Проект Hush Line задумывался как тихий способ сказать важное. Без логинов, без IP, без следов. Просто страница с одним полем — и всё, что вы в него впишете, исчезает в шифр. Причём прямо в браузере, ещё до отправки: библиотека OpenPGP.js кодирует сообщение на месте, так что сервер не знает ни автора, ни текста — только то, что кто-то что-то сказал. Или прошептал.
Всё это звучит красиво, но главное — работает оно через Tor. У проекта есть onion-адрес, и если вы открываете его в Tor Browser, ваш IP исчезает в луковом тумане. Для удобства есть и обычное зеркало hushline.app — быстрее, но оставляет след в логах провайдера. Так что выбор: или безопасность, или комфорт. Не оба сразу.
Чтобы проверить, насколько всё это надёжно, Open Technology Fund в 2024-м заказал аудит команде Subgraph. И оказалось, что Personal Server — отдельный коробочный вариант Hush Line — почти безупречен. Ни баз данных, ни учёток, всё крутится на Tor и живёт на Raspberry Pi OS Lite. Единственная уязвимость — если кто-то заспамит вход потоками сообщений. Это и поправили: вшили ограничение скорости, убрали всё лишнее. Получилась коробка для параноиков — но рабочая.
Облачная версия, Managed Service, попроще. Там и роли, и визуальная панель, и интеграция с Proton Mail. Зато и риски выше: аудит нашёл потенциальные SQL-инъекции и уязвимость из-за общей базы данных. Всё оперативно закрыли: мигрировали на SQLite, прикрутили Flask-Limiter, а крипту перевели на Sequoia. Параллельно пришили патч 0.3.5, который прикрыл XSS с CVE-2024-55888 — всё из-за того, что кто-то забыл про CSP.
Но криптография — это только полдела. Если противник видит и вход, и выход, он может сопоставить задержки. Эта техника — traffic correlation — применялась немецкими спецслужбами против скрытых Tor-сервисов. Спастись можно только так: менять маршруты, пользоваться Wi-Fi вне дома, следить за тем, как ты пишешь. Потому что фраза вроде “по нашему внутреннему регламенту ПНП-304” выдает человека быстрее, чем любой эксплойт.
Именно об этом предупреждает и сам Hush Line: не надо копировать служебные тексты, не надо писать, как обычно. Пиши просто. Без цифр, без ссылок, без лишних меток. И чисти cookies — сразу, после отправки.
Если жалоба не про госизмену, то Tor Browser и Managed Service хватит. Но если ставки высоки, схема будет другая: Personal Server в отдельной комнате, интернет — через собственный роутер, устройство под Tails или Qubes/Whonix, ключ PGP — только офлайн. Это уже почти как SecureDrop, только без головной боли на три недели.
Но помни: Hush Line передаёт только текст. Ни сканов, ни фото, ни видео — только буквы. Всё остальное — через OnionShare или тот же SecureDrop. Потому что EXIF и метаданные выдают не хуже отпечатков пальцев.
А ещё есть физический уровень. Самый банальный. Устройство могут изъять на границе. Телефон — отследить по сотовой. Паспорт — привязать к IMEI. И тогда ни один PGP тебе не поможет.
Hush Line обещают добавить «горящие» сообщения, чистку метаданных, post-quantum режим SequoiaPQ, отдельные облака для редакций. Всё это делается на гранты от OTF и пожертвования. А иногда — просто за звёздочку на GitHub.
Но какой бы ни была защита, всё решает поведение пользователя. Меняй стиль. Не повторяйся. Удаляй следы всегда. Потому что даже самый надёжный шёпот может оказаться эхом.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Всё это звучит красиво, но главное — работает оно через Tor. У проекта есть onion-адрес, и если вы открываете его в Tor Browser, ваш IP исчезает в луковом тумане. Для удобства есть и обычное зеркало hushline.app — быстрее, но оставляет след в логах провайдера. Так что выбор: или безопасность, или комфорт. Не оба сразу.
Чтобы проверить, насколько всё это надёжно, Open Technology Fund в 2024-м заказал аудит команде Subgraph. И оказалось, что Personal Server — отдельный коробочный вариант Hush Line — почти безупречен. Ни баз данных, ни учёток, всё крутится на Tor и живёт на Raspberry Pi OS Lite. Единственная уязвимость — если кто-то заспамит вход потоками сообщений. Это и поправили: вшили ограничение скорости, убрали всё лишнее. Получилась коробка для параноиков — но рабочая.
Облачная версия, Managed Service, попроще. Там и роли, и визуальная панель, и интеграция с Proton Mail. Зато и риски выше: аудит нашёл потенциальные SQL-инъекции и уязвимость из-за общей базы данных. Всё оперативно закрыли: мигрировали на SQLite, прикрутили Flask-Limiter, а крипту перевели на Sequoia. Параллельно пришили патч 0.3.5, который прикрыл XSS с CVE-2024-55888 — всё из-за того, что кто-то забыл про CSP.
Но криптография — это только полдела. Если противник видит и вход, и выход, он может сопоставить задержки. Эта техника — traffic correlation — применялась немецкими спецслужбами против скрытых Tor-сервисов. Спастись можно только так: менять маршруты, пользоваться Wi-Fi вне дома, следить за тем, как ты пишешь. Потому что фраза вроде “по нашему внутреннему регламенту ПНП-304” выдает человека быстрее, чем любой эксплойт.
Именно об этом предупреждает и сам Hush Line: не надо копировать служебные тексты, не надо писать, как обычно. Пиши просто. Без цифр, без ссылок, без лишних меток. И чисти cookies — сразу, после отправки.
Если жалоба не про госизмену, то Tor Browser и Managed Service хватит. Но если ставки высоки, схема будет другая: Personal Server в отдельной комнате, интернет — через собственный роутер, устройство под Tails или Qubes/Whonix, ключ PGP — только офлайн. Это уже почти как SecureDrop, только без головной боли на три недели.
Но помни: Hush Line передаёт только текст. Ни сканов, ни фото, ни видео — только буквы. Всё остальное — через OnionShare или тот же SecureDrop. Потому что EXIF и метаданные выдают не хуже отпечатков пальцев.
