Таблица лидеров

За последние пару лет идея двухфакторной аутентификации, о которой так долго говорили гики, сильно продвинулась в массы. Однако до сих пор в большинстве случаев речь идет о двухфакторной аутентификации при помощи одноразовых паролей, приходящих в SMS. А это, к сожалению, не очень-то надежный вариант. Вот что может пойти не так: Пароль в SMS можно подсмотреть, если у вас включен показ уведомлений на экране блокировки. Даже если показ уведомлений отключен, можно извлечь SIM-карту из смартфона, установить в другой смартфон и принять SMS с паролем. SMS с паролем может перехватить пробравшийся в смартфон троян. Также с помощью различных махинаций (убеждение, подкуп, сговор и так далее) можно заполучить новую SIM-карту с номером жертвы в салоне сотовой связи. Тогда SMS будут приходить на эту карту, а телефон жертвы просто не будет связываться с сетью. Наконец, SMS с паролем может быть перехвачена через фундаментальную уязвимость в протоколе SS7, по которому эти SMS передаются. Надо заметить, что даже самый трудоемкий и высокотехнологичный из перечисленных методов перехвата пароля в SMS — с помощью взлома протокола SS7 — уже был использован на практике. Так что речь не о теоретической возможности возникновения неприятностей, а о вполне практической угрозе. В общем, пароли в SMS — это не очень-то безопасно, а иногда даже и очень небезопасно. Поэтому есть смысл озаботиться поиском альтернативных вариантов двухэтапной аутентификации, о чем мы сегодня и поговорим. Одноразовые коды в файле или на бумажке Наиболее простая замена одноразовым паролям, присылаемым в SMS, — это те же самые одноразовые пароли, но заготовленные заранее. Это не самый плохой вариант, особенно для тех сервисов, в которых вам надо авторизовываться сравнительно редко. Собственно, даже для того же «Фейсбука» этот метод вполне может подойти, особенно в качестве резервного способа входа. Работает это очень просто: по запросу сервис генерирует и показывает на экране десяток одноразовых кодов, которые в дальнейшем могут быть использованы для подтверждения входа в него. Дальше вы просто распечатываете или переписываете эти коды на бумагу и кладете в сейф. Или, что еще проще, сохраняете в зашифрованных записях в менеджере паролей. В общем, не так важно, будете ли вы хранить эти коды на теплой ламповой бумаге или в бездушном цифровом виде — важно сохранить их так, чтобы они а) не потерялись и б) не могли быть украдены. Приложения для двухфакторной аутентификации У единожды сгенерированного набора одноразовых кодов есть один недостаток: рано или поздно он закончится, и вполне может так получиться, что вы останетесь без кода в самый неподходящий момент. Поэтому есть способ лучше: можно генерировать одноразовые коды на лету с помощью небольшого и, как правило, очень простого приложения — аутентификатора. Как работают приложения-аутентификаторы Работают приложения для двухфакторной аутентификации очень просто. Вот что придется сделать: устанавливаете на смартфон приложение для двухфакторной аутентификации; заходите в настройки безопасности сервиса, который среди опций для двухфакторной аутентификации предлагает использовать такие приложения; выбираете двухфакторную аутентификацию с помощью приложения; сервис покажет вам QR-код, который можно отсканировать прямо в 2FA-приложении; сканируете код приложением — и оно начинает каждые 30 секунд создавать новый одноразовый код. Коды создаются на основе ключа, который известен только вам и серверу, а также текущего времени, округленного до 30 секунд. Поскольку обе составляющие одинаковы и у вас, и у сервиса, коды генерируются синхронно. Этот алгоритм называется OATH TOTP (Time-based One-time Password), и в подавляющем большинстве случаев используется именно он. Также существует альтернатива — алгоритм OATH HOTP (HMAC-based One-time Password). В нем вместо текущего времени используется счетчик, увеличивающийся на 1 при каждом новом созданном коде. Но этот алгоритм редко встречается в реальности, поскольку при его использовании гораздо сложнее обеспечить синхронное создание кодов на стороне сервиса и приложения. Проще говоря, есть немалый риск, что в один не очень прекрасный момент счетчик собьется и ваш одноразовый пароль не сработает. Так что можно считать OATH TOTP де-факто индустриальным стандартом (хотя формально это даже не стандарт, на чем создатели этого алгоритма очень настаивают в его описании). Совместимость приложений для двухфакторной аутентификации и сервисов Подавляющее большинство приложений для двухфакторной аутентификации работает по одному и тому же алгоритму, так что для всех сервисов, которые поддерживают аутентификаторы, можно использовать любое из них — какое вам больше нравится. Как и в любом добротном правиле, в этом тоже есть определенное количество исключений. Некоторые сервисы по каким-то причинам, ведомым только им одним, предпочитают делать свои собственные приложения для двухфакторной аутентификации, которые работают только с ними. Более того, сами сервисы не работают ни с какими другими приложениями, кроме своих собственных. Особенно это распространено среди крупных издателей компьютерных игр — например, существуют несовместимые со сторонними сервисами приложения Blizzard Authenticator, Steam Mobile с встроенным аутентификатором Steam Guard, Wargaming Auth и так далее. Для этих сервисов придется ставить именно эти приложения. Также по этому странному пути пошла Adobe, разработавшая Adobe Authenticator, который работает только с аккаунтами AdobeID. Но при этом вы можете использовать для защиты AdobeID и другие аутентификаторы, так что вообще непонятно, ради чего было городить огород. Так или иначе, большинство нормальных ИТ-компаний не ограничивает пользователей в выборе 2FA-приложения. И даже если по каким-то соображениям им хочется контролировать этот процесс и создать свое приложение, то чаще всего они позволяют защищать с его помощью не только «свои» аккаунты, но и учетные записи сторонних сервисов. Поэтому просто выбирайте приложение-аутентификатор, которое вам больше нравится по набору дополнительных функций — оно будет работать с большинством сервисов, которые вообще поддерживают 2FA-приложения. Лучшие приложения для двухфакторной аутентификации Выбор 2FA-приложений на удивление велик: поиск по запросу «authenticator» в Google Play или Apple App Store выдает не один десяток результатов. Мы не советуем устанавливать первое попавшееся приложение — это может быть небезопасно, ведь, по сути, вы собираетесь доверить ему ключи от своих аккаунтов (оно не будет знать ваши пароли, конечно, но ведь 2FA вы добавляете именно потому, что пароли имеют свойство утекать). В общем, стоит выбирать из приложений, созданных крупными и уважаемыми разработчиками. Несмотря на то что базовая функция у всех этих приложений одна и та же — создание одноразовых кодов по одному и тому же алгоритму, некоторые аутентификаторы обладают дополнительными функциями или особенностями интерфейса, которые могут показаться вам удобными. Перечислим несколько самых интересных вариантов. 