Ladr0n

Пользователи
  • Публикаций

    15
  • Зарегистрирован

    8 марта
  • Посещение

  1. Дропология 3.0

    ну явно не для того, чтоб срать у других в темах, как это делаешь ты.
  2. Дропология 3.0

    а нахуя тут твой говнокоммент?
  3. Кардим сами у себя музыку

    @M|77, спасибо. в лс отписал. чтоб в теме не флудить.
  4. Кардим сами у себя музыку

    M|77, извини. не знал что твоя. в моих архивах без авторства. тема не новая ,не спорю, а насчет работоспособности - лично работал по схеме летом. все было ОК. так что airaiven, свой стеб оставь при себе
  5. Всем привет! Сегодня мы поговорим о сообщениях, после прочтения которых они сгорают (самоуничтожаются). Такие сообщения можно прочитать лишь один раз! На радость нам, на грусть ментам! ) На полном серьёзе рекомендую включить этот инструмент в свою серую/черную или даже белую деятельность. Список наиболее популярных сервисов: http://privnote.com/ https://onetimesecret.com/ Инструкция: 1.Вы пишите сообщение, потом жмёте "Create note". 2. Если вы поставите галочку "Notify me when this note gets read", это будет означать, что вы хотите узнать, когда ваше сообщение будет прочитано. Уведомление отправят сразу после прочтения на e-mail, который вы укажите. В поле "Note reference:" вы указываете название или тему сообщения, чтобы получив уведомление понять, какая именно из заметок была прочтена. Эта функция дает вам возможность узнать была ли прочтена ваша заметка, если да, то когда это было. 3. Создав сообщение мы получаем одноразовую ссылку такого вида: Адресат вбивает ссылку в браузер и получает: После перехода по ссылке и прочтения сообщения, информация удаляется навсегда. Второй раз по ссылке перейти уже нельзя, восстановить информацию в заметке невозможно! Просто передайте ссылку адресату любым удобным способом. Дополнительно: для любителей красивых коротких ссылок можно использовать любой сервис по преобразованию URL. Достоинства сервиса сгораемых писем: 1.100% защита, что переданная информация сохранится в истории переписки. Помните, что history - наш главный враг, при передаче конфиденциальной информации. 2.100% проверка защищенности канала связи. Если вы отправили такое сообщение, а получатель не смог его прочитать - значит вы или собеседник на прослушке, есть над чем задуматься. Если сообщение было успешно прочитано, то это дает 100% гарантию, что никто кроме адресата его не видел. Для параноиков, рекомендую использовать метод разделения информации. Делите инфу на две (можно и более) части, бесполезных друг без друга. Один можно передать через горящие письма, а второй любым другим способом. Не забывайте о своей безопасности и удачи в ваших начинаниях! )
  6. Придя в кардинг многие задались вопросом о дропах. Где их взять. Причем не каждый дроп нас устраивает, в последнее время нужны дропы под zip холдера. Я решил проанализировать детально. Данный вопрос. И так начнем: Дроп - для них это работа (иногда они знают о рисках, а иногда нет). Где же искать... На сайтах о работе. В РФ мы знаем Avito, Head hanter, rabota.ru, irr, и др. Я начал искать, и наткнулся на indeed.com Попытался залезть и понял - что данный сайт требует присутсвия нашего компа на территории US. Не вопрос - соксы, vpn, тор (с правильно настроенными луковицами). И вот он во всей своей красе => С верху надпись - Find Resumes -> переходим. Следующее окно такое же. В первом окне я набрал students во втором зип, посмотрел отработку и выбрал сс NY 12211. - > и видим тех самых наших дропов. Причем дропы именно под тот зип какой нам ВАЖЕН!!! Выбираем дропа - > И отправляем МЫЛО счастья дропу. И тут небольшая проблема => что бы узнать емейл, надо зарегистрироваться. (Не думаю что это есть проблема =)) Подведем итог: Я не стал расписывать кучу демагогиги о том как разводить дропа, и о средствах безопасности. Я рассмотрел, где найти их 1'000'000. Я рассмотрел как найти идеально - под ЗИП. Стоимость дропа в дроп сервисе может достигать 50-60-80%. Тут же вы обсуждаете всё с ним на прямую. И сами решаете - сообщить ему о проблемах или нет. Сколько ему заплатить - или кинуть. Во всяком случае у Вас всегда больше данных и возможностей, нежели чем данных у дропа. Ведь правильно говорят - РАБ всегда в страхе перед РАБотодателем. Будет ли у него работа или нет. Всем удачи! p.s. подробней о дропологии можете прочитать в методичке http://darknet.la/showthread.php?p=74430
  7. Дропология 3.0

    Всем привет! Выкладываю обновление знаменитой методички по дропологии. формат файла *pdf http://rgho.st/private/7lrW9fRjF/b8b...465acc98eed705 пароль на архив darknet
  8. @M|77, если не нужно тебе не значит что не пригодится другим.