А ещё есть физический уровень. Самый банальный. Устройство могут изъять на границе. Телефон — отследить по сотовой. Паспорт — привязать к IMEI. И тогда ни один PGP тебе не поможет.
Hush Line обещают добавить «горящие» сообщения, чистку метаданных, post-quantum режим SequoiaPQ, отдельные облака для редакций. Всё это делается на гранты от OTF и пожертвования. А иногда — просто за звёздочку на GitHub.
Но какой бы ни была защита, всё решает поведение пользователя. Меняй стиль. Не повторяйся. Удаляй следы всегда. Потому что даже самый надёжный шёпот может оказаться эхом.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥57❤8👍6
8 декабря 2020 года глава компании FireEye произнёс фразу, от которой в мире кибербезопасности холодеет позвоночник: «Кажется, взломали нас самих». В течение нескольких часов стало ясно, что украденные инструменты red team — лишь слабое эхо чего-то куда более глубокого. В их сети прятался гость, молчаливый, осторожный и чужой.
След привёл к обновлению Orion — платформе, которую использовали все, от Пентагона до Microsoft. Выяснилось, что кто-то смог внедрить в цепочку сборки вредоносный код, причём не после релиза, не через подмену файла, а внутри самой логики процесса. Ещё осенью 2019 года, пока SolarWinds уверенно строила доверие к своей экосистеме, зло уже затаилось в коде. Когда пришло время выкладывать обновление, оно шло с цифровой подписью, всё как положено — только внутри уже спал троянец.
Этот троянец, позже получивший имя SUNBURST, сначала ждал. Две недели он не делал ничего, чтобы не вызвать ни одного подозрения. Потом начинал передавать данные на командный сервер, маскируясь под трафик телеметрии. Потом подгружал дополнительный вредонос. Всё — без ошибок, без лишнего шума. Весной 2020 го тысячи системных администраторов по всему миру нажимали кнопку «Обновить», получая не обновление, а тикающий маячок, связанный с внешним миром.
Число заражённых инсталляций превысило 18 тысяч. Активно шпионили — меньше сотни, но выбор был точечным и пугающе точным: министерства США, телеком-компании Европы, исследовательские институты Азии, крупные облачные интеграторы. Злоумышленники, позже отнесённые к Nobelium (APT29), не ломали двери — они заходили в открытую, тихо копируя ключи доступа, схемы сетей, исходные коды и конфигурации. Если на машине был forensic-инструмент вроде Wireshark, троянец замирал, делая вид, что его никогда не было. Это была не атака, это была хирургия.
Большинство жертв не заметили ничего. Только после публикации индикаторов компрометации от FireEye и экстренных предупреждений от CISA началось осознание масштаба. И тогда выяснилось главное: весь мир оказался уязвим из-за одной кнопки, одного доверенного обновления.
Позже, в апреле 2021 года, Mandiant опубликует отчёт, где скажет вслух то, что все уже чувствовали — атаки на цепочки поставок больше не экзотика. Если раньше они составляли доли процента, то теперь — почти пятая часть всех взломов. И в подавляющем большинстве случаев путь в сеть начинался с SolarWinds.
Компания пыталась отыграть назад. Патчи, брифинги, публичные заявления о «менее 100 реально пострадавших». Но факт оставался: обновление, которое ставили тысячи, оказалось троянским конём, и никто этого не заметил.
Спустя годы SUNBURST всё ещё находят в дикой природе. Nobelium больше не нуждается в старых трюках — они адаптировались, создали поддельные медиа-домены, запустили гуманитарный фишинг, изменили вектор. Но суть осталась прежней: маскировка под доверенное — это их любимое оружие.
Самый страшный вывод из истории SolarWinds — не в масштабах, не в репутационных потерях и не в изяществе исполнения. А в том, насколько легко всё случилось. Один подписанный билд. Одна кнопка «Обновить». Один незащищённый шаг — и тысячи дверей приоткрылись. За этим стоит вопрос, который теперь не даёт покоя ни одному инженеру: если даже подпись сборки больше не даёт гарантий, что нам тогда остаётся?
Ответ один: проверять всё. Собирать список компонентов. Изолировать сборочные процессы. Подвергать сомнению даже то, что кажется своим. Потому что сегодня кнопка «Обновить» — это не просто запуск апдейта. Это рубеж. И если вы не проверяете, что именно запускаете, значит кто-то уже сделал это за вас.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
След привёл к обновлению Orion — платформе, которую использовали все, от Пентагона до Microsoft. Выяснилось, что кто-то смог внедрить в цепочку сборки вредоносный код, причём не после релиза, не через подмену файла, а внутри самой логики процесса. Ещё осенью 2019 года, пока SolarWinds уверенно строила доверие к своей экосистеме, зло уже затаилось в коде. Когда пришло время выкладывать обновление, оно шло с цифровой подписью, всё как положено — только внутри уже спал троянец.
Этот троянец, позже получивший имя SUNBURST, сначала ждал. Две недели он не делал ничего, чтобы не вызвать ни одного подозрения. Потом начинал передавать данные на командный сервер, маскируясь под трафик телеметрии. Потом подгружал дополнительный вредонос. Всё — без ошибок, без лишнего шума. Весной 2020 го тысячи системных администраторов по всему миру нажимали кнопку «Обновить», получая не обновление, а тикающий маячок, связанный с внешним миром.
Число заражённых инсталляций превысило 18 тысяч. Активно шпионили — меньше сотни, но выбор был точечным и пугающе точным: министерства США, телеком-компании Европы, исследовательские институты Азии, крупные облачные интеграторы. Злоумышленники, позже отнесённые к Nobelium (APT29), не ломали двери — они заходили в открытую, тихо копируя ключи доступа, схемы сетей, исходные коды и конфигурации. Если на машине был forensic-инструмент вроде Wireshark, троянец замирал, делая вид, что его никогда не было. Это была не атака, это была хирургия.
Большинство жертв не заметили ничего. Только после публикации индикаторов компрометации от FireEye и экстренных предупреждений от CISA началось осознание масштаба. И тогда выяснилось главное: весь мир оказался уязвим из-за одной кнопки, одного доверенного обновления.
Позже, в апреле 2021 года, Mandiant опубликует отчёт, где скажет вслух то, что все уже чувствовали — атаки на цепочки поставок больше не экзотика. Если раньше они составляли доли процента, то теперь — почти пятая часть всех взломов. И в подавляющем большинстве случаев путь в сеть начинался с SolarWinds.