1. Google Authenticator Поддерживаемые платформы: Android, iOS Как отмечают буквально все публикации, Google Authenticator — это самое простое в использовании из всех существующих приложений для двухфакторной аутентификации. У него даже настроек нет. Все, что можно сделать, — это добавить новый токен (так называется генератор кодов для отдельного аккаунта) или удалить один из имеющихся. А чтобы скопировать код в буфер обмена, достаточно коснуться его пальцем на сенсорном экране смартфона или планшета. Все! Однако у такой простоты есть и недостаток: если вам что-то не нравится в интерфейсе или хочется от аутентификатора чего-то большего — придется устанавливать другое приложение. + Очень просто использовать. 2. Duo Mobile Поддерживаемые платформы: Android, iOS Duo Mobile также крайне прост в использовании, минималистичен и лишен дополнительных настроек. По сравнению с Google Authenticator у него есть одно преимущество: по умолчанию Duo Mobile скрывает коды — чтобы увидеть код, надо нажать на конкретный токен. Если вы, как и я, испытываете дискомфорт каждый раз, когда открываете аутентификатор и показываете всем окружающим кучу кодов от всех своих аккаунтов сразу, то вам эта особенность Duo Mobile наверняка понравится. + По умолчанию скрывает коды. 3. Microsoft Authenticator Поддерживаемые платформы: Android, iOS В Microsoft тоже не стали усложнять и сделали свой аутентификатор на вид очень минималистичным. Но при этом Microsoft Authenticator заметно функциональнее, чем Google Authenticator. Во-первых, хоть по умолчанию все коды показываются, но каждый из токенов можно отдельно настроить так, чтобы при запуске приложения код был скрыт. Во-вторых, Microsoft Authenticator упрощает вход в аккаунты Microsoft. В этом случае после ввода пароля достаточно будет нажать в приложении кнопку подтверждения входа — и все, можно даже не вводить одноразовый код. + Можно настроить, чтобы коды скрывались. + Дополнительные возможности для входа в аккаунты Microsoft. 4. FreeOTP Поддерживаемые платформы: Android, iOS Есть четыре причины, по которым вам может понравиться этот аутентификатор, разработанный Red Hat. Во-первых, это ваш выбор, если вы любите программное обеспечение с открытым кодом. Во-вторых, это самое маленькое приложение из всех рассматриваемых — версия для iOS занимает всего 750 Кбайт. Для сравнения: минималистичный Google Authenticator занимает почти 14 Мбайт, а приложение Authy, о котором мы поговорим ниже, — аж 44 Мбайта. В-третьих, по умолчанию приложение скрывает коды и показывает их только после касания. Наконец, в-четвертых, FreeOTP позволяет максимально гибко конфигурировать токены вручную, если вам это зачем-нибудь нужно. Разумеется, обычный способ создания токена с помощью сканирования QR-кода тоже поддерживается. + По умолчанию скрывает коды. + Приложение занимает всего 700 Кбайт. + Открытый код. + Максимум настроек при создании токена вручную. 5. Authy Поддерживаемые платформы: Android, iOS, Windows, macOS, Chrome Самое навороченное из приложений для двухфакторной аутентификации, основным достоинством которого является то, что все токены хранятся в облаке. Это позволяет получить доступ к токенам с любого из ваших устройств. Заодно это упрощает переезд на новые устройства — не придется заново активировать 2FA в каждом сервисе, можно продолжить пользоваться существующими токенами. В облаке токены зашифрованы ключом, который создается на основе заданного пользователем пароля, — то есть данные хранятся безопасно, и украсть их будет нелегко. Также можно установить ПИН-код на вход в приложение — или защитить его отпечатком пальца, если ваш смартфон оснащен соответствующим сканером. Основной недостаток Authy состоит в том, что приложение с ходу требует завести аккаунт, привязанный к вашему телефонному номеру, — без этого просто не получится начать с ним работать. + Токены хранятся в облаке, что позволяет использовать их на всех своих устройствах. + По той же причине очень удобно переезжать на новое устройство. + Вход в приложение защищен PIN-кодом или отпечатком пальца. + На экране показывается код только для последнего использованного токена. + В отличие от остальных приложений, поддерживает не только Android и iOS, но и Windows, macOS и Chrome. − Требуется зарегистрироваться в Authy, используя номер телефона, — без этого приложение не работает. 6. «Яндекс.Ключ» Поддерживаемые платформы: Android, iOS На мой взгляд, по концепции «Яндекс.Ключ» — это самое удачное из существующих приложений для двухфакторной аутентификации. С одной стороны, оно не требует с ходу регистрироваться — можно начать им пользоваться с той же легкостью, как и Google Authenticator. С другой стороны, в нем есть несколько дополнительных возможностей, которые открываются тем, кто не поленится зайти в настройки. Во-первых, «Яндекс.Ключ» можно «запереть» на PIN-код или отпечаток пальца. Во-вторых, можно создать в облаке «Яндекса» резервную копию токенов, защищенную паролем (а вот на этом этапе уже придется указать номер телефона), и восстановить ее на любом из используемых вами устройств. Точно так же можно будет перенести токены на новое устройство, когда понадобится переезжать. Получается, что «Яндекс.