Как зашифровать файл вручную как будто превратившись в браузер и шифруя трафик по HTTPS?
Т.е. браузеры ведь шифруют трафик сертификатом посещенного сайта (полученным по HTTPS). Так вот это значит, как то можно имея этот сертификат зашифровать какой нибудь файл?
Через ssh-keygen или openssl например.
Менеджер паролей — это программа для хранения логинов и паролей в зашифрованном виде. В результате данные будут защищены, а вам достаточно запомнить 1 пароль.
Глобально, менеджеры паролей можно поделить на 2 вида: облачные и локальные. Облачные хранят пароли у себя на серверах и поэтому очень удобны; локальные же менее удобны, зато их нельзя взломать. Я использую KeePass уже 7 лет и не представляю, как жить по-другому. В этой заметке я расскажу о 3х менеджерах паролей, которые использовал сам.
Созданный в 2003 году, бесплатный KeePass с годами завоевал множество почитателей. Работает предельно просто: база данных — это зашифрованный файл, открываемый мастер-паролем. Файл можно хранить на флешке или в облаке, типа Яндекс.Диска, тем самым обеспечивая кроссплатформенность. Есть улучшенная версия — KeePassXC, использующий такую же базу данных, но более красивый. Рекомендую попробовать его.
➕Бесплатно; локальная база данных (paranoid mode); доступно множество плагинов
➖Не особо удобен — из коробки нет интеграции с браузером и кроссплатформенности. Нет общих сейфов и немного устаревший интерфейс.
Сравнительно новое решение на рынке — бесплатный менеджер паролей с открытым кодом. Пароли хранит у себя на серверах, но можно сделать собственный. Параноики ликуют. Интерфейс поприятнее чем у KeePass, но всё ещё не очень удобный. Платные тарифы дают доступ к дополнительным функциям. Есть семейный тариф за 40$ в год.
➕Бесплатно, опенсорсно, кроссплатформенно. Есть общие сейфы.
➖Неинтуинивный интерфейс, пароли хранятся в облаке.
Настоящее интерпрайз решение для хранения паролей. Тут тебе и удобный интерфейс и синхронизация всего со всем и шеринг паролей. Всё красиво и современно. На мой взгляд — лучшее, что есть на рынке. Можно купить семейный тариф за 5$ в месяц.
➕Удобно, красиво, современно. Кросплатформенно и есть общие сейфы.
➖Довольно дорого стоит, не работает в России. Код закрыт и пароли хранятся в облаке.
Заведите менеджер паролей. Это реально удобно и безопасно. Только выбирайте тщательно. Например, сервис LastPass взламывали 4 раза и я вам не рекомендую (запрещаю) его использовать.
Хочу настроить себе сервер для Bitwarden. Всё-таки автозаполнение в браузере и кроссплатформенность делают своё дело. Ставь лайк, если хочешь почитать про настройку своего сервера :)
В телеграме — еще больше контента.
Доброго ночера, дорогие пикабушники!
Может быть я тупой, (или не внимательно читал политику конфиденциальности ВК), но тут такой момент - обменялись с женой в диалоге ссылкой на часы (которые мне понравились), теперь вижу рекламу часов в ВК (пример прикрепил (не реклама !!!) )
Может есть люди, которые растолкуют, является ли это нарушением или нет?
Лично меня этот момент очень напрягает, ведь это является передачей конфиденциальной информации третьим лицам, а после показа мне этой сраной рекламы. Что думаете ?
Бывают случаи, когда вам приходится разрешать кому-то копаться в вашем телефоне/компьютере против собственной воли, иначе же вас могут заподозрить в чем-то. Это могут быть ваши родственники, парни/девушки...пограничники 😳
В этом случае вам нужно заранее позаботиться о собственной безопасности, скрыв нежелательные приложения от любопытных глаз. Да и вообще, в мире информационной безопасности есть такой принцип - "security through obscurity", означающий "безопасность путем сокрытия", который часто работает даже лучше любой системы защиты и который лично меня не раз ставил в тупик: если не понятно, что у вас есть, то и не понятно, что искать.
