24 декабря Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
Часто в параноик-тредах я встречаю тех, для кого криптография, RSA, и даже, tor - страшные слова.
В этом треде можно задать вопрос - и получить на него ответ. Кроме того, отписавшись тут - можно получить приглашение потестировать софт\технологию с аноном.
Молодец. У меня всё тоже самое, кроме как на ноуте кастомная операционка без выхода в сеть, а для интернета - несколько каналов под разные (физически) ПК. Ну а на них стандартно - vpn, tor, i2p, freenet
Вкатываюсь. Знакомый давно сказал заклеить вебку черной изолентой. Сам я слегка параною, хотя не знаю почему. И мне бы конечно хотелось максимально снизить риски слежки, лол, ну или чего-то такого.
Буду рад информации как обезопасить ноутбук от всякого говна. В Тор могу, иногда покупаю вещества через него.
>>307 Твой знакомый няша. 1 Не забудь, если у тебя дома приставка - она тоже уязвима. Камеру отключай\закрывай. 2 В телефоне тоже есть камера - у меня она закрыта чехлом, когда не нужна (чехол книжка) 3 Часто новые телевизоры имеют камеру
>Сам я слегка параною, хотя не знаю почему. Потому что мир катится в жопу, полную анальной слежки и насилия над гражданами. Это норма.
И мне бы конечно хотелось максимально снизить риски слежки, лол, ну или чего-то такого. Буду рад информации как обезопасить ноутбук от всякого говна.
В данный момент в конфе есть анон, который заканчивает объемный гайд "обо всём". А пока - можешь задать конкретные вопросы тут, и\или почитать "настольная книга анонимуса" (название хрень, но всё же). Кроме того - читай https://securityinabox.org/ru/
>>308 >Из диспетчера задач недостаточно отключить вебку Нет, возможно напрямую достучаться до железа. >Разве это безопасно? Нет, но ловят не всех. Потому люди продолжают жрать кактус
>>315 Есть. Гугл будет собирать твои пароли, регистрации, саму почту, сеть контактов, материал для лингвистического анализа, драйв = данные с твоих дисков, голосовой поисковик - образец голоса итд. +история поиска.
Я рекомендую riseup, но туда так просто тебе не попасть. Свои сервера... На самом деле вопрос открыт, можем вместе поискать замену (я вообще не использую почту, только одноразовую)
>>316 1. Нужна тонкая настройка. 100% не бывает. Параноить нужно по жизни, иначе только техника за тебя работу не сделает, но...
1. Заклеиваешь камеру, если она тебе не нужна. 2. Если будет винда - накатываешь файрволл по вкусу, контролируешь кто пошел в сеть и зачем. И кто стучится из сети. 3. Трукрипт. Но не финальной версии. 7.1. Шифруешь всю систему. Запуск - с флешки или по длинной парольной фразе. 4. Ставишь лису для интернета. Дополнение - ghostery, ADblock, NOscrypt. Флеш - разрешаешь руками, где нужен. 5. Покупаешь за биток, с вайфая, месяц-два-сколько_нужно подписки DO для установки VPN. Потом идешь на хабр - там есть статья как настроить (или спрашиваешь анона). Для того, чтобы ещё и конечные сайты не отслеживали - ставишь тор (пользуешь как прокси, под впн) 6. Читаешь этот раздел, идешь в конфу. Навсегда меняешь сознание. Меняешь поведение = ты на ~30% в безопасности
>>316 С андройдом сложнее - хочешь запили тут тред, я сам пока разбираюсь.
Но однозначно - для программ - фдройд. Далее открытый файрволл. Прошивка - циаген без гапса. Никаких гугл акков вообще. В настройках циана "использовать vpn всегда. Запретить соединяться с сетью без впн"
>>317 Про riseup что-то нехорошее читал, мол, накрывали уже. https://www.openmailbox.org/ Говорят, норм, но очень молодая почта. Есть ещё такая штука https://bitmessage.ch/ , но не для бытового пользования же. Регистрация закрыта. И опять же, где гарантия, что завтра сервис не свернут?
Просто в гугле есть уверенность в завтрашнем дне, что мои данные и аккаунты не пропадут, а с этими всеми её нет.
>>321 Два чаю. Столько годных идей изучают, и всё это ради того, чтобы не узнал батя, пердящий в соседней комнате. О какой безопасности они имеют наглость судить, если они не умеют правильно реагировать на раскрытие данных, и даже просто дать пизды обидчику, я не знаю, и знать не хочу. Просто пусть идут в школу, и перестанут придумывать себе, что они всё время кому-то нужны.
щас меня обхуесосят, но все равно спрошу есть: локалочка на работе, компик, к ней подключенный вопрос: как же мне скрыть от злобного одмина сидения на двачах и все такое прочее? и еще: пробовала воткнуть каким образом работает ТОР (там что-то про разные сервера), но не унимаюсь до сих пор как же этот трафик показывается моему админу?
А меня интересует другая сторона вопроса - взять хоть мусоров, хоть других красных. Неужели они реально следят в интернетах за покупкой, к примеру, веществ? Или за звонками и смс на телефоне? Если взяли за жопу то понятно будут рыться и в компе и детализацию всю запросят, а вот ДО этого палятся ли как-то люди? Идет ли слежка?
тор хуйня, уже год как подконтрольная ФБР и АНБ. весь шифрованный в торе траффик можно запалить тупо перехватывая его в точке выхода. можешь создать сам точку выхода и собирать пароли и логины.
Вот ещё по теме https://maxkatz.livejournal.com/316907.html > Переданы были только и именно СМС, что говорит о том, что получить их можно было либо в МТСе, либо через систему СОРМ
>>359 Конечно нет. Правда есть циан акк, но он отключается (или игнорируется с самого начала). 1+1 - хз, я больше смотрю в сторону китайских планшетов в 9" под циан, а для звонков - нокла
>>305 ОП, пока не могу сформулировать какой-то конкретный вопрос по иб, но меня вот интересует следишь ли ты за новостями об итогах недавней операции onymous? Есть какие мысли на этот и что насчет недавнего вброса про индийского профессора, который заявил что для идентификации 87% пользователей Tor не нужны большие ресурсы, достаточно пары мощных серверов? не наркоман
>>384 Нет, я не следил, времени сейчас мало. Тут всё просто - читай треды, общайся, будут вопросы - пиши. Вот если ещё и то, что находишь в сети - будешь выкладывать тут тредами - цены тебе не будет.
Про тор... особого доверия у меня нет, но часто пользую его на мобильном, как аналог впна, просто чтобы данные не воровали по wi-fi
4096-bit RSA SSL XMail 4.1 https://xmail.net Our privacy policy is very simple, we don't collect any information from our users, unlike many other services that require intrusive personal and demographic questionnaires during user signup.
We are a British Virgin Islands incorporated company and our IT operations are subcontracted in Vancouver, Canada. Свободная пчта. 1 гиг места.
Как вам такое? Проведите аудит, пожалуйста, и оставьте отзывы.
Сразу вопрос: насколько можно доверять этому 4096-bit RSA CA? самоподписанному
и каких подводных камней ожидать. аргументируйте.
Где ее нашел? ее используют хакиры-инсайдеры шалтай-болтай b0ltai.org
>>593 Его не пиарят для хакинга. Его ВЫБРАЛИ действующие ХАКЕРЫ, еб твою мать. Смотри b0ltai.ru/ Которые ломали почту медведева и всяких банкиров. Вот и спрашиваю. Почему они выбрали именно эту почту, а не опенмаилбокс, например. Это ж не хуи с горы.
>>595 Может конечно. А лавабит показателен. >>597 Это может оказаться многоходовочкой в рекламе сервиса. Но заметь, я не сказал - не пользуйся. Просто не доверяй. >>598 Призмбрейк прав. Нужно вообще с паранойей относиться ко всем публичный сервисам.
>>305 Насколько подходит под функцию контейнера для безопасной пересылки или хранения данных запароленный винрар-архив? Насколько уступает трукриптам всяким и прочему специальному софту?
>>605 Если твоя система абсолютно защищена от проникновения, то подходит. При этом твой собеседник должен знать ключ и получить его по абсолютно надежному каналу. В чем преимущество специализированного софта? В трукрипт ты получаешь диск, содержимое которого зашифровано. То есть все твои незашифрованные копии останутся на этом диске. Как только ты его отключишь диск будет зашифрован. Твоя копия не сможет стать источником утечки. В gpg ты решаешь проблему передачи ключа. Ты шифруешь публичным ключом, принадлежащим собеседнику, он расшифровывает секретным. То есть пароль передавать и палить при этом не надо. Если он расшифрует это также в трукрипт-томе - его копия не сможет стать источником утечки. Плюс после удаления расшифрованных копий вам не надо будет затирать места удаления, с виртуального диска удалится файл, а контейнер, для укравшего новую копию изменится на несколько мегабайт случайных символов. Он поймет, что контейнер был изменен, но что произошло понять не сможет.
>>619 Есть метод убедительной отрицаемости, который не позволит применить тебе силу. Если нет оснований браться за паяльник, например, в контейнере оказалось цп, пользователь расшифровал его под страхом паяльника. А у контейнера потом нашлось второе дно, а там гостайна.
>>624 Если дела набирают такой оборот, то скорей всего до расшифровки криптоты просто не дойдёт. Тебя прищучат или по показаниям крыса-куна, или сам спалишься и будет не отвертеться. Дальше надо будет не второе дно прятать и договариваться с людьми имеющими влияние.
>>626 Можно в ЖЖ шум поднять, поднимутся тысячники, потом кто-то из гуру, после уже пресса. Госудаству будет выгодней взять за хобот нерадивого капитана, устроить показательный процесс, чем выслушивать хуету от западных инвесторов и партнеров. Права человека - для Европы больной вопрос. Никто не станет инвестировать в государство, где пытают людей по левой наводке (даже если сами недавно пытали). Срач в прессе может сделать процесс публичным. Тем более кто-то запилит заголовок "гражданина обвинили в педофилии за отказ безвозмездно передать государству свои разработки". А вот это грязная тряпка прямо на входе во дворец. "Продайте нам свои йоба-приборы, а потом мы вас в гулаг за то, что не подарите технологию" Так было, СССР не мог многого купить из открытого и разработанного на Западе. Сейчас все этого боятся до ужаса, особенно военные и гебня.
Я тут придумал надёжную защиту о lsb-стеганографии. Просто берём и зануляем lsb во всех передаваемых по сети картинках. С другими методами вроде высоких частот в Фурье аналогично. Просто вычленять инфу и перезаписывать. Поскольку стеганосообщение незначительно и необнаружаемо теми, кто не использует, меняет картинку, свойства картинки должны сохраниться. Кто будет против этого протестовать - на разговор в кгб.
>>729 Законодательно реализуемо все, лол. Технически я вижу два пути: 1) обязать все сайты устанавливать спец ПО для этого и вносить в реестр всех, кто не кооперируется 2) на уровне провайдеров подменять картинки, скачиваемые по http. https, разумеется, запретить. Некоторые мобильные операторы уже делают подобное, кстати, для экономии трафика.
>>771 А смысл? Нельзя передавать в изображениях, будем передавать в видео/аудио/.../заголовках http|tcp|ip запросов. А на таком уровне законодательства можно ни от кого не скрываясь использовать все биты изображения, кроме затираемых на уровне провайдера/спецсофта.
