Обучение WWH 20-21. Часть 3. “ Безопасность и настройка виртуальной машины”
Лекция#3 Безопасность и настройка виртуальной машины 18.11.2020
Лектор : Пейн
(19:14:58) Пейн: Приветствую. Тема лекции: «Безопасность и настройка виртуальной машины».
(19:15:08) Пейн: Лекция включает следующие части:
1. Общие характеристики конфиденциальности и безопасности.
2. Структурная настройка виртуальной машины: программы и параметры.
3. Финансовый оборот с учётом свойств анонимности в сети.
(19:15:34) Пейн: Начинать принято с основ, в первую очередь рассмотрим фундаментальные правила поведения в сфере интернет-деятельности.
(19:15:58) Пейн: Безопасность.
Руководствоваться необходимо рядом правил, нарушать который настоятельно не рекомендуется:
(19:16:08) Пейн: ― Пресекать распространение любой персональной информации. Местоположение и состав семьи, реквизиты, электронные почты, социальные сети, специфические никнеймы, совпадающие с аккаунтом в инстаграме, сведения о рабочей деятельности и абонентские номера не должны покидать границы чистой операционной системы и разума.
(19:16:38) Пейн: Вне зависимости от интересующегося, приятель или коллега — любой может оказаться не тем, кем хочет чтобы его видели, я не исключение. Важно осознавать чем намерены заниматься и помнить: личное должно оставаться личным, рабочее — рабочим. Относится не только к людям, но и к интернет-ресурсам, из чего следует заключение далее.
(19:17:13) Пейн: ― Не применять личные телефонные номера, электронные почты и социальные сети для регистрации аккаунтов на «серых» сайтах или магазинах. Поставщики услуг мобильной связи и интернета, равно как и компании электронных почт в большинстве случаев попросту выдадут информацию по запросу компетентных служб.
(19:17:54) Пейн: Регистрация почты, требующей принятия смс-кода для активации, проводится с помощью виртуальных онлайн-активаторов, например: https://sms-activate.ru/. Аналогичных сервисов десятки, найти их не составит труда. На форуме есть сервисы в том числе для приёма сообщений на реальные номера зарубежных стран.
(19:18:17) Пейн: ― Бескомпромиссный отказ от деятельности по всем странам постсоветского пространства. Отследить резидента, находящегося в прямой физической и административной досягаемости гораздо проще, что лишний раз подтверждается статистикой и наблюдениями.
(19:18:49) Пейн: Значит, на использование такого рода материала, магазинов и сервисов накладывается запрет, диктующийся здравым смыслом, а не каким-либо «кодексом чести».
(19:19:04) Пейн: ― По этой же причине получение посылок осуществляется через посредников и подставных лиц. Вовлекать личные идентификационные данные в процесс оборота товара и финансов в любом виде — плохая идея.
(19:19:35) Пейн: ― Средства коммуникации и соответствующие им истории переписок не должны находиться в открытом виде на основной операционной системе. Внутри виртуальной машины ― допустимо. Мессенджеры Skype, WhatsApp, Viber и иже с ними — вздор, в силу послужного списка утечек и обнаруженных уязвимостей, похожих на бэкдоры.
(19:20:25) Пейн: Говоря о Jabber, актуально пользоваться лишь серверами, имеющими достаточный уровень доверия и репутацию, а чтобы обезопасить пространство общения нужно по возможности включать шифрование OTR. В клиенте PSI+ есть в плагинах, для Pidgin скачивается отдельно.
(19:20:57) Пейн: К слову, делать контакты достоянием общественности чревато спамом, попытками взлома и возможными фейк-аккаунтами, схожими со своими, что в перспективе может прибавить забот. Есть такая потребность — создаются дополнительные.
(19:21:25) Пейн: ― Методы хранения образов виртуальных машин и информации должны иметь свои уровни защиты. В первую очередь физический носитель: жёсткий диск, SSD (как внешний, так и внутренний) или обыкновенная флешка. Съемный накопитель удобен и тем, что в критической ситуации его можно быстро физически устранить или сделать непригодным.
(19:21:59) Пейн: Существенную роль при выборе устройства играют две характеристики: объем и скорость. Памяти мало не бывает, поэтому выбор исключительно на собственное усмотрение, удобный минимум ― 32GB.
(19:22:17) Пейн: Скорость — следствие типа запоминающего устройства и характеристик компьютера. SSD определённо быстрее жёстких дисков, но и стоимость явно выше. Для съемных накопителей значителен и метод подключения USB: версии 3.0 и 3.1 выигрывают сравнительно с 2.0, — для простого определения версии можно посмотреть цвет портов, при 3.0+ он синий.
(19:23:01) Пейн: Затрагивая настройки накопителя, главным образом это шифрование. При выборе специализированной программы можно остановиться на Veracrypt; BitLocker и подобные решения использовать не рекомендуется. Veracrypt является форком Truecrypt ввиду закрытия последнего и возникшими на этой почве сомнениями.
