UFN :: Utopia For Nobody

ПОИСК ПАРОЛЕЙ В УТЕЧКАХ

Есть большая вероятность, что твои пароли уже есть в сети и хакеры могут без труда их получить.

Записывай два топовых ресурса, где это можно сделать. Сразу обозначу, что это не бесплатно. Зато гораздо удобней и безопасней, чем держать утечки на своей машине.

https://leakcheck.net - поиск по утечкам пар почта-пароль от различных аккаунтов. Доступен поиск по ключевым словам (например, первой части имейла), логинам и номерам телефонов. Также можно проверить список имейлов, загрузив их в текстовом файле.

Позволяет сделать уведомление на случай появления какого-то имейла в свеже слитой базе.

На момент публикации поста доступен ресурс только через впн.

https://dehashed.com/ - самый, возможно, полный сервис пробива по утечкам. Можно искать по имейлам, логинам, адресам и тп.

Для почты выдает её утекший пароль или его хэш, который можно потом сбрутить самостоятельно.

Если твоя почта нашлась на ресурсе, её можно удалить. Нажимай “request entry removal” и письмо для подтверждения удаления прилетит на почту. Работает удаление без премиума.

А ресурсы https://haveibeenpwned.com/ и https://monitor.firefox.com/ пароль не скажут, зато “без регистрации и смс” покажут, в каких базах он есть.

Береги себя и используй везде разные пароли и двухфакторную аутентификацию. В этом на помощь приходят менеджеры паролей наподобие keepassx, lastpass и тп.

@UtopiaForNobody | #tools #osint #hacking

В сеть утекли исходники Windows XP и некоторых других продуктов Microsoft.
https://www.opennet.ru/opennews/art.shtml?num=53783

@UtopiaForNobody | #leak #news

Компания Pine64 выпустила занимательный смартфон или будет лучше сказать "хакерофон" PinePhone.

Во-первых, на нём работает огромное множество линуксовых операционок. Ubuntu Touch, PureOS, Manjaro, SailfishOS, Mobian и тп.

Во-вторых, у него есть аппаратное отключение сотовой связи, вайфая, камер, микрофона и наушников. Открываешь заднюю панель и просто щелкаешь нужный “рубильник”.

В-третьих, железячники оценят, что можно переключать разъем микрофона в режим UART. И у смартфона есть пого-коннекторы для создания аппаратных расширений.

Цена этого девайса 150$. Привлекательная вещь для любителей мобильного вардрайвинга, железячников или параноиков.

Все подробности читай в его вики.

P.S. На работке случился завал, поэтому я был в двухнедельном “отпуске от блога”, чтобы не перегореть.

@UtopiaForNobody | #phone #device #hardware

Mailvelope - плагин для браузеров, который легко позволяет применять сквозное шифрование для почты.

Для тебя плагин сгенерирует два ключа:

Секретный, с помощью которого ты будешь расшифровывать входящие письма и подписывать исходящие, чтобы адресат мог быть уверен, что ты - отправитель.

Публичный, который можно спокойно раздавать. Именно им будут шифровать письма, адресуемые тебе. И им будут проверять твою цифровую подпись.

Собственно, для работы Mailvelope использует OpenPGP. Если твой друг по переписке использует другую утилиту, основанную на этом стандарте, то проблем не возникнет.

Ну а главное преимущество этого решения для шифрования - простота использования.

Остальной функционал плагина заключается в добавлении чужих открытых ключей, шифрование и расшифровка писем, файлов и проверка их цифровой подписи.

В том числе плагин дополняет своим функционалом веб-версии почтовых сервисов.

Официальный сайт: https://www.mailvelope.com/en/

@UtopiaForNobody | #tools #privacy #cryptography #mail

Теперь ты знаешь всё о компьютерной безопасности.

@UtopiaForNobody | #humor

Я знал, что когда-нибудь наступит тот день, когда я ошибусь буквой и уничтожу все данные на диске...

Есть предельно простая юниковая утилита dd. Единственное, что она делает, побитово копирует данные из одного места в другое. Но спектр её применения очень широк.

Например, у нас есть диск, на котором мы не видим файлов. Но удалены могут быть не сами файлы, а обозначения о их наличии в файловой системе. Именно поэтому обычно есть возможность восстанавливать удаленные данные.

Так вот мы можем скопировать побитово весь диск с помощью утилиты dd, как он есть, в другое место. А потом восстановить удаленные данные. Причем целый диск можно побитово скопировать в файл. Вы могли встречать такие файлы с расширением iso. Но это не очень частый случай.

А вот когда нам может быть очень полезна эта утилита - так это по-настоящему удалить все наши данные с диска, затерев их случайными данными.

sudo dd if=/dev/urandom of=/dev/sdb bs=4096 status=progress

sudo - получаем права админа
dd - вызываем утилиту
if=/dev/urandom - на вход берем потом рандомных данных
of=/dev/sdb - диск, который нужно затереть. И вот тут будь внимательней, я вместо /dev/sda затер только что /dev/sdb. Также не забывай, что /dev/sda в юниксе - это диск, а /dev/sda1 - это его раздел.
bs=4096 - сколько бит копируется за раз
status=progress - отображение 

В случае копирования диска в файл команда выглядит

sudo dd if=/dev/sda of=/path/to/file.iso bs=4096 status=progress

Утилита дает простор для фантазии. Ктулху одобряет.

@UtopiaForNobody | #tools #linux

WHONIX - СЕТЕВАЯ ИЗОЛЯЦИЯ ТВОЕЙ ЛЮБИМОЙ ВИРТУАЛКИ

В браузерах постоянно находят дыры. Вот посетил ты какой-то сомнительный сайт, а то и документ с вредоносным кодом открыл через дырявую офисную программу. И всё, твой комп теперь зомби в руках владельца какого-нибудь ботнета.

А, может, ты - хацкер и стянул откуда-то документ с названием “нихерасебеинфа.pdf”, а он оказался canary token (ловушкой для хакера, которая уведомит хозяина файла о том, что её открыли и с какого адреса).

Получается, что адреса сетевых интерфейсов и ещё черт знает какая информация утекут в сеть и пофиг на цепочку из десяти впн, тридцати прокси и тора. А то и с уже скомпрометированной машины будет доступна твоя остальная сеть.

Решение? Whonix.

Это дистрибутив из двух виртуальных машин. Gateway и workstation. Изначально они для VirtualBox, KVM и Qubes OS (про неё я ещё как-нибудь отдельно напишу), но с некоторыми плясками с бубном можно перенести на vmware.

Gateway - защищенная система-роутер, которая направляет весь трафик через тор. Имеет два сетевых интерфейса. Один во внешнюю сеть, а другой в изолированную, с машинами, которых прячет от внешнего мира.

Workstation - рабочая виртуальная машина, которая имеет единственное сетевое соединение с gateway. Поэтому минимизированы шансы того, что трафик утечет мимо тора. И, если эта машина будет скомпрометирована, то машина не сможет выдать важных данных о своей сети.

В целом, workstation можешь заменить на любую виртуалку. Например, вместо неё или вместе с ней в изолированную сеть поставить твой любимый Parrot OS, Kali или ту же винду.

Сайт дистрибутива: https://www.whonix.org/

Мои посты обычно с картинками не только потому что мне так нравится визуально, но и из-за появляющегося ограничения в 1024 символа. Я думаю, короткие посты по делу читают охотней. Но за эти выходные я был за рулем часов пятнадцать, поэтому в качестве исключения утомительную чистку “от лишних слов” пропущу, выложу как есть и пойду отдыхать. Береги себя.

@UtopiaForNobody | #tools #privacy #anonimity #os

Приватность.
Никто не видит, что ты делаешь или какие данные хранишь, но может знать, что они принадлежат тебе.

Если ты отправляешь другу сообщение через “секретный чат” телеграм, то оно зашифровано от пользователя до пользователя и никто другой его не увидит. Такое сообщение остается приватным.

Анонимность.
Подразумевает, что твои действия невозможно связать с тобой, но видно, что ты делаешь.

Например, хозяин сайта в tor знает, что кто-то посетил его сайт, но не может привязать к кому-то это посещение.

Или, если ты оставишь где-то пост или комментарий, авторство которого не определить, то он будет анонимным. Но далеко не приватным, а доступным публично.

Псевдонимность.
Случай анонимности, подразумевающий использование псевдонима.

Сейчас в сети большинство используют никнеймы. Таким образом множество сообщений и действий привязываются к конкретному никнейму, но не “реальной личности”.

@UtopiaForNobody | #theory #privacy #anonimity

В телеграм на андроид подъехали видеозвонки. На яблочные девайсы тоже, но ещё проходят модерацию appstore.

@UtopiaForNobody | #telegram #news

Надоело таскать к проектору ноутбук для домашних киносеансов.

Раньше была медиа-приставка, но продал пару лет назад при переездах.

Решил вчера приспособить ей на замену не задействованный в домашней лаборатории микрокомпьютер Raspberry Pi 4 model B, он же "малинка".

Да так, чтобы управлять лёжа на диване компактной беспроводной клавиатурой Rii i8, а фильмы по сети перекидывать на подключенный к "малине" внешний жесткий.

Мне понравились два мультимедиа-дистрибутива для Raspberry Pi. LibreELEC и RetroPie.

LibreELEC - сборка с мультимеда-приложением Kodi. Интерфейс в лучших традициях smart tv, apple tv и т.п.

RetroPie - сборка ориентированная на олдскульные игры. Поставляется с эмуляторами различных старых систем от msdos и zx spectrum до nintendo nes и sega dreamcast. Kodi легко доустанавливается.

Для плавности в 3d-играх "малину" надо разгонять, поэтому дозаказал корпус Flirc с пассивным охлаждением с амазона, а пока он идет, остановился на LibreELEC.

@UtopiaForNobody | #raspberrypi #kodi

@UtopiaForNobody | #humor

@UtopiaForNobody | #humor

Нет сегодня у меня настроения писать про айти. Не им же одним жить. Хочу поговорить о музыке. К тому же она, особенно электронная, всегда была частью компьютерного сообщества.

Где электронная музыка, там синтезаторы. И вершиной гибкости являются синтезаторы модульные, как тот, что на изображении к посту.

Собираются они из модулей часто разных производителей, а то и самодельных.

Ты сам решаешь, в каком порядке соединять входы и выходы модулей. Генератор волны может быть как источником базовой волны, так и менять характеристику другой волны. Например, высоту тона.

Можно настроить систему на бесконечную генерацию музыки, которая будет со временем сама изменяться.

И всё бы круто, но есть одно но... Стоит всё это добро как автомобиль.

Но слава Ктулху, программистам и опенсорс. Есть бесплатный виртуальный аналог с тучей модулей VCV Rack.

Я его использую больше для экспериментов, но инструмент отлично подходит для обучения синтезу, создания семплов и электронных партий в продакшен.

@UtopiaForNobody | #music

В сети появилась база 128 миллионов пользователей вконтакте.

База содержит имя, фамилию, адрес почты, пароль и телефон.

Свежесть базы и актуальность паролей пока под сомнением.

Но определенно многие из моих учетных записей и учеток моих друзей там присутствуют и информация по телефонам и имейлам верная.

Пост по мере получения новой информации буду обновлять.

UPD: База очень старая. Несколько лет точно.

@UtopiaForNobody | #leak #vk #anonymity

Поздравляю всех причастных! Ктулху уснул за наши грехи! Админь!

@UtopiaForNobody | #sysops

У меня есть коллекция загруженных сайтов на случай, если они исчезнут из сети вместе с полезными статьями.

Для их рекурсивной загрузки (обходятся все ссылки, все вложенные страницы) использую wget.

Это консольная утилита для загрузки файлов по протоколам HTTP, HTTPS, FTP и FTPS.

Особо полезна она на серверах, где нет графического интерфейса, а нужно что-то загрузить из сети.

Для загрузки файла достаточно ввести в терминале:

wget https://example.com/path_to_file.txt

Для рекурсивной загрузки сайта команда может выглядеть наподобие:

wget -m -l 10 -e robots=off -p -k -E --reject-regex "wp" --no-check-certificate -U="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36" https://example.com/

С линуксовыми дистрибутивами wget идёт, как правило, в комплекте.

На макось легко ставится с помощью homebrew.

На винде я обычно не парюсь и пользуюсь оболочкой с линуксовыми утилитами, которые идут в комплекте с git.

@UtopiaForNobody | #tools #sysops

В телегу подъехало крупное обновление.

Теперь можно делать анимированные аватары. Бесполезно, но прикольно. Пример такого можешь посмотреть в моём профиле @Gorza, но не забудь, собственно, обновиться перед этим.

Если кто не в теме, в телеге есть функция находить людей поблизости. Теперь её допилили и в совокупе с видеоаватаркой это реальная замена тиндеру. Когда-то моему любимому приложению😏

Теперь в списке чатов показывается миниатюра изображения из последнего сообщения. Игнорить друзей, пересылающих мемы, которые ты уже видел с утра, стало проще.

В настройках конфиденциальности теперь можно настроить, чтобы все новые чаты от пользователей, которых нет в контактах, отправлялись в архив по умолчанию.

Теперь у групп от 500 человек появилась статистика. Ну и у каналов статистика теперь доступа от 500 человек, а не от 1000.

Также подъехали улучшения клиента андроид, мультиаккаунт в десктопные клиенты. Во встроенный редактор подвезли "смягчение кожи". Стало больше анимированных эмодзи

И реальная важная фича. Максимальный объем загружаемого файла увеличили до 2Gb.

@UtopiaForNobody | #telegram #tools #news

В изображении к этому сообщению зашифровано послание. Чтобы его прочитать, следуй инструкции.

Скачай утилиту OpenPuff. Она есть и под винду, и под линукс.

После запуска выбери "Unhide";
Убери галки с чекбоксов "Enable (B)" и "(C)";
В поле "(A)" введи пароль utopiafornobody ;
Добавь картинку из этого поста, нажав на "Add Carriers";
В правом списке выбери "Jpeg (Image)" и "1/8 (12%) - Minimum";
Теперь жми "Unhide!" и выбери каталог, куда распаковать файл с моим посланием.

@UtopiaForNobody | #stego #quest #tools

Стеганография - наука о скрытой передаче данных в других данных с сохранением в тайне самого факта передачи. Отправляешь другу фотографию котейки и никто даже не догадывается, что в ней скрыт адрес биткойн-кошелька.

Задачи стеганографии:

Скрытое хранение и передача данных.
Например, хранение паролей и ключей в аудиофайлах.

Желательно данные шифровать для дополнительного слоя защиты и сжимать, чтобы оказывать меньшее влияние на контейнер (маскирующий файл).

Цифровой отпечаток.
Например, при продаже электронной книги в неё можно помещать скрытую запись о покупателе на случай, если тот решит её слить.

А некоторые цветные принтеры добавляют на распечатки свой серийный номер, дату и время распечатки с помощью еле заметных желтых микроточек.

Водяные знаки.
Например, добавлять в фотографии подпись, подтверждающую их оригинальность или автора.

В следующем посте я оставил для тебя сообщение в изображении с вебкам-моделью и краткую инструкцию, как его прочитать.

@UtopiaForNobody | #stego #theory

Прикинь, был бы поисковик, как гугл, но который умеет искать камеры, умные холодильники или уязвимые веб-сервера и роутеры?

Погоди! Так есть же такой.

Shodan собирает информацию обо всех устройствах, напрямую подключенных к мировой сети. Он запрашивает у них общедоступную информацию из баннеров.

Баннеры могут сообщать о сервисах, запущенных на устройстве. Например, о названии и версии веб-сервера.

Были случаи, когда исследователи находили через него незащищенное медицинское оборудование, банкоматы систему управления аквапарком, автомойкой и даже, говорят, оборудование атомной электростанции.

К сожалению, бесплатно в Shodan доступны только несколько поисков в день.

И, чтобы пользоваться системой, нужно освоить её синтаксис.

Например, следующий запрос будет искать принтеры HP в Москве:

"Serial Number:" "Built:" "Server: HP HTTP" city:Moscow country:RU

Сам поисковик: shodan.io

Интересные поисковые запросы можно найти на GitHub: ссылка

@UtopiaForNobody | #tools #shodan #scanning