Компания пыталась отыграть назад. Патчи, брифинги, публичные заявления о «менее 100 реально пострадавших». Но факт оставался: обновление, которое ставили тысячи, оказалось троянским конём, и никто этого не заметил.
Спустя годы SUNBURST всё ещё находят в дикой природе. Nobelium больше не нуждается в старых трюках — они адаптировались, создали поддельные медиа-домены, запустили гуманитарный фишинг, изменили вектор. Но суть осталась прежней: маскировка под доверенное — это их любимое оружие.
Самый страшный вывод из истории SolarWinds — не в масштабах, не в репутационных потерях и не в изяществе исполнения. А в том, насколько легко всё случилось. Один подписанный билд. Одна кнопка «Обновить». Один незащищённый шаг — и тысячи дверей приоткрылись. За этим стоит вопрос, который теперь не даёт покоя ни одному инженеру: если даже подпись сборки больше не даёт гарантий, что нам тогда остаётся?
Ответ один: проверять всё. Собирать список компонентов. Изолировать сборочные процессы. Подвергать сомнению даже то, что кажется своим. Потому что сегодня кнопка «Обновить» — это не просто запуск апдейта. Это рубеж. И если вы не проверяете, что именно запускаете, значит кто-то уже сделал это за вас.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥75❤12👍4
Июль катится к финалу, но кибербезопасность не даёт расслабиться. На этот раз тревогу подняла китайская Huangdou Security — заявили, будто нашли способ снять метку «приватно» с закрытых каналов Telegram. Не через взлом клиента. Не с помощью фейкового инвайта. А напрямую — на уровне серверной логики. И не просто доступ к контенту, а полное вскрытие, включая удалённые медиа. Без приглашений. Без следов. Просто скриншоты: чужие личные фотографии, якобы извлечённые из недоступного канала, с метаданными и названиями. Доказательства? Размытые. Код? Не показан. Логика? «Обход маскировки доступа» и «десинхрон в CDN».
Кто-то бы махнул рукой — мол, утка. Но Huangdou раньше публиковали вполне рабочие PoC для WeChat. Пусть и без кода, но не просто теоретики. И когда в кадре появляются частные фото, якобы слитые из архива, — комьюнити начинает нервничать. Telegram молчит. В CVE — пусто. Баг-трекер чист.
Протокол тут тоже не даёт поводов для паники. MTProto проверяет сразу три вещи: уникальный ключ сессии (auth_key), хеш-доступ (access_hash) и то, есть ли у пользователя вообще права читать канал. Если чего-то не хватает — сервер просто отвечает «CHANNEL_PRIVATE» и отправляет клиента в сад. Даже если попытаться хитрить и отключить проверки на стороне приложения, история не выдастся — сервер жёстко фильтрует всё сам. Обойти CDN тоже не получится: без валидной ссылки ничего не достанешь, а после удаления медиа она быстро становится бесполезной. Telegram не сразу, но всё же отправляет такие файлы в мусорку — пусть и ленивую. А кэш, который мог бы зацепить утёкшие картинки, живёт буквально пару минут, не больше.
Кто только ни пытался воспроизвести баг: и ребята из tginfo, и китайские исследователи, и одиночки с Telethon, которые сутками гоняли скрипты через датацентры, подставляя фейковые сессии, моделируя доступ, ковыряя архивы. Всё упиралось в те же грабли: CHANNEL_PRIVATE и CHATS_TOO_BIG. Даже старые версии Server API не повели себя иначе. В итоге независимые эксперты по безопасности вынесли сухой вердикт: пока это «неподтверждённый нулевик».
Теоретически — шанс есть. Telegram порой шалит при переходе megagroup → broadcast. Бывали случаи, когда смена access_hash во время миграции создавала крошечное окно. Или когда CDN в разных DC реплицировался неравномерно. Или когда invite отзывался, а старая сессия ещё пару минут держалась живой. Но это больше экзотика, чем стабильный эксплойт. Хотя EvilVideo в 2024-м, когда троян подменял APK-файл, сначала тоже казался мифом. И на его закрытие ушло 11 дней. Если баг Mask Bypass жив, то патч должен быть на подходе. Пока — тишина.
Индустрия тем временем кипит. За настоящий Telegram RCE с полным обходом защиты, брокер Operation Zero уже обещает до четырёх миллионов долларов. Продавать такой инструмент через полупрозрачный блог? Зачем, если можно продать молча. Или напрямую — Telegram, или одному из структурных игроков. И если баг действительно настолько опасен, как утверждает Huangdou, то его бы уже перекупили. Или зарыли.
Что делать прямо сейчас? Паники нет. Но здравый смысл никто не отменял. Критичные материалы давно выносят за пределы Telegram или шифруют в секретный чат. Сессии сбрасывают, устройства закрепляют за контейнерами, ключи ротации периодически обновляют. Если же слух подтвердится — первым делом менять пригласительные ссылки, чистить админов, проводить ревизию медиаархивов. Не потому что Telegram слаб. А потому что никто не застрахован, когда приватность зависит от архитектуры, которую ты не контролируешь.
Пока же вся эта история больше похожа на дым без огня. Скандал есть. Кода нет. Репродукции — мимо. Но сама волна говорит о главном: даже слух способен пошатнуть доверие к самой стабильной платформе. И напомнить — приватность не в кнопке. Она в тебе. И в твоём умении не полагаться вслепую на шифр, каким бы красивым он ни казался.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Кто-то бы махнул рукой — мол, утка. Но Huangdou раньше публиковали вполне рабочие PoC для WeChat. Пусть и без кода, но не просто теоретики. И когда в кадре появляются частные фото, якобы слитые из архива, — комьюнити начинает нервничать. Telegram молчит. В CVE — пусто. Баг-трекер чист.
