Деанон — это не когда ломают сервер. Это когда ломают тебя.
Ты сидишь через Tor, шифруешь трафик, не даёшь браузеру дышать без NoScript, платишь в Monero и каждый раз проверяешь WebRTC. Всё вроде по уму. Но вот плохая новость: невидимость — это не прокси и не VPN. Это поведение. Это то, как ты пишешь, во сколько заходишь, какие слова используешь и как рендерится твой Canvas. Всё, что ты делаешь, создаёт узор. И если кому-то этот узор интересен — он найдёт, откуда он взялся.
Самое подлое — ты даже не узнаешь, что уже спалился. Тебе никто не скажет: “привет, мы узнали, кто ты”. Просто где-то аналитик медленно, по крупицам, собирает твой цифровой портрет. Потому что ты дважды использовал один и тот же ник в разных сетках. Потому что твой стиль письма уникален, и ты не умеешь его менять. Потому что ты заходишь на сайт каждый вечер в одно и то же время, и кто-то это записал. Даже если ты под VPN, даже если через Tor — корреляция времени делает своё дело. Утечек достаточно, чтобы сложить пазл. Особенно если ты живёшь в городе, где всего три пользователя с таким набором шрифтов и видеокартой, как у тебя.
Это и есть деанонимизация — когда анонимный аккаунт внезапно становится Иваном из Новосибирска, которому 32 года, который ходит по утрам во Вкусно и точка и интересуется криптой. И делает он это не потому, что где-то написал фамилию. А потому что цифровой след — это не только IP. Это стиль. Это привычка. Это поведение.
Даже если у тебя Tails, три VPN подряд и NoScript, один баг в Tor-браузере — и ты уже в логах. Один клик по JavaScript на поддельной onion-странице — и твой IP утёк. Один забытый DNS-запрос, не прошедший через DoH — и вот ты, светящийся на полную, в логах провайдера. Или хуже: в логах злого выхода из Tor-сети, который кто-то слушал.
Вспомни случай с Михаилом Матвеевым, он же Wazawaka. Не какой-то случайный юзер — фигура в тени, связанная с группами вроде Hive и Babuk. Его не взломали. Его не сдал Telegram. Его вычислили по следам. Журналист Брайан Кребс просто сопоставил, как он пишет, какие ники использует, где был активен, какие старые домены оставил. Всё — лицо показано, ордер на арест, геолокация найдена. Сам же потом вышел в эфир и похвалил за деанон.
Никакой магии. Просто внимание и поведенческий анализ. Иронично? Да. Устрашающе? Ещё как.
Даже выключенные телефоны не всегда спасают: на некоторых моделях BLE-модули продолжают излучать сигналы, а MAC-адреса устройств можно перехватить и использовать для отслеживания. Набор гаджетов, их поведение, HWID, IMEI и серийные номера — всё это может использоваться для идентификации и слежки, иногда даже без твоего ведома.
И всё это — ещё до того, как ты откроешь рот. Потому что стиль письма — тоже отпечаток. Ты можешь поменять ник, платформу, даже прокси. Но если ты пишешь одинаково — тебя найдут. Алгоритмы стилометрии уже обучены на форумах и чатах, ты для них не сюрприз. Один характерный оборот, одна структура фразы — и всё, тебя узнали.
И не надейся, что твой VPN не ведёт логи. Даже если они говорят, что не ведут — проверь аудит. Даже если ты веришь — не используй один и тот же VPN для всего. Любое повторение — это след. А любой след — потенциальная улика.
Хочешь выжить в этом цирке — меняй не IP, а повадки. Один e-mail — одна личность. Один браузер — одно действие. Желательно — на разной машине. Использование одного браузера, убивает анонимность. Так же, как доверие к “удобным” сервисам. Красивый сайт и фраза “No logs” — это ещё не OPSEC.
Анонимность — это не галочка в настройках. Это не подписка на VPN. Это не браузер с тёмной темой. Это образ жизни. С паранойей. С дисциплиной. С пониманием, что один лишний клик — и ты уже статистика.
И как говорят старики в подпольных форумах:
Хочешь быть невидимым — перестань шуметь.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Ты сидишь через Tor, шифруешь трафик, не даёшь браузеру дышать без NoScript, платишь в Monero и каждый раз проверяешь WebRTC. Всё вроде по уму. Но вот плохая новость: невидимость — это не прокси и не VPN. Это поведение. Это то, как ты пишешь, во сколько заходишь, какие слова используешь и как рендерится твой Canvas. Всё, что ты делаешь, создаёт узор. И если кому-то этот узор интересен — он найдёт, откуда он взялся.
Самое подлое — ты даже не узнаешь, что уже спалился. Тебе никто не скажет: “привет, мы узнали, кто ты”. Просто где-то аналитик медленно, по крупицам, собирает твой цифровой портрет. Потому что ты дважды использовал один и тот же ник в разных сетках. Потому что твой стиль письма уникален, и ты не умеешь его менять. Потому что ты заходишь на сайт каждый вечер в одно и то же время, и кто-то это записал. Даже если ты под VPN, даже если через Tor — корреляция времени делает своё дело. Утечек достаточно, чтобы сложить пазл. Особенно если ты живёшь в городе, где всего три пользователя с таким набором шрифтов и видеокартой, как у тебя.
Это и есть деанонимизация — когда анонимный аккаунт внезапно становится Иваном из Новосибирска, которому 32 года, который ходит по утрам во Вкусно и точка и интересуется криптой. И делает он это не потому, что где-то написал фамилию. А потому что цифровой след — это не только IP. Это стиль. Это привычка. Это поведение.
Даже если у тебя Tails, три VPN подряд и NoScript, один баг в Tor-браузере — и ты уже в логах. Один клик по JavaScript на поддельной onion-странице — и твой IP утёк. Один забытый DNS-запрос, не прошедший через DoH — и вот ты, светящийся на полную, в логах провайдера. Или хуже: в логах злого выхода из Tor-сети, который кто-то слушал.
Вспомни случай с Михаилом Матвеевым, он же Wazawaka. Не какой-то случайный юзер — фигура в тени, связанная с группами вроде Hive и Babuk. Его не взломали. Его не сдал Telegram. Его вычислили по следам. Журналист Брайан Кребс просто сопоставил, как он пишет, какие ники использует, где был активен, какие старые домены оставил. Всё — лицо показано, ордер на арест, геолокация найдена. Сам же потом вышел в эфир и похвалил за деанон.
Никакой магии. Просто внимание и поведенческий анализ. Иронично? Да. Устрашающе? Ещё как.
Даже выключенные телефоны не всегда спасают: на некоторых моделях BLE-модули продолжают излучать сигналы, а MAC-адреса устройств можно перехватить и использовать для отслеживания. Набор гаджетов, их поведение, HWID, IMEI и серийные номера — всё это может использоваться для идентификации и слежки, иногда даже без твоего ведома.
И всё это — ещё до того, как ты откроешь рот. Потому что стиль письма — тоже отпечаток. Ты можешь поменять ник, платформу, даже прокси. Но если ты пишешь одинаково — тебя найдут. Алгоритмы стилометрии уже обучены на форумах и чатах, ты для них не сюрприз. Один характерный оборот, одна структура фразы — и всё, тебя узнали.
И не надейся, что твой VPN не ведёт логи. Даже если они говорят, что не ведут — проверь аудит. Даже если ты веришь — не используй один и тот же VPN для всего. Любое повторение — это след. А любой след — потенциальная улика.
Хочешь выжить в этом цирке — меняй не IP, а повадки. Один e-mail — одна личность. Один браузер — одно действие. Желательно — на разной машине. Использование одного браузера, убивает анонимность. Так же, как доверие к “удобным” сервисам. Красивый сайт и фраза “No logs” — это ещё не OPSEC.
Анонимность — это не галочка в настройках. Это не подписка на VPN. Это не браузер с тёмной темой. Это образ жизни. С паранойей. С дисциплиной. С пониманием, что один лишний клик — и ты уже статистика.
И как говорят старики в подпольных форумах:
Хочешь быть невидимым — перестань шуметь.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥108❤17👍7😁3💯2
Ты наблюдаешь — но и за тобой наблюдают
Открытые источники — не просто “гуглинг”. Это разведка. Профессиональная, точная, аккуратная. От анализа теней на снимках до распутывания фейковых цепочек дезинформации. Но реальность такова: работаешь с данными — оставляешь след. И если не знаешь, как защититься — рискуешь попасть в свою же воронку.
OSINT давно ушёл от банальных скриншотов. Сегодня это симбиоз аналитики, ИБ, автоматизации и старой доброй паранойи. Расследования вроде военной базы с китайскими беспилотниками BZK-005 на острове Дайшань, задокументированного Bellingcat в 2015 году, показали, как можно найти объект военного назначения по спутниковым снимкам, архитектурным деталям и ускользающим цифровым следам.
Или история с Thorn — их технология Spotlight анализирует сотни тысяч онлайн-объявлений ежедневно. По подтверждённым данным, инструмент помог идентифицировать более 6,000 жертв торговли людьми, применяя нейросети, графовые структуры и лингвистический анализ.
Во время пандемии COVID-19 OSINT стал фильтром для дезинформационного шума. Специалисты мониторили платформы, вычисляли бот-сети, отслеживали первоисточники фейков. Исследования показывали, что уровень фейков колебался от 0,2% до 28,8% в зависимости от страны, платформы и выбранной методологии. И эти проценты — не просто цифры, это алгоритмы, заливающие головы миллионам пользователей.
Но появились новые враги — дипфейки и ИИ-сгенерированный текст. Голоса, лица, видео. Всё подделывается. Глубоко и убедительно. По данным Deeptrace и других исследований, количество дипфейков в открытой сети удваивается каждые 6 месяцев. Детекция стала гонкой. Уровень успешной идентификации в зависимости от метода и длины контента — от 60% до 82%. Не идеально. Но пока ещё работает.
То же касается ИИ-сгенерированных текстов. LLM модели пишут так, что обычный читатель не отличит. OSINT-исследователи разрабатывают лингвистические ловушки, стилометрию, выявление статистических аномалий. По свежим данным, если объём текста больше 400 слов — точность классификации достигает 76%. Но тренды быстро меняются.
А теперь про то, о чём забывают все новички. VPN — уже не укрытие, а прожектор. Его видно. Его палят. Поведенческие аномалии, сигнатуры дата-центров, сквозная корреляция — ты даже не замечаешь, как откуда-то вытекает твой лог. Три VPN подряд не спасут, если ты используешь один и тот же почерк. Или один и тот же выходной узел.
Именно поэтому необходимо использовать мобильные прокси. Реальные IP от операторов. Смена IP выглядит как “отвалился LTE”. Никаких блоков, ни одного сигнала на безопасность платформ. Если ты ещё и используешь антидетект-браузеры с правильной Canvas-сигнатурой — ты превращаешься в обычного пользователя.
Статистика проста: при правильной конфигурации — вероятность детекта снижается на 82–94%. Главное — не переиспользовать прокси, не пересекать кейсы и не лениться с ротацией.
Что должно быть в арсенале: Maltego, SpiderFoot, Hunchly, ExifTool, SunCalc, PimEyes, Twint, Kibana, Snoop. Всё это — не просто программы. Это ножи. И резать ими можно аккуратно, а можно и по себе.
Но инструменты — это лишь полдела. Настоящий OSINT — это стратегия. Разделённые профили. Изолированные виртуалки. Чёткая документация. Перекрёстная верификация. И ни одной “быстрой проверки” с личного устройства.
Закон не спит. GDPR, CCPA, ФЗ-152. ИИ и OSINT уже на грани регулирования. Нарушил — будешь не исследователем, а фигурантом. Работай чисто. Соблюдай “необходимый минимум”. Не лезь туда, где можешь нанести вред. Особенно когда работаешь с уязвимыми группами.
OSINT — это не только техника.. Это дисциплина. Это многослойная инфраструктура. Это защита. Это умение выйти из расследования так, чтобы о нём никто не догадался.
И если ты всё делаешь правильно — тебя не видно. Даже когда ты видишь всех.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Открытые источники — не просто “гуглинг”. Это разведка. Профессиональная, точная, аккуратная. От анализа теней на снимках до распутывания фейковых цепочек дезинформации. Но реальность такова: работаешь с данными — оставляешь след. И если не знаешь, как защититься — рискуешь попасть в свою же воронку.
OSINT давно ушёл от банальных скриншотов. Сегодня это симбиоз аналитики, ИБ, автоматизации и старой доброй паранойи. Расследования вроде военной базы с китайскими беспилотниками BZK-005 на острове Дайшань, задокументированного Bellingcat в 2015 году, показали, как можно найти объект военного назначения по спутниковым снимкам, архитектурным деталям и ускользающим цифровым следам.
Или история с Thorn — их технология Spotlight анализирует сотни тысяч онлайн-объявлений ежедневно. По подтверждённым данным, инструмент помог идентифицировать более 6,000 жертв торговли людьми, применяя нейросети, графовые структуры и лингвистический анализ.
Во время пандемии COVID-19 OSINT стал фильтром для дезинформационного шума. Специалисты мониторили платформы, вычисляли бот-сети, отслеживали первоисточники фейков. Исследования показывали, что уровень фейков колебался от 0,2% до 28,8% в зависимости от страны, платформы и выбранной методологии. И эти проценты — не просто цифры, это алгоритмы, заливающие головы миллионам пользователей.
Но появились новые враги — дипфейки и ИИ-сгенерированный текст. Голоса, лица, видео. Всё подделывается. Глубоко и убедительно. По данным Deeptrace и других исследований, количество дипфейков в открытой сети удваивается каждые 6 месяцев. Детекция стала гонкой. Уровень успешной идентификации в зависимости от метода и длины контента — от 60% до 82%. Не идеально. Но пока ещё работает.
То же касается ИИ-сгенерированных текстов. LLM модели пишут так, что обычный читатель не отличит. OSINT-исследователи разрабатывают лингвистические ловушки, стилометрию, выявление статистических аномалий. По свежим данным, если объём текста больше 400 слов — точность классификации достигает 76%. Но тренды быстро меняются.