(19:23:37) Пейн: Создаётся контейнер или шифруется весь накопитель, затем внутрь помещается конфиденциальная информация, в дальнейшем для просмотра которой нужно произвести расшифровку (размонтирование) паролем. Для предотвращения риска захвата пароля из оперативной памяти отключается гибернация — инструкции согласно операционной системе в интернете.
(19:24:13) Пейн: Вдобавок у программы есть возможность создания скрытой операционной системы. В случае крайней необходимости можно будет выдать пароль от основной, существующей параллельно, пока скрытая будет продолжать хранить файлы. Примерно так же работают контейнеры с двойным дном. Подробные руководства есть в основной рабочей конференции на форуме и в справке программы, кроме того, функционал интуитивно понятен.
(19:24:55) Пейн: ― На каждый сайт, аккаунт и контейнер пароли должны быть уникальны. Результатом использования идентичных паролей часто становится потеря сразу всех аккаунтов, так как при сливе одной базы информацию из неё можно применять на других сайтах. Нет страховки от продажи или взлома базы данных какого-либо магазина материала, утечки из популярных ресурсов и впоследствии банального перебора паролей неприятелем.
(19:25:40) Пейн: Менеджером паролей может служить «KeePass» или аналог. Разумеется, излишне говорить, что «qwerty54321» — вовсе не надёжный пароль.
(19:26:04) Пейн: Впрочем, об удобной функции двухфакторной аутентификации сообщить уместно. 2FA — дополнительная степень защиты, реализуемая путём генерации код-паролей каждые 30 секунд, которую не будет лишним использовать там, где это возможно. Подойдут, например, приложения Authy или OTP.
(19:26:53) Пейн: ― В качестве превентивных мер к заражению вирусом создаётся отдельная виртуальная машина. Чтобы над устройством не установили контроль или не перехватили пароли непосредственно из системы — установка сомнительных и непроверенных программ совершается в заранее подготовленной виртуальной системе.
(19:27:51) Пейн: ― Рекомендуется периодически делать резервные копии наиболее важных данных, содержать которые необходимо в зашифрованном виде отдельно от рабочей системы. Желательно, не в единственном экземпляре.
(19:28:24) Пейн: Резюмировать первую часть можно так: пренебрежение и полумеры в вопросах безопасности несут в себе отрицательные последствия. Соблюдать элементарные правила гигиены не так хлопотно, как нажить проблем из-за наивности или терять деньги из-за похищения аккаунтов.
(19:28:58) Пейн: Настройка виртуальной машины.
Программное обеспечение для виртуализации — VMware и VritualBox, где последний вариант работает в том числе на базе Linux, а решением для macOS является Parallels Desktop. Совокупность настроек виртуальной машины не меняется в зависимости от основной системы, как и не имеет принципиального значения выбор варианта под работу.
(19:29:42) Пейн: Практически всегда в bios/uefi расширения виртуализации включены, но некоторые производители устройств отключают их по умолчанию. Метод попадания в данный интерфейс разнится от основной системы и модели компьютера, поэтому стоит использовать поисковик, виртуализация же, в основном, фигурирует как VT, AMD-V или V. Extensions.
(19:30:14) Пейн: У виртуальной машины есть две основные функции: повседневное использование и рабочая деятельность. Совмещать не запрещается, однако ремесло предусматривает постоянные смены IP-адресов, ряда программ и параметров, стало быть под разные цели можно смастерить отдельные сборки.
(19:30:48) Пейн: 1. Рабочий арсенал включает нижеследующее:
― VPN. Шифрованное соединение от пользователя к серверу, через который осуществляется выход в сеть. Во избежание конфликтов с прочими IP-доступами, устанавливается на основную систему. Оптимально выбрать сервис стран третьего мира, о постсоветском пространстве не может быть и речи; коммерческий сервис не должен вести логирование.
(19:31:15) Пейн: VPN можно создать самостоятельно, путём внутренней настройки выделенного с этой целью сервера. Под инструкции можно было бы отводить целую лекцию, да и в сети их прорва, по этим причинам освещено не будет. После подключения IP-адрес обязан измениться.
(19:31:49) Пейн: Функция блокировки трафика на случай ненамеренного отключения IP-доступа с целью страховки от раскрытия реального IP-адреса в VPN-клиентах называется KillSwitch (или подобно) и содержится во многих клиентах, а в Windows фаерволе реализуется благодаря созданию правил в «Firewall Properties»: Outbound connections > Block трёх вкладок; затем Outbound Rules > Program > приложение для выхода в сеть > Allow the connection. В сети есть и специальные программы.
(19:32:47) Пейн: ― Набор общих браузеров: Firefox, Chrome, Safari, TOR Browser и другие. Насчёт последнего, форумы и магазины материала нередко имеют зеркала в .onion зоне, которые надо открывать через тор. Для предотвращения утечки реального IP-адреса в браузерах отключается технология WebRTC: https://bit.ly/2F2BTLW.
(19:34:05) Пейн: — В целях маскировки IP-адреса под работу (в частности, под владельца материала) применяются SOCKS-прокси и SSH-туннели. Предстают в формате ip-port + login-password (причём, логин-пароль не всегда). Данные сетевые протоколы используют разные методики подключения, для инициирования которых следует установить комплект из Proxifier для соксов и Bitvise или PuTTY для туннелей соответственно.
