STEEM на русском на steeme.ru
Горячее
Лучшее
Новое
 
STEEME.RU :: Записи с тэгом "security"
$4.114

Смена WIF ключей

## Ахтунг! Итак, сегодня многие заметили красную плашку со ссылкой [Important security update #1](https://steemit.com/steemit/@steemit3/first-update-to-july-14-security-announcement-from-steemit-ceo-ned-scott) на главной странице.

Там исполнительный директор Steem - Нэд Скотт просит поменять приватные ключи из-за того, что хакеры угнали около 260 аккаунтов и слили с них ~ 85 килобаксов. По его заверению наши аккаунты в безопасности, но её не бывает слишком много.

Создания нового ключапароля

Для того, чтобы изменить свой WIF ключ его нужно сгенерировать. Сделать это можно так:

  1. Paperwallet Generator - это оффлайн генератор ключей. Нужно скачать архив, распаковать его и запустить в браузере страницу. Я немного насторожился, зачем вводить туда имя аккаунта и пароль, но шарящие в программировании люди подтвердили в комментах, что код чистый и кейлогеров не обнаружено.
  2. BitAddress - сервис, позволяющий сгенерировать ключи.
    • Сохраните страницу локально и открыть её в браузере.
    • Затем поводить мышкой по экрану некоторое время для генерации случайной комбинации,
    • Выбрать ссылку "Bulk Wallet"
    • Изменить количество линии (Rows to generate) на 4, снять галку "Compressed addresses?" и нажать кнопку "Generate".
    • Получить 4 приватных ключа.
  3. Если вы занимаетесь майнингом, сгенерировать новые ключи можно с помощью приложение cli_wallet.exe. Для этого нужно запустить клиент кошелька, разблокировать его и ввести: suggest_brain_key После чего будет сгенерирован ключ (строка "wif_priv_key")
  4. Для создания ключей можно воспользоваться генераторами, встроенными в менеджеры паролей (PassKey, 1Password и другие).
Обязательно сохраняем новые ключи в надежном ~~и недоступном для детей~~ месте! Изменения ключей аккаунта

Теперь у нас на руках есть новые ключи и самое время их поменять. Для этого нажимаем на свою аватарку в правом верхнем углу и идем в раздел "Permission". Чтобы изменить ключи, необходимо авторизоваться (нажать ссылку "Login") рядом с "OWNER" ключем и ввести главный пароль, либо этот самый OWNER ключ. Теперь, чтобы изменить ключ вашего аккаунта нажимаем на иконку с карандашем и вводим один из сгенерированных ключей. Обязательно записываем какая у него роль!

Зачем столько ключей

Что "открывают" ключи? Posting key - позволяет аккаунту создавать посты, оставлять комментарии, ~~лайкать~~ голосовать Active key - разрешает производить операции с балансом, изменять другие ключи (кроме owner) Owner key - "главный" ключ владельца аккаунта в вашей связке Memo key - открывает доступ к приватным сообщениям

Когда вы регистрировались в Steem через FB или Reddit, то указывали мастер-пароль. Это "супер-ключ" от вашего акаунта! Если вы его потеряете - потеряете и аккаунт. Восстановить его будет невозможно! Поэтому самое глупое действие это - постоянно использовать этот пароль для авторизации на ресурсе. И уж тем более сохранить его в браузере.

Достаточно использовать только ключ "Posting" для повседневных действий. Поэтому после того как вы изменили (и записали!) новые ключи - делайте "Log Out" и авторизовывайтесь использую связку Login - Posting key.

Будут вопросы - спрашивайте 8)

$1.588

The security services continue to intercept SMS-authentication codes Telegram - Спецслужбы продолжают перехватывать SMS-коды авторизации Telegram

#security #ru #en #telegram

English-speaking users, please use translators on Google or Bing

 Примерно три месяца назад Павел Дуров предупредил пользователей, что авторизация по SMS в мессенджере Telegram скомпрометирована. «Судя по всему, спецслужбы РФ решили начать давить на операторов связи, чтобы те стали осуществлять перехват авторизационного SMS-кода. Обычно такое встречается только в рамках людоедских, не заботящихся о своей репутации режимах — средняя Азия, иногда Ближний Восток. Но внезапно случилось в России (если, конечно, отсечь коррупцию внутри МТС)», — сказал Павел Дуров и пообещал сделать рассылку для всех пользователей с советом включить двухфакторную авторизацию, так как операторы связи РФ как верификатор ненадёжны.

 К сожалению, даже двухфакторная авторизация не является панацеей. Вчера один из пользователей Telegram Сергей Пархоменкоподробно описал, как злоумышленникам удалось уничтожить его аккаунт, на котором была включена двухфакторная аутентификация.

Суть событий вкратце:

На телефон внезапно посыпались один за другим коды для доступа к аккаунту, которые я не запрашивал. Потом при попытке войти в свой аккаунт мне предложили сделать это так, как будто это происходит в первый раз. В открывшемся интерфейсе обнаружилось, что вся история переписки, все чаты, все контакты исчезли. Аккаунт оказался новым, как бы девственно чистым.

Среди открытых сессий обнаружилась одна — сделанная с постороннего компьютера (у меня нет ни одного PC).

Короче говоря, это означает, что взломать аккаунт и увести переписку злодеям не удалось, но удалось его уничтожить. Пришлось мне его грохнуть и открыть новый ещё раз, уже осознанно, пройдя через процедуру удаления и заведения эккаунта, — для надёжности.

Внизу скриншот с записью о «левой» открытой сессии — для любителей покопаться в IP-адресах. Привет обладателю этого адреса. Надеюсь, однажды вас всех будут судить.


 После общения с техподдержкой Telegram Сергею Пархоменко сегодня удалось узнать некоторые подробности о взломе своего аккаунта Telegram.

 Во-первых, злоумышленники действительно получили доступ к SMS-сообщениям жертвы через провайдера МТС.

 Взломать аккаунт они не смогли, потому что не знали пароля. Но зато в Telegram существует уязвимость в безопасности, которая позволяет удалить аккаунт и открыть вместо него новый только по SMS, что и сделали злоумышленники (возможно, со злости).

Представители Telegram заверили, что закроют уязвимость в течение ближайших дней.

 К сожалению, из-за высокого уровня безопасности Telegram восстановить данные в удалённом аккаунте невозможно.

 Довольно странно, что и в прошлый раз, и в этот раз взломы аккаунтов с перехватом кодов авторизации по SMS осуществлялись при помощи одного и того же оператора сотовой связи. «Все уже выучили: МТС сливает переписку абонентов спецслужбам в штатном режиме, — считает Антон Носик. — Там просто сидит специалист из ФСБ, которому для чтения чужих сообщений не нужно ни судебных решений, ни санкций прокуратуры. Он отслеживает СМС-переписку, иногда перехватывает управление номерами, иногда просто сливает сообщения в СМИ для публикации, — Понятно, что в теории, с точки зрения уязвимости и подконтрольности спецслужбам, все российские операторы в принципе одинаково уязвимы. Но также понятно, что риски пользователей Билайна и Мегафона являются теоретическими, а переписку абонентов МТС спецслужбы сегодня получают и изучают раньше конечных адресатов».

 Фрагмент SMS-переписки Максима Каца, которую злоумышленники целиком выложили в интернет

Источник: Geektimes

$0.765

4 способа регистрации STEEM аккаунтов: сравнительный обзор с точки зрения безопасности и анонимности

Как вы регистрировались в Стиме? 99.9%, т.е. подавляющее большинство (и я в том числе!) пользователей Стима подключились к системе, используя "официальную" форму регистрации на сайте steemit.com.

Но нужно понимать, что основанная на технологии блокчейн сеть STEEM и сайт steemit.com - это две отдельные сущности, пусть и тесно связанные друг с другом одной командой разработчиков. Блокчейн сеть STEEM - это основа, внутренний протокол, плоть и кровь Стима, а сайт - это внешняя оболочка, удобный пользовательский интерфейс, красивое "лицо" системы.

Что это значит с практической точки зрения? А то, что для работы с сетью STEEM не всегда обязательно пользоваться внешним интерфейсом - можно работать напрямую с протоколом. И в некоторых случаях такое прямое взаимодействие с блокчейном Стима может быть не просто оправданным, но и необходимым.

Давайте рассмотрим конкретную ситуацию регистрации нового аккаунта в Стиме.

Возможно, не все в курсе, но есть как минимум четыре разных способа открыть новый STEEM аккаунт. Все эти способы отличаются друг от друга по степени анонимности (раскрытию персональной информации), безопасности (защищённости создаваемого аккаунта) и по сложности использования и навыкам компьютерной грамотности, предъявляемым к пользователям в процессе регистрации.

