На фоне спекуляций вокруг мобилизации сейчас гуляет множество фейков.
Например, мой друг прислал мне слепленный из различных утечек "слитый список мобилизации". В котором почему-то нет военных билетов, а у нашего общего знакомого вообще указан адрес отеля!
Предполагаем, что это сдэк+гемотест и еще что-то.
Будьте осторожны, перепроверяйте информацию.
P.S. А в качестве шутки выложили в группу с "повестками" вот такую фейковую повестку известной личности в ИБ.
Например, мой друг прислал мне слепленный из различных утечек "слитый список мобилизации". В котором почему-то нет военных билетов, а у нашего общего знакомого вообще указан адрес отеля!
Предполагаем, что это сдэк+гемотест и еще что-то.
Будьте осторожны, перепроверяйте информацию.
P.S. А в качестве шутки выложили в группу с "повестками" вот такую фейковую повестку известной личности в ИБ.
Друзья, всем привет!
Канал привели к финальной версии, обновили название, описание, и прочее.
Мы - компания "Третья сторона" (3side.org), и мы хотим построить новую сервисную модель работы в сфере услуг в ИБ. Наша главная "фишка" - возможность находить конечных исполнителей работ напрямую, без каких-либо посредников и субподрядчиков, но со всей необходимой поддержкой от нас.
Здесь мы будем рассказывать о том, что происходит в российском ИБ - максимально честно, понятно и прозрачно. В общем так, как мы любим и умеем делать.
Канал привели к финальной версии, обновили название, описание, и прочее.
Мы - компания "Третья сторона" (3side.org), и мы хотим построить новую сервисную модель работы в сфере услуг в ИБ. Наша главная "фишка" - возможность находить конечных исполнителей работ напрямую, без каких-либо посредников и субподрядчиков, но со всей необходимой поддержкой от нас.
Здесь мы будем рассказывать о том, что происходит в российском ИБ - максимально честно, понятно и прозрачно. В общем так, как мы любим и умеем делать.
3side кибербезопасности pinned «Друзья, всем привет! Канал привели к финальной версии, обновили название, описание, и прочее. Мы - компания "Третья сторона" (3side.org), и мы хотим построить новую сервисную модель работы в сфере услуг в ИБ. Наша главная "фишка" - возможность находить конечных…»
Павел Дуров: у Whatsapp длительные и системные проблемы с безопасностью
Итак, у нас тут небольшой скандал: основатель tg Павел Дуров прямо обвинил прямого конкурента в системных проблемах с безопасностью. И судя по всему, он абсолютно прав.
Фактически, Дуров прямо говорит, что из коммерческого продукта Whatsapp превратился в инструмент слежки за пользователями. С одной стороны звучит странно, а с другой … До 2016 года там не было никакого шифрования. Первые разговоры о проблемах с безопасностью начались в 2017, и потом в том или ином виде они действительно всплывали каждый год.
Мы можем вспомнить скандал с Pegasus – израильтяне фактически научились получать доступ к телефону жертвы и сделали это коммерческим продуктом. Вы, конечно, можете сказать «окей, но израильское подразделение 8200 – это престижное место службы с огромной технической поддержкой, а ПО делали первоклассные военные хакеры, как и Stuxnet в своё время» - но проблема в другом. Судя по всему, в 2020 году ничего не изменилось и не факт, что изменилось и сейчас.
Казалось бы, какие-то нехорошие люди направо и налево торгуют средством получения неавторизованного доступа к телефонам директоров, президентов и прочих владельцев заводов, газет и нефтяных скважин. Может быть, с этим стоит что-то сделать? Но нет. Судя по всему, проблемы безопасности в Whatsapp решать просто не планируют.
А мы напоминаем: если вы военный, крупный бизнесмен или политический активист – в общем не «ковбой Джо» из старого анекдота – Whatsapp представляет для вас прямую и явную угрозу. Особенно в зоне вооруженного конфликта. Нет, конечно, его отсутствие не гарантирует безопасности – но так злоумышленники хотя-бы не смогут получить доступ к вашей переписке (или всему устройству) по щелчку пальцев.
Итак, у нас тут небольшой скандал: основатель tg Павел Дуров прямо обвинил прямого конкурента в системных проблемах с безопасностью. И судя по всему, он абсолютно прав.
Фактически, Дуров прямо говорит, что из коммерческого продукта Whatsapp превратился в инструмент слежки за пользователями. С одной стороны звучит странно, а с другой … До 2016 года там не было никакого шифрования. Первые разговоры о проблемах с безопасностью начались в 2017, и потом в том или ином виде они действительно всплывали каждый год.
Мы можем вспомнить скандал с Pegasus – израильтяне фактически научились получать доступ к телефону жертвы и сделали это коммерческим продуктом. Вы, конечно, можете сказать «окей, но израильское подразделение 8200 – это престижное место службы с огромной технической поддержкой, а ПО делали первоклассные военные хакеры, как и Stuxnet в своё время» - но проблема в другом. Судя по всему, в 2020 году ничего не изменилось и не факт, что изменилось и сейчас.
Казалось бы, какие-то нехорошие люди направо и налево торгуют средством получения неавторизованного доступа к телефонам директоров, президентов и прочих владельцев заводов, газет и нефтяных скважин. Может быть, с этим стоит что-то сделать? Но нет. Судя по всему, проблемы безопасности в Whatsapp решать просто не планируют.
А мы напоминаем: если вы военный, крупный бизнесмен или политический активист – в общем не «ковбой Джо» из старого анекдота – Whatsapp представляет для вас прямую и явную угрозу. Особенно в зоне вооруженного конфликта. Нет, конечно, его отсутствие не гарантирует безопасности – но так злоумышленники хотя-бы не смогут получить доступ к вашей переписке (или всему устройству) по щелчку пальцев.
Telegram
Du Rove's Channel
Hackers could have full access (!) to everything on the phones of WhatsApp users.
This was possible through a security issue disclosed by WhatsApp itself last week. All a hacker had to do to control your phone was send you a malicious video or start a…
This was possible through a security issue disclosed by WhatsApp itself last week. All a hacker had to do to control your phone was send you a malicious video or start a…
10-15К на руки - или в чем проблема госсектора?
Вот именно по такой причине информационная безопасность в государственных структурах настолько отстает от коммерческого сектора.
Это профильное ведомство – Роскомнадзор!
Кто ЦА этого объявления? Какие у него будут знания и мотивация работать?
