Полезные знания Что нужно уметь, если есть что скрывать...

fenix

Эксперт
Команда форума
Судья
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐⭐⭐⭐⭐
Private Club
Регистрация
26/8/16
Сообщения
9.669
Репутация
52.852
Реакции
52.749
RUB
10.000
Депозит
300 000 рублей
Сделок через гаранта
207
Доброго времени, теневики )

В этой статье мы поговорим о том, как скрывать тайную жизнь, не касаясь технической стороны этого вопроса (tor, vpn, proxy и тд).

Есть такое понятие, как "легенда". Легенда – то, чем человек занимается для прикрытия.

Чем опаснее то, что скрывает человек, тем надежнее должна быть легенда. Часто легенда рушиться не потому, что плохая, а потому что человек не умеет соблюдать анонимность и безопасность или не умеет держать язык за зубами..

Представим себе, вы имеете возможность пробивать информацию и имеете сильный характер, чтобы рисковать. Сейчас любой сотрудник любой организации знает о сливе информации, о последствиях и тд. Но никто не отменяет желания хорошей жизни, потому вы начинаете рисковать. Рано или поздно вы попращаетесь с официальной работой, но скорее всего успеете приберечь стартовый капитал и наработать какие то связи в теневом мире.
Ну далее понятно, что теневуха вам стала ближе и это уже скорее всего основной источник дохода. Кто то выбирает пробив, кто то дебет, кто то обнал и тд.
В теневом мире самое главное это анонимность, как и в реальном. Одно из главных ошибок для будущего этого не понимать..
Обьясню:
Вашему окружению будет интересено, чем вы занимаетесь, откуда появляются деньги, на что живете и как.. Для идеального теневика, или близкому к этому, нужно удаляться из всех соц. сетей, прекращать общаться с друзьями и знакомыми и желательно вообще уехать в другой город. Нельзя никого посвещать в свои дела.
Это чревато тем, что по натуре своей человек завистливая тварь и святых очень мало.. Набухаетесь где то, одному расскажете, второго подтянете в дело и рано или поздно вас начнут сливать, подставлять, шантажировать и деанонить.. Нет, ну конечно это не про ваших друзей, вас этого не коснется..))

Итак, даже если вы решили остаться или переехать, вам нужно задуматься о легенде.. Кто вы и что, чем занимаетесь, какие цели и планы.. И желательно помимо слов, что либо делать в реале..

Какие есть подходы к построению легенды:

- Белая работа для прикрытия (доставка, развозка, цветы, подмастерье и все, что близко и малозатратно для вашего времени). Знакомые на таких работах подтвердят при необходимости вашу легенду. Такой подход к легенде может быть затратен, как с точки зрения ресурсов, так и времени. Но создать оболочку "добропорядочного гражданина" стоит.

- Числиться в какой либо фирме официально с выплатами и занесением в трудовую книжку. В этом случае нужно лишь грамотно поддерживать легенду, зная чем вы занимаетесь в этой организации, какая роль, обязанности и тд.

- Быть самозанятым, как это сейчас модно или иметь свое ИП. Тут желательно придумать что то прям рядом с вашей реальной серой темой.

Большинство занимается серыми темами, не имея готовой легенды. Не понимая зачем она нужна, можно просто жить для себя, не платить налоги, и никто не будет искать.. На самом деле это не так и это может создать проблемы в будущем. Нужно всегда иметь страховку и быть готовым к любому повороту событий.

То, на сколько надежное прикрытие обеспечивает легенда зависит от ряда параметров:

  • умение продумать, что, кому и при каких обстоятельствах ты говоришь;
  • надежность, органичность и проработанность легенды;
  • владеет ли человек навыками сокрытия информации, управления своей анонимностью и грамотно ли избегает утечек.


Даже самая лучшая легенда развалится, если утечет информация о тайной стороне жизни человека. Легенды рушатся даже у шпионов, что уж говорить об обычных людях, занимающихся серой деятельностью. Хорошая новость их не пытаются поймать с тем усердием, что и шпионов. Но это не значит, что нужно относится к прикрытию спустя рукава..