Если уж запрещать, то запрещать стеганографию как таковую. В среде, где организовать скрытый канал можно даже пингуясь попеременно то на один ip, то на другой, законодатели просто не будут успевать запрещать новые типы контейнеров и скрытых каналов передачи. А за замеченными в использовании скрытых каналов выезжать в пативене, а не мешать им пользоваться на уровне провайдера. На уровне провайдера разве что собирать статистику по которой выдвигать обвинения. Массово стеганография всё-равно никогда не будет использоваться, а 100 или 1000 человек это даже не смешно – можно всех отправить на государственный курорт за счёт бюджета.
>>787 не. 1 сайтов много, провайдеров мало 2 договор с провайдерами позволит покрыть даже недоговорившиеся сайты и передачи от пользователя к пользователю.
Есть локалка, в локалке маршрутизатор, линкус сервер, виндовый комп. Блокируем роутером выход с компа в wan, оставляем lan. Поднимаем на линуксе прокси сервер, который направляем в vpn туннель, проходящий через роутер далеко-далеко. В виндовом компе цепляем браузер к прокси по http(s), ftp, ssl. По необходимости поднимаем на сервере торрентокачалку, управляемую по вебморде, подгруженные файлы стягиваем через локальный ftp или samba. Итог: получаем неплохо защищенную винду, сохранение пользовательского функционала веб-серфинга и возможности погонять в игоры при порезанном левом трафике и наличии vpn. Ваше мнение?
>>790 Никто не детектит тип внедрённых данных. Детектят искажения, а они будут всегда. Эти искажения могут быть незаметны на глаз или на слух, но статистика их вполне может обнаружить. Да, можно довести беспалевность алгоритма аж до 80%, но это лишь до тех пор пока не найдётся ещё один ушлый очкарик, который догадается как палить и этот новый алгоритм.
Анон, поясни за одноразовые блокноты. Почему этот метод шифрования считают самым безопасным и в чем его суть? Символы алфавита маркируем числами, выбираем ключ (набор символов алфавита) и складываем сообщение с ключом по модулю длины алфавита?
То есть если надо зашифровать определенный текст, мы можем взять кусок пасты про Вована той же длины, что и текст, сложить по модулю, и хуй кто подберет ключ, не зная, что могло быть этим ключом?
Что безопаснее, одноразовый блокнот или криптография над полями Галуа-шмалуа, которые будут жить ровно до изобретения квантовых пекарен?
>>796 >которые будут жить ровно до изобретения квантовых пекарен Которые уже 4 года работают в подвалах Ленгли.
>Что безопаснее, одноразовый блокнот Безопаснее Аллаха даже, если не перехватят блокнот.
У меня вот идея - при встрече меняемся терабайтными винтами с шумом. Используем шум как одноразовый блокнот. Учитывая все факторы ~950GB мы можем передавать в полной безопасности.
>>796 Одноразовый блокнот никогда не смогут взломать. Но только при условии, что он используется правильно: сам блокнот натуральный рандом; ни одна страница не используется дважды; каждая страница надёжно уничтожается сразу после использования; никто кроме использующих блокнот не имеет к нему доступа и не имеет возможности узнать его содержимое.
> мы можем взять кусок пасты про Вована той же длины, что и текст, сложить по модулю, и хуй кто подберет ключ Очень грубо говоря: это будет шифр Цезаря. Я думаю ты знаешь насколько он устойчив к взлому.
> Что безопаснее, одноразовый блокнот или криптография над полями Галуа-шмалуа При правильном использовании - одноразовый блокнот.
> которые будут жить ровно до изобретения квантовых пекарен? В пост-квантовой криптографии будут просто другие алгоритмы. Уже есть NTRU. Когда приспичит, придумают новые и получше. Не ты один очкуешь что квантовый компьютер уже взломал твой вконтакт. Серьёзные дяди тоже нервничают.
>>799 > У меня вот идея Слишком сложно. проще использовать GPG.
Здесь есть аноны, которые интересуются разными необычными криптосистемами? Наша преподавательница рассказывала, что якобы сейчас где-то развивают криптографию, которая использует не поля, а кольца. Хочу обмазаться интересными рассказами об этом. Сам думаю, что этот сложнее взламывается, потому что надо находить мультипликативную группу кольца.
Какие алгоритмы используют нетрадиционные алгебраические структуры?
>>795 Объясни. Если младшие байты распределены случайно, а они та и распределены (тепловой шум матрицы), то как ты их отличишь от зашифрованного сообщения?
>>814 Вот тебе гифка. На ней лишь lsb фотографии сделанной на телефон. Матрица очень шумная, ага. На гифке всего два кадра и я думаю ты с лёгкостью заметишь на каком из них есть стег (внедрён тупо рандомный шум). Это самый простой вариант.
Если тебе интересно как обстоят делай в области частот, посмотри вот эту лекцию: http://www.youtube.com/watch?v=BQPkRlbVFEs Мужик весьма доступно объясняет и показывает.
>>815 Ну да, говорят что какие-то ребята используя кластер суперкомпьютеров смогли за полгода сломать один ключ RSA размером в 768 бит. Так что в домашней криптографии GPG реально небезопасен.
>>1012 Эээ... Какой-то странный вопрос. Вообще по 8 бит на канал. Но на гифке оставлен только самый младший бит каждого канала, так что там да, три бита на пиксел. Если же речь про сам "стег", то в пикселе меняется один бит одного случайного канала.
>>1126 >Но на гифке оставлен только самый младший бит каждого канала ОК.
ещё вопрос, картинка изначально в jpeg была, или в raw? Может шума в оригинале не видно из-за того, что жпег отрезал высокочастотную часть? Впрочем, даже если бы взяли рав, после обработки нужно будет кодировать в жпег, потому что какой идиот по сети будет рав фотку котика знакомым лулзов ради слать.
отсюда вопрос, что будет если 1 закодить в пнг? 2 после обработки закодить обратно в жпег и посмотреть, сколько скрытой информации это переживёт.
>>1152 > картинка изначально в jpeg была, или в raw? Джпег (с телефона же). Да, шум порезан джпегом. Но и в равках всё будет не так просто. lsb на фотографиях очень редко бывает действительно шумом. Частенько можно даже разглядеть что на фотографии, а в местах хорошей заливки одним тоном даже угадать какой именно в этой области цвет. А раз так - найти на фоне не таких уж и рандомных битов рандомные будет возможно с помощью статистического анализа. У меня даже была где-то пдф-ка с работой каких-то ребят, которые для некоего довольно хитрого lsb стега разработали стат-метод который не только детектит наличие скрытого сообщение, но ещё и угадывает его длину (естественно примерно, но и так уже здорово)
Вообще, если уж дело обстоит так серьёзно, то можно готовить именно равки специальным образом. Делать фотографии с более рандомным младшим битом, может их даже в ЛайтРуме фильтрами обрабатывать добавляющими мелкого зерна (а так же сепии, виньеток и прочих хипстерских штучек) и уже так рассылать друзьям в виде "зацените какой одуванчик".
Задача стега не в стопроцентной технической недетектируемости, а в отводе глаз наблюдающего. Сам процесс обмена картинками должен быть естественным, чтобы просто не возникало подозрения проверить на стег.
Вот по этой причине и развивают методы упрятывания сообщений в джпег. подойдёт почти любая картинка, можно даже без особого шума. Можно даже с мемчиком с двачика. И если посмотреть ту лекцию, что я скинул в предыдущем посте, там мужик рассказывает что один из алгоритмов детектится лишь по завышенному количеству нулей в коэффициентах. Этот переход ко всё более сложным алгоритмам всё ещё не даёт полной скрытости, но уже делает ответ спецов не таким уверенным - "Да, подозрительно, возможно стег" а не "Да, тут стег длинной примерно в 900 байт".
> отсюда вопрос, что будет если lsb не переживёт кодирования в jpeg. Кодирование с потерями в первую очередь разрушает именно младшие биты. По этому когда работают с джпегом (или другим сжатием с потерями), модифицируют не пикселы, а частоты.
>>1157 >Сам процесс обмена картинками должен быть естественным, чтобы просто не возникало подозрения проверить на стег. Нет. Можно проверять на стег ВСЁ автоматом, если вычислительные мощности позволяют и не слишком дорого выходит.
>>1251 Бинарники с файлопомоек от васяна. У стегхайда есть официальный сайт, где лежит чистый билд, да и рядом с сорцами. А с какой помойки ты свой гуй мокрописечный подобрал, мне даже представить страшно. Нахуй такая школокриптография нужна?
>>1259 Ты видимо контрольные суммы проверять еще не научился, а уже вякаешь. Бля, с меня хватит. За сегодня столько раз на ваше говно натыкаюсь, что находиться в разделе не хочу. Как бы все знают кого где искать, если надо, оставайтесь.
>>1262 Ну и нахуй мне этот архив, если после его скачивания я должен пройтись по всем интернетам, найти откуда что скачано, скачать с официального источника(ну или найти где они указаны), и сравнить чексуммы? Или мне чексуммы сравнивать с теми которые в ридми лежат, в скомпрометированном архиве? Ты хуйню какую-то предлагаешь.
Я нигде не видел толкового гайда по стеганографии, по этому поделюсь своими мыслями. Это будет не гайд как использовать steghide.exe, а просто мои размышления и некоторые наблюдения - всё что я успел накопить за последние несколько лет вялого мониторинга этого дела на имиджбордах (по этому вещи будут несколько специфичные для ИБ, но в целом применимые и в других местах).
Первое что хочется отметить: многие почему-то считают что стеганография это такая волшебная шапка-невидимка, которая спрячет тебя от плохих дядь и ты сможешь делать всё, что тебе захочется. Это не так.
На самом деле стеганография это инструмент Неуловимого Джо. И нужен он этому Джо для поддержания статуса Неуловимого. Как только ты перестаёшь быть Неуловимым Джо, тут же перестаёт работать и твоя стеганография. Да, используемый тобой алгоритм может быть стойким, но решает в основном человеческий фактор.
Короче, если вы чувствуете на себе тяжелый взгляд тащмайора, можете забыть про стег, вам уже пизда.
Ковёр
Очень важно обращать внимание на то, какая картинка выбирается для cover image. Вот например в этом посте >>1113 весьма неплохой стегконтейнер. Большое разрешение, и качество более-менее ок. Хотя тут джпег сохранён с качеством 0.85, а было бы лучше, если бы было 0.92 или выше. Можете взять себе за правило - на "ковре" не должно быть видно глазами артефактов джпега при двухкратном увеличении. Особенно "блочности".
Кроме этого на картинке много шума, много мелких деталей и почти нет областей залитых ровным цветом. Да, фоточки сделанные на "бацкий" фотоаппарат подходят лучше всего.
Самое важное правило: никогда не использовать картинку дважды! Пример помечен как "two stegs". Это вообще мой любимый пример. С него и началась моя охота на стегочатики. Так вот, один канафаг спалил всю контору использовав один и тот же ковёр дважды в течении 12 часов . Ещё и картинку он взял хреновую: низкого качества, обилие равномерно залитых областей, куча родных артефактов джпега. Я просто глазами увидел что у двух картинок различные артефакты. Расчехлил ГИМП, вычел - опаньки-приехали!
Причём даже если вторую картинку перед стегом вы немного пережмёте, этот паттерн всё равно останется.