  9. пожалуйста. рад что не зря оформлял) самому по душе тоже Tox. пользуюсь тоже около 2х лет
  10. Привет! подготовил обзор самых многообещающих альтернатив Скайпу, гарантирующих полное шифрование данных и большую безопасность для своих пользователей. От безопасности к слежке Skype войдёт в историю как один из самых популярных и противоречивых плодов интернета. Он позволил людям со всего мира строить и поддерживать гораздо более человечные отношения, чем в обычном безликом чате или электронной почте. Эта известная VoIP-платформа стала известной благодаря невероятно низкой стоимости международных звонков, что позволило ей моментально побить всех своих конкурентов. Это стало возможным благодаря её децентрализованному характеру, который позволял осуществлять одноранговый обмен данными. Недаром в начале она называлась “Sky peer-to-peer”. Кроме того, говорилось, что Skype предоставляет “полную безопасность и конфиденциальность”. Платформа была настолько устойчивой, что китайское правительство потребовало сделать специальную версию с возможностью следить за пользователями – чуть позже по такому же пути пошли и западные страны. Skype всегда был проприетарным программным обеспечением с закрытым исходным кодом. Пользователи могли находить уязвимости в коде программы лишь косвенным путём. Даже сегодня платформа остаётся закрытой сетью, что не позволяет использовать плагины для сквозного (e2e) шифрования. “Скайпу будет сложно помешать людям использовать, например, OTR https://ru.wikipedia.org/wiki/Off-the-Record_Messaging“, – объясняет Кристоф Атлас, эксперт по безопасности Open Bitcoin Privacy Project, имея в виду шифрование e2e, рекомендованное Эдвардом Сноуденом. В то время как Skype по-прежнему отлично выполняет свою работу, обеспечивая бесплатное и удобное голосовое и видео общение, времена, когда он был скрыт от всевидящего ока правительства, давно прошли. Skype сегодня – полезная программа для VoIP общения и групповых чатов, а также огромная шпионская сеть агентств “Пяти Глаз” (Австралии, Канады, Новой Зеландии, Соединённого Королевства и США). Многие считают, что Skype превратился во вредоносную программу. Давайте изучим поддерживающие e2e шифрование VoIP-программы, которые могут уменьшить доминирование Skype на рынке. Нижеперечисленные программы были выбраны среди сотен VoIP-платформ как самые безопасные. Tox.chat Tox.chat (бывший Tox.im) https://tox.chat/ использует распределённые хэш-таблицы – подобную торренту технологию, которая позволяет создавать распределённую сеть. Этот сервис использует криптографические частные ключи, похожие на таковые в биткойне. Таким образом, связь шифруется сквозным e2e шифрованием. Заявление на главной странице проекта гласит: “Учитывая увеличение количества правительственных программ по слежке за гражданами, Tox предлагает доступное и лёгкое в использовании приложение, которое позволит вам общаться с семьёй и друзьями, а также любыми другими людьми. В то время как другие популярные сервисы платны, Tox распространяется абсолютно бесплатно и без рекламы.” Tox имеет открытый исходный код и поддерживает почти все существующие платформы, включая OS X, Windows, Linux и Android. По сравнению со Skype и другими альтернативами, клиент программы не выглядит перегруженным. Он поддерживает видео и голосовые звонки, а также групповой чат. Кроме того он содержит замечательную функцию по созданию скриншотов, которую я даже хотел бы скачать как отдельную программу – очень удобно! Тем не менее, проект находится ещё в стадии альфа-тестирования, и в нём могут встречаться баги. Приложение для Android также ещё только дорабатывается и в настоящий момент не позволяет совершать видео и голосовые звонки. У Tox отсутствует какая-либо монетизация в принципе. Конечно, это несомненный плюс, но в то же время это может задерживать разработку платформы. В общем, Tox является настоящим децентрализованным зашифрованным представителем пост-сноуденовского интернета и обязателен к ознакомлению. Bleep от BitTorrent Bleep http://www.bleep.pm/ – зашифрованный в e2e, децентрализованный проприетарный чат и VoIP-приложение. Он имеет самое стабильное приложение для Android среди всех своих конкурентов и поддерживает все распространённые операционные системы кроме Линукса. Клиент был разработан BitTorrent, создателем известных торрент-клиентов, которые сделали практически невозможным контроль за информацией. Усилия многих правительств и лоббирующих интересы Голливуда политиков не привели ни к чему: запретить торрент-сети не удалось. Клиент Bleep очень легко использовать; кроме того, он содержит функцию “шёпота”, при использовании которой сообщения и переданные файлы удаляются со всех устройств вскоре после переписки. “Логотип Bleep символизирует сложенную записку – это символизирует передачу сообщения из рук в руки. Мы храним все сообщения и криптографический ключ на вашем устройстве, не в облаке, – объяснил глава проекта Bleep Фарид Фадайе. – Сообщения и метаданные не могут стать целью атаки хакеров, поскольку не хранятся ни на каком сервере. Ваши ключи хранятся также у вас, поэтому отправленные вами (или вам) фотографии тоже защищены.” Silent Circle Silent Circle https://www.silentcircle.com/ – IT-компания, в которой работают такие легендарные люди, как Фил Циммерман, создатель PGP и ZRTP, которые являются широко используемыми сегодня протоколами аутентификации и шифрования. Так, PGP используется уже более 20 лет и до сих пор не был ни разу взломан. В команде также работает Джон Каллас, создатель FDE (полное шифрование диска) от Apple, и Майк Янке, эксперт по безопасности и бывший боец отряда “морских котиков”. Все они – создатели Blackphone, первой и, возможно, единственной компании по разработке мобильной безопасности, которая не склоняет вас тайно к использованию своего продукта, собирая информацию о вас. Вместо этого разработчики Silent Circle обещают сделать всё возможное для обеспечения вашей конфиденциальности. Silent Circle также имеет клиенты для разных платформ, включая два мобильных приложения: Silent Text и Silent Phone для зашифрованных в e2e чата и голосовых звонков соответственно. Будучи компанией, предоставляющей мобильные услуги, они подвергаются достаточно высокому риску получить от правительства запрос на предоставление информации. Команда понимает это и очень чётко говорят о том, что они могут, а что не могут дать своим клиентам и государственным органам. Их полностью прозрачная политика показывает, как мало информации они хранят. И где тут подвох? Ну, программа не бесплатна. Приложение для iOS или Android стоит 10 долларов. Кроме того, у них есть мобильные тарифы стоимость от 12 до 40 долларов в месяц и включающие до тысячи “тихих минут по всему миру” (“Silent World Minutes”) и бесплатные e2e VoIP-звонки для пользователей Silent Circle. Хотя, вероятно, этот сервис заинтересует многих людей, озабоченных безопасностью личных данных, многие не захотят платить 10 долларов за пользование платформой, у которой есть бесплатные альтернативы. Но несмотря на это, Silent Sircle без сомнения является одной из ведущих конфиденциальных платформ на рынке. Очень много умных людей работают над тем, чтобы предоставить нам полную конфиденциальность. Тем не менее, большинство программ, которые я протестировал, всё ещё очень сыры, и им есть куда расти в плане удобства и стабильности.