Да и самое главное, если влюбляетесь, никогда под предлогом смертной казни не рассказывайте своему партнеру подробности своей настоящей работы и не открывайтесь.. Это сложно, но это вопрос вашего выживания и существования.. Люди приходят и уходят, влюбляются в других и это надо помнить..
Наши самые главные риски это люди рядом..



С уважением,
 
Модель личной анонимности и безопасности.

Данные статьи собраны командой с видео обзоров по анонимности.

Анонимность – это процесс, а не результат. Большинство пользователей в сети совершенно не задумываются о своей анонимности и безопасности. Это их не интересует. Другая часть пользователей (а вернее большинство из них) заинтересованная в анонимности, относится к ее получению как к автомату, который может выдать Tor или VPN. Часто делают это бездумно, как человек, который занимается самолечением. С одной стороны, использование хоть каких-то мер безопасности лучше, чем совсем ничего. Другой стороны – они верят в любую защиту, разрекламированную в интернете, не проверяя ее. Задача этой лекции научить системно управлять своей анонимностью.

1. Первое что нужно понять, когда вы работает со своей кибер-безопасностью – что именно вы защищаете.

1676552644477.png


То, что находится в центре схемы условно можно назвать защищаемыми активами. Вся схема вместе – защищаемые активы, инструменты и техника защиты, инструменты и техника атаки, потенциальные и реальные недоброжелатели – это некая цельная система. К примеру, есть некий актив, который мы защищаем, допустим кошелек с биткоинами. Далее ищем так называемые уязвимости, т.е. места на которые можно провести атаку с целю забрать биткоины. Для понимания, можно провести аналогию с историей о рыцарском доспехе, который невозможно пробить мечем. Но зато меч можно воткнуть в места соединения доспехов и нанести некий урон человеку, которого эти доспехи защищают. Применительно к защите цифровых активов это работает так же. Есть области, которые условно неуязвимы и есть области, где, применив легкое усилие можно нанести небольшой ущерб или получить доступ к каким-то данным. Нужно понимать, где живут такие уязвимости и какие инструменты необходимо применить, чтобы эксплуатация этих уязвимостей была невозможной.

Эксплуатация уязвимостей – это использование слабого места, для того чтобы нарушить защиту какой-либо системы.

Когда атакующий к примеру, black hat хакер, решил атаковать определенный актив, допустим тот же самый биткоин кошелек, он придумывает так называемые векторы атаки, после того как собрал информацию. Вектор атаки включает в себя способ, которым он будет атаковать этот кошелек, инструменты, которые будут применяться для атаки и обстоятельства, в которых эта атака будет произведена. То же самое делают те, кто занимается атакующей защитой. На английском это называется Offensive security.

Смысл атакующей защиты в том, что для уверенности в надежности мер защиты необходимо проводить тесты. Идея в том, чтобы прикинуться хакером и атаковать свою же собственную инфраструктуру, чтобы проверить ее защиту. Pentester – это как раз специалист в области атакующей защиты. Такое название происходит от действий, которые он совершает - penetration testing или тестирование на проникновение.

Все нужно проверять. Т.е. если вы настроили пароль себе – проверьте, можно ли подобрать по словарю. И проверьте, возможно ли анализируя информацию, которая о вас доступна, догадаться какой пароль вы используете. Проверьте не используется ли ваш пароль в нескольких местах. Так как сейчас происходит огромное количество утечек информации, в том числе и паролей. Обязательно найдутся те, кто захочет протестировать куда еще подойдет этот пароль.

2. Далее сфокусируемся на наиболее популярных типах атак, атак же атаках на анонимность.

Что такое анонимность? Если опираться на схему, которую разбирали выше, то анонимность это один из активов, который является процессом.

В чем же разница между анонимностью и приватностью?

Анонимность – невозможность установить, кто совершает те или иные действия.
Приватность – невозможность для стороннего лица получить доступ к содержимому файлов, предназначенным для внутреннего пользования.

Еще один важный принцип – это DYOR – do you own research – проводи свое собственные исследования. Очень важно для того чтобы морально не устареть в области информационной безопасности и анонимности, необходимо своевременно пополнят запас знаний. Читать статьи, книги, изучать инструменты, заводить приложения для заметок (пример: Obsidian).