А теперь про то, о чём забывают все новички. VPN — уже не укрытие, а прожектор. Его видно. Его палят. Поведенческие аномалии, сигнатуры дата-центров, сквозная корреляция — ты даже не замечаешь, как откуда-то вытекает твой лог. Три VPN подряд не спасут, если ты используешь один и тот же почерк. Или один и тот же выходной узел.
Именно поэтому необходимо использовать мобильные прокси. Реальные IP от операторов. Смена IP выглядит как “отвалился LTE”. Никаких блоков, ни одного сигнала на безопасность платформ. Если ты ещё и используешь антидетект-браузеры с правильной Canvas-сигнатурой — ты превращаешься в обычного пользователя.
Статистика проста: при правильной конфигурации — вероятность детекта снижается на 82–94%. Главное — не переиспользовать прокси, не пересекать кейсы и не лениться с ротацией.
Что должно быть в арсенале: Maltego, SpiderFoot, Hunchly, ExifTool, SunCalc, PimEyes, Twint, Kibana, Snoop. Всё это — не просто программы. Это ножи. И резать ими можно аккуратно, а можно и по себе.
Но инструменты — это лишь полдела. Настоящий OSINT — это стратегия. Разделённые профили. Изолированные виртуалки. Чёткая документация. Перекрёстная верификация. И ни одной “быстрой проверки” с личного устройства.
Закон не спит. GDPR, CCPA, ФЗ-152. ИИ и OSINT уже на грани регулирования. Нарушил — будешь не исследователем, а фигурантом. Работай чисто. Соблюдай “необходимый минимум”. Не лезь туда, где можешь нанести вред. Особенно когда работаешь с уязвимыми группами.
OSINT — это не только техника.. Это дисциплина. Это многослойная инфраструктура. Это защита. Это умение выйти из расследования так, чтобы о нём никто не догадался.
И если ты всё делаешь правильно — тебя не видно. Даже когда ты видишь всех.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥61❤11👍9🥱1
Сканируешься, даже если не хочешь.
Биометрия больше не эксперимент — это повседневность. Вы идёте в магазин за молоком — вас уже сканируют. Поднимаетесь в метро — ваше лицо уже сверяется с базой. Хочется купить энергетик — камера проверяет возраст, паспорт больше не нужен. Даже банкомат теперь встречает взглядом, а не клавишами.
Системы распознавания лиц работают молча и быстро — за секунду решают, кто вы. Но иногда — ошибаются. И не вы решаете, кто был на записи, а алгоритм. Он может сказать: это вы украли бутылку виски. Это вы — тот человек из списка. Это ваше лицо — и теперь оно в чёрном списке.
А вы уверены, что это — вы?
Потому что каждый раз, когда вы мелькаете в кадре, где-то рождается ваша новая цифровая копия. Модель. Призрак. Алгоритмическая проекция вас — с другим контекстом, другим “досье”, другой судьбой. И если система решит, что вы — это он… вам придётся это доказывать.
Ошибка системы — ваша проблема
Москва, 2020: Антона Леушина задержали в «Ашане» по наводке алгоритма — его лицо «совпало» с вором. Угрозы, давление, два часа в подсобке. 2021: Сергей Межуев — случайный пассажир метро — стал «преступником» для системы видеонаблюдения. Его заставили сдать биометрию, Роскомнадзор признал это законным. 2024: FacePay списал с карты деньги за станцию, где человек не был больше 20 лет. Ответ разработчиков — тишина.
Вас сканируют. Вот где и как
В «Пятёрочке» — 15 000 терминалов с оплатой «по лицу». В «Магните» — кассы с алгоритмом оценки возраста. Вендинговые автоматы с июня 2025 требуют биометрию для продажи энергетиков — верификация через ЕБС. Метро Москвы использует распознавание на 30 станциях. Биометрия также применяется в Шереметьево и Казанском вокзале. Сбербанк и Т-Банк собирают лицо при оплате и оформлении кредита — через «Госуслуги» и Aurora OS.
Но что делать, если вы — уже в системе? Если избежать камер невозможно, а ваше лицо стало цифровым пропуском в реальность, которую вы не выбирали?
Учёные из Чикагского университета создали Fawkes — инструмент цифровой невидимости. Он «отравляет» изображения: вносит невидимые глазу изменения, которые ломают обучение ИИ. Ваше лицо остаётся прежним для людей, но становится нераспознаваемым для системы.
Как использовать Fawkes:
◾️ Скачайте и установите Fawkes.
◾️ Добавьте фото, выберите уровень защиты (Low — публичные фото, High — документы).
◾️ Нажмите Run Protection. Обработка — до 90 секунд.
◾️ Fawkes создаст дубликаты с пометкой _cloaked.
◾️ Меняйте старые фото в соцсетях, обрабатывайте новые.
◾️ Храните оригиналы в защищённом хранилище.
Технология не помогает от камер в реальном времени, но защищает от всего, что обучается на фото — от банковских ИИ до полиции. Защита работает в 95–100% случаев — доказано тестами против Amazon Rekognition, Microsoft Azure Face, Megvii Face++.
Что можно сделать дополнительно:
◾️ Зайдите в мобильное приложение своего банка и отключите биометрию.
◾️ Удалите данные из ЕБС через «Госуслуги».
◾️ Требуйте пояснений от компаний: по ФЗ-152 они обязаны объяснить, зачем собирали биометрию.
◾️ Подавайте жалобу в Роскомнадзор. Штраф за незаконный сбор — до 700 000 ₽.
Вопрос не в том, следят ли за вами. Вопрос в том, что делают с этим потом.
Всё, что вы прочитали выше — лишь видимая часть. Камеры — не единственный глаз, а алгоритмы — не единственный судья. Реальность намного глубже, темнее и тише. Мы лишь приоткрыли дверь.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Биометрия больше не эксперимент — это повседневность. Вы идёте в магазин за молоком — вас уже сканируют. Поднимаетесь в метро — ваше лицо уже сверяется с базой. Хочется купить энергетик — камера проверяет возраст, паспорт больше не нужен. Даже банкомат теперь встречает взглядом, а не клавишами.
Системы распознавания лиц работают молча и быстро — за секунду решают, кто вы. Но иногда — ошибаются. И не вы решаете, кто был на записи, а алгоритм. Он может сказать: это вы украли бутылку виски. Это вы — тот человек из списка. Это ваше лицо — и теперь оно в чёрном списке.
А вы уверены, что это — вы?
Потому что каждый раз, когда вы мелькаете в кадре, где-то рождается ваша новая цифровая копия. Модель. Призрак. Алгоритмическая проекция вас — с другим контекстом, другим “досье”, другой судьбой. И если система решит, что вы — это он… вам придётся это доказывать.
Ошибка системы — ваша проблема
Москва, 2020: Антона Леушина задержали в «Ашане» по наводке алгоритма — его лицо «совпало» с вором. Угрозы, давление, два часа в подсобке. 2021: Сергей Межуев — случайный пассажир метро — стал «преступником» для системы видеонаблюдения. Его заставили сдать биометрию, Роскомнадзор признал это законным. 2024: FacePay списал с карты деньги за станцию, где человек не был больше 20 лет. Ответ разработчиков — тишина.
Вас сканируют. Вот где и как
В «Пятёрочке» — 15 000 терминалов с оплатой «по лицу». В «Магните» — кассы с алгоритмом оценки возраста. Вендинговые автоматы с июня 2025 требуют биометрию для продажи энергетиков — верификация через ЕБС. Метро Москвы использует распознавание на 30 станциях. Биометрия также применяется в Шереметьево и Казанском вокзале. Сбербанк и Т-Банк собирают лицо при оплате и оформлении кредита — через «Госуслуги» и Aurora OS.
Но что делать, если вы — уже в системе? Если избежать камер невозможно, а ваше лицо стало цифровым пропуском в реальность, которую вы не выбирали?
Учёные из Чикагского университета создали Fawkes — инструмент цифровой невидимости. Он «отравляет» изображения: вносит невидимые глазу изменения, которые ломают обучение ИИ. Ваше лицо остаётся прежним для людей, но становится нераспознаваемым для системы.
Как использовать Fawkes:
Технология не помогает от камер в реальном времени, но защищает от всего, что обучается на фото — от банковских ИИ до полиции. Защита работает в 95–100% случаев — доказано тестами против Amazon Rekognition, Microsoft Azure Face, Megvii Face++.
Что можно сделать дополнительно:
Вопрос не в том, следят ли за вами. Вопрос в том, что делают с этим потом.
Всё, что вы прочитали выше — лишь видимая часть. Камеры — не единственный глаз, а алгоритмы — не единственный судья. Реальность намного глубже, темнее и тише. Мы лишь приоткрыли дверь.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥105❤9👍9💯3👏1
Пока кто-то думает, что достаточно включить VPN или поставить Tor, реальность напоминает: всё работает ровно до первой ошибки. Именно на ней вас и ловят — по поведению, по технике, по финансам.
Прежде чем вообще говорить о защите, нужно понять, от кого именно вы прячетесь. Если вас интересует только базовая приватность — вам хватит VPN и минимальных настроек браузера. Если вы журналист, активист или просто не любите, когда за вами следят корпорации — без Tor, изоляции активностей и грамотного управления IP не обойтись. А если на кону свобода или жизнь — нужны системы вроде Tails или Whonix, полная изоляция, цепочки VPN и финансовая гигиена без компромиссов.
Что такое реальная анонимность? Это когда ни ваше поведение, ни технические метки, ни финансы не связываются с вашей реальной личностью. Если вы платите картой — всё, вас видно. Если браузер светится уникальным отпечатком — вас найдут. Если вы стабильно сидите онлайн в одни и те же часы — профиль уже готов.
Студент Гарварда в 2013 решил “анонимно” отправить сообщение о бомбе через Tor. Его нашли на следующий день — просто сопоставив логи, когда он подключился и когда сообщение ушло. Стилометрия работает так: можете хоть каждый день менять ники и аккаунты, но если текст написан в одном стиле — вас найдут. Лексика, пунктуация, структура предложений — всё анализируется. Технические метки добивают картину — WebRTC, DNS-запросы, Canvas Fingerprinting, параметры железа. Всё это собирается почти на каждом сайте фоном.
Если анонимность для вас не абстрактная идея, а необходимость, начинается настоящая работа. Для начала — WebRTC, его нужно отключать жёстко и сразу. В Firefox лезем в about:config, меняем параметр media.peerconnection.enabled на false. В Chrome или Edge ставим uBlock Origin, включаем защиту от WebRTC, или ставим отдельное расширение вроде WebRTC Control. Проверяем, что работает, на browserleaks — локальный IP должен быть пуст.
Следом — минимизация фингерпринта. Tor Browser — лучший вариант. Если его нет под рукой, хотя бы Firefox с жёсткими настройками приватности, отключённым JavaScript там, где не доверяете сайту, и расширениями вроде uBlock Origin, ClearURLs, Decentraleyes. Если хотите видеть реальную картину — зайдите на coveryourtracks.eff.org или amiunique.org, посмотрите, насколько вы “невидимы”.
Финансовый вопрос всегда критичен. Bitcoin, Ethereum, USDT — всё это светится. Если хотите настоящей анонимности — Monero. Его механизм Ring Signatures скрывает отправителя, Stealth Addresses — получателя, RingCT — сумму. Zcash тоже вариант, но только через z-адреса, иначе смысла нет.
Операционная система тоже играет роль. Если всё серьёзно — только Tails или Whonix. Tails грузится с флешки, не оставляет следов, весь трафик идёт через Tor. Whonix строится на двух виртуальных машинах: одна — шлюз через Tor, вторая — рабочая зона. Даже если приложение скомпрометировано — IP остаётся скрыт. Qubes OS — для максимальной изоляции задач, но система сложная и требует времени на освоение.
Но самое главное — это не инструменты. Это дисциплина. Техника может быть идеальна, но если вы ошиблись — система вас сдаст. Зашли на сайт под своим ником, оплатили что-то с карты, забыли выключить WebRTC или оставили старое фото с фингерпринтом — и все ваши схемы полетели.
Именно поэтому уровень защиты всегда должен соответствовать реальной модели угроз. Паранойя без причины привлекает больше внимания, чем защищает. А реальная анонимность начинается там, где заканчиваются иллюзии.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Прежде чем вообще говорить о защите, нужно понять, от кого именно вы прячетесь. Если вас интересует только базовая приватность — вам хватит VPN и минимальных настроек браузера. Если вы журналист, активист или просто не любите, когда за вами следят корпорации — без Tor, изоляции активностей и грамотного управления IP не обойтись. А если на кону свобода или жизнь — нужны системы вроде Tails или Whonix, полная изоляция, цепочки VPN и финансовая гигиена без компромиссов.
Что такое реальная анонимность? Это когда ни ваше поведение, ни технические метки, ни финансы не связываются с вашей реальной личностью. Если вы платите картой — всё, вас видно. Если браузер светится уникальным отпечатком — вас найдут. Если вы стабильно сидите онлайн в одни и те же часы — профиль уже готов.
Студент Гарварда в 2013 решил “анонимно” отправить сообщение о бомбе через Tor. Его нашли на следующий день — просто сопоставив логи, когда он подключился и когда сообщение ушло. Стилометрия работает так: можете хоть каждый день менять ники и аккаунты, но если текст написан в одном стиле — вас найдут. Лексика, пунктуация, структура предложений — всё анализируется. Технические метки добивают картину — WebRTC, DNS-запросы, Canvas Fingerprinting, параметры железа. Всё это собирается почти на каждом сайте фоном.
Если анонимность для вас не абстрактная идея, а необходимость, начинается настоящая работа. Для начала — WebRTC, его нужно отключать жёстко и сразу. В Firefox лезем в about:config, меняем параметр media.peerconnection.enabled на false. В Chrome или Edge ставим uBlock Origin, включаем защиту от WebRTC, или ставим отдельное расширение вроде WebRTC Control. Проверяем, что работает, на browserleaks — локальный IP должен быть пуст.