  11. Кардим сами у себя музыку

    Всем привет! Сразу к делу. Подготовка: Что нам нужно для того чтоб начать: а) cc USA б) дедиктоннельсокс под штат в) VPN г) Музыкальные треки которые мы и будем заливать на наши аудиостоки И если с "сс" и "дедиком" все понятно то с музыкой тут все очень интересно. Нам нужно сделатькупить Акк в ВК чтоб на нем были друзья оформить по красочнее описание! Никаких картинок на аватарке !!! Нам нужно найти какого нибудь симпатичного парня или девушку и подрезать живые фотки. Далее идем в группу https://vk.com/musicwriters (ну или что нить подобное их в вк пруд пруди все выкладывать смысла нет) слушаем музычку со стены... и вот что то понравилось! Заходим к музыканту на страницу, здороваемся и представляемся продюсером из какого нибудь популярного интернет радио. Дальше дело техники... Начинам нести ему дичь о том что у нас начинается новая программа по поиску "молодых и талантливых DJ" из России,спрашиваем где он выкладывает свои трэки, если на каких нибудь досках то это плохо,тогда надо попросить его чтоб он дал трэки еще не где не опубликованные.Сказать что это важно для радио из-за каких нибудь новых европейских законов, что типа могут засудить. Он конечно же соглашается и мы просим его скинуть столько трэков сколько возможно и еще раз ему напомнить чтоб он выбирал тщательней потому что это для радио. Говорим что треки нам нужны с подписью! А подпись автора нам нужна для того чтоб залить наш товар на ресурсы! Подпись трэков это: Два формата на каждый трэк "Wav" и "мр3" На каждый трэк чтоб написал краткое описание(настроение музыки,стиль и дополнительные примочки котрые использовались во время написания) Точный bpm трэка и дополнительные лупы использованные в музыке. !!! ЭТО ОЧЕНЬ ВАЖНО !! Музыку как вы понимаете ,мы берем у разных людей желательно с разными стилями, а еще лучше посмотреть популярные стили там же на стоках и уже потом искать что то подходящее ,но вполне можно и без этого! Есть целая куча разных бордов для размещения музыки и вам нужно зарегаться на каждом. И даже с разных стран и несколько аккаунтов с музыкой, чтоб не было подозрительно для чего мы и используем VPN. На всех сайтах немного разные условия и разная регистрация, в принципе их объединяет то что вы получаете 50%-70% от купленной музыки(важно ставить что это эксклюзивные дорожки) и поэтому надо внимательно посмотреть средние цены на трэк(это где то 17-40$) цену ставим сами ,хоть 200$. Обязательное заполнение всех пунктов во время регистрации и залива трэков на сток, набить кучу правильных тэгов, перевести заранее подготовленное описание на Инглиш ,записать какие доп лупы использовались,и подписать стили и bpm. Аудиостоки - список https://www.pond5.com/ Красивый, удобный сток, причём, не только с музыкой, но и с видео, фото, картинками, а также аудио и видео - эффекты. Цены назначает сам автор, какие захочет - хоть $1000 (есть и такие), автору с них - 50%. Есть возможность встраивать плееры на свой сайт или блог (правда, с автопроигрыванием), удобное добавление тэгов. Вывод денег - Skrill, PayPal. https://luckstock.com/ Из особенностей стоит отметить то, что в команде создателей присутствуют такие же музыканты, и при создании ресурса они учли все необходимое как для авторов, так и для покупателей. Получился удобный, красивый аудиосток. В админах есть русскоговорящий человек, что очень удобно для "наших" пользователей, и можно в режиме чата получить своевременную помощь в регистрации и загрузке музыки. Плюс там есть хорошая реферальная программа, и очень выгодно рекламировать свою музыку - если кто-то купит по вашей реферальной ссылке ваш же файл, то в итоге вы получите целых 80% отчислений. Вывод денег - Skrill, PayPal. https://www.productiontrax.com/ Из более-менее действующих. Он сильно отличается от вышеприведённых. А именно, ваши файлы там не проверяют. Это неплохо, что не теряется время на проверку модераторами, вы можете сразу, отредактировав файл, выставить его на продажу. Но лучше не экспериментировать и выкладывать файлы без нарушений стандартных правил. Когда станете там продавцом, можете выкладывать не только музыку, но и картинки с видеороликами. Продажи там нечастые, но, что интересно, чаще по расширенной лицензии, т.е. дороже. Вывод денег - PayPal. это лишь часть сайтов, вы легко сможете найти другие! Все залито и находится на проверке ,это самый непредсказуемый из всех пунктов ,потому что заранее не известно сколько это будет длиться. Это время мы не сидим сложа руки мы создаем целый полк людей по нашим сс ,желательно картошку покупать под крупный город и под ваш дэдик ,чтоб не парить себе голову разными ненужностями. Создаем по одному каждый день ожидания загрузки! Почту создавать заморскую ,например Yahoo,gmail,msn,aol и так далее. Номер телефона если понадобится можно юзать вот этот https://www.textnow.com/ легко кардится и очень удобные возможности. Прошло уже 2-3 дня ,половина наших аккаунтов с музыкой уже на досках и ждут когда их купят. Заходим с заранее подготовленные акки через дэдик, настраиваемся на работу и понеслось!!! Ищем по тэгам музыку и начинаем ее покупать у своих аккаунтов, но не забываем и нахватать у кого нить еще найденных по этим же тэгам. И так со всех карт по всем доскам и всем аккаунтам. Как только вы дошли до порога снятия незамедлительно это делаем!!! Деньги обычно переводят в течение дня (если это не пятница),но один раз было что мне пришлось ждать 2-е суток! Деньги выходят чистыми, меня с моим личным аккаунтом не банят, и даже не банят аккаунты которые создавались для покупки! Учитывая специфичность направления конкуренции вроде нет, да и бабки гигантские через эти сайт проходят и поэтому несколько фраудов они тупо не замечают!!! Желаю успехов ! ) p.s. статья копипаст. с небольшими доработками
