CyberYozh

2021-12-18 12:06:58 Сегодня в 21:00 по мск, будет стрим! Кто придет?

Обсудить в чате https://t.me/+jrxm2KHbIl9kMDQy Открыть/Комментировать

2021-12-17 15:29:52 ​​Глупость как человеческий фактор

Довольно часто противодействие киберкриминалитету происходит совсем не так как в кино. Ведь на самом деле не существует каких-либо "волшебных" технологий которые позволили бы моментально деанонимизировать хакера. Отдел К (как и любой другой) не в состоянии расшифровать абсолютно любой трафик (или получить доступ к любому мессенджеру итд.).

В значительном количестве случаев преступники сами выписывают себе приговор (а не какие-то всемогущие кибер-агенты или технологии). И одним из таких факторов является банальная глупость

РФ, 2013й год. Павел Врублевский заказал DDoS атаку на серверы конкурента "Ассист". В результате чего сайты клиентов, в том числе сайт «Аэрофлота» не могли функционировать какое-то время.

Как же его нашли, а главное - доказали вину? Врублевский вместе со своими товарищами использовали мессенджер ICQ, думаю многие из Вас его помнят.

Итак :

1. ICQ принадлежит MailRu Group, чье сотрудничество с органами — очевидный факт.

2. ICQ ни разу не небезопасен, даже если бы он и не принадлежал MailRu. Это не безопасный мессенджер и не использует шифрование. Есть масса вариантов имеющих право на жизнь (для таких афер) но уж точно не "аська"

В данном случае, деанонон произошел просто по глупости и недальновидности. Возможно если бы кто-то из группы был более осведомлен в вопросах того же шифрования в мессенджере, то как минимум доказать причастность было бы гораздо сложнее. Но эту уже совсем другая история

Рубрика #Ошибкихакеров

Обсудить в чате https://t.me/+jrxm2KHbIl9kMDQy Открыть/Комментировать

2021-12-16 13:21:35 Отправка и получение почты без регистрации (и смс)

5ymail - позволяет отправлять email без регистрации и раскрытия своего реального адреса. Почта может содержать вложения/быть отформатированы с помощью встроенного html-редактора.

myTrashMail
Здесь можно создать одноразовый ящик под регистрацию в сервисах, форумах итд. Учетная запись создается на определенное время и удаляется после окончания этого срока.

Spambog
Очень функциональный почтовый сервис, не требующий как регистрации, так и ваших личных данных. Можно получать и отвечать на письма, есть функция пересылки, вложения, форматирования, автоматическое удаление прочитанного и многое другое. Хорошо подходит на роль отдельного ящика для регистраций.

Mailinator
Вот еще один сервис, создает почтовый ящик очень быстро и полностью автоматически. Сервис работает только на входящие сообщения.

Обсудить в чате https://t.me/+jrxm2KHbIl9kMDQy Открыть/Комментировать

2021-12-15 13:07:49 CryptPad - приватный аналог Google Docs (с шифрованием).

Многие используют в повседневной жизни Google Docs, так как он практичен, все хранится в облаке и можно зайти и просмотреть нужные данные с любого устройства. Это все замечательно, но есть один нюанс - все ваши данные хранятся на Google серверах.

Но, как всегда есть альтернатива - CryptPad. Это онлайн коллаборативный редактор, котоpый взаимодействует с данными только в зашифрованном виде, а для разрешения конфликтов правoк использует блокчейн. Регистрация бесплатная, отлично работает из под Tor. По функционалу не уступает Google Docs.

Обсудить в чате https://t.me/+jrxm2KHbIl9kMDQy Открыть/Комментировать

2021-12-14 13:33:01 Финалисты конкурса AES.

(Конкурс по выбору нового алгоритма шифрования, для замены DES).

AES (англ. Advanced Encryption Standard) — симметричный алгоритм блочного шифрования (размер блока 128 бит, ключ 128/192/256 бит), принятый в качестве стандарта шифрования правительством США по результатам конкурса AES. Этот алгоритм хорошо проанализирован и сейчас широко используется. Но многие забывают про достойные альтернативы (Но не все, например, масштабно используются в Truecrypt/Veracrypt/Zulucrypt, и не только).

Twofish.