Следом — минимизация фингерпринта. Tor Browser — лучший вариант. Если его нет под рукой, хотя бы Firefox с жёсткими настройками приватности, отключённым JavaScript там, где не доверяете сайту, и расширениями вроде uBlock Origin, ClearURLs, Decentraleyes. Если хотите видеть реальную картину — зайдите на coveryourtracks.eff.org или amiunique.org, посмотрите, насколько вы “невидимы”.
Финансовый вопрос всегда критичен. Bitcoin, Ethereum, USDT — всё это светится. Если хотите настоящей анонимности — Monero. Его механизм Ring Signatures скрывает отправителя, Stealth Addresses — получателя, RingCT — сумму. Zcash тоже вариант, но только через z-адреса, иначе смысла нет.
Операционная система тоже играет роль. Если всё серьёзно — только Tails или Whonix. Tails грузится с флешки, не оставляет следов, весь трафик идёт через Tor. Whonix строится на двух виртуальных машинах: одна — шлюз через Tor, вторая — рабочая зона. Даже если приложение скомпрометировано — IP остаётся скрыт. Qubes OS — для максимальной изоляции задач, но система сложная и требует времени на освоение.
Но самое главное — это не инструменты. Это дисциплина. Техника может быть идеальна, но если вы ошиблись — система вас сдаст. Зашли на сайт под своим ником, оплатили что-то с карты, забыли выключить WebRTC или оставили старое фото с фингерпринтом — и все ваши схемы полетели.
Именно поэтому уровень защиты всегда должен соответствовать реальной модели угроз. Паранойя без причины привлекает больше внимания, чем защищает. А реальная анонимность начинается там, где заканчиваются иллюзии.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥132👍13❤9👏1🌚1
Как спрятать документ в песню, чтобы его не нашёл никто — даже антивирус.
Нет, это не про криптографию. Криптография — это когда все видят зашифрованный файл, но не могут его открыть. А тут — другое. Это про невидимость. Про то, как документ уезжает в треке с виниловой пылью и больше не существует для мира. До тех пор, пока вы не вытащите его обратно.
Это называется стеганография. Искусство встраивать информацию в шум. Секретный файл прячется в аудиофайл так, что ни глаз, ни ухо, ни обычный сканер его не заметит. Это не футуризм — это реальный инструмент, который используют те, кому нельзя ошибаться: исследователи угроз, контрразведка, корпоративные офицеры безопасности. И, да, иногда — те, кому лучше не попадаться.
Аудиофайл — штука избыточная. Его можно слегка исказить — заменив пару битов в звуковой волне — и никто ничего не услышит. Например, метод LSB: берётся наименее значимый бит каждого семпла, туда встраивается полезная нагрузка — и звук почти не меняется. Есть phase coding — игра с фазой сигнала, когда данные прячутся в микросдвигах, неуловимых для уха. Есть spread spectrum — когда информация распыляется по всему частотному диапазону, будто зёрна по пустыне: отдельно их не видно, но вместе — послание. А есть echo hiding — стеганография на задержках: добавляем едва заметное эхо, которое человек не услышит, а алгоритм — заметит и прочтёт.
Один из лучших инструментов — DeepSound. С виду — простенький, а внутри — AES-256, Unicode-пароли, проверка целостности и поддержка всех нужных форматов, от FLAC до WMA. Подкидываешь туда аудио, файл с секретом, пароль — и на выходе получаешь безобидный трек, в котором сидит весь твой зашифрованный план. Выглядит как музыка, открывается как музыка. Даже если перехватили — всё равно бесполезно.
Любишь терминал? Steghide. Надёжный, сжатие, встроенное шифрование, поддержка WAV и AU. Можно автоматизировать всё на уровне скриптов. Есть и кроссплатформенное GUI-решение — SilentEye. Да, с плагинами, поддержкой AES и zlib. А если хочется экзотики — MP3Stego, AudioStego, HiddenWave, wavsteg на Python.
Не забываем: всё это — оружие. И как любое оружие, оно может быть обоюдоострым. Скрытая передача вредоноса через трек? Запросто. Обход систем DLP, уклонение от перехвата? Тоже. Вот почему форензика давно изучает стегоанализ. Статистика битов, спектральный анализ, машинное обучение — всё это умеет обнаруживать странные колебания, даже если файл вроде бы “чистый”.
AI тоже вмешался. Теперь нейросети как прячут, так и ловят. Игра идёт на равных: GAN-сети, adversarial perturbations (искусственные искажения для обхода ИИ-детекторов), подгонка под детекторы. Даже обучающие датасеты портят специально, чтобы затруднить анализ.
Если вы работаете в ИБ и у вас нет плана работы со стеганографией — у вас уязвимость. Не в системе, а в подходе. Хотите защищать данные? Научитесь их прятать. Хотите ловить нарушителей? Научитесь смотреть глубже метаданных.
И помните: если кто-то шлёт wav-файл без повода — повод, скорее всего, есть.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Нет, это не про криптографию. Криптография — это когда все видят зашифрованный файл, но не могут его открыть. А тут — другое. Это про невидимость. Про то, как документ уезжает в треке с виниловой пылью и больше не существует для мира. До тех пор, пока вы не вытащите его обратно.
Это называется стеганография. Искусство встраивать информацию в шум. Секретный файл прячется в аудиофайл так, что ни глаз, ни ухо, ни обычный сканер его не заметит. Это не футуризм — это реальный инструмент, который используют те, кому нельзя ошибаться: исследователи угроз, контрразведка, корпоративные офицеры безопасности. И, да, иногда — те, кому лучше не попадаться.
Аудиофайл — штука избыточная. Его можно слегка исказить — заменив пару битов в звуковой волне — и никто ничего не услышит. Например, метод LSB: берётся наименее значимый бит каждого семпла, туда встраивается полезная нагрузка — и звук почти не меняется. Есть phase coding — игра с фазой сигнала, когда данные прячутся в микросдвигах, неуловимых для уха. Есть spread spectrum — когда информация распыляется по всему частотному диапазону, будто зёрна по пустыне: отдельно их не видно, но вместе — послание. А есть echo hiding — стеганография на задержках: добавляем едва заметное эхо, которое человек не услышит, а алгоритм — заметит и прочтёт.
Один из лучших инструментов — DeepSound. С виду — простенький, а внутри — AES-256, Unicode-пароли, проверка целостности и поддержка всех нужных форматов, от FLAC до WMA. Подкидываешь туда аудио, файл с секретом, пароль — и на выходе получаешь безобидный трек, в котором сидит весь твой зашифрованный план. Выглядит как музыка, открывается как музыка. Даже если перехватили — всё равно бесполезно.
Любишь терминал? Steghide. Надёжный, сжатие, встроенное шифрование, поддержка WAV и AU. Можно автоматизировать всё на уровне скриптов. Есть и кроссплатформенное GUI-решение — SilentEye. Да, с плагинами, поддержкой AES и zlib. А если хочется экзотики — MP3Stego, AudioStego, HiddenWave, wavsteg на Python.
Не забываем: всё это — оружие. И как любое оружие, оно может быть обоюдоострым. Скрытая передача вредоноса через трек? Запросто. Обход систем DLP, уклонение от перехвата? Тоже. Вот почему форензика давно изучает стегоанализ. Статистика битов, спектральный анализ, машинное обучение — всё это умеет обнаруживать странные колебания, даже если файл вроде бы “чистый”.
AI тоже вмешался. Теперь нейросети как прячут, так и ловят. Игра идёт на равных: GAN-сети, adversarial perturbations (искусственные искажения для обхода ИИ-детекторов), подгонка под детекторы. Даже обучающие датасеты портят специально, чтобы затруднить анализ.
Если вы работаете в ИБ и у вас нет плана работы со стеганографией — у вас уязвимость. Не в системе, а в подходе. Хотите защищать данные? Научитесь их прятать. Хотите ловить нарушителей? Научитесь смотреть глубже метаданных.
И помните: если кто-то шлёт wav-файл без повода — повод, скорее всего, есть.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
11🔥88❤11👍9
Решили попробовать новую рубрику: “Анатомия атаки” — реальные кейсы реальных взломов. Интересна ли она вам — покажет реакция.
BlackSuit и двойной удар, который парализовал почти всю автоторговлю США. CDK Global — это не просто софт. Это позвоночник автомобильной индустрии США. Всё: дилеры, сервисы, зарплаты, инвентарь, CRM, расчёты, кредиты — проходят через эту платформу. И вот, в середине июня 2024, всё это останавливается. Мгновенно. Потому что по сети прошёл BlackSuit.
18 июня — первый удар. Хакеры проникают в инфраструктуру CDK. Вероятно — через фишинг или уязвимость. А дальше — чистая классика: Cobalt Strike, Brute Ratel, сбор инфы, боковое перемещение. Всё красиво, грамотно, без спешки. В ход идут инструменты RClone и Brute Ratel, чтобы выкачать нужное — данные, карты сети, доступы. Всё, что пригодится потом. CDK реагирует быстро, вырубает всё. Начинается восстановление.
И тут второй удар. На следующий день, когда всё только-только запускается. Системы встают снова. Значит, BlackSuit остался внутри. Значит, они всё это время сидели в сети. Ждали. Смотрели. Дождались момента — и добили. Именно так работают профи: на упреждение, с таймингом, с пониманием внутренней кухни.
И это не просто какие-то новички из даркнета. BlackSuit — детище Royal, а те — прямые наследники Conti. Код сравнили — почти клон. Сходство до 98%. По технике — всё как по учебнику: частичное шифрование через OpenSSL AES, выключение виртуалок ESXi, автоудаление теневых копий, уникальный ID для каждой жертвы. Каждый шаг рассчитан. Каждый байт зашифрован.
21 июня — выплата. 25 миллионов долларов в биткоинах. Через посредников. Через криптоадреса, связанные с фирмами, которые “помогают” жертвам ransomware. Деньги двигаются дальше — в лучших традициях отмывания: 200 транзакций, 5 бирж, 20 кошельков. Как по нотам. Утром — взлом. Через пару дней — оплата. Почти как подписка на боль.
CDK получает ключи. Начинает восстановление. Только займёт это не пару часов, а почти две недели. Потому что надо не просто расшифровать, а вычистить всё: сети, резервные копии, отладить заново каждую систему. И удостовериться, что ни одного хвоста, ни одного backdoor-а не осталось.
Эта атака стала зеркалом: в нём — и индустриализация вымогателей, и уязвимость больших инфраструктур, и то, насколько опасна централизация критически важного софта в руках одной компании. Стоит одной трещине пройти по сети — и ты не просто лежишь. Ты лежишь с сотнями других, кто зависит от тебя.
BlackSuit не просто взломали CDK. Они показали, как слаженно, грамотно и хладнокровно можно обрушить отрасль. Один ключ — и половина автосалонов Америки встала.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
BlackSuit и двойной удар, который парализовал почти всю автоторговлю США. CDK Global — это не просто софт. Это позвоночник автомобильной индустрии США. Всё: дилеры, сервисы, зарплаты, инвентарь, CRM, расчёты, кредиты — проходят через эту платформу. И вот, в середине июня 2024, всё это останавливается. Мгновенно. Потому что по сети прошёл BlackSuit.
18 июня — первый удар. Хакеры проникают в инфраструктуру CDK. Вероятно — через фишинг или уязвимость. А дальше — чистая классика: Cobalt Strike, Brute Ratel, сбор инфы, боковое перемещение. Всё красиво, грамотно, без спешки. В ход идут инструменты RClone и Brute Ratel, чтобы выкачать нужное — данные, карты сети, доступы. Всё, что пригодится потом. CDK реагирует быстро, вырубает всё. Начинается восстановление.
И тут второй удар. На следующий день, когда всё только-только запускается. Системы встают снова. Значит, BlackSuit остался внутри. Значит, они всё это время сидели в сети. Ждали. Смотрели. Дождались момента — и добили. Именно так работают профи: на упреждение, с таймингом, с пониманием внутренней кухни.
И это не просто какие-то новички из даркнета. BlackSuit — детище Royal, а те — прямые наследники Conti. Код сравнили — почти клон. Сходство до 98%. По технике — всё как по учебнику: частичное шифрование через OpenSSL AES, выключение виртуалок ESXi, автоудаление теневых копий, уникальный ID для каждой жертвы. Каждый шаг рассчитан. Каждый байт зашифрован.
21 июня — выплата. 25 миллионов долларов в биткоинах. Через посредников. Через криптоадреса, связанные с фирмами, которые “помогают” жертвам ransomware. Деньги двигаются дальше — в лучших традициях отмывания: 200 транзакций, 5 бирж, 20 кошельков. Как по нотам. Утром — взлом. Через пару дней — оплата. Почти как подписка на боль.
CDK получает ключи. Начинает восстановление. Только займёт это не пару часов, а почти две недели. Потому что надо не просто расшифровать, а вычистить всё: сети, резервные копии, отладить заново каждую систему. И удостовериться, что ни одного хвоста, ни одного backdoor-а не осталось.
Эта атака стала зеркалом: в нём — и индустриализация вымогателей, и уязвимость больших инфраструктур, и то, насколько опасна централизация критически важного софта в руках одной компании. Стоит одной трещине пройти по сети — и ты не просто лежишь. Ты лежишь с сотнями других, кто зависит от тебя.
BlackSuit не просто взломали CDK. Они показали, как слаженно, грамотно и хладнокровно можно обрушить отрасль. Один ключ — и половина автосалонов Америки встала.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥91👍5❤4👏1🤔1👾1
Мы всё понимаем: далеко не каждый может взять и уйти с Windows на Whonix, Tails, Qubes OS. Работа, драйвера, любимые программы, а порой и просто привычка. Но если уж остаётесь — хотя бы минимизируйте утечки. Не надейтесь, что ОС “сама позаботится”. Не позаботится. Придётся вам.
Начать лучше с самого болезненного — телеметрии. Windows давно превратилась в тихого сборщика данных: активность, геолокация, история приложений, даже текст набираемый на клавиатуре — всё летит в лог. Поэтому берём ShutUp10++, за ним — xd-AntiSpy, WPD и W10Privacy. Каждая из них умеет вырубать лишнее: от облачных синхронизаций до “рекламных ID”. Главное не впадать в паранойю: Defender и брандмауэр лучше оставить, просто переосмыслить. Через ConfigureDefender можно настроить защиту тонко, убрав только лишнее вроде Cloud-based Protection и Telemetry.