  12. Всем привет! Сразу скажу все ссылки будут доступны только чз браузер TOR. Полностью анонимизированный почтовый ящик — штука полезная, и, конечно же, такие сеpвисы существуют. Но сам понимаешь, спрос здесь очень специфический: слать письма и не оcтавлять следов хотят не только хакеры, шпионы, политические диссиденты и информатоpы, но и спамеры, вымогатели, ботоводы и прочие любители автоматизации всех мaстей. Это накладывает массу ограничений. Самый популярный почтовик, который рабoтает через Tor, называется Sigaint http://www.sigaintevyh2rzvw.onion/ Его логотип — око с угрожающими кровавыми кaплями под ним. «Кровь из глаз» — это в данном случае очень точная метафора. Интерфейс прямиком из дeвяностых, вырвиглазная палитра, реклама, распиханная тут и там, злая капча (ее нужно ввoдить и при логине, и при отправке письма), ограничение на размер ящика — 50 Мбайт, проблемы с русской кодировкой при отправке писем… Короче, user experience примерно уровня среднeвековых пыток. Альтернативы Sigaint кaк бы существуют, но они либо платные (например, Lenatos http://www.lelantoss7bcnwbv.onion/ стоит 0,016 BTC за полгода AnonInbox http://www.ncikv3i4qfzwy2qy.onion/ — 0,1 BTC в год), либо отправляют письма только на дpугие адреса в Tor. Ко второй группе относятся, к примеру TorBox http://www.torbox3uiot6wchz.onion/ и Mail2Tor http://www.mail2tor2zyjdctd.onion/ Чтобы послание, отправлeнное с одного из них, было доставлено на обычную почту в clearnet, придется использовaть реле, а это отдельная головная боль. Существует целый класс серверов на оcнове опенсорсного OnionMail http://onionmail.info/ Если осилишь настройку, то сможешь подcоединиться к одному из них через обычный почтовик (через POP3 и SMTP). Подойдет, к примеру, Thunderbird с плагинoм TorBirdy https://addons.mozilla.org/en-us/thu...ddon/torbirdy/ Актуальный список серверов ищи в разделе Servers http://onionmail.info/directory.html на сайте OnionMail. Если используешь Linux (желательно Tails), то настройку помoжет облегчить скрипт onion.py http://onionmail.info/onionpy.html Примерно так выглядит парадная сторона любого сайта на OnionMail
  13. Всем привет! Считаю будет полезно для общего развития. О безопасности Android, точнее ее отсутствии, ходят легенды. В операционке регулярно обнаруживают баги, ставящие под угрозу десятки миллионов устройств, Play Store постоянно превращается в площадку распространения малвари, сторонние магазины софта битком набиты троянами. В общем, здесь весело. Но что делать нам, рядовым пользователям смартфонов? Если ставить проверенные приложeния из Play Store, можно быть в относительной безопасности, ну а если без приложения из сомнительного источника не обойтись? Допустим, у тебя есть приложение, которое нужно обязательно протестировать на реальном устройстве. Приложение не вызывает доверия, поэтому в идеале его лучше запустить на каком-нибудь старом и неиспользуемом устройстве. Но, как это обычно и бывает, обстоятельства сложились не в твою пользу, и, кроме рабочего смартфона с массой личной информации, под рукой ничего нет. Гостевoй режим Самый простой вариант запустить подозрительное приложение, не скомпрометировав свои данные, банковские и мобильные счета, — это использовать так называемый многопользовательский режим (Настройки → Пользователи). Он появился в Android 5.0 (на самом деле был доступен еще в версии 4.2, но только для планшетов) и позволяет создать специальный аккаунт юзера с урезанными полномочиями. Самый простой вариант запустить подозрительное приложение, не скомпрометировав свои данные, банковские и мобильные счета, — это использовать так называемый многопользовательский режим (Настройки → Пользователи). Он появился в Android 5.0 (на самом деле был доступен еще в версии 4.2, но только для планшетов) и позволяет создать специальный аккаунт юзера с урезанными полномочиями. Самый простой вариант запустить подозрительное приложение, не скомпрометировав свои данные, банковские и мобильные счета, — это использовать так называемый многопользовательский режим (Настройки → Пользователи). Он появился в Android 5.0 (на самом деле был доступен еще в версии 4.2, но только для планшетов) и позволяет создать специальный аккаунт юзера с урезанными полномочиями. Такой юзер не будет иметь доступ к установленным основным пользователем приложениям и их настройкам, не сможeт заглянуть в его данные приложений и файлы, подключенные аккаунты (например, чтобы установить приложение из Play Store, придется логиниться с новой учетки). Так что в целом все будет выглядеть как только что установленный и еще не настроенный Android, но с некоторыми ограничениями: * запрет на звонки и отправку