安全问题不是纯粹的技术问题,就如安全这个词本身所描述的东西一样,它是一个系统,一种状态;于是它的结果取决于协调性,而非其中某个/或某几个部分的专业性。
同时,不幸的是,局部的专业性过高有可能降低(而不是提升)整体的协调性。
“编程随想” 案作为一个非常令人遗憾的安全事故,它提醒人们:在安全方面,中国的异议人士有两个方面的弱点,比较严重 …
📌 更新《当您准备像编程随想那样工作…:须知》
https://iyouport.substack.com/p/46b
#Security #privacy #selfdefense
同时,不幸的是,局部的专业性过高有可能降低(而不是提升)整体的协调性。
“编程随想” 案作为一个非常令人遗憾的安全事故,它提醒人们:在安全方面,中国的异议人士有两个方面的弱点,比较严重 …
📌 更新《当您准备像编程随想那样工作…:须知》
https://iyouport.substack.com/p/46b
#Security #privacy #selfdefense
iyouport
当您准备像编程随想那样工作…:须知
安全问题不是纯粹的技术问题。对安全的普遍误解导致了很多难以被察觉的安全漏洞。这些漏洞可能没有简单的 "补丁"。
收到读者消息,称被强行检查手机的时候,似乎检查者在瞄准Telegram。这种情况下该怎么办 ——
如果事情如描述的这样,这听起来不像是随机的拦路检查,它更像是有针对性的搜查。比如对白纸抗议活动的镇压,如果镇压当局认为动员发生在Telegram,并怀疑您是为支持者/甚或参与者,那么对您的设备的检查就会是这样。
📒检查者最容易关注什么?除了没来得及阅后即焚的聊天记录之外,他们可能主要关注:
1、用户ID。这个ID是唯一的,不可更改,不论您如何改变昵称、手机号码、代理等等,这个ID不变。也不可隐藏。
2、如果搜查与案件有关,这个ID将会被放入一个数据库。
3、警察可能会查看您在Telegram上的所有联系人,收集这些联系人的ID,并在上述数据库中寻找匹配。他们还收集您给联系人起的所有名字。
4、找到匹配后就能找到社交关系,然后用于逼迫目标人交出自己的队友。同样,他们也会对他们“熟悉的”电话号码感兴趣。
🌟于是,对此,您可以做的事:
1、为敏感的政治聊天和频道设置一个单独的账户。
2、使用 Partisan-Telegram(这里是安卓版:https://github.com/wrwrabbit/Partisan-Telegram-Android ),设置一个假的密码,输入后会自动隐藏或取消敏感信息。
P-Telegram 有两个密码而不是一个 —— 真实密码和假密码。如果用户输入了假的密码,则会执行一系列预定义的操作,例如:
- 使用 Telegram 向家人和信任的联络人发送自定义的紧急求救消息;
- 删除用户所在的聊天和主持的频道;
- 在此设备上注销帐户;
- 删除除当前会话之外的所有其他会话;
…以及其他。
外观上它看起来很像是Telegram本身,以隐藏自己。
3、如果警察要求查看Telegram,请输入那个预设的假的密码,以显示一个您没有订阅任何政治聊天/频道的“脱敏”账户。
🐦 更多建议:
1、当您要注册一个新的账户时,请关闭与手机的联系人同步功能。从此之后永远不要让TG访问您的联系人。
2、要求您的家人、朋友或熟人等使用Telegram的人,同样关闭联系人同步。至少把您的联系方式删掉。
3、如果您是抗议活动的参与者,不要使用Telegram联系您的队友或媒体;至少要定期删除与抗议活动有关的所有联系人的对话。
📌 更多《Telegram的隐私保护指南,和信息搜索工具》
#tips #telegram #Security #selfdefense
如果事情如描述的这样,这听起来不像是随机的拦路检查,它更像是有针对性的搜查。比如对白纸抗议活动的镇压,如果镇压当局认为动员发生在Telegram,并怀疑您是为支持者/甚或参与者,那么对您的设备的检查就会是这样。
📒检查者最容易关注什么?除了没来得及阅后即焚的聊天记录之外,他们可能主要关注:
1、用户ID。这个ID是唯一的,不可更改,不论您如何改变昵称、手机号码、代理等等,这个ID不变。也不可隐藏。
2、如果搜查与案件有关,这个ID将会被放入一个数据库。
3、警察可能会查看您在Telegram上的所有联系人,收集这些联系人的ID,并在上述数据库中寻找匹配。他们还收集您给联系人起的所有名字。
4、找到匹配后就能找到社交关系,然后用于逼迫目标人交出自己的队友。同样,他们也会对他们“熟悉的”电话号码感兴趣。
🌟于是,对此,您可以做的事:
1、为敏感的政治聊天和频道设置一个单独的账户。
2、使用 Partisan-Telegram(这里是安卓版:https://github.com/wrwrabbit/Partisan-Telegram-Android ),设置一个假的密码,输入后会自动隐藏或取消敏感信息。
P-Telegram 有两个密码而不是一个 —— 真实密码和假密码。如果用户输入了假的密码,则会执行一系列预定义的操作,例如:
- 使用 Telegram 向家人和信任的联络人发送自定义的紧急求救消息;
- 删除用户所在的聊天和主持的频道;
- 在此设备上注销帐户;
- 删除除当前会话之外的所有其他会话;
…以及其他。
外观上它看起来很像是Telegram本身,以隐藏自己。
3、如果警察要求查看Telegram,请输入那个预设的假的密码,以显示一个您没有订阅任何政治聊天/频道的“脱敏”账户。
🐦 更多建议:
1、当您要注册一个新的账户时,请关闭与手机的联系人同步功能。从此之后永远不要让TG访问您的联系人。
2、要求您的家人、朋友或熟人等使用Telegram的人,同样关闭联系人同步。至少把您的联系方式删掉。
3、如果您是抗议活动的参与者,不要使用Telegram联系您的队友或媒体;至少要定期删除与抗议活动有关的所有联系人的对话。
📌 更多《Telegram的隐私保护指南,和信息搜索工具》
#tips #telegram #Security #selfdefense
再次收到中国异议人士被身份盗用攻击的报告。镇压当局可能真的很喜欢telegram。
🧬《Telegram的隐私保护指南,和信息搜索工具》
https://iyouport.substack.com/p/telegram-c2e
建议将保护方法传播给更多人,尤其是异议社区及与异议人士结交朋友的人!因为安全操作必须形成共识,我们才能保护彼此,没有任何人能独自实现安全。
您还可以在我们的频道( https://publielectoral.lat/iyouport )搜索“telegram”,可找到更多相关内容。
#telegram #Security #selfdefense
🧬《Telegram的隐私保护指南,和信息搜索工具》
https://iyouport.substack.com/p/telegram-c2e
建议将保护方法传播给更多人,尤其是异议社区及与异议人士结交朋友的人!因为安全操作必须形成共识,我们才能保护彼此,没有任何人能独自实现安全。
您还可以在我们的频道( https://publielectoral.lat/iyouport )搜索“telegram”,可找到更多相关内容。
#telegram #Security #selfdefense
此前我们介绍了当警察检查手机并针对Telegram时的保护方法:https://publielectoral.lat/iyouport/12677
有读者询问如何找到用户ID。
警方也许有自己的快捷方式,但是,用户ID并不是什么秘密,任何人都可以通过简单的方法获得。
比如,这里有一个按ID号搜索 Telegram 用户数据的机器人:@TgAnalyst_bot
包含电话号码、地理定位、连接和设备数据。
在你注册时要求提供电话号码。
但是,如果该机器人没有某位Telegram用户的信息,该怎么办呢? 以下是 陷阱/钓鱼机器人 将提供“帮助”(请不要轻易点击):
@addprivategroup_bot
@cryptoscanning_bot
@Checknumb_bot
@protestchat_bot
@GetCont_bot
@LBSE_bot
攻击者将它们发送给用户,或在聊天室或频道中发布(社交工程/编造一些看起来理由充分的借口)。一旦感兴趣的用户使用了其中任何一个机器人,你就可以通过 @TgAnalyst_bot 检索到他们的ID了。
#telegram #Security #selfdefense
有读者询问如何找到用户ID。
警方也许有自己的快捷方式,但是,用户ID并不是什么秘密,任何人都可以通过简单的方法获得。
比如,这里有一个按ID号搜索 Telegram 用户数据的机器人:@TgAnalyst_bot
包含电话号码、地理定位、连接和设备数据。
在你注册时要求提供电话号码。
但是,如果该机器人没有某位Telegram用户的信息,该怎么办呢? 以下是 陷阱/钓鱼机器人 将提供“帮助”(请不要轻易点击):
@addprivategroup_bot
@cryptoscanning_bot
@Checknumb_bot
@protestchat_bot
@GetCont_bot
@LBSE_bot
攻击者将它们发送给用户,或在聊天室或频道中发布(社交工程/编造一些看起来理由充分的借口)。一旦感兴趣的用户使用了其中任何一个机器人,你就可以通过 @TgAnalyst_bot 检索到他们的ID了。
#telegram #Security #selfdefense
研究人员使用人工智能对1560万个流行密码进行破解 ——
来自 Home security heroes 的研究人员决定调查使用人工智能的密码破解速度。他们使用了1560万个流行密码的集合进行测试。
结果显示,PassGAN人工智能可以做到:
- 51%的密码集合在1分钟内被破解;
- 在1小时内破解集合中65%的密码;
- 在24小时内破解集合中71%的密码;
- 1个月内从集合中破解81%的密码。
“人工智能根据它所学到的一切,预测最可能的下一个数字。它没有寻求外部知识,而是依靠它通过学习形成的模式”,研究人员说。
当然,算力始终是挑战。越复杂越长的密码需要的破解时间就越多,对AI来说也一样。
🧬您可以在这里查看AI 在 2023 年破解您选择的密码需要多长时间:
https://www.homesecurityheroes.com/ai-password-cracking/
#Security #Passwords #Privacy #AI
来自 Home security heroes 的研究人员决定调查使用人工智能的密码破解速度。他们使用了1560万个流行密码的集合进行测试。
结果显示,PassGAN人工智能可以做到:
- 51%的密码集合在1分钟内被破解;
- 在1小时内破解集合中65%的密码;
- 在24小时内破解集合中71%的密码;
- 1个月内从集合中破解81%的密码。
“人工智能根据它所学到的一切,预测最可能的下一个数字。它没有寻求外部知识,而是依靠它通过学习形成的模式”,研究人员说。
当然,算力始终是挑战。越复杂越长的密码需要的破解时间就越多,对AI来说也一样。
🧬您可以在这里查看AI 在 2023 年破解您选择的密码需要多长时间:
https://www.homesecurityheroes.com/ai-password-cracking/
#Security #Passwords #Privacy #AI
www.securityhero.io
2023 Password Cracking: How Fast Can AI Crack Passwords?
We used an AI password cracker to run through 15M passwords to find out how long it would take AI to crack your password in 2023. Here what we found.
This media is not supported in your browser
VIEW IN TELEGRAM
对于上述消息,它不意味着给Telegram的匿名安全性加分。CNN的报道可能不是该公司与巴西当局的全部故事,但确实存在多个针对Telegram用户去匿名化的工具。
比如:https://tomhunter.ru/pk
该工具被称为“Okhotnik”(Охотник),意思是“猎人”。据说使用超过 700 个数据点来建立关联和相关性,从而可以揭露匿名 Telegram 用户的身份。
这些“数据点”来自社交网络、博客、论坛、即时通讯工具、留言板、加密货币区块链、暗网和政府服务,以及关注名字、昵称、电子邮件地址、网站、域、加密货币钱包、加密密钥、电话号码、地理位置信息、IP 地址等等。
该工具旨在盯紧目标用户在过去任何时候犯下的任何操作错误,因此即使是最轻微和最久远的真实身份暴露线索,也可以用来创建去匿名化路径。
类似的工具还有其他。上面这个动图所演示的是另一个类似的去匿名化工具,自2018年至今;它通过手机号码、连接的设备和设备数据、以及地理定位信息来识别用户。
📌 在此重申我们一直的强调:
时间是所有安全措施的杀手。因为人会疲劳,会积累压力,从而增大误操作的可能性。所以,建议;
从事高风险工作的人,请不要持续使用单一伪装身份;
每个身份最好只匹配1~2个具体任务,任务完成后彻底摧毁身份。
对于单枪匹马的前线工作者来说,请尽可能避免使用虚构身份积累网络知名度,那将是得不偿失的。
您当然可以在拥有知名度/倡导能力和影响力的同时更持久地保持匿名安全,那需要您采取集体身份,
此原理相当于 Black bloc,其中每一位成员都享有集体知名度,而集体掩护每位成员的个人匿名安全。
当您准备开启一项计划之前,只要该计划涉及到社交媒体传播,建议先仔细研读这篇文章:
《您在什么时候需要假名、匿名和公开在线身份?– 在线创建和管理身份的思考方式》
https://iyouport.substack.com/p/as46-
#Privacy #Security #Selfdefense
比如:https://tomhunter.ru/pk
该工具被称为“Okhotnik”(Охотник),意思是“猎人”。据说使用超过 700 个数据点来建立关联和相关性,从而可以揭露匿名 Telegram 用户的身份。
这些“数据点”来自社交网络、博客、论坛、即时通讯工具、留言板、加密货币区块链、暗网和政府服务,以及关注名字、昵称、电子邮件地址、网站、域、加密货币钱包、加密密钥、电话号码、地理位置信息、IP 地址等等。
该工具旨在盯紧目标用户在过去任何时候犯下的任何操作错误,因此即使是最轻微和最久远的真实身份暴露线索,也可以用来创建去匿名化路径。
类似的工具还有其他。上面这个动图所演示的是另一个类似的去匿名化工具,自2018年至今;它通过手机号码、连接的设备和设备数据、以及地理定位信息来识别用户。
📌 在此重申我们一直的强调:
时间是所有安全措施的杀手。因为人会疲劳,会积累压力,从而增大误操作的可能性。所以,建议;
从事高风险工作的人,请不要持续使用单一伪装身份;
每个身份最好只匹配1~2个具体任务,任务完成后彻底摧毁身份。
对于单枪匹马的前线工作者来说,请尽可能避免使用虚构身份积累网络知名度,那将是得不偿失的。
您当然可以在拥有知名度/倡导能力和影响力的同时更持久地保持匿名安全,那需要您采取集体身份,
此原理相当于 Black bloc,其中每一位成员都享有集体知名度,而集体掩护每位成员的个人匿名安全。
