Вопрос по анонимизации.

[Bonifacia]

занимаюсь продажами разных товаров.
клиентам проще писать в telegram.
достаточно ли безопасна будет связка : => Ноутбук(чистый Win7), траффик через Tor, Nox emulator(Для держания телеграма)
telegram на виртуальную сим-карту.

выход с основного компьютера (parrot oc) на telegram.org/web, ввод номера и ввод кода который поступит на Nox emulator.
или что можете посоветовать (только telegram)

 

[Bonifacia]

Тоесть 2 варианта одновременно, ноутбук с Win7 и стационарник с Parrot OS?
А почему на ноутбук тоже Parrot или ещё что не поставишь?

На ноутбуке будет стоять эмулятор андроид и telegram (для получения ключей для входа).
Вход будет производиться через Parrot (ПК) на сайте telegram.org/web
[doublepost=1524908871][/doublepost]

Тоесть 2 варианта одновременно, ноутбук с Win7 и стационарник с Parrot OS?
А почему на ноутбук тоже Parrot или ещё что не поставишь?

На Parrot, нету нормально эмулятора на котором можно было бы держать мобильное приложение telegram.

 

[XXX2XXX]

в джаббер уходи и свой сервак поднять нужно будет (анонимный )чистку делай проц опер +ос и тд +вай фай брут и всегда заходи к серверу с вай фай брут от 3++км !(снифер смотри всегда куда подключился!

 

[Bonifacia]

в джаббер уходи и свой сервак поднять нужно будет (анонимный )чистку делай проц опер +ос и тд +вай фай брут и всегда заходи к серверу с вай фай брут от 3++км !(снифер смотри всегда куда подключился!

Мне нужна была именно телега, но уже не нужно. С жаббой я умею обращаться.

 

[PANDORA]

На ноутбуке будет стоять эмулятор андроид и telegram (для получения ключей для входа).
Вход будет производиться через Parrot (ПК) на сайте telegram.org/web
[doublepost=1524908871][/doublepost]
На Parrot, нету нормально эмулятора на котором можно было бы держать мобильное приложение telegram.

а зачем тебе убогий клиент телеги от андроида - уж не из за "секретных" ли чатиков? дуру не гони - делай как пандорум пишет. ставь питуха, туда телегу для линукса 64. бронируй ее или профилем аппармора (в сети можно отыскать) либо качай файрджейл с графикой (клеточу) и запускай из нее.

в телеге все делай так как будто все читает полицай в реальном времени ибо так и есть.

 

[GUZMAN]

На ноутбуке будет стоять эмулятор андроид и telegram (для получения ключей для входа).
Вход будет производиться через Parrot (ПК) на сайте telegram.org/web
[doublepost=1524908871][/doublepost]
На Parrot, нету нормально эмулятора на котором можно было бы держать мобильное приложение telegram.

Предлагаю такой вот вариант - ставишь WHONIX
Затем накатываешь клиент для телеги (используешь веб версию) на workstation
Таки что это тебе даст?
А это даст гарантию что пашино изделие не выйдет за пределых двух специально настроенных виртуальных машин и не сольет инфу

 

[PANDORA]

Предлагаю такой вот вариант - ставишь WHONIX
Затем накатываешь клиент для телеги (используешь веб версию) на workstation
Таки что это тебе даст?
А это даст гарантию что пашино изделие не выйдет за пределых двух специально настроенных виртуальных машин и не сольет инфу

клиент телеги с отрытым кодом. как и сам протокол. недоступны для аудита только сервера. проблема не в том что она что то сливает. а в том что все хранится на облаке - контакты пикчи история. а раз они не дают провести аудит значит хранится все там открытой книгой. приходи читай.

 

[GUZMAN]

клиент телеги с отрытым кодом. как и сам протокол. недоступны для аудита только сервера. проблема не в том что она что то сливает. а в том что все хранится на облаке - контакты пикчи история. а раз они не дают провести аудит значит хранится все там открытой книгой. приходи читай.

Это все конечно да, но кто может быть уверен, что после очередного обновления не поменяется?
Так что откртытый код - это не панацея и не лучше ли все это держать в изолированном от железа виде?
И поскольку с серверной частью просто физически нет возможности воевать - единственный вариант это обезопасить со свое стороны.

 

[PANDORA]

Это все конечно да, но кто может быть уверен, что после очередного обновления не поменяется?
Так что откртытый код - это не панацея и не лучше ли все это держать в изолированном от железа виде?
И поскольку с серверной частью просто физически нет возможности воевать - единственный вариант это обезопасить со свое стороны.

а в чем сомнения? в репозиториях программы почему с опозданием появляются как думаешь? может потому, что они проверяются какое то время? уж про то, что все нужно тащить с репозиториев а не с сайтов этих шарашкиных контор думаю не нужно упоминать?

 

[GUZMAN]

а в чем сомнения? в репозиториях программы почему с опозданием появляются как думаешь? может потому, что они проверяются какое то время? уж про то, что все нужно тащить с репозиториев а не с сайтов этих шарашкиных контор думаю не нужно упоминать?

----проверяются
Ага каждый дистрибутив заказывает полный аудит кода после каждой обновы на любой софт что добавляет к себе?
Напомнить сколько было случаев, когда даже в открытом коде годами сущестововали уязвимости и сообщество их тупо не видело
Так что размещение в репозитории не факт что спасет от дыр
Из относительно недавнего - лежит себе телега на репозиториях и якобы уже проверена все сверху до низу - граждане качает ее себе на компы, использует.
И тут хоп - левый чел находит уязвимость.
А сколько еще не раскрытых дыр)

 

[PANDORA]

----проверяются
Ага каждый дистрибутив заказывает полный аудит кода после каждой обновы на любой софт что добавляет к себе?
Напомнить сколько было случаев, когда даже в открытом коде годами сущестововали уязвимости и сообщество их тупо не видело
Так что размещение в репозитории не факт что спасет от дыр
Из относительно недавнего - лежит себе телега на репозиториях и якобы уже проверена все сверху до низу - граждане качает ее себе на компы, использует.
И тут хоп - левый чел находит уязвимость.
А сколько еще не раскрытых дыр)

про какие дистрибутивы ты говоришь? почти все современные линуксы это дебиан, в котором есть направление дебиан секьюрити. плюс каждую программу на том же гитхабе может проверить любой - и там же есть отдельная страница под каждый проект - багтрекер.

телега же инстант мессенджер с мировой известностью, занимающий нехуевую долю рынка. и я уверен что много кто ее мониторит, и уже тем более поиском косяков в ней заняты ее конкуренты. так что давай тут жути не нагоняй.

 

[T_K]

----проверяются
Ага каждый дистрибутив заказывает полный аудит кода после каждой обновы на любой софт что добавляет к себе?
Напомнить сколько было случаев, когда даже в открытом коде годами сущестововали уязвимости и сообщество их тупо не видело
Так что размещение в репозитории не факт что спасет от дыр
Из относительно недавнего - лежит себе телега на репозиториях и якобы уже проверена все сверху до низу - граждане качает ее себе на компы, использует.
И тут хоп - левый чел находит уязвимость.
А сколько еще не раскрытых дыр)

Н так-то безопасность вообще величина не дискретная и в максимумах не существующая, но таки да, открытый код существующий какое-то время и, имеющий вокруг себя комьюнити безопаснее, как показывает практика. А коль уж есть сомнения - валгринд в зубы и вперед.

 

[GUZMAN]

про какие дистрибутивы ты говоришь? почти все современные линуксы это дебиан, в котором есть направление дебиан секьюрити. плюс каждую программу на том же гитхабе может проверить любой - и там же есть отдельная страница под каждый проект - багтрекер.

телега же инстант мессенджер с мировой известностью, занимающий нехуевую долю рынка. и я уверен что много кто ее мониторит, и уже тем более поиском косяков в ней заняты ее конкуренты. так что давай тут жути не нагоняй.

Ну вот сам смотри. Ядро с версии 2.6 существует почти 10 лет.
То есть все это время оно было доступно для аудита.
И чего-то все годы толпы народу в сообществе не могли найти дырень
Открытый код все дела
И тут оба - находят дыру которая все это время существовала

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Выходит миллионы людей использовали дырявый линукс
С телегой аналогичная история была, правда лет не 10
[doublepost=1526637239][/doublepost]

Н так-то безопасность вообще величина не дискретная и в максимумах не существующая, но таки да, открытый код существующий какое-то время и, имеющий вокруг себя комьюнити безопаснее, как показывает практика. А коль уж есть сомнения - валгринд в зубы и вперед.

Ох уж эти свидетели секты открытого кода
Читай про эту практику - миллионное сообщество не могло найти дырень в безопасности.
Уж не знаю что там они брали в зубы, но это им долгие годы не помогало
Уж проще изолировать как ту же телегу, чем трястись
-----безопаснее
ну тут уж смотря какой открытый и смотря какой закрытый код. В какой ситуации ну и тд

 

[PANDORA]

Ну вот сам смотри. Ядро с версии 2.6 существует почти 10 лет.
То есть все это время оно было доступно для аудита.
И чего-то все годы толпы народу в сообществе не могли найти дырень
Открытый код все дела
И тут оба - находят дыру которая все это время существовала

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Выходит миллионы людей использовали дырявый линукс
С телегой аналогичная история была, правда лет не 10
[doublepost=1526637239][/doublepost]


Ох уж эти свидетели секты открытого кода
Читай про эту практику - миллионное сообщество не могло найти дырень в безопасности.
Уж не знаю что там они брали в зубы, но это им долгие годы не помогало
Уж проще изолировать как ту же телегу, чем трястись
-----безопаснее
ну тут уж смотря какой открытый и смотря какой закрытый код. В какой ситуации ну и тд

ты забываешь о том, что ядро образца 2008 года атаковано инструментарием образца 2018 года. это как расстрелять из второго леопарда тридцатьчетверку и сказать что контрукторы брони облажались.

 

[T_K]

Ох уж эти свидетели секты открытого кода
Читай про эту практику - миллионное сообщество не могло найти дырень в безопасности.
Уж не знаю что там они брали в зубы, но это им долгие годы не помогало

Ну ок. Ох уж эти свидетели секты "поюморил, значит аргументировал.". В открытом линухе нашли критические дыры, а закрытой винде не? Не находили? Или в адобовских продуктах? А может еще количество этих самых дыр на единицу времени сравнить? Баги в любой сложной системе были, есть и будут, и искать их будут, но в системе с открытым кодом у исследователя есть полнота информации, да и самих авторов тупо больше, а значит больше профессиональных глаз этот код оценивает. Ну и вообще секъюрити бай обскъюрити не работало строго говоря никогда, еще раз вспоминаем винду, в которой даже к документированным функциям встречается намеренное искажение информации.
[doublepost=1526665920][/doublepost]

атаковано инструментарием образца 2018 года

Причем инструментарием в широком смысле ИБ как наука тоже ведь развивается, появляются новые направления исследований и т.д. Да и вообще открытый код это показатель того, что разраб готов предоставить его к аудиту, а не того, что там нет багов.

 

[GUZMAN]

ты забываешь о том, что ядро образца 2008 года атаковано инструментарием образца 2018 года. это как расстрелять из второго леопарда тридцатьчетверку и сказать что контрукторы брони облажались.

------- атаковано инструментарием образца 2018 года
И сейчас ты такой с доказательствами, что уязвимость была найдена исключительно с помощью инструментов 2018 года и даже если речь идет о науке (а не 2011 или 2017 к примеру) и никаким другим методом не могла быть найдена вообще
И да могу еще уязвимостей накидать, тоже про каждую будешь такие истории рассказывать?
Я уж молчу, что даркнете хватает сайтов, где продают дыры чуть ли не на все платформы
Или спецслужбы использующие уязвимости в открытом коде, но по странному стечение обстоятельств не найденные и не закрытые сообществом
Выходит хакеры сильнее миллионов энтузиастов вооруженного открытым кодом?
[doublepost=1526679960][/doublepost]

Ну ок. Ох уж эти свидетели секты "поюморил, значит аргументировал.". В открытом линухе нашли критические дыры, а закрытой винде не? Не находили? Или в адобовских продуктах? А может еще количество этих самых дыр на единицу времени сравнить? Баги в любой сложной системе были, есть и будут, и искать их будут, но в системе с открытым кодом у исследователя есть полнота информации, да и самих авторов тупо больше, а значит больше профессиональных глаз этот код оценивает. Ну и вообще секъюрити бай обскъюрити не работало строго говоря никогда, еще раз вспоминаем винду, в которой даже к документированным функциям встречается намеренное искажение информации.
[doublepost=1526665920][/doublepost]
Причем инструментарием в широком смысле ИБ как наука тоже ведь развивается, появляются новые направления исследований и т.д. Да и вообще открытый код это показатель того, что разраб готов предоставить его к аудиту, а не того, что там нет багов.

-------- Баги в любой сложной системе были, есть и будут, и искать их будут
Рад что ты это признал.
Об этом собственно и речь
А следовательно куда проще — запихать софт нужный в двойную виртуалку.
Чем держать его на своем железе и ждать лет 10, что дыру обнаружат и закроют. А может и не найдут.
Или ты не согласен со мной?
А может после очередного обновления возникнет новая дыра лет эдак на 6
А потом всякие интересные личности будут ловить других используя уязвимости открытого кода. Как уже было в США.
--------- А может еще количество этих самых дыр на единицу времени сравнить
Да можно в принципе
Великое и могучее ядро линукс без которого трудно представить себе сервер на дебиане каком, или пк на убунте, число дыр за 2017 год -381

жалкий и дырявый виндовс 7( в районе миллиарда пользователей в мире), число уязвимостей за 2017 год -197
Windows Vista — 64 дыры за 2017 год
Только без учета таких факторов как популярность того или иного продукта, интерес его для взлома и аудита того как его используют тд, сравнения эти не имеют смысла особого
Так что подводя итог скажу — куда важнее прямые руки и трезвая голова, чем слепая вера в какой-то там открытый код.

 

[T_K]

Рад что ты это признал.

Ну это я просто проигнорирую.

А следовательно куда проще — запихать софт нужный в двойную виртуалку.
Чем держать его на своем железе и ждать лет 10, что дыру обнаружат и закроют. А может и не найдут.

Дык ничего против виртуализации не имею, только какое это отношение к найдут/не найдут дыру имеет? Я собственно про преимущество открытого кода писал, а не про то, что не надо виртуалку использовать.

Да можно в принципе
Великое и могучее ядро линукс без которого трудно представить себе сервер на дебиане каком, или пк на убунте, число дыр за 2017 год -381

жалкий и дырявый виндовс 7( в районе миллиарда пользователей в мире), число уязвимостей за 2017 год -197
Windows Vista — 64 дыры за 2017 год

Мой косяк. Имелась ввиду время от раскрытия уязвимости до патча. Ясен, что в открытом софте их находят чаще, в том и смысл. Количество этих самых дыр в принципе никто не знает, но по терверу на один порядок сложности системы оно должно быть довольно близким, из чего следует - "чем меньше раскрыто, тем больше осталось", а не "нашли меньше, значит их меньше". Мелкомягкие к слову дыры вообще не всегда, как таковые признают.

Так что подводя итог скажу — куда важнее прямые руки и трезвая голова, чем слепая вера в какой-то там открытый код.

Вот че-че, а обвинять меня в слепой вере во что-либо странно - таки я к своему имху аргументацию предоставляю. Про руки и голову таки да, оно во всем важнее.

 

[PANDORA]

------- атаковано инструментарием образца 2018 года
И сейчас ты такой с доказательствами, что уязвимость была найдена исключительно с помощью инструментов 2018 года и даже если речь идет о науке (а не 2011 или 2017 к примеру) и никаким другим методом не могла быть найдена вообще
И да могу еще уязвимостей накидать, тоже про каждую будешь такие истории рассказывать?
Я уж молчу, что даркнете хватает сайтов, где продают дыры чуть ли не на все платформы
Или спецслужбы использующие уязвимости в открытом коде, но по странному стечение обстоятельств не найденные и не закрытые сообществом
Выходит хакеры сильнее миллионов энтузиастов вооруженного открытым кодом?
[doublepost=1526679960][/doublepost]
-------- Баги в любой сложной системе были, есть и будут, и искать их будут
Рад что ты это признал.
Об этом собственно и речь
А следовательно куда проще — запихать софт нужный в двойную виртуалку.
Чем держать его на своем железе и ждать лет 10, что дыру обнаружат и закроют. А может и не найдут.
Или ты не согласен со мной?
А может после очередного обновления возникнет новая дыра лет эдак на 6
А потом всякие интересные личности будут ловить других используя уязвимости открытого кода. Как уже было в США.
--------- А может еще количество этих самых дыр на единицу времени сравнить
Да можно в принципе
Великое и могучее ядро линукс без которого трудно представить себе сервер на дебиане каком, или пк на убунте, число дыр за 2017 год -381

жалкий и дырявый виндовс 7( в районе миллиарда пользователей в мире), число уязвимостей за 2017 год -197
Windows Vista — 64 дыры за 2017 год
Только без учета таких факторов как популярность того или иного продукта, интерес его для взлома и аудита того как его используют тд, сравнения эти не имеют смысла особого
Так что подводя итог скажу — куда важнее прямые руки и трезвая голова, чем слепая вера в какой-то там открытый код.

ну я давно уже понял кто ты и что ты. но так и быть я потрачу немного времени. нет не на тебя. на ребят которые это будут читать.

уязвимость была найдена с помощью утилиты Synopsys Defensics fuzzler, которая была анонсирована 7 сентября прошлого года. именно по этому я неписал что ты городишь хуету. в 2008 году эту уязвимость обнаружить было нечем и никаких рисков она не несла соответственно.

вот тебе ссылка на анонс

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

теперь можешь пойти в хуй или накидать еще охуительных уязвимостей. мне все равно.

п.с. про то что в винде меньше багов просто поорал. в след раз напиши что в ПО для атомных станций вообще багов не нашли ни разу еще круче будет.

 

[GUZMAN]

ну я давно уже понял кто ты и что ты. но так и быть я потрачу немного времени. нет не на тебя. на ребят которые это будут читать.

уязвимость была найдена с помощью утилиты Synopsys Defensics fuzzler, которая была анонсирована 7 сентября прошлого года. именно по этому я неписал что ты городишь хуету. в 2008 году эту уязвимость обнаружить было нечем и никаких рисков она не несла соответственно.

вот тебе ссылка на анонс

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

теперь можешь пойти в хуй или накидать еще охуительных уязвимостей. мне все равно.

п.с. про то что в винде меньше багов просто поорал. в след раз напиши что в ПО для атомных станций вообще багов не нашли ни разу еще круче будет.

--------п.с. про то что в винде меньше багов просто поорал
Человек упомянул это дело (число найденных уязвимостей) -я привел цифры на этот счет
-------ну я давно уже понял кто ты и что ты
И что же ты так быстро на личности решил перейти?
Я на конкретных примерах показал что - открытый код вообще не панацея
Что когда анб использовало дыры в открытом браузере tor, это их сильно испугало все?
Может продавцы уязвимостей боятся открытого кода - тоже нет.
Ты ксати эту тему проигнорировал - видать ломает твой мирок слишком сильно
Да и свои охуительные истории про
---------в 2008 году эту уязвимость обнаружить было нечем и никаких рисков она не несла соответственно
Ну приведи хоть одно исследование которое это доказывает
Вот чтобы черным по белому - эту уязвимость вообще никак не возможно было найти
никакими методами вообще
И даже если ты все это сделаешь
Я еще могу кучу накидать. По каждой будешь так оправдываться?
Или все - взял и слился?
А ведь ты просто мог признать что откртытый код ни разу не панацея и что есть такая штука как виртуализация
[doublepost=1526782779][/doublepost]

Ну это я просто проигнорирую.


Дык ничего против виртуализации не имею, только какое это отношение к найдут/не найдут дыру имеет? Я собственно про преимущество открытого кода писал, а не про то, что не надо виртуалку использовать.



Мой косяк. Имелась ввиду время от раскрытия уязвимости до патча. Ясен, что в открытом софте их находят чаще, в том и смысл. Количество этих самых дыр в принципе никто не знает, но по терверу на один порядок сложности системы оно должно быть довольно близким, из чего следует - "чем меньше раскрыто, тем больше осталось", а не "нашли меньше, значит их меньше". Мелкомягкие к слову дыры вообще не всегда, как таковые признают.

Вот че-че, а обвинять меня в слепой вере во что-либо странно - таки я к своему имху аргументацию предоставляю. Про руки и голову таки да, оно во всем важнее.

--------Ну это я просто проигнорирую.
А чего так то?
То ты предлагаешь считать уязвимости, то уже уже рассказываешь, про
------время от раскрытия уязвимости до патча
Может ты еще чего имел ввиду, но писал то совсем другое?
И да как продавали дыры в открытом коде так и продает. Я уж молчу про спецслужбы, о чем выше писал. Куда смотрит миллионное сообщество?

 

[PANDORA]

--------п.с. про то что в винде меньше багов просто поорал
Человек упомянул это дело (число найденных уязвимостей) -я привел цифры на этот счет
-------ну я давно уже понял кто ты и что ты
И что же ты так быстро на личности решил перейти?
Я на конкретных примерах показал что - открытый код вообще не панацея
Что когда анб использовало дыры в открытом браузере tor, это их сильно испугало все?
Может продавцы уязвимостей боятся открытого кода - тоже нет.
Ты ксати эту тему проигнорировал - видать ломает твой мирок слишком сильно
Да и свои охуительные истории про
---------в 2008 году эту уязвимость обнаружить было нечем и никаких рисков она не несла соответственно
Ну приведи хоть одно исследование которое это доказывает
Вот чтобы черным по белому - эту уязвимость вообще никак не возможно было найти
никакими методами вообще
И даже если ты все это сделаешь
Я еще могу кучу накидать. По каждой будешь так оправдываться?
Или все - взял и слился?
А ведь ты просто мог признать что откртытый код ни разу не панацея и что есть такая штука как виртуализация
[doublepost=1526782779][/doublepost]
--------Ну это я просто проигнорирую.
А чего так то?
То ты предлагаешь считать уязвимости, то уже уже рассказываешь, про
------время от раскрытия уязвимости до патча
Может ты еще чего имел ввиду, но писал то совсем другое?
И да как продавали дыры в открытом коде так и продает. Я уж молчу про спецслужбы, о чем выше писал. Куда смотрит миллионное сообщество?

слился тут ты. потому что тот пруф что ты предоставил я разъебал в пух и прах. а мой пруф ты только базаром своим беспотновым законтрить пытаешься. я тебе дал ссылку на анонс аудитора, видно даты. ты что в итоге? а ты слил тему сразу - "давай еще накидаю" а "а чем лучше виртуализация". да ты ее можешь в жопу себе засунуть раз она тебя так возбуждает. ради бога я только за. мне некогда с каждым выскочкой терки тереть. мне поспать некогда.

так что пока ты не докажешь что мой пруф по этой конкретной уязвимости фуфло и ее могли обнаружить в 2008 ты тупо балабол и очередная моська, которая лает на слона.