Я даже представить не могу.
Нет, серьёзно, ИБ - это сфера, требующая определённых компетенций. Это не консультации по телефону (при всём уважении), которые можно проводить на part-time сидя в любом регионе нашей необъятной Родины.
Вскоре в этом канале будет большая статья о том, как и почему Россия теряет уникальных спецов по информационной безопасности и в коммерческом секторе.
С этим нужно что-то делать.
Ссылка на объявление (https://nn.hh.ru/vacancy/70746306).
Вот именно по такой причине информационная безопасность в государственных структурах настолько отстает от коммерческого сектора.
Это профильное ведомство – Роскомнадзор!
Кто ЦА этого объявления? Какие у него будут знания и мотивация работать?
Я даже представить не могу.
Нет, серьёзно, ИБ - это сфера, требующая определённых компетенций. Это не консультации по телефону (при всём уважении), которые можно проводить на part-time сидя в любом регионе нашей необъятной Родины.
Вскоре в этом канале будет большая статья о том, как и почему Россия теряет уникальных спецов по информационной безопасности и в коммерческом секторе.
С этим нужно что-то делать.
Ссылка на объявление (https://nn.hh.ru/vacancy/70746306).
Правило 7%.
Хотя мы все о нём когда-то слышали, сходу найти исследования, посвященные этому явлению, не так просто.
На больших объемах фишинговых писем, отправленных и полученных сотрудниками, как минимум семь процентов из них перейдут по ссылке или выполнять требуемое в письме действие, попавшись на уловку.
Это правило было мною подтверждено множество раз, пока я работал на проектах по социо-техническому тестированию на проникновение.
Но почему так? Ведь компании, сотрудники и даже подход к информационной безопасности отличались! В каких-то компаниях сотрудников не обучали там процент попавшихся на письмо был значительно выше. В других же и обучали, и тестировали, а иногда даже наказывали, но даже там ниже средних 7% статистика не снижалась.
Секрет в человеческой нестабильности. Наша способность противостоять мошенникам напрямую зависит от состояния нашей психики. Человек в стрессе или в эйфории гораздо более подвержен манипуляциям, ведь критическое мышление и внимательность ослабевают, а импульсивность наоборот возрастает. Именно поэтому в 7% могут попасть и топ-менеджмент, и служба IT, и даже мы, сотрудники подразделений информационной безопасности!
Все мы люди, все мы уязвимы, если у нас случилось что-то из ряда вон выходящее, хорошее или плохое, то какое-то время мы попадем в группу риска. В подобном состоянии будут забыты тренинги и допущены ошибки. Что же тогда делать для противодействия социальной инженерии?
Обучать сотрудников, чтобы ваш процент не поднимался выше.
Компенсировать риски техническими средствами защиты.
Развивать реагирование на инциденты.
Люди всегда останутся уязвимы, особенно в состоянии как на этой нейрокартинке.
Хотя мы все о нём когда-то слышали, сходу найти исследования, посвященные этому явлению, не так просто.
На больших объемах фишинговых писем, отправленных и полученных сотрудниками, как минимум семь процентов из них перейдут по ссылке или выполнять требуемое в письме действие, попавшись на уловку.
Это правило было мною подтверждено множество раз, пока я работал на проектах по социо-техническому тестированию на проникновение.
Но почему так? Ведь компании, сотрудники и даже подход к информационной безопасности отличались! В каких-то компаниях сотрудников не обучали там процент попавшихся на письмо был значительно выше. В других же и обучали, и тестировали, а иногда даже наказывали, но даже там ниже средних 7% статистика не снижалась.
Секрет в человеческой нестабильности. Наша способность противостоять мошенникам напрямую зависит от состояния нашей психики. Человек в стрессе или в эйфории гораздо более подвержен манипуляциям, ведь критическое мышление и внимательность ослабевают, а импульсивность наоборот возрастает. Именно поэтому в 7% могут попасть и топ-менеджмент, и служба IT, и даже мы, сотрудники подразделений информационной безопасности!
Все мы люди, все мы уязвимы, если у нас случилось что-то из ряда вон выходящее, хорошее или плохое, то какое-то время мы попадем в группу риска. В подобном состоянии будут забыты тренинги и допущены ошибки. Что же тогда делать для противодействия социальной инженерии?
Обучать сотрудников, чтобы ваш процент не поднимался выше.
Компенсировать риски техническими средствами защиты.
Развивать реагирование на инциденты.
Люди всегда останутся уязвимы, особенно в состоянии как на этой нейрокартинке.
3side кибербезопасности
Возможности социальной инженерии. Когда говорят о социальной инженерии, то ее часто недооценивают. Позиция такова: "Ну введет пользователь пароль куда не нужно, ну откроет ссылку или даже загрузит что-то, ну и что? У нас средства защиты все заблокируют, заметим…
Ну, что мы можем сказать: история в явном виде повторяется. И "слова-маркеры" соответствующие, и действия "преступника-жертвы" и все прочие признаки классической социальной инженерии.
Не знаем, чего там пообещали женщине и чем там ей угрожали, но немного зная российский рынок предположим, что случай не последний.
Не знаем, чего там пообещали женщине и чем там ей угрожали, но немного зная российский рынок предположим, что случай не последний.
Telegram
Baza
«Задание выполнила, теперь заберите меня отсюда».
С этими словами пенсионерка из Санкт-Петербурга попыталась поджечь местное отделение Сбербанка.
Женщина пришла в офис на Комендантском проспекте и, по словам очевидцев, бросила что-то на пол со словами «Слава…
С этими словами пенсионерка из Санкт-Петербурга попыталась поджечь местное отделение Сбербанка.
Женщина пришла в офис на Комендантском проспекте и, по словам очевидцев, бросила что-то на пол со словами «Слава…
"Вот уже 5 лет работаем, и ничего не случилось!"
Слышали такое?)) И ведь это действительно самый частый повод забивать на кибербезопасность - ну а что, ничего же пока не случилось! По-сути, мы имеем дело с классической ошибкой выжившего - ну, и с определёнными проблемами в оценке операционных рисков.
На Habr (https://habr.com/ru/post/693816/) выложили перевод поста о том, как один грамотный исследователь обнаружил уязвимость Profanity для генерации криптокошельков (красивых) Ethereum. Сделал всё это он, как водится, на кошелке своего приятеля.
