизицией и КГБ. Компания собирает громадные массивы личных данных и попадает в скандал каждый год: в одном только 2018-ом пострадало 52,5 миллиона пользователей. Журналисты, эксперты и отдельные страны ЕС давно заклеймили Google как шпионский сервис.

Вывод: пользоваться Google Docs — всё равно что давать согласие на кастрацию. И ладно бы альтернатив не было. Но они же есть! Вот, пожалуйста — . Это такой же онлайн-пакет для создания документов, электронных таблиц, презентаций и т.д. НО! Здесь всё зашифровано. Причём не «зашифровано», а именно зашифровано — исходный код открыт.

Google Docs — это индексация документов поисковиками, систематические сливы и продажа данных третьим лицам. CryptPad — сквозное шифрование, ограниченный доступ (даже администраторы сервиса не смогут открыть ваши документы) и здоровые нервы. CryptPad — бро, Google Docs — не бро.
 
Как спрятать файл в изображение.

Как спрятать приватные данные? Зашифровать. Но когда доступ к разделу ограниченный — это подозрительно. Домочадцы не поймут. Подумают: «Он что-то скрывает. Может, начал продавать метамфетамин?». Другое дело — когда файл спрятан у всех на виду. В обычной .jpg-картинке на рабочем столе!

шифрует данные и маскирует их под изображение. Вот список поддерживаемых форматов: bmp, wbmp, gif, jpeg (jpg) и png. Выбираем файл → подбираем картинку → устанавливаем пароль. Готово! Важно: если «партизан» откроет тайник программой для просмотра изображений, он увидит именно изображение. Никаких «Введите код доступа». Чтобы такое окно появилось, нужно открыть файл архиватором.

У OpenStego есть ещё одна фишка: можно добавить водяные знаки с невидимой подписью. Зачем это? Чтобы файл не копировали без вашего ведома. Когда на нём стоит watermark, вы всегда узнаете, что на корабле завелась крыса.
 
Спалили: как узнать, что ваш знакомый работает в порноиндустрии.

Вебкаминг — лёгкие и быстрые деньги. И в отличие от проституции, здесь нет физического контакта. А ещё это анонимно (как считают сами модели). Но они всё равно торгуют телами? Верно. И всё же десятки тысяч студенток не видят тут ничего предосудительного. Мораль? Да шут с ней!

Вы о чём вообще? Она зачёты на одни пятёрки сдаёт! Какая порноиндустрия?

Внешность обманчива. Тем более дело не только в деньгах. У некоторых есть психические травмы: они любят, когда на них смотрят, любят чувствовать себя желанными и иметь власть над мужчинами. Сотни щедрых поклонников, доверяющих тебе секреты, — вот что такое вебкаминг. Здесь становятся звёздами.

А если вы всё-таки заподозрили человека, так просто его не найдёшь: вебкам-модели используют фейковые имена и псевдонимы, а поиск по фотографии через Google или «Яндекс» — мёртвый ход. НО! Будь всё так радужно, мы бы не продавали услуги по ИБ. К сожалению для camwhores, Ньютон не соврал: у любого действия есть противодействие.

Примечание: публикуем эту информацию только потому, что она может помочь в OSINT-расследованиях. А ещё как предостережение — не шутите с интернетом.

— это база из 2 миллионов вебкам-моделей. Вот список обрабатываемых ресурсов: Chaturbate, MyFreeCams, CamSoda, BongaCams, Cam4, LiveJasmin, Streamate, StripChat, Flirt4Free, StreamRa. Чтобы запустить поиск, надо зайти в и загрузить фото. Сервис показывает похожих моделей, определяет процент «одинаковости» и указывает, на каком сайте цель выходит в эфир. DETECTED!

Подозреваем, это только начало. Фундамент! Идею подхватят энтузиасты (а такие найдутся), и проект разовьётся до масштабов FindFace. Скоро ты либо вебкам-модель и не стесняешься свой работы, либо пора учиться зарабатывать по-другому. А теперь вопрос: хорошо это или плохо?
 
Деанонимизация по движениям мыши: мифы и реальность.

Владельцы коммерческих сайтов следят за пользователями и анализируют их поведенческие паттерны: сколько времени проведено на странице, какие разделы заинтересовали, в какой последовательности посещались. работает примерно по такому же принципу: регистрирует динамику движения целевой мыши. Это как : каждый оставляет уникальный след.

Если установите программу, её разработчики сохранят ваш email- и MAC-адрес на своих серверах. А потом начнут собирать данные, — перемещения курсора, клики, прокрутка, — чтобы идентифицировать вас. Когда они закончат, на ваш email придёт письмо. ВАС ЗАМЕТИЛИ! Ну, или не придёт. Но обычно приходит.