Следующее правило: только ориджинал контент! В качестве примера картинка подписанная "original - steg". Постер использовал как ковёр довольно популярную картинку. Ищём соус через iqdb, вычитаем в ГИМПе - обана, да это ж стегхайд наш родимый! Очень характерные искажения плюс равномерный разброс шаффла. А картинка-то такая хорошая была, прям как будто для стеганографии делали...
Причём, даже если ваш оригинал был изначально лоззлес, это не поможет. Джпег содержит в себе таблицы квантизации, с их помощью можно будет восстановить из png-шки именно тот джпег куда вы стегхайдили.
Для желающих на эти два пункта возразить "да это я просто пересохранил джпег с меньшим качеством, чтоб много места не занимал" - приложен третий пример подписанный "recompress". Именно так выглядят искажения от пережатия. Извините, ребята, но это совсем не стегхайд.
Вот так два кренделя спалились. При этом использовал я лишь свои глаза и немного ГИМПа. А вы говорите статистический анализ...
Охота на стегочатики Теперь немного о том, когда стоит прислушиваться к внутреннему голосу шепчущему "да у них тут стегочатик!". Это уже наверное из области, я не знаю, социальной инженерии или может психологии. В общем это дело уже не технического плана. Это всё банально человеческий фактор.
Итак, листаете вы доску и тут видите электричек тред, утюгов тред, богини тред, рандомная-пикча тред, а то и вовсе аватаркочатик. Стоит ли вам что-то подозревать? Возможно. Особенно если встречается что-то из этих паттернов:
"медленный собеседник + быстрый собеседник": В треде только картинки, возможно рандомные. Но вот время постинга - первая, через пять минут вторая. Третья через полчаса. Четвёртая почти сразу же. Ещё двадцать минут тишины и постят пятую, а через две минуты постится шестая. Возможно это потому, что кто-то оперативно отвечает тормозу.
"паки картинок": опять же в треде только картинки, может даже рандом. Но вот если приглядеться, вы можете по какому-то признаку поделить их на несколько паков. Общей темой, цветовой гаммой, просто атмосферой. Очень может быть что несколько анонв общаются используя для стега картинки из папки "с двача". И хотя картинки там у них рандомные, но всё же набор у каждого свой - по интересам. А то и вовсе используется пак с вайфу. Гляделки-тред между Рей, Суисейсеки и Оптимусом праймом? Возможно. А может всё гораздо глубже.
"эмоции": примерно тоже самое что и предыдущий вариант. Только вместо общей темы можно увидеть некий диалог именно в картинках идущий параллельно с постами. Бывает срабатывает в аватаркочатиках потому как в открытую пишется всякая чепуха, а основной смысл идёт в стег. И картинка по аватаркофажской привычке выбирается так, чтоб оттенить пост. Только постер ошибается и оттеняет стегопост. Весьма расплывчатый критерий, но иногда срабатывает.
"пикрандом": к посту прикреплена картинка. При этом никакой связи с постом или темой треда нет. Вообще. И таких постов в треде масса. Может аноны не могут иначе, ведь это же ИМАДЖ боард? Может и так. А может и нет.
Вот. Что-то больше ничего в голову не приходит. Наверное остальное уже на какой-то самому мне не понятной чуйке работает. Хотя, на самом деле чаще всего народ палится на толстоте по поводу того что у них в треде есть ещё какой-то элитный скрытый смысл, 3deep5u и "you need premium account to view this image".
Эта часть вышла довольно имиджбордоориентированной, но думаю всё равно извлечь что-то полезное из этого можно. Эти паттерны поведения можно перенести и на другие каналы передачи картинок. Хоть наличие этих паттернов ничего и не доказывает, даже если они ну уж очень ярко выраженные, всё равно могут вызвать интерес у параноиков. А если у вас там и правда стег, этот интерес может быть фатальным. Так что следите за тем как вы передаёте стеганограммы. И ещё раз - стег работает только когда вы Неуловимый Джо.
На этом всё. Раз, два, три, четыре, пять, я иду искать. Кто не спрятался - я не виноват!
>>1272 Ок, но например попробуй найди такое же во вконтакте. Это физически невозможно: ты не сможешь просмотреть все места, где возможно появление такого.
В принципе стегочатик - это глупость какая-то. В боевом применении стег нужен, чтобы передать информацию под надзором противника. Чем меньше таких передач, тем это надежнее. Типичный юзкейс: шпион раз в полгода передает координаты места встречи своиму контрагенту в очередной фотке любимого котика, запощенной на стене. Постит он их раз в 2-3 дня, но сообщение бывает крайне редко. Это реально используется сейчас, и это очень надежно.
А чатики школоты вскрывать - кому это может понадобиться, сам подумай?
>>1273 Да, всё верно. Пока ты Неуловимый Джо, твой стегхайд работает прекрасно. Пока в твоих котиках на стенке никто ничего не подозревает - всё спокойно. Но стоит тебе попасть под подозрение и твой стегхайд превращается в огромное красное знамя весело хлопающее на ветру.
Если я на коленке не имея особых знаний детекчу стегхайд со стопроцентной гарантией, представь что можно сделать имея у себя хорошие вычислительные мощности, специализированный софт и прочие секретные плюшки?
А охота на стегочатики это такой же специальный спорт как и сами стегочатики. Но я не сотрудник отдела "Р", по этому развлекаться приходится на имиджбордах, а не ловить труъ шпионов мирового масштаба.
>>1272 Те если настроить автопостинг в треды с куклами, лесли и прочей мишурой и поднять скорость борды до ~500 сообщений в час, майор начнет пить таблетки?
Месяц назад слоупрочитал про трукрипт. Так что там в итоге произошло, еще так и не известно? и какие подводные камни? собственно, старая версия стоит, 7.1а И да, почему i2p это безопасно, если там айпи палятся? Только потому, что ко всем не приехать и не факт что у всех что-то есть, может просто активист?
>>1288 >И да, почему i2p это безопасно, если там айпи палятся? Потому что эти айпи ничего не доказавыют, кроме факта что у тебя установлен i2p роутер. Что само по себе не преступление. А вот что именно ты делаешь в i2p товарищ майор никак узнать не сможет.
Аноны, вопрос такой. В связи с новым законом хочу переместить весь прон на внешний винт, зашифрованный трукриптом. Какую версию и где брать? И вообще. какие подводные камни есть?
>>1290 Это понятно, но, хм, какую-то лишнюю галочку в подозрительность добавляет? >>1320 Ага, и типа версию с бэкдором и рекомендацию на проNSAшный софт. Читал я про это, а больше инфы нет, я так понимаю?
>>1315 Как лучше всего скрыть часть моей деятельности на электронных устройствах? Чтоб, если всё-таки проникли в мой комп или квартиру, я выглядел вполне себе обычным быдло-планктоном/студентом/задротом мамкиным. Там порнуха в истории, вк, одноклассники, всякие клиенты скайпиков и прочее были на мне, а вот чтоб некоторые диалоги, программы, файлы были скрыты или тут же уничтожались. Я не шпион, так что вероятность того, что я вообще кого-нибудь зачем-то заинтересую -->0, но предупреждён, как говориться, вооружён. Скрывать необходимо именно общение, т.е. почта, звонки и прочее, что для этого можно использовать и как настраивать? Пользовался GPG, но Kleopatra на рабочем столе уже говорит о том, что я что-то шифрую. Максимум маскировки хочу. Буду благодарен, если обучишь основам или хотя бы отправишь, где можно внятно почитать.
BM все еще жутко тормозит и жрет сотни трафика? Когда последний раз его щупал он был не более чем интересным концептом, мало пригодным для реального использования. Жаббер(опционально - в i2p, если otr не хватает) намного удобней для общения в формате чата же.
>>1324 >Это понятно, но, хм, какую-то лишнюю галочку в подозрительность добавляет? Конечно. Но что бы ты не использовал, у тебя всегда будут эти галочки. Если ты что-то скрываешь, то СОРМ периодически будет отхватывать шифрованный(не опознанный DPI) трафик от тебя. И даже если ты максимум параноик у которого даже трафика шифрованного нет(даже https, ага), то раз ты что-то скрываешь то как минимум проскочит один запрос со скачиванием стегхайда ;) В общем, если ты в интернет не через голубей почтовых ходишь, то галочки у тебя уже есть.
>>1413 А зачем дважды стегать, поясни? По-моему, если ты сможешь отличить оригинал от картинки с сообщением, это уже успех. И я сделаю несколько примеров, для статистической надежности, если тебе не влом.
>>1415 Я больше экспериментирую. Алгоритма распознавания я не делал, это немного другое. А субъективно трудно самому оценивать, ведь я "не хочу" чтобы моя программа была разоблачена. А с тобой интереснее, тем более и опыт у тебя уже есть.
Запощу через какое-то время, обнаружил что оно сломано сейчас, лол.
Посмотрел по твоему методу таки. Да, хорошо заметно, действительно. При наличии копий картинки можно установить факт изпользования стега на одной из них (какой именно - уже не знаю, как). Надо реализовывать более крутые алгоритмы.
Но это довольно сложные условия, когда есть копии. Насколько я знаю, обычно стегоалгоритмы тестируют по единственному экземпляру.
Сап аноши, нубяра вливется итт, задам самый банальный вопрос, как обеспечить полную анонимность в интернетах, если полной нет, то хотябы максимально возможную. Юзаю старый адсл модем, если что
>>1288 Очень мутная история. Особенно интересно сообщение разработчиков на сайте проекта: "using truecrypt is not secure as it may contain unfixed security issues", первые буквы которого превращаются во фразу "uti nsa im cu si", что в переводе с латыни "if I wish to use the NSA".
>>305 Так, Оп, я вернулся. Я - тот >>403 и тот >>516 и этот >>556 - кун. Запиливаю пока самые ньюфажные и очевидные вопросы, прошу пояснений, ссылок, гайдов, и прочего. Желающие могут присоединиться к ответам, если Оп не будет на связи. Итак: 1. Что такое криптография. (и RSA тогда тоже). 2. Что же такое Тор, ай-ту-пи, VPN. Каков механизм их действия. Как они работают. Уместно ли их использование в городах мухосранях, с населением примерно 250К, то есть затеряется ли мой IP в таком негустонаселенном городе, где всего два-три провайдера от силы? Какой смысл вообще в этих шифровальнях, я слышал что IP все равно ловится на какой то точке выхода данных маршрутизатора. Поясняй короче за всю телегу. И как их ставить тоже. 3. Что такое кастомная операционка? 4. >>312 Гайд будет тут? Или надо попасть в конфу для этого? Обмазываюсь пока твоим сайтом. 5. >>317 Насчет вот этого - как тогда быть? Пользоваться только одноразовыми почтами под каждую конкретную надобность, так что ли? например мне надо зарегать акк на каком-нибудь сайте онлайн игрушки, я делаю почту, регаюсь, и просто забываю о ней, так что ли? 6. Олсо как быть с сайтами, где нужна двойная аутентификация? то есть смс-подтверждение? не хочется ведь на свой номер ничего привязывать, особенно фейкоакк всякие в впашке и другие подобные вещи. Откуда взять левые номера, например? 7. Что такое трукрипт. Какие есть версии. Что значит шифровать всю систему. 8. Читаю в вики объяснения что такое ТОР и ВПН и нихуя не могу понять, анон. ЧЯНДТ? С чего начинать постижение этой науки? 9.>>337 Тогда кто следит, если не мусора? 10.>>339 Что значит "данные по запросу"? То есть если я вбиваю в гугл или где-то еще какой - то "интересный" запрос, то маячок об этом появляется там где надо? Или как то так? 11. >>343 Бампую вопрос этого анона. Нахуя? Государственные преступники в таких трендах не сидят, я уверен на все 100%. Тогда зачем? 12. >>388 Поясните опять же, кому и зачем могут быть нужны твои данные, сворованные с телефона по вай - фай? Олсо, а если у меня нет вай-фай никакого на телефона, то у меня своровать данные? 13. >>390 Что такое выходные ноды. 14. >>593 что такое бэкдор почты? 15. >>634 Боятся публичных срачей? 16. Поясните мне разницу между http и https. 17. >>796, >>799, >>802 - о чем тут речь вообще? Какие блокноты? 18. Вопрос - для чего кодить и шифровать картинки обычные? как и зачем? 19. Что такое стенография и зачем она нужна? Мимоужасныйньюфагнеумеющийдажеписатькурсивом
>>1319 >>1334 Поясните, вот есть у меня внешний винт. ЧТо делать дальше? Закачать на него весь контент, а как потом и чем шифровать? Тут >>1323 есть годная ссылка вроде, нужно скачать первую прогу в списке и потом с ее помощью обработать внешний винт (когда он уже будет полностью заполнен)? А для чего какая-то флешка - ключ?