Ключ» сочетает в себе простоту Google Authenticator и расширенную функциональность Authy — в зависимости от того, что вы предпочитаете. Единственный недостаток приложения — не вполне удобный для использования с большим количеством токенов интерфейс. + Минимализм на старте, расширенная функциональность доступна через настройки. + Создание резервных копий токенов в облаке для использования на нескольких устройствах и переезда на новые. + Вход в приложение защищен PIN-кодом или отпечатком пальца. + На экране показывается код только для последнего использованного токена. + Заменяет постоянный пароль к аккаунту «Яндекса». − При большом количестве токенов не очень удобно искать нужный. «Железные» аутентификаторы FIDO U2F: YubiKey и все-все-все Если приложение, генерирующее одноразовые коды, кажется вам слишком эфемерным способом защитить свои аккаунты, и хочется чего-то более постоянного, надежного и материального — буквально запереть аккаунт на ключ и положить его в карман, — то у меня есть для вас хорошая новость: такой вариант также существует. Это аппаратные токены стандарта U2F (Universal 2nd Factor), созданного FIDO Alliance. Как работают токены FIDO U2F Аппаратные U2F-токены очень полюбились специалистам по безопасности — в первую очередь потому, что с точки зрения пользователя они работают очень просто. Для начала работы достаточно подключить U2F-токен к вашему устройству и зарегистрировать его в совместимом сервисе, причем делается это буквально в пару кликов. Впоследствии при необходимости подтвердить вход в этот сервис нужно будет подключить U2F-токен к тому устройству, с которого вы входите, и нажать на токене кнопку (в некоторых устройствах — ввести PIN или приложить палец к сканеру). Все — никаких сложных настроек, ввода длинных последовательностей случайных символов и прочих танцев с бубном, которые обычно все себе представляют при упоминании слова «криптография». Вставьте ключ и нажмите кнопку — и это действительно все При этом «под капотом» все устроено очень умно и криптографически надежно: при регистрации токена на сервисе создается пара криптографических ключей — приватный и публичный. Публичный сохраняется на сервере, а приватный хранится в защищенном хранилище Secure Element, которое является сердцем U2F-токена, — и этот ключ никогда не покидает устройство. Приватный ключ используется для того, чтобы зашифровать подтверждение входа, которое передается на сервер и может быть расшифровано с помощью публичного ключа. Если кто-то от вашего имени попытается передать подтверждение входа, зашифрованное неправильным приватным ключом, то при расшифровке с помощью известного сервису публичного ключа вместо подтверждения получится бессмыслица, и сервис не пустит его в аккаунт. Какими бывают U2F-устройства Наиболее известный и распространенный пример U2F — это «ключи» YubiKey, которые производит компания Yubico. Собственно, она и стояла у истоков этого стандарта, но предпочла сделать его открытым, для чего и был создан FIDO Alliance. А поскольку стандарт открытый, вы не ограничены в выборе: U2F-совместимые устройства производят и продают разные компании — в онлайн-магазинах можно найти множество разнообразных моделей. YubiKey — вероятно, самые популярные U2F-токены Например, Google недавно представила свой комплект аппаратных аутентификаторов Google Titan Security Keys. На самом деле это ключи производства Feitian Technologies (второй по популярности производитель U2F-токенов после Yubico), для которых в Google написали собственную прошивку. Разумеется, все аппаратные аутентификаторы, совместимые со стандартом U2F, будут с одинаковым успехом работать со всеми сервисами, которые также с этим стандартом совместимы. Однако у разных моделей есть несколько важных различий, и самое важное из них — это интерфейсы, которыми оборудован «ключ». От этого напрямую зависит, с какими устройствами он сможет работать: USB — для подключения к компьютерам (Windows, Mac или Linux — неважно, «ключи» работают без установки каких-либо драйверов). Помимо обычного USB-A бывают «ключи» с USB-C. NFC — необходим для использования со смартфонами и планшетами на Android. Bluetooth — понадобится на тех мобильных устройствах, в которых нет NFC. К примеру, аутентификатор с Bluetooth все еще нужен владельцам iPhone: несмотря на то, что в iOS уже разрешили приложениям использовать NFC (до 2018 года это было позволено только Apple Pay), разработчики большинства совместимых с U2F приложений еще не воспользовались этой возможностью. У Bluetooth-аутентификаторов есть пара минусов: во-первых, их нужно заряжать, а во-вторых, их подключение занимает гораздо больше времени. В базовых моделях U2F-токенов обычно есть только поддержка собственно U2F — такой ключ обойдется в $10–20. Есть устройства подороже ($20–50), которые заодно умеют работать в качестве смарт-карты, генерировать одноразовые пароли (в том числе OATH TOTP и HOTP), генерировать и хранить ключи PGP-шифрования, могут использоваться для входа в Windows, macOS и Linux и так далее. Что же выбрать: SMS, приложение или YubiKey? Универсального ответа на этот вопрос не существует — для разных сервисов можно использовать разные варианты двухфакторной аутентификации в различных сочетаниях. Например, наиболее важные аккаунты (скажем, вашу основную почту, к которой привязаны остальные учетные записи) стоит защитить по максимуму — запереть на «железный» U2F-токен и запретить любые другие опции 2FA. Так можно быть уверенным, что никто и никогда не получит доступ к аккаунту без этого токена. Хороший вариант — привязать к аккаунту два «ключа», как это делается с ключами от автомобиля: один всегда с собой, а другой лежит в надежном месте — на случай, если первый потеряется. При этом «ключи» могут быть разного типа: скажем, приложение-аутентификатор на смартфоне в качестве основного и U2F-токен или листочек с одноразовыми паролями, лежащий в сейфе, в качестве резервного средства. Так или иначе, главный совет — по возможности избегать использования одноразовых паролей в SMS. Правда, получится это не всегда: например, финансовые сервисы в силу своей консервативности продолжают использовать SMS и крайне редко позволяют пользоваться чем-либо еще.