Симметричный алгоритм блочного шифрования с размером блока 128 бит и длиной ключа до 256 бит. Число раундов 16. Разработан группой специалистов во главе с Брюсом Шнайером. Являлся одним из пяти финалистов второго этапа конкурса AES. Алгоритм разработан на основе алгоритмов Blowfish, SAFER и Square.

Отличительными особенностями алгоритма являются использование предварительно вычисляемых и зависящих от ключа узлов замены и сложная схема развёртки подключений шифрования. Половина n-битного ключа шифрования используется как собственно ключ шифрования, другая — для модификации алгоритма (от неё зависят узлы замены).

Serpent.

Разработан Россом Андерсоном, Эли Бихамом и Ларсом Кнудсеном. Некоторые предыдущие разработки авторов тоже носили названия в честь животных, например Tiger, Bear.

Алгоритм являлся одним из финалистов 2-го этапа конкурса AES. Как и другие алгоритмы, участвовавшие в конкурсе AES, Serpent имеет размер блока 128 бит и возможные длины ключа 128, 192 или 256 бит. Алгоритм представляет собой 32-раундовую SP-сеть, работающую с блоком из четырёх 32-битных слов. Serpent был разработан так, что все операции могут быть выполнены параллельно, используя 32 1-битных «потока».

При разработке Serpent использовался более консервативный подход к безопасности, нежели у других финалистов AES, проектировщики шифра считали, что 16 раундов достаточно, чтобы противостоять известным видам криптоанализа, но увеличили число раундов до 32, чтобы алгоритм мог лучше противостоять ещё неизвестным методам криптоанализа.

Став финалистом конкурса AES, алгоритм Serpent в результате голосования занял 2 место.
Шифр Serpent не запатентован и является общественным достоянием.

Обсудить в чате https://t.me/+jrxm2KHbIl9kMDQy Открыть/Комментировать

2021-12-13 14:21:50 Достойная замена проприетарным Skype и Discord

Skype уже уже почти как 18 лет прочно закрепился в современном мире. Расцвет этого продукта пришёлся на середину 2000х и тогда для массового пользователя это было что-то новое, а главное очень и очень эффективное (а в последствии - незаменимое).

И действительно, все бы ничего если бы не не одно но - это продукт проприетарный. Компания сама устанавливает правила, и может их поменять в любой момент. Бэкдоры и выдача любых данных силовикам по любым требованиям - как законным так и не очень, такова реальность. Но мир как и свободное общество не стоит на месте.

Jami (в прошлом GNU Ring) — свободный кроссплатформенный SIP/IAX2 совместимый клиент. Доступен под Linux, Windows, macOS, iOS, Android.

Открытый исходный код;
Децентрализация;
Поддержка конференций;
Неограниченное число звонков;
Прямой вызов SIP (IP-to-IP);
Поддержка TLS и ZRTP.

Стоящая замена таким "удобным" и "безопасным" творениям как Skype/Discord

Обсудить в чате https://t.me/+jrxm2KHbIl9kMDQy Открыть/Комментировать

2021-12-12 11:21:31 Достойная замена централизованным крипто-биржам.

И да, речь про Binance в том числе. Уже не все удивляются очередной истории заморозки счётов по не совсем понятным причинам администрацией ресурса. Централизованные биржи (CEX) - это всегда риск для ваших финансов. Не Вы устанавливаете правила, более того - эти правила всегда могут поменять если посчитают нужным.

Покупайте и продавайте крипто за фиат (или другие криптовалюты) безопасно, используя одноранговую сеть Bisq и программное обеспечение с открытым исходным кодом.

Регистрация не требуется.

Bisq это :

Отсутствие верификации, не нужно ждать одобрения от центрального органа.
Децентрализация, торговля происходит в глобальной P2P-сети пользователей, запускающих Bisq на своих собственных машинах.
Безопасность, Bisq никогда не держит ваши средства. Депозиты, хранящиеся в мультисигнатурных-кошельках, способствуют безопасным, успешным сделкам.
Приватность, Ваши данные хранятся локально на диске и никогда не отправляются на центральный сервер. Каждый узел Bisq по умолчанию является скрытым сервисом Tor.