Дальше — шифрование. Без него всё, что вы храните это просто открытая папка с наклейкой “пожалуйста, не заглядывайте”. VeraCrypt — стандарт де-факто для дисков, Picocrypt — для файлов, если нужно быстро и с современными алгоритмами вроде XChaCha20. Главное — не забывайте шифровать не только рабочие файлы, но и резервные копии, и особенно флешки.
Сеть — отдельная история. Тут вас спасут Safing Portmaster (версии 1.6 и выше), simplewall и Windows Firewall Control. Portmaster умеет DNS-over-HTTPS, блокирует трекеры, показывает, кто лезет в сеть и зачем. Simplewall проще, работает стабильно и не лезет глубоко. И да, если хотите оставить встроенный защитник — ConfigureDefender позволяет его настроить без костылей.
Весь трафик через Tor? Это уже для продвинутых. Advanced Onion Router — рабочее решение. Да, не идеально, но на удивление живучее. Можно комбинировать с Proxifier и строить цепочки Tor→VPN. Главное — настроить DNS-over-Tor или DNS-over-HTTPS через тот же прокси для предотвращения утечек. OnionFruit тоже развивается, но пока скорее нет чем да.
Чистка мусора — это не только про эстетику. BleachBit умеет вычищать лишнее и удалять данные с перезаписью. А если хочется вручную — команда
С DNS та же история. Simple DNSCrypt — минимум настроек, максимум защиты. Если хочется больше контроля — AdGuard Home на локалке. А если ещё и тонкая настройка нужна — NextDNS, со своими профилями и аналитикой.
Хранение паролей — вообще отдельный пласт. Bitwarden — лучшее, что сейчас есть. Аудиты от Cure53 и Fracture Labs, кроссплатформенность, опенсорс, шифрование — всё при нём. Для параноиков — KeePass. Для тех, кто не считает деньги — 1Password.
VPN — свой или только платные с аудитами. Mullvad, ProtonVPN, IVPN — все прошли проверки в 2024 году. No-logs, убитый WebRTC, DNS защита — всё есть. Бесплатным VPN не верьте. Никогда. И не забывайте про killswitch.
Браузер — главная дыра. Firefox с конфигом arkenfox user.js, uBlock Origin, ClearURLs, Decentraleyes, Cookie AutoDelete — хорошая база. Mullvad Browser — отличная альтернатива Tor Browser, но без RFP и с другим фингерпринтом. А вот Tor — это уже для задач, где анонимность не обсуждается. Работайте с ним в VM или Sandbox.
Бэкапы — вещь, которую все забывают до первой потери данных. Duplicati и Restic — два мощных решения с end-to-end шифрованием. Сохраняйте, шифруйте, дублируйте.
А микрофоны и камеры? Физические шторки, кнопки, MicSwitch, Webcam On-Off.
Но есть и граница. Windows никогда не станет приватной или анонимной системой — даже если обложить её со всех сторон фаерволлами и шифрованием.
И вот главное: приватность — это не только утилиты. Это поведение. Уникальные пароли. Отдельные профили. Понимание, с кем и через что вы общаетесь. Защита начинается не с программы — а с привычки.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Начать лучше с самого болезненного — телеметрии. Windows давно превратилась в тихого сборщика данных: активность, геолокация, история приложений, даже текст набираемый на клавиатуре — всё летит в лог. Поэтому берём ShutUp10++, за ним — xd-AntiSpy, WPD и W10Privacy. Каждая из них умеет вырубать лишнее: от облачных синхронизаций до “рекламных ID”. Главное не впадать в паранойю: Defender и брандмауэр лучше оставить, просто переосмыслить. Через ConfigureDefender можно настроить защиту тонко, убрав только лишнее вроде Cloud-based Protection и Telemetry.
Дальше — шифрование. Без него всё, что вы храните это просто открытая папка с наклейкой “пожалуйста, не заглядывайте”. VeraCrypt — стандарт де-факто для дисков, Picocrypt — для файлов, если нужно быстро и с современными алгоритмами вроде XChaCha20. Главное — не забывайте шифровать не только рабочие файлы, но и резервные копии, и особенно флешки.
Сеть — отдельная история. Тут вас спасут Safing Portmaster (версии 1.6 и выше), simplewall и Windows Firewall Control. Portmaster умеет DNS-over-HTTPS, блокирует трекеры, показывает, кто лезет в сеть и зачем. Simplewall проще, работает стабильно и не лезет глубоко. И да, если хотите оставить встроенный защитник — ConfigureDefender позволяет его настроить без костылей.
Весь трафик через Tor? Это уже для продвинутых. Advanced Onion Router — рабочее решение. Да, не идеально, но на удивление живучее. Можно комбинировать с Proxifier и строить цепочки Tor→VPN. Главное — настроить DNS-over-Tor или DNS-over-HTTPS через тот же прокси для предотвращения утечек. OnionFruit тоже развивается, но пока скорее нет чем да.
Чистка мусора — это не только про эстетику. BleachBit умеет вычищать лишнее и удалять данные с перезаписью. А если хочется вручную — команда
cipher /w:C:\ в Windows 11 вполне себе справится. Для полного удаления программ — Revo или Bulk Crap Uninstaller.С DNS та же история. Simple DNSCrypt — минимум настроек, максимум защиты. Если хочется больше контроля — AdGuard Home на локалке. А если ещё и тонкая настройка нужна — NextDNS, со своими профилями и аналитикой.
Хранение паролей — вообще отдельный пласт. Bitwarden — лучшее, что сейчас есть. Аудиты от Cure53 и Fracture Labs, кроссплатформенность, опенсорс, шифрование — всё при нём. Для параноиков — KeePass. Для тех, кто не считает деньги — 1Password.
VPN — свой или только платные с аудитами. Mullvad, ProtonVPN, IVPN — все прошли проверки в 2024 году. No-logs, убитый WebRTC, DNS защита — всё есть. Бесплатным VPN не верьте. Никогда. И не забывайте про killswitch.
Браузер — главная дыра. Firefox с конфигом arkenfox user.js, uBlock Origin, ClearURLs, Decentraleyes, Cookie AutoDelete — хорошая база. Mullvad Browser — отличная альтернатива Tor Browser, но без RFP и с другим фингерпринтом. А вот Tor — это уже для задач, где анонимность не обсуждается. Работайте с ним в VM или Sandbox.
Бэкапы — вещь, которую все забывают до первой потери данных. Duplicati и Restic — два мощных решения с end-to-end шифрованием. Сохраняйте, шифруйте, дублируйте.
А микрофоны и камеры? Физические шторки, кнопки, MicSwitch, Webcam On-Off.
Но есть и граница. Windows никогда не станет приватной или анонимной системой — даже если обложить её со всех сторон фаерволлами и шифрованием.
И вот главное: приватность — это не только утилиты. Это поведение. Уникальные пароли. Отдельные профили. Понимание, с кем и через что вы общаетесь. Защита начинается не с программы — а с привычки.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
4🔥92👍12❤9🌚2
Лето 2016-го. На почту специалистов по информационной безопасности падает странное письмо. Подпись The Shadow Brokers. Тон — вызывающий. А содержание — почти невозможное: архив с «цифровыми боеприпасами» самого АНБ. Специнструменты из тайного подразделения TAO, которыми США годами вламывались в чужие сети, вдруг оказались в открытом доступе. И это не была пустая угроза.
The Shadow Brokers сперва попытались продать архив с эксплойтами. Выставили выкуп в биткоинах. Покупателей не нашлось. Тогда они начали выкладывать содержимое бесплатно — порциями, как выстрелы. Внутри оказались модульные эксплойты EternalBlue, EternalRomance, фреймворк FuzzBunch (по сути, клон Metasploit от АНБ), импланты вроде DoublePulsar и зашифрованные конфигурации, намекающие на масштабную цифровую разведку.
Самое страшное из всего этого — EternalBlue. Уязвимость в SMBv1, с помощью которой можно было бесконтактно проникнуть в Windows XP, 7 и даже 8. Без авторизации. Без прав. Почти десятилетие эта дыра жила в закрытых списках АНБ — до тех пор, пока Microsoft не получила данные и не выпустила заплатку буквально за месяц до публикации эксплойта. Старым системам, как водится, патч не достался.
12 мая 2017 года EternalBlue ожил. Мир проснулся с экранами WannaCry. Больницы в Британии, табло Deutsche Bahn, терминалы FedEx — всё мигало сообщениями о выкупе. Червь захватил более 200 000 устройств в 150 странах. И никто не успел среагировать. Через полтора месяца атака повторилась: на этот раз мутант по имени NotPetya, замаскированный под украинское обновление бухгалтерского ПО, обрушил глобальные цепочки поставок. Maersk, Rosneft, Merck, Mondelez — список пострадавших звучал как список Fortune 500. Ущерб? Больше 10 миллиардов долларов.
Но как такое вообще стало возможным? Как суперсекретное цифровое оружие оказалось на GitHub?
Ответа нет. Единственный обвиняемый — подрядчик АНБ Гарольд Мартин. У него нашли десятки терабайт засекреченных материалов. В гараже. Но связи с Shadow Brokers ему не доказали. Ходят версии: инсайдер залил данные на промежуточный сервер. Или этот сервер сам оказался взломан. Официально никто ничего не подтвердил. Но после взлома — паника. Внутри АНБ началась охота на кротов. Минюст США закрутил гайки в обращении с 0-day. А Microsoft в редком публичном выпадении обвинила правительство США в том, что оно сидит на цифровых «крылатых ракетах», не думая, что они могут упасть не туда.
И они упали. Не в Иран. Не в Северную Корею. А в Лондонские больницы, украинские бухгалтерии и логистику по всему миру. Всё, что создавалось «ради национальной безопасности», обернулось оружием против инфраструктуры, с которой живут обычные люди.
С тех пор EternalBlue — как привидение. Его следы до сих пор находят в новых сборках вымогателей. IDS-системы по-прежнему ловят вариации на тему. Он никуда не исчез. Просто стал частью пейзажа. Shadow Brokers тоже исчезли — не оставив ни следа. Только следствие. Только урок.
И этот урок — болезненный. Если ты хранишь эксплойт в тайне, но не закрываешь дыру у всех остальных — ты не защитник. Ты просто поставщик для следующей цифровой катастрофы.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
The Shadow Brokers сперва попытались продать архив с эксплойтами. Выставили выкуп в биткоинах. Покупателей не нашлось. Тогда они начали выкладывать содержимое бесплатно — порциями, как выстрелы. Внутри оказались модульные эксплойты EternalBlue, EternalRomance, фреймворк FuzzBunch (по сути, клон Metasploit от АНБ), импланты вроде DoublePulsar и зашифрованные конфигурации, намекающие на масштабную цифровую разведку.
Самое страшное из всего этого — EternalBlue. Уязвимость в SMBv1, с помощью которой можно было бесконтактно проникнуть в Windows XP, 7 и даже 8. Без авторизации. Без прав. Почти десятилетие эта дыра жила в закрытых списках АНБ — до тех пор, пока Microsoft не получила данные и не выпустила заплатку буквально за месяц до публикации эксплойта. Старым системам, как водится, патч не достался.
12 мая 2017 года EternalBlue ожил. Мир проснулся с экранами WannaCry. Больницы в Британии, табло Deutsche Bahn, терминалы FedEx — всё мигало сообщениями о выкупе. Червь захватил более 200 000 устройств в 150 странах. И никто не успел среагировать. Через полтора месяца атака повторилась: на этот раз мутант по имени NotPetya, замаскированный под украинское обновление бухгалтерского ПО, обрушил глобальные цепочки поставок. Maersk, Rosneft, Merck, Mondelez — список пострадавших звучал как список Fortune 500. Ущерб? Больше 10 миллиардов долларов.
Но как такое вообще стало возможным? Как суперсекретное цифровое оружие оказалось на GitHub?
Ответа нет. Единственный обвиняемый — подрядчик АНБ Гарольд Мартин. У него нашли десятки терабайт засекреченных материалов. В гараже. Но связи с Shadow Brokers ему не доказали. Ходят версии: инсайдер залил данные на промежуточный сервер. Или этот сервер сам оказался взломан. Официально никто ничего не подтвердил. Но после взлома — паника. Внутри АНБ началась охота на кротов. Минюст США закрутил гайки в обращении с 0-day. А Microsoft в редком публичном выпадении обвинила правительство США в том, что оно сидит на цифровых «крылатых ракетах», не думая, что они могут упасть не туда.
И они упали. Не в Иран. Не в Северную Корею. А в Лондонские больницы, украинские бухгалтерии и логистику по всему миру. Всё, что создавалось «ради национальной безопасности», обернулось оружием против инфраструктуры, с которой живут обычные люди.
С тех пор EternalBlue — как привидение. Его следы до сих пор находят в новых сборках вымогателей. IDS-системы по-прежнему ловят вариации на тему. Он никуда не исчез. Просто стал частью пейзажа. Shadow Brokers тоже исчезли — не оставив ни следа. Только следствие. Только урок.
И этот урок — болезненный. Если ты хранишь эксплойт в тайне, но не закрываешь дыру у всех остальных — ты не защитник. Ты просто поставщик для следующей цифровой катастрофы.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥113👍12❤10
Когда Apple внедряла MDM (Mobile Device Management) — это казалось удобным инструментом для больших корпораций. Айтишники разворачивают VPN, накидывают сертификаты, удаляют данные уволенного сотрудника — и всё это без лишних телодвижений. Прямо из офиса. Всё по правилам. Всё штатно.
Вот только ровно те же правила теперь используют не только айтишники. А ещё — обиженные партнёры, детективы, да и просто те, кого не зовут по имени. Нужно всего лишь одно: чтобы у них был доступ к вашему разблокированному iPhone хотя бы на пару минут. И чтобы вы — случайно, невнимательно и доверчиво нажали «Установить». Всё. Профиль внутри.