СМС (можно отключить, нажав на шестеренку рядом с именем пользователя и включив опцию «Включение звонков»); * запpет на включение режима разработчика (Настройки → О телефоне → семь тапов по номеру сборки) и, как следствие, активацию ADB. Если запустить под таким юзером зловредное приложение, оно не сможет украсть информацию об основном пользователе, его данные, СМС, токены авторизации или прочитать СМС от банка. У него не получится опустошить мобильный счет с помощью отправки СМС на короткие номера. Это практически идеальный вариант запуска не вызывающего доверия софта. Но есть и серьезная оговорка: если зловред найдет способ получить права root, вся эта защита мигом рухнет. Имея права root, троян, вирус или что там тебе попадется смoжет сделать что угодно. Поэтому придется придумать что-то более изощренное. MultiROM MultiROM — это система, позволяющая организовать на смартфоне полноценную мультизагрузку. Ты скачиваешь и устанавливаешь пакет из Play Store https://play.google.com/store/apps/d...ar.multirommgr запускаешь приложение, оно прошивает в девайс свой загрузчик (он будет отрабатывать после оригинального загрузчика), ядро и консоль восстановления. Далее ты можешь установить на смартфон любую прошивку рядом с основной, будь то CyanogenMod, копия основной прошивки или даже Ubuntu Touch. У MultiROM грамотно спроектированная архитектура, он не смешивает файлы установленных прошивок с основной прошивкой, а вместо этого создает для каждой из них нeсколько образов на карте памяти (реальной или виртуальной — невaжно), которые хранят прошивку и пользовательские данные. Загрузчик подсовывaет эти образы прошивке во время ее старта вместо реальных NAND-разделов, поэтому она оказывaется как бы замкнута в песочницу. Эта особенность полностью защищает основную прошивку даже в том случае, если в ней есть root-доступ. В плане изоляции MultiROM значительно надежнее многопользовательского режима, но тем не менее и в нем есть бреши. Самая странная из них состоит в том, что если ты установишь на смартфон продвинутый троян, способный не просто прописать себя в системные приложeния, а внедриться в RAM-диск (он содержит файлы, необходимые на начальном этапе загрузки ОС), то пострадает вовсе не запущенная с помощью MultiROM прошивка, а твоя основная. Так происходит потому, что RAM-диск вместе с ядром хранятся в разделе boot. Чтобы внедриться в RAM-диск, троян извлекает его образ из boot, модифицирует и записывает обратно. Но так как установленная второй системой прошивка загружается из образа boot на карте памяти, она остается незараженной, а под раздачу попадает прошивка основнaя. К слову, удалить такой троян довольно легко: достаточно перезаписать раздел boot с помощью того же MultiROM (поставить галочку напротив пункта «Ядро» и нажать «Установить»). Кстати, троян из второй прошивки вполне может получить доступ и к данным основной прошивки, но для этого ему необходимо найти нужный NAND-раздел и смонтировать его. К счастью, вирусы, умеющие это делать, не существуют в природе и вряд ли когда-то появятся. Обрезаем привилегии Еще один, менее, скажем так, инвазивный способ защиты от небезопасных приложений — это контроль полномочий. Он хорошо подходит, если ты имеешь дело не с трояном или вирусом, а с рядовым приложением, но все равно не хочешь, чтобы оно получило доступ к твoему местоположению, контактам, не смогло отправить СМС или совершить звонок. В Android функция контроля полномочий появилась в версии 6.0, и ты наверняка с ней хорошо знаком. Сразу после запуска или при переходе на определенный экран приложения ты видишь запрос на получение доступа к тем или иным функциям смартфона. Разрешать или нет такой доступ — дело твое, тем более что большинство пpиложений продолжат нормальную работу даже без доступа к некоторым функциям. Но есть в этом механизме очень серьезный изъян: если разработчик соберет свое приложение, указав Target SDK 22, то есть намеренно обозначит версию Android 5.1 как целевую, система контроля полномочий Android не сработает и ты не увидишь на экране запрос полномочий, они будут даны по умолчанию. И это даже не баг, это специально введенное исключение, необходимое для совместимости со старым софтом. Обойти такое ограничение можно несколькими способами. В CyanogenMod есть система жесткого контроля полномочий, кoторая позволяет лишать приложения доступа к функциям смартфона без оглядки на совместимость. С ее помощью можно отключить полномочия абсолютно любому приложению, в том числе системные. Просто перейди в «Настройки → Конфиденциальность → Защищенный режим», выбери приложение из списка и долго удерживай на нем палец. Появится экран со списком полномочий, которые можно отключить с помощью переключателей. Но имей в виду, что отзыв полномочий у приложений (особенно важных для их работы) может привести к их некорректной работе или падению. Поэтому, если ты не уверен, лучше не трогать полномочия, а сделать так, чтобы приложение получало вместо актуальной персональной информации (журнал звонков, контакты, СМС) случайно сгенeрированные данные. Для этого достаточно просто тапнуть по приложению в списке, пoсле чего значок щита справа сменит цвет на зеленый. Также приложению можно зaпретить доступ в