В итоге: 7,5 часов на домашнем макбуке - просчитаны все открытые ключи, сгенерированные инструментом. Ещё 26 (!) минут, и получен доступ к конкретному кошельку. В итоге: 8 (!!!) часов на взлом по-сути любого кошелька.
Причем самое смешное - за 5 лет никто не нашел эту уязвимость (по крайней мере, публично не сообщил об этом), и тут мы возвращаемся к нашему вопросу: гарантирует ли что-то опыт безопасного использования?
НЕТ
Если периметр вашего бизнеса не взломали за несколько лет, это не значит, что его нельзя взломать. И (скорее всего) не значит, что его нельзя взломать буквально парой запросов. Возможно, вам пока просто везло - или вы просто не привлекали ничьё внимание.
В общем, управление информационной безопасностью - это такая очень важная в наше время часть управления оперрисками. Такие дела.
Слышали такое?)) И ведь это действительно самый частый повод забивать на кибербезопасность - ну а что, ничего же пока не случилось! По-сути, мы имеем дело с классической ошибкой выжившего - ну, и с определёнными проблемами в оценке операционных рисков.
На Habr (https://habr.com/ru/post/693816/) выложили перевод поста о том, как один грамотный исследователь обнаружил уязвимость Profanity для генерации криптокошельков (красивых) Ethereum. Сделал всё это он, как водится, на кошелке своего приятеля.
В итоге: 7,5 часов на домашнем макбуке - просчитаны все открытые ключи, сгенерированные инструментом. Ещё 26 (!) минут, и получен доступ к конкретному кошельку. В итоге: 8 (!!!) часов на взлом по-сути любого кошелька.
Причем самое смешное - за 5 лет никто не нашел эту уязвимость (по крайней мере, публично не сообщил об этом), и тут мы возвращаемся к нашему вопросу: гарантирует ли что-то опыт безопасного использования?
НЕТ
Если периметр вашего бизнеса не взломали за несколько лет, это не значит, что его нельзя взломать. И (скорее всего) не значит, что его нельзя взломать буквально парой запросов. Возможно, вам пока просто везло - или вы просто не привлекали ничьё внимание.
В общем, управление информационной безопасностью - это такая очень важная в наше время часть управления оперрисками. Такие дела.
Хабр
Как я хакнул Ethereum кошелек друга за 26 минут на MacBook M1 Pro
Я отправил сообщение на новый адрес Алекса с его взломанного кошелька. В сентябре 2022 года я решил создать себе новый hot wallet для ежедневного использования. Хотелось сгенерировать себе что-то...
"Так безопасно?" - отвечаем на вопросы про ИБ.
Мы тут запускаем новую рубрику, где будем отвечать на любые актуальные вопросы в сфере кибербезопасности (присылать их можно в @TG_3side). Начнём с важного дисклеймера.
"Так безопасно?" №0: "А возможно ли ..." (взломать айфон\вагон\Пентагон, получить доступ к корпоративной сети Сбербанка, украсть миллиард долларов с криптокошелька).
Ответ: да, возможно. В нашем мире возможно всё.
Мы все взрослые люди и прекрасно понимаем, что в теории возможно сделать всё что угодно. "Any system is vulnerable". Но мы живём в реальной жизни, где у злоумышленников (да и у ИБ специалистов) всегда ограниченный набор ресурсов. А потому мы будем говорить о наиболее вероятных ситуациях, с которыми все мы имеем шансы столкнуться. Строго вне политического контекста.
Еще раз, вопросы пишите нам в @TG_3side - постараемся ответить в канале.
#3side_вопросы
Мы тут запускаем новую рубрику, где будем отвечать на любые актуальные вопросы в сфере кибербезопасности (присылать их можно в @TG_3side). Начнём с важного дисклеймера.
"Так безопасно?" №0: "А возможно ли ..." (взломать айфон\вагон\Пентагон, получить доступ к корпоративной сети Сбербанка, украсть миллиард долларов с криптокошелька).
Ответ: да, возможно. В нашем мире возможно всё.
Мы все взрослые люди и прекрасно понимаем, что в теории возможно сделать всё что угодно. "Any system is vulnerable". Но мы живём в реальной жизни, где у злоумышленников (да и у ИБ специалистов) всегда ограниченный набор ресурсов. А потому мы будем говорить о наиболее вероятных ситуациях, с которыми все мы имеем шансы столкнуться. Строго вне политического контекста.
Еще раз, вопросы пишите нам в @TG_3side - постараемся ответить в канале.
#3side_вопросы
"Так безопасно?" №1: Нужны ли автоматические сканеры уязвимостей?
Итак первый вопрос в нашей рубрике - об автоматических сканерах уязвимостей. Нужны ли они, или от них нет никакой особой пользы?
Начнём с главного. Автоматический сканер уязвимостей - это замечательный и очень полезный инструмент, который активно используется практически во всех компаниях, занимающихся кибербезопасностью. Фактически, без него нельзя построить то, что принято называть vulnerability management, то есть процесс управления уязвимостями. Соответственно, без этого процесса довольно сложно в принципе как-то заниматься кипербезопасностью.
Так что сканер - это один из базовых продуктов для любой плюс-минус крупной компании, которая занимается кибербезом. Но тут надо понимать, что сканеры бывают совершенно разные, и пользоваться ими можно тоже совсем по-разному. Наверное, здесь можно провести параллель с рентгеновским аппаратом. Во-первых, этот аппарат сам по себе может стоить достаточно дорого, как любое профессиональное изделие, а во-вторых, за него нельзя посадить неквалифицированного человека - тогда аппарат будет совершенно бесполезен. Просто потому, что результаты его работы будут неверно интерпретироваться и картина будет искажаться. В общем, чтобы всё заработало вам нужен хороший сканер уязвимостей и грамотный человек, который будет всем этим заниматься.
Ещё один момент - важно не только грамотно интерпретировать результаты его работы, подкручивать всё там, где нужно, и делать тонкую настройку - важно взаимодействовать со всеми подразделениями компании с точки зрения понимания того, что и как сканировать, а что в ближайшее время лучше не трогать. В общем сканер - это маленький винтик в большом процессе управления уязвимостями, причем без грамотного "оператора" он может изрядно исказить картину. Сканер - это всего лишь инструмент, один винтик в процессе управления уязвимостями.
#3side_так_безопасно
Итак первый вопрос в нашей рубрике - об автоматических сканерах уязвимостей. Нужны ли они, или от них нет никакой особой пользы?