Скрыть приложения можно практически в любой операционной системе. Вот примеры для наиболее распространенных:
Для Android самым универсальным вариантом будет установить кастомный домашний экран (Home Screen), поддерживающий сокрытие приложений. Например, Apex Launcher (скрывает с домашнего экрана и из поиска).
Для iOS (Apple, iPad) - удалить приложение с домашнего экрана и скрыть его из поиска (подробнее тут).
Для Windows/macOS/Linux надежнее всего использовать программы для запуска приложений в изолированной оболочке (лучшая в своем роде - Sandboxie), о ней еще поговорим в будущий постах). Такие программы позволяют запускать приложения в "песочнице" - изолированном месте. Если вдобавок вы спрячете файлы песочницы, как это было рассказано в посте "Прячьте ценные файлы", то никто и никогда не заподозрит вас в использовании приложения 😎
Ну и не забывайте отключать уведомления из скрываемых программ, чтобы в самый неподходящий момент они вас не разоблачили.
Есть у всех мессенджеров одна уязвимость из разряда "В Интернете можно накрутить все, что угодно", полноценную защиту от которой создать невозможно - это накрутка сообщений любому пользователю. И не просто накрутка, а настоящий шквал спам-сообщений, среди которых невозможно разобрать настоящие. Все настоящие диалоги собеседника уйдут глубоко вниз списка диалогов, а телефон начнет разрываться от уведомлений. При таком раскладе заходить в свой мессенджер и проверять новые сообщения у жертвы не возникнет ни малейшего желания - она их даже не найдет. Некоторые жертвы не выдерживают и просто удаляют мессенджер 😎
Эта техника уже не раз позволяла лично мне "вырубить" жертве доступ в определенный мессенджер: WhatsApp, Telegram, Instagram, VK на любой срок. Раньше это было сделать сложнее, но в век "услуг на любой вкус" это может сделать кто угодно в том числе и в ваш адрес за 500-3000 рублей. Работает даже с SMS - могут атаковать вас, если не хотят, чтобы вы прочитали определенное сообщение (например, с кодом двухфакторной аутентификации для входа в аккаунт).
Некоторые мессенджеры предлагают защиту от этого с помощью настройки "Запретить сообщения от неизвестных" - в Telegram такая настройка есть (называется "Новые чаты с незнакомцами"), но о ней мало кто знает, все же остальные мессенджеры такой функцией не обладают, поэтому там вы беззащитны против такой атаки.
Захотел я как-то сходить в кино. Для этого зашел на сайт кинотеатра (а на самом деле целой сети кинотеатров), чтобы забронировать места и купить билеты онлайн - вот он.
Перед покупкой билетов мне предложили выбрать места в кинотеатре, на которых я бы хотел расположиться. Выбрал пару мест, далее меня любезно предупредили, что у меня есть 5 минут, чтобы выбранные места оплатить - все это время они будут в резерве и недоступны остальным. "Ничего себе" - подумал я - так ведь и целый кинотеатр можно зарезервировать 😎
До киносеанса оставалось ещё пару часов, поэтому у меня было достаточно времени покопаться в устройстве веб-сайта кинотеатра, чтобы понять, как происходит резервация мест. Я обнаружил, что каждый раз при резервации веб-страница отправляет запрос на сервер с номерами выбранных мест, запрос этот выглядит так (кому интересно, можете сами его найти в консоли своего браузера): https://reelcinemas.com/WebApi/api/SeatLayourAPI/BlockSeats.
Далее я, не долго думая, быстро написал свою хакерскую программу, которая автоматически отправляла много таких запросов на резервацию всех мест каждые 5 минут. Результат видите сами 😁
Как я уже писал ранее, в Интернете можно накрутить все, что угодно, и даже резервацию в кинозале. Самое забавное, что большинство сайтов кинотеатров (и этот в том числе) даже не требуют от пользователя регистрации для резервации мест, т.е вы можете просто открыть 10-20-30 окон браузера в режиме инкогнито и зарезервировать все места вручную. Так ведь и многомилионную кинопремьеру по всему миру можно сорвать 😬
Ранее я уже писал, что хакеры не могут залезать в любые ваши аккаунты по щелчку пальцев, но только если вы придерживаетесь 15 базовых правил безопасности.
Вот, как однажды я взломал аккаунт жертвы Instagram, которая этих правил не придерживалась:
В профиле жертвы Instagram была ссылка на её личный сайт
На сайте я обнаружил Gmail адрес
Я начал процесс восстановления пароля к Gmail
Gmail сообщил мне Apple-овский email, привязанный к ящику, куда отправит ссылку для восстановления
Мне нужно было взломать Apple-овский ящик, для этого я позвонил в тех.поддержку AppleCare, где они попросили у меня имя, адрес и 4 цифры кредитки.
Адрес жертвы я смог узнать, пробив владельца сайта через публично доступную информацию о доменах whois
Для определения цифр кредитки, я позвонил в поддержку сайта, который точно знал кредитку жертвы - Amazon. Там я попросил добавить новую кредитку(свою фейковую), представившись владельцем, у меня спросили адрес, имя и email - все это уже было мне известно
Далее я снова позвонил в Amazon, попросил восстановить доступ к аккаунту, у меня попросили имя, адрес и номер кредитной карты - я сообщил номер фейковой кредитки, и мне предоставили доступ 👏
А аккаунте Amazon я нашел настоящую кредитку жертвы, после чего опять позвонил в AppleCare, сообщив им то, что они так хотели - имя, адрес и 4 цифры кредитки.
Получив доступ к почте Apple, я восстановил пароль от Gmail, а получив доступ к Gmail, я восстановил доступ к Instagram.
Какие правила нарушила жертва? Не использовала двухфакторную аутентификацию, разгласила о себе слишком много информации в публичном доступе, не пользовалась виртуальными картами(одна на каждый сайт!). О тех.поддержке сайтов вообще молчу - фишинг будет работать всегда.
Как только вы станете адептом 15 правил личной безопасности, останется еще 5% угроз, в результате которых вас могут взломать.
Дело в том, что каждое приложение, установленное в вашей системе - это потенциально открытая дверь для хакера. Каждое приложение содержит кучу ненайденных уязвимостей, через которые хакеры способны проникнуть в вашу личную и рабочую жизнь. Любая уязвимость - это логическая ошибка, которую в своем коде допустил разработчик приложения.
Современный софт стал настолько сложным, что писать код без уязвимостей, к счастьюсожалению стало невозможно. Подумайте сами: в одном только мобильном приложении какого-то жалкого мессенджера WhatsApp/Telegram скомпилированного исходного кода на 10 мегабайт - это сотни тысяч строк читаемого кода, позволяющие синхронно работать подсистеме шифрования, сетевого обмена, пользовательского интерфейса, логирования, обновления профиля и т.д. Представляете, сколько там еще ненайденных ошибок, которые ждут своего хакера? 😁
Когда мне надо что-то взломать, одним из первых шагов для меня является сбор информации о том, какие приложения и каких версий установлены у жертвы - чтобы подобрать найденные ранее другими хакерами уязвимости, которые они почти всегда публикуют в открытом доступе. Но если никто до меня нужную уязвимость не находил, я приступаю к поиску самостоятельно - процесс это очень интересный и не всегда сложный (а иногда уязвимости сами находят хакера 😎)
Что делать? Ничего лучше, чем регулярно обновлять весь свой софт и удалять все ненужное барахло из системы, не существует. Если вы пользуетесь программой, вы потенциально уязвимы. Другой вопрос, что сможет сделать хакер в вашей системе, если проникнет через уязвимость - об этом в будущих статьях ;)