Важно понимать: установить MDM вслепую нельзя. Только если устройство разблокировано, и только если нажата кнопка на экране. Но люди нажимают, особенно когда им показывают системное обновление, настройку приложения от банка или доступ к корпоративной почте.
Сценарий почти всегда одинаков. Открывается Safari. Подсовывается поддельный сайт. Файл .mobileconfig ждёт, как подарок под ёлкой. Система предупреждает: «Этот профиль может управлять устройством». И вот он, главный момент. Палец касается «Установить» — и айфон уже не совсем ваш.
Дальше всё зависит от фантазии «админа». Он может гнать весь трафик через свой прокси, поставить свой VPN, внедрить MITM-сертификат и начать слушать, что идёт по HTTPS. Может отключить Face ID, запретить установку приложений, сделать скриншот экрана или стереть всё до заводских. Иногда ставится родительский контроль с бэкдором — FlexiSpy, mSpy, кто во что горазд. С точки зрения системы — вы сами подписались. Добровольно. Осознанно. Apple считает, что два «ОК» — это согласие.
В iOS 17.2 появился маленький сигнал — строка «Это устройство управляется организацией». Но находится он в тихом углу экрана блокировки. Прячется рядом с погодой. И почти никто его не замечает.
Раньше, до iOS 18.3, в настройках был отдельный переключатель — «Требовать код при установке профилей». Можно было включить — и быть спокойным. Но с выходом iOS 18.4 Apple решила: хватит играть в тумблеры. Теперь защита вшита прямо в систему. Автоматическое. И это, пожалуй, редкий случай, когда Apple сделала что-то по-настоящему полезное для безопасности, не спрашивая разрешения.
Да, и забудьте про 4 цифры. Шестизначный код — минимум. Не оставляйте телефон без присмотра. И никогда, никогда не устанавливайте профили «по просьбе службы поддержки».
Хотите проверить, всё ли у вас чисто? Идёте в Настройки → Основные → VPN и управление устройством. Если такой раздел вообще не отображается — хорошо. Если есть — смотрим, что внутри. Любой подозрительный профиль вроде DeviceSetup, MdmRemote, Enterprise Mobile — тревожный сигнал.
Удалить можно вручную. Нажать на профиль, выбрать «Удалить управление», ввести код-пароль. Но этого недостаточно. Заходите в Настройки → Основные → Об этом устройстве → Настройки доверия сертификатов. Проверяете всё, что там включено. Если видите странные имена — отключаете. Иногда злоумышленники ставят корневой сертификат отдельно — и читают всё, что вы делаете в Safari, как открытую книжку.
Закончили? Перезагружаетесь. Обновляете iOS. Меняете Apple ID-пароль. Включаете везде двухфакторку. Проверяете банковские приложения. Лучше перебдеть.
И нет, это не теория. GoldPickaxe в 2023-м ставил MDM-профиль во Вьетнаме и крал коды подтверждения из SMS. LightSpy в 2024 — делал то же самое под видом обновления. В 2022 году в России отмечались атаки с использованием поддельных VPN-профилей под видом «корпоративного доступа» пользователям предлагали установить конфигурационный профиль. После установки злоумышленники могли перенаправлять трафик, отслеживать действия в Safari и даже использовать встроенные средства удалённого наблюдения. Но ключевое — люди сами нажимали «Установить».
MDM — не баг. Это дверь. И она по умолчанию открыта тем, кому вы позволите. Не усложняйте им задачу. Если вы не админ своего iPhone — им станет кто-то другой.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Вот только ровно те же правила теперь используют не только айтишники. А ещё — обиженные партнёры, детективы, да и просто те, кого не зовут по имени. Нужно всего лишь одно: чтобы у них был доступ к вашему разблокированному iPhone хотя бы на пару минут. И чтобы вы — случайно, невнимательно и доверчиво нажали «Установить». Всё. Профиль внутри.
Важно понимать: установить MDM вслепую нельзя. Только если устройство разблокировано, и только если нажата кнопка на экране. Но люди нажимают, особенно когда им показывают системное обновление, настройку приложения от банка или доступ к корпоративной почте.
Сценарий почти всегда одинаков. Открывается Safari. Подсовывается поддельный сайт. Файл .mobileconfig ждёт, как подарок под ёлкой. Система предупреждает: «Этот профиль может управлять устройством». И вот он, главный момент. Палец касается «Установить» — и айфон уже не совсем ваш.
Дальше всё зависит от фантазии «админа». Он может гнать весь трафик через свой прокси, поставить свой VPN, внедрить MITM-сертификат и начать слушать, что идёт по HTTPS. Может отключить Face ID, запретить установку приложений, сделать скриншот экрана или стереть всё до заводских. Иногда ставится родительский контроль с бэкдором — FlexiSpy, mSpy, кто во что горазд. С точки зрения системы — вы сами подписались. Добровольно. Осознанно. Apple считает, что два «ОК» — это согласие.
В iOS 17.2 появился маленький сигнал — строка «Это устройство управляется организацией». Но находится он в тихом углу экрана блокировки. Прячется рядом с погодой. И почти никто его не замечает.
Раньше, до iOS 18.3, в настройках был отдельный переключатель — «Требовать код при установке профилей». Можно было включить — и быть спокойным. Но с выходом iOS 18.4 Apple решила: хватит играть в тумблеры. Теперь защита вшита прямо в систему. Автоматическое. И это, пожалуй, редкий случай, когда Apple сделала что-то по-настоящему полезное для безопасности, не спрашивая разрешения.
Да, и забудьте про 4 цифры. Шестизначный код — минимум. Не оставляйте телефон без присмотра. И никогда, никогда не устанавливайте профили «по просьбе службы поддержки».
Хотите проверить, всё ли у вас чисто? Идёте в Настройки → Основные → VPN и управление устройством. Если такой раздел вообще не отображается — хорошо. Если есть — смотрим, что внутри. Любой подозрительный профиль вроде DeviceSetup, MdmRemote, Enterprise Mobile — тревожный сигнал.
Удалить можно вручную. Нажать на профиль, выбрать «Удалить управление», ввести код-пароль. Но этого недостаточно. Заходите в Настройки → Основные → Об этом устройстве → Настройки доверия сертификатов. Проверяете всё, что там включено. Если видите странные имена — отключаете. Иногда злоумышленники ставят корневой сертификат отдельно — и читают всё, что вы делаете в Safari, как открытую книжку.
Закончили? Перезагружаетесь. Обновляете iOS. Меняете Apple ID-пароль. Включаете везде двухфакторку. Проверяете банковские приложения. Лучше перебдеть.
И нет, это не теория. GoldPickaxe в 2023-м ставил MDM-профиль во Вьетнаме и крал коды подтверждения из SMS. LightSpy в 2024 — делал то же самое под видом обновления. В 2022 году в России отмечались атаки с использованием поддельных VPN-профилей под видом «корпоративного доступа» пользователям предлагали установить конфигурационный профиль. После установки злоумышленники могли перенаправлять трафик, отслеживать действия в Safari и даже использовать встроенные средства удалённого наблюдения. Но ключевое — люди сами нажимали «Установить».
MDM — не баг. Это дверь. И она по умолчанию открыта тем, кому вы позволите. Не усложняйте им задачу. Если вы не админ своего iPhone — им станет кто-то другой.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥61❤11👍6
Проект Hush Line задумывался как тихий способ сказать важное. Без логинов, без IP, без следов. Просто страница с одним полем — и всё, что вы в него впишете, исчезает в шифр. Причём прямо в браузере, ещё до отправки: библиотека OpenPGP.js кодирует сообщение на месте, так что сервер не знает ни автора, ни текста — только то, что кто-то что-то сказал. Или прошептал.
Всё это звучит красиво, но главное — работает оно через Tor. У проекта есть onion-адрес, и если вы открываете его в Tor Browser, ваш IP исчезает в луковом тумане. Для удобства есть и обычное зеркало hushline.app — быстрее, но оставляет след в логах провайдера. Так что выбор: или безопасность, или комфорт. Не оба сразу.
Чтобы проверить, насколько всё это надёжно, Open Technology Fund в 2024-м заказал аудит команде Subgraph. И оказалось, что Personal Server — отдельный коробочный вариант Hush Line — почти безупречен. Ни баз данных, ни учёток, всё крутится на Tor и живёт на Raspberry Pi OS Lite. Единственная уязвимость — если кто-то заспамит вход потоками сообщений. Это и поправили: вшили ограничение скорости, убрали всё лишнее. Получилась коробка для параноиков — но рабочая.
Облачная версия, Managed Service, попроще. Там и роли, и визуальная панель, и интеграция с Proton Mail. Зато и риски выше: аудит нашёл потенциальные SQL-инъекции и уязвимость из-за общей базы данных. Всё оперативно закрыли: мигрировали на SQLite, прикрутили Flask-Limiter, а крипту перевели на Sequoia. Параллельно пришили патч 0.3.5, который прикрыл XSS с CVE-2024-55888 — всё из-за того, что кто-то забыл про CSP.
Но криптография — это только полдела. Если противник видит и вход, и выход, он может сопоставить задержки. Эта техника — traffic correlation — применялась немецкими спецслужбами против скрытых Tor-сервисов. Спастись можно только так: менять маршруты, пользоваться Wi-Fi вне дома, следить за тем, как ты пишешь. Потому что фраза вроде “по нашему внутреннему регламенту ПНП-304” выдает человека быстрее, чем любой эксплойт.
Именно об этом предупреждает и сам Hush Line: не надо копировать служебные тексты, не надо писать, как обычно. Пиши просто. Без цифр, без ссылок, без лишних меток. И чисти cookies — сразу, после отправки.
Если жалоба не про госизмену, то Tor Browser и Managed Service хватит. Но если ставки высоки, схема будет другая: Personal Server в отдельной комнате, интернет — через собственный роутер, устройство под Tails или Qubes/Whonix, ключ PGP — только офлайн. Это уже почти как SecureDrop, только без головной боли на три недели.
Но помни: Hush Line передаёт только текст. Ни сканов, ни фото, ни видео — только буквы. Всё остальное — через OnionShare или тот же SecureDrop. Потому что EXIF и метаданные выдают не хуже отпечатков пальцев.
А ещё есть физический уровень. Самый банальный. Устройство могут изъять на границе. Телефон — отследить по сотовой. Паспорт — привязать к IMEI. И тогда ни один PGP тебе не поможет.
Hush Line обещают добавить «горящие» сообщения, чистку метаданных, post-quantum режим SequoiaPQ, отдельные облака для редакций. Всё это делается на гранты от OTF и пожертвования. А иногда — просто за звёздочку на GitHub.
Но какой бы ни была защита, всё решает поведение пользователя. Меняй стиль. Не повторяйся. Удаляй следы всегда. Потому что даже самый надёжный шёпот может оказаться эхом.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Всё это звучит красиво, но главное — работает оно через Tor. У проекта есть onion-адрес, и если вы открываете его в Tor Browser, ваш IP исчезает в луковом тумане. Для удобства есть и обычное зеркало hushline.app — быстрее, но оставляет след в логах провайдера. Так что выбор: или безопасность, или комфорт. Не оба сразу.
Чтобы проверить, насколько всё это надёжно, Open Technology Fund в 2024-м заказал аудит команде Subgraph. И оказалось, что Personal Server — отдельный коробочный вариант Hush Line — почти безупречен. Ни баз данных, ни учёток, всё крутится на Tor и живёт на Raspberry Pi OS Lite. Единственная уязвимость — если кто-то заспамит вход потоками сообщений. Это и поправили: вшили ограничение скорости, убрали всё лишнее. Получилась коробка для параноиков — но рабочая.
Облачная версия, Managed Service, попроще. Там и роли, и визуальная панель, и интеграция с Proton Mail. Зато и риски выше: аудит нашёл потенциальные SQL-инъекции и уязвимость из-за общей базы данных. Всё оперативно закрыли: мигрировали на SQLite, прикрутили Flask-Limiter, а крипту перевели на Sequoia. Параллельно пришили патч 0.3.5, который прикрыл XSS с CVE-2024-55888 — всё из-за того, что кто-то забыл про CSP.
Но криптография — это только полдела. Если противник видит и вход, и выход, он может сопоставить задержки. Эта техника — traffic correlation — применялась немецкими спецслужбами против скрытых Tor-сервисов. Спастись можно только так: менять маршруты, пользоваться Wi-Fi вне дома, следить за тем, как ты пишешь. Потому что фраза вроде “по нашему внутреннему регламенту ПНП-304” выдает человека быстрее, чем любой эксплойт.
Именно об этом предупреждает и сам Hush Line: не надо копировать служебные тексты, не надо писать, как обычно. Пиши просто. Без цифр, без ссылок, без лишних меток. И чисти cookies — сразу, после отправки.
Если жалоба не про госизмену, то Tor Browser и Managed Service хватит. Но если ставки высоки, схема будет другая: Personal Server в отдельной комнате, интернет — через собственный роутер, устройство под Tails или Qubes/Whonix, ключ PGP — только офлайн. Это уже почти как SecureDrop, только без головной боли на три недели.
Но помни: Hush Line передаёт только текст. Ни сканов, ни фото, ни видео — только буквы. Всё остальное — через OnionShare или тот же SecureDrop. Потому что EXIF и метаданные выдают не хуже отпечатков пальцев.
А ещё есть физический уровень. Самый банальный. Устройство могут изъять на границе. Телефон — отследить по сотовой. Паспорт — привязать к IMEI. И тогда ни один PGP тебе не поможет.
Hush Line обещают добавить «горящие» сообщения, чистку метаданных, post-quantum режим SequoiaPQ, отдельные облака для редакций. Всё это делается на гранты от OTF и пожертвования. А иногда — просто за звёздочку на GitHub.
Но какой бы ни была защита, всё решает поведение пользователя. Меняй стиль. Не повторяйся. Удаляй следы всегда. Потому что даже самый надёжный шёпот может оказаться эхом.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥57❤8👍6
8 декабря 2020 года глава компании FireEye произнёс фразу, от которой в мире кибербезопасности холодеет позвоночник: «Кажется, взломали нас самих». В течение нескольких часов стало ясно, что украденные инструменты red team — лишь слабое эхо чего-то куда более глубокого. В их сети прятался гость, молчаливый, осторожный и чужой.