Начнём с главного. Автоматический сканер уязвимостей - это замечательный и очень полезный инструмент, который активно используется практически во всех компаниях, занимающихся кибербезопасностью. Фактически, без него нельзя построить то, что принято называть vulnerability management, то есть процесс управления уязвимостями. Соответственно, без этого процесса довольно сложно в принципе как-то заниматься кипербезопасностью.
Так что сканер - это один из базовых продуктов для любой плюс-минус крупной компании, которая занимается кибербезом. Но тут надо понимать, что сканеры бывают совершенно разные, и пользоваться ими можно тоже совсем по-разному. Наверное, здесь можно провести параллель с рентгеновским аппаратом. Во-первых, этот аппарат сам по себе может стоить достаточно дорого, как любое профессиональное изделие, а во-вторых, за него нельзя посадить неквалифицированного человека - тогда аппарат будет совершенно бесполезен. Просто потому, что результаты его работы будут неверно интерпретироваться и картина будет искажаться. В общем, чтобы всё заработало вам нужен хороший сканер уязвимостей и грамотный человек, который будет всем этим заниматься.
Ещё один момент - важно не только грамотно интерпретировать результаты его работы, подкручивать всё там, где нужно, и делать тонкую настройку - важно взаимодействовать со всеми подразделениями компании с точки зрения понимания того, что и как сканировать, а что в ближайшее время лучше не трогать. В общем сканер - это маленький винтик в большом процессе управления уязвимостями, причем без грамотного "оператора" он может изрядно исказить картину. Сканер - это всего лишь инструмент, один винтик в процессе управления уязвимостями.
#3side_так_безопасно
А вот какой конкретно сканер использовать? Это вопрос … вкусовщины, что ли, в современных-то реалиях кибербезопасности. Сейчас может быть довольно сложно купить зарубежные сканеры уязвимостей, но на наш скромный взгляд, они куда лучше представленных российскими вендорами. Да, у нас есть свои, но повторюсь - по нашему мнению, чаще используются зарубежные просто потому, что они лучше. И в целом, это зависит от особенностей вашей сети: какие-то сканеры лучше себя показывают на внешнем периметре, какие-то более предназначены для работы во внутреннем, какие-то лучше работают с веб - приложениями, какие-то с основной инфраструктурой. Вот по этим причинам, прежде чем покупать дорогостоящий сканер уязвимостей, ответьте себе на главные вопросы: кто будет с ним работать или хотя бы кто будет настраивать его, интерпретировать результаты, для каких целей, и так далее.
А когда у вас есть такой специалист, хотя бы на part-time, хотя бы аутстаффер - поговорите с ним, скорее всего он сам вам скажет, с чем лучше работать. Но в любом случае, начните с поиска такого специалиста.
И последнее - сканер ни в коем случае не заменяет специалиста по ИБ, потому что он просто автоматизирует и упрощает некоторые проверки, но ни один сканер не может полноценно заменить пентест или проверку человека. Почему? Скажем так, уровень развития “искусственного интеллекта” не дошел до того, чтобы его можно было полноценно использовать при сканировании уязвимостей, а любые скриптованные проверки не очень эффективны в любой нестандартной ситуации, которых в ИБ чуть более чем достаточно.
А когда у вас есть такой специалист, хотя бы на part-time, хотя бы аутстаффер - поговорите с ним, скорее всего он сам вам скажет, с чем лучше работать. Но в любом случае, начните с поиска такого специалиста.
И последнее - сканер ни в коем случае не заменяет специалиста по ИБ, потому что он просто автоматизирует и упрощает некоторые проверки, но ни один сканер не может полноценно заменить пентест или проверку человека. Почему? Скажем так, уровень развития “искусственного интеллекта” не дошел до того, чтобы его можно было полноценно использовать при сканировании уязвимостей, а любые скриптованные проверки не очень эффективны в любой нестандартной ситуации, которых в ИБ чуть более чем достаточно.
Тайминг- атаки на популярные мессенджеры позволили исследователям установить примерное местоположение пользователя с точностью более 80%
Все мы любим нестандартные векторы атак. И сегодня мы разберём одно очень любопытное исследование.
Мы используем мессенджеры каждый день - это привычный и простой способ общения. Исследователи выяснили, что замеряя время доставки сообщений зачастую можно определять местоположение адресата. По крайней мере, с тремя мессенджерами это работает - речь про WhatsApp, Signal и Threema. Причем результат был проверен для различных устройств и в различных конфигурациях, при разной скорости интернета итд итп.
Как это работает: когда мы отправляем сообщение в Whatsapp, мы видим две галочки. Первая - доставлено до сервера, вторая - до пользователя. Так что, измеряя время задержки можно с вероятностью определить, где пользователь находится в данный момент. Нам точно известно, где мы, нам известна скорость отсюда - туда. Исследование делали в Германии, но в теории оно повторяемо и для других стран. Так вот: исследователи замеряли скорость “доставки” сообщения до конечного адресата и на основании него определяли конкретное расположение сервера и приблизительное удаление пользователя от него.
По-сути, точность обнаружения выглядит как “плюс минус город”, а определить локацию жертвы более точно не представляется возможным. В большинстве случаев, такой результат не имеет практического применения - но иногда это критично.
Понятно, что всё это не очень практичная штука - требует кучи тестов, времени, большой базы замеров и вообще выглядит скорее как крутое практическое исследование, чем реально найденная уязвимость. Понятно, что использование VPN тут-же ломает всю картину, а исправить проблему для мессенджера не составит труда. Но всё же мы считаем идею красивой, а реализацию - как минимум достойной уважения.
P.S. Актуальна ли проблема для Телеграмма? Скорее нет, чем да, но зная их заморочки с безопасностью - можем предположить, что миллисекундные задержки всё-таки могут появиться.
Все мы любим нестандартные векторы атак. И сегодня мы разберём одно очень любопытное исследование.
Мы используем мессенджеры каждый день - это привычный и простой способ общения. Исследователи выяснили, что замеряя время доставки сообщений зачастую можно определять местоположение адресата. По крайней мере, с тремя мессенджерами это работает - речь про WhatsApp, Signal и Threema. Причем результат был проверен для различных устройств и в различных конфигурациях, при разной скорости интернета итд итп.