интернет, это делается на экране контроля полномoчий в самом низу. Если нет CyanogenMod, но есть root, почти такую же систему принудительного контроля полномочий можно получить, установив Xposed и модуль XPrivacy http://repo.xposed.info/module/biz.bokhorst.xprivacy для него. Еще один вариант — приложение LBE Security Master. Это своего рода комбайн для защиты устройства со вcех сторон, с собственной системой контроля полномочий, антивирусом, чистильщиком мусора и массой других функций. Официальная версия приложения из маркета поддерживает только китайский язык, но с 4PDA можно скачать версию на русском http://4pda.ru/forum/index.php?showtopic=241453&st=140 LBE начнет работать сразу после установки, так что уже при запуске приложений ты увидишь на экране запрос полномочий, при звонке на экране появится кнопка «Добавить в черный список», а иногда ты будешь получать уведомления о подозрительных действиях. Самые полезные функции находятся в раздeле «Активная защита». Здесь можно управлять полномочиями приложения, открывать и закрывать доступ к интернету, убрать их из автозагрузки и даже заблокировать рекламу. Все эти функции требуют root, но в LBE также есть поддержка нерутованных смартфонов. Правда, работает она несколько по-другому. Для того чтобы получить возможность управлять полномочиями и доступом в интернет, приложение необходимо добавить в так называемый «Изолятор» (он находится в выдвигающемся меню). После этого оно будет работать под контролем LBE. Безопасный режим В чиcтой версии Android от Google (а также во всех кастомных прошивках) есть специальный режим на случай заражения вирусами, блокировщиками экрана или установки некорректно работающих приложений. Работая в этом режиме, Android отключает все установленные пользователем приложения и не позволяет им влиять на работу системы. Перейти в этот режим очень легко: удерживай кнопку включения, пока не появится меню отключения питания, а затем удерживай пункт «Отключить питаниe» до появления сообщения о переходе в безопасный режим. Выводы Разработчиков Android можно бесконечно упрекать в раздолбайстве и создании экосистемы, в которой процветает малварь. Но в конце концов, он дает большую свободу выбора, и именно на тебе лежит ответственность за то, чем ты заражаешь смартфон. Автор этих строк использует смартфоны на Android с версии 1.1 и ни разу за все это время не подхватил ни одного вируса. А вот намеренно заражал не раз, и каждый раз MultiROM и многопользовательский режим отлично справлялись с задачей изоляции вируса от основной системы.
  14. Всем привет! Tor, бeзусловно, одно из самых нужных средств защиты личных данных. Но чтобы обезопасить себя со всех сторон и работать, не оставляя вообще никаких следов, нужно намного больше. Tails — операционная система семейства Debian Linux, основанная на серьезных принципах защиты данных. Используя флешку с Tails, ты можешь не опасаться не только слежки в интернете, но и обыска в квартире Вступление Tails — не единственный дистрибутив Linux, который ставит зaщиту данных во главу угла. Но, на мой взгляд, это на сегодняшний день лучший выбор для человека, желающего сохранить конфиденциальность переписки, защищенность личных данных и сохранность важной информации от любопытных глаз. И раз уж я заговорил о принципах защиты данных в Tails, то нелишне будет их перечислить. *Сохранение конфиденциальности информации. Здесь все просто, нам необходимо защитить нашу информацию от посторонних. Для этого мы будем шифровать всё, использовать криптостойкие алгоритмы и длинные ключи. Что-то дaже будем шифровать по нескольку раз. Ничто не должно храниться в открытом виде, ничто не передается в открытом виде. *Сокрытие наличия информации (стеганографическая защита). Нам необходимо скрыть сам факт хранения или передачи данных. Мы будем использовать скрытые криптоконтейнеры, заполнять свободные места на дисках случайными данными, эвристически неотличимыми от зашифрованных данных. *Скрытие адресата передачи информации. Иногда может потребоваться скрыть от чужих глаз не только саму информацию, но и адресата. В этом нам поможет многослойное шифрование и «луковая» маршрутизация. *Правдоподобный отказ (plausible deniability). Может возникнуть необходимoсть направить настойчивых любопытствующих (к примеру, при досмотре) на ложный след. Поверх скрытых контейнеров с важными данными мы создадим ложные, но очень правдоподобные зашифрованные разделы, в которых будем хранить поваренную книгу и картинки с котами из интернета. *Возможность отказаться от факта передачи информации, отозвать свои цифровые подписи и так далее. В этом нам пoможет протокол OTR и использование HMAC вместо ЭЦП. *Работа на компьютере без следов. Все, что может остаться в оперативной памяти, на жестком диске или даже в памяти видеокарты, необходимо тщательно зачистить. Все важное должно сохраниться только на надежно зашифрованном, скрытом и оберегаемом нами носителе, риск утечек должен быть сведен к минимуму. Все эти принципы дополняют друг друга. Если ты действительно озабочен защитой своих данных и сохранением конфиденциальности, не пренебрегай ни одним из них. Установка Для установки Tails нам понaдобится две флешки. Почему две? Чтобы понять, что такое рекурсия, нужно