Mouselogger — это исследовательский проект студентов Равенсбургского университета из Трансильвании. Они хотят доказать, что пользователей можно деанонимизировать по поведенческим паттернам мыши.
 
Как спрятать файл в изображение.

Как спрятать приватные данные? Зашифровать. Но когда доступ к разделу ограниченный — это подозрительно. Домочадцы не поймут. Подумают: «Он что-то скрывает. Может, начал продавать метамфетамин?». Другое дело — когда файл спрятан у всех на виду. В обычной .jpg-картинке на рабочем столе!

шифрует данные и маскирует их под изображение. Вот список поддерживаемых форматов: bmp, wbmp, gif, jpeg (jpg) и png. Выбираем файл → подбираем картинку → устанавливаем пароль. Готово! Важно: если «партизан» откроет тайник программой для просмотра изображений, он увидит именно изображение. Никаких «Введите код доступа». Чтобы такое окно появилось, нужно открыть файл архиватором.

У OpenStego есть ещё одна фишка: можно добавить водяные знаки с невидимой подписью. Зачем это? Чтобы файл не копировали без вашего ведома. Когда на нём стоит watermark, вы всегда узнаете, что на корабле завелась крыса.
Как скрыть секретную информацию в тексте.

Повторим урок из поста о : самый надёжный способ спрятать конфиденциальные данные — оставить на видном месте. Никто не додумается искать их там. А зашифрованный диск, например, вызывает вопросы. Он как верзила, который зашёл в банк в балаклаве: если пришёл снять деньги, зачем скрывать лицо? Может, надо вызвать полицию?

— это как OpenStego, только для текстов. Внутри программа прячет любые данные, — используя специальные невидимые символы Юникода. Причём фишку можно использовать в WhatsApp, Telegram, Instagram, Facebook и др. Например, можете спрятать адрес любовницы прямо в мессенджер-диалоге со своей девушкой. Genius! При этом одно «Привет! Как дела?» вмещает страницу-исходник статьи по стеганографии из Википедии — 800 строк и 205362 символа. А загружается такой объём всего за секунду.

Ну а если тыкнут случайно каким-то чудом? Что тогда?

Только узнают о тайнике. StegCloak шифрует данные, используя технологию AES-256-CTR. А она каждому пакету присваивает уникальный ключ. Допустим, злоумышленник решил, что пробьёт такую защиту. Вера в себя — это прекрасно! Но придётся приложить титанические усилия: если, например, количество итераций для поиска ключа к AES-128 (а у нас AES256) выражается числом 8*1037; у 1 трлн компьютеров, способных проверять по 1 млрд ключей в секунду, на поиск нужного уйдет 2 млрд лет. Для сравнения: современные компьютеры проверяют по 10 млн ключей за секунду.

Прячьте в безобидном тексте seed-фразы, пароли, логины и т.д. Это круче, чем менеджеры, — потому что все знают: в KeePassX спрятана конфиденциальная информация. А текст — это просто текст. Добавляйте звенья цепочкам! Золотые звенья.
 
Как спрятать текстовый файл в MP3.

Астрологи объявили неделю стенографии! скрывает данные в изображении, — в тексте. А — в MP3. Да, файловые аудио — эра мезозоя: все слушают музыку в Spotify, iTunes и прочих эпплмьюзик. Поэтому, да, трек, лежащий на компьютере, — это странно. Не спорим.

Но что, если цель — не спрятать секреты на PC, а переслать? Партнеру по бизнесу, хакеру-тиммейту, сопартийцу-оппозиционеру... Допустим, мама Васи (живет в Кирове) просит его (поехал учиться в Санкт-Петербург) отправить паспортные данные — она собралась к нотариусу, чтобы отдать сыну долю в квартире. Вот как Вася может сделать:

❌ Напрямую переслать данные в VK/WhatsApp/Telegram/etc. — не работает. Хакеры взламывают соцсети и мессенджеры, а затем крадут оттуда личную информацию. При этом не забывайте, что у таких атак массовый характер. И Вася вы или Алексей Навальный, неважно, — жизнь поимеет каждого.

✅ Зашифровать данные в OpenPuff, — «На вот, мам, послушай Моргенштерна!», — и только потом переслать первым способом. Даже если взломщики доберутся до этой переписки, рыба для сетей слишком тяжелая — порвутся. А для пущего эффекта Вася может выбрать трек «Пососи».

Мораль: чтобы данные оставались личными, используйте OpenPuff. А лучше Jabber или другой децентрализованный мессенджер. И проверяйте кредитную историю. Мало ли! На «Госуслугах» можно два раза в год, бесплатно.
 
  • Теги
    безопасность в сети взлом программы доступ к сети исходный код кибербезопасность полезные утилиты
  • Сверху Снизу