Как это работает: когда мы отправляем сообщение в Whatsapp, мы видим две галочки. Первая - доставлено до сервера, вторая - до пользователя. Так что, измеряя время задержки можно с вероятностью определить, где пользователь находится в данный момент. Нам точно известно, где мы, нам известна скорость отсюда - туда. Исследование делали в Германии, но в теории оно повторяемо и для других стран. Так вот: исследователи замеряли скорость “доставки” сообщения до конечного адресата и на основании него определяли конкретное расположение сервера и приблизительное удаление пользователя от него.
По-сути, точность обнаружения выглядит как “плюс минус город”, а определить локацию жертвы более точно не представляется возможным. В большинстве случаев, такой результат не имеет практического применения - но иногда это критично.
Понятно, что всё это не очень практичная штука - требует кучи тестов, времени, большой базы замеров и вообще выглядит скорее как крутое практическое исследование, чем реально найденная уязвимость. Понятно, что использование VPN тут-же ломает всю картину, а исправить проблему для мессенджера не составит труда. Но всё же мы считаем идею красивой, а реализацию - как минимум достойной уважения.
P.S. Актуальна ли проблема для Телеграмма? Скорее нет, чем да, но зная их заморочки с безопасностью - можем предположить, что миллисекундные задержки всё-таки могут появиться.
Тут Хакер выложил крутую статью про цепочку уязвимостей в Microsoft Teams.
Этот вектор атаки называется GIFShell. Как можно догадаться базируется он на обработке GIF-файлов, и может привести к полноценному выполнению команд у жертвы.
А что именно за баги? Если кратко, то:
- В Teams вложенные файлы могут подгружать содержимое из любого внешнего источника, откуда - не контролируется.
- GIF-файлы можно отравлять в кодировке HTML Base64, что внутри них - не проверяется. Удобно для передачи вредоносный команд.
- Teams позволяет обращаться на любой внешний ресурс, по любому протоколу, включая SMB. Таким образом можно легко инициировать отправку NLTM-хэша жертвы к себе на сервер.
- Teams позволяет подменить расширение файла с разрешенных на любые другие, и отправить исполняемый вредоносный файл. При этом интерфейс сам замаскирует его под разрешенный, показав не то расширение.
- Teams не имеет какой-то защиты от CSRF и позволяет автоматизировать процесс рассылки вредоносов.
- Teams позволяет отправлять ссылки-кнопки, для автоматизации действий. Без проверок, что это за действия и куда ведут ссылки. Тем самым первоначальная атака социальной инженерией удобно маскируется этой кнопкой.
- Teams хранит свои логи в общедоступной папке, не требующей для чтения прав администратора, что позволяет уже запущенному вредоносу получать оттуда инструкции.
Отличные условия для атаки, при минимальной социальной инженерии в начале!
Майкрософт предупредили об уязвимостях в мае-июне 2022 года, каков же был их ответ?
«Некоторые уязвимости невысокой степени серьезности, которые не представляют непосредственной угрозы для пользователей, не являются приоритетными для немедленного обновления безопасности, но возможность их исправления будет рассмотрена в следующей версии ПО»
Решения нет и может не будет. Будьте осторожны с файлами и ссылками в Teams и надейтесь на средства защиты!
Этот вектор атаки называется GIFShell. Как можно догадаться базируется он на обработке GIF-файлов, и может привести к полноценному выполнению команд у жертвы.
А что именно за баги? Если кратко, то:
- В Teams вложенные файлы могут подгружать содержимое из любого внешнего источника, откуда - не контролируется.
- GIF-файлы можно отравлять в кодировке HTML Base64, что внутри них - не проверяется. Удобно для передачи вредоносный команд.
- Teams позволяет обращаться на любой внешний ресурс, по любому протоколу, включая SMB. Таким образом можно легко инициировать отправку NLTM-хэша жертвы к себе на сервер.
- Teams позволяет подменить расширение файла с разрешенных на любые другие, и отправить исполняемый вредоносный файл. При этом интерфейс сам замаскирует его под разрешенный, показав не то расширение.
- Teams не имеет какой-то защиты от CSRF и позволяет автоматизировать процесс рассылки вредоносов.
- Teams позволяет отправлять ссылки-кнопки, для автоматизации действий. Без проверок, что это за действия и куда ведут ссылки. Тем самым первоначальная атака социальной инженерией удобно маскируется этой кнопкой.
- Teams хранит свои логи в общедоступной папке, не требующей для чтения прав администратора, что позволяет уже запущенному вредоносу получать оттуда инструкции.
Отличные условия для атаки, при минимальной социальной инженерии в начале!
Майкрософт предупредили об уязвимостях в мае-июне 2022 года, каков же был их ответ?
«Некоторые уязвимости невысокой степени серьезности, которые не представляют непосредственной угрозы для пользователей, не являются приоритетными для немедленного обновления безопасности, но возможность их исправления будет рассмотрена в следующей версии ПО»
Решения нет и может не будет. Будьте осторожны с файлами и ссылками в Teams и надейтесь на средства защиты!
"Так безопасно?" №2: Как правильно выбрать VPN?
"Платный,бесплатный, вредоносный": сегодня мы поговорим о том, как выбирать и какой вообще бывает VPN.
Начнём с простого. VPN - это виртуальная приватная сеть, а проще всего ее представить как своего рода вайфай! Только он раздаётся не "по воздуху", а через другую сеть, не приватную - через Интернет. И мы используем Интернет чтоб подключиться к ВПН, а через него вернутся обратно в Интернет, но уже якобы из другой страны и из под другого адреса.
1. Есть ли риск? Есть. Пускать к своему устройству в локальную сеть кого-либо довольно рискованно, но в целом мы это в целом делаем каждый раз, когда подключаемся к неизвестному вайфаю. Это часто открывает дополнительные возможности для атаки на устройство других посетителей условного кафе или самих владельцев WiFi сети.
2. VPN-провайдер видит часть вашего трафика. Подобно роутеру, он видит только ту часть интернет-трафика, которая не защищенна HTTPS-шифрованием. К счастью, HTTPS используется сейчас практически везде. И только в незащищенной части ВПН-провайдер может показывать вам рекламу и навязывать что-то. Из зашифрованного же трафика он может собирать только статистику, а вот при помощи приложения на вашем телефоне он может сделать уже куда больше.
VPN-расширения для браузера видят все содержимое браузера, шифрования для них нет. И это "легальное" поведение, на которое не сработает ваш антивирус. То есть они видят больше, чем ваш интернет-провайдер и домашний роутер и в теории, могут подменять даже банковские реквизиты, так что к выбору расширения стоит подходить очень аккуратно.
3. Бывает ли бесплатный VPN? Да, но с оговорками. Обслуживание VPN-сервиса требует довольно серьезных финансовых, вычислительных и людских ресурсов. Кто-то обсуживает сервера, кто-то пишет и улучшает код приложения, кто-то балансирует нагрузку. Заработать исключительно на рекламе на подобное? Маловероятно, особенно если компания только ВНП-сервисом и занимается. Тогда на чем они зарабатывают? К тому же они берут ответственность за все ваши действия в сети, включая незаконные. И это всё бесплатно?
4. Вопрос доверия к VPN - точно такой же как вопрос доверия к любому приложению, которое вы устанавливаете на телефон или компьютер. К бесплатным приложениям уровень подозрительности должен быть в разы выше. Если это VPN от известных компаний или компаний по кибербезопасности - то тут проще, "выгодой" владельца может быть положительная репутация. А если это ноунейм - то угрозы ощутимо выше. Пользоваться таким VPN опасно.
Если компания первоначально решила продвигать свой VPN-сервис для вредоностных целей, то ничего не помешает ей попытаться собирать "лишние" данные с вашего телефона и даже добавить пару вредоносных функций в очередном обновлении. Сейчас из-за обилия блокировок подобных вредоносных приложений стало больше, мошенники стараются наживаться на этом.
5. Платный VPN - это безопасно? Скорее да. Опять же зависит от компании, если она давно на рынке и зарекомендовала себя, то скорее всего это безопасно. Но такие ВПН чаще попадают под блокировки РКН.
6. Самый лучший способ - покупка платных и популярных VPN с наработанной репутацией, которые еще не заблокированы в РФ, или поднятие собственного VPN, если вам есть к кому обратиться для этой цели или вы готовы нагуглить одну из миллиона инструкций. В нынешних реалиях есть ряд проблем, связанных с зарубежными транзакциями, но они в целом решаемы.
Резюмируя - выбирая VPN, проявляйте осторожность и помните, что бесплатный сыр обычно бывает исключительно там, где любят большую и жирную мышь.
#3side_так_безопасно
"Платный,бесплатный, вредоносный": сегодня мы поговорим о том, как выбирать и какой вообще бывает VPN.
Начнём с простого. VPN - это виртуальная приватная сеть, а проще всего ее представить как своего рода вайфай! Только он раздаётся не "по воздуху", а через другую сеть, не приватную - через Интернет. И мы используем Интернет чтоб подключиться к ВПН, а через него вернутся обратно в Интернет, но уже якобы из другой страны и из под другого адреса.
1. Есть ли риск? Есть. Пускать к своему устройству в локальную сеть кого-либо довольно рискованно, но в целом мы это в целом делаем каждый раз, когда подключаемся к неизвестному вайфаю. Это часто открывает дополнительные возможности для атаки на устройство других посетителей условного кафе или самих владельцев WiFi сети.
2. VPN-провайдер видит часть вашего трафика. Подобно роутеру, он видит только ту часть интернет-трафика, которая не защищенна HTTPS-шифрованием. К счастью, HTTPS используется сейчас практически везде. И только в незащищенной части ВПН-провайдер может показывать вам рекламу и навязывать что-то. Из зашифрованного же трафика он может собирать только статистику, а вот при помощи приложения на вашем телефоне он может сделать уже куда больше.
VPN-расширения для браузера видят все содержимое браузера, шифрования для них нет. И это "легальное" поведение, на которое не сработает ваш антивирус. То есть они видят больше, чем ваш интернет-провайдер и домашний роутер и в теории, могут подменять даже банковские реквизиты, так что к выбору расширения стоит подходить очень аккуратно.
3. Бывает ли бесплатный VPN? Да, но с оговорками. Обслуживание VPN-сервиса требует довольно серьезных финансовых, вычислительных и людских ресурсов. Кто-то обсуживает сервера, кто-то пишет и улучшает код приложения, кто-то балансирует нагрузку. Заработать исключительно на рекламе на подобное? Маловероятно, особенно если компания только ВНП-сервисом и занимается. Тогда на чем они зарабатывают? К тому же они берут ответственность за все ваши действия в сети, включая незаконные. И это всё бесплатно?
4. Вопрос доверия к VPN - точно такой же как вопрос доверия к любому приложению, которое вы устанавливаете на телефон или компьютер. К бесплатным приложениям уровень подозрительности должен быть в разы выше. Если это VPN от известных компаний или компаний по кибербезопасности - то тут проще, "выгодой" владельца может быть положительная репутация. А если это ноунейм - то угрозы ощутимо выше. Пользоваться таким VPN опасно.
Если компания первоначально решила продвигать свой VPN-сервис для вредоностных целей, то ничего не помешает ей попытаться собирать "лишние" данные с вашего телефона и даже добавить пару вредоносных функций в очередном обновлении. Сейчас из-за обилия блокировок подобных вредоносных приложений стало больше, мошенники стараются наживаться на этом.
5. Платный VPN - это безопасно? Скорее да. Опять же зависит от компании, если она давно на рынке и зарекомендовала себя, то скорее всего это безопасно. Но такие ВПН чаще попадают под блокировки РКН.
6. Самый лучший способ - покупка платных и популярных VPN с наработанной репутацией, которые еще не заблокированы в РФ, или поднятие собственного VPN, если вам есть к кому обратиться для этой цели или вы готовы нагуглить одну из миллиона инструкций. В нынешних реалиях есть ряд проблем, связанных с зарубежными транзакциями, но они в целом решаемы.
Резюмируя - выбирая VPN, проявляйте осторожность и помните, что бесплатный сыр обычно бывает исключительно там, где любят большую и жирную мышь.
#3side_так_безопасно
Будни одного из русскоязычных ransomware под названием Yanluowang
Диалоги взломанных Yanluowang, или как одни хакеры с другими воевали
Yanluowang в августе взломали Cisco и слили их данные, сегодня - взломали самих злоумышленников. В распоряжении редакции оказалась переписка из одного из чатов разработчиков ransomware.
Что нам показалось интересным?
1. Пост со сливом их исходного кода оперативно удалили с форума xss.is, т.к. у них есть связи с администрацией.
2. Спалили связь между старым никнеймом sailormorgan32 и взломом компании SonicWall и новым никнеймом.
3. Диалог о чувстве собственной безнаказанности
"-е***ие амеры
-Да а***ли они
-Е***ь их нужно )
-Интересно, теперь наверно меньше будут хакеров крепить
-Если власть не сменит курс)"
4. Обсуждение слива русскоязычного ransomware Conti
"-ща пентестеров набежит д***я
-от конти все уходят
-там сервера подломали
-А. Ну крутяк. Лижбы тоже не е***ли."
Иронично.
5. И вишенка на торте - расположение их домена matrix.mtololo[.]com особенно привлекло наше внимание. Довольно странно, что домен mtololo[.]com - располагается в сети, принадлежащей организации GAZETARU (источник).
P.S. Привести к этому могли разные ошибки, но встречались и диалоги:
"- пасс 123456?
- забей"
"-пароль на токен 12345678"
Кому интересны подробности, можете почитать переписку тут
Диалоги взломанных Yanluowang, или как одни хакеры с другими воевали
Yanluowang в августе взломали Cisco и слили их данные, сегодня - взломали самих злоумышленников. В распоряжении редакции оказалась переписка из одного из чатов разработчиков ransomware.
Что нам показалось интересным?
1. Пост со сливом их исходного кода оперативно удалили с форума xss.is, т.к. у них есть связи с администрацией.
2. Спалили связь между старым никнеймом sailormorgan32 и взломом компании SonicWall и новым никнеймом.
3. Диалог о чувстве собственной безнаказанности
"-е***ие амеры
-Да а***ли они
-Е***ь их нужно )
-Интересно, теперь наверно меньше будут хакеров крепить
-Если власть не сменит курс)"
4. Обсуждение слива русскоязычного ransomware Conti
"-ща пентестеров набежит д***я
-от конти все уходят
-там сервера подломали
-А. Ну крутяк. Лижбы тоже не е***ли."
Иронично.
5. И вишенка на торте - расположение их домена matrix.mtololo[.]com особенно привлекло наше внимание. Довольно странно, что домен mtololo[.]com - располагается в сети, принадлежащей организации GAZETARU (источник).
P.S. Привести к этому могли разные ошибки, но встречались и диалоги:
"- пасс 123456?
- забей"
"-пароль на токен 12345678"
Кому интересны подробности, можете почитать переписку тут
О хакерах и свиньях, или как мы взломали свиноферму
Однажды компанию, на которую я тогда работал, позвали делать проект по пентесту на свинокомплексе. Мы ещё подумали – о, прикольно, хлев и хрюшки бегают, но в реальности мы тихо прифигели от уровня автоматизации. Современный свинокомплекс (а это фермы, завод, офис, логистика) вообще организован очень серьёзно. Самый простой пример - там распил туш происходит вообще без участия человека (я тогда ещё спросил "а автомат может отличить свинью от сотрудника?"), а контроль всего происходящего - это космос.
Так вот, о контроле. Главная угроза для бизнеса по производству свинины в любой стране – это болезни животных, в первую очередь свиная чума, из-за которой бизнес может понести чудовищные убытки. В общем, биобезопасность там на высшем уровне, а свиньи живут в полностью изолированной от внешнего мира стенами и воздушными фильтрами среде. Кстати, перед началом проекта мы все подписали документ о том, что "не имели контактов со свиньями за последние полгода". Каких именно контактов, не уточнялось.
Соответственно, наша задача – найти все возможные способы взлома любых частей комплекса, подключившись к его сети. Лучше всего получилось это сделать изнутри сети самого завода, мы там взломали несколько важных систем и в какой-то момент у меня получилось дойти до системы управления загонами, где, собственно, содержали этих самых свиней. А главное – мы поняли, как одной командой открыть двери и выпустить их всех «на волю». В принципе, после этого их можно было не собирать вообще, а просто отстреливать и свозить на свалку – такое мясо в любом случае не попало бы в продажу.
Это и был наш самый главный успех и самая жирная цель – и злоумышленники, и эко-активисты вполне могли пройти по нашему пути и это был бы огромный ущерб для бизнеса. И тут я, довольный результатом, отправляю в рабочий чат сообщение: "Я дошел до управления загонами! Успех! Как думаете, свинкам дадим свободу?". И вот тут началось шоу.
Мой тогдашний менеджер в этот момент обедал с представителем заказчика и сказал ему что-то в духе «всё отлично, всё сломали, готовы выпускать свиней». Там это передали выше, потом ещё выше, и где-то к уровню правления ситуация выглядела примерно так: «Шеф, помогите, всё взломано, свиньи лесами и огородами бегут к белорусской границе, убытки ужасающие, завод можно закрывать».
Через час мне позвонило начальство и ОЧЕНЬ напряженным голосом спросило: «У тебя там всё хорошо? Ты же не выпустил свиней?». Убедившись, что все свиньи на месте (но отказавшись от идеи пересчитывать их вручную) проект был сдан.
Однажды компанию, на которую я тогда работал, позвали делать проект по пентесту на свинокомплексе. Мы ещё подумали – о, прикольно, хлев и хрюшки бегают, но в реальности мы тихо прифигели от уровня автоматизации. Современный свинокомплекс (а это фермы, завод, офис, логистика) вообще организован очень серьёзно. Самый простой пример - там распил туш происходит вообще без участия человека (я тогда ещё спросил "а автомат может отличить свинью от сотрудника?"), а контроль всего происходящего - это космос.
Так вот, о контроле. Главная угроза для бизнеса по производству свинины в любой стране – это болезни животных, в первую очередь свиная чума, из-за которой бизнес может понести чудовищные убытки. В общем, биобезопасность там на высшем уровне, а свиньи живут в полностью изолированной от внешнего мира стенами и воздушными фильтрами среде. Кстати, перед началом проекта мы все подписали документ о том, что "не имели контактов со свиньями за последние полгода". Каких именно контактов, не уточнялось.
Соответственно, наша задача – найти все возможные способы взлома любых частей комплекса, подключившись к его сети. Лучше всего получилось это сделать изнутри сети самого завода, мы там взломали несколько важных систем и в какой-то момент у меня получилось дойти до системы управления загонами, где, собственно, содержали этих самых свиней. А главное – мы поняли, как одной командой открыть двери и выпустить их всех «на волю». В принципе, после этого их можно было не собирать вообще, а просто отстреливать и свозить на свалку – такое мясо в любом случае не попало бы в продажу.
Это и был наш самый главный успех и самая жирная цель – и злоумышленники, и эко-активисты вполне могли пройти по нашему пути и это был бы огромный ущерб для бизнеса. И тут я, довольный результатом, отправляю в рабочий чат сообщение: "Я дошел до управления загонами! Успех! Как думаете, свинкам дадим свободу?". И вот тут началось шоу.
Мой тогдашний менеджер в этот момент обедал с представителем заказчика и сказал ему что-то в духе «всё отлично, всё сломали, готовы выпускать свиней». Там это передали выше, потом ещё выше, и где-то к уровню правления ситуация выглядела примерно так: «Шеф, помогите, всё взломано, свиньи лесами и огородами бегут к белорусской границе, убытки ужасающие, завод можно закрывать».
Через час мне позвонило начальство и ОЧЕНЬ напряженным голосом спросило: «У тебя там всё хорошо? Ты же не выпустил свиней?». Убедившись, что все свиньи на месте (но отказавшись от идеи пересчитывать их вручную) проект был сдан.
"Так безопасно?" №3: Безопасен ли ТОР?
Итак, после выхода поста про VPN на спросили, а что с ТОРом? На сколько безопасно им пользоваться? Ответ - как всегда "depends", но о некоторых нюансах мы сегодня поговорим.
1. Что такое ТОР? Это - это шифрованная сеть внутри Интернета, которая удобная для доступа к сайтам внутри нее, и очень неудобна для доступа к сайтам в Интернете. Почему? Потому что по умолчанию выходные адреса участников сети известны, а они блокируются, ограничиваются большинством сайтов Интернета. Из Тора преимущественно идет вредоносный или ботовый трафик.
Будьте готовы постоянно вводить капчу (картинки с буквами, текстом или головоломки), или вовсе видеть "доступ запрещен".
2. ТОР анонимен? И да и нет, никто не может расшифровать трафик участников сети, но если очень постараться, но можно попытаться деанонимизировать конкретного пользователя, особенно если используется только тор браузер. Также есть контролируемые правоохранительными службами некоторых государств ноды, и такие же контролируемые злоумышленниками. Они пытаются вмешиваться в трафик, каждые со своими целями. Шанс "нарваться" небольшой, но есть.
3. Я слышал, что Тор скомпрометирован/взломан! Да, мы тоже слышали, но пруфов нет. Да бывают отдельные уязвимости тор-браузера и новые методы деанонимизации на основании статистики. Но для этого требуются определенные условия.
4. Заменяет ли он VPN? Нет, он постоянно под ограничениями сайтов, медленный и имеет ряд собственных рисков при использовании.
5. ТОР построен на деньги американских спецслужб, у них точно есть доступ! Код и инфраструктура функционирования Тора изучаются уже более десятка лет тысячами исследователей, все еще никакой "закладки" не нашли, пруфов и тут нет. Да Тор поддерживают и грантами и деньгами от комьюнити, но его существование выгодно.
ТОР клиенты, такие как Торбраузер или иные связанные с Тор Foundation довольно безопасны. Они поддерживаются и уязвимости устраняются довольно оперативно. "Сторонние" клиенты использовать не стоит.
Кстати, ТОР - это сокращение от The Onion Router (Луковичный роутер), а шифрование накладывается и снимается слоями, как репчатый лук (подробности легко гуглятся). К Марвел или скандинавским верованиям отношения не имеет. К слову, именно Тор позволил Эдварду Сноудену организовать достаточно безопасный канал для слива данных журналистам, там часто обитают и правозащитники. Но чаще сеть вспоминают как его пристанище наркоманов и педофилов.
Резюмируя: пользоваться можно, на свой страх и риск. До тех пор, пока вы не занимаетесь передачей правительственных секретов, VPN с нашей точки зрения выглядит предпочтительнее. Тор он больше про конфиденциальность, а не про анонимность.
#3side_так_безопасно
Итак, после выхода поста про VPN на спросили, а что с ТОРом? На сколько безопасно им пользоваться? Ответ - как всегда "depends", но о некоторых нюансах мы сегодня поговорим.
1. Что такое ТОР? Это - это шифрованная сеть внутри Интернета, которая удобная для доступа к сайтам внутри нее, и очень неудобна для доступа к сайтам в Интернете. Почему? Потому что по умолчанию выходные адреса участников сети известны, а они блокируются, ограничиваются большинством сайтов Интернета. Из Тора преимущественно идет вредоносный или ботовый трафик.
Будьте готовы постоянно вводить капчу (картинки с буквами, текстом или головоломки), или вовсе видеть "доступ запрещен".
2. ТОР анонимен? И да и нет, никто не может расшифровать трафик участников сети, но если очень постараться, но можно попытаться деанонимизировать конкретного пользователя, особенно если используется только тор браузер. Также есть контролируемые правоохранительными службами некоторых государств ноды, и такие же контролируемые злоумышленниками. Они пытаются вмешиваться в трафик, каждые со своими целями. Шанс "нарваться" небольшой, но есть.
3. Я слышал, что Тор скомпрометирован/взломан! Да, мы тоже слышали, но пруфов нет. Да бывают отдельные уязвимости тор-браузера и новые методы деанонимизации на основании статистики. Но для этого требуются определенные условия.
4. Заменяет ли он VPN? Нет, он постоянно под ограничениями сайтов, медленный и имеет ряд собственных рисков при использовании.
5. ТОР построен на деньги американских спецслужб, у них точно есть доступ! Код и инфраструктура функционирования Тора изучаются уже более десятка лет тысячами исследователей, все еще никакой "закладки" не нашли, пруфов и тут нет. Да Тор поддерживают и грантами и деньгами от комьюнити, но его существование выгодно.
ТОР клиенты, такие как Торбраузер или иные связанные с Тор Foundation довольно безопасны. Они поддерживаются и уязвимости устраняются довольно оперативно. "Сторонние" клиенты использовать не стоит.
Кстати, ТОР - это сокращение от The Onion Router (Луковичный роутер), а шифрование накладывается и снимается слоями, как репчатый лук (подробности легко гуглятся). К Марвел или скандинавским верованиям отношения не имеет. К слову, именно Тор позволил Эдварду Сноудену организовать достаточно безопасный канал для слива данных журналистам, там часто обитают и правозащитники. Но чаще сеть вспоминают как его пристанище наркоманов и педофилов.
Резюмируя: пользоваться можно, на свой страх и риск. До тех пор, пока вы не занимаетесь передачей правительственных секретов, VPN с нашей точки зрения выглядит предпочтительнее. Тор он больше про конфиденциальность, а не про анонимность.
#3side_так_безопасно