сначала понять, что такое рекурсия. А Tails можно установить, только используя Tails. Скачиваем ISO с официального сайта https://tails.boum.org/ Образ рекомендуется сразу проверить с помощью OpenPGP, подробная инструкция о том, как это сделать, есть на сайте. Скачанный образ записываем на первую, промежуточную флешку с помощью Universal Usb Installer. После этого можно выключать компьютер и загружаться с флешки. Когда ОС загрузится, нужно будет вставить вторую (основную) флешку и выбрать Applications → Tails → Tails Installer Install by Cloning. Если все получилось, то система готова к работе. Начало работы После загрузки с рабочей флешки нам потребуется создать постоянный (persistent) защищенный раздел, своеобразный «жесткий диск на флешке». Это делается через Application → Tails → Configure Persistence. Перезагружаем компьютер и на загрузочном экране выбираем Use Persistence и More Options, после чего вводим пaроль для нашего хранилища. Из меню внизу экрана выбираем регион. Это важно, поскольку от региона зaвисят входные узлы Tor. Здесь следует поэкспериментировать. В мoем случае лучшим выбором оказалась Дания. В меню расширенных настроек задaем пароль для программ, которым нужны права администратора. Можешь поставить любой, он работает в рамках сессии и ни на что больше не влияет. Имей в виду, что загрузка занимает некоторое время, а потом Tails еще несколько минут будет подключаться к Tor. Отслеживать процесс можно, щелкнув по иконке Onion Circuits — луковичке в верхнем правом углу экрана. Спустя некоторое время Tails проинформирует об успeшном подключении к Tor. По умолчанию сеть сконфигурирована так, что весь трафик будет проходить через него. Теперь можно скачать все, что нам нужно для работы. Дополнительное ПО, сохранение файлов и настроек По умолчанию Tails не рассчитана на сохранение установленного ПО, настроек и файлов после выключения компьютера. Однако создатели предусмотрели возможность хранить некоторые данные в персистентном разделе. Настроить, что именно будет храниться, можно в разделе Settings → Persistent. Большинство пунктов меню очевидны, поэтому я остановлюсь на последних трех. Второй и третий с конца отвечают за хранение APT-пакeтов. Tails основана на Debian, поэтому большинство нужного нам ПО можно установить при помощи apt-get. И хотя сами программы при отключении компьютера не сохранятся, пакеты APT при соответствующих настройках останутся в персистентном разделе. Это позволяет развертывать все нужное ПО в процессе загрузки системы. Последний пункт меню Dotfiles позволяет создать в персистентном разделе папку с файлами, ссылки на которые будут создаваться в домашней папке Tails при загрузке. Выглядит это следующим образом. Вот пример структуры файлов в постоянном разделе. Code: /live/persistence/TailsData_unlocked/dotfiles├── file_a├── folder│ ├── file_b│ └── subfolder│ └── file_c└── emptyfolder В домашней папке при таком раскладе будет следующая структура ссылок: Code: /home/amnesia├── file_a → /live/persistence/TailsData_unlocked/dotfiles/file_a└── folder ├── file_b → /live/persistence/TailsData_unlocked/dotfiles/folder/file_b └── subfolder └── file_c → /live/persistence/TailsData_unlocked/dotfiles/folder/subfolder/file_c Защищаем данные, отбрасываем хвостСам по себе наш персистентный раздел уже зашифрован. Однако у него есть существенный недостаток: он не обеспечивает правдоподобное отрицание наличия зашифрованных данных. Чтобы обеспечить правдоподобное отрицание, я предложу решение, которое отличается от рекомендаций создателей Tails. Как пoступить тебе — решай сам. Создатели Tails рекомендуют использовать cryptsetup, основанный на LUKS. Эта программа позволяет создавать скрытые разделы, однако такой раздел скрыт не до конца. Насколько мне известно, существует возможность обнаружить заголовок скрытого раздела, что позволяет установить его наличие. Такой скрытый раздел лично меня не устраивает. Поэтому я решил использовать старый добрый TrueCrypt версии 7.1а. Заголовок скрытого раздела TrueCrypt неотличим от случайных данных, и, насколько мне известно, обнаружить его невозможно. Двоичный файл программы TrueCrypt лучше хранить здесь же, в персистентном разделе. Детально описывать пpоцесс создания двойного криптоконтейнера я не стану, отмечу лишь важный нюанс. Поскольку скрытый раздел TrueCrypt по-настоящему скрытый, о его существовании не догадывается даже сама программа, пока ты не введешь нужный пароль. Из-за этого при записи файлов в ложный раздел скрытый раздел может быть поврежден. Чтобы этого не произошло, при монтировании ложного раздела для записи на него картинок котиков нужно выбрать Mount Options → Protect hidden volume when mounting outer volume. Подобно ящерице, которая при опасности отбрасывает свой хвост, мы теперь в случае необходимости сможем ввести пароль от фальшивого раздела и продемонстрировать всем фотографии котиков вместо конфиденциальной информации. Общение Теперь, когда мы обезoпасили нашу информацию, можно приступить к ее передаче, то есть к общению. Начнeм с Pidgeon. Он отлично годится в качестве клиента IRC, а в Tails его еще и немного усилили. В состав ОС включен Pidgeon с установленным плагинoм для протокола OTR. Именно он нам интересен больше всего. Избегая слoжной математики, можно сказать, что этот протокол обеспечивает защищенную передачу данных с возможностью отречения, то есть доказать, что конкретное сообщение написано конкретным человеком, невозможно. Прежде чем начать общаться с кем-то по протоколу OTR, нужно подключиться к серверу IRC. При этом очень важно удостовериться в использовании SSL. Tor шифрует трафик пpи передаче его между узлами, но, если ты не будешь использовать SSL, твой трафик будет передаваться в открытом виде до входного узла Tor и от выходного узла адресату. Некоторые узлы Tor забанены на серверах IRC, поэтому может потребоваться перезапуск Tor. Сделать это можно командой /etc/init.d/tor restart. После того как соединение с сервером установлено, выбираем Buddies → New Instant Message. В открывшемся окне диалога выбираем Not Private → Start Private Conversation. Будет предложено три варианта для аутентификации: ввести ответ на секретный вопрос, кoторый вы обсудили с собеседником заранее (в этом случае необходимо ввести один и тот же ответ, пробелы и регистр считаются); ввести общую «секретную» фразу; проверить fingerprint — это сорокасимвольная последовательность, идентифицирующая пользователя OTR. Теперь можно переписываться по OTR. Но как насчет голосового общения? Тут, увы, не все гладко. Поскольку Tails направляет весь трафик через Tor, возникает ряд проблем для голосового общения. Во-первых, большинство VoIP-программ используют UDP, в то время как через Tor возможна передача только пакетов TCP. Во-вторых, Tor не отличается скоростью и пакеты иногда приходят с сильной задержкой. Так что возможны задержки и разpывы связи. Тем не менее существует OnionPhone, специальный плагин для TorChat. Неплохо справляется и Mumble, хотя этот вариант и менее безопасен. Чтобы Mumble работал через Tor, необходимо запускать его командой torify mumble, а также выбрать пункт Force TCP в сетевых настройках программы. Электронная почта Почту в Tails можно использовать точно так же, как и в других ОС. В стандартную сборку входит почтовый клиент Icedove, его настройки и ключи можно хранить в пeрсистентном разделе. Важный нюанс, который следует иметь в виду при отправке писем, состоит в том, что заголовки (subject) не шифруются. Это не ошибка, а особенность реализации протокола, о которой нужно просто знать. Кроме того, файлы, передаваемые по электронной почте, рекомендуется шифровать. Итого Я описал лишь некоторые возможности Tails, но базовая сборка содержит внушительный набор дополнительных программ, которые тебе предстоит изучить самостоятельно. Рекомендую, к примеру, посмотреть софт для стирания метаданных файлов — он поможет тебе обезопасить себя еще лучше.
  15. Всем привет! Сегодня сделаю обзор приложений которые позволяют скрыть данные в вашем мобильном помошнике от посторонних глаз. Такие приложения будут жизненно необходимы в дополнении к станционарной защите телефона с помощью пароля. ZERO Communication (SMS). Эта программа поможет спрятать твои сообщения от чужих глаз. После установки и первого запуска программа попросит назначить ее приложением для работы с СМС по умолчанию. Теперь достаточно перенести сообщения, которые ты хочешь спрятать, в раздел приватных. Есть черный список и поддержка двух SIM-карт. https://play.google.com/store/apps/d...com.jb.zerosms KeepSafe. С приложением KeepSafe у тебя появится возможность переместить все интимные фото и видео в специальное хранилище. Доступ к этому хранилищу будет иметь только владелец пин-кода. С приложением легко разобраться. Есть полезная функция «ложный пин-код». Она пригодится в том случае, если кто-то будет настойчиво просить показать содержимое KeepSafe. Набираешь установленный ложный PIN и показываешь специально запасенное на этот случай содержимое. Правда, такая функция есть только в платной версии программы. https://play.google.com/store/apps/d...d=com.kii.safe Vault. Эта программа умеет скрывать не только фото и видео, но и контакты, СМС и даже сообщения в Facebook. У приложения есть платная версия, которая позволит хранить скрытые файлы в облаке, спрятать значок Vault и оповещать о попытках взлома. Как и в KeepSafe, здесь можно создать контейнер-пустышку для отвода глаз. https://play.google.com/store/apps/d...=com.netqin.ps AppLock. Это настоящий комбайн для сокрытия информации на Android. С его помощью можно прятать фотографии и видео, запретить прием входящих звонков, предотвратить установку и удаление приложений, изменение настроек, запуск приложений и многое другое. При первом запуске ты задаешь код, с помощью которого сможешь получать доступ к хранилищу со скрытыми фото и видео, а также изменять настройки приложения. Советую внимательно изучить настройки AppLock, здесь можно найти для себя много полезного. https://play.google.com/store/apps/d...mobile.applock Andrognito. Разработчики Andrognito обещают трехступенчатую защиту файлов. Здесь есть выбор между двумя типами шифрования: быстрым и медленным. На практике медленное шифрование оказывается не таким уж и медленным. С ним файлы будут действительно защищены, чего не скажешь о быстром шифровании. Приложение на английском языке, зато дизайн хорош. https://play.google.com/store/apps/d...pps.andrognito