След привёл к обновлению Orion — платформе, которую использовали все, от Пентагона до Microsoft. Выяснилось, что кто-то смог внедрить в цепочку сборки вредоносный код, причём не после релиза, не через подмену файла, а внутри самой логики процесса. Ещё осенью 2019 года, пока SolarWinds уверенно строила доверие к своей экосистеме, зло уже затаилось в коде. Когда пришло время выкладывать обновление, оно шло с цифровой подписью, всё как положено — только внутри уже спал троянец.
Этот троянец, позже получивший имя SUNBURST, сначала ждал. Две недели он не делал ничего, чтобы не вызвать ни одного подозрения. Потом начинал передавать данные на командный сервер, маскируясь под трафик телеметрии. Потом подгружал дополнительный вредонос. Всё — без ошибок, без лишнего шума. Весной 2020 го тысячи системных администраторов по всему миру нажимали кнопку «Обновить», получая не обновление, а тикающий маячок, связанный с внешним миром.
Число заражённых инсталляций превысило 18 тысяч. Активно шпионили — меньше сотни, но выбор был точечным и пугающе точным: министерства США, телеком-компании Европы, исследовательские институты Азии, крупные облачные интеграторы. Злоумышленники, позже отнесённые к Nobelium (APT29), не ломали двери — они заходили в открытую, тихо копируя ключи доступа, схемы сетей, исходные коды и конфигурации. Если на машине был forensic-инструмент вроде Wireshark, троянец замирал, делая вид, что его никогда не было. Это была не атака, это была хирургия.
Большинство жертв не заметили ничего. Только после публикации индикаторов компрометации от FireEye и экстренных предупреждений от CISA началось осознание масштаба. И тогда выяснилось главное: весь мир оказался уязвим из-за одной кнопки, одного доверенного обновления.
Позже, в апреле 2021 года, Mandiant опубликует отчёт, где скажет вслух то, что все уже чувствовали — атаки на цепочки поставок больше не экзотика. Если раньше они составляли доли процента, то теперь — почти пятая часть всех взломов. И в подавляющем большинстве случаев путь в сеть начинался с SolarWinds.
Компания пыталась отыграть назад. Патчи, брифинги, публичные заявления о «менее 100 реально пострадавших». Но факт оставался: обновление, которое ставили тысячи, оказалось троянским конём, и никто этого не заметил.
Спустя годы SUNBURST всё ещё находят в дикой природе. Nobelium больше не нуждается в старых трюках — они адаптировались, создали поддельные медиа-домены, запустили гуманитарный фишинг, изменили вектор. Но суть осталась прежней: маскировка под доверенное — это их любимое оружие.
Самый страшный вывод из истории SolarWinds — не в масштабах, не в репутационных потерях и не в изяществе исполнения. А в том, насколько легко всё случилось. Один подписанный билд. Одна кнопка «Обновить». Один незащищённый шаг — и тысячи дверей приоткрылись. За этим стоит вопрос, который теперь не даёт покоя ни одному инженеру: если даже подпись сборки больше не даёт гарантий, что нам тогда остаётся?
Ответ один: проверять всё. Собирать список компонентов. Изолировать сборочные процессы. Подвергать сомнению даже то, что кажется своим. Потому что сегодня кнопка «Обновить» — это не просто запуск апдейта. Это рубеж. И если вы не проверяете, что именно запускаете, значит кто-то уже сделал это за вас.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
След привёл к обновлению Orion — платформе, которую использовали все, от Пентагона до Microsoft. Выяснилось, что кто-то смог внедрить в цепочку сборки вредоносный код, причём не после релиза, не через подмену файла, а внутри самой логики процесса. Ещё осенью 2019 года, пока SolarWinds уверенно строила доверие к своей экосистеме, зло уже затаилось в коде. Когда пришло время выкладывать обновление, оно шло с цифровой подписью, всё как положено — только внутри уже спал троянец.
Этот троянец, позже получивший имя SUNBURST, сначала ждал. Две недели он не делал ничего, чтобы не вызвать ни одного подозрения. Потом начинал передавать данные на командный сервер, маскируясь под трафик телеметрии. Потом подгружал дополнительный вредонос. Всё — без ошибок, без лишнего шума. Весной 2020 го тысячи системных администраторов по всему миру нажимали кнопку «Обновить», получая не обновление, а тикающий маячок, связанный с внешним миром.
Число заражённых инсталляций превысило 18 тысяч. Активно шпионили — меньше сотни, но выбор был точечным и пугающе точным: министерства США, телеком-компании Европы, исследовательские институты Азии, крупные облачные интеграторы. Злоумышленники, позже отнесённые к Nobelium (APT29), не ломали двери — они заходили в открытую, тихо копируя ключи доступа, схемы сетей, исходные коды и конфигурации. Если на машине был forensic-инструмент вроде Wireshark, троянец замирал, делая вид, что его никогда не было. Это была не атака, это была хирургия.
Большинство жертв не заметили ничего. Только после публикации индикаторов компрометации от FireEye и экстренных предупреждений от CISA началось осознание масштаба. И тогда выяснилось главное: весь мир оказался уязвим из-за одной кнопки, одного доверенного обновления.
Позже, в апреле 2021 года, Mandiant опубликует отчёт, где скажет вслух то, что все уже чувствовали — атаки на цепочки поставок больше не экзотика. Если раньше они составляли доли процента, то теперь — почти пятая часть всех взломов. И в подавляющем большинстве случаев путь в сеть начинался с SolarWinds.
Компания пыталась отыграть назад. Патчи, брифинги, публичные заявления о «менее 100 реально пострадавших». Но факт оставался: обновление, которое ставили тысячи, оказалось троянским конём, и никто этого не заметил.
Спустя годы SUNBURST всё ещё находят в дикой природе. Nobelium больше не нуждается в старых трюках — они адаптировались, создали поддельные медиа-домены, запустили гуманитарный фишинг, изменили вектор. Но суть осталась прежней: маскировка под доверенное — это их любимое оружие.
Самый страшный вывод из истории SolarWinds — не в масштабах, не в репутационных потерях и не в изяществе исполнения. А в том, насколько легко всё случилось. Один подписанный билд. Одна кнопка «Обновить». Один незащищённый шаг — и тысячи дверей приоткрылись. За этим стоит вопрос, который теперь не даёт покоя ни одному инженеру: если даже подпись сборки больше не даёт гарантий, что нам тогда остаётся?
Ответ один: проверять всё. Собирать список компонентов. Изолировать сборочные процессы. Подвергать сомнению даже то, что кажется своим. Потому что сегодня кнопка «Обновить» — это не просто запуск апдейта. Это рубеж. И если вы не проверяете, что именно запускаете, значит кто-то уже сделал это за вас.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥75❤12👍4
Июль катится к финалу, но кибербезопасность не даёт расслабиться. На этот раз тревогу подняла китайская Huangdou Security — заявили, будто нашли способ снять метку «приватно» с закрытых каналов Telegram. Не через взлом клиента. Не с помощью фейкового инвайта. А напрямую — на уровне серверной логики. И не просто доступ к контенту, а полное вскрытие, включая удалённые медиа. Без приглашений. Без следов. Просто скриншоты: чужие личные фотографии, якобы извлечённые из недоступного канала, с метаданными и названиями. Доказательства? Размытые. Код? Не показан. Логика? «Обход маскировки доступа» и «десинхрон в CDN».
Кто-то бы махнул рукой — мол, утка. Но Huangdou раньше публиковали вполне рабочие PoC для WeChat. Пусть и без кода, но не просто теоретики. И когда в кадре появляются частные фото, якобы слитые из архива, — комьюнити начинает нервничать. Telegram молчит. В CVE — пусто. Баг-трекер чист.
Протокол тут тоже не даёт поводов для паники. MTProto проверяет сразу три вещи: уникальный ключ сессии (auth_key), хеш-доступ (access_hash) и то, есть ли у пользователя вообще права читать канал. Если чего-то не хватает — сервер просто отвечает «CHANNEL_PRIVATE» и отправляет клиента в сад. Даже если попытаться хитрить и отключить проверки на стороне приложения, история не выдастся — сервер жёстко фильтрует всё сам. Обойти CDN тоже не получится: без валидной ссылки ничего не достанешь, а после удаления медиа она быстро становится бесполезной. Telegram не сразу, но всё же отправляет такие файлы в мусорку — пусть и ленивую. А кэш, который мог бы зацепить утёкшие картинки, живёт буквально пару минут, не больше.
Кто только ни пытался воспроизвести баг: и ребята из tginfo, и китайские исследователи, и одиночки с Telethon, которые сутками гоняли скрипты через датацентры, подставляя фейковые сессии, моделируя доступ, ковыряя архивы. Всё упиралось в те же грабли: CHANNEL_PRIVATE и CHATS_TOO_BIG. Даже старые версии Server API не повели себя иначе. В итоге независимые эксперты по безопасности вынесли сухой вердикт: пока это «неподтверждённый нулевик».
Теоретически — шанс есть. Telegram порой шалит при переходе megagroup → broadcast. Бывали случаи, когда смена access_hash во время миграции создавала крошечное окно. Или когда CDN в разных DC реплицировался неравномерно. Или когда invite отзывался, а старая сессия ещё пару минут держалась живой. Но это больше экзотика, чем стабильный эксплойт. Хотя EvilVideo в 2024-м, когда троян подменял APK-файл, сначала тоже казался мифом. И на его закрытие ушло 11 дней. Если баг Mask Bypass жив, то патч должен быть на подходе. Пока — тишина.
Индустрия тем временем кипит. За настоящий Telegram RCE с полным обходом защиты, брокер Operation Zero уже обещает до четырёх миллионов долларов. Продавать такой инструмент через полупрозрачный блог? Зачем, если можно продать молча. Или напрямую — Telegram, или одному из структурных игроков. И если баг действительно настолько опасен, как утверждает Huangdou, то его бы уже перекупили. Или зарыли.
Что делать прямо сейчас? Паники нет. Но здравый смысл никто не отменял. Критичные материалы давно выносят за пределы Telegram или шифруют в секретный чат. Сессии сбрасывают, устройства закрепляют за контейнерами, ключи ротации периодически обновляют. Если же слух подтвердится — первым делом менять пригласительные ссылки, чистить админов, проводить ревизию медиаархивов. Не потому что Telegram слаб. А потому что никто не застрахован, когда приватность зависит от архитектуры, которую ты не контролируешь.
Пока же вся эта история больше похожа на дым без огня. Скандал есть. Кода нет. Репродукции — мимо. Но сама волна говорит о главном: даже слух способен пошатнуть доверие к самой стабильной платформе. И напомнить — приватность не в кнопке. Она в тебе. И в твоём умении не полагаться вслепую на шифр, каким бы красивым он ни казался.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Кто-то бы махнул рукой — мол, утка. Но Huangdou раньше публиковали вполне рабочие PoC для WeChat. Пусть и без кода, но не просто теоретики. И когда в кадре появляются частные фото, якобы слитые из архива, — комьюнити начинает нервничать. Telegram молчит. В CVE — пусто. Баг-трекер чист.
Протокол тут тоже не даёт поводов для паники. MTProto проверяет сразу три вещи: уникальный ключ сессии (auth_key), хеш-доступ (access_hash) и то, есть ли у пользователя вообще права читать канал. Если чего-то не хватает — сервер просто отвечает «CHANNEL_PRIVATE» и отправляет клиента в сад. Даже если попытаться хитрить и отключить проверки на стороне приложения, история не выдастся — сервер жёстко фильтрует всё сам. Обойти CDN тоже не получится: без валидной ссылки ничего не достанешь, а после удаления медиа она быстро становится бесполезной. Telegram не сразу, но всё же отправляет такие файлы в мусорку — пусть и ленивую. А кэш, который мог бы зацепить утёкшие картинки, живёт буквально пару минут, не больше.
Кто только ни пытался воспроизвести баг: и ребята из tginfo, и китайские исследователи, и одиночки с Telethon, которые сутками гоняли скрипты через датацентры, подставляя фейковые сессии, моделируя доступ, ковыряя архивы. Всё упиралось в те же грабли: CHANNEL_PRIVATE и CHATS_TOO_BIG. Даже старые версии Server API не повели себя иначе. В итоге независимые эксперты по безопасности вынесли сухой вердикт: пока это «неподтверждённый нулевик».
Теоретически — шанс есть. Telegram порой шалит при переходе megagroup → broadcast. Бывали случаи, когда смена access_hash во время миграции создавала крошечное окно. Или когда CDN в разных DC реплицировался неравномерно. Или когда invite отзывался, а старая сессия ещё пару минут держалась живой. Но это больше экзотика, чем стабильный эксплойт. Хотя EvilVideo в 2024-м, когда троян подменял APK-файл, сначала тоже казался мифом. И на его закрытие ушло 11 дней. Если баг Mask Bypass жив, то патч должен быть на подходе. Пока — тишина.
Индустрия тем временем кипит. За настоящий Telegram RCE с полным обходом защиты, брокер Operation Zero уже обещает до четырёх миллионов долларов. Продавать такой инструмент через полупрозрачный блог? Зачем, если можно продать молча. Или напрямую — Telegram, или одному из структурных игроков. И если баг действительно настолько опасен, как утверждает Huangdou, то его бы уже перекупили. Или зарыли.
Что делать прямо сейчас? Паники нет. Но здравый смысл никто не отменял. Критичные материалы давно выносят за пределы Telegram или шифруют в секретный чат. Сессии сбрасывают, устройства закрепляют за контейнерами, ключи ротации периодически обновляют. Если же слух подтвердится — первым делом менять пригласительные ссылки, чистить админов, проводить ревизию медиаархивов. Не потому что Telegram слаб. А потому что никто не застрахован, когда приватность зависит от архитектуры, которую ты не контролируешь.