Обсудить в чате https://t.me/+jrxm2KHbIl9kMDQy Открыть/Комментировать

2021-12-11 12:47:45 Системы глобальной слежки

Многие уже давно в курсе по поводу аббревиатуры СОРМ - Система технических средств для обеспечения функций Оперативно-Разыскных Мероприятий. Есть множество нюансов по поводу использования данной системы в РФ, особенно когда идёт про неприкосновенность личной жизни. Так, данная система может (и часто задействуется) до решения суда на усмотрение самих органов.

Объясняется это пунктом 3 статьи 55 :

Права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Также в законе упоминается возможность использования СОРМ до решения суда, «в случаях, установленных федеральными законами.

Но тут у РФ не получилось догнать и перегнать весь остальной мир, поэтому перечислим самые яркие альтернативы систем глобальной слежки за рубежом :

Tempora — секретная программа глобального слежения, созданная в 2011 году и используемая Центром правительственной связи Великобритании совместно с АНБ США. Факт существования программы стал известен от бывшего сотрудника АНБ Эдварда Сноудена. В работе программы используется более 200 оптоволоконных кабелей, полученные данные сохраняются в течение трех дней, метаданные хранятся в течение 30 дней.

X-Keyscore — программа глобального слежения, используемая АНБ США, Управлением радиотехнической обороны Австралии и Службой безопасности правительственных коммуникаций Новой Зеландии. Предназначена для слежения за иностранными гражданами во всём мире, деятельность осуществляет с помощью более чем 700 серверов, расположенных в США и на территории стран-союзников США, а также в посольствах и консульствах США в нескольких десятках стран.

PRISM — государственная программа США — комплекс мероприятий, осуществляемых с целью массового негласного сбора информации, передаваемой по сетям электросвязи, принятая американским Агентством национальной безопасности (АНБ) в 2007 году классифицированная как "совершенно секретная".

По оценкам Washington Post (на 2010г.) ежедневно системы сбора информации АНБ (в том числе PRISM) перехватывали и записывали около 1,7 миллиарда телефонных разговоров и электронных сообщений и около 5 миллиардов записей о местонахождении и передвижениях владельцев мобильных телефонов по всему миру.

Обсудить в чате https://t.me/+jrxm2KHbIl9kMDQy Открыть/Комментировать

2021-12-10 17:32:46 Хотите получить новую брошюру от CyberYozh?
Ищите ее на главной странице курса https://book.cyberyozh.com/ru/?fl=ru
А если не найдите, спросите шерлоков в чате https://t.me/+jrxm2KHbIl9kMDQy Открыть/Комментировать

2021-12-10 11:01:19 Карман Фарадея - ответ современным вызовам

В связи с приходом в нашу жизнь мобильных гаджетов - открываются новые возможности. Возможности как позитивные так и негативные. С одной стороны, значительная часть населения может себе позволить мощное устройство помещающееся в карман, решающее широчайший спектр задач - от связи до вычислений и поиска нужной информации.

С другой - это вызов по отношению к вашей приватность (и исходя из этого, часто и безопасности). Смартфон очень часто выполняет роль своеобразного маячка который Вы совершенно добровольно носите с собой. Это просто потрясающий потенциал для контроля граждан со стороны спец. структур, или же - Государства.

Но помним что эта черта может использоваться не только официалами. Криминалитет, который порой образует симбиоз с правоохранительными органами также может эксплуатировать возможности вашего мобильного гаджета. Вспомним те же расследования Bellingcat - данные о смартфонах силовиков приобретаются на теневых форумах, которые сливаются другими силовиками - имеющими к этим данным доступ.

Карман Фарадея по сути является экранирующим чехлом. Принцип прост — когда телефон в чехле, вы в оффлайне. Это значит, что общественные Wi-Fi сети или снифферы больше не смогут собирать данные вашего устройства, когда вы просто проходите мимо точки доступа.

Ни одно приложение не сможет передать на сторонний сервер приватную информацию для оптимизации рекламных алгоритмов. И вы мгновенно пропадаете из поля зрения навигационных систем, не давая шанса отследить свои перемещения. В современном мире полная приватность возможна только в режиме оффлайн — именно для этого и предназначены экранирующие аксессуары для смартфонов.

Да и цифровой детокс, тоже иногда не помешает.

Большой выбор аксессуаров на Aliexpress, Ebay, Amazon. Обращайте внимание на положительные отзывы.

Обсудить в чате https://t.me/+jrxm2KHbIl9kMDQy Открыть/Комментировать