(19:34:46) Пейн: В Proxifier включается галочка «Resolve hostnames through proxy» в пункте «Name Resolutions», непосредственно соксы добавляются во вкладке «Proxy Servers». При использовании Proxifier в связке с Bitvise или PuTTY для SSH, добавляется правило в «Rules» на ярлык нужного клиента, где в Action выбирается первый или второй пункт; сокс при этом должен стоять вида 127.0.0.1:8081/8080 без пароля.
(19:36:06) Пейн: Прочая настройка сводится к заполнению полей для ввода в клиентах сведениями об IP-доступе — IP, портов, логинов и паролей. В сети и на форуме предостаточно руководств по вышеупомянутым клиентам, так что более детально ознакомляться не будем.
(19:37:02) Пейн: — Антидетект — программа, уникализирующая работу в интернете, подменяя отпечатки браузера — например, Linken Sphere. При наличии виртуальная машина необязательна, хотя с точки зрения безопасности инструменты стоит хранить в изолированной области. Использование по желанию, на эту тему будет лекция в будущем.
(19:37:36) Пейн: — Удобный текстовый редактор ради ведения записей. Здесь предоставляется свобода выбора, но если ставить вопрос ребром, можно привести несколько примеров: Notepad++, RightNote, Standard Notes, CherryTree, Atom. При этом, как с паролями и резервными копиями — содержать информацию в облачном хранилище безусловно не стоит.
(19:38:16) Пейн: Итоговая последовательность подключений в минимально допустимой комплектации будет иметь следующий вид: основная система > VPN > зашифрованная область хранения данных > виртуальная система > SOCKS / SSH > интернет.
(19:38:50) Пейн: Цепь вариативна и её можно всячески дополнять, внося новые звенья. Например, последние два пункта могут быть заменены на удалённые рабочие столы: ...виртуальная система > VNC / RDP / выделенный сервер > интернет. Возможно дополнить антидетектом, построением серии VPN ― в сумме, маневрирование ограничено лишь воображением.
(19:39:43) Пейн: 2. Спектр параметров берёт начало в антифрод-системах. Антифрод — система, предназначенная для оценки финансовых транзакций в интернете на предмет мошенничества. Фактически составляет средоточие правил, фильтров и списков. Знание внутренней кухни в будущем станет подспорьем для преодоления «заслона» антифрод-систем.
(19:40:30) Пейн: Выделить из множества входящих в системы правил можно две категории: IP-адрес и цифровые отпечатки. Исследовать их содержание нужно, чтобы иметь представление о механизме подмене видимости — маскировке и том, с какой перспективы будет оцениваться будущий «покупатель».
(19:41:05) Пейн: A) IP-адрес.
(19:41:15) Пейн: ― Чёрные списки или Black Lists. Такие базы формируют различные компании, которые отслеживают IP-адреса, осуществляющие DDoS-атаки, спам и прочую тёмную деятельность. Затем интернет-провайдеры, почтовые сервисы, платёжные системы, банки и магазины используют их для проверки посетителей. Следовательно, попытка оформления заказа с грязного IP-адреса, как правило, закончится провалом: TOR, публичные VPN и прокси-сервисы прямо таки усеяны блэк-листами.
(19:42:18) Пейн: В дополнение, порой жертвами предвзятого отношения становятся целые подсети определённых интернет-провайдеров на основании диапазона адресов, ранее вовлечённого в мошенническую активность.
(19:42:53) Пейн: ― ISP и Hostname или интернет-провайдер и имя хоста. Благодаря кричащим заголовкам в названиях, таким как «proxy», «hidden», «vpn» могут быть установлены намерения по сокрытию и маскировке трафика ― одна из визитных карточек типичного мошенника.
(19:43:39) Пейн: Также, есть сервисы, предоставляющие услуги корпоративного или частного выделения виртуальных серверов на удалённом доступе. По аналогии с предыдущим пунктом, IP-адрес, принадлежащий к такому провайдеру и специфические системы (сервера) противоречат шаблону среднестатистического покупателя.
(19:44:27) Пейн: Простыми словами, виртуальный сервер, например, удалённый рабочий стол Amazon — непрезентабельно; сервис VPN, проксифицирования (SOCKS) или туннелирования (SSH) трафика — предосудительно.
(19:45:24) Пейн: Кроме того, есть провайдеры, входящие в зону повышенного риска с точки зрения многих антифрод-систем, к которым зачастую относятся с усиленным вниманием. Примеры: rr, myfairpoint, frontier. И напротив, несколько добротных: qwest, charter, cox, att, verizon, comcast. В свете описанного, даже полное отсутствие блэк-листов не гарантирует результата.
(19:45:58) Пейн: ― DNS или система доменных имён ― связующий элемент названия сайта и IP-адреса, на котором располагается этот сайт. Своеобразный довесок и совпадать с IP-адресом не обязан; личный DNS утекать не должен. Решающим фактором обычно не является, но соответствие стран DNS и IP-адреса без сомнений плюс.