>>1442 Сначала лучше зашифровать устройство, потом смонтировать и уже на него лить данные, а пустое место на основном жестком затирать. Трукрипт хорошая штука, хоть и не разрабатывается далее. Но в начале тебе надо научиться ей пользоваться. Создай сперва файл-контейнер у себя на жестком, поучись пользоваться ключами, которые будут храниться рядом. Как только ты сможешт без труда монтировать контейнер, перестанешь путаться в ключах, можешь шифровать диск. А ключ будешь хранить на флешке, чтобы никто не мог смонтировать диск без нее. Поотвечаю на твои вопросы в этом треде или могу создать тред трукрипта.
>>1440 Слишком много вопросов разом, буду частями отвечать. Тор и I2P - надстройки, маршрутизаторы, которые шифруют, передают данные между такими же маршрутизаторами, создают туннели, передают данные на сервера в этих сетях. Те, эти данные обрабатывают и возвращают тебе через такую же систему туннелей. Про каждую сеть можешь прочитать отдельно, они все существенно отличаются. Да, все эти сети сообщают, что ты в них участвуешь и выдают кучу случайных данных, которую провайдер расшифровать не может. Но он знает, что ты сидел в той или иной сети. Это не является поводом для паники, это законно. А о содержимом, которое ты получил из этих сетей, никто не может догадаться. Ставить просто, иди на официальный сайт и качай установщик, там же рядом будет инструкция. Вообще по этому поводу мы планируем в вики написать, но не в данную секунду.
>>1443 > А ключ будешь хранить на флешке, чтобы никто не мог смонтировать диск без нее А без неё никто и не будет пытаться монтировать диск. Если диск просто украдут - его переформатнут и продадут за тыщу какому-нибудь лоху в тёмной подворотне. А если к тебе домой придёт Весёлый Сгущёнщик, то сделает он это достаточно аккуратно чтобы вынести вместе с диском и флешку с ключом. Спрашивается: в чём профит иметь вместо пароля от контейнера файл с ключом (который "защищён" тем же паролем, если не более слабым потому что ну это же ключ, это же секурно)?
>>1447 Так у тебя и пароль и ключ будут. Пароль ты вводишь с клавиатуры, ключ - это файл с случайными или вполне определенными данными, который ты сам создаешь и используешь при монтировании своего носителя. Сперва попробуй трукриптом создать учебный файл-контейнер, сделать к нему ключ, поставить пароль. Если ты любитель сгущенки, то тебе в ga, тут помогают только тем, кто готов экспериментировать, а не делать выводы о сгухе раньше времени. Пока к несчастью так. К вечеру подтянется народ, который будет готов вести с тобой бессмысленные споры и что-то доказывать, а я только научить могу.
>>1449 Таскать эту флешку с собой ты будешь не больше месяца. А судорожно хвататься за неё готовясь разгрызть или спустить в унитаз - только первую неделю. Через два года использования этой схемы ты начнёшь забывать флешку в компе или привяжешь её верёвочкой к диску потому что задолбался её искать в ящике стола каждый раз. А возьмут тебя аккуратно под белые рученьки при подходе к дому а дома у тебя комп не выключен и криптодиск не отмонтирован
>>1450 Я не спрашиваю как из печенек и сгущёнки сделать тортик для соседа по камере. Я спрашиваю чем сетап "контейнер плюс пароль" хуже сетапа "контейнер плюс ключ закрытый тем же паролем". В этом случае ключ это просто твоя персональная KDF, чем она лучше той же PBKDF2?
>>1443 Спасибо тебе за пояснения, он - >>1447 - не Я. Я - это >>1442 и >>1440. Не обращай внимание на клоунов. Итак, мои вопросы тебе: 1. Файл-контейнер - это просто рандомный файл, даже пустой? Например - какой-нибудь ворд-файл, или типа того? И что с ним делать далее? Как его криптовать? С помощью чего? Как делать ключ к нему, как делать пароль? Далее: >>1444 Таки Тор и I2P это что-то вроде браузеров? Я просто очкую даже скачать их и включить, параноик я просто. Вдруг уже за это найдут и вставят банку сгущеночки в анус? И вот объясни мне все-таки, как все это множество сетей работает и сосуществует? Я не понимаю, вот есть интернет - это сеть. Всемирная сеть вроде, так? А теперь есть еще какие то Торы и I2P, и эти сети как то где то лежат поверх обычного интернета. Не понимат. Мимо_все_тот_же_аутист_параноик_научившийся_писать_курсивом
>>1457 >чем сетап "контейнер плюс пароль" хуже сетапа "контейнер плюс ключ закрытый тем же паролем" Пароль забыть сложней чем ключ. Если ты шифруешь такой контент который нельзя выдавать даже с паяльником в заднице. И к флешке с ключом к такому контенту ты будешь относится очень серьезно.
>>1461 > И к флешке с ключом к такому контенту ты будешь относится очень серьезно. Звучит неубедительно. Если всё держится на моей вменяемости, внимательности и паранойе, то флешка с ключом становится равносильной бумажке с паролем от диска.
>>1464 В делах касающихся твоей безопасности всегда все держится в первую очередь на тебе. Технические средства дополняют вменяемость и паранойю, а не заменяют их.
>>1467 Оно менее секурно только в случае если ключ не запаролен, не нужно так делать - ключ всегда должен быть под паролем. От того что к паролю в голове ты добавляешь пароль "на бумажке", секурности меньше не станет.
>>1472 А флешка может сдохнуть. А я хоть и не Джонни, но запомнить пару годных паролей в состоянии.
>>1474 И больше не станет тоже. Какая разница - брутфорсить пароль к контейнеру или к кейфайлу? Более того, если рассматривать именно старый добрый ТруКрюпт, то там кейфайл это не что-то типа приватного ключа RSA, а просто в принципе любой файл который тебе нравится. Что делает с ним ТруКрюпт? Считает от него CRC32 https://github.com/FreeApophis/TrueCrypt/blob/master/Volume/Keyfile.cpp#L68
Другими словами - использование кейфайла даёт нам 32 бита как бе энтропии. Что вполне себе равносильно рандомному паролю из восьми символов из набора [a-z]. Да, восемь английских букв в нижнем регистре и ничего более. Я и сам могу набросить к своему паролю столько энтропии методом "correct horse battery staple"
>>1460 Файл-контейнер - это файл, который трукрипт будет воспринимать как диск. Файл-ключ - это тот файл, который ты укажешь в качестве ключа, рядом с паролем. То есть у тебя будет как пароль, так и файл-ключ. Тор и i2p это не браузеры, а маршрутизаторы, которые данные, которые им отдадут браузер и другие программы зашифруют и отправят каким-то случайным путем к серверу. Браузер ты используешь свой, хотя у тора в комплекте уже есть браузер. Эти программы выступают относительно браузера как прокси-сервера. Интернет - это сеть. Внутри нее также есть сети, которые делают программы-маршрутизаторы уже между собой. Из интернета видно, что они соединились и начали меняться данными, но узнать что это за данные невозможно. Но если ты решил стать узелком одной из этих сетей, ты ставишь себе такой маршрутизатор, он находит таких же людей и начинает строить туннели в этой сети. При этом ты передаешь запрос своему маршрутизатору, он делит данные на куски, пакует их (в зависимости от типа сети шифрование и маршрутизация делаются по-разному) посылает серверу через посредников, сервер отвечает ему через других посредников, он распаковывает и расшифровывает, гонит данные тебе в браузер. Ты что-то видишь.
>>1486 В этом коде происходит нечто гораздо более сложное, чем просто подсчет контольной суммы.
>goto done; Ппц, ну почему все криптухи такие дебильные говнокодеры? Это прямо напасть какая-то, сейчас иные вебмакаки и то пишут лучше. А ведь это софт, на корректность которого многие люди сильно расчитывают.
>>1440 >6. Олсо как быть с сайтами, где нужна двойная аутентификация? то есть смс-подтверждение? не хочется ведь на свой номер ничего привязывать, особенно фейкоакк всякие в впашке и другие подобные вещи. Откуда взять левые номера, например? С сайтами с двойной аутентификацией ответ конкретный - старайся их избегать в целях анонимного общения. То есть если тебе нужно написать привет другу, которого ты знаешь ирл, то делай это от своего реального имени с реального аккаунта. Если тебе нужно поговорить с аноном - используй свободные площадки. Ну или площадки с одинарной идентификацией. Не пользуйся социальными сетями для тех целей, для которых они не подходят. Наличие левой сим-карты - не панацея - ты не можешь так быстро плодить личности, как тебе хочется. Просто для вопросов не для всех прямо предложи своему собеседнику из социалки проследовать в другие места, на анонимную борду или форум. Контактами можно поменяться используя шифрование и стеганографию. Анонимность и двойная аутентификация - вещи почти несовместимые, этим могут заниматься профессионалы, но чаще всего они ошибаются и выдают себя с головой.
>>1489 goto вполне корректен. Просто очень дохуя макак суют его туда где без него можно обойтись, на что другие макаки брызгают слюной и запрещают его вообще использовать. Неиспользование goto там где это позволяет избавится от сотен строчек лишнего кода и\или накладных расходов - упоротый фанатизм.
>>1492 Нет, он некорректен всегда, потому что усложняет структуру кода на пустом месте. Ты, как и автор этого говнокода, находишься на слишком низком уровне кодерского навыка, чтобы понимать это. В том самом аудите трукрипта на говнокод тоже обратили внимание и однозначно осудили, как одну из его основных проблем (если тебе нужен авторитет).
Но говнокод это не только из-за goto (хотя это четкий маркер). Например, ты понимаешь что там происходит? Я, посмотрев две минуты, совершенно не понял. Чтобы в этом разобраться, нужно минимум полчаса, причем с дебагеров. Вот это и есть классика говнокода.
>>1493 Во первых goto не всегда усложняет структуру. Он зачастую прекрасно читается, когда переход и метка на одном экране. А те костыли которые городят для избавления от него читабельны далеко не всегда. Этот аргумент если не полная хуйня, то как минимум субьективщина. Во вторых, читабельность кода далеко не всегда самый важный критерий. Порой даже асмовые вставки пилят ради небольшого прироста производительности, а небольшой goto ради выпиливания огромной кучи лишних тактов и вовсе сущая мелочь, особенно для чего-то низкоуровневого(напримера ведро ос, линус одобряет) или высокопроизводительного - числодробилки, чем по сути шифрование и является.
Собсно вот, из вики: >Other programmers, such as Linux Kernel designer and coder Linus Torvalds or software engineer and book author Steve McConnell, also object to Dijkstra's point of view, stating that GOTOs can be a useful language feature, improving program speed, size and code clearness, but only when used in a sensible way by a comparably sensible programmer.[13][14] According to computer science professor John Regehr, in 2013, there were about 100,000 instances of goto in the Linux kernel code.[15] Сплошные говнокодеры, ага.
>>1498 Просто все думают что говнокод возникает из-за того что в языке есть goto (или потому что этот язык называется php). А если сделать нормальный язык (например Питон) то все сразу перестанут говнокодить. А кроме этого ещё и код комментировать правильно начнут.
>>1498 Именно. И это огромная проблема. Но ядро линукса хотя бы не занимается концептуально сложными вещами, там ошибки (которых миллионы) обычно можно отследить, не обладая никакими особыми навыками. А вот всякие там трукрипты и оупенссли пытаются делать то, за что им браться бы не следовало по-хорошему.
>>1493 > Нет, он некорректен всегда, потому что усложняет структуру кода на пустом месте. Ну как в си ещё сделать break; внешнего цикла, не вводя дополнительных условий и булевых флагов?
>>1506 Выделить цикл в отдельную функцию и сделать return. Этот конкретный goto там фактически и делает return, но с доп. проверкой. Переделать так, чтобы проверка при выходе не была нужна. Для этого есть несколько способов в крестах.
>>1546 В зависимости от сложности пароля. Тем более АНБ этот файл-контейнер нужно получить, а он пока у тебя дома и они даже не догадываются о нем. Если пароль хороший и есть дополнительные ключевые файлы, то информация устареет а ты умрешь пока они брутят. Но нужен реально хороший пароль.
>>1549 Вот это тебе в анб только ответят. Мы их возможностей не знаем, но если забить максимально поддерживаемый состоящий из заглавных и строчных букв и цифр, то это не пара лет, а пара сотен. Ну и стоит выбрать комбинацию алгоритмов, один алгоритм могут через пару десятков лет сломать. Про квантовый компьютер пока пишут ерунду, потому что все рабочие модели пока 3 на 5 по минуте умножают. Это лучшие разработки. Допустим есть секретные, но они могут превосходить на порядок, то есть пока еще гораздо медленнее твоей пеки.
>>1557 Посчитай примерное время перебора такого количества вариантов каким-нибудь майнинговым пулом, получи время. Прикинь сколько аналогичных пулов может потратить на тебя конкретно анб, оцени время. Но анон завернул сильно крутую цифру. >>1558 64, только что посмотрел. А это 512 бит, aes стоек к взлому за приемлимое время с 256 любыми средствами по информации от самих же АНБ. Пойду пруф гуглить, но такую инфу встречал. Они эту проблему чаще всего решают тем что золотят ручку разработчику
Предположим, что ты используешь пароль состоящий из английских букв в оба регистра, цифр и некоторых спецсимволов. Пусть это будет совершенно рандомный пароль. Тогда каждый символ будет давать 6 бит. Десять символов дают 60 бит.
Теперь ставим задачу - тупой перебор нашего пароля должен будет занимать 20 лет. Или 631 миллион секунд.
Теперь считаем: 2^59 (твой пароль где-то в середине, по этому на один бит меньше) паролей делим на 631 миллион секунд. Получаем 913 миллионов паролей в секунду.
Если АНБ имеет мощности способные перебирать 913 миллионов паролей в секунду, то они тебя крякнут за 20 лет. Если они могут перебирать 18 миллиардов паролей в секунду, то они тебя крякнут за один год.
Вот в этом месте вступает в действие функция kdf - которая превращает твой десятисимвольный пароль в 256 битный ключ для AES. Если эта функция выводит из пароля ключ на твоей машине за 1 секунду, то у АНБ она должна работать в 913 миллионов раз быстрее чтобы они могли крякнуть твой пароль за 20 лет.
>>1563 Нужного не нашел, зато время расчетов в наличии имеется по версии хабролюдей. http://habrahabr.ru/post/80036/ http://www.golubev.com/about_cpu_and_gpu_ru.htm Теперь наша задача - оценить размеры кластеров АНБ и сколько из этого они могут потратить на тебя лично. Это, скорее всего машин 100, не больше, у них много таких анонов и у каждого трукрипт с цп. Есть еще криптотян, она любит что-нибудь безобидное в хороший стегоконтейнер заложить и послать. А если он сдетекчен, анб приходится его качать, анализировать, подбирать оригинал, вычитать, брутить (там хорошие пароли, я получал) а внутри gpg-шифрат и ключ 2048 RSA. А внутри "привет, ня" Я думаю что она им дорого обходится.
>>1561 > Посчитай примерное время перебора такого количества вариантов каким-нибудь майнинговым пулом, получи время. Скорость видях измеряется в хешах в секунду. в Трюкрюпте на одну проверку надо 1000 хешей.
Я попытался нагуглить и нашёл такую инфу: Single gtx titan gets 300 mh/s
Так что если видяха делает 300 мегахешей в секунду, это получится 300 тысяч паролей в секунду на одной карте.
Три тысячи таких видях и мы за 20 лет крякаем пароль. А если взять шестьдесят тысячи таких видях, то можно ломануть за год.
Опять же первая ссылка в гугле выдаёт нам что gtx titan стоит $1700.
Значит для взлома за год надо потратить всего 100 миллионов долларов + электричество.
>>1566 В таком случае у нас какая-то ядерная инфа и её опсчно хранить в Трюкрюпте.
>>1566 >200—300 миллионов долларов На каждого анона с паком на 100 лет. Проще дать разрабу пару миллионов и он сделает тебе такой бекдор, что брутить не надо. И ключи от черного хода принесет на флешке с золотым корпусом. И в жепь поцелует. Жаль не все берут, их проекты закрывают
>>1569 >Значит для взлома за год надо потратить всего 100 миллионов долларов + электричество это же пиздец. Откуда бабло? 100 лямов баксов на битарда-омегу? Да они охуеют. А если там второе дно? Или еще внутри нашифровано?
>>1572 Умножай сто лямов на количество слоёв. Но в любом случае цифры у меня очень уж абстрактные. Может они уже заготовили бэкдор в AES и ломают трюкрипт за минуту на Гэлакси С5?
>>1573 А twofish и Serpen? И все возможные комбинации? Тем более там дыр на 12 год не было, не нашли при очень тщательной проверке и попросили не делать такую йобу. Опасно брать что-то новее.
>>1574 Да я откуда ж знаю? Rijndael победил исключительно потому что быстрее всех остальных хоть и менее секурный. Serpent говорят самый секурный из всех. Атаки есть на все но они теоретические, а на практике тебе всё равно только грубо брутфорсить ключ в 2^256 бит.
Но я не могу взять и разобраться во всех этих шифрах и сказать что там есть бэкдор Да и кто вообще может?
А может всё банально и Rijndael победил просто потому что у них там уже где-то есть кластер, способный крякнуть его 256 битную версию за неделю и им это окей? (раз он быстро работает - он быстрее крякается)
Это не может быть окей. Я вижу это так: я сотрудник АНБ, нашел на гуглдиске корзинки подозрительный файл и хочу его открыть. Я пишу заявку на работу с суперкомпьютером, мне отвечают, что есть свободное время сегодня после 15-00. Пишу им, ок, мне подходит. В 15-00 получаю доступ, запускаю брутсофт, который сам перебирает комбинации нескольких алгоритмов, брутаю за полчаса-час и освобождаю комп для следующего сотрудника. Вот это норм.
>>1579 Ты не путай, никто в таком направлении не работает. Работают от большого к малому и взлом AES будет последним шагом в деле. И вот там неделя это окей. Пока тебя берут омоновцы, пока таскают по камерам в ожидании суда, недели две пройдёт - как раз всё сломается. И надо это не постоянно, а в редких случаях.
В случае шпионажа работают другими методами - улыбками, миниюбками, долларами...
Не хочу создавать отдельный тред, а этот самый живой, вроде, потому напишу сюда. Есть у кого мыльце на райзапе? Если есть, помогите, скиньте инвайт на [email protected]. Заранее спасибо.
>>1587 А чем тебя mail.i2p, openmailbox, xmail.net не устраивают? Инвайта нет, но есть ммножество путей. Можно еще в Белорусии почту держать их КГБ будет реально долго до тебя добираться или в Молдове. Там с безопасностью и взаимодействием с госструктурами, а также их взаимодействии с внешним миров все настолько плохо, что сервисы можно считать анонимными. А с райзапом еще не известно. Хотя позиционируется как анонимно. Плюс к тому если все шифровать, то даже майл.ру будет нечего выдать. Ищи сторонние пути, не доверяй людям, которые гарантируют.
>>337 >>337 Да ты поехал, миллиарды людей вываливают тонны инфоговна , никакая контора физически это не осилят, пока ты не спалился ни на чём ты никому не нужен
>>1593 Но это же не противозаконно... даже если цп мальчиков , никому это не нужно, вот если ты интересуешься продажей/закупкой ПТУР Джевеллин, то наверно да...
>>322 >С андройдом сложнее - хочешь запили тут тред, я сам пока разбираюсь. Но однозначно - для программ - фдройд. Как его забить в поиске? Может кто даст ссылку на скачивание. И ещё накидайте сайтов всякого илитного софта чего нету в маркете, годнях взломаных игрушек без реклам и доната!
>>1596 > Но это же не противозаконно... Ну это пока... Странные инициативы случаются в Думе этой страны. А стоит хоть одному спалиться на чём-то противозаконном, как тут же отряды охотников на ведьм начнут рыскать где попало и лезть в чужие дела.
>>1599 пасиб, сам нашел уже, там проги все на буржуйском, а я в нём нуб(( накидайте мне списочек самого нужного софта что скачать надо. Хочу скрыть на своём ведре несколько прог и 1 браузер в отдельный ярлык.
>>1440 Мне кто - нибудь будет "отвечать частями" на мои вопросы, мм? Олсо, я думал эта доска медленная, а тут по три-пять тредов в день создают, смотрите не проебите этот. До бамплимита еще далеко.
> (и RSA тогда тоже). Алгоритм для шифрования. Притом весьма забавный - у тебя есть два ключа, один публичный, второй приватный. Публичный ты рассказываешь всем, а приватный никому не рассказываешь и хранишь в секрете в надёжном месте. Открытым ключом можно только шифровать. Для расшифровки сообщения нужен соответствующий закрытый ключ (по этому так называется - "пара открытый-закрытый ключ"). А ещё при помощи закрытого ключа ты можешь подписать сообщение (или файл) а при помощи твоего открытого ключа любой может проверить что это в самом деле твоя подпись. https://ru.wikipedia.org/wiki/RSA
> Что значит "данные по запросу" Это значит что тащмйор делает запрос о тебе в особый отдел, а там "по запросу" ему выдают данные о тебе.