Каждый из нас хотел это провернуть и даже фильм горька 2 вспоминается

Здравствуйте вы ещё работаете???

деанонить человека полностью самостоятельно, без денег и без связей весело

Зачем мне знать про СИЗО? Я не преступник. От попадания в следственный изолятор не застрахован никто. Причиной ареста может стать ваше участие в мирных акциях протеста, репост в социальной сети, интерес влиятельных лиц к вашему бизнесу или стремление недобросовестного оперативника повысить показатели. Разве могут быть универсальные правила жизни в СИЗО? Ведь все зависит от ситуации. Да, это понятное сомнение. Из очевидного: существуют принципиальные различия мужских и женских СИЗО. Очень многое зависит от конкретного изолятора. И все-таки есть набор базовых знаний, который пригодится каждому. СИЗО — это же ад. Разве могут быть правила, которые позволят выдержать все это? Не бойтесь. Это первое правило. Для начала убедите себя, что содержание под стражей — не конец вашей жизни. Помните, в России сотни тысяч людей ежегодно проходят через уголовные дела и аресты. Вы далеко не первый и не последний. На вашем месте уже побывали известные ученые, писатели, артисты, спортсмены, чиновники, политики и бизнесмены, которые смогли выйти на свободу и продолжили полноценную жизнь. С какими бы ужасными нарушениями ваших прав вы ни сталкивались, нельзя опускать руки. Нужно держать в голове задачу: скорее выйти на свободу, не изменив при этом своим принципам и совести. Как защититься от давления? Первое, что нужно сделать, — найти надежного защитника, а если есть средства, то нескольких, не связанных между собой. Худший вариант — адвокат по назначению, говорили об этом не раз. Если у вас нет хорошего адвоката, пусть родственники или друзья займутся его поиском. Это не только вопрос юридической линии защиты. Ваш защитник — единственный человек, который сможет конфиденциально передавать информацию на волю и обратно, контролировать, чтобы к вам не применялись пытки и другие «недозволенные методы ведения следствия», поднять тревогу в случае нарушений и охладить пыл сотрудников правоохранительных органов жалобами в нужные инстанции. Я кое-что знаю о тюремной культуре из книг и фильмов — это поможет? Едва ли. Обывательские представления о тюрьме очень далеки от реальности. Среди посвященных тюремной субкультуре книг, фильмов, статей, сайтов и сообществ есть весьма любопытные, но даже лучшие из них не дадут вам заранее ответы на все вопросы: слишком большое значение за решеткой приобретают самые незначительные на первый взгляд детали, возникающие в каждой конкретной ситуации. Поэтому запомните: какие бы знания вы ни почерпнули из литературы, разговоров с отсидевшими знакомыми, никогда не полагайтесь исключительно на них. Самым правильным поведением в СИЗО будет сразу заявить о себе, как о человеке далеком от тюремного мира, и начать ваше общение с сокамерниками с вопросов об устройстве быта и общих правилах поведения в неволе. Такое только приветствуется, в отличие от попыток изобразить ложную осведомленность. По каким правилам живут в СИЗО? Есть формальные и неформальные правила поведения. С формальной стороной все просто: уклад жизни определяется Правилами внутреннего распорядка и законом «О содержании под стражей подозреваемых и обвиняемых». Правила запрещают пользоваться предметами, которые не включены в список разрешенных. Если у вас обнаружат что-то запрещенное — например, мобильный телефон — могут отправить в карцер на срок до 15 суток. При этом любое взыскание можно обжаловать в суде. Правила предполагают не только ограничения, но и некоторые права: например, вам гарантирована ежедневная часовая прогулка в специально оборудованном дворике. Если ваши права как-то нарушаются, можно пожаловаться: например, региональному прокурору по надзору за соблюдением законов в колониях и изоляторах. Изучать законы и правила заранее не обязательно: текст есть в каждой камере (во всяком случае, должен быть), и у вас будет достаточно времени выучить его наизусть. Кроме того, куда большее значение в российских изоляторах имеют неформальные правила арестантского общежития. Какие основные неформальные правила? Помните, что любой оказавшийся за решеткой рядом с вами, преступник он или нет, прежде всего — человек. В неволе действуют основные правила человеческого общежития. Здоровайтесь, когда входите в помещение (даже если вас завели туда под конвоем). Будьте вежливы — даже случайно сказанное бранное слово в тюрьме может обернуться серьезными последствиями. Обращение на «вы» в изоляторах не принято, но ничего страшного, если вы об этом забудете — вас поправят. Прежде чем сказать что-то, хорошо подумайте: иногда, даже когда вас намеренно провоцируют, лучше промолчать или выдержать паузу, чем выпалить сгоряча то, что может стать причиной выяснения отношений. Следите за личной гигиеной и чистотой окружающего вас пространства — в замкнутых и перенаселенных помещениях это приобретает особое значение и очень важно в арестантской среде. Не берите чужого без спросу — в обычной камере почти всегда присутствует достаточное количество «общих» продуктов и вещей, но прежде чем взять что-либо, нужно поинтересоваться: это общее или чье-то? Не связывайтесь с наркотиками и азартными играми. Родственники смогут передавать передачи? Да. Ваши родственники могут передать вам в СИЗО любые предметы из перечня, приложенного к Правилам внутреннего распорядка. Перечень разрешенных продуктов питания может быть дополнительно ограничен — это зависит от изолятора. Московские и подмосковные СИЗО обслуживаются интернет-магазинами, в которых многие вещи и продукты родственники смогут заказать не выходя из дома и не занимая очередь в окно для приема передач. Кто-то из сокамерников может попросить передать ему передачу через ваших родственников — никогда не соглашайтесь. Десятки людей ежегодно сами оказываются в изоляторе по обвинению в попытке передать в СИЗО наркотики — часто они узнают о том, что в передаче были спрятаны запрещенные препараты, уже после задержания. У меня проблемы со здоровьем. Как получить медицинскую помощь или необходимые лекарства? Для начала нужно знать, что существует перечень заболеваний, с которыми закон запрещает содержать человека под стражей — но он включает только очень тяжелые случаи. Если у вас есть