#Telegram

Ч.4
Десерт

Сначала сладкая россыпь (к слову о постоянно появляющихся у вотса дырках, и телеге на ее фоне, у которой "hasn’t had any issues of WhatsApp-level severity in the six years since" - типа не найдено ни одной за 6 лет):

Успешный DDoS на самом старте 10.07.2015

Взлом Telegram через сеть SS7 (проще симку восстановить) 06.05.2016

В Telegram обнаружили уязвимость: сообщения могут читать посторонние 31.10.2018

Уязвимость Telegram раскрывает пользователей по номеру телефона, даже если он скрыт 26.08.2019

Уязвимость в Telegram позволяла просматривать удаленные изображения 10.09.2019

- это с первой страницы поисковой выдачи

Добавим сюда то, что он хранит все, за исключением сикритов
Добавим, что сикриты - не сикриты никакие, и айфон - не исключение, если автор с хабра не смог, не значит что не сможет Cellebrite, а с ней и любой 👮🏻‍♂️ в любой стране
Добавим весьма неоднозначные отношения с властью, интересные альянсы и сюжеты, офис в Зингере, ну и там сами по вкусу

Получается, действительно hasn't had any issues, точнее и не скажешь

И тут всплывает один вопрос
А что, собственно, тогда я тут делаю? Раз так все х

Я тут работаю, когда надо работал и через скайп, и яшу, и гулю, и палку, и капу, и чейзу, и буку и через что только не работал
Надо разделять мух от котлет, ни по одному рабочему акку, в том числе и этому, меня лично не найти ни герою, ни кому-либо еще; из моих машин не вытащить не только файлы для брута local code, а вообще ничего не вытащить, меня не страшит что он все это читает и знает номера телефонов и ip - все это никак со мной лично не связано

Это все - рабочее, завтра выкину в помойку, и похороню таким образом навсегда.

Но зато тут есть ВЫ, аудитория немаленькая, и хотя бы от части беспокоящаяся о своей приватности и безопасности, в том числе при приеме. А это значит вы уже встали на путь, и всегда можете дойти до настоящего, если скинуть мерзкий, пусть и столь удобный, палец с носа (бля, будет обидно, если все подписчики резко соскочат с тг 😂), глобально скинуть, а не только Павликовский

Всем мир, герою в том числе

#nocomment
#lesson8

https://m.lenta.ru/news/2019/11/23/leak/

Со звуком так се вышло, конечно😅

#kakietomyslikakietokommentarii

Рад приветствовать вас, братья и сестры
Шалом алейкум
Пребываю в весьма приподнятом настроении, и хотя я не сомневался и раньше, но сегодня получил наглядное практическое подтверждение возможностей беспалика

К сожалению (или к счастью) не могу сильно вдаваться в подробности, но хочу торжественно и уверенно заявить:
Наше решение "на экстренный случай" работает на 100% без каких-либо оговорок или недомолвок - информацию с устройства не вытащить, и даже в теории не установить что там стояло - проверено на практике

Мы пока очень молоды (12 дней👶) и это решение пока во многом "ручное", т.е. надо что-то делать самому (-ой), выполнить последовательность шагов. Пусть и простую и до безобразия понятную (а это, по-прежнему, единственное решение не дать 👮🏻‍♂️ доступ к данным при физическом контакте с мобильным телефоном на сегодняшний день, напоминаю), но все же это - полу-ручной способ.

И, поскольку, было обещание двигаться вместе с вашими желаниями, а это желание, положа руку на сердце, можно было бы и предусмотреть заранее, каюсь, то торжественно объявляю:
мы приступили к разработке тревожной кнопки - кнопки PANIC

В первом приближении выглядит вполне достижимым на существующем доноре, осталось обзавестись нужными компетенциями

Данная кнопка на первых порах (и уж на этом доноре - точно) будет реализована программно, что позволит предоставить этот бешеный сервис не только новым клиентам, но и обновить всех наших уже горячо любимых владельцев

Данная кнопка лишь автоматизирует наше решение "при приеме", сократит время и добавит уверенности владельцам, но решение уже существует, уже есть возможность не подарить им ничего, кроме надменной улыбки (единственное в мире, не устану повторять😁)