Протокол тут тоже не даёт поводов для паники. MTProto проверяет сразу три вещи: уникальный ключ сессии (auth_key), хеш-доступ (access_hash) и то, есть ли у пользователя вообще права читать канал. Если чего-то не хватает — сервер просто отвечает «CHANNEL_PRIVATE» и отправляет клиента в сад. Даже если попытаться хитрить и отключить проверки на стороне приложения, история не выдастся — сервер жёстко фильтрует всё сам. Обойти CDN тоже не получится: без валидной ссылки ничего не достанешь, а после удаления медиа она быстро становится бесполезной. Telegram не сразу, но всё же отправляет такие файлы в мусорку — пусть и ленивую. А кэш, который мог бы зацепить утёкшие картинки, живёт буквально пару минут, не больше.
Кто только ни пытался воспроизвести баг: и ребята из tginfo, и китайские исследователи, и одиночки с Telethon, которые сутками гоняли скрипты через датацентры, подставляя фейковые сессии, моделируя доступ, ковыряя архивы. Всё упиралось в те же грабли: CHANNEL_PRIVATE и CHATS_TOO_BIG. Даже старые версии Server API не повели себя иначе. В итоге независимые эксперты по безопасности вынесли сухой вердикт: пока это «неподтверждённый нулевик».
Теоретически — шанс есть. Telegram порой шалит при переходе megagroup → broadcast. Бывали случаи, когда смена access_hash во время миграции создавала крошечное окно. Или когда CDN в разных DC реплицировался неравномерно. Или когда invite отзывался, а старая сессия ещё пару минут держалась живой. Но это больше экзотика, чем стабильный эксплойт. Хотя EvilVideo в 2024-м, когда троян подменял APK-файл, сначала тоже казался мифом. И на его закрытие ушло 11 дней. Если баг Mask Bypass жив, то патч должен быть на подходе. Пока — тишина.
Индустрия тем временем кипит. За настоящий Telegram RCE с полным обходом защиты, брокер Operation Zero уже обещает до четырёх миллионов долларов. Продавать такой инструмент через полупрозрачный блог? Зачем, если можно продать молча. Или напрямую — Telegram, или одному из структурных игроков. И если баг действительно настолько опасен, как утверждает Huangdou, то его бы уже перекупили. Или зарыли.
Что делать прямо сейчас? Паники нет. Но здравый смысл никто не отменял. Критичные материалы давно выносят за пределы Telegram или шифруют в секретный чат. Сессии сбрасывают, устройства закрепляют за контейнерами, ключи ротации периодически обновляют. Если же слух подтвердится — первым делом менять пригласительные ссылки, чистить админов, проводить ревизию медиаархивов. Не потому что Telegram слаб. А потому что никто не застрахован, когда приватность зависит от архитектуры, которую ты не контролируешь.
Пока же вся эта история больше похожа на дым без огня. Скандал есть. Кода нет. Репродукции — мимо. Но сама волна говорит о главном: даже слух способен пошатнуть доверие к самой стабильной платформе. И напомнить — приватность не в кнопке. Она в тебе. И в твоём умении не полагаться вслепую на шифр, каким бы красивым он ни казался.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥85❤13👍10
В ИБ-сводках снова пахнет дымом — и в этот раз источник в самом сердце Москвы. Microsoft раскрыла операцию Turla (она же Secret Blizzard) — и это не просто очередной шпионский вирус, а хладнокровный, почти театральный спектакль на уровне провайдера. Около года хакеры вели охоту за дипломатами, подсовывая им фальшивый антивирус «Лаборатории Касперского» вместо чистого ПО и заражая машины через знакомые всем captive portal-ы — те самые «согласитесь с условиями» страницы в гостиницах и аэропортах.
Но подделанный интерфейс — лишь приманка. Главное в том, что Turla впервые показала, что умеет атаковать не через уязвимый софт, а прямо в точке, где интернет входит в здание — на уровне российских ISP. Подмена сертификатов, перехват трафика, установка долгоживущих шпионских модулей — всё это происходило незаметно, под крышей национальной телеком-инфраструктуры. Любой дипломат, открывший в Москве браузер, фактически ставил флажок на своём устройстве: «Я доступен для наблюдения».
За этой схемой стоит 16-й центр ФСБ — та же структура, что когда-то выдала в мир NotPetya и погружала в темноту украинские электросети. Turla работает с начала 2000х, но такой наглой и технически выверенной атаки от них ещё не видели. Государственная система СОРМ, изначально преподнесённая как инструмент «законного» контроля, в их руках превратилась в канал скрытого кибершпионажа против иностранных миссий.
Microsoft не раскрывает список пострадавших стран, но намёков достаточно: под прицел мог попасть любой, кто решал дипломатические вопросы в российской столице, не задумываясь, что даже поход в онлайн за прогнозом погоды может закончиться перехватом переписки. Урок очевиден — в Москве интернет не просто под надзором, он встроен в политический ландшафт. И если против вас играют на таком уровне, то ни VPN, ни фирменный антивирус не спасут без полноценной изоляции устройств и сетей.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Но подделанный интерфейс — лишь приманка. Главное в том, что Turla впервые показала, что умеет атаковать не через уязвимый софт, а прямо в точке, где интернет входит в здание — на уровне российских ISP. Подмена сертификатов, перехват трафика, установка долгоживущих шпионских модулей — всё это происходило незаметно, под крышей национальной телеком-инфраструктуры. Любой дипломат, открывший в Москве браузер, фактически ставил флажок на своём устройстве: «Я доступен для наблюдения».
За этой схемой стоит 16-й центр ФСБ — та же структура, что когда-то выдала в мир NotPetya и погружала в темноту украинские электросети. Turla работает с начала 2000х, но такой наглой и технически выверенной атаки от них ещё не видели. Государственная система СОРМ, изначально преподнесённая как инструмент «законного» контроля, в их руках превратилась в канал скрытого кибершпионажа против иностранных миссий.
Microsoft не раскрывает список пострадавших стран, но намёков достаточно: под прицел мог попасть любой, кто решал дипломатические вопросы в российской столице, не задумываясь, что даже поход в онлайн за прогнозом погоды может закончиться перехватом переписки. Урок очевиден — в Москве интернет не просто под надзором, он встроен в политический ландшафт. И если против вас играют на таком уровне, то ни VPN, ни фирменный антивирус не спасут без полноценной изоляции устройств и сетей.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
7🔥78❤10🥱4🤯3😁1🌚1
Исследователи Ostorlab решили проверить, насколько «неприступным» на самом деле остаётся Signal для Android. Мессенджер, который Сноуден называет золотым стандартом приватности, журналисты используют для конфиденциальных бесед, а активисты — для того, чтобы спать спокойнее, внезапно оказался под прицелом технического аудита. Результат — две серьёзные уязвимости, позволявшие читать внутренние файлы приложения. Парадокс в том, что даже так сообщения пользователей остались за семью замками.
Первая брешь — Path Traversal в BlobContentProvider. Android-декодер в SDK слишком доверчиво обращался с последовательностями вида %2F и ../. Достаточно было подменить путь в запросе, чтобы приложение вместо ожидаемого объекта заглянуло в чужой «сейф». Пример, который использовали исследователи, выглядел почти невинно, но на деле позволял прочитать org.thoughtcrime.securesms_preferences.xml прямо из каталога shared_prefs.
Вторая — недосмотр в ShareActivity. Signal умеет принимать файлы через интернет от других приложений, и в случае с одиночным вложением проверка жёсткая: ничего из /data/ не пропустит. Но если отправить несколько файлов, то сторож заснёт. Один файл — настоящий, для отвода глаз, другой — маскированный под .png, но с референсом на конфигурационный XML в системном каталоге. В итоге мессенджер считал его изображением и открывал доступ к конфиденциальным данным.
Чтобы превратить эти находки в рабочую атаку, Ostorlab объединила несколько трюков: обход FileUriExposedException через
Добычей стали имена из ярлыков контактов, настройки приложения, Firebase-токены и метаданные конфигурации. Но вот база сообщений осталась закрыта: SQLCipher, Android Keystore и аппаратная защита ключей отрезали все пути. Пароли резервных копий и сами ключи шифрования злоумышленнику не достались.
В этом — главный урок. Баги есть везде, но архитектура с несколькими слоями защиты делает так, что даже успешная эксплуатация одного уровня не рушит всю оборону. Здесь сработали шифрование базы, защита ключей на уровне ОС и железа, плюс изоляция критичных данных.
Реакция Signal стала отдельной иллюстрацией правильного responsible disclosure: через три часа после отчёта пришло подтверждение, спустя несколько дней — готовый патч, а версия 7.44.2 закрыла обе уязвимости. Google же на вопрос про исправление в SDK лишь ответил, что «это ожидаемое поведение» и обратная совместимость важнее.
Вывод для пользователей прост: продолжать использовать Signal. Баги нашли и устранили, а сама история показала, что многоуровневая защита — не маркетинговая фраза, а реально работающий механизм, который не даёт одним уязвимостям обрушить весь замок.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Первая брешь — Path Traversal в BlobContentProvider. Android-декодер в SDK слишком доверчиво обращался с последовательностями вида %2F и ../. Достаточно было подменить путь в запросе, чтобы приложение вместо ожидаемого объекта заглянуло в чужой «сейф». Пример, который использовали исследователи, выглядел почти невинно, но на деле позволял прочитать org.thoughtcrime.securesms_preferences.xml прямо из каталога shared_prefs.
Вторая — недосмотр в ShareActivity. Signal умеет принимать файлы через интернет от других приложений, и в случае с одиночным вложением проверка жёсткая: ничего из /data/ не пропустит. Но если отправить несколько файлов, то сторож заснёт. Один файл — настоящий, для отвода глаз, другой — маскированный под .png, но с референсом на конфигурационный XML в системном каталоге. В итоге мессенджер считал его изображением и открывал доступ к конфиденциальным данным.
Чтобы превратить эти находки в рабочую атаку, Ostorlab объединила несколько трюков: обход FileUriExposedException через
file://system/../data/, MIME-маскировку с подложными расширениями, предсказание дескрипторов временных файлов и использование симлинков /proc/self/fd/... для доступа к реальным объектам.Добычей стали имена из ярлыков контактов, настройки приложения, Firebase-токены и метаданные конфигурации. Но вот база сообщений осталась закрыта: SQLCipher, Android Keystore и аппаратная защита ключей отрезали все пути. Пароли резервных копий и сами ключи шифрования злоумышленнику не достались.
В этом — главный урок. Баги есть везде, но архитектура с несколькими слоями защиты делает так, что даже успешная эксплуатация одного уровня не рушит всю оборону. Здесь сработали шифрование базы, защита ключей на уровне ОС и железа, плюс изоляция критичных данных.
Реакция Signal стала отдельной иллюстрацией правильного responsible disclosure: через три часа после отчёта пришло подтверждение, спустя несколько дней — готовый патч, а версия 7.44.2 закрыла обе уязвимости. Google же на вопрос про исправление в SDK лишь ответил, что «это ожидаемое поведение» и обратная совместимость важнее.
Вывод для пользователей прост: продолжать использовать Signal. Баги нашли и устранили, а сама история показала, что многоуровневая защита — не маркетинговая фраза, а реально работающий механизм, который не даёт одним уязвимостям обрушить весь замок.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
305🔥73❤11👍4❤🔥1👏1🥱1
Заключение специалиста по МАХ.pdf
1.1 MB
Попался занятный документ. Экспертное заключение на всем известный мессенджер.
Что думаете?
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Что думаете?
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
3🔥89😁16👍7❤3👎2
Эволюция фишинга: как ИИ меняет правила игры в кибербезопасности
Фишинг не умер — он мутировал. Исчезли письма от «нигерийского принца», вместо них на сцене атаки с искусственным интеллектом, клонированным голосом и видео, которые не отличишь от реальных. То, что вчера выглядело фантастикой, сегодня собрано в готовых фреймворках, доступных любому.
Психология осталась той же, страх потерять доступ, срочность, давление авторитета, соблазн «секретного документа». Но теперь всё это упаковано в персонализацию. HUMINT и открытые источники позволяют собирать досье на каждого: если жертва подала заявку на кредит, письмо «от банка» о подтверждении данных будет выглядеть абсолютно легитимно.
С технической стороны всё не лучше. SPF у многих в «мягком» режиме, что открывает дорогу поддельным SMTP. Инструменты вроде emkei.cz дают спуфинг на уровне заполненной формы. Единственный шанс правильно настроенные SPF, DKIM и DMARC, жёсткая проверка соответствия Sender и Return-Path и автоматическая фильтрация на шлюзах. Иначе даже простая подделка проезжает без сопротивления.
ИИ добавил к этому ещё один слой ужаса. DeepFaceLab генерирует видео с «директором», Descript и Lyrebird подкидывают его голос. Смешайте с контекстом из соцсетей — и получится звонок, от которого сотрудник не отличит реальность. Гибрид атаки с видео и аудио, теперь новая реальность, где без инструментов детекции уже не справиться.
Двухфакторка, которая ещё недавно казалась золотым стандартом, тоже пошла трещинами. Evilginx перехватывает не только пароли, но и одноразовые коды, выдавая атакующему готовый сессионный токен. SMS, TOTP, пуши — всё ломается на обратном прокси. Спасти может только FIDO2/WebAuthn: криптографическая привязка к домену делает MITM бессмысленным.
Фронт фишинга ушёл и в инфраструктуру. Гомографические атаки используют буквы из разных алфавитов, выдавая поддельные домены за настоящие. DNS-хиджинг стал проще через IoT и роутеры с дефолтными паролями. Fast Flux ботнеты крутят IP до тех пор, пока вы не перестанете их ловить. Даже Wi-Fi превратился в ловушку: Evil Twin и KARMA цепляют устройства автоматически, авторизация в аэропорту или кафе собирает логины с невидимой лёгкостью.
Защита теперь должна быть комплексной. Технически: строгие политики SPF/DKIM/DMARC, CT-мониторинг, сегментация сети, железные токены. Организационно: коллбэк-протоколы для финансовых операций, голосовая биометрия в критичных системах. И самое важное — обучение. Но не «ищите ошибки в орфографии», а привычка проверять каждый эмоционально окрашенный запрос, даже если он пришёл «от шефа».
Будущее обещает лишь ускорение гонки. Генеративные модели будут штамповать персонализированные фишинговые сценарии в промышленных масштабах, а защитники бросятся в ответ строить ML-детекторы синтетики в реальном времени. Это уже не вспомогательная атака — это основной вектор компрометации в мире удалёнки и цифровой зависимости. И выживет тот, кто научится опережать.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Фишинг не умер — он мутировал. Исчезли письма от «нигерийского принца», вместо них на сцене атаки с искусственным интеллектом, клонированным голосом и видео, которые не отличишь от реальных. То, что вчера выглядело фантастикой, сегодня собрано в готовых фреймворках, доступных любому.
Психология осталась той же, страх потерять доступ, срочность, давление авторитета, соблазн «секретного документа». Но теперь всё это упаковано в персонализацию. HUMINT и открытые источники позволяют собирать досье на каждого: если жертва подала заявку на кредит, письмо «от банка» о подтверждении данных будет выглядеть абсолютно легитимно.
С технической стороны всё не лучше. SPF у многих в «мягком» режиме, что открывает дорогу поддельным SMTP. Инструменты вроде emkei.cz дают спуфинг на уровне заполненной формы. Единственный шанс правильно настроенные SPF, DKIM и DMARC, жёсткая проверка соответствия Sender и Return-Path и автоматическая фильтрация на шлюзах. Иначе даже простая подделка проезжает без сопротивления.
ИИ добавил к этому ещё один слой ужаса. DeepFaceLab генерирует видео с «директором», Descript и Lyrebird подкидывают его голос. Смешайте с контекстом из соцсетей — и получится звонок, от которого сотрудник не отличит реальность. Гибрид атаки с видео и аудио, теперь новая реальность, где без инструментов детекции уже не справиться.
Двухфакторка, которая ещё недавно казалась золотым стандартом, тоже пошла трещинами. Evilginx перехватывает не только пароли, но и одноразовые коды, выдавая атакующему готовый сессионный токен. SMS, TOTP, пуши — всё ломается на обратном прокси. Спасти может только FIDO2/WebAuthn: криптографическая привязка к домену делает MITM бессмысленным.
Фронт фишинга ушёл и в инфраструктуру. Гомографические атаки используют буквы из разных алфавитов, выдавая поддельные домены за настоящие. DNS-хиджинг стал проще через IoT и роутеры с дефолтными паролями. Fast Flux ботнеты крутят IP до тех пор, пока вы не перестанете их ловить. Даже Wi-Fi превратился в ловушку: Evil Twin и KARMA цепляют устройства автоматически, авторизация в аэропорту или кафе собирает логины с невидимой лёгкостью.
Защита теперь должна быть комплексной. Технически: строгие политики SPF/DKIM/DMARC, CT-мониторинг, сегментация сети, железные токены. Организационно: коллбэк-протоколы для финансовых операций, голосовая биометрия в критичных системах. И самое важное — обучение. Но не «ищите ошибки в орфографии», а привычка проверять каждый эмоционально окрашенный запрос, даже если он пришёл «от шефа».
Будущее обещает лишь ускорение гонки. Генеративные модели будут штамповать персонализированные фишинговые сценарии в промышленных масштабах, а защитники бросятся в ответ строить ML-детекторы синтетики в реальном времени. Это уже не вспомогательная атака — это основной вектор компрометации в мире удалёнки и цифровой зависимости. И выживет тот, кто научится опережать.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥81❤10👍7
Москва снова решила сыграть в будущее — только на этот раз без привычных камер, биометрии и «угадай, кто ты». На улицах, в метро, в магазинах и офисах внедряют систему, которая не смотрит в лицо, а метит всё вокруг специальной краской. Она невидима для глаза, безопасна для ткани и кожи, но камеры с фильтрами видят её свечение и передают в аналитическую платформу. Дальше включается нейросеть: она отслеживает перемещения объектов, собирает статистику, строит цифровые профили. Получается полноценное наблюдение без имен, фамилий и персональных данных.
Вариантов хватает. В торговых центрах это инструмент для анализа маршрутов покупателей и контроля уборки. На транспорте — управление пассажиропотоками и «невидимая» безопасность. В офисах — автоматизация учёта оборудования и процессов. В логистике — контроль за грузами без участия человека. Всё это презентуют как технологию комфорта, без «большого брата» и без нарушений закона.
Юридически к разработке не придерёшься: метка не содержит биометрию и не указывает на конкретного человека. Именно поэтому юристы разводят руками — персональные данные тут формально не собираются. А значит, согласия никто не спрашивает. Но факт остаётся фактом: любой объект, на который попала эта краска, превращается в элемент трекинга. Его маршрут можно проследить, его поведение — описать.
Презентация в кластере «Ломоносов» прошла в 2025 году при Мишустине и Собянине. Государство открыто поддерживает проект. Компания BPA Technologies уже подписала «этический кодекс» и уверяет, что всё прозрачно и сделано ради удобства. Формально всё чисто: юристы довольны, чиновники улыбаются. Но где-то внутри всё равно скребётся вопрос — а не превращают ли нас в подопытных мышей для новой версии цифрового надзора?
Получается странная анонимность: имя твое системе не нужно, паспорт ей безразличен, а маршрут до дома она знает лучше, чем ты сам. И тут невольно задаёшься — это наблюдение без лиц или лицемерие без наблюдения? И если раньше за вами следили через лицо или паспорт, то теперь — через светящуюся для камеры точку на куртке.
Что думаете?
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Вариантов хватает. В торговых центрах это инструмент для анализа маршрутов покупателей и контроля уборки. На транспорте — управление пассажиропотоками и «невидимая» безопасность. В офисах — автоматизация учёта оборудования и процессов. В логистике — контроль за грузами без участия человека. Всё это презентуют как технологию комфорта, без «большого брата» и без нарушений закона.
Юридически к разработке не придерёшься: метка не содержит биометрию и не указывает на конкретного человека. Именно поэтому юристы разводят руками — персональные данные тут формально не собираются. А значит, согласия никто не спрашивает. Но факт остаётся фактом: любой объект, на который попала эта краска, превращается в элемент трекинга. Его маршрут можно проследить, его поведение — описать.
Презентация в кластере «Ломоносов» прошла в 2025 году при Мишустине и Собянине. Государство открыто поддерживает проект. Компания BPA Technologies уже подписала «этический кодекс» и уверяет, что всё прозрачно и сделано ради удобства. Формально всё чисто: юристы довольны, чиновники улыбаются. Но где-то внутри всё равно скребётся вопрос — а не превращают ли нас в подопытных мышей для новой версии цифрового надзора?
Получается странная анонимность: имя твое системе не нужно, паспорт ей безразличен, а маршрут до дома она знает лучше, чем ты сам. И тут невольно задаёшься — это наблюдение без лиц или лицемерие без наблюдения? И если раньше за вами следили через лицо или паспорт, то теперь — через светящуюся для камеры точку на куртке.
Что думаете?
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
40🔥65🤯18❤8🤔7👍1😁1
Базовая анонимная сборка: устройство и сеть.
Если вы всерьёз задумались об анонимности, начнём с простого факта: одно устройство для всего — это провал. Нужно разделение ролей. Возьмите обычный ноут, не «макбук», и сделайте его рабочей лошадкой для повседневных задач. Для анонимных действий берём отдельный аппарат или USB флешку с безопасной ОС — Tails или Whonix. Это не ради эстетики: разные устройства ломают связки «поведение -> отпечаток -> личность».
Сеть второй фронт. Обычный домашний интернет и привязанный к вам провайдер — это след под ковром. Один VPN? Хорошо как одна ступенька, но один VPN не закрывает вас от целенаправленного анализа. Соберите цепочку: локальный роутер с настроенным файрволом и DNS over HTTPS, затем VPN с проверкой no-logs, и на крайнем этапе Tor для чувствительных операций. Если вы не готовы к Tor, хотя бы используйте отдельный роутер/точку доступа только для анонимных сессий, физически отделённую от повседневной сети. Kill Switch обязателен — разовое срабатывание раздаст ваш реальный IP.
Физика тоже важна. Камера и микрофон, не «можно», а «нужно». Физические заглушки на камеру, отключение микрофона в BIOS/UEFI или совсем вырезанный модуль, это не паранойя, это стандарт. Если перевозите устройство, используйте внешний аккумулятор и отдельный роутер, чтобы не цепляться к публичным сетям напрямую без подготовки.
Шифрование дисков, обязательное правило, а не опция. VeraCrypt или BitLocker, выбранный и настроенный вами с сильным паролем — первый рубеж после физического захвата устройства. Храните резервные ключи офлайн, не в том же облаке, куда вы делаете бэкап рабочих файлов.
И ещё одно: поведенческая сегментация. Одна и та же риторика, одни часы активности и одни привычки выдадут вас быстрее любой уязвимости. Для «анонимных» задач используйте другой профиль, другой почтовый ящик, другие временные паттерны. Стройте цепочки: устройство A — браузер X — аккаунт a; устройство B — браузер Y — аккаунт b. Смешивание профилей это прямой путь в деанон.
Коротко о практике прямо сейчас: если у вас есть ноут и вы хотите минимально усложнить жизнь тем, кто будет пытаться вас вычислить, установите Tails на флешку, заведите отдельный роутер для анонимных сессий, включите полнодисковое шифрование на основном диске и заклейте камеру.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Если вы всерьёз задумались об анонимности, начнём с простого факта: одно устройство для всего — это провал. Нужно разделение ролей. Возьмите обычный ноут, не «макбук», и сделайте его рабочей лошадкой для повседневных задач. Для анонимных действий берём отдельный аппарат или USB флешку с безопасной ОС — Tails или Whonix. Это не ради эстетики: разные устройства ломают связки «поведение -> отпечаток -> личность».
Сеть второй фронт. Обычный домашний интернет и привязанный к вам провайдер — это след под ковром. Один VPN? Хорошо как одна ступенька, но один VPN не закрывает вас от целенаправленного анализа. Соберите цепочку: локальный роутер с настроенным файрволом и DNS over HTTPS, затем VPN с проверкой no-logs, и на крайнем этапе Tor для чувствительных операций. Если вы не готовы к Tor, хотя бы используйте отдельный роутер/точку доступа только для анонимных сессий, физически отделённую от повседневной сети. Kill Switch обязателен — разовое срабатывание раздаст ваш реальный IP.
Физика тоже важна. Камера и микрофон, не «можно», а «нужно». Физические заглушки на камеру, отключение микрофона в BIOS/UEFI или совсем вырезанный модуль, это не паранойя, это стандарт. Если перевозите устройство, используйте внешний аккумулятор и отдельный роутер, чтобы не цепляться к публичным сетям напрямую без подготовки.
Шифрование дисков, обязательное правило, а не опция. VeraCrypt или BitLocker, выбранный и настроенный вами с сильным паролем — первый рубеж после физического захвата устройства. Храните резервные ключи офлайн, не в том же облаке, куда вы делаете бэкап рабочих файлов.
И ещё одно: поведенческая сегментация. Одна и та же риторика, одни часы активности и одни привычки выдадут вас быстрее любой уязвимости. Для «анонимных» задач используйте другой профиль, другой почтовый ящик, другие временные паттерны. Стройте цепочки: устройство A — браузер X — аккаунт a; устройство B — браузер Y — аккаунт b. Смешивание профилей это прямой путь в деанон.
Коротко о практике прямо сейчас: если у вас есть ноут и вы хотите минимально усложнить жизнь тем, кто будет пытаться вас вычислить, установите Tails на флешку, заведите отдельный роутер для анонимных сессий, включите полнодисковое шифрование на основном диске и заклейте камеру.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
158🔥182❤15👍9
VS Code Marketplace: почему «официально» не значит «безопасно»
На этой неделе в ИБ-сообществе снова всплыл Visual Studio Code, и не из-за новой фичи. Исследователи Checkmarx обнаружили очередную волну вредоносных расширений, которые без особых проблем прошли модерацию и оказались в официальном Marketplace.
Важно сразу расставить акценты. Это не была массовая эпидемия и не «катастрофа для Go-разработчиков». Скорее аккуратная пристрелка. Под удар попали те, кто искал свежие темы оформления и модные AI-ассистенты. Установок было немного, десятки, а не тысячи. Но именно это и делает инцидент показательным: атака была не про масштаб, а про проверку границ допустимого.
Работало всё предельно буднично. Злоумышленники не изобретали ничего нового, а использовали проверенный арсенал. Тайпосквоттинг, когда название и визуал расширения почти неотличимы от легитимного. В отдельных случаях, более сложные цепочки, где вредонос затягивался через связанные пакеты, поддельные библиотеки и стандартные для Windows трюки вроде batch-скриптов и DLL hijacking. Всё это не эксплойты нулевого дня, а тихая эксплуатация доверия.
Цель была тоже максимально приземлённой. Классический инфостилер. SSH-ключи, облачные конфиги AWS и Azure, переменные окружения, .env-файлы. Всё то, что редко шифруют и почти никогда не считают «точкой атаки», хотя именно там лежит доступ к продакшену.
Да, конкретные расширения удалили достаточно быстро. Но сама история показывает более неприятную вещь: фильтры Marketplace по-прежнему пропускают код, который делает в системе куда больше, чем просто «помогает писать код». IDE давно перестала быть текстовым редактором. Это концентратор доверия.
Особенно это касается тех, кто работает с инфраструктурой, бэкендом и облаками. Для атакующего ваш VS Code не среда разработки, а удобный мост к токенам, ключам и внутренним сервисам. Один удачный плагин и никакой фишинг уже не нужен.
Вывод здесь довольно скучный, но важный. Marketplace это не знак качества и не гарантия безопасности. Это просто огромный склад. А на любом складе рядом с брендовой коробкой всегда найдётся что-то безымянное, но «очень полезное».
Проверять количество установок, смотреть на издателя и не тянуть в рабочую среду «новую крутую AI-штуку» от неизвестного автора, это уже не паранойя, а базовая гигиена.
IDE это доверенная зона. И если относиться к ней как к проходному двору, рано или поздно этим обязательно воспользуются.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
На этой неделе в ИБ-сообществе снова всплыл Visual Studio Code, и не из-за новой фичи. Исследователи Checkmarx обнаружили очередную волну вредоносных расширений, которые без особых проблем прошли модерацию и оказались в официальном Marketplace.
Важно сразу расставить акценты. Это не была массовая эпидемия и не «катастрофа для Go-разработчиков». Скорее аккуратная пристрелка. Под удар попали те, кто искал свежие темы оформления и модные AI-ассистенты. Установок было немного, десятки, а не тысячи. Но именно это и делает инцидент показательным: атака была не про масштаб, а про проверку границ допустимого.
Работало всё предельно буднично. Злоумышленники не изобретали ничего нового, а использовали проверенный арсенал. Тайпосквоттинг, когда название и визуал расширения почти неотличимы от легитимного. В отдельных случаях, более сложные цепочки, где вредонос затягивался через связанные пакеты, поддельные библиотеки и стандартные для Windows трюки вроде batch-скриптов и DLL hijacking. Всё это не эксплойты нулевого дня, а тихая эксплуатация доверия.
Цель была тоже максимально приземлённой. Классический инфостилер. SSH-ключи, облачные конфиги AWS и Azure, переменные окружения, .env-файлы. Всё то, что редко шифруют и почти никогда не считают «точкой атаки», хотя именно там лежит доступ к продакшену.
Да, конкретные расширения удалили достаточно быстро. Но сама история показывает более неприятную вещь: фильтры Marketplace по-прежнему пропускают код, который делает в системе куда больше, чем просто «помогает писать код». IDE давно перестала быть текстовым редактором. Это концентратор доверия.
Особенно это касается тех, кто работает с инфраструктурой, бэкендом и облаками. Для атакующего ваш VS Code не среда разработки, а удобный мост к токенам, ключам и внутренним сервисам. Один удачный плагин и никакой фишинг уже не нужен.
Вывод здесь довольно скучный, но важный. Marketplace это не знак качества и не гарантия безопасности. Это просто огромный склад. А на любом складе рядом с брендовой коробкой всегда найдётся что-то безымянное, но «очень полезное».
Проверять количество установок, смотреть на издателя и не тянуть в рабочую среду «новую крутую AI-штуку» от неизвестного автора, это уже не паранойя, а базовая гигиена.
IDE это доверенная зона. И если относиться к ней как к проходному двору, рано или поздно этим обязательно воспользуются.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
1🔥48❤9👍4
Ты можешь быть невидимым для сети. Но не для себя. Один лишний логин, "ничего страшного, один раз не пид...с!", один файл с хвостами и твоя легенда превращается в протокол.
Читать гайд https://telegra.ph/Kak-hakery-skryvayut-sledy-12-20
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Читать гайд https://telegra.ph/Kak-hakery-skryvayut-sledy-12-20
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥40👍8❤3👏1