Пока же вся эта история больше похожа на дым без огня. Скандал есть. Кода нет. Репродукции — мимо. Но сама волна говорит о главном: даже слух способен пошатнуть доверие к самой стабильной платформе. И напомнить — приватность не в кнопке. Она в тебе. И в твоём умении не полагаться вслепую на шифр, каким бы красивым он ни казался.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥85❤13👍10
В ИБ-сводках снова пахнет дымом — и в этот раз источник в самом сердце Москвы. Microsoft раскрыла операцию Turla (она же Secret Blizzard) — и это не просто очередной шпионский вирус, а хладнокровный, почти театральный спектакль на уровне провайдера. Около года хакеры вели охоту за дипломатами, подсовывая им фальшивый антивирус «Лаборатории Касперского» вместо чистого ПО и заражая машины через знакомые всем captive portal-ы — те самые «согласитесь с условиями» страницы в гостиницах и аэропортах.
Но подделанный интерфейс — лишь приманка. Главное в том, что Turla впервые показала, что умеет атаковать не через уязвимый софт, а прямо в точке, где интернет входит в здание — на уровне российских ISP. Подмена сертификатов, перехват трафика, установка долгоживущих шпионских модулей — всё это происходило незаметно, под крышей национальной телеком-инфраструктуры. Любой дипломат, открывший в Москве браузер, фактически ставил флажок на своём устройстве: «Я доступен для наблюдения».
За этой схемой стоит 16-й центр ФСБ — та же структура, что когда-то выдала в мир NotPetya и погружала в темноту украинские электросети. Turla работает с начала 2000х, но такой наглой и технически выверенной атаки от них ещё не видели. Государственная система СОРМ, изначально преподнесённая как инструмент «законного» контроля, в их руках превратилась в канал скрытого кибершпионажа против иностранных миссий.
Microsoft не раскрывает список пострадавших стран, но намёков достаточно: под прицел мог попасть любой, кто решал дипломатические вопросы в российской столице, не задумываясь, что даже поход в онлайн за прогнозом погоды может закончиться перехватом переписки. Урок очевиден — в Москве интернет не просто под надзором, он встроен в политический ландшафт. И если против вас играют на таком уровне, то ни VPN, ни фирменный антивирус не спасут без полноценной изоляции устройств и сетей.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Но подделанный интерфейс — лишь приманка. Главное в том, что Turla впервые показала, что умеет атаковать не через уязвимый софт, а прямо в точке, где интернет входит в здание — на уровне российских ISP. Подмена сертификатов, перехват трафика, установка долгоживущих шпионских модулей — всё это происходило незаметно, под крышей национальной телеком-инфраструктуры. Любой дипломат, открывший в Москве браузер, фактически ставил флажок на своём устройстве: «Я доступен для наблюдения».
За этой схемой стоит 16-й центр ФСБ — та же структура, что когда-то выдала в мир NotPetya и погружала в темноту украинские электросети. Turla работает с начала 2000х, но такой наглой и технически выверенной атаки от них ещё не видели. Государственная система СОРМ, изначально преподнесённая как инструмент «законного» контроля, в их руках превратилась в канал скрытого кибершпионажа против иностранных миссий.
Microsoft не раскрывает список пострадавших стран, но намёков достаточно: под прицел мог попасть любой, кто решал дипломатические вопросы в российской столице, не задумываясь, что даже поход в онлайн за прогнозом погоды может закончиться перехватом переписки. Урок очевиден — в Москве интернет не просто под надзором, он встроен в политический ландшафт. И если против вас играют на таком уровне, то ни VPN, ни фирменный антивирус не спасут без полноценной изоляции устройств и сетей.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
7🔥78❤10🥱4🤯3😁1🌚1
Исследователи Ostorlab решили проверить, насколько «неприступным» на самом деле остаётся Signal для Android. Мессенджер, который Сноуден называет золотым стандартом приватности, журналисты используют для конфиденциальных бесед, а активисты — для того, чтобы спать спокойнее, внезапно оказался под прицелом технического аудита. Результат — две серьёзные уязвимости, позволявшие читать внутренние файлы приложения. Парадокс в том, что даже так сообщения пользователей остались за семью замками.
Первая брешь — Path Traversal в BlobContentProvider. Android-декодер в SDK слишком доверчиво обращался с последовательностями вида %2F и ../. Достаточно было подменить путь в запросе, чтобы приложение вместо ожидаемого объекта заглянуло в чужой «сейф». Пример, который использовали исследователи, выглядел почти невинно, но на деле позволял прочитать org.thoughtcrime.securesms_preferences.xml прямо из каталога shared_prefs.
Вторая — недосмотр в ShareActivity. Signal умеет принимать файлы через интернет от других приложений, и в случае с одиночным вложением проверка жёсткая: ничего из /data/ не пропустит. Но если отправить несколько файлов, то сторож заснёт. Один файл — настоящий, для отвода глаз, другой — маскированный под .png, но с референсом на конфигурационный XML в системном каталоге. В итоге мессенджер считал его изображением и открывал доступ к конфиденциальным данным.
Чтобы превратить эти находки в рабочую атаку, Ostorlab объединила несколько трюков: обход FileUriExposedException через
Добычей стали имена из ярлыков контактов, настройки приложения, Firebase-токены и метаданные конфигурации. Но вот база сообщений осталась закрыта: SQLCipher, Android Keystore и аппаратная защита ключей отрезали все пути. Пароли резервных копий и сами ключи шифрования злоумышленнику не достались.
В этом — главный урок. Баги есть везде, но архитектура с несколькими слоями защиты делает так, что даже успешная эксплуатация одного уровня не рушит всю оборону. Здесь сработали шифрование базы, защита ключей на уровне ОС и железа, плюс изоляция критичных данных.
Реакция Signal стала отдельной иллюстрацией правильного responsible disclosure: через три часа после отчёта пришло подтверждение, спустя несколько дней — готовый патч, а версия 7.44.2 закрыла обе уязвимости. Google же на вопрос про исправление в SDK лишь ответил, что «это ожидаемое поведение» и обратная совместимость важнее.
Вывод для пользователей прост: продолжать использовать Signal. Баги нашли и устранили, а сама история показала, что многоуровневая защита — не маркетинговая фраза, а реально работающий механизм, который не даёт одним уязвимостям обрушить весь замок.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Первая брешь — Path Traversal в BlobContentProvider. Android-декодер в SDK слишком доверчиво обращался с последовательностями вида %2F и ../. Достаточно было подменить путь в запросе, чтобы приложение вместо ожидаемого объекта заглянуло в чужой «сейф». Пример, который использовали исследователи, выглядел почти невинно, но на деле позволял прочитать org.thoughtcrime.securesms_preferences.xml прямо из каталога shared_prefs.
Вторая — недосмотр в ShareActivity. Signal умеет принимать файлы через интернет от других приложений, и в случае с одиночным вложением проверка жёсткая: ничего из /data/ не пропустит. Но если отправить несколько файлов, то сторож заснёт. Один файл — настоящий, для отвода глаз, другой — маскированный под .png, но с референсом на конфигурационный XML в системном каталоге. В итоге мессенджер считал его изображением и открывал доступ к конфиденциальным данным.
Чтобы превратить эти находки в рабочую атаку, Ostorlab объединила несколько трюков: обход FileUriExposedException через
file://system/../data/, MIME-маскировку с подложными расширениями, предсказание дескрипторов временных файлов и использование симлинков /proc/self/fd/... для доступа к реальным объектам.Добычей стали имена из ярлыков контактов, настройки приложения, Firebase-токены и метаданные конфигурации. Но вот база сообщений осталась закрыта: SQLCipher, Android Keystore и аппаратная защита ключей отрезали все пути. Пароли резервных копий и сами ключи шифрования злоумышленнику не достались.
В этом — главный урок. Баги есть везде, но архитектура с несколькими слоями защиты делает так, что даже успешная эксплуатация одного уровня не рушит всю оборону. Здесь сработали шифрование базы, защита ключей на уровне ОС и железа, плюс изоляция критичных данных.
Реакция Signal стала отдельной иллюстрацией правильного responsible disclosure: через три часа после отчёта пришло подтверждение, спустя несколько дней — готовый патч, а версия 7.44.2 закрыла обе уязвимости. Google же на вопрос про исправление в SDK лишь ответил, что «это ожидаемое поведение» и обратная совместимость важнее.
Вывод для пользователей прост: продолжать использовать Signal. Баги нашли и устранили, а сама история показала, что многоуровневая защита — не маркетинговая фраза, а реально работающий механизм, который не даёт одним уязвимостям обрушить весь замок.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
305🔥73❤11👍4❤🔥1👏1🥱1
Заключение специалиста по МАХ.pdf
1.1 MB
Попался занятный документ. Экспертное заключение на всем известный мессенджер.
Что думаете?
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Что думаете?
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
3🔥89😁16👍7❤3👎2
Эволюция фишинга: как ИИ меняет правила игры в кибербезопасности
Фишинг не умер — он мутировал. Исчезли письма от «нигерийского принца», вместо них на сцене атаки с искусственным интеллектом, клонированным голосом и видео, которые не отличишь от реальных. То, что вчера выглядело фантастикой, сегодня собрано в готовых фреймворках, доступных любому.
Психология осталась той же, страх потерять доступ, срочность, давление авторитета, соблазн «секретного документа». Но теперь всё это упаковано в персонализацию. HUMINT и открытые источники позволяют собирать досье на каждого: если жертва подала заявку на кредит, письмо «от банка» о подтверждении данных будет выглядеть абсолютно легитимно.
С технической стороны всё не лучше. SPF у многих в «мягком» режиме, что открывает дорогу поддельным SMTP. Инструменты вроде emkei.cz дают спуфинг на уровне заполненной формы. Единственный шанс правильно настроенные SPF, DKIM и DMARC, жёсткая проверка соответствия Sender и Return-Path и автоматическая фильтрация на шлюзах. Иначе даже простая подделка проезжает без сопротивления.
ИИ добавил к этому ещё один слой ужаса. DeepFaceLab генерирует видео с «директором», Descript и Lyrebird подкидывают его голос. Смешайте с контекстом из соцсетей — и получится звонок, от которого сотрудник не отличит реальность. Гибрид атаки с видео и аудио, теперь новая реальность, где без инструментов детекции уже не справиться.
Двухфакторка, которая ещё недавно казалась золотым стандартом, тоже пошла трещинами. Evilginx перехватывает не только пароли, но и одноразовые коды, выдавая атакующему готовый сессионный токен. SMS, TOTP, пуши — всё ломается на обратном прокси. Спасти может только FIDO2/WebAuthn: криптографическая привязка к домену делает MITM бессмысленным.
Фронт фишинга ушёл и в инфраструктуру. Гомографические атаки используют буквы из разных алфавитов, выдавая поддельные домены за настоящие. DNS-хиджинг стал проще через IoT и роутеры с дефолтными паролями. Fast Flux ботнеты крутят IP до тех пор, пока вы не перестанете их ловить. Даже Wi-Fi превратился в ловушку: Evil Twin и KARMA цепляют устройства автоматически, авторизация в аэропорту или кафе собирает логины с невидимой лёгкостью.
Защита теперь должна быть комплексной. Технически: строгие политики SPF/DKIM/DMARC, CT-мониторинг, сегментация сети, железные токены. Организационно: коллбэк-протоколы для финансовых операций, голосовая биометрия в критичных системах. И самое важное — обучение. Но не «ищите ошибки в орфографии», а привычка проверять каждый эмоционально окрашенный запрос, даже если он пришёл «от шефа».
Будущее обещает лишь ускорение гонки. Генеративные модели будут штамповать персонализированные фишинговые сценарии в промышленных масштабах, а защитники бросятся в ответ строить ML-детекторы синтетики в реальном времени. Это уже не вспомогательная атака — это основной вектор компрометации в мире удалёнки и цифровой зависимости. И выживет тот, кто научится опережать.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Фишинг не умер — он мутировал. Исчезли письма от «нигерийского принца», вместо них на сцене атаки с искусственным интеллектом, клонированным голосом и видео, которые не отличишь от реальных. То, что вчера выглядело фантастикой, сегодня собрано в готовых фреймворках, доступных любому.
Психология осталась той же, страх потерять доступ, срочность, давление авторитета, соблазн «секретного документа». Но теперь всё это упаковано в персонализацию. HUMINT и открытые источники позволяют собирать досье на каждого: если жертва подала заявку на кредит, письмо «от банка» о подтверждении данных будет выглядеть абсолютно легитимно.
С технической стороны всё не лучше. SPF у многих в «мягком» режиме, что открывает дорогу поддельным SMTP. Инструменты вроде emkei.cz дают спуфинг на уровне заполненной формы. Единственный шанс правильно настроенные SPF, DKIM и DMARC, жёсткая проверка соответствия Sender и Return-Path и автоматическая фильтрация на шлюзах. Иначе даже простая подделка проезжает без сопротивления.
ИИ добавил к этому ещё один слой ужаса. DeepFaceLab генерирует видео с «директором», Descript и Lyrebird подкидывают его голос. Смешайте с контекстом из соцсетей — и получится звонок, от которого сотрудник не отличит реальность. Гибрид атаки с видео и аудио, теперь новая реальность, где без инструментов детекции уже не справиться.
Двухфакторка, которая ещё недавно казалась золотым стандартом, тоже пошла трещинами. Evilginx перехватывает не только пароли, но и одноразовые коды, выдавая атакующему готовый сессионный токен. SMS, TOTP, пуши — всё ломается на обратном прокси. Спасти может только FIDO2/WebAuthn: криптографическая привязка к домену делает MITM бессмысленным.
Фронт фишинга ушёл и в инфраструктуру. Гомографические атаки используют буквы из разных алфавитов, выдавая поддельные домены за настоящие. DNS-хиджинг стал проще через IoT и роутеры с дефолтными паролями. Fast Flux ботнеты крутят IP до тех пор, пока вы не перестанете их ловить. Даже Wi-Fi превратился в ловушку: Evil Twin и KARMA цепляют устройства автоматически, авторизация в аэропорту или кафе собирает логины с невидимой лёгкостью.
