Нужен телефон для ежедневного использования. При этом не хочется делать огромную дыру с своей безопасности.
Противник:
Компании, собирающие информацию, Спец.службы, которые собирают данные в АВТОМАТИЧЕСКОМ РЕЖИМЕ (Нет, не когда ты им нужен, а просто когда собирают автоматом на всех), хацкеры.
Цель:
Прошитый Циагеном телефон, возможность менять imei, когда меняешь sim, съёмный акк.
Что посоветуешь анон?
Пропущено 137 постов, 3 с картинками.
Librem 5
//thread
От слежки избавится легко.
Берешь простой старый телефон кнопочный.
и на 90% защищен от взлома и слежки
Пропущено 4 постов, 1 с картинками.
Спс попробую ,правда дополнения выглядят дерьмовенько в плане настройки: надо шарить в программировании.
>В /crypt/ вообще лучше шарить в программировании.
Борда то мёртвая, я только ради неё шарить не буду
Скажем, есть у меня знакомый, который обратился с наебизнес-идеей. Теоретически он может на время организовать доступ к счёту, допустим, сбербанка онлайн, при наличии у нас сим-карты к которой привязана банковская карта. Допустим, на этой банковской карте есть определённая сумма денег, в которой я и мой знакомый нуждаемся более, нежели номинальный владелец данной карты. Пин код мы не знаем.
Внимание, вопрос.
Реально ли с этой карты карты, имея доступ к сбербанку онлайн и сим-карте для подтверждения платежей, анонимно вывести деньги? Наше сраное государство закрыло все вентили и я так и не сообразил, где мне взять банковскую карту под вывод бабоса в банкомате, не паля при этом свои щщи и моих знакомых, которые на первом же допросе у мусорков ткнут в меня пальцем и скажут, что это я просил их сделать карту.
Ебаные онлайн-кошельки туда же, везде просят сканы паспорта и т.д., плюс оттуда потом опять же надо будет куда-то выводить и на выводе нас примут. Биткоин? Его вроде тоже могут отследить, особенно если назад потом его на свою карточку обналичивать.
Другой вариант, оформить банковскую карту на левого человека, но где это лучше сделать, чтобы не особо приглядывались к фотке в паспорте, я хз. Сам паспорт, возможно, знакомый у кого-нибудь скоммуниздит.
В общем, подсобите советами, с меня нихуя как всегда, но если что получится, раздам антошам чуток дохода. Товарищ майор может пока что не беспокоиться, ибо я с прокси.
Пропущено 24 постов, 2 с картинками.
>купить битки анонимно через сбербанк
Пиздец как анонимно, просто мастер скрытности, ёба.
Лёха ты здесь?
/thread
Интересно наиболее актуальное железо не с официального сайта.
и еще какие сейчас есть материнки на которые можно поставить открытый биос? бюджет значения не имеет
Пропущено 1 постов, 1 с картинками.
coreboot.org -> Supported Motherboards
Будет ли это безопасно, и где есть вероятность проебаться?
Есть такая штука - peerjs.com. Думал о возможности прикрутить туда e2e, но не знаю реально ли это вообще, и насколько секьюрно будет.
Я не особо разбираюсь в протоколе webrtc и связанных с ним протоколах (stun, turn, вот это всё). Вроде бы, обмен данными между пользователями так уже и так e2e (но это не точно).
Тебе надо выяснить это и решить - доверяешь ли ты шифрованию webrtc. Если нет, то просто реализовываешь свой (а лучше берешь готовый) протокол и оборачиваешь его в webrtc, webrtc в этом случае будет просто в качестве транспорта и не важно, есть там шифрование или нет.
У меня друзья в телеге работают. Рассказывали однажды, что решили не делать звонки на webrtc а костылить свою реализацию, потому что Николая (брата Павла) не устраивает шифрование, мол куча всего передается в открытую.
Насколько возможно скомпрометировать IP адрес конкретного hidden сервиса техническим или иным путем? Фаерволл пропускает только 22 и 80, сам сайт защищен от компрометирующих запросов типа "/admin", "/.htaccess" и тд
>hidden сервиса
TOR? Никак, там у всех 127.0.0.1
Если только попробовать найти его через шодан, что иногда помогает. (Ну или хекнуть сервак и оттуда уже данные слить)
о том и спросил, чтобы хекнуть сервак нужно же найти его айпишник, а он спрятан
есть ли лазейки и уязвимости?
>чтобы хекнуть сервак нужно же найти его айпишник
Если нет, то пущай тонет.
Пропущено 2 постов, 1 с картинками.
Была почта там, интересно, сохранились ли аккаунты
Kali Linux тред. Считаю, что здесь ему самое место. Делимся знаниями и даем дельные советы. Вообщем, вместе - мы сила.
Аноним
09/09/17 Суб 11:39:52
№
Ответ
Пропущено 30 постов, 3 с картинками.
Желательно с объяснением механизма
Заранее грац
Пропущено 9 постов, 3 с картинками.
2. Храню в двух копиях на сервере и клиенте
3. http://example.com/exec/?path=[путь до скрипта или команды]&key=[первый ключ из списка]
4. Получаю ответ от сервера
5. Убираю использованный ключ в списках на клиенте и сервере
Где я проебался?
Пропущено 10 постов, 3 с картинками.
> random.seed()
Эта фигня генерирует псевдослучайные числа. Это не есть хорошо для криптографии. Там, где можно найти закономерность, можно сделать уязвимость.
Почему бы не обернуть твои запросы в SSL, TLS или SSH?
Да, вот думал над этим
>>43768
Опять-таки, чтобы реализацию можно было написать на чём угодно и без массивных библиотек
Добавь простую подпись запроса каким-нибудь md5 (или любым другим) хешем.
То есть допустим у тебя есть запрос: /exec/?path=script.py&arg1=foo&arg2=bar
Сортируешь входящие параметры по алфавиту, чтобы получилось:
params = "arg1=foo&arg2=bar&path=script.py"
Плюс ты имеешь какую-нибудь случайную соль, например:
salt = "98Y3cs6UwRS1TbT"
Эта соль известна клиенту (чтобы подписывать запросы) и серверу (чтобы проверять), но не известна третьим лицам.
Берешь хеш-функцию (md5 или какую хочешь) и получаешь хеш от соли и параметров:
hash = md5(salt + "." + params)
И получается у тебя допустим fddb0e9af298189f925f62bc634fbcce. Передаешь его в запросе: /exec/?path=script.py&arg1=foo&arg2=bar&md5=fddb0e9af298189f925f62bc634fbcce
На сервере сверяешь так же хеш с солью для всех параметров, кроме md5. Если не совпало, значит запрос подделан, значит отбрасывается.
Плюсы:
- простота реализации, пишется за 5 минут, можно запускать хоть на чайнике
Минусы:
- У тебя по прежнему http, все тело запроса видно перехватчику.
- md5 небезопасен, но мне кажется для твоей задачи пойдет. Ну или возьми sha2.