(19:46:42) Пейн: Бывает отсутствует на SOCKS или SSH, тогда можно:
• прописать в адаптер сети в центре управления сетями и общим доступом системы;
• прописать в настройках маршрутизатора (роутера);
• поставить в комплекте с VPN в качестве одного из звеньев цепи подключений.
(19:47:40) Пейн: — Двусторонний пинг — приблизительное время маршрута клиент-сервер. При установлении характерных показателей (в основном, свыше 40ms) IP-адрес классифицируется как туннель, что через призму антифрод-систем может быть одним из индикаторов потенциально мошеннической операции.
(19:48:46) Пейн: К сожалению, без владения IP-доступом на уровне администратора, локально это не устранить, ввиду чего остаются такие варианты:
• замена IP-доступа (SOCKS/SSH);
• изменение идущего до него звена в цепи подключений, например, смена VPN-сервера, — как вариант, помогает далеко не всегда;
• при наличии административных прав надо запретить ICMP-трафик, инструкции согласно системе IP-доступа можно найти в сети.
(19:49:39) Пейн: ― Открытые порты: 80, 81, 1080, 8123, 8080, 8081 и так далее. Свидетельствуют об использовании средств проксификации, в то же время являясь палкой о двух концах. Во-первых, значительное количество этих адресов — всего лишь веб-админки роутера. Во-вторых, вопреки заявлениям сайтов по проверке анонимности, с IP-адресов вышеперечисленных типов генерируется немало чистого трафика.
(19:50:25) Пейн: Большинство свойств IP-адреса в сущности не являются «плохими» или «хорошими». Прокси, VPN, сервера и специфические ISP могут быть связаны с корпорацией, университетом, оператором сотовой связи или иными видами легитимного использования инструментария, будь то личная покупка на работе или операции от юр. лица.
(19:51:01) Пейн: При этом трафик групп людей также может передаваться через одну точку выхода в интернет, например, для применения фаервола или повышения производительности. Отсюда следует, что радикальная политика сдерживания всех подозрительных элементов невольно вызовет страдания и обычных пользователей.
(19:51:37) Пейн: По существу это означает: a) покупки с одного IP-адреса разными платёжными средствами возможны, b) заклеймённые как «прокси» IP-адреса могут быть эффективны и c) для оценки рисков есть целый вагон и маленькая тележка других правил.
(19:52:30) Пейн: Метод подсчёта вероятности использования прокси называется «proxyScore». «riskScore» — как следует из названия, оценка рисков при анализе транзакции в целом или IP-адреса в частности. Обозначаются в пределах 0-100, соответственно чем значение выше ― тем хуже. Преимущественно сервисы по проверке интегрированы в магазины материала, а на форуме и в сети можно найти частных представителей.
(19:53:11) Пейн: Следует отметить присущую изменчивость критериев оценки. Ежедневно чёрные списки, ISP и остальные атрибуты изменяются, а также прямо зависят от конкретных антифрод-систем, десятки которых иметь идентичное устройство и алгоритмы, в общем-то, не должны. По этим причинам крайне важно вести личную статистику.
(19:53:55) Пейн: B) Цифровые отпечатки.
Fingerprint — уникальный слепок настроек браузера и операционной системы. Механизм получения активно применяется антифрод-системами как для оценки рисков транзакций, так и для простой слежки, ведь он позволяет узнавать клиента невзирая на смену IP-адреса, очистку cookies, а при сильной системе и некоторых настроек.
(19:54:33) Пейн: С точки зрения безопасности представляет набор методов, которыми пользователь идентифицируется на фоне прочих. В том числе поэтому декларируется принцип изоляции рабочей среды: одно дело присвоить уникальный идентификатор анонимному наблюдателю в целях рекламного трекинга и сбора статистики, но совершенно другое «покупателю».
(19:55:09) Пейн: Так, хроническое использование одной-единственной конфигурации в работе неизбежно приведёт к узнаваемости клиента, что может послужить причиной отказов в проведении транзакций наравне с подозрительными отпечатками. Очень часто сценарий сбора и анализа данных включает:
(19:55:46) Пейн: ― User-Agent. На ряду с IP-адресом первую информацию, которую при посещении сайт получает о пользователе ― название и версию браузера, тип устройства, операционную систему и язык. Добиваясь органичности, нужно учитывать языковые свойства выбранной маскировки, если IP-адрес английский ― такие же система и браузер.
(19:56:27) Пейн: Один из нормативов аналитических процессов ― статистическое совпадение незаконных актов с конкретной операционной системой или браузером. Проиллюстрировать можно так: например, заведомо подозрительные прокси-сервера по большей части функционируют на базе Linux, что сказывается на отношении и к самой операционной системе.
(19:57:11) Пейн: Чем больше добросовестного трафика создаётся с операционной системы или браузера в мире, тем размытее соотношение чёрного к белому, а значит натуральнее будет камуфляж. Яркий пример ― линейки Windows, macOS, IOS, Android. Браузеры: Chrome, Firefox, Safari, IE, Edge. Как и с чёрными списками, аналитические материалы собираются в режиме реального времени и зависят от сервиса.
(19:59:23) Пейн: ― Passive OS Fingerprint. Отпечаток формируется из свойственных операционным системам параметров передачи данных в сеть: размер, время жизни пакетов и других. Несовпадение отпечатков передающего трафик IP-адреса и User-Agent (например, пакет отправлен Linux, а клиент Windows; или, иначе говоря, интернет-подключение через SOCKS на Linux, в то же время используя Windows) ― изъян в портрете пользователя.
(20:00:01) Пейн: Потому как настраивание на стороне сервера, простейший способ сгладить углы ― смена IP-доступа. Из числа штатных средств может выручить раздача WiFi с требуемого устройства через эмулятор или пренебрежение — при условии сговорчивой антифрод-системы, в общей картине этот момент не ключевой.
(20:00:51) Пейн: — Разрешение экрана, размер окон, масштабирование. Параметры уникализации, одновременно задействованные в оценке рисков. Чрезвычайно редкие показатели выделяют пользователя, а неестественные для User-Agent вследствие использования антидетекта или эмуляторов могут вызвать подозрения: условно, на телефоне нет компьютерного разрешения.
(20:01:43) Пейн: ― Time & time zone. Время и часовой пояс операционной системы должны соответствовать расположению IP-адреса, ведь шероховатости в маскировке могут посеять сомнения. Постоянно работая из одной местности, для профилактики идентификации стоит настраивать отклонение в секундах между локальным и системным временем.
(20:02:43) Пейн: — Шрифты операционной системы. Определение шрифтов через Flash или JavaScript — стандартная техника уникализации пользователя. Операционные системы имеют их по умолчанию, а общий список пополняется установкой программ с собственными шрифтами: разного рода Office, Adobe PDF и так далее.
(20:03:26) Пейн: ― Extensions & Plugins ― установленные в браузер расширения и плагины. Могут обнаруживаться хорошими антифрод-системами посредством запроса о наличии в браузере определённых id и фиксированием изменений отображения на странице. Незатейливый «AdBlock» вряд ли окажет существенное влияние, но инструмены фальсификации «User-Agent» и отпечатков против серьезного оппонента могут сыграть злую шутку.
(20:04:09) Пейн: • Flash Player. Плагин для воспроизведения на сайтах аудио и видео Flash-формата, а также один из механизмов уникализации. В некоторой степени открытость производит впечатление честности, и всё же устанавливать необязательно, поскольку обращением к Adobe Flash добывается информация о браузере и операционной системе.
(20:04:41) Пейн: Более того, на сегодня Flash старый модуль и многими браузерами из соображений безопасности отключается по умолчанию, чем обусловлено снижение популярности среди пользователей. Однако может потребоваться для отображения Flash-контента определённых сайтов, о чём возникнет соответствующее уведомление.
(20:05:08) Пейн: ― HTML5 Canvas (Canvas Fingerprint) иWebGL. Незаметная отрисовка элементов ресурсами графического процессора с наложенными на них эффектами: текста для Canvas и 3D-объекта для WebGL. После обработки данные преобразовываются в hash-код и присоединяются к общему отпечатку для последующей идентификации пользователя.
(20:05:52) Пейн: Шрифты, версии драйверов GPU, глубина цвета, фильтрация, освещение и тени, текстуры и так далее — для выдачи персонифицированного результата задействуются аппаратные и программные особенности устройства, где каждый из фрагментов ― переменная, и как следствие существование отличительных знаков вполне понятно.
(20:06:43) Пейн: ― AudioContext Fingerprint. Оценка воспроизведения браузером низкочастотного аудиосигнала, подобно Canvas и WebGL протекающая скрытно с учётом характеристик операционной системы и оборудования пользователя. Далеко не самый распространённый метод.
(20:07:24) Пейн: Наполнением отпечатка выступают: битрейт, величина децибел, количество входящих и выходящих каналов, задержка вывода, частота дискретизации, время выполнения операций и другие, исходя из антифрод-системы. Скорректировать отпечаток возможно модификацией параметров антидетектом, в программе «Virtual Audio Cable» или аналогах.
(20:08:00) Пейн: — Cookie. Небольшой фрагмент данных определённого сайта, хранящийся в операционной системе для авторизации и настроек. При наличии cookies в сессии сайт однозначно идентифицирует пользователя, следовательно, сменяя маскировку от них нужно избавляться.
(20:08:51) Пейн: — Персональные данные имитирующей личности: адреса, контактная информация, платёжные методы. Ассоциация по, например, email или телефону между разными аккаунтами в одном магазине — компрометирующий признак.
(20:09:24) Пейн: Подытожим. Ловко защититься от сбора ряда отпечатков, отключив в браузере язык программирования «JavaScript», с помощью которого они извлекаются ― не выход. В таком случае многие сайты перестанут корректно функционировать, а о строгом соответствии шаблону добропорядочного покупателя говорить и вовсе не приходится.
(20:09:49) Пейн: Вот почему используется маскировка, целенаправленно изменяя составляющие отпечатков: устройство для User-Agent, плагины для браузера, шрифты для операционной системы, — по такому принципу. Тем не менее важно не нарушить хрупкое равновесие, слишком уникальные настройки приведут к узнаваемости.
(20:10:27) Пейн: Иронично, но даже запрет отслеживания в настройках браузера (doNotTrack) или отключение cookie — сами по себе выделяющие пользователя параметры. Прибавить к этому нетипичные шрифты или плагины, и уже имеем противоположный нужному эффект в долгосрочной перспективе, узнаваемый отпечаток.
(20:11:17) Пейн: С другой стороны, антифрод-система — инструмент прогнозирования рисков, основная же задача любого магазина стабильное получение и максимизация прибыли. Магазины способны управлять алгоритмами, чтобы антифрод-система не реагировала на каждый «пшик», подставляя честных покупателей под горячую руку.
(20:12:19) Пейн: Из любых соображений, будь то малорисковый ассортимент или максимизация прибыли — магазины устанавливают собственные комбинации правил и допустимый порог аномалий в отпечатках. Так, отдельные проверки могут отсутствовать, а погрешности не учитываться, например, AudioContext или некоторые чёрные списки, и напротив, где-то будут наседать по всем фронтам.
(20:12:48) Пейн: Примеры сайтов для проверки характеристик IP-адреса и операционной системы (чекеры):
• whoer.net;
• whatleaks.com;
• browserleaks.com;
• 2ip.ru/privacy/;
• ip-score.com;
• maxmind.com;
• f.vision.
Многократная проверка на показатели proxyScore, riskScore и Black List иногда провоцирует загрязнение IP-адреса, переусердствовать не стоит.
(20:13:35) Пейн: Финансовый оборот.
Несомненно, криптовалюты — неотъемлемая часть профессии. В большинстве приняты прошедшие испытание временем и сообществом: Bitcoin, Ethereum, Litecoin, Monero. Использование криптовалют технически, возможно, лучше реализованных или более выгодных с точки зрения инвестиций на свой страх и риск.
(20:14:18) Пейн: Примечательно, что вопреки расхожему мнению о криптовалютах, как об «анонимной» платёжной системе, они не дают карт-бланш в вопросе финансовых операций, это миф. Анонимность — невозможность установить источник, но из-за доступности транзакций криптовалют в открытом виде, в качестве источника выступает адрес отправителя, что позволяет отследить вектор движения средств.
(20:14:44) Пейн: При более близком рассмотрении, прерогатива криптовалют заключается в конфиденциальности — отсутствии персональных данных в ходе регистрации и проведении транзакций. Стоит различать «анонимность» и «конфиденциальность», при этом не принимая во внимание беспечность о «некрупной рыбе».
(20:15:09) Пейн: Спутать следы можно регулярной сменой отправляющих и принимающих адресов (предусмотрено многими кошельками), пропуском средств через различные обменники, криптовалюты или миксеры. Миксер — сервис анонимизации транзакций, практически, технология дробления средств клиента на мелкие части и последующее смешивание с частями других клиентов. Выбор миксеров и обменников, исходя из отзывов и репутации.
(20:15:46) Пейн: Есть два типа криптовалютных кошельков: «горячие» и «холодные». Горячие — любые, которым необходим доступ к интернету: биржи, онлайн-кошельки, обменники. Так, фактически, средства находятся на серверах, а клиент лишь получает к ним доступ ― вспоминаются новости о потери средств после взлома или блокировок бирж.
(20:16:27) Пейн: В свою очередь холодные ― концепт локального хранения, не требующий постоянного доступа в интернет. Несмотря на подверженность горячих взлому, они удобны для частых и мелких транзакций, а идея холодных состоит в безопасном хранении средств.
(20:17:22) Пейн: Рекомендуемые кошельки:
• Bitcoin Core (холодный);
• Electrum (полу-холодный);
• Blockchain (горячий).
Стоит подчеркнуть, что иметь дело с криптовалютами означает вероятность потери средств по внешним факторам: падение курса, взлом биржи, мошенничество обменика.
(20:18:12) Пейн: В отношении фиатных валют (USD, EUR, RUB и так далее) и операций с официальных бирж, кошельков или обменников применяется модель поведения инкогнито. История действий клиентов сохраняется, поэтому личные IP-адреса, персональная информация и отпечатки устройств не должны вовлекаться в процесс финансового оборота.
(20:18:46) Пейн: Взамен можно использовать:
• Виртуальные машины и сервисы смс-активаций;
• Многие обменники проводят операции с наличными. Курьерские услуги подходят как для вывода, так и для внесения средств;
• Терминалы. Внесение на предварительно зарегистрированные конфиденциальные кошельки;
(20:19:11) Пейн: • Аккаунты кошельков, бирж и кредитные карты на подставных лиц (дропов). Могут заблокировать или украсть, на таких средства лучше не задерживать и периодически сменять. Соответствующие сервисы верификации аккаунтов и продажи карт есть на форуме.
(20:19:32) Пейн: Неформальное правило сотрудничества с пользователями в данной сфере деятельности ― Гарант-Сервис. Сохраняет нервные клетки и финансы.
(20:20:06) Пейн: На этом всё. Переходим к вопросам, ставьте «?».
(20:21:39) gangass13: 1)Нужно ли перед каждым новым вбивом полностью чистить систему, переустанавливать виртуальную машину, покупать новые носки или туннели, даже если штат разных кх совпадает?
2)Нужно ли заучивать все эти плагины/дополнения или пока достатояно просто ознакомиться и в процессе будем изучать подробнее?
(20:23:38) Пейн: 1. Если вбив в один и тот же магазин или одну и ту же антифрод-систему (даже если она установлена в двух разных магазинах) ― да. В противном случае необязательно.
2. Зачем заучивать? Создайте заметку, здесь того, что будет использоваться не более 10 программ и 20 параметров. И подробнее рассматривать особо нечего: и настройки, и основные принципы озвучены, и как проверять тоже.
(20:23:50) AlexFlex2134: 1)Раньше для работы я использовал windscribe vpn , как выше вы писали про блек листы паблик впнов, то получается часть ретюрнов и сч была по этой причине?
2)На сколько я знаю, сфера позваляет максимально подстроиться под кх, вплоть до разрешения экрана, то есть самое лучшее для работы, это сфера?
(20:25:07) Пейн: 1. Если вы имеете в виду Paypal, то, вероятнее всего, да. Даже коммерческие VPN-сервисы, как правило, не годятся для практики, все ищут приватные openvpn конфиги.
2. Всё относительно, но про маскировку верно: спектр параметров широкий.
(20:25:13) user80: Честно, не понятно очень многое. Просто боль) Это нормально? Всю информацию по сегодняшней теме могу найти на форуме?
(20:25:59) Пейн: Это нормально. Уточняйте после осмысленного и спокойного перепрочтения в конференции вопрос/ответ. Кроме того, посетите чекеры ― иногда достаточно посмотреть на свои собственные параметры пользователя.
(20:26:09) IB$integral: 1. Правильно ли понимаю, что если использую vpn на основной машине и подключаюсь к дедику, то все равно лучше установить виртуалку для вбива на сам дедик и вбивать с виртуалки дедика? или вбивать можно (с точки зрения безопасности и удобств работы) на самом дедике? На дедике стоит менеджер паролей, electrum да и все остальное рабочее.
2. Стоит шифровать диск на дедике?
3. Совпадение ОС socks и своей системы же уточняется при покупке носка? и как потом проверить это соответствие? в чекере?
4. Можете, пожалуйста, порекомендовать мультивалютные аналоги electrum для работы не только с btc, а например, с usdt
(20:29:08) Пейн: 1. Нет, здесь верный вариант из виртуальной машины в дедик подключаться. Плюс, вы в одну категорию поставили IP-адрес (дедик) и систему (виртуальную машину), однако системы по умолчанию IP не имеют. Смысл дедика в том, что это уже готовая на 95% к работе система с собственным IP.
2. Если вы храните на нём файлы ― определённо да.
3. Да, в чекере. Уточняется или нет зависит от сервиса, где покупаете сокс.
4. Увы, мультивалютность в этом случае проблема. Но можно установить несколько кошельков конкретных валют.
(20:29:22) Koba787: 1 - Антидетект - я правильно понимаю, что при создании каждый раз новой виртуальной машины, шопами воспринимается виртуалка как новая машина? меняется ли полностью фингерпринт?
2 - Дополнительные вариации безопасности ведут к нашей безопаснсти или к более успешной работе с материалом и шопами?
3 - разве в виртуальной машине меняется имя хоста при использовании vpn + socs + shh ?
4 - говоря о riskScore - при настройке ситемы, перед началом работы, есть ли сервисы который может проверить от 0 до 100, где я сейчас примерно?
5 - про простейший способ сглаживания углов посредством раздачи вай-фай - не понятно(((
6 - всегда ли нужно избавлять от cookie - или есть сценарий, когда наоборот надо сохранить?
7 - ассоцияция по email или телефону между разными аккаунтами - можно пример для тугих - это как?
8 - как понять что в 2 магазинах одна и таже антифрод система?
(20:30:42) Koba787: заранее прошу прошения, если вопросы глупые
(20:34:26) Пейн: 1. Если антидетект в полной мере выполняет свои функции ― да, ведь его предназначение в этом и заключается. Сам смысл заключён в названии "антидетект". Ну и от настроек тоже зависит. В любом случае, на тему антиков будет лекция.
2. Разумеется, к вашей безопасности. Работа это уже маскировка.
3. Да, ведь имя хоста в контексте интернет-соединения это параметр IP-адреса. Речь здесь не о хостовой операционной системе конкретно вашего компьютера.
4. Повторюсь, есть: или интегрированы в магазины, или можно найти на форуме. Тем не менее стоит учитывать, что антифрод-система может иметь свои, отличные критерии.
5. Буквально это и означает: с нужного наименования системы раздать wifi.
6. Нужно, когда ведётся последовательная работа с одним магазином и/или одним аккаунтов.
7. "В магазине зарегистрировались две персоны: Вася и Петя. Но они зарегистрировались на одну и ту же электронную почту! Не может ли это быть один и тот же человек?!"
8. Будет лекция.
(20:34:45) Yarah: 1. where can we get the users fingerprints in order to spoof it on our system? if the only info. we use are CC/Day of Birth/Address etc. will we also buy this information to insert it into linken sphere for example?
2. do mixers really work to remove our previous wallets address and definitely cannot be tracked?
3. if you cash out in "dummy" cards, which are based in Russia, do you have to travel to Russian in order to cash the money from ATM's? What if you don't live in Russia? How will you cash the bitcoin?
(20:37:42) Пейн: 1. Logs, for example. Also, there is some shops, selling real-person configurations. But in most of time we just cloaking by geolocation info.
2. Depends on what crypto u use and how many times.
3. Same way. Find someone.
(20:37:53) htuf: 1)Магазины внедряют свои антифрод системы или пользуются готовыми сервисами, на подобии принимающих платежных систем? 2) Есть способ прощупать мерчанта предварительно не сжигая материал или только путем проб и ошибок?
(20:39:52) Пейн: 1. Делат и так, и так. 2. Увы, только тестированием. Нет, конечно, предварительный осмотр может что-то сказать: имя антифрод-системы, степень её внедрения в магазин и прочее. Но всё это никогда не даст столько, сколько способна дать практика.
(20:40:09) riba12: правильно ли я понимаю- браузер Сфера способен в каждой новой открытой вкладке эмулировать ОС , User Agent, fingerprint и тд, для каждой задачи по необходимости? тоесть нет необходимости держать несколько виртуальных машин в которых нужно воспроизвести настройки для эмитации новой личности в каждой по отдельности.?
(20:40:24) Пейн: Совершенно верно.
(20:40:39) Koba787: Есть антидетекты кроме сферы? или отдельная лекция?
(20:41:12) Пейн: Есть, но более-менее сносных не более 3-5 штук сейчас. Ну и за отдельную лекцию так же справедливо. Я всё таки не по этой теме лектор.
(20:42:04) goldenbaum: 1) по поводу раздачи вай фай с определенного устройства. как часто это необходимо в сегодняшних реалиях. можно ли использовать малинку для этого?
(20:42:48) Пейн: В сегодняшних реалиях практически не нужно, кроме какой-то специфичной работы. Это просто один из возможных вариантов устранения конкретной, не самой страшной проблемы.
(20:42:58) Пейн: Малинка это?..
(20:43:13) AlexFlex2134: отпечатки по подобию аудио и другие не сразу видные и понятные, в основном используются в антифронт системах гигантов на подобию ebay ,в мелких и менее популярных ,антифрод чаще всего легче, по этому все ищу незаезженые шопы и в основном при подстраивании под кх не используют эти нюансы?
(20:43:57) Пейн: Именно так. Но и в крупных магазинах они не на первых планах: всегда нужно ориентироваться на общее впечатление, а не один-единственный показатель.
(20:43:58) goldenbaum: да
(20:44:10) goldenbaum: расбпери пай
(20:44:49) AlexFlex2134: Пейн: это понятно) что на 1 нюансе ни кто не зацикливается, нужна в целом картина , что якобы ты это владелец
(20:44:56) Пейн: goldenbaum Скажем так, если эта функция выполняется, то не имеет значения.
(20:45:14) Izolentna: Будет проводиться пример настройки системы перед работой? В плане, ты рассказал что к чему строиться. Теория понятна +-
Или это свои шишки набивать перед работой и сжигать мат?
(20:46:01) Пейн: Все параметры универсальны. Перед работой всё дело уже в материале ― его локация, часовой пояс, сам тип материала.
(20:47:11) Пейн: К примеру, под взломанных аккаунт магазина с собственными cookie или под настраеваемый с нуля вбив с купленной карты могут потребоваться разные конфигурации. То же самое со всякими пейпал, работой с телефона и т. д.
(20:47:26) Пейн: под взломанный*
(20:48:15) riba12: материал можно использоват только в шопах той страны к которой он относиться? или можно допустим шопить ЮСА матом из ЮАР , и шипом туда же с последующим рерутом?
(20:49:39) Пейн: Можно и в разные. Только есть, например, банковские блокировки на регион использования, тонкости самих регионов, логистические проблемы и прочее влоть до VBV. Думаю, картина станет более полной после разбора соответствущих тем: европа, непосредственно вбив.
(20:49:47) htuf: по ВМ. Ставятся обычные стоковые ОС или нужны какие то твики? Можно самому или обязательно готовые качать?
(20:50:20) Пейн: Принципиальной разницы нет, кроме принципа, озвученного в лекции: распространённость и среднестатистичность.
(20:51:10) centurion_52: Хочу уточнить. Информацию по работе хранить на рабочей виртуалке так? Создать для этого зашