Безопасность на практике

Тема в разделе "Безопасность", создана пользователем redman, 13 авг 2018.

  1. redman

    redman
    Expand Collapse
    Публикатор
    Команда форума

    Регистрация:
    13 ноя 2017
    Сообщения:
    2.559
    Симпатии:
    1.132
    Розыгрышей:
    10
    FT Coin:
    $375,20
    Безопасность на практике. 1 ч.

    I. Язык твой - враг твой.
    В заголовке вся суть. Но объясню по-хардкору.

    Все что ты говоришь, или пишешь в открытых источниках - будет использовано против тебя. Особенно в РФ. Комментарии на youtube, репосты ВК - все это может скомпрометировать тебя. Шутки про мамаш уже стали материалами дела о клевете и оскроблении, а мемы про бога - экстремизм. (Гугл ссылка на новости про экстремизм в соц-сетях)

    II. Всегда используй чистый софт.
    Все мы знаем, что ПО может быть уязвимым. Если не слышали, то погуглите, что CCleaner был уязвим почти 2 года. Все это время он захватывал нажатия клавиш у пользователей (кейлоггер).

    Windows 10 следит за тобой в режиме нон-стоп. Доходит до того, что система внаглую делает скриншоты рабочего стола, и пересылает их в незашифрованном (sic!) виде на свои сервера, что в некоторых случаях может оказаться неприятным.

    Качаешь что-то через торрент-клиент?

    Они это уже знают, и передают эти данные дядям в погонам и копирастам, по первому же их свисту. Их тыкали носом в это, но реакции не последовало. Ах, да, Windows 7,8.1 тоже грешат этим теперь - они в тихом режиме обновились (не спрашивая пользователя, и забили на галочку "отключить обновления")

    Что делать?
    Платное ПО (читай - ПО с закрытым исходным кодом) ты не можешь контролировать. С открытым ПО есть шанс, что кто-то из коммьюнити заметит такую дерзость и вычислит по айпи мерзавца-разработчика.

    Нахуй Windows и ССleaner.
    Есть Linux, есть Bleachbit. Кстати, именно Bleachbit использовала Хиллари Клинтон чтобы замести следы работы на своем ноутбуке. Успешно, кстати говоря. Есть забавная история - Хиллари спалилась, оставив файл установщика на личной машине. Журналисты прознали это, и решили спросить, использует ли она Bleachbit. И она выдала "Like with a cloth or something?" ("это типа для одежды, да?")

    Разработчиков софта такой фарс развеселил (потому что Хиллари спалилась, это факт), и они стали продавать стафф с этим пёрлом.

    НО! Если закрытое ПО нужно по работе - используй его. Но на свой страх и риск.

    III. Google - "большой брат следит за тобой"
    Есть хорошее видео от научно-познавательного канала, на тему того, как тебя каждый день имеет Большой Брат.

    Гугл стал инструментом, который мы используем каждый день. Было бы грехом с их стороны, не воспользоваться таким раскладом, чтобы поиграть в Бога. Они буквально знают, что ты делаешь каждый день, куда ходишь, что смотришь, и что ищешь через их поиск.

    Их обязали дать пользователям возможность отключать "слежение" за юзверями. Как это сделать? Показываю.

    а) Перестать пользоваться Google Chrome;

    б) Идёте на myactivity.google.com, где отключаете историю действий, ужесточаете параметры конфиденциальности до сраки, отключаете таргетинг рекламу. 20% усилий дают 80% результата.

    в) Начинаете пользоваться duckduckgo.com в качестве основного поисковика. Не показывает рекламу, выдает только релевантные поисковые запросы. Рекомендую.

    IV. Обесопасить твои данные.
    Шифрование полнодисковое. Что и как.

    Зачем это нужно - не буду объяснять, не входит в тему статьи. Но оно вам нужно, поверьте.

    Если используешь Windows, то используй Bitlocker. Если osX - FileVault. Там и там - встроенная утилита, код закрыт. Но работу свою выполняют.

    Если такой расклад не нравится, то используй Veracrypt (нами всеми любимый).
    В linux (почти в любом дистрибутиве) при установке предлагают полнодисковое шифрование из-под коробки.

    V. Защити свои пароли.
    Keepass, пароли в iOS.

    Предположим, ты имеешь какую-то информацию, которую нельзя показывать другим людям. Вообще никак. Где лучше хранить такую информацию? Правильно, под рукой.

    Тогда какого хера ты хранишь пароли в браузере, или используешь онлайн-хранилище паролей, которые взламывают три раза на дню?
    Доверяешь пароли браузеру?

    Плохие новости, друг. Bug-tracker (пул ошибок, которые задокументированы пользователями) у Firefox/Opera/Chromium пестрят уязвимостями, которые дают слить твой пароль.

    Из последнего, это уязвимость при автозаполнении пароля во ВСЕХ современных браузерах. На странице встраивают маленькие невидимые поля (1 пиксель каждое) для логина:пароля. Дополнительные, помимо основных. Ты жмешь автозаполнение, и твои логин:пароль улетают злоумышленникам.

    Делай выводы сам. Тут могу только посоветовать переходить на локальные хранилища паролей (не в блокнотике, блжадь!), как KeePassX. Шифрует, удобен в пользовании, генерит сам сильные пароли. Что еще нужно?

    VI. Используй мессенджер с открытым исходным кодом.
    Telegram - не анонимен. Как обезопасить ТГ. Альтернатива - джаббер.

    Не открою Америку, сказав, что телеграм - ничерта не анонимен. И сервера централизованы. И исходный код закрыт. И тип шифрования вообще неизвестен никому. Уже тревожный звонок, как по мне.

    На досуге, кстати, прочитайте, как легко перехватить чужие СМС\звонки, имея настроенный домашний ресивер.

    Отключите прием звонков в телеграм. Приняли звонок - спалили свой номер телефона.

    Не хотите переходить с любимого бумажного самолетика? Купите виртуальный номер USA (google voice, как пример), и сделайте новый аккаунт в телеграм.

    Но это все полумеры. Тру-коржики юзают онли jabber.

    Сервера с большим уровнем анонимности.

    • @sj.ms
    • @safetyjabber.com
    • @Jabber.cd
    • @thesecure.biz
    • @default.rs
    • @xmpp.jp
    • @jsrv.org
    • @securetalks.biz
    • @silper.cz
    Исходный код открыт, тип шифрования известен, доступен PGP (Pretty Good Privacy- Довольно Хорошая Приватность переписки) и OTR (Off-The-Record, режим "не под запись", когда ВСЯ переписка гарантированно стирается у обоих пользователей пр закрытии окна чата)

    Алсо, можно самому поднять свой jabber-сервер, как и делают некоторые популярные кардерские форумы, который будет контролироваться только вами. Но это уже для продвинутых пацанов, а ты используй уже готовое и проверенное.

    Безопасность на практике. 2 ч

    В первой части я лишь вскользь рассказал о человеческом факторе. Самая главная уязвимость - прослойка между клавиатурой и сиденьем. Кто не понял, тот поймет.

    I. Нигде и никогда не говори о ̶б̶о̶й̶ц̶о̶в̶с̶к̶о̶м̶ ̶к̶л̶у̶б̶е̶ своем хобби
    Повторение, мать его, учение.

    Люди в большинстве своем - злобные твари, пока они не докажут обратное. И упаси Всевышний тебя о хвастовстве, что ты хацкер номер уно. Они это запомнят, и будут использовать против тебя в случае чего. Язык за зубами держать очень трудно, вы и сами знаете. Поэтому не давайте лишнего повода засомневаться в вашей добродетельной личности.

    Мне помогает способ "прикинуться шлангом", когда требуется помощь с техникой. Все так делают, и вы так делайте, мой вам совет.

    II. Выкинь Skype из своего арсенала.
    Серьезно, забудьте о нём, как о страшном сне. С родителями разговаривать лучше через что-то еще. Я конечно сам пользую WhatsApp, но это мой личный телефон.

    Если какая-то крупная контора (Microsoft, Google, Facebook) покупает какой-то продукт/старт-ап, то жди подвоха. То же самое и с WhatsApp, который купили Facebook.

    Если ты не платишь за продукт, то продукт - это ты и твои потроха (личные данные).

    III. Изолируй свои сетевые личности друг от друга.
    Если ты зашел с дедика\сокса на свою страницу вк (удали ее уже!)/ личную почту - то у тебя могут появиться проблемы из-за этого. При необходимости можно сложить дважды два, и понять, какая редиска пользовалась взломанным хостом.

    IV. Запароль админку своего роутера.
    Если ты этого не сделал, то бегом марш!

    Хотя, до сих пор в некоторых тороговых центрах я встречаю "запароленные" сетки, с паролями по типу 1234/admin. Я иду по адресу 192.168.0.1 и захожу в web-морду роутера, где просто его выключаю.

    Attention! Никогда не используй такую сеть для личного пользования. Есть такой термин, как "honeypot", что означает "лакомый кусочек". Это ловушка на наивных дурачков.

    В слитых отчетах NSA можно найти статистику хакеров, попавшихся на такой глупости.

    Весь траффик через хонипоты идет прозрачный, и прямо в руки кого надо. При сноровке, можно пользоваться SSH-VPN в такой сети, но о этом позже.

    V. Не используй DNS-сервера твоего провайдера.
    Что такое DNS (Domain Name System — система доменных имён)?

    Это сервер, который преобразует условный "putinpresident2018.ru" в простой IP, где как раз и располагается сам сайт.

    Можно открыть страницу в википедии, и увидеть следующее в ключевых характеристиках DNS - "Кэширование информации. Узел может хранить некоторое количество данных не из своей зоны ответственности для уменьшения нагрузки на сеть".

    Оп-па! Такой сервер хранит историю посещений сайтов. А уж тем более DNS-сервер твоего провайдера.

    Много где сказано, но повторюсь: simplednscrypt.org

    Выбирай любой понравившийся тебе ресолвер (заменитель твоего стандартного) и в путь.

    VI. WebRTC
    Что это такое? Задумывалась эта технология, чтобы воплотился в жизнь функционал, скажем, твоего любимого chaturbate.com (заблокировал его РоскомПозор, пидоры) - воспроизведение трансляций с видео и звуком.

    Но как всегда, всё в какой-то момент идет по пизде. Разработчики браузеров стали имплеминтировать (F4L образовательный!) возможность детекта твоего сетевого интерфейса.

    Отвлечемся на минутку.

    У тебя есть локальный и публичный IP адреса. Публичный служит для приема\передачи первичных пакетов от сервера твоего провайдера. И есть локальный, который принимает пакеты, и рассылает всем сетевым службам (jabber, pop3/imap, VPN, tor и прочие). Пример локального адреса - подсеть 10.0.0.0 и 192.168.0.0

    Так вот, WebRTC умеет вычленять локальный адрес. Да, хуёво. Если локальный адрес из вышеуказанных подсетей - то явный знак, что используется openVPN.

    Что делать, куда бежать?

    Без паники. Его можно отключить. Самый простой вариант - через дополнение в браузере. uBlock например. И рекламу блокирует, и эту блевоту отключает.

    Или делать спуф (spoof - подмена, обман, а F4L образовательный канал, ага!) адреса. Самый простой вариант - использовать бесплатный антидетект vectort13.pro; или сделать спуф, мануалов полно. "WebRTC обман" и первая строка в гугле.