> Что такое выходные ноды. Дабы спрятать тебя от всех Тор использует туннели. Туннели состоят из трёх нод (компы энтузиастов где запущен Тор в специальном режиме) сети: входная нода, промежуточная нода и выходная нода. Твой Тор выкачивает с главного сервера сети список всех нод Тора и сам строит случайный туннель. После чего подключается к выходной ноде и передаёт ей хитро зашифрованный пакет который она должна передать промежуточной ноде. Промежуточная нода получает этот пакет от входной, расшифровывает, а там опять указания - к какой экзит (выходной) ноде подключиться и ещё один шифрованный пакет для этой самой экзит ноды. Промежуточная коннектится к экзиту и передаёт ей третий шифрованный пакет. Экзит нода его распаковывает - там указано какой сайт открыть (википедия к примеру). Экзит нода открывает указанный сайт, получает ХТМЛ и всё начинает заорачиваться обратно в слои шифрования - экзит нода шифрует ответ сервера и передаёт его промежуточной, та шифрует полученные данные и передаёт их входной ноде, а эта соответсвенно шифрует и возвращает тебе.
Получается такой расклад: входная нода знает твой айпи и твою промежуточную ноду, но не знает какой сайт ты открываешь. промежуточная нода не знает твой айпи, она знает только входную ноду и экзит ноду. И точно так же не знает какой сайт ты открываешь. Экзит нода не знает твой айпи и не знает какая у тебя входящая нода. Она знает лишь твою промежуточную ноду и сайт который ты открываешь. Сайт же видить лишь то, что к нему обратились из экзит ноды Тора. узнать источник этого обращения (твой айпи) сайт не может.
Так как нод в сети много и пользователей масса, то данные между нодами постоянно передаются и просто так отследить кто откуда и куда не так уж и просто. (хотя в инете полно инфы что тор давно сломан и принадлежит АНБ и безопасности в нём почти нет)
Так вот, экзит нода хоть и не знает кто ты, зато она имеет полный доступ к передаваемым данным. И если ты там обращаешься к почте без HTTPS - то экзитнода увидит твой пароль. Ну или просто узнает что кто-то смотрит порево через Тор. Такие дела.
> Поясните мне разницу между http и https. HTTP не зашифрован. Все видят что ты передаёшь, что читаешь, какие письма отправляешь и какой пароль от твоей посты. HTTPS ("S" значит secure) зашифрован. И прсто так никто не подсмотрит что ты там передаёшь, так что украсть твои пароли или прочитать твою переписку будет сложно.
> Вопрос - для чего кодить и шифровать картинки обычные? как и зачем? > Что такое стенография и зачем она нужна? Чтобы мимокрокодил не заметил что ты кому-то что-то передаёшь. Для мимокрокодила это просто ничего не значащие картинки. У нас тут сейчас два треда >>1625 и >>1660 можешь там поспрашивать именно за стеганографию.
Посоны. Один мой друг в 16 лвл взломал мой рар архив с цп, хотя он был запаролен дважды - 20 значным паролем с шифрованием имен файлов. То есть один архив я запаролил, потом убрал расширение и снова запаролил. И он вот эту лабуду раскрыл, просто, по его словам, удалив через блокнот несколько начальных данных.
Допустим, врет. Но как он узнал, что там именно цп? Он ведь не знал?
Алсо, можно ли так распароливать - у меня не получаеттттсо!
Предположим, у username был пароль s00chka. В каком порядке времени займет его брутфорсить, ближе к паре секунд на мощной ГПУ или десятки лет?
username использовал пароль s00chka и в других местах (да, идиот). Конечно же он поменяет его везде, но с момента обнаружения хака уже прошли недели, так что вопрос в том, могли ли уже успеть до этих мест добраться укравшие shadow и натворить там незаметно таких дел, что смена пароля не поможет?
>>1738 > к своей корпоративной почте Через админов сбросить пароль займёт полдня-день максимум. Колись, что ты там брутфорсить собрался? Старая почта с прошлой работы? Или чья-то чужая? Отмечу, что брут будет замечен админами.
Если ты достоверно знаешь, что он совершает преступление, но не звонишь товарищу майору, то ты всё равно соучастник. А брут ничего незаконного сам по себе не представляет.
Сейчас кто-то стучал в дверь, причем настойчиво, я наделал кирпичей и удалил всё что накачал в i2p (Да знаю что данные остались на самом деле) трясёт вот. Как вообще по закону всякие базы данных, можно хранить? не гос тайна вроде и всё такое.
Посоны, давайте составим список защищенных анонимных почтовых сервисов. hidemyass.com -- неплохо, но не сильно доверяю им. Открыл там почту и запросил инвайт тут - protonmail.ch Пока молчат
>>2024 1. Райзап. Да, вот эти ребята https://help.riseup.net/ Минусы - нужен инвайт 2. Открытоемыло. https://www.openmailbox.org/ Есть поддержка работы с ключами и куча плюшек. Кроме того - божественная веб-морда, после неё на гугл заходить мерзко.
спрошу тут, как настроить тор на ведре? и прокси указал - хер, и рут доступ дал - хер, и мосты настроил - хер, опсос не блокирует тор, это точно. ЧЯДНТ
>>2051 да блин, тоже всё было гуд, пока не стал обмазываться перепрошивками, потом утомился и поставил оригинальную (вроде бы), всё было лампово, пока не решил использовать тор... и орбот и видалия стоят, и тут начинается свистопляска. видимо придётся искать ответов на том же 4pda
>>2059 Я говорил о cyanogenmod. Это прошивка, без гапсов, по дефолту идет набор всякой фигни для безопасности, фейковые местоположения, контакты, смс итд. Возможность настроить vpn из меню, итд.
>>2066 Сейчас набигут фанатики iТупи и расскажут тебе, что ты криворукий идиот, а у всех нормальных людей все работает. Надо только недельку подождать.
>>2066 Если сеть ОК, то у тебя ничего не заблочено. Во-первых подожди пока маршрутизатор интегрируется в сеть. Первые 20 минут все дико тупит. Потом попробуй открыть то, что работает, типа forum.i2p. Если это удается, то ты просто переходишь на мертвые сайты. Сеть постепенно вымирает, с этим уже ничего не поделать. Владельцы ипсайтов просто наигрались - им не хватает поддержки и пользователей. Часть сайтов работает не 24 на 7, особенно то, что хостится дома. Посмотри сколько всего пиров знает твой маршрутизатор - если это число меньше 400, то тебе стоит что-то скачать местным торрентом, чтобы просто найти другие маршрутизаторы через dht. Иначе ты будешь попадать на некачественных пиров очень часто, соединение будет рваться. Посмотри в настройках какую скорость ты выставил. При очень низкой тебя ждет разочарование. Поставь хотя бы половину от возможной. Если поставил выше возможной - пиры будут обрывать соединение.
Анончики, я юзаю битлокер. В один прекрасный день получилось так, что я в приступе паранойи решил сменить пароль на одном из HDD, забыв про то, что битлокер поддерживает пароли до 256 символов. Суть в том, что я установил пароль длинной в 511 символов(использовал юникод - обе языковые раскладки, верхний и нижний регистр и цифры с символами) , и вроде бы зашифровал диск ЭТИМ паролем (во всяком случае я был уверен в этом). Но при попытке снять битлокер я получаю сообщение об ошибке - пикрилейтед.
Поясните, как заставить шиндоус принять введенный мной пароль из 511 символов и снять битлокер?
Интуитивно ясно, что массовая слежка со стороны государства это плохо. Но как рационально объяснить законопослушному гражданину, например, обычному такому отцу, который честно работает и кормит семью, что полная открытость его информационного пространства для властей неприемлемо? Иными словами, чем грозит массовая слежка для рядового жителя.
Господа, возник следующий вопрос. Есть for browser bundle, и есть vidalia; одновременно работать они, естественно, не хотят. На лукостранице пугают небезопасностью использования обычного браузера+vidalia, да и я не доковырялся ещё - надо подменять ДНСы же, иначе .onion страницы не резолвятся.Я бы и не против сидеть через торобраузер, но проблема в том, что он при запуске почему-то не вешает сокс-прокси, из-за чего отсутствует возможность одновременно пустить через лучок джаббер.
Дело в балансе сил. Государство - тоже угроза, как и бандит во дворе, сколько раз это демонстрировала история. Оно не находится за скобками уравнения "кто сильнее-тот и прав". Если государство настолько сильно, что может не бояться народа, оно начинает ебать народ ради сверхприбылей. Если государство знает о нас все, а мы о нем - ничего, оно имеет огромное преимущество. Нормально можно жить, только если народ угрожает государству, а государство угрожает преступникам ну или при анархии/прямой демократии.
Кек, сап котаны. Не заходил сюда пару недель, думал тренд уже проебали, а он вот он - висит тут. Есть к вам очередной ньюфажный вопрос, из разряда тех же, что я писал выше, надеюсь не закидаете говном. Суть такова: могут ли при условии что я сидел без каких-либо торов/впнов и прочих шифраторов в простом анонимном чате ( чатвдвоем лол) выйти на меня тем или иным образом при условии что я не оставил о себе, разумеется, никаких данных? То есть варианты, как я вижу следующие: 1. Доебаться до админов сайта (при условии, что в "вопрос-ответ" их чата сказано, что ни логи, ни IP не сохраняются но мы то знаем) и если до них доебется кто-то серьезный, то может им будет проще слить инфу, хотя опять таки, даже при таком раскладе непонятен вопрос, как они вообще найдут именно те логи, ведь там нет почти никаких идентификаторов. 2. Даже при условии что пункт 1 прокатит, и у них будет мой реальный IP, то что это им даст? Ведь за более подробной инфой надо обращаться к провайдеру, а провайдер инфу не сливает никому, кроме вы сами знаете кого, то есть всяким мимокрокам даже на крутых тачках вряд ли сольют, ведь за это полагается взыскание. Итак, что скажет мудрый криптоанон?
>>2676 Ни то ни то, лол. Просто как-то совершенно рандомно тральнул чела, то есть, я думал, что он оценит мою шутку за 300, а он и не оценил ее, а воспринял ее всерьез, лол. Хотя я как бы в нее вкладывал немного иной смысл. А потом пытался ему донести, что меня превратно понял, но без толку. Короче говоря, кто-то не умеет в юмор. уровня b Так вот, каковы шансы на меня выйти при условии что он схоронил лог, но там ничего, кроме текста - никаких личных данных ? Как вообще те же админы найду этот лог? Их же там 100500 за ночь наберется, и никаких идентификаторов нет - ни имен, ни фамилий. Или я задаю очень тупые вопросы?
>>2694 Ну, тащемта картинками тебе отвечает не тот анон, который обещал приехать. А по поводу вопроса: да, конечно логов много, но сортировку по времени никто не отменял, так же, по поводу этих самых логов я не уверен, есть ли они, с ипом тоже. Админ конечно может выдать их и твой ип, но провайдер вряд ли просто так это сделает. Так же, если и сделает, то что это даст? Может ты в хуелионе км от вычислятора? Да если и не так, то если получишь по ебалу - подашь заявление, если еще что - тоже самое. Так что, сам вопрос весьма глуп. Может я конечно не прав, буду рад если меня поправят.
>>2705 От пруфа. >>2704 Спасибо анон. А то мне тут все с кем обсуждал ситуацию говорят что я не прав ПА ПАНЯТИЯМ, у меня бомбит уже от них. Добра всем.