серьезное хроническое заболевание, вы и ваши близкие должны быть с первых дней готовы к борьбе за свое здоровье. Чтобы просто передать в СИЗО лекарства, необходимо, чтобы их назначил или одобрил врач изолятора. Для этого сразу после поступления в СИЗО потребуйте положенного по закону внесения сведений о вашем заболевании в амбулаторную карту. Во время ежедневного обхода вы можете обратиться с письменным заявлением о предоставлении медицинской помощи к любому сотруднику СИЗО и потребовать отвести вас в медсанчасть. В отдельных случаях вас могут поместить в стационар при СИЗО или направить в региональную больницу ФСИН. Если вам отказывают в помощи, нужно писать жалобы в надзорные инстанции. Лучше, если жалобы будете писать не только вы, но и ваш адвокат, а также родственники, так как есть риск, что вашу жалобу не зарегистрируют. Также вы и ваши родственники можете обратиться за помощью к членам Общественной наблюдательной комиссии. Правда, что в мужском СИЗО могут «опустить» за проколотые уши или неправильную тату? Нет. Длинные волосы, проколотые уши или татуировки, не имеющие отношения к преступному миру, конечно, создадут вам проблемы в виде дополнительного внимания и вопросов о ваших интересах и мировоззрении. Но ни в коем случае все эти внешние признаки не смогут стать причиной причислить человека к касте «обиженных» (для этого достаточно символического ритуала, например, обливания мочой, который навсегда лишит вас статуса порядочного арестанта). Куда важнее в этом отношении быть осторожнее со словами. Не обсуждайте свою личную жизнь и секс, — эти темы связаны со множеством разных табу, и вас могут обвинить в нарушении одного из них, чтобы сделать из вас изгоя. Запомните: вы не обязаны ни с кем обсуждать эти темы. Не протягивайте руку незнакомым людям, пока не убедитесь в соответствии их статусу порядочного арестанта в глазах сокамерников. Мне нужно уметь драться, чтобы защитить себя в конфликте с кем-то из сокамерников? Необязательно. Умение постоять за себя нигде не лишнее, но никакая подготовка не защитит безоружного арестанта от нескольких вооруженных спецсредствами сотрудников СИЗО или враждебно настроенной толпы заключенных. Но не надо думать, что в изоляторе все решается силовыми методами. Напротив, постоянные вспышки насилия и рукоприкладства в СИЗО не нужны ни сотрудникам, ни самим арестантам: в конечном счете такие инциденты могут привести к наказанию и тех, и других (вплоть до уголовных дел). Большинство даже самых острых конфликтов решаются обсуждением каждой конкретной ситуации между сторонами, которое часто заканчивается компромиссом. Если вы оказались участником конфликта и понимаете, что сокамерники явно идут против негласных правил, вы можете обратиться к смотрящему — ответственному за соблюдение тюремных обычаев в вашей камере или вышестоящему смотрящему за продолом (корпусом), а в особых случаях — к положенцу — старшему представителю преступного мира в СИЗО. Однако на успех в защите своих интересов стоит рассчитывать, только если вы абсолютно убеждены в своей правоте и готовы отстаивать свою точку зрения до конца. То есть ситуацию в СИЗО контролируют смотрящие, а не администрация? Все не так просто. Между администрацией СИЗО и преступным миром происходит, с одной стороны, вечное противостояние за право устанавливать нужные порядки в учреждении, а с другой — неизбежное тесное взаимодействие. Заключенные коррумпируют сотрудников изолятора, а те, в свою очередь, вербуют арестантов. В СИЗО существуют специальные оперативные отделы, которые пользуются огромной властью: они принимают решения о переводе человека из одной камеры в другую, курируют оборот запрещенных предметов (в первую очередь наркотиков и мобильных телефонов). Благодаря этой власти им часто удается взять под контроль и многих рядовых арестантов, и влиятельных представителей преступного мира. Это позволяет оперативникам не только знать все о происходящем в СИЗО, но и провоцировать руками своих агентов конфликты в среде заключенных, цель которых заставить находящихся в оперативной разработке просить помощи у администрации в обмен на деньги или сговорчивость на следствии. Помните, что если в процессе решения возникших у вас проблем вы решите просить помощи у администрации СИЗО, от вас всегда потребуют что-то взамен. Кому можно доверять? Самому себе. Это не значит, что нужно сидеть в углу и ни с кем не разговаривать. Просто нужно думать, что говоришь, и помнить, что собеседник может потом передать какие-то ваши слова оперативным сотрудникам ФСИН, а те — следователям. Вербовать агентов среди заключенных — обязанность оперативников, с которой они неплохо справляются. Часто осведомитель — это опытный сиделец, хорошо знакомый с тюремными обычаями. Далеко не всегда он выдает себя излишним любопытством к обстоятельствам вашего дела. Гораздо чаще агент располагает к себе советами, как повидавший на своем веку авторитетный преступник. Можно вычислить агента среди сокамерников? Лучше не пытайтесь. Даже в случае серьезных подозрений поймать опытного сидельца на сотрудничестве с администрацией с поличным, как правило, может только не менее опытный. Высказанное вслух голословное обвинение может обернуться против вас. Как не стать жертвой вымогательств? Это непросто. Вымогательство — острая проблема российских СИЗО, и вряд ли есть способ надежно застраховать себя от таких случаев. Но есть простые правила, которые помогут снизить риски. Никогда не хвастайтесь имущественным положением, доходами своих друзей и родственников, ведите себя скромно и сдержанно. В этом случае есть шанс, что вымогатели вами не заинтересуются. Никогда не давайте ложных обещаний «помочь деньгами» или «пополнить общак», подобные посулы не добавят вам уважения и авторитета, но смогут существенно ухудшить ваше положение в случае срыва сроков передачи денег и неисполнения обещанного. Если сокамерники по какой-то причине воспринимают вас как человека с лишними деньгами, поясните, что все, чем вы владеете в данный момент, находится в вашей сумке для вещей, и, конечно, вы готовы этим поделиться с нуждающимся, но вешать расходы на семью вы не можете. В случае вымогательства денег со стороны сотрудников изолятора обязательно сообщите об этом адвокату и родственникам, которые могут смело обращаться с заявлением в ФСБ.

Я вам написал в телегу, ответьте!

Я всегда был фанатом багов и уязвимостей «на поверхности», всегда завидовал чувакам, которые пишут эксплойты для самых защищённых ОС, а сам умел только скрипткиддить (термин из нулевых). И сегодня я хотел бы на пальцах показать и рассказать про такую штуку, как вардрайвинг. А точнее, как стандартными средствами MacOS можно добыть пароли от Wi-Fi соседей. Нелёгкая забросила меня на очередную квартиру. Как-то исторически сложилось, что я ленивый. Пару лет назад я уже писал, что моя лень, новая квартира и провод Beeline (бывшая Corbina) помогли мне найти багу у Билайна и иметь бесплатно интернет в их сети. «Сегодня» происходит «подобное», я на новой квартире, нет даже провода, но есть много сетей у соседей. Заколебавшись расходовать мобильный трафик, я решил, что «соседям надо помогать», и под «соседями» я имел введу себя… Когда-то давно я увлекался вардрайвингом, как раз именно до того момента, пока не обнаружил в старой квартире провод Билайна.) Там тоже было много сетей рядом и первое, что пришло в голову — мне нужен wi-fi. С тех пор прошло много лет. Обновляя свои данные про вардрайвинг, я нашёл в сети упоминание, что 90% работы спец.утилит «сегодня» можно сделать стандартными сервисами MacOS. Забегая вперёд, я хотел бы отметить, что не являюсь автором данного метода, я сам нашёл его в забугорном инете, просто, скажем, это вольный перевод и подробное, художественное описание способа добыть wi-fi пароли стандартными методами макоси, не более. Принципы добычи паролей соседского Wi-Fi Надо понимать, что имея Wi-Fi-приёмник, который есть сегодня в любом ноутбуке, ты можешь «снифать» весь беспроводной трафик около себя. Раньше, когда сети были открыты, достаточно было прийти в макдак и за вечер можно было получить 100-200 акков к одноклассникам. Открытая сеть + отсутсвие https делали своё дело. Сейчас всё интереснее, все переходят на https (пользуясь случаем, хочу передать привет Lets Encypt. Любимый Lets Encypt, я в телевизоре и передаю вам привет, спасибо, что вы есть) и даже про WEP уже все забыли, все роутеры юзают WPA2. Но, как известно, меч был придуман раньше щита, и никакой WPA2 не помеха человеку, голодного до интернета и видящего около себя кучу Wi-Fi. Продолжим. Имея Wi-Fi карту, т.е. любой современный ноутбук, мы можем снифать трафик возле себя. Но он бесполезен, ибо зашифрован. Единственное, что можно разобрать из него — метаданные, типа название сетей итп и «рукопожатия», handshake, т.е. авторизации пользователей в сети. Они происходят каждый раз, когда пользователь подключается к wi-fi-сети. Например, когда сосед приходит домой и его смартфон в кармане цепляется к домашнему wi-fi. Если совсем грубо, рукопожатия представляют собой обычный хэш типа md5. Это правда совсем грубо. Ключ там получается путем 4096 раундов SHA1. Если быть точным, то формула такая: Key = PBKDF2(HMAC−SHA1, passphrase, ssid, 4096, 256) Кстати, можно заметить, что замешивается название точки, поэтому при уникальном названии предвычисления не помогают. И это аргумент за то, чтобы менять название точки на свое. И да, я солгал в своём первом абзаце про «дешифрацию», это техническая ошибка и подмена понятий. Конечно, дешифровать хэш невозможно. Это как говорить «лицензия такси», зная, что деятельность такси в РФ не лицензируется. Но просто так удобней ) Так вот. Всё, что нам надо — это найти среди траффика радиосети вокруг себя рукопожатия и «дешифровать» их. И раньше была куча софта для всего этого. Кто-то умел грамотно сканировать радиоканал, кто-то отлично его сниффал в дампы, кто-то находил хэши в дампах, кто-то умел их ломать. Сейчас всё стало проще, благодаря Тиму Куку. 90% работы за стороннее ПО делает стандартное приложение «Беспроводная диагностика». Многие его видели — когда проблемы с Wi-Fi, мак предлагает проверить сеть. Бесполезная утилита, которая даёт советы типа «перезагрузите роутер». Ну, т.е. мне так казалось ) Добываем пароли. Соседи вешайтесь Итак, погнали. Зажимаем Alt и кликаем по логотипу Wi-Fi в верхней панели. Вообще Alt и клик всегда открывает дополнительные опции в MacOS, но это тема отдельного топика. Помимо прочей доп.инфы, которая порой очень полезная, мы можем запустить программу «Беспроводная диагностика». Думаю, все кто пользуются маком, помнят это окно. Но нас интересует другое. Кликаем по пункту меню «Окно» и видим набор дополнительных утилит. И тут прям есть всё, что надо, даже больше ) Конкретно нас интересуют 2 пункта. Сканирование и Анализатор. Первый покажет нам все сети вокруг с доп.инфой, типа на каком канале и на какой частоте работает сеть. Второй пункт позволит сниффать трафик на конкретном канале и частоте. Нажимая на кнопку «Начать» в Анализаторе, Wi-Fi-карточка переключится в режим приёма и начнёт сканировать радиочастоту вокруг себя, дамп будет писаться в /var/tmp. Файлы *.wcap это наши дампы, которые содержат бесполезный для нас траффик и нужные нам рукопожатия. Надо понимать, что нам необходимо поймать именно рукопожатия. Т.е. нам надо поймать и сниффать траффик, когда сосед приходит домой вечером. Либо, если у вас есть ещё одно устройство на макоси, либо любой другой оси, вам помогут нюкеры. Программки, рассылающие поддельные команды деаунтефикации. Например, JamWiFi. Но это если прям совсем не терпится ) На моём опыте, достаточно просто запустить Анализатор в 6 вечера на часок. Далее нам надо поставить naive-hashcat и hashcat-utils. «Стоп» скажите вы, «ты же обещал взлом сетей соседа стандартными методами?» ) Ха! И вы мне поверили?! На самом деле мы стандартными методами сделали 90% работы через GUI. У нас уже есть хэши, всё что нам надо — разбить их. Уверен, можно всё сделать и стандартными утилитами, но проще юзать hashcat. Собираем софт через brew или из сорцов. Первым делом нам надо конвертировать наш дамп, оставив в нём только наши хэши. Этим занимается бинарник cap2hccapx из пакета. # Качаем hashcat-utils git clone https://github.com/hashcat/hashcat-utils.git Cloning into 'hashcat-utils'... remote: Counting objects: 403, done. remote: Total 403 (delta 0), reused 0 (delta 0), pack-reused 403 Receiving objects: 100% (403/403), 114.23 KiB | 61.00 KiB/s, done. Resolving deltas: 100% (257/257), done. # Собираем бины cd hashcat-utils/src/ && make rm -f ../bin/* rm -f *.bin *.exe cc -Wall -W -pipe -O2 -std=gnu99 -o cap2hccapx.bin cap2hccapx.c cc -Wall -W -pipe -O2 -std=gnu99 -o cleanup-rules.bin cleanup-rules.c … cc -Wall -W -pipe -O2 -std=gnu99 -o strip-bsr.bin strip-bsr.c cc -Wall -W -pipe -O2 -std=gnu99 -o strip-bsn.bin strip-bsn.c # Конвертируем дамп ./cap2hccapx.bin /var/tmp/2018.01.25_00-37-45-GMT+3.wcap /var/tmp/home.hccapx Мы видим, что успели перехватить 2 рукопожатия, попробуем «сломать их». Для этого нам нужен naive-hashcat: git clone https://github.com/brannondorsey/naive-hashcat cd naive-hashcat # Собираем софт для osx ./build-hashcat-osx.sh # качаем вордлист для побора wpa/wpa2 сетей пароли (134MB) curl -L -o dicts/rockyou.txt https://github.com/brannondorsey/naive-hashcat/releases/download/data/rockyou.txt # указываем адрес нашего дампа и файл, куда будем писать подобранные пассы, 2500 это метка хэшкэту, что надо ломать именно WPA, ну и запускаем naive-hashcat HASH_FILE=/var/tmp/home.hccapx POT_FILE=home-wifi.txt HASH_TYPE=2500 ./naive-hashcat.sh Кошка пошла работать. В среднем у меня на маке я имею скорость в 2000 хешей в секунду, на скрине 7к, но это только старт. Судя по этому документу, на 1080gtx можно получить скорость в 400к хешей в секунду. Однако у меня всего 2 рукопожатия и не такой уж и большой словарь, поэтому пробежаться по нему не составило проблем. Смотрим файл home-wifi.txt, вуаля: Вот и всё. К сожалению, эта сеть через несколько квартир от меня и на другом этаже, пинг 7 секунд ) Надо ловить соседа снизу или брать внешнюю wi-fi-карту с нормальной антенной. Но принцип, думаю, понятен. Удачных сканирований вам, юные подованы вардрайверы. И большое спасибо разработчикам Kali Linux MacOS за такие подарки.

Если вы начинающий хакер и хотите узнать как можно больше об этичном хакинге, то хорошим источником, кроме интернет-ресурсов, станут книги.

Проверка пройдена Весь комплект пришел, опробывать не могу, но на вид все идеально

Ну знаешь ли, битки и нимы разные вещи Хотя в одном ты прав, нимы это хайп беспонтовый

Обнал штука не простая , за одну статью не напишешь всех подводных камней

Правильная статья , пароли нужно запоминать все! Записывать можно только на листке в сейфе который лежать будет

ткунул в ЛС)

up!!!!!

Начнем по порядку, схема полностью офлайн, работать можно как одному, так и с товарищем(ами). Стартовый капитал нужен около 2.5-3к. На что мы тратим СК: спецодежда рабочего, так же нам понадобится пузырьки с клеем(маленькие) и мука. Клей мы полностью сливаем, прополаскиваем и сушим пузырьки(этикетки тоже нужно удалить). После просушки мы засыпаем(всасываем, если колпачок не откручивается) в них муку. А теперь к самой сути, что мы со всем этим делаем, суть в небольшом вводе в заблуждение наших граждан, а именно-одеваемся в рабочих, едем в тихий район, выбираем любой дом и вперед по квартирам. Предложение к жильцам такое, мол завтра крыс травить будем, они наверх побегут и чтобы обезопасить свою квартиру нужно обработать входную дверь, купив средство(можете название даже придумать, антикрысин какой-нибудь), стоит например 100руб, 6-7 из 10 покупают. Как ,,обрабатывать», мокрой тряпкой протереть по краям и попшикать средством, а через 2 дня просто смыть все. Теперь о всех нюансах и прибыли. Мы покупали маленькие пузырьки по 7руб, муки на такой уходит на 1-3руб, продавать можно и по 50руб(полтинник у всех есть), итак в среднем в доме около 200кв, пусть купит треть это около 70кв, 70кв*40(чистая прибыль при цене 50)=2800руб, это минимально, у нас по опыту в среднем 6-7 из 10 покупали(3-4 либо нет никого, либо не открывают), если открывали 95% покупают, по 100руб соответственно чистая прибыль с одного пузырька на 50руб больше. 4-5 домов и у вас в кармане около 10тыс чистой прибыли(больше обошли-больше заработали).Теперь о внешнем виде, тут два варианта: либо одеваетесь в работягу, то есть спец одежда(желательно немного попачкать ее), небритый и в шапке набок(ну что я рассказываю, все знают, как выглядит работяга со стройки или сантехник), либо второй вариант есть, но он только в теории, на практике не пробовался, одеваемся по деловому стилю и называемся уже каким-нибудь представителем гос фирмы по обработке домов, говорим наша фирма завтра будет бла бла и вот средство ну и далее по схеме. Как я думаю поняли, есть вероятность вызова наряда(люди разные), поэтому завязки в местном отделе вам не помешают или например взять участкового в тему. Есть еще мысль под это дело оформить ИП, то есть официальная продажа продукции будет, тогда я думаю весь риск будет сведен к минимуму. Вот вроде все расписал, если появятся какие-либо вопросы, я постараюсь ответить на них, да и со схемой каждый может экспериментировать и совершенствовать ее.

Собственно все просто: регистрация как вебмастер, сайт + домен - клеим вайтлейбл (или на своем делаем промо) (можно и просто домен и на фрихосте), льем траф. Дальше просто вбив, просмотр девочек (писать им что-то обязательно, иначе рефанд, антифрауд не дремлет), примерно 30% от вбива падает на акк, можно договориться с девочкой, чтобы прикрывала ДА, если уплатили время - но вас там не было = 100% чардж \рефанд+лок акка! Почему так просто ? Потому что чарджей почти нет с дебеток ! С обычной СС USA - чардж как правило (не забываем о 2 недели холда) Плюсы : awempire.com - платит $ 200 за каждого дрочера, пусть он даже $ 5 заплатил. Другие так-же примерно. Для первой выплаты без вопросов шлют Payoneer карту, бесплатно (что с ней делать - тут писали) Можно делать новые реферальные акки = за каждого активного рефа - $ 200. Тоже профит. Партнерак очень много,так что не бойтесь искать в гугле

Продажа происходит после того,как вы предоставите мне доказательства в виде скринов об получение профита. Как мы убедимся что схема работает я выкладываю ее на продажу. Во избежания кидалово покупатель переводит мне деньги,вы обучаете,ученик получает первый профит,только тогда вы получите свои деньги. Следуя из правила,думаю все проверяется так что врятли будут говно продовать

Ноут - юзается строго по теме 3дж модем - оформлен на бомжа В интернет выход только через 3дж модем, какая вероятность что могут спалить и вообще как это возможно(если работать четко по схеме)? Кто что думает или вообще может по этому поводу сказать?

В последнее время у них профилактики практически каждый день. Сейчас вообще на несколько часов в оффе они Liberty Reseve service is undergoing scheduled maintenance. Please try to visit again in a couple of hours. We apologize for the inconvenience. Не нравится мне это. Работа простаивает из-за них. У кого какие мысли по поводу альтернативы LR? WM не предлагать

нужны правильный биллинг, имя, доб

моему двоюродному дяде че епнул в юса жить на постоянку - лимитнули палку - и он далеко не кардер. Шопу!!!!!!!!! и то лимитнули палку. Я вбивал в него вбивал. Зашел недавно сделать стаф - палка не фурычит в шопе. Пообщался с саппортом - сказал траблы - залимичен акк, пока месть или подождите или шлите вю. Есил вы не знаете нюансы то не надо говорит. Амеры относяться к ПП как наши относятся к ВМ. Что те что те ебланы могут за просто так локнуть акк. Иногда у палки месячные, где она поголовно ради профилактики фрода лимитит всем подрят (либо просит прозвон). И тусите на амерских форумах, многое узнаете. Как это так что амеры не жалуються и т.д. нету революции? Она есть и называется масоно жидовский заговор. Вначале они дают кредиты налево направа,О! ну надо же как то потом бабки обратно вытаскивать? Надо. Еще есть в каждой платежке такой нюанс как "Дополнительные расходы на фрод". Иногда в платежках он заканчивается, и нечем возмещять ущерб - и начинаются такие вот траблы. Прогуглите сколько недовольных клиентов палки, сколько людей не может проплатить со своей СС в мерче ПП(им постоянно пишет "Попробуйте попоже". Это называется все "Проф деньки от ПП". Не верите? Лично могу познакомится с амерами, которые страдают от нас в лимите обоих акков, и палке пох что одна из сторон не виновата, а вторая ливанула ему каржа. Наши братана задолбалися с приколами от ВМ и недоработками данной системы и перешли на Либу. Пиндосные братья задолбалися с приколами от ПП и недоработками данной системы и перешли на Манибукерс. А они с нас ржут типа, криворукие, у вас ВМ локается, то какие то атесстаты просит, то можно закинуть 1 бакс с прмиечанием "За картон" и все пистец акку.

Не скажи-раза 3 платил по карте в Макдональдсе-ни разу не спросили. Это от карты по большей части зависит, а не от поса

:mad: Зато 100%, что не восстановят А если попадётся где нибудь такая статья, выложи сюда, думаю она очень многим нужна. А если по теме, то просто купи флэху и зашифруй её трайкриптом и будет тебе счастье.

поправлю, не РУ, а СНГ

а какова легенда? ты вообще по скаму делаешь или разделом ошибся?

Ну я сомневаюсь что после попадания воды можно будет данные вытащить...

Аслан Если вы действительно занимаетесь травматикой, и хотите торговать на моем форуме, то придется пересмотреть свои взгляды на счет работы через гарант-сервис, все работают с гарантом, дабы не быть кинутым А теперь думайте и считайте сколько денег потеряете если будете так уперто гнуть свою линию.

В Москве при задержании был ранен мужчина, угрожавший прохожим травматическим пистолетом. Об этом 15 марта сообщает агентство "Интерфакс". Нетрезвый мужчина начал пугать прохожих пистолетом "Оса" поздно вечером 14 марта у дома номер 3 по Черемушкинскому проезду. Дебошир бросался на людей и приставлял пистолет к их головам. Когда на место прибыли сотрудники милиции, мужчина открыл стрельбу. Одна из пуль "Осы" попала в бронежилет милиционера. Милиционеры сделали два предупредительных выстрела в воздух, а затем открыли стрельбу на поражение. По дебоширу было произведено семь выстрелов, в результате он получил ранения в живот и руку. Личность хулигана уже удалось установить, хотя журналистам его имя не раскрывают. Сообщается лишь, что это 38-летний житель подмосковного Одинцова.

в ЛС

Интересна тема с оффшорами,опыт есть. У кого есть соображения на этот счет по Питеру и Москве-пишите,обсудим.

по кредитам реально. У нас сейчас в суде рассматривается подобное дело. По области что-то около 300 эпизодов. По Москве еще, там приговор уже был. Сговор с работниками банка.

Слышал о софтине (м/б сервисе), с помощью которой можно звонить на определенный номер в режиме нон-стоп. При взятии трубки жертвой - он слышит тишину, сбрасывает - снова звонок. М/б кто знает об этом.

Добрый день Столкнулся с ситуацией, когда в интернете гражданин России, продает сканы с паспортов граждан России, Украины и Европы (множество топивок на разных форумах). Подскажите пожалуйста легальность данного занятия или по какой статье накажут за это и как?

Ну так ты размести объявление,там видно будет