Как системно подойти к защите своей анонимности?
  • систематизировать свои знания и навыки;
  • искать и находить у себя «утечки анонимности» и используя инструменты закрывать уязвимости;
  • регулярно осваивать новые профильные материалы;
  • приобрести и поддерживать фундаментальные знания в области IT (работа компьютера, операционная система, компьютерные сети).

3. Теперь давайте рассмотрим ка же мы лишаемся анонимности.

Любое государство идентифицирует своих граждан, выдавая им паспорта, а также собирает и хранит информацию о них. В самом паспорте есть фотография, а это не что иное как биометрические данные, которые будут храниться в базе. Если человек каким-либо образом засветил свои отпечатки пальцев, они так же будут добавлены в базу. Формируется сеть взаимосвязанных частей информации, которую заверило государство. Государство выступает авторитетным источником в вопросе установки информации о вас. Так же государство заботясь о безопасности и порядке требует, чтобы были идентифицированы пользователи средств связи. Речь идет как раз о сим-картах.

1676552731510.png


К примеру, есть некий паспорт. В данной схеме он является центральной вещью. И следующим слоем информационной личности стоят те вещи, которые без паспорта, при законном условии не приобрести. У человека есть банковская карта, которая привязана к его паспорту. Что знает банк об этом человеке? Банк знает: паспортные данные, номер банковского счета, номер телефона, IMEI телефона. Всю эту информацию банк хранит в своей базе данных. Любое банковское приложение обязательно спрашивает доступ к GPS, как бы для того, чтобы предоставить данные о ближайших офисах. Так же приложение может получать доступ к диагностической информации, которая связана со звонками. Телефон, когда он подключен к сотовой сети он содержит в себе информацию, к какой базовой станции подключен (BSS id). Т.е. если вы дали возможность банковскому приложению управлять своими телефонными звонками, в этом случае приложение может определять ваше место положения, понимать находитесь вы в стране или нет и тд.

Далее берем ту же симку. Какие данные есть у сотового оператора? У симки есть IMSI – уникальный код самой сим-карты. Используя IMSI эта сим-карта позволяет телефону подключаться к сети. Телефон видит все базовые станции, которые находятся вокруг, и этот телефон тоже видят все базовые станции. Неважно какой оператор, просто в силу того, что есть один конкретный оператор на телефоне, эти базовые станции и будут общаться с данным телефоном. А другие будут просто игнорировать его присутствие, но знать, что он рядом. У оператора сотовой связи так же есть номер телефона, который связан как правило и с банком. Данные паспорта, которые были указаны при покупке и регистрации сим карты. Так же если будет установлено приложение оператора, то оно тоже может получить доступ ко всем данным телефона, тот же принцип, что и у банковского приложения.

Если мы возьмем некого человека, который является владельцем паспорта, сим карты и банковской карты и попробуем добавит так же к схеме В контакте, почту, Гос услуги, магазины, все то, где он авторизовался, то схема превратится в огромную мешанину стрелочек. И станет понятно, что, имея определенные навыки, потянув за любую стрелочку, в конечном итоге можно выйти к центральной вещи – т.е. к паспорту. После чего можно выйти к человеку и узнать кто он такой, как зовут и по какому адресу прийти, чтобы провести «дружескую» беседу.

Для того чтобы в рамках того, чем мы занимаемся в сети, мы поддерживали и соблюдали анонимность, необходимо выстроить такую схему, в которой не будет соединения с паспортом, с сим-картой (которая тоже связна с паспортом). Т.е. не должно быть никаких опосредованных линий, который будут вести к паспорту. С учетом всего вышесказанного становится понятен ответ на вопрос – можно ли что-то делать, сидя со своего основного телефон. Думаю, рисковать не стоит)

В телефон всегда вставлена сим-карта, телефон всегда можно найти по сотовым вышкам, поэтому использование телефона для каких-то операций, требующих анонимности не рекомендуется, если находитесь в стране, где за эти операции вас будут искать. Или в радиусе действия возможностей страны, которая будет вас искать.

Все это нужно знать, чтобы поддерживать свою анонимность и безопасность.




С уважением,
 
Сверху Снизу