Поздравляю себя и вас, дорогие мои, мы действительно защищены, это теперь проверено

И, естественно, не только на случай приема, но и в повседневной жизни тоже, просто конкретно сегодня мы обсуждаем именно этот, весьма чувствительный аспект, но, не помню, писал ли тут ранее, мы всегда готовы к любым проверкам

Любой аспект безопасности, любой контур под любым углом рассмотрения - welcome 👮🏻‍♂️ и кулхацкеры, сыграем?😏

Беспалефончик - это:
1. Гарантия анонимности
2. Гарантия безопасности и единоличного контроля владельца над устройством
3. Гарантия безопасности и единоличного контроля владельца за всеми вх/исх коммуникациями

Никто не увидит, не услышит, не скажет, не узнает - попробуйте опровергнуть

(зачастую, даже не поймет с чем столкнулся😇)

Разум спасет мир, братья и сестры, критическое мышление - все, что нам осталось, критикуйте - так вы делаете нас сильнее, люблю вас за это😘

В ответ мы сделаем сильнее вас, ведь разум - это сила, а сила - это разум

Amen

Преступники, конечно, пафосно порицаю

Но бля)) 👏👏👏

https://meduza.io/video/2019/11/26/opublikovano-video-ogrableniya-sokrovischnitsy-v-drezdene-prestupnikam-hvatilo-neskolkih-minut-chtoby-zabrat-dragotsennosti-na-milliard-evro

#malware

Идет немало вопросов на тему вирусов | вредоносов | ботнетов | малварей | червей
Это все одно и то же, кстати, иногда с небольшими техническими различиями, но на потребительском уровне одно и то же - программа, которая причинит вред

В лекции мы подробно разбираем теорию по этому вопросу
Сегодня же хочу осветить практику

В частности, хороший вопрос - а как быть уверенным, что мы сами в беспалефон червя не посадили?
Ну простой ответ заключается в том, что если бы мы умели свои вирусы, то явно бы этим и занимались, а не продажей беспалефона

Это очень узкая и высокооплачиваемая компетенция

Но, вы скажете, мы же могли тупо купить вирус на рынке и использовать его, и будете, кстати, гораздо ближе к возможной истине - такой расклад выглядит куда более реалистичным
И поскольку, я уж выбрал тут максимально откровенную тональность бесед (а точнее монологов), то расскажу по-простому:

Итак вирус
неважно под какую ОСь, механизм примерно везде одинаковый
Для начала, вирус - это программа, и ее надо установить на машину жертвы (в нашем случае установить apk)

Вариантов установки всего 2:
1. руками
2. эксплойт (уязвимость)

Как проверить, не ПРЕДустановили ли мы вирус?

При самом первом запуске скачать любой антивирус (а лучше несколько, но ПО ОЧЕРЕДИ, иначе трубка может клина словить), покопаться в настройках, выставить все по максимуму (у каждых антиков по разному) и
провести проверку/сканирование
Вот и весь ответ

Рекомендую после того, как убедитесь, что все чисто, переустановить систему, потому что для многих антивирусов надо отключать фаервол, и неизвестно кто там чего успеет накачать за это время (и да, не забудьте выставить дату и время в настройках, иначе они не смогут подгрузить свежую базу)
Т.е. включили, проверили, снесли сборку, поставили все по новой и уже туда накатываем аккаунты мессенджеров (т.к. их светить антивирусам тоже не рекомендуется, ведь от антивируса, до вируса всего полшажочка)

Получается, мы не рекомендуем пользоваться антивирусом ежедневно? Как же тогда быть защищенным?
Для начала вот это, потом осознаем, что это может сделать абсолютно любой антивирус (строго говоря, это действительно часть их работы)
Теперь спросите себя: верю ли я касперу | ноду | др.вебу | квикхилу или кому бы то ни было еще
Верите? Тогда, конечно, ставьте и юзайте

Для чего нужен вообще антивирус?
Вы скажете, чтобы не подхватить вирус
Т.е. чтобы не установить вирус, либо (1)руками, либо (2)посредством эксплойта

В первом случае, перед установкой любого apk, достаточно его закинуть на virustotal.com virustotal.com (мнение 50-60 антивирусов против любого 1)
Даже 1 детект - это плохо, это вполне возможно хорошо и часто прячущийся (криптующийся, да простят меня мамкины кулхацкеры) вирь.
Если сомневаетесь ставить или нет - 99% нет, но если все же вам зачем-то уж очень надо, посоветуйтесь, всегда подскажем вирус это или антик гонит.

Т.е. чтобы своими руками не установить виря, достаточно осознанной гигиены

Что на счет эксплойтов?
Применительно к беспалефону, эксплоитом тут можно пробить только firefox
Ну честно говоря, максимально экзотичная ситуация, и лучший способ защититься - не ходить по левым ссылкам. ВАС ТАМ ВСЕ РАВНО НИЧЕГО ХОРОШЕГО НЕ ЖДЕТ, пора бы понять

Ну а с каждым официальным обновлением (и не только лисы), мы высылаем всем клиентам чистый файл apk (что всегда можно и нужно проверить самостоятельно на вирустотал), так что возможность пробить владельца эксплойтом стремится к нулю (обновлениями как раз обычно закрывают найденные эксплоиты)
Как и установить протрояненный apk, уж мы за этим следим

Получается антивирус в х не уперся, если иметь хоть немножко мозгов
При этом он высасывает из машины столько, что любая мисс глубокая глотка позавидует

Решать, как всегда, вам лично, главное, помним про главное оружие - virustotal (все кулхацкеры его ненавидят, кстати, поэтому давим на больное)

Ну и вроде компьютерные вирусы пока воздушно-капельным путем не передаются😉

Всех обнял

Сегодня черная пятница, поэтому, как бы ни хотелось, даем скидку 10%, до 23:59 мск

И да, думаю пришло время сказать: на этом канале никогда не будет рекламы

Только беспалик и мое воспаленное сознание, только хардкор

Ой надо же🤭
Еще одного нагнули

https://meduza.io/feature/2019/11/29/vladeltsa-tiktok-obvinili-v-sotrudnichestve-s-vlastyami-kitaya-cherez-videoservis-rasprostranyayut-propagandu-o-lageryah-dlya-musulman

Разрешите отчитаться:
Темы на дарке и мигах оформлены
Теперь можно пользоваться и их гарант-сервисами (там, кстати тоже первым покупателям за наш счет)

darkmoney
migalki (блин, я там выебываться начал и, по-моему, 1 лишнюю запятую поставил.. позорище.. тока 🤫)

Welcome, короче😁

Там же можно ознакомиться с основными параметрами продукта (с удивлением обнаружил, что многие не знакомы.. почему-то.. бывает)

Ну ладно, ладно, вкратце тут приколю:

✅меняем (вы сами меняете хоть раз/мин) imei/mac/serial + >20 ids, абсолютно каждую идентифицирующую строчку телефона

✅владеем системой (андроида нет, есть безопасность и контроль)

✅владеем всеми коммуникациями, загибаем через BespaleVPN (фаер+впн)

✅звоним коллегам с номера начальника (gsm с подменой номера), и да-да, он даже определиться как в книжке записан, ну че как маленькие

✅кайфуем от бесплатных бонусов в виде раздачи vpn по wifi, adblock по жизни, +1 (us) номера для акков, итд

✅обогащаем разум лекцией, навыки - инструкцией, инструментарий - набором джентльмена/для прекрасных дам, пользуемся поддержкой 24/7

чета там еще..


Ну и да, купон на скидку и ребус к нему пока действуют, пошукайте тут внутри, где-то были

Если остались вопросы по типу как это сделать и что требуется - гляньте #FAQ

Не такой уж ты и крутой, Эль Чапо

Интересно было бы посмотреть личную стату кураторов из цру/анб/гру/кгб/фсб/моссада/ми6 и дальше по списку любой спецслужбы в любой стране мира, к которой так или иначе имел/имеет отношение маршрут (а = любой спецслужбы в любой стране мира)

Сколько они заработали только на этой теметолько на этой теме с 1976 по 2014 годы? И к скольким из 11153 доказанных убийств непосредственнонепосредственно приложили руку?

Или, правильнее будет считать: с основания времен и по декабрь 2019 года..?😁

Очень нудная, но прекрасно технически выверенная статья

Как всегда, выкладываю с гордостью, ибо мы с беспаликом вертели все эти угрозы, и далеко не только их😎

Обожаю бесплатную рекламу, приятно быть на 10 шагов впереди

https://tass.ru/ekonomika/7225439

А в РФии считают их приложения угрозой

Кто прав?
Как ни смешно - оба

Оба хуже, оба хотят ебать простого человека..

Пусть попробуют, малыши епт😏

https://echo.msk.ru/news/2548031-echo.html

Салам алейхем, братья и сестры

Подъехало тут еще вопросов, спешу ответить для всех:

Q: Крипто-мега-секретные сим-карты. Почему не ставишь?
A: В 2 словах: полная хуйня дорого, беспонтово

Чуть больше слов:
"..принудительного шифрования нет, защиты от комплексов перехвата нет, подключения к второй по уровню сигнала БС нет, подмена номера есть, подмена голоса есть, биллинг есть, сокрытия IMSI нет, сокрытия местоположения нет"

Источник (habr)

Итого осталось: подмена номера и подмена голоса.

Тут позвольте 2 копейки вставить с личного опыта:
реальная подмена голоса существует и доступна обычному человеку, но это далеко не то, что предлагается в этих симках и любом другом мобильном решении: ускорить/замедлить/повысить/понизить - это все баловство - реальный голос отматывается путем простого реверсинга, т.е. обратного замедления/ускорения/понижения/повышения

Чтобы подменить голос, безвозвратно, и так, чтобы он был все еще человеческий - нужен целый программный комплекс, с дополнительными кодеками, шаблонами и еще знаний чуток (дорожки, фейдеры)
Я юзал готовые шаблоны (штук 7 нормальных было, из них даже пару женских), т.к. никаких знаний, конечно, нет

Любой сдвиг любого ползунка превращает голос в скрежет
В общем, подмена голоса - это сложная штука, нужны компетенции

И, конечно, это только ПК, т.к. под телефон никто еще такого не написал (это вполне реально, кстати, но довольно трудоемко)

Т.е. когда вы слышите о подмене голоса, на уровне gsm/sip, и при этом в цепочке нет ПК - это просто смех, поверьте старому

Теперь, возвращаясь к крипто-симкам:

По факту, это - обычная симка + подмена номера + подмена голоса (беспонтовая)

Только сама эта обычная симка (а = и тарифы по ней) стоит конских денег, при этом она автоматически становится персональным маячком: imsi-то не меняется

Такие вещи, как:
1. Отсутствие биллинга (он же пеленгация, он же локация)
2. Защита от перехвата (левые БС, прослушка)
3. Хоть сколько-нибудь достойное шифрование канала

Все это (1-2-3) недостижимо на уровне симки, да и вообще на уровне gsm
Не существует безопасной gsm-связи, протокол 80х годов, о чем тут вообще можно говорить? Решето

Эти угрозы (1-2-3) можно обойти только ручками и мозгом:
(a) регулярно меняя симкарты+imei
(b) не общаясь по gsm-каналу, т.е. никакого голоса и смс, только интернет, только хардкор

А все бонусы крипто симки (подмена номера/голоса) и так реализованы в беспалике из коробки (это обычная sip-телефония, никакой магии и симкарт по $100-200), и ими в любом случае намного безопаснее пользоваться из-под doubleVPN (bespale😌) чем тупо из-под симкарты

При этом помним, что подмена голоса - по сути баловство

Возможно, однажды мы сделаем свою подмену голоса, BespaleVoice какой-нибудь..
Возможно, это сделает кто-то другой, и тогда мы нагло добавим это в нашу сборку, но на сегодняшний день не существует достойного мобильного решения, к сожалению, поэтому не стоит тратить деньги на эту ересь.

Надеюсь теперь стал более понятен и очевиден наш посыл о:
(a) регулярной смене симок (одновременно со сменой imei, конечно, ведь весь инструментарий и какие imei прописывать, особенно с учетом последних новостей, мы предоставляем и наглядно показываем)
(b) использовании только интернет-канала (мессенджеры, тот же sip - хотя бы все 2 раза зашифровано со старта нашим даблом)

На этом вопрос по криптосимкам будем считать закрытым

А если кто-то вам скажет, что круто зашифровал gsm-канал, мило улыбнитесь, потому что это действительно забавно

Q: Что делать с фейк БС/прослушкой/перехватами пакетов?
A: НИ-ЧЕ-ГО, мы давно позаботились, ведь это объективная ежесекундная реальность, а, кстати, вот конкретно сейчас со всем этим что вы делаете?😁

Все просто:
(a) меняем сим+имей - путаем следы
(b) пользуемся только интернет каналом - х че они когда оттуда размотают: openvpn на максималках 2 раза, гуглите на здоровье, это не ломается, с ключами все в порядке, никаких лишних копий, сервера под убийственными фаерволами, на них ничего кроме впн не стоит, значит нечего сплоитить, вход по ключу, ключ в яйце, яйцо в ларце, ларец у кощея - максимально железо-бетонная сетевая конструкция, насколько это в принципе достижимо на декабрь 2019 года

Помните, однако, что юзая sip даже из под такого железо-бетона, на том конце вас все равно ждет gsm, со всеми его прелестями, типа сорма итд

Заведите себе секретаря для белых звонков, в конце концов

Q: Кнопка PANIC? Что с ней? Где она?
A: Да, действительно, мой дорогой и любимый кодер, ты же читаешь это? Где она? Видишь, мы все ждем, постарайся, пожалуйста, мой золотой, на тебе ответственность, люди ждут

На самом деле, мы уже тестим.
Не все просто, но путь виден, он есть, мы по нему идем, и уже совсем скоро добавим этот бешеный эксклюзив в сборку, а также, конечно, обновим всех наших любимчиков😘

Да, это будет пока программно, но и да, это будет наверняка - похоронить данные навсегда, нажав кнопку на экране, а равно..😏 введя пароль с локскрина, т.е.:

👮🏻‍♂️: разблокируйте телефон, пожалуйста
😏: да, вот пожалуйста.. ой чет глючит, смотрите, бывает с ним такое, эти андроиды, знаете.. ну сейчас перезагрузится быстро [пустым только, единственное]

Уже скоро, мои хорошие, очень скоро, мы очень стараемся.

Стараемся, ведь, братишка мой дорогой?

Q: Деньги. Слишком дорого/слишком дешево (🙈 бывает же такое, без обид ребят). Как платить? Какие гарантии что не кинешь?
A: По поводу дорого, скажу просто: оцените рынок, он совсем небольшой, но есть
Готов с любым конкурентом встать в спарринг по беспалевности, держа в правой руке весь свой функционал, а в левой цену в 35к
Даже хочу это сделать, если кто в состоянии такие дебаты организовать, с удовольствием приму участие.. и разъ.. на... ну вы поняли

По поводу дешево - no comment

По поводу как платить - мы принимаем qiwi | btc | на карту
Также, с нами можно заключить сделку на darkmoney | migalki | probiv, с использованием местных гарант-сервисов (пока еще везде есть бесплатные места, т.е. гарант-за-наш-счет), и у них еще есть другие способы оплаты, кстати

От гарантов плавно перетекаем к гарантиям
Ну помимо того, что в даркнете гарант и есть самая главная гарантия, если кто не знал (только не лошиные самопальные, а проверенные годами площадки - существенный нюанс😁)
Но хочу еще один финт ушами исполнить, отсебятинки немного:

Торжественно и чинно обязуюсь в течение первых двух недель сделать манибек любому ОСОЗНАННО* недовольному клиенту

*Осознанно означает, что вы ознакомились со списком всех функций, каждую из них поняли головой, и при этом
1. что-то из анонимности/безопасности не работает - сходу манибек, да и вообще повод лавочку закрывать
2. что-то из юзабилити не работает и мы это не исправили в течение 3 суток - манибек
3. мы не отвечаем на ваш запрос в поддержку больше суток - манибек

Считаю сей список исчерпывающим для определения осознанно недовольного клиента

Вот настолько я уверен в этом продукте, братья и сестры

Валейкум шалом, братья и сестры