>>2709 Ну дык не от баттхерта же. Баттхерт надо изучать, чтобы не стать пруфом, мне так в школе сказали))))))())))()))))))) ___________________________________ Я бы именно так и сделал, если бы сир будлус был в состоянии видеть мою бровь (а я ими умею неплохо шевелить, btw), но к счастью, у него не было такого шанса. Зато на попытку объяснить ему, что он не так меня понял, я не встретил ожидаемой от него адекватной реакции. В целом у меня создалось впечатлением, что сир будлус просто искал к кому приебаться, и поэтому постил свои провокационные хвалебные речи в адрес своей многострадальной родины. Впрочем, не будем вскрывать эту тему... Суть в том, что он совершенно невменяем, и если он настолько пробитый, насколько мне показалось из диалогов с ним, то он бы вполне мог пристегнуться, и попытаться на меня выйти, даже денег бы не пожалел. А я не под тором там сидел в тот раз. Вот и занервничался. Кек.
>>2712 Блядь да грустно мне было. Был Новый год, новогодняя ночь, почти 5-6 утра, общаться мне, разумеется было не с кем. Я сидел дома один. Ужасно тосковал. Мамка с теткой легли спать, в другом доме, после того как мы посидели и встретили НГ. А я сидел у себя и сычевал, попутно понимая, что ничем этот новый год не лучше предыдущего, по крайней мере пока. И я все так же одинок и не нужен никому. Все спали, даже на анончики на бордах не проявляли активности (в моей тематике). Ну и я полез туда, чтобы хоть с кем-то заобщаться или посмеяться. Ну вот, собственно, и заобщался.
>>2715 Ты слепой, блджад. Мы всю ночь и день в конфе сидели, а я ее на нулевой почти довел до бл, а ты ее не видел. Ну да ладно, можешь забить хуй на того парня.
Вижу тут экшон есть, значит буду задавать нубо вопросы.
К примеру накатываю debian, виртуалку и еще один деб. Какие дальнейшие действия? Как завернуть трафик с виртуалки в ш2з сеть, а остальные соеденения отрезать? Даже если так, мозилла сможет сливать инфу в ш2з, вылазя наружу через аутпрокси?
>>2725 Страх то какой. Лучше тогда вот. Послушайте с места на которое выкинет минут 5 и пообсуждайте. Если доставит, то может добавлюсь к вам. А я пока пойду чай делать.
Здравствуйте, скрытноаноны. Какую прогу посоветуете, если нужно спрятать/запаролить только несколько папок на компе? Трускипт, как я понял, ставится сразу на всё, но мне это не подходит. т.к. компом пользуюсь не я один.
Здравствуйте, скрытноаноны. Какую прогу посоветуете, если нужно спрятать/запаролить только несколько папок на компе? Трускипт, как я понял, ставится сразу на всё, но мне это не подходит. т.к. компом пользуюсь не я один.
Если кратко - трукрипт умеет, как в полнодисковое шифрование, так и в шифрование файлов. Создаешь себе контейнер в 100GB, подключаешь по надобности, отображается как диск.
>>2719 Поднимай отдельный дебиан сервер с i2p, пробрасывай порты. Бери отдельный ноут, допустим, загружай с флешки tails, подключайся к прокси i2p сервера. На маршрутизаторе можно порезать forward i2p сервера на общеизвестных портах и весь трафик с ноута.
>>2891 В прыщемирок проник относительно недавно, посему даже "порезать трафик" вызывает тучу вопросов. Ньюфаг, юзающий "анонимность ради анонимности". Ты наврное подумаешь а на кой хуй ? Только в моем городе пара дестяков юзеров раздает ЦП через DC++, всем похуй. Но вдруг завтра все поменяется, за "использование зарубежних ресурсов" запихают банку згухи. Лучше поебусь, знания лишними не будут. Вообщем анончик если направишь или скинешь годных манов, буду признателен. С чего вообще начинать? Сейчас пытаюсь осилить iptables, а дальше что?
>>3100 AES - единственный алгоритм, который тебе могут предложить. Тем более любые манипуляции с архивом будут связаны с его перепаковкой, а это время. Тот же трукрипт и его форки работают гораздо быстрее, система воспринимает их контейнеры, как отдельные диски. Есть портативные версии, которые можно носить на флешке. Если это не порнуха, а важная документация, потратить 20 мин на обучение корреспондента - не самая сложная задача. Просто у нас принято вспоминать об информационной безопасности, только когда уже все утекло, документы у конкурентов, независимые газеты пишут про черную бухгалтерию, а приставы стоят под дверью. При этом тот же свободный трукрипт можно держать в каждой фирме без всяких проблем. Нахуя, когда есть яндекс-диск, в который зайдет любой, кто помнит дату рождения секретарши и знает ее адрес электронной почты.
Криптоананисты, поясните пожалуйста, почему вы тут дрочите на RSA 1096, когда например тот же AES признан американцами "достаточно надёжным, чтобы использовать его для защиты сведений, составляющих государственную тайну". Причем даже для сведений уровня TOP SECRET требовались ключи длиной всего 192 и 256 бит.
Почему последний релиз TOR`а (tor-browser-linux64-4.0.4_en-US.tar.xz) подписан неизвестным ключем (F65C2036), который до этого разрабы не публиковали, как это понимать, почему еще не поднята общемировая шумиха?
верификация со старыми ключами не проходит: gpg --verify tor-browser-linux64-4.0.4_en-US.tar.xz.asc gpg: Signature made Ср. 25 февр. 2015 10:55:16 MSK using RSA key ID F65C2036 gpg: Can't check signature: public key not found
Если какая возможность удостовериться что новый ключ TOR`а, имеет отношение к старым ключам? По идеи новый ключ должны были подписать старым ключем, но подписи не какой нет
>>4217 Долбоеб ты сам, то что сорци и сборки разными ключами подписывались было известно, все ключи у меня уже несколько лет импортированы, и верификация всегда проходила, сейчас ключ смелили на F65C2036. А вот как связать принадлежность нового ключа к старому, т.е. удостовериться что новый ключ выпушен владельцем старого, непонятно
Допустим сайт захватили спецслужбы, выпустили новый релиз тора со своим бекдором, подписали его своим ключем, т.к. старых ключей у них нет, выложили новый ключ на сайт, в блоге написали что теперь ключ новый. И теперь отслеживают всех любителей чп
Служит ли MAC-адрес машины для идентификации в глобальной сети? Получает ли его провайдер, сайты далее по маршруту? Вот например в одной игрушке меня забанили либо по нему, либо по имени тома, но тут клиентское приложение есть, которое всё зондирует, а через браузер такое возможно?
Как называлась программка, которая проверяла исходящие подключения браузеров, которой анонимусы сдетектили яндекс-браузер в отправке чего-то на свои сервера?
Можно ли подключиться к какому-либо устройству в сети и прочитать/поменять на нём файлы, управлять средой? Вот например, есть обычный домашний компьютер, мобилка, роутер или какая-то тв-приставка. У каждого свои операционные системы, может быть браузеры. Как от этого можно защититься? Объясните механизм, либо киньте статьи простым языком.
> Служит ли MAC-адрес машины для идентификации в глобальной сети?
нет.
> Получает ли его провайдер, сайты далее по маршруту?
При включенном NAT на роутере, провайдер получает только mac конечного клиентского устройства, т.е. роутера, этот mac обычно используеться только для выдачи ip адреса (серого или белого), больше не для чего, ну теоритически еще mac может в СОРМ записываться, и все. Сайты его получить не как не могут.
> Вот например в одной игрушке меня забанили либо по нему, либо по имени тома, но тут клиентское приложение есть, которое всё зондирует
Если есть клиентское приложение то вариантов идентификации очень много
> а через браузер такое возможно?
Через браузер в зависимости какие плагины устанавливались, но в принципе не очень много вариантов идентификации, например столько: - IP address - Standard HTTP Cookies - Local Shared Objects (Flash Cookies) - Silverlight Isolated Storage - Storing cookies in RGB values of auto-generated, force-cached PNGs using HTML5 Canvas tag to read pixels (cookies) back out - Storing cookies in Web History - Storing cookies in HTTP ETags - Storing cookies in Web cache - window.name caching - Internet Explorer userData storage - HTML5 Session Storage - HTML5 Local Storage - HTML5 Global Storage - HTML5 Database Storage via SQLite - HTML5 IndexedDB - Java JNLP PersistenceService - Java CVE-2013-0422 exploit (applet sandbox escaping) в общем случае используют только ip и cookie
> Как называлась программка, которая проверяла исходящие подключения браузеров, которой анонимусы сдетектили яндекс-браузер в отправке чего-то на свои сервера?
Например tcpdump, wireshark. Либо если все проще чем я думаю то просто расширениями для браузера, например знаменитый firebug для firefox, либо встроенными средствами отладки (нажми ctrl+shift+i если chrome)
> Можно ли подключиться к какому-либо устройству в сети и прочитать/поменять на нём файлы, управлять средой?
Очень общий вопрос, зависит от того какие устройства имеються ввиду, что имееться ввиду под управлением, и какими интерфейсами / протоколами / портами эти устройства смотрят в сеть. Конкретно ответить на этот вопрос не возможно, но так если пальцем в небо то изучай SSH
> Как от этого можно защититься?
Тоже слишком общий вопрос, если пальцем в небо изучай iptables
> Объясните механизм, либо киньте статьи простым языком.
Боюсь что простым ничего не выйдет, слишком много вариаций, спрашивай чтото конкретное
>>4258 Например есть пк с ос Windows 7 чистой, без радминов и телефон на андроиде. Оба подключены к сети wi-fi с выходом в Интернет. Может ли к ним кто-то подключиться через telnet или по каким-нибудь включённым по умолчанию протоколам связи?
Аноны, помогите с настройкой i2p. Во-первых, как мне оптимально настроить bandwidth? Какой процент share выбирать? И во-вторых, как мне настроить туннели? Пару лет назад я использовал ай2пи, но этим как-то и не заморачивался.
Антуаны, вот такая идейка возникла Мне кажется большинство из нас используют ВК только ради информации, картинок и поиска музыки, но это как бы совсем не вяжется с ИБ, и так, суть: что если создать аккаунт, собрать там всю важную для тебя информацию, но при этом не давать абсолютно никаких данных о себе? Т.е друзья не должны знать этот аккаунт вообще, общаться по нему тоже ни с кем не надо. Выкладывать инфу - тоже. Только для того, что тебе интересно его и держать, комментировать тоже не стоит ничего. Для потери в толпе подписываемся на кучу топовых пабликов и для удобства скрываем это гавно из новостей, как вам задумка? Ведь, по сути, все что знает о вас администрация ВК - это ваш айпи (который при желании можно скрыть, заходя через TOR), но мне кажется им похуй. Аккаунт регистрируем на левую симку, которую потом выкидываем.
Алсо, предлагаю для всех телефоно-смартфоно вопросов создать отдельный тред.
Кину сюда реквест тем кто разбирается, нужна какая-нибудь книга по устр-ву выч. техники, то есть не архитектура ее(суть внутреннего устр-ва для программиста), а что-то более подробное, и подразумевающее что базовые знания по электротехнике у читателя есть, чтобы не было слишком много разжевывания и воды. Спасибо.
>>2638 >что полная открытость его информационного пространства для властей неприемлемо? Открытость твоя и государства должны быть примерно одинаковыми. Если бы было совершенно прозрачное государство и совершенно прозрачная личная жизнь всех людей - было бы заебись.
Поясните за впн-сервисы, в частности, hideme. Использую бесплатные ключи из вконтактика, работает, но время от времени отваливается. Это только в бесплатной версии так? Посоветуйте сервисов, у которых стабильность в сочетании с российскими айпи. Бюджет до 500 деревянных в месяц, скрываться от майора задача не стоит. Алсо, можно ли настроить систему, чтобы доступ в сеть у браузера был только через впн, и если впн отваливается, то я не спалю свой настоящий айпи. Система вин хп поднята в виртуалбоксе. Извините за сумбурность мысли.
>>4866 Платную их не пробовал, но они совсем щиттир. Если готов на 300-500р в месяц = обычный платный впн. +тебе нужен файрволл с блокировкой всего, кроме впн. Тогда будет - отвалился тунель - нет инета
>>4866 >если впн отваливается Спермопроблемы какие-то. Openvpn если и отваливается (сервер не работает или ещё что), то маршруты остаются те же, пока он пытается переподключиться.
Поставил , себе этот ваш talis, хуй пойми, как подключаться к вайфай лол. С пекарни через провод все работает, с ноута вообще делает вид, что понятия не имеет, что такое вайфай. Пиздец. Алсо да, поясните за пси+ с шифрованием. Как ставить, где качать, етц И, блджад, как флэшку с таилсом затрукриптить? Я хуй знает, он вроде как встроенный там, но все равно, что есть, что нет - разницы никакой
>>4895 Сноси и ставь мокрые мисечки от васяна, раз теисл "этот ваш" По поводу вайфая = возможно он не завелся из коробки. Нужно немного докрутить. По поводу пси - есть в репах.
Алсо, сделал ту же хуйню на нетбуке - все работает. Ну, практически. То есть он видит все вайфайные сети, КРОМЕ МОЕЙ ЛОЛ. Причем сам начал их искать, я ничего не включал.
>>4902 sudo apt-get install b43-fwcutter firmware-b43-installer sudo dpkg-reconfigure firmware-b43-installer Всё, чем могу помочь. Если не заработает - пиши в /s/
Пиздец, пасаны. Есть некий ник, пользуюсь им всегда и везде. Но, как неавно оказалось ник слегка зашкварен. Писал с него какую-то хрень, читать стыдно. В гугле\яндексе ник ищется сразу, удалить всё возможности нет, не удаляется, видимо старо совсем, 2013 год Вопрос: как удалить неудалимое, или хотябы исключить из поисковиков?
>>4905 Добро пожаловать в клуб. 1 - больше не использовать ник. Вот прямо сейчас. А кроме того почту, аськи, скайпы, вк, которые связанны. Посмотри, есть тред о удалении данных из сети и зачистке персональных данных. Но кратко - удалить сможешь ~30%
>>4908 Почитай про модель угроз. Тебе нужно понять для себя: кто ищет? какими средствами распологает? Сколько готов потратить на поиски? - это так для начала.
>>4909 Ну, это, конечно же, не так, но, если вдруг возникнет такая ситуация - то, возможно, это будут люди в серой форме. Я не Сноуден, так что вообще, мне кажется, что я немного перестраховываюсь.
>>4910 То есть гайд по трукрипту читать нет смысла? Как сделать то, о чем ты говоришь?
>>4911 >Я не Сноуден, так что вообще, мне кажется, что я немного перестраховываюсь. Искренне тебе желаю - что бы так было и дальше. Но шифрование - хорошая привычка.
Гайд по трукрипту имеет смысл, если ты ставишь не tails и будешь работать с hdd, или если тебе нужен дуалбут с виндой. Поясню: таилс работает с флешки, сама флешка - ридонли, те поставить софт сверху\закриптовать - не получится. Только если делать это на уровень выше.
Как вариант, если тебе нужен тор + рабочая среда, посмотри в сторну установки дебиана - шифрование из коробки. +сможешь поставить сам то, что тебе нужно, в том числе и тор. А потом зарежешь на фаере всё, кроме 127.0.0.1, где и будет твой тор.
>>4913 Не слушай гентушников, пересборка ядра - это то, что может сделать лоли с синдромом дауна. Ищи свой конктретный адаптер и пользуй гугл, чаще всего - есть подробная инструкция из 10-20 команд в консоль.
>>4923 Это статья из укрф. А так - реально. И верх ахуенности - это не вайфай, а левый ноут, левая сим в модеме, и всё это в рандомных местах. А поверх = впн, секурные сервисы и софт через тор
>>4222 Они могли вынудить их подписать. Требовать их личные приватные ключи незаконно (и не отдадут), а вот обязать подписать могли запросто (например, под угрозой прекращения финансирования).
Господа, а как без палева вывести деньги с киви? Прошу простить мою недалекость, в этой теме полный ноль, так что считайте, что пытаетесь что-то рассказать аутисту
Это тред для ньюфагов-даунов? Мне нужна почта для социоблядских целей, но Яндекса я стесняюсь, Гугл пошёл нахуй, Тормейл закрылся, Опенмейлбокс слишком на власть нарываются, владелец "bitmessage.ch" жалуется на нагрузки, Протонмейл уже год из себя девственницу строит, всякие "mail.com" - нонейм говно. Что делать?
Аноны, готовлюсь к наступающему пиздецу. VPN на вдске у БПшного хостера, там же выход в ТОР, поверх этого всего соксы, которые есть только у меня. В инет планирую выходить с модема 3G/4G с узконаправленной антенной. Какова вероятность вычислить по ойпи найти меня после постройки такой схемы для выхода в сеть?
А ведь я уже решил на Сосаче только срать да потреблять, но тут захотелось вдруг аргументы и ссылку принести, и меня сразу отымел робот-модератор. Пора кончать сюда отписываться вообще.
>>314 > Винда дырява, да. Но при нормальной настройке - жить можно. Мануал для отгораживания ануса в Windows 8.1 + отключение сообщения о некупленной системе в студию! С пояснениями что и доя чего.
Вы что, ебанутые? Вы что здесь делаете? Слежка за ними, просто в голосину! Вы понимаете что уже все, поехавшие? Вебку заклеить, накатить три фаервола и семь скриптов на каждый браузер чтобы не О НЕТ, ГУГЛ УЗНАЕТ ЧТО Я БЫЛ НА ТАКОМ-ТО САЙТЕ. Еще и дружбана моего в свою секту ебучую затянули, пиздец. Этот дебилушка из-за вас стабильно раз в неделю ломает винду, а мне чинить блядь. Вы правда думаете, что к каждому в интернете приставлен личный китаец-надзиратель со спецсофтом и СЛЕДИТ? Просто проигрываю с вас. Ладно еще те, кто барыжит веществами или чем похуже. Но вы то, вы то чего? У вас ровно 9 часов чтобы составить вменяемую теорию с доказательствами на тему "кто и почему за мной следит" или все, кто здесь сидит - просто конченые инфантилы, играющие в шпионов.
Тут /s/ чутка обосрался при попытке понять, как http://seasonvar.ru/ детектирует расположение польователя для ограничения доступа к контенту по странам. Твой вывод?
>>5421 братан, да не обращай внимания на этих чудиков)) вот держи сайт, да не обращай внимания на новые процессы, это системные, да и какое тебе дело, кому ты нужен? ой, деньги пропали? ой, кредит на тебя оформили? все норм будет))) не обращай внимания))
>>5423 >>5424 Все с вами ясно, дауны. Винда и адсы у них кредиты оформляют и деньги пиздят, пушка просто. Вместо того, чтобы подумать своей головой как стадо бежите ананимизираваца. Приведите статистику таких случаев, примеры, когда у кого-то что-то продало, хоть какие-нибудь пруфы слежки. Так нет ведь, будете сейчач дальше дурачков строить и трястись над несуществующими проблемами. Бтв есть овер10 ирл структур, которые могут оформить на вас кредит без вашего ведома без последствий и ничего вы не докажете, так что если вы кому и нужны - вас бы скорее через роддом отыскали, чем через какие-то выдуманные зонды. У вас они же с рождения прямо в жопе. Контраргументы будут или может даже опровержения? Или продолжите кукарекать?
Привет, крипт. Хочу поставить VPN сервер на домашнем компе, чтобы ходить через него в инет с ноутбука из разных мест. Есть статический внешний ип, роутер Dlink DIR-615. С ноута сейчас есть выход в инет только через корпоративную вайфай в Германии. Пробовал обойтись средствами винды, с другого интернета подключался, а тут нет - ошибка 806. Видимо, местный роутер не умеет GRE. Гугл предлагает SSTP, L2TP/IPSec, OpenVPN. Что выбрать, чтобы универсальней было?
Аноны, помогите разобраться с GnuPg. Я кое-чего не понимаю. После генерации ключей они остаются в системе? То есть теоретически, если я зашифрую какой-либо файл, а потом кто-либо получит доступ к компьютеру, прощай конфедециальность? Можно ли сделать так, чтобы публичный и секретный ключи хранились только в одном месте, например у меня на флешке, а на компе их не было? И вообще, киньте каких ссылов на туториалы по gpg, если вас не затруднит.
Если коротко, то да, все хранится у тебя в системе. Ты можешь указать в конфиге, в опциях или в переменной окружения папку с ключами. По-умолчанию ключи в папке ~/.gnupg, но можно ее перенести хоть на флешку, хоть на сервер в Африке.
Асечка или скайпик? Помогите выбрать из двух зол меньшее зло для связи с простыми смертными.
Или подскажите чем вышеперечисленное заменить, чтобы у собеседника не возникало проблем с установкой целой кучи непонятного хакирского софта. Что используете сами? Жаба с плагином слишком сложно. Вк, телеграммы, ватсапы и etc. просят номер мобильного.
>>5771 >>5775 >>5783 Cryptocat хороший вариант, который не учёл. Туда можно временно переводить диалог. А вот pgp не под силу освоить простым смертным собеседникам. Им это не понятно, не комфортно и не нужно.
И всё же, что лучше из того, чем пользуются "обыватели"? Аргументы приветствуются. Как оставаться на связи с внешним миром, не заботящихся о приватности людей (друзья, однокурсники, новые знакомые, дальние родственнички и т.п.), и оставлять о себе поменьше мегабайт информации на чьих-то серверах? Не всё же время хикковать... Нет желания указывать при регистрации номер телефона, поэтому соцсети и мессенджеры, требующие его, отпадают.
>>5785 Сомневаюсь, что твоя задача имеет решение. Обычный юзер не привык иметь дело ни с какой криптографией кроме той, что применяются прозрачно для него (то есть, сознательно вообще ни с какой). А если обычный юзер читает открытый текст, этот текст он наверняка получил с чьего-то сервера, т.к. p2p-технологии в среде обывателей ограничиваются торрентами.
>>5789 Общайся, кто мешает? Только обычные юзеры всё равно продолжают пользоваться своими скайпиками, вэкашечками и прочими телеграммами. >>5790 Bitmessage не имеет отношения к торрентам, если что.
Пацаны, есть какие нибудь сборочки портативных браузеров для приватности? Качнул лису отсюда http://sourceforge.net/projects/securityfirefox/?source=typ_redirect а там только адблок и ничего больше. Алсо, можно запускать портабл версии прямо из архива, тогда информация созданная в процессе использования не сможет добавиться в архив а она пытается сделать это. Что думаете?
В этом треде можно задать вопрос - и получить на него ответ. Кроме того, отписавшись тут - можно получить приглашение потестировать софт\технологию с аноном.
Обучение-тред-ГО!