当您准备开启一项计划之前,只要该计划涉及到社交媒体传播,建议先仔细研读这篇文章:
《您在什么时候需要假名、匿名和公开在线身份?– 在线创建和管理身份的思考方式》
https://iyouport.substack.com/p/as46-
#Privacy #Security #Selfdefense
转译俄语新闻 ——
您可以在亚马逊上购买的一些流行的安卓电视机顶盒其实并不像它们看起来那样无害。它们没有带来观看您最喜欢的电视节目的喜悦,而是带来了可怕的“额外功能”。
这是来自中国公司全志科技 (Allwinner Technology)和瑞芯微电子 (Rockchip)的 “礼物” ... 他们的一些机顶盒很受欢迎,这要归功于其实惠的价格标签和在亚马逊及阿里巴巴全球速卖通上成千上万的好评。
但是,这里有一个问题:您买回家的这些小玩意往往已经被安装了恶意软件。
这些机顶盒可以被连接到僵尸网络 —— 一个由受感染的设备组成的网络,它们参与窃取数据、挖掘加密货币,甚至组织对其他网站和服务器的DDoS攻击。
最重要的是:这些特定型号的机顶盒在俄罗斯和其他独联体国家非常普遍,因为它们在中国的阿里巴巴上大量销售。
截止新闻发布时,受感染的机顶盒型号仍在亚马逊上出售。
Подробнее: https://www.securitylab.ru/news/538285.php
#Security #ThreatIntelligence
您可以在亚马逊上购买的一些流行的安卓电视机顶盒其实并不像它们看起来那样无害。它们没有带来观看您最喜欢的电视节目的喜悦,而是带来了可怕的“额外功能”。
这是来自中国公司全志科技 (Allwinner Technology)和瑞芯微电子 (Rockchip)的 “礼物” ... 他们的一些机顶盒很受欢迎,这要归功于其实惠的价格标签和在亚马逊及阿里巴巴全球速卖通上成千上万的好评。
但是,这里有一个问题:您买回家的这些小玩意往往已经被安装了恶意软件。
这些机顶盒可以被连接到僵尸网络 —— 一个由受感染的设备组成的网络,它们参与窃取数据、挖掘加密货币,甚至组织对其他网站和服务器的DDoS攻击。
最重要的是:这些特定型号的机顶盒在俄罗斯和其他独联体国家非常普遍,因为它们在中国的阿里巴巴上大量销售。
截止新闻发布时,受感染的机顶盒型号仍在亚马逊上出售。
Подробнее: https://www.securitylab.ru/news/538285.php
#Security #ThreatIntelligence
SecurityLab.ru
Китайские TV-приставки на базе Android продаются с предустановленным вредоносным ПО
DDoS-атаки, майнинг и кража данных — стоит ли покупка дешёвого ТВ-бокса таких последствий?
不要接听Telegram拨打来的电话 ——
这可能泄露您的位置。
有专门工具可用来提取通话人IP。
比如 Wireshark(https://www.wireshark.org/download.html )。通过Telegram拨打电话。只要用户接听电话,就会立即开始显示数据,其中就有被呼叫用户的IP地址。
此外 tshark(https://github.com/n0a/telegram-get-remote-ip )也是同类的工具。
#Security #Privacy #Tools
这可能泄露您的位置。
有专门工具可用来提取通话人IP。
比如 Wireshark(https://www.wireshark.org/download.html )。通过Telegram拨打电话。只要用户接听电话,就会立即开始显示数据,其中就有被呼叫用户的IP地址。
此外 tshark(https://github.com/n0a/telegram-get-remote-ip )也是同类的工具。
#Security #Privacy #Tools
Mobile Hacking CheatSheet 是一个列表,收集了一些用来评估Android和iOS移动应用安全所需的工具和命令。
🧬 https://github.com/randorisec/MobileHackingCheatSheet
#tools #Security
🧬 https://github.com/randorisec/MobileHackingCheatSheet
#tools #Security
GitHub
GitHub - randorisec/MobileHackingCheatSheet: Basics on commands/tools/info on how to assess the security of mobile applications
Basics on commands/tools/info on how to assess the security of mobile applications - randorisec/MobileHackingCheatSheet