Возможно, вам достаточно только "официального" способа, но если у вас есть специфические планы по работе в Стиме, например вам нужна полная анонимность, то вам следует использовать один из других вариантов, перечисленных ниже.

1. Официальная регистрация на сайте Steemit.com

Это самый простой и быстрый способ подключиться к системе - для этого вам потребуется аккаунт в Facebook (без каких-либо дополнительных условий) или аккаунт в социальной сети Reddit (с положительной кармой комментатора). На балансе нового аккаунта будет сумма в 7 STEEM. Впрочем, эта цифра всё время меняется и зависит от настроек сети. Не буду вдаваться в подробности - в любом случае, с таким аккаунтом вы будете полноправным участником сети, т.е. сможете размещать посты, оставлять комментарии и голосовать за чужие посты без каких-либо ограничений.

Однако, несмотря на доступность и простоту использования "официальной" формы регистрации у неё есть две принципиальных особенности.

Во-первых, такие аккаунты не анонимны - ваш аккаунт привязан в профилю в социальной сети, разработчикам известен также адрес вашей электронной почты. Кроме того, ответственность за безопасность вашего аккаунта полностью лежит на разработчиках сайта steemit.com. Хотя они и декларируют (и у меня нет оснований сомневаться в этом) что не имеют доступа к сгенерированным при регистрации ключам управления пользовательскими аккаунтами, тем не менее процесс генерации этих ключей производится не вами, а смена ключа владельца (т.е. последующая передача или продажа аккаунта) невозможна без одобрения разработчиков.

2. Регистрация с использованием консольных команд cli_wallet

Для использования этого способа вам необходимо скачать исходный код Стим, затем скомпилировать и установить пакет программ и синхронизовать кошелёк с сетью STEEM. Это уже не так просто (по сравнению с регистрацией через официальный сайт) сделать, т.к. нужно обладать достаточно глубокими познаниями и навыками компиляции программ. Скорее всего, вам также понадобятся навыки работы с Linux системами (а также компьютер в Linux на борту).

И это не быстрый способ - потребуется время на сборку кошелька и его синхронизацию с сетью.

Если у вас всё получится, то вы получите консольный доступ для работы с блокчейном STEEM напрямую. В кошельке для этого есть множество программ, но для целей регистрации аккаунта вам нужны команды:

  • get_account - для проверки имени аккаунта на занятость
  • suggest_brain_key - для генерации ключей доступа (owner, active, posting и memo)
  • create_account - для создания аккаунта на основе сгенерённых ключей (не забудьте их сохранить!)

Останавливаться на подробном формате этих команд я сейчас не буду - если есть желание, можете самостоятельно посмотреть в исходных кодах или я могу написать отдельную статью, если будет интерес.

Главное, что нужно знать о таком способе регистрации: он гарантирует полную безопасность, т.к. ключи доступа вы генерите самостоятельно и никто их не может получить даже теоретически. Кроме того, система безопасности STEEM привязывает новый аккаунт к вашему уже существующему (а не к аккаунту разработчиков), так что вы получаете и полный контроль над всеми последующими действиями и ничем не ограничены. Но в этом есть и минус: такой аккаунт не может считаться полностью анонимным, т.к. он привязан к вашему основному аккаунту и эта связь навсегда зафиксирована в блокчейне.

Как и в первом способе, на счету у вас будет 7 STEEM и созданный пользователь ничем не ограничен - можно свободно писать, комментировать и голосовать.

3. Покупка услуги по регистрации аккаунта

Ограничения на анонимность новых пользователей при регистрации через официальный сайт и через консоль cli_wallet привели к созданию нескольких сервисов, позволяющих за небольшую плату зарегистрировать для вас новый аккаунт в Стиме.

Процедура довольно простая, не сложнее заполнения официальной формы - вам нужно лишь выбрать имя нового пользователя и заплатить стоимость регистрации. При этом 7 STEEM также будут начислены на баланс нового пользователя, а дополнительные расходы незначительны, чтобы считать их существенными. Оплата принимается в криптовалюте, новый пользователь никак не ассоциируется с вашим существующим аккаунтом и этот способ можно считать достаточно анонимным.

С точки зрения безопасности, к сожалению, не всё так хорошо. После оплаты регистрации вам выдадут все ключи управления и создатели сервиса дают обещания, что не сохраняют дубликаты у себя. Но сто процентной гарантии безопасности, увы, нет.

К тому же создаваемый аккаунт будет привязан к аккаунту владельца сервиса и у вас не будет контроля над встроенными в сеть Стим функциями безопасности аккаунтов.

4. PoW майнинг

Самый безопасный и анонимный способ создания новых пользователей в Стим. Я не буду подробно рассказывать, как майнить STEEM - про это написано много и подробно. Главное, что вы можете настроить майнинг, выбрав несуществующий аккаунт. И после нахождения и подтверждения PoW блока ваш аккаунт будет зарегистрирован в сети.

Это абсолютно анонимно - новый пользователь не будет связан ни с каким другим пользователей. И это абсолютно безопасно - вы сами генерите ключи доступа и никто больше не прикасается к ним.

Небольшой минус состоит в том, что на балансе у вас будет всего 1 STEEM. Этого достаточно, чтобы вы могли без ограничений публиковать посты и участвовать в обсуждениях. Но этого не хватит для голосования за чужие посты, т.е. функция курирования будет недоступна, пока вы не накопите больше Steem Power.

Еще одна особенность - для того, чтобы залогиниться на официальном сайте с таким аккаунтом, вам может потребоваться сменить posting ключ. Как это сделать, я подробнее писал у себя в блоге (на английском, но думаю разберётесь, тем более что там выложены полные примеры команд).

Для наглядности я составил сравнительную таблицу перечисленных способов регистрации в STEEM'е:   Анонимность Безопасность Сложность "Официальная" регистрация cli_wallet Покупка регистрации PoW майнинг Как видно, нет идеального способа регистрации в Стиме - любой из рассмотренных вариантов имеет определённые недостатки. Т.е. выбирая между простотой регистрации, анонимностью и безопасностью - всегда придётся пожертвовать одним или несколькими пунктами). Но зато у вас теперь есть осознанный выбор - как именно подключиться к сети STEEM, в зависимости от ваших потребностей, планов и целей здесь.
$0.215

Steem Network Threatened

I began to test the network for resistance to spam attacks. In my last test I had the 1 account - https://steemd.com/@steemitmarket. I walked for a time limit - I edited the post, changing the entire content of 60kB, 4-8 times per minute. that is, if the block - 64 KB in 3 seconds, taking the 20-30 accounts (and maybe with 2-3, using a script), you can score a tight network. after hours, nothing has changed.

я начал тестировать сеть на устойчивость к спам атакам. В последнем моём тесте мне хватило одного аккаунта - https://steemd.com/@steemitmarket . я обошёл ограничение по времени - я редактировал пост , меняя всё содержание 60kB, 4-8 раз в минуту. то есть,если блок - 64 кБ в 3 секунды, взяв 20-30 аккаунтов( а может быть и с 2-3, используя скрипт), можно наглухо забить сеть. по прошествии часа ничего не поменялось.

$0.084

Как я умудрился за 1 день задолжать Amazon 12000$

 #money #security #amazon #two-factor #ru

Прочитайте эту историю. Крайне интересно! )

Автор: Николай Бекетов @jorikfon (ссылка на профиль Geektimes)
Программист 1С, C++, C#, PHP и других языков

 Я руководитель небольшой IT-компании из Зеленограда. Занимаемся интеграцией программ 1С и телефонии. В компании работает чуть менее 20 человек и так получилось, что за всю IT инфраструктуру отвечаю я сам.

 В принципе, я люблю этим заниматься и знакомиться с различными новыми технологиями. Одной из таких технологий стала виртуализация и, в частности, такой интересный сервис, как Amazon AWS.

 Часто бывает необходимо быстро развернуть несколько виртуальных машин с белыми IP адресами в лабораторных целях, попользоваться ими пару дней, и прибить без сожаления. В терминологии Amazon этот сервис называется EC2, и позволяет за считанные минуты выполнять такие манипуляции. Это очень удобно и стоит копейки, т.к. оплата происходит по часовому тарифу.

Итак, в далеком 2011 году я активно изучал Asterisk и пользовался сервисом, в конце месяца с моей карты списывали по 20$-30$. Затем необходимость в сервисе пропала, я выключил все машины, сделал какие-то бекапы и стал ежемесячно получать счета в размере $3.66 и все как-то руки не доходили узнать, за что списывалась эта сумма.  

 Первая ласточка

 Мы занялись новым проектом и появилась необходимость создать отказоустойчивую конфигурацию. Я, конечно, вспомнил о Amazon AWS. Зашел в админку, посмотрел, что нового появилось, походил по пунктам меню, разобрался, за что списывают 3.66, это был бекап виртуальной машины размером в 50 гигабайт, удалил его, и с чувством выполненного долга лег спать.

 Утром был понедельник, много работы и в сотне писем от клиентов и коллег, неприметное письмо от Amazon с следующим содержанием:

  • Greetings from Amazon Web Services,
    Please take the time to read this message — it contains important information about your Amazon Web Services account.Greetings from Amazon Web Services, Please take the time to read this message — it contains important information about your Amazon Web Services account. At Amazon Web Services, we routinely perform reviews of orders and customer accounts to protect our customers. After careful review of your account, we believe it may have been accessed and used by a third-party without your permission. Please review your AWS account for unauthorized activity per the directions below. It seems that someone obtained your personal account and/or financial information elsewhere, and used it to access your Amazon Web Services account. If the activity was not authorized, your account will remain open for Five (5) days in order that you may secure your account. To regain access to your account, first, you will need to reset your password when you return to our site. Just click “Your Account” at the top of our Home page and select “Forgot your Password?” Enter your email address as prompted, and once completed, we'll send you an e-mail containing a personalized link. Click the link from the e-mail and follow the directions provided. Your new password will be effective immediately. If there is no unauthorized activity please reply as such and there are no additional actions needed. In addition to resetting your password, we require that you log into your AWS Management Console at console.aws.amazon.com, check if all usage is authorized, and delete all unauthorized resources. Please pay special attention to the running EC2 instances, EC2 Spot Bids, IAM users, and access keys (please check all regions — to switch between regions use the drop-down in the top-right corner of the management console screen).

А я еще и в английском не силен, ну думаю вот чудаки, это же я вчера заходил и на все кнопки там нажимал спустя пол года, а они уже панику бьют, ладно зайду вечером продолжу начатое…

 Вечером

 Перед сном я люблю сделать что-нибудь полезное, особенно с 12 до 2-х ночи. Открыл письмо, захожу в аккаунт и вижу… что у меня запущено 20 виртуальных машин, причем достаточно мощных, а значит, и дорогих.  

 Сердце застучало, я их выделяю скопом и за пару секунд пытаюсь удалить, не получается, тогда просто останавливаю. Ну, думаю, взломали гады, попал на сотню другую долларов, а ведь у меня все карточки привязаны к аккаунту.

 Захожу в биллинг, а там такая картинка: 

 Оказывается, у меня запущено не 20 машин, а 140!!! На каждом континенте, в каждом амазоновском датацентре. Вот это я попал!

Характеристики арендованных машин: 

 Ближайший час я все это пытался остановить, поменял пароль на вход, включил двухфакторную авторизацию и создал кейс в службу поддержки с вопросом: «Что мне с этим всем делать?»

Утром

 Утром посмотрел цену на свой автомобиль, ну, примерно половину суммы есть. Естественно, никакого желания расставаться с такой огромной, по нынешним временам суммой, у меня не было. Кейс продолжал висеть в статусе не рассмотрен, а у меня появилась еще одна «веселая» история, о том как попасть на 12000$, причем я достаточно аккуратно отношусь к вопросам безопасности и вопрос: «Каким образом у меня увели этот пароль?» продолжал меня мучать.

 Я попытался отвязать свои карточки от амазоновского биллинга, на что он мне ответил отказом и требованием зайти на сайт магазина Amazon.com и там манипулировать своим аккаунтом.

 Сайт Amazon.com встретил меня парой вопросов о том, кто мой первый руководитель и как зовут друга детства, и разрешил отвязать мою кредитку. Половина дела сделано.

 Тут раздается звонок на сотовом, с явно не российским кодом страны. Так как я не владею никакими языками кроме 1С, C++, C# и PHP, то и поднимать трубку не стал. Благо через 15 минут увидел первый ответ саппорта.

 Завязалась небольшая беседа с помощью коллеги и Google переводчика. Саппорт понял ситуацию и начал давать мне задания. Сменить пароли, удалить все виртуальные машины во всех ЦОД, удалить все заявки на аукционах покупки вычислительных мощностей. А так как в аккаунте у меня вообще не было ничего моего, я вежливо попросил удалить мне все централизованно, на что мне также вежливо отказали.

 Каждая виртуальная машина была защищена от удаления, приходилось заходить в настройки и снимать специальную галочку. Это развлечение заняло у меня еще полтора часа. Когда я удалял машины, заметил что время создания и запуска у них было у всех одинаковым, значит их создавали каким-то скриптом.

 После удаления всех 140 машин я решил пробежаться по всем вкладкам и проверить, все ли ок. И что я вижу? Прямо на моих глазах появляются новые машины, объединяются в кластер и запускаются. И это после смены всех паролей и включения двухфакторной авторизации…

 Выключаю машины, читаю внимательно задание саппорта еще раз, и вижу строчку про ротацию API ключей. Вот блин, нахожу их в недрах настроек системы авторизации, смотрю на дату — 2011 год, и без сожаления удаляю нафиг, даже не припомню, сам я их создал или получил в нагрузку при регистрации.

 После этого, у меня еще около 40 минут уходит на удаление новых 60 машин.

 Сообщаю саппорту о выполнении квеста, на что получаю ответ о том, что мой вопрос будет передан в финансовую группу, все-таки сумма не маленькая и не ждите быстрого ответа.

 Вот фрагмент выписки из моего счета: 

 Звонок из Люксембурга

Спустя некоторое время раздается опять звонок. Я опять не беру, без толку мычать что-то в трубку, не понимая вопросов. В почте письмо, по-русски, от некоторого чувака, который отвечает за европейский сегмент, с вопросом когда можно созвониться и поговорить. Я обрадовался, наконец можно с русскоговорящим человеком пообщаться и узнать перспективы. Прошу перезвонить мне.

 Чувак представляется менеджером по продажам, интересуется, что у меня за проект, который потребовал столько мощности и не нужна ли мне скидка или какая-то помощь. Я объяснил ситуацию, рассказал, что меня взломали, дал номер кейса. Человек на том конце с пониманием отнесся к проблеме, посочувствовал и сказал обращаться по любым вопросам. Приятно, когда у компании человеческое лицо.

 Продолжение следует...

Из полезного я уже включил двухфакторную авторизацию везде, где только смог. Помучал свой MacBook разными антивирусами, которые ничего не нашли.

Прошло около 5 дней, пока никаких новостей нет, сумма долга висит за мной, 4 апреля расчетный день…

~ Есть подозрение, что взлом произошел после атаки на сайт Bitrix, в котором было подключено S3 хранилище и указан API ключ, потому что за день до взлома в модуле продуктивной защиты было написано что отражено 314К попыток взлома, и у меня на сайте было заполнено 1800 форм обратной связи :(

~ Ребята из поддержки Bitrix провели анализ логов сайта. Попытка атаки была, пытались подобрать пароли к админке, использовать SQL инъекции и XSS уязвимости, но подтверждения взлома нет.
Больше API ключ нигде не использовался… Амазон пока молчит.

~ Вопрос решен, в качестве разовой акции мне согласились списать долг. Респект ребятам из амазона :)   

 Запросил у них логи с IP адресами. Хочу все-же понять, угнали пароль или API ключи. У меня и дома и на работе статические IP адреса, и по логам я смогу установить первый неавторизованный вход. 

Источник: Geektimes

$0.076

Эдвард Сноуден и хакер Банни разработали прибор для мониторинга сигналов GSM, GPS, WiFi, Bluetooth, NFC на шине телефона

#iphone #snowden #ru #security #edward #services #smartphone 

 Реверс-инжиниринг iPhone 6

 Подключение к контактам шины FE1 и FE2 в iPhone 6. Точки подключения с обратной стороны печатной платы выведены проволокой на лицевую сторону для удобства подключения. Коннектор SIM-карты снят 

 Когда Эдвард Сноуден встречался с репортёрами в гонконгской гостинице, то просил сложить телефоны в холодильник (бытовой аналог клетки Фарадея), чтобы блокировать любые радиосигналы, которые можно использовать для отслеживания устройств или удалённой активации микрофонов и камер. В посольствах некоторых стран и других защищённых помещениях обычно просят сдать телефон на входе и/или вынуть аккумулятор.

Отключение телефона или клетка Фарадея — попытки временно деактивировать «жучок», который человек постоянно носит с собой. Такие способы не очень практичны и эффективны. Эдвард Сноуден вместе с известным аппаратным хакером Эндрю "Банни" Хуангомразработали удобную и надёжную альтернативу — похожий на чехол «прибор самоанализа» (introspection engine) для постоянного мониторинга сигналов, которые отправляют встроенные антенны телефона. 

 Подключение к контактам шины FE1 и FE2 в iPhone 6 с обратной стороны печатной платы. Для эксперимента снято покрытие RF shield, а места подключений очищены от паяльной маски механическим способом 

 «Прибор самоанализа» оснащён индикатором, который мгновенно уведомляет владельца при поступлении или передаче сигнала с мобильного телефона. Можно сказать, что это гораздо более продвинутая версия стандартного EMF-стикера для телефона, который светится под воздействием электромагнитного поля (8,59 руб. в китайском магазине). Такой гарантированный способ наглядно убедиться, что телефон не передаёт никаких сигналов даже если включен «Режим самолёта».

Разработанный прибор будет выглядеть как корпус для iPhone 6 с монохромным экраном и внешним аккумулятором. Но на самом деле это довольно продвинутое устройство — что-то вроде «компактного осциллографа», который напрямую подключается к электронной плате через контакты возле коннектора SIM-карты. Подключившись к плате, прибор распознаёт на шине сигналы со встроенных антенн, которые используются приёмопередатчиками GSM (2G/3G/4G), GPS, WiFi, Bluetooth и NFC. Произвести обратную разработку iPhone 6 и установить сигналы этих интерфейсов помогли китайские моддеры, у которых есть схемы и документация для iPhone 6.

Обе шины FE1 и FE2 в iPhone 6 работают на частоте 20 МГц под напряжением 1,8 В. Эти шины преимущественно используются для конфигурации радиопередатчиков телефона. 

 Пример трафика по шине FE1 

 Пример сигнала Wifi UART, декодированного Tek MDO4014B

 Таблица сигналов, доступных для изучения на iPhone 6 

;

 Получая реальный трафик с шины, устройство подаёт сигнал в том случае, если телефон начал несанкционированную передачу данных.

Эдвард Сноуден считает, что в первую очередь устройство предназначено для журналистов. Ведь в авторитарных странах именно журналисты являются главной мишенью спецслужб, которые устанавливают эксплоиты на их мобильные телефоны.

Эндрю Хуанг говорит, что, в принципе, можно настроить прибор даже на автоматическое отключение телефона в случае обнаружения несанкционированного сигнала.

«Наш подход такой: противник государственного уровня очень могуч, так что мы предполагаем, что телефон по-любому скомпрометирован [на программном уровне], — сказал Банни. — Поэтому мы смотрим на аппаратные сигналы, которые исключительно трудно подделать. 

Эндрю Хуанг добавил, что такой метод надёжнее, чем клетка Фарадея, которая всё равно может пропускать радиосигнал. И это лучше, чем выключение смартфона с помощью кнопки, потому что уже созданы зловреды, которые распознают нажатие кнопки и демонстрируют анимацию, как будто телефон отключается (а потом включается). В 2014 году Сноуден говорил, что такими закладками пользуется АНБ. Можно предположить, что похожий софт есть и у российских спецслужб.

В наше время такие защитные устройства для телефонов нужны не только журналистам, но и всем остальным гражданам, которые могут совершенно неожиданно для себя стать объектами слежки и незаконного преследования, что уже неоднократно случалось.

Сам Эдвард Сноуден с 2013 года отказался от использования смартфонов и любых других гаджетов с беспроводной связью, чтобы американские спецслужбы не смогли вычислить его фактическое местонахождение в России. Судя по всему, план сработал: пока нет никаких свидетельств, что координаты Сноудена известны кому-то ещё, кроме его российских кураторов, адвоката и девушки.

Сноуден подчёркивает, что компактный осциллограф с автоматической блокировкой посторонних радиосигналов со смартфона — не панацея, но это один из способов значительно повысить для врага сложность и стоимость слежки. Повысив стоимость слежки, мы можем заставить врага отказаться от неё. В большинстве случаев спецслужбы решат, что объект не стоит значительных усилий, необходимых для обхода аппаратной защиты. Сейчас массовая прослушка населения возможна только по той причине, что это дёшево и доступно. Использование шифрования и аппаратных блокираторов сигнала изменит ситуацию — в результате, и сами спецслужбы могут прекратить свою незаконную практику, говорит Сноуден.

Пока что проект компактного осциллографа Сноудена-Банни находится на стадии проекта. Опубликована техническая документация с подробным описанием технологии. Авторы надеются изготовить прототип в следующем году и заказать партию таких приборов где-нибудь на китайской фабрике, которая принимает мелкооптовые заказы на производство по оригинальным макетам. У хакера Банни уже есть опыт производства в Китае электронных схем, которые он разработал самостоятельно.

Готовый гаджет может выглядеть примерно так.

 Эндрю Хуанг добавил, что аппаратный дизайн устройства и исходные коды встроенных программ, разумеется, будут опубликованы в открытом доступе.

Банни сейчас живёт в Сингапуре, но ежемесячно ездит в Шэньчжэнь на встречи с производителями. Он говорит, что у китайских коллег вполне достаточно опыта для производства такой электроники, ведь там очень развит рынок ремонта и модификации iPhone. Более того, если какой-то крупный заказчик (например, крупная газета) закажет партию таких чехлов для защиты телефонов своих сотрудников, то Банни готов организовать производство такой партии. «Обычный американский DIY-энтузиаст подумает, что это полное безумие. Обычный китайские парень, который делает модификации iPhone в Китае, посмотрит на это и скажет, что никаких проблем», — добавил Эндрю Хуанг.

Сноуден и Банни никогда не встречались лично, но Эдвард Сноуден положительно отозвался о коллеге: «Это один из аппаратных исследователей, которых я уважаю больше всех в мире», — сказал он и добавил, что начал переписываться с ним по зашифрованному каналу в мессенджере Signal в конце 2015 года. Идея разработки такого устрйоства принадлежит именно Сноудену, а Банни со своим опытов взлома и моддинга помог реализовать её в жизнь. 

Хуанг попытался создать наиболее простую схему прибора, которая в то же время соответствует параноидальным стандартам Сноудена. 

Хакер застенчиво признаёт: «Если бы не участие Сноудена, это было бы довольно прозаическое устройство. Моё решение простое. Но оно поможет важной группе людей».

Источник: Geektimes

$0.07

Смена ключа в Steemit и где найти новый ключ. (Добавлено)

Раздобыть новый ключ можно на сайте bitaddress.org

  • Вкладка Bulk Wallet

______________________________________________

  • Rows to generate - 3 новых ключа-пароля
  • Compressed addresses - снять галочку
  • Нажать кнопу Generate

_________________________________________________

Новые ключи - во второй колонке 

  1. 5JZcUowSZZyg6PotcczJ8p1Ejtj6MmWUE9abcX7wGGzD46cxmni
  2. 5JabuQqsyQeY4VhV4HYL937kLbUeX9tCBfQ93JJGsfyJvjFPQTE
  3. 5JUaBdYjZL84sXuGCU2psXp2eqc7EpUdYmFh2cNNxKjHD9gstD3

Заменить ключи можно во вкладке Permissions

Представленные ключи использовать нежелательно - генерируйте свои.

Доработка по подсказке из комментария.

Вкладку Permissions можно найти нажав на миниатюру аватарки (картинка ниже)

Для смены ключа-пароля нужно  залогиниться (от же словечко). Жмите на login напротив ключа который желаете сменить и ставьте старый ключ-пароль.

После логина напротив строчки ключа-пароля будет иконка карандаш

Нажав на эту иконку можно ввети новый ключ-пароль

Не забуьте записать или запомнить новые ключи-пароли! )

Я сменил все. Пока сам разобрался, что к чему еще и не раз, но эту индивидуальные характеристики организма.

$0.02

Полиция России закупает ПО для масштабной слежки за пользователями социальных сетей

#news #independence #anonymity #security #ru

 Сегодня появилась информация  о том, что ГУ МВД по Свердловской области объявило о закупке  программно-аналитического модуля для уже существующей информационной  системы «Зеус». Это ПО используется свердловской полицией. Конкурс  должен состояться уже 8 августа, начальная стоимость годовой лицензии —  1,85 млн рублей.  

Полиция выложила подробное техническое задание.  В нем указано, что новый модуль должен позволять вести перманентное  наблюдение за любым пользователем социальных ресурсов. Модуль должен  уметь отслеживать добавление друзей этим человеком, показывать  уведомления о появлении новых постов, новые группы пользователя, его  фотографии, видео, круг общения.
Модуль для системы «Зеус» при желании оператора должен уметь создавать  социальную диаграмму окружения пользователя, с установлением связей  между конкретными людьми. В ТЗ указано, что от модуля требуется  возможность анализировать друзей, родственников, знакомых, общие группы  определенного пользователя. 

Кроме того, должна быть добавлена возможность поиска размещенных в  соцсетях снимков. Поиск и ранжирование фотографий необходимо  осуществлять по времени и ключевым словам. Модуль будет отображать и  место, где была сделана фотография. 

 Интересно, что часть указанных в ТЗ функций модуля работает с открытой  информацией из социальных сетей. Но есть и функции, которые могут  использоваться только при наличии доступа к закрытой информации, включая  переписку пользователя. В общем порядке это сделать невозможно, для  выполнения этого требования социальная сеть должна сама дать доступ ко  всем закрытым данным. Пока что неясно, существует ли такая  договоренность у полиции с отечественными и/или зарубежными ресурсами.  

Журналисты ресурса Znak.com связались с рядом специалистов, которые  знакомы с программным обеспечением «Зеус». По данным источников ресурса,  программный модуль прошел успешные тестирования в семи различных  регионах России, где с ним начала работать полиция. Этот модуль работает  в Новосибирской, Самарской и Тюменской области, ХМАО, Самаре, на Алтае и  в Липецкой области. При помощи этого ПО уже удалось выявить ряд  участников неформальных общественных организаций, признанных  экстремистскими, которые «предположительно осуществляли протестные  акции». В Липецке удалось выявить ряд сутенеров или их помощников,  размещавших объявления о высокооплачиваемой работе для девушек.  

Из всех упомянутых в материале регионов опубликовала аукционную документацию только Свердловская область.  

Пресс-секретарь ГУ МВД по Свердловской области Валерий Горелых уже  подтвердил факт закупки программного обеспечения для мониторинга  социальных ресурсов. Он утверждает, что такое ПО требуется полицейским  «для выполнения возложенных на них законом задач, в том числе в сфере  противодействия терроризму и экстремизму».  

По словам Горелых, у граждан, которые следуют букве закона, нет  оснований переживать за сохранность своей переписке в социальных сетях.  Волноваться можно тогда, если в переписке есть что-то противозаконное.  Работа с ПО для мониторинга соцсетей, утверждает пресс-секретарь ГУ МВД,  будет проводиться только после получения решения судебной инстанции.  «Работа в этом направлении необходима как для безопасности государства в  целом, так и для жителей Свердловской области», — заявил Горелых.  

Пресс-секретарь «ВКонтакте» Евгений Красников считает, что ПО, которое  закупает полиция, скорее всего, предназначено для мониторинга  общественной активности пользователей социальных сетей. То есть речь  идет о сборе только общедоступной информации. “ВКонтакте” строго  придерживается действующего законодательства и в полной мере соблюдает  конституционные права граждан», — сказал пресс-секретарь социальной  сети. 

Интернет-омбудсмен Дмитрий Мариничев заявил, что закупка ГУ МВД по  Свердловской области „нормальна“. К сожалению, Мариничев ничего не  сказал по поводу заявленной возможности „Зеуса“ читать личную переписку  граждан. 

«Это все равно что купить автомобиль для патрулирования  местности. Не стоит забывать, что мониторинг будет осуществляться в  «общественных» местах. Все, что люди пишут, фотографируют и так далее,  они делают достоянием общественности. Посмотрите на это с такой стороны.  Технологии распознавания лиц очень мощно эволюционировали в последние  годы. Мониторинг и автоматическое распознавание могут наткнуться на  фотографии, которые вы сделали на курорте. И на заднем плане робот  распознает преступника, скрывшегося с места преступления. На основании  этого предположения будет проведена проверка и задержан преступник,  который может быть угрозой вашей жизни и вашему здоровью», — сказал он.

Интереснее всего то, что ГУ МВД Свердловской области пыталось купить  такой же модуль еще в ноябре 2015 года, когда „закон Яровой“ еще не был  принят. Один из источников ресурса Znak заявил, что „Зеус“ в своей  работе использует закрытый интерфейс российских социальных сетей. Этим  интерфейсом, якобы, „соцсети довольно давно поделились с силовиками».  Этот же источник заявляет, что сотрудники МВД и ФСБ получили доступ к  личным данным российским пользователям “задолго до принятия закона  Яровой». 

Источник: Geektimes

$0.005

Беспарольная авторизация через блокчейн

Беспарольная авторизация через блокчейн

Последнее время я думаю над тем, насколько неудобна текущая система аутентификации, построенная на логинах и паролях. Люди постоянно забывают пароли - 37% пользователей обращаются за помощью по этому поводу в течении месяца как минимум на одном вебсайте, по данным Deloitte. Для того, чтобы не забывать их, люди стараются использовать максимально простые комбинации одновременно на нескольких сайтах. Поэтому база из 10000 самых популярных паролей дает доступ к 98% всех аккаунтов, при этом средний пользователь использует только 5 разных паролей для доступа к 26 сервисам (по данным Experian).

Поэтому злоумышленники взламывают аккаунты именно через подбор или похищение данных пользователя. И если в 2013 году таких случаев было 76%, то в прошлом году стало 95% (Verizon Data Breach Investigation Reports). Оно и понятно, взломщики просто выбирают самое слабое место - простой пароль. Вы можете потратить много денег и создать для вашего сервиса очень качественную и защищенную систему безопасности - но все усилия бессмысленны из-за пароля "12345", выбранного вашим пользователем. Наверное, поэтому затраты на обеспечение безопасности каждого аккаунта пользователя составляют для западных компаний 201$, а сумма потерь от киберпреступности достигнет 2,1 триллиона долларов к 2019 году (в 4 раза больше, чем в 2015, по данным Juniper Research).

Какие бы усилия не прилагали эксперты по безопасности, рассказывая про требования к паролю при создании учетной записи, человеческую природу не победить, поэтому предлагаю зайти с другой стороны :)

Несмотря на существование многих сервисов, призванных облегчить или перебороть эту проблему, они служат лишь надстройкой, не меняя сути проблемы. Сервисы вроде 1Password и LastPass немного облегчают задачу, запоминая пароли или создавая один мастер-пароль. Многие другие программы (такие, как браузеры) также запоминают однажды введенный пароль и автоматически подставляют его при повторном посещении. Пока оставим за скобками снижение уровня безопасности при такой схеме, когда от фактора "что-то, что вы знаете" происходит переход к фактору "что-то, что у вас есть" - компьютер с установленной программой-"запоминалкой", когда к вашему аккаунту сразу появляется доступ у того, кто находится рядом с устройством и пароль вообще теряет смысл. Большей проблемой здесь, я считаю, является централизованная архитектура базы данных логинов и паролей, хранящаяся у сервиса. Ведь доступ к этой базе тоже доступен (внезапно) по логину и паролю. Конечно, тут пароль может быть сложнее, так как средний администратор более искушен в вопросах безопасности, чем средний пользователь. Поэтому получить доступ к этой базе может быть немного сложнее и потребуется кража файлика с паролями или листка бумаги, на котором он написан, как в сериале "Кремниевая долина" :)

Из-за всего этого прогрессивное человечество придумало еще один способ защиты особо важных аккаунтов - "двухфакторную авторизацию" или 2FA, основанную на комбинации факторов. Например, всем известный Google Authenticator - на компьютере нужно ввести код из смартфона, который обновляется через короткий промежуток времени. Опять же, решение это неидеальное и в плане безопасности - вводить код нужно на устройстве, которое может быть уже под контролем злоумышленника, и в плане удобства - каждый раз пользоваться такой схемой ленивым юзерам надоедает, и они это делают только для критически важных и/или нечасто используемых аккаунтов. Еще одной популярной разновидностью 2FA являются коды через СМС - тут есть другая проблема, связанная со стоимостью этих самых СМС, из-за чего сервисы переходят на отправку кода через мессенджеры. Кроме того, недавняя история с перехватом СМС спецслужбами России для получения доступа к переписке граждан тоже не добавляет уверенности в защищенности такого канала. Также хочу упомянуть Clef - отличный сервис в плане удобства с оригинальным решением, но не работающий для мобильных устройств. Использование хард-токенов вроде флешек или других устройств может быть удобно для служебного использования в компаниях, но крайне неудобно при большом количестве клиентов, использующих к тому же смартфоны.

Исходя из вышесказанного, хочу выразить свое мнение - одновременно удобного, простого и достаточно безопасного решения проблемы аутентификации пользователей сейчас нет. Хотя все необходимые для этого технологии уже есть.

Главная из этих технологий - блокчейн. Децентрализованная база данных решает проблему центрального сервера, который можно взломать. Кроме того, она работает на ассиметричном шифровании с длиной ключа 256 бит, являющемся в этом смысле супербезопасным паролем. Конечно, его сложно запомнить обычному человеку, но это и не потребуется - ключ можно использоваться так же, как сейчас это происходит в мобильных кошельках - он будет подтягиваться из хранилища устройства автоматически. Еще у нас давно есть такая штука, как SSL-сертификаты, защищающие от атаки типа MIM - "человек посередине". Решение заключается в том, чтобы выпустить SSL-сертификат с адресом электронной почты и номером телефона пользователя, при этом хеш (контрольную сумму) сертификата записать в блокчейн.

Подробно, как это работает:

  1. Когда пользователь из браузера с сертификатом идёт на сайт, последний требует у браузера предъявить сертификат клиента.
  2. Сервер, получив сертификат, вначале проверяет его подпись.
  3. Сервер генерирует случайное число, шифрует его на публичном ключе, находящемся в предъявленном сертификате, и отправляет вашему браузеру. Это - одноразовый пароль соединения.
  4. Браузер, имея файл с сертификатом и ключом, извлекает из него секретный ключ и расшифровывает пароль, посланный сервером. После этого браузер устанавливает безопасное https-соединение с сервером.
  5. Сервер, убедившись в том, что клиент владеет корректным секретным ключом, производит проверку информации сертификата через блокчейн. Для этого он извлекает из сертификата серийный номер, и выполняет поиск по этому серийному номеру. После этого сервер вычисляет контрольную сумму только что полученного сертификата и убеждается в том, что предъявленный сертификат с соответствующим серийным номером – то же самый, который участвовал в регистрации.

Если злоумышленник сгенерирует другой сертификат с тем же серийным номером что и ваш, то он не сможет загрузить контрольную сумму в блокчейн, так как она уже занята вами. А если он создаст сертификат с другим серийным номером – то это будет уже другой ID, и для него сервер создаст другую учётную запись.

Теперь нужно сделать все это удобным для пользователя. Для этого просим его ввести только адрес электронной почты и номер телефона (никаких паролей!). Генерируем локально сертификат с этими данными и предлагаем пользователю установить его в браузер. После этого просим активировать учетную запись переходом по ссылке из почты и отправляем в любой мессенджер, поддерживающий ботов, форму подтверждения номера телефона. Замечу, что в отличии от кода в СМС или обычного сообщения с таким кодом в мессенджере, форма подтверждения дает возможность использовать независимый канал связи смартфона для второго фактора, а не канал потенциально скомпрометированного компьютера.

Так у нас появляется возможность использовать решение без паролей, центрального сервера и обычных баз данных, при этом удобное для пользователя. Для повседневного использования не нужно использовать мессенджер с 2FA, для большинства сервисов будет достаточно сертификата браузера - это будет похоже на текущее использование разнообразных "хранителей паролей", но без риска взлома центрального сервера и утечки вашего пароля и постоянных забываний/восстановлений. Для сервисов с "sensitive data" рекомендуется использовать 2FA, но и тут процесс становится гораздо комфортнее - нужно всего лишь нажать "Yes" в мессенджере.

Сертификаты можно устанавливать и в мобильные устройства (как часть приложения с помощью SDK), при этом ОС тут же предложит установить защиту с помощью остальных двух факторов - биометрию, пин-код или графический ключ. Использование всех функций остается на усмотрение пользователя, но самое главное, что даже в самой простой версии с авторизацией через один фактор такое решение выглядит гораздо безопаснее текущих реализаций, при этом позволяет войти с любого устройства, и готово к будущему - интернету вещей. Ведь нашим девайсам недоступна биометрия и пароли, они будут работать именно по такой схеме - с токенами/ключами. Мы можем сделать их взаимодействие между собой более безопасным, чем сейчас.

Популярные вопросы и ответы:

Что происходит при потере устройства? Привязка аккаунта идет к номеру телефона и адресу электронной почты, поэтому на сайте сервиса можно будет приостановить доступ к аккаунту с помощью электронной почты до момента восстановления номера телефона. После этого можно будет перевыпустить сертификат. Сервисы, использующие эту систему, возможно будут собирать другие данные, вроде сканов документов и фото клиентов, по которым можно будет восстановить доступ в особо сложных ситуациях. Со временем, надеюсь, мы придем к тому, что вся идентификационная информация пользователя будет храниться в блокчейне и физическое присутствие для таких действий не потребуется.

Какие примеры реализации уже есть? Схему авторизации через SSL-сертификат разработали в Emercoin, почитать подробно можно здесь. Мы используем их концепцию для MVP, добавляя второй фактор, автоматическую генерацию сертификата без необходимости разворачивания сервера с установленным кошельком, и т.д., приводя сервис в "юзабельный" вид для конечного пользователя. Планируем реализовать эту же технологию на блокчейне биткойна, если увидим спрос.

Сколько это будет стоить? Для пользователя - нисколько. За это будут платить владельцы сервисов, которые хотят уменьшить на траты на безопасность и улучшить и упростить пользование своим сервисом для клиентов. Возможны ситуации, когда сервис захочет переложить эти затраты на пользователя. Например, это могут быть небольшие биткойн-биржи с большим количеством клиентов, но небольшими доходами. В таком случае плата в 1$/год должна быть приемлемой для пользователя. Модель оплаты за пользователя выбрана по той причине, что для создания записи в блокчейне нужно провести транзакцию. Периодически нужно будет обновлять запись из-потери устройств и т.д.

Очень хотелось бы услышать мнение сообщества по удобству такого решения - сложно ли будет загрузить сертификат для неопытного юзера? (его загрузка и установка похожа на такой же процесс для обычной программы). Какие уязвимые места в такой схеме вы видите? Пользовались бы сами таким сервисом как сервис? Как пользователь? Или этой проблемы не существует и текущее положение дел вас полностью устраивает?

$0.004

Признаки мошенника

 

Признаки мошенника

При общении с нормальным человеком и кидалой, есть большая разница. То, что я сейчас расскажу, не является прямым фактом, и доказательством того, что человек - мошенник. Общаясь с человеком, с которым хотите совершить сделку, просто учитывайте те факторы, которые я приведу. Если его повадки совпадают с описанными на это странице, советую Вам держаться от него подальше.

Неадекватное поведение.

Очень распространенный среди кидал фактор. Все время матерятся, ругаются, орут, ставя “!!!!”. Бывает, что говорят: “Да ты кидала!!! Давай деньги вперед!!!!”. А если Вы им будете утверждать, что они кидалы, то последует точно такая же реакция. Защитная.

ICQ.

Признак это, или гарантия, сказать затрудняюсь. Знаю лишь то, что если у человека 6-тизначная ася, еще не значит, что он честный человек. Пример тому leonov.

Профессиональные слова.

Речь идет о людях, прикрывающих пустоту блеском. Чем пустее - тем больше блестит. Пожалуй, тут примером может послужить Брат, Сергей Бодров (вечная ему память, люблю и помню), который никогда не красился, не одевался как мажор и т.д. И ушел он из жизни легендой. А кто такой сергей зверев? Расскажите-ка? Тёлка? Ладно, продолжим и кидалах. Так вот, кидалы обычно используют навороченные словечки, мол: Конфедициально, правительство РФ приняло постановление о сборе средств для обеспечения жизнедеятельности WM. В связи с этим УГРП просит срочно проиндексировать ситуацию. Просьба сдать 10WMZ на кошелек: Z********. Уловили? Именно этот пункт я привел, в случае, когда разоблачал leonov.

Посты на форумах и репутация.

У кидалы их либо много, либо мало. Шутка. У 50% мало, у других много. Т.ч. это не суть. А вот в чем суть, когда человек говорит, смотри, у меня 2 тысячи постов, 300 благодарностей! Я не кину! Вот, что сделайте. Просмотрите выборочно его посты. И проверьте, не тупой ли это стеб, с набиванием постов. Ну, а если 1-50 постов, тут и говорить нечего.

Торопливость

Т.к. кидалы боятся быть разоблаченными, они Вас всячески будут торопить. То им надо куда ни будь, то ребенок заплакал и надо покормить, жена умирает, и т.д. Примеров множество. Но, например, если Вам продают карту Билайн 100, разве это не может подождать, например, 1-2 дня? Что уж тут говорить о паре часов. Кидале только и надо, что бы Вы перевели им деньги и они уже были спокойны, что обман не сорвался.

Место жительства

Большинство кидал проживают в USA. Как они говорят. А сами живут в Казульках и Черемушках. Еще, по их словам, они проживают в Германии, во Франции, либо они путешествуют, так как у них очень много денег. Они могут прикидываться, что отлично знают языки. Но это вряд ли. Еще, почему-то кидалы часто пишут транслитом. Просто необъяснимо

Оправдания

Когда суть мошенника начинает всплывать, и Вы грузите его упреками, он начинает оправдываться. Есть люди, на которых клевещут. И им достаточно одного высказывания, чтобы отмести все подозрения. Либо они даже внимания обращать не будут. Но кидалы будут всеми силами и способами Вас убеждать в своей честности. Еще бы, ведь честному человеку доверия не нужно, оно придет само, и он это понимает, а вот кидале надо кинуть, и как можно быстрее, а значит ждать он не может, и обязательно сделает все возможное, чтобы оправдаться в Ваших глазах!

Мой язык - английский!

Некоторые кидалы (в основном замечено в индустрии HYIP) прикидываются американцами. Проверить национальность можно, либо написав ему, сообщение на русском с обратной формы связи, что-то вроде “Здравствуйте, хочу закинуть $100, но не получается, почему?” Это может не сработать, но если Вы напишете ему в ICQ или в Yahoo Message, от девушки, с фразой “Привет, как дела, познакомимся?”, тут то он может себя сдать. Но это еще не все. Сущевствуют сервисы проверки доменом, смотрите, на кого зарегистрирован домен сайта (сайта того, с кем Вы общаетесь), и если к Вам обратился Рассел Джэксон, а в рег-данных домена стоит имя Андрей Иванов, тут и говорить не о чем!

Ник

Когда кидала создает себе ICQ (а это за 1-2 дня до кидка) он обязательно хочет блеснуть шиком. И берет себе ники, в которых есть слова Cash, Money, Fast Money, Easy Money, Rich, Brilliant Fan и так далее. Если Вы видите, такой ник, это уже 90% того, что с Вами говорит мошенник. Человек, который создал ICQ год назад, с ником, например, Александр, вызовет гораздо больше доверия. Я могу привести пример, встречал человека с ником Дима-100 WMZ. Ну, явный развод, что какой-то Дима (позорит моё имя) заходит в казино, и из каждого уносит именно 100 WMZ. Не LR, EG, PX, $, а именно WMZ. Разве все казино базируются на WM. Или тот факт, что его еще и в реале, его друзья зовут Дима-100 WMZ. Мои вот друзья, что такое WMZ понятия не имеют.

Сайт

Спросите, у Вашего мошенника-миллионера, есть ли у него сайт. И проверьте, на каком он хостинге. Если на .narod, .ucoz, .by, .boom и т.д., то тут уж и говорить нечего. Хотя пункт довольно плавающий, т.к. домен в зоне .net например, стоит всего $5 в год.

 

RU тэги:

ru (2853)
money (579)
steemit (573)
life (546)
sport (405)
sportus (375)
sportusbet (370)
bitcoin (342)
steem (321)
news (320)
blockchain (277)
photography (275)
art (202)
travel (177)
ru-steemit (167)
story (137)
russia (134)
writing (123)
introduceyourself (118)
food (117)
ru-steem (112)
funny (98)
rusteemitblog (94)
ru-news (93)
ru-bitcoin (92)
ru-health (86)
sports (82)
ru-longtech (82)
humor (82)
russian (81)
investments (79)
new (77)
blog (75)
recipes (75)
spreadthepower (74)
ethereum (72)
photo (72)
cryptocurrency (71)
poetry (57)
video (56)
ru-life (56)
psychology (55)
crypto (54)
ru-immortality (54)
hyip (51)
philosophy (51)
rus (50)
nature (50)
anarchism (50)
crypto-news (48)
millionaire (47)
business (47)
stemmit (46)
mining (46)
steemwatch (46)
mountshow (44)
handmade (41)
health (41)
longtech (41)
ru-cryptocurrency (40)
ru-help (40)
golos (36)
history (35)
ru-longevity (35)
hot (34)
usa (30)
top (30)
technology (30)
steemmag (29)
spam (28)
immortality (28)
ukraine (26)
longetech (26)
ru-ethereum (25)
music (25)
help (25)
beauty (25)
kitchen (25)
ua (23)
ru-writing (23)
dream (23)
post (22)
investment (22)
cyberfund (22)
love (22)
game (22)
pictures (21)
people (21)
steemkino (21)
science (21)
ru-money (20)
ru-blockchain (20)
ru-mining (19)
security (19)
ru-science (19)
eth (18)
steemsquad (18)
fun (18)
pokemon (18)
dao (18)
btc (18)
steem-help (18)
minnowsunite (17)
experiment (17)
ru-reading (17)
trading (17)
fish (17)
steemit-ru (17)
ico (17)
games (16)
football (16)
poem (16)
ru-invest (16)
motivation (16)
see (15)
politics (15)
internet (15)
world (15)
steemit-news (15)
foto (15)
wings (15)
live (14)
children (14)
lifehack (13)
lisk (13)
facebook (13)
work (13)
secret-writer (13)
coin (13)
ru-travel (13)
animals (12)
investing (12)
religion (12)
illustration (12)
painting (12)
wisdom (12)
ru-business (12)
social (12)
ru-community (12)
kibo (12)
ru-funny (11)
ru-medicine (11)
ru-introduceyourself (11)
space (11)
wolf (11)
interesting (11)
trade (11)
bussinesman (11)
news-ru (11)
youtube (11)
putin (11)
country (10)
turkey (10)
creative (10)
ru-crypto (10)
motivational (10)
education (10)
night (10)
book (10)
war (10)
economics (10)
future (10)
vote (10)
pokemongo (10)
movie (10)
ussr (10)
active (10)
skyway (10)
ru-philosophy (9)
basicincome (9)
recipe (9)
lake (9)
mushrooms (9)
hello (9)
ru-quotes (9)
en (9)
verse (9)
law (9)
bitshares (9)
gold (9)
meditation (9)
fiction (9)
photos (9)
pamplona (9)
qwe (8)
literature (8)
cat (8)
etc (8)
apple (8)
poloniex (8)
pritchi (8)
finance (8)
poems (8)
steemit-help (8)
zarubezhom (8)
ru-story (8)
ru-btc (8)
telegram (8)
christianprogress (8)
marijuana (8)
auto (8)
kz (8)
economy (8)
freedom (8)
cartoon (7)
tech (7)
trends (7)
design (7)
baikal (7)
books (7)
sevenskills (7)
family (7)
creation (7)
tourism (7)
media (7)
ru-psychology (7)
popular (7)
sailing (7)
mind (7)
censorship (7)
gardening (7)
toys (7)
bot (7)
bookmakerhell (7)
bitfinex (7)
steemitphotochallenge (7)
test (7)
cats (7)
flowers (7)
taunigma (7)
yetaras (7)
ru-future (7)
self-development (7)
iconomi (7)
postcoin (7)
productivity (7)
scam (7)
indulgence (7)
craftbeer (7)
comedy (7)
inspiration (6)
car (6)
innovation (6)
girls (6)
the (6)
mlm (6)
faucet (6)
china (6)
invest (6)
upvote (6)
steemit-faq (6)
gif (6)
newlife (6)
steemart (6)
sci-fi (6)
death (6)
autumn (6)
gaming (6)
lisk-russia (6)
bulgaria (6)
picture (6)
universe (6)
language (6)
invention (6)
army (6)
ru-trading (6)
bitcoin-ru (6)
ru-humor (6)
litecoin (6)
tisenkovv (6)
reputation (6)
anarchy (6)
craigrant (6)
ru-faq (5)
ru-video (5)
community (5)
of (5)
garden (5)
politic (5)
cinema (5)
ponzi (5)
ether (5)
wallet (5)
hobby (5)
bitcoinsider (5)
ice (5)
howto (5)
mystic (5)
ru-post (5)
ru-russia (5)
cn (5)
ru--sismgkzki (5)
corruption (5)
baking (5)
from-lj (5)
ru-food (5)
sea (5)
belarus (5)
copywriting (5)
in (5)
ru-thinking (5)
steempower (5)
sonyankastyle (5)
tips (5)
akchmen (5)
by (5)
thoughts (5)
success (5)
salad (5)
moscow (5)
ru-cancer (5)
help-ru (5)
exchange (5)
steeme (5)
miner (5)
soccer (5)
inout (5)
analytics (5)
introduce (5)
journey (5)
time (5)
microsoft (5)
brain (5)
good (5)
overview (4)
mistermax (4)
nootrobox (4)
fintech (4)
woodcarving (4)
startup (4)
suka (4)
bread (4)
misskaty (4)
ru-kino (4)
sun (4)
library (4)
cosmos (4)
ru-wisdom (4)
ru-blokcheyna (4)
english (4)
tutorials (4)
android (4)
release (4)
maltsev (4)
introducing (4)
ruonly (4)
present (4)
ru-fasting (4)
classic (4)
survival (4)
human (4)
medicine (4)
lottery (4)
cars (4)
trading-analysis (4)
profit (4)
translate (4)
positive (4)
meme (4)
you (4)
power (4)
gambling (4)
steem-fun (4)
newcryptocurrency (4)
newcoin (4)
bank (4)
fairytale (4)
memory (4)
school (4)
culture (4)
astro (4)
idea (4)
fulfillment (4)
wish (4)
bigotry (4)
app (4)
ru-steeme (4)
http (4)
justice (4)
waves (4)
steemhelp (4)
cloudmining (4)
etherium (4)
windows (4)
languages (4)
cancer (4)
text (4)
film (4)
introducemyself (4)
drugs (4)
ru-macrophilosophy (4)
networking (4)
tutorial (4)
free (4)
energy (4)
zamok (4)
ru-longetech (4)
fairy-tale (3)
faq (3)
socialnetwork (3)
recreation (3)
smile (3)
flower (3)
sex (3)
raw (3)
melnikov (3)
weapon (3)
montenegro (3)
ru-blog (3)
relax (3)
account (3)
dveri (3)
lifestyle (3)
witness (3)
spain (3)
cryptonews (3)
biography (3)
smartcontract (3)
pie (3)
translation (3)
stereotypes (3)
man (3)
pushkin (3)
google (3)
dance (3)
forest (3)
coinfox (3)
hacker (3)
ru-fishing (3)
eeoneguy (3)
earning (3)
syria (3)
governance (3)
ru-poetry (3)
cash (3)
decentralization (3)
what (3)
reading (3)
me (3)
rippel (3)
personaldevelopment (3)
absurd (3)
ufo (3)
dicov (3)
from (3)
newbee (3)
buy (3)
meat (3)
nvidia (3)
stickers (3)
state (3)
ru-politics (3)
mirra (3)
kiev (3)
greece (3)
macroquiz (3)
nasa (3)
cooking (3)
sleep (3)
poker (3)
government (3)
job (3)
fashion (3)
donate (3)
thinking (3)
guitarist (3)
mine (3)
blondgirl-way (3)
article (3)
ru--titmgkzki (3)
ru-motivation (3)
mathematics (3)
dating (3)
ned (3)
question (3)
memes (3)
stats (3)
node (3)
blogging (3)
buisness (3)
ru--potryasayusche (3)
shopping (3)
leisure (3)
china-philosophy (3)
house (3)
yoga (3)
collection (3)
vopros (3)
longevity (3)
shop (3)
steem-tutorials (3)
soup (3)
liver (3)
ru-auto (3)
obama (3)
best (3)
steemfest (3)
not (3)
bounty (3)
word (3)
travels (3)
hardwork (3)
dog (3)
ru-people (3)
peace (3)
globalengineeringbaltia (3)
dogecoin (3)
prohodim (3)
biology (3)
tv (3)
cryptovalute (3)
drawing (3)
hentai (3)
x11 (2)
tesla (2)
italy (2)
coinbase (2)
trump (2)
color (2)
links (2)
meetup (2)
makerdao (2)
cheese (2)
hashflare (2)
motocross (2)
melania (2)
twitter (2)
safe (2)
true (2)
ukr (2)
steemtools (2)
israel (2)
mist (2)
transfer (2)
pytin (2)
spacex (2)
filmmaking (2)
blocktrades (2)
peru (2)
steem-bet (2)
comments (2)
mapala (2)
thailand (2)
ru-ethereumclassic (2)
ru-criptocurrency (2)
passwords (2)
steemitchat (2)
bali (2)
beyondbitcoin (2)
dash (2)
ru-chat (2)
password (2)
asic (2)
ecology (2)
ru-steam (2)
deposit (2)
bitcoinexchange (2)
silkroad (2)
traveling (2)
kids (2)
lg (2)
politica (2)
women (2)
flash (2)
rrr (2)
ru-new (2)
steem-fr (2)
identity (2)
fraud (2)
iron (2)
ru-eth (2)
rock (2)
sony (2)
lisk-ru (2)
updates (2)
steemdollar (2)
steemdollars (2)
medvedev (2)
lgbt (2)
ilcoin (2)
sky (2)
aboutme (2)
russiansteemit (2)
cybernomics (2)
ru-financial (2)
criptodengi (2)
ecommerce (2)
shoping (2)
guide (2)
usesteem (2)
payitforward (2)
wedding (2)
testing (2)
artist (2)
ya (2)
mother (2)
vegetables (2)
writen (2)
curation (2)
it-steemit (2)
cyrillic (2)
nintendo (2)
criptocurrency (2)
ru--vau (2)
esenin (2)
indoortv (2)
mastercard (2)
ural (2)
steemit-guide (2)
smoothies (2)
one (2)
vmf (2)
fencing (2)
swisscoin (2)
regulation (2)
ru-interesting (2)
ru--titjki (2)
ru--piswki (2)
it (2)
advertising (2)
theory (2)
alcohol (2)
home (2)
duedill (2)
inchain (2)
locoso (2)
amd (2)
blockpay (2)
cosmetic (2)
sdc (2)
mobile (2)
shadowcash (2)
hi (2)
flag (2)
incent (2)
city (2)
fork (2)
cryptomania (2)
mass (2)
ios (2)
posts (2)
ru-art (2)
ru-library (2)
earnings (2)
japan (2)
price (2)
ru-book (2)
decor (2)
skoda (2)
senenskills (2)
craftbeerart (2)
blokcheyna (2)
hustlersmanual (2)
easy (2)
esoteric (2)
start (2)
steemit-ideas (2)
diet (2)
astronomy (2)
dpos (2)
trojan (2)
my (2)
internetecommerce (2)
research (2)
matrix (2)
style (2)
tour (2)
bees (2)
manual (2)
gadget (2)
visa (2)
dessert (2)
do (2)
avto (2)
rap (2)
ru-football (2)
ru-ru (2)
horror (2)
ru-poem (2)
card (2)
newcomers (2)
ru-tor (2)
lecture (2)
sciens (2)
museum (2)
bittrex (2)
forever (2)
support (2)
techreview (2)
pokemon-go (2)
psychedelic (2)
london (2)
summer (2)
fly (2)
iphone (2)
ru-stih (2)
computers (2)
riches (2)
taxes (2)
marketing (2)
p2p (2)
mobileapp (2)
cryptovallute (2)
daxi (2)
ship (2)
humour (2)
programming (2)
archive (2)
personal (2)
barbecue (2)
steemrussia (2)
want (2)
tattoo (2)
api (2)
joke (2)
review (2)
monero (2)
lotto (2)
doping (2)
legal (2)
com (2)
films (2)
feminism (2)
thevenusproject (2)
rusio (2)
fishing (2)
reviews (2)
to (2)
cityfrog (2)
liqui (2)
fsb (2)
steem-power (2)
soul (2)
transport (2)
gardering (2)
diary (2)
consciousness (2)
ukrainian (2)
sreemit-ru (2)
ru-traveling (2)
cia (2)
us (2)
view (2)
Bitcoin (2)
elections (2)
islam (2)
first (2)
quail (2)
altcoins (2)
dice (2)
roadmap (2)
bots (2)
robot (2)
writer (2)
extremism (2)
thw (2)
global (2)
crpcenter (2)
movies (2)
winter (2)
circus (2)
sheldrake (2)
tormozi (2)
optimism (2)
ocean (2)
no (2)
currency (2)
body (2)
hidden-gems (2)
trend (2)
go (2)
pay (2)
fitness (2)
wikipedia (2)
election (2)
product (2)
cyberpunk (2)
introduceyourself-ru (2)
nakladnoi (2)
gyroscooter (2)
friends (2)
steemithelp (2)
egaas (2)
bitkoin (2)
logo (2)
rome-antique (2)
roman-portrait (2)
potatoes (2)
cryptography (2)
zashita (2)
stuffed (2)
dolevik (2)
steemlotto (2)
vdice (2)
maining (2)
crimea (2)
crowdsale (2)
stomach (2)
kodovyi (2)
aliexpress (2)
liberland (2)
prof1983 (2)
steeme-ru (2)
fake (2)
pelevin (2)
system (2)
steemit-howto (2)
relationship (2)
service (2)
site (2)
create (2)
pc (2)
RuEenglish (2)
magic (2)
steemstats (2)
geforce (2)