Защита теперь должна быть комплексной. Технически: строгие политики SPF/DKIM/DMARC, CT-мониторинг, сегментация сети, железные токены. Организационно: коллбэк-протоколы для финансовых операций, голосовая биометрия в критичных системах. И самое важное — обучение. Но не «ищите ошибки в орфографии», а привычка проверять каждый эмоционально окрашенный запрос, даже если он пришёл «от шефа».
Будущее обещает лишь ускорение гонки. Генеративные модели будут штамповать персонализированные фишинговые сценарии в промышленных масштабах, а защитники бросятся в ответ строить ML-детекторы синтетики в реальном времени. Это уже не вспомогательная атака — это основной вектор компрометации в мире удалёнки и цифровой зависимости. И выживет тот, кто научится опережать.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥81❤10👍7
Москва снова решила сыграть в будущее — только на этот раз без привычных камер, биометрии и «угадай, кто ты». На улицах, в метро, в магазинах и офисах внедряют систему, которая не смотрит в лицо, а метит всё вокруг специальной краской. Она невидима для глаза, безопасна для ткани и кожи, но камеры с фильтрами видят её свечение и передают в аналитическую платформу. Дальше включается нейросеть: она отслеживает перемещения объектов, собирает статистику, строит цифровые профили. Получается полноценное наблюдение без имен, фамилий и персональных данных.
Вариантов хватает. В торговых центрах это инструмент для анализа маршрутов покупателей и контроля уборки. На транспорте — управление пассажиропотоками и «невидимая» безопасность. В офисах — автоматизация учёта оборудования и процессов. В логистике — контроль за грузами без участия человека. Всё это презентуют как технологию комфорта, без «большого брата» и без нарушений закона.
Юридически к разработке не придерёшься: метка не содержит биометрию и не указывает на конкретного человека. Именно поэтому юристы разводят руками — персональные данные тут формально не собираются. А значит, согласия никто не спрашивает. Но факт остаётся фактом: любой объект, на который попала эта краска, превращается в элемент трекинга. Его маршрут можно проследить, его поведение — описать.
Презентация в кластере «Ломоносов» прошла в 2025 году при Мишустине и Собянине. Государство открыто поддерживает проект. Компания BPA Technologies уже подписала «этический кодекс» и уверяет, что всё прозрачно и сделано ради удобства. Формально всё чисто: юристы довольны, чиновники улыбаются. Но где-то внутри всё равно скребётся вопрос — а не превращают ли нас в подопытных мышей для новой версии цифрового надзора?
Получается странная анонимность: имя твое системе не нужно, паспорт ей безразличен, а маршрут до дома она знает лучше, чем ты сам. И тут невольно задаёшься — это наблюдение без лиц или лицемерие без наблюдения? И если раньше за вами следили через лицо или паспорт, то теперь — через светящуюся для камеры точку на куртке.
Что думаете?
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Вариантов хватает. В торговых центрах это инструмент для анализа маршрутов покупателей и контроля уборки. На транспорте — управление пассажиропотоками и «невидимая» безопасность. В офисах — автоматизация учёта оборудования и процессов. В логистике — контроль за грузами без участия человека. Всё это презентуют как технологию комфорта, без «большого брата» и без нарушений закона.
Юридически к разработке не придерёшься: метка не содержит биометрию и не указывает на конкретного человека. Именно поэтому юристы разводят руками — персональные данные тут формально не собираются. А значит, согласия никто не спрашивает. Но факт остаётся фактом: любой объект, на который попала эта краска, превращается в элемент трекинга. Его маршрут можно проследить, его поведение — описать.
Презентация в кластере «Ломоносов» прошла в 2025 году при Мишустине и Собянине. Государство открыто поддерживает проект. Компания BPA Technologies уже подписала «этический кодекс» и уверяет, что всё прозрачно и сделано ради удобства. Формально всё чисто: юристы довольны, чиновники улыбаются. Но где-то внутри всё равно скребётся вопрос — а не превращают ли нас в подопытных мышей для новой версии цифрового надзора?
Получается странная анонимность: имя твое системе не нужно, паспорт ей безразличен, а маршрут до дома она знает лучше, чем ты сам. И тут невольно задаёшься — это наблюдение без лиц или лицемерие без наблюдения? И если раньше за вами следили через лицо или паспорт, то теперь — через светящуюся для камеры точку на куртке.
Что думаете?
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
40🔥65🤯18❤8🤔7👍1😁1
Базовая анонимная сборка: устройство и сеть.
Если вы всерьёз задумались об анонимности, начнём с простого факта: одно устройство для всего — это провал. Нужно разделение ролей. Возьмите обычный ноут, не «макбук», и сделайте его рабочей лошадкой для повседневных задач. Для анонимных действий берём отдельный аппарат или USB флешку с безопасной ОС — Tails или Whonix. Это не ради эстетики: разные устройства ломают связки «поведение -> отпечаток -> личность».
Сеть второй фронт. Обычный домашний интернет и привязанный к вам провайдер — это след под ковром. Один VPN? Хорошо как одна ступенька, но один VPN не закрывает вас от целенаправленного анализа. Соберите цепочку: локальный роутер с настроенным файрволом и DNS over HTTPS, затем VPN с проверкой no-logs, и на крайнем этапе Tor для чувствительных операций. Если вы не готовы к Tor, хотя бы используйте отдельный роутер/точку доступа только для анонимных сессий, физически отделённую от повседневной сети. Kill Switch обязателен — разовое срабатывание раздаст ваш реальный IP.
Физика тоже важна. Камера и микрофон, не «можно», а «нужно». Физические заглушки на камеру, отключение микрофона в BIOS/UEFI или совсем вырезанный модуль, это не паранойя, это стандарт. Если перевозите устройство, используйте внешний аккумулятор и отдельный роутер, чтобы не цепляться к публичным сетям напрямую без подготовки.
Шифрование дисков, обязательное правило, а не опция. VeraCrypt или BitLocker, выбранный и настроенный вами с сильным паролем — первый рубеж после физического захвата устройства. Храните резервные ключи офлайн, не в том же облаке, куда вы делаете бэкап рабочих файлов.
И ещё одно: поведенческая сегментация. Одна и та же риторика, одни часы активности и одни привычки выдадут вас быстрее любой уязвимости. Для «анонимных» задач используйте другой профиль, другой почтовый ящик, другие временные паттерны. Стройте цепочки: устройство A — браузер X — аккаунт a; устройство B — браузер Y — аккаунт b. Смешивание профилей это прямой путь в деанон.
Коротко о практике прямо сейчас: если у вас есть ноут и вы хотите минимально усложнить жизнь тем, кто будет пытаться вас вычислить, установите Tails на флешку, заведите отдельный роутер для анонимных сессий, включите полнодисковое шифрование на основном диске и заклейте камеру.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Если вы всерьёз задумались об анонимности, начнём с простого факта: одно устройство для всего — это провал. Нужно разделение ролей. Возьмите обычный ноут, не «макбук», и сделайте его рабочей лошадкой для повседневных задач. Для анонимных действий берём отдельный аппарат или USB флешку с безопасной ОС — Tails или Whonix. Это не ради эстетики: разные устройства ломают связки «поведение -> отпечаток -> личность».
Сеть второй фронт. Обычный домашний интернет и привязанный к вам провайдер — это след под ковром. Один VPN? Хорошо как одна ступенька, но один VPN не закрывает вас от целенаправленного анализа. Соберите цепочку: локальный роутер с настроенным файрволом и DNS over HTTPS, затем VPN с проверкой no-logs, и на крайнем этапе Tor для чувствительных операций. Если вы не готовы к Tor, хотя бы используйте отдельный роутер/точку доступа только для анонимных сессий, физически отделённую от повседневной сети. Kill Switch обязателен — разовое срабатывание раздаст ваш реальный IP.
Физика тоже важна. Камера и микрофон, не «можно», а «нужно». Физические заглушки на камеру, отключение микрофона в BIOS/UEFI или совсем вырезанный модуль, это не паранойя, это стандарт. Если перевозите устройство, используйте внешний аккумулятор и отдельный роутер, чтобы не цепляться к публичным сетям напрямую без подготовки.
Шифрование дисков, обязательное правило, а не опция. VeraCrypt или BitLocker, выбранный и настроенный вами с сильным паролем — первый рубеж после физического захвата устройства. Храните резервные ключи офлайн, не в том же облаке, куда вы делаете бэкап рабочих файлов.
И ещё одно: поведенческая сегментация. Одна и та же риторика, одни часы активности и одни привычки выдадут вас быстрее любой уязвимости. Для «анонимных» задач используйте другой профиль, другой почтовый ящик, другие временные паттерны. Стройте цепочки: устройство A — браузер X — аккаунт a; устройство B — браузер Y — аккаунт b. Смешивание профилей это прямой путь в деанон.
Коротко о практике прямо сейчас: если у вас есть ноут и вы хотите минимально усложнить жизнь тем, кто будет пытаться вас вычислить, установите Tails на флешку, заведите отдельный роутер для анонимных сессий, включите полнодисковое шифрование на основном диске и заклейте камеру.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
158🔥182❤15👍9
VS Code Marketplace: почему «официально» не значит «безопасно»
На этой неделе в ИБ-сообществе снова всплыл Visual Studio Code, и не из-за новой фичи. Исследователи Checkmarx обнаружили очередную волну вредоносных расширений, которые без особых проблем прошли модерацию и оказались в официальном Marketplace.
Важно сразу расставить акценты. Это не была массовая эпидемия и не «катастрофа для Go-разработчиков». Скорее аккуратная пристрелка. Под удар попали те, кто искал свежие темы оформления и модные AI-ассистенты. Установок было немного, десятки, а не тысячи. Но именно это и делает инцидент показательным: атака была не про масштаб, а про проверку границ допустимого.
Работало всё предельно буднично. Злоумышленники не изобретали ничего нового, а использовали проверенный арсенал. Тайпосквоттинг, когда название и визуал расширения почти неотличимы от легитимного. В отдельных случаях, более сложные цепочки, где вредонос затягивался через связанные пакеты, поддельные библиотеки и стандартные для Windows трюки вроде batch-скриптов и DLL hijacking. Всё это не эксплойты нулевого дня, а тихая эксплуатация доверия.
Цель была тоже максимально приземлённой. Классический инфостилер. SSH-ключи, облачные конфиги AWS и Azure, переменные окружения, .env-файлы. Всё то, что редко шифруют и почти никогда не считают «точкой атаки», хотя именно там лежит доступ к продакшену.
Да, конкретные расширения удалили достаточно быстро. Но сама история показывает более неприятную вещь: фильтры Marketplace по-прежнему пропускают код, который делает в системе куда больше, чем просто «помогает писать код». IDE давно перестала быть текстовым редактором. Это концентратор доверия.
Особенно это касается тех, кто работает с инфраструктурой, бэкендом и облаками. Для атакующего ваш VS Code не среда разработки, а удобный мост к токенам, ключам и внутренним сервисам. Один удачный плагин и никакой фишинг уже не нужен.
Вывод здесь довольно скучный, но важный. Marketplace это не знак качества и не гарантия безопасности. Это просто огромный склад. А на любом складе рядом с брендовой коробкой всегда найдётся что-то безымянное, но «очень полезное».
Проверять количество установок, смотреть на издателя и не тянуть в рабочую среду «новую крутую AI-штуку» от неизвестного автора, это уже не паранойя, а базовая гигиена.
IDE это доверенная зона. И если относиться к ней как к проходному двору, рано или поздно этим обязательно воспользуются.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
На этой неделе в ИБ-сообществе снова всплыл Visual Studio Code, и не из-за новой фичи. Исследователи Checkmarx обнаружили очередную волну вредоносных расширений, которые без особых проблем прошли модерацию и оказались в официальном Marketplace.
Важно сразу расставить акценты. Это не была массовая эпидемия и не «катастрофа для Go-разработчиков». Скорее аккуратная пристрелка. Под удар попали те, кто искал свежие темы оформления и модные AI-ассистенты. Установок было немного, десятки, а не тысячи. Но именно это и делает инцидент показательным: атака была не про масштаб, а про проверку границ допустимого.
Работало всё предельно буднично. Злоумышленники не изобретали ничего нового, а использовали проверенный арсенал. Тайпосквоттинг, когда название и визуал расширения почти неотличимы от легитимного. В отдельных случаях, более сложные цепочки, где вредонос затягивался через связанные пакеты, поддельные библиотеки и стандартные для Windows трюки вроде batch-скриптов и DLL hijacking. Всё это не эксплойты нулевого дня, а тихая эксплуатация доверия.
Цель была тоже максимально приземлённой. Классический инфостилер. SSH-ключи, облачные конфиги AWS и Azure, переменные окружения, .env-файлы. Всё то, что редко шифруют и почти никогда не считают «точкой атаки», хотя именно там лежит доступ к продакшену.
Да, конкретные расширения удалили достаточно быстро. Но сама история показывает более неприятную вещь: фильтры Marketplace по-прежнему пропускают код, который делает в системе куда больше, чем просто «помогает писать код». IDE давно перестала быть текстовым редактором. Это концентратор доверия.
Особенно это касается тех, кто работает с инфраструктурой, бэкендом и облаками. Для атакующего ваш VS Code не среда разработки, а удобный мост к токенам, ключам и внутренним сервисам. Один удачный плагин и никакой фишинг уже не нужен.
Вывод здесь довольно скучный, но важный. Marketplace это не знак качества и не гарантия безопасности. Это просто огромный склад. А на любом складе рядом с брендовой коробкой всегда найдётся что-то безымянное, но «очень полезное».
Проверять количество установок, смотреть на издателя и не тянуть в рабочую среду «новую крутую AI-штуку» от неизвестного автора, это уже не паранойя, а базовая гигиена.
IDE это доверенная зона. И если относиться к ней как к проходному двору, рано или поздно этим обязательно воспользуются.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
1🔥48❤9👍4
Ты можешь быть невидимым для сети. Но не для себя. Один лишний логин, "ничего страшного, один раз не пид...с!", один файл с хвостами и твоя легенда превращается в протокол.
Читать гайд https://telegra.ph/Kak-hakery-skryvayut-sledy-12-20
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Читать гайд https://telegra.ph/Kak-hakery-skryvayut-sledy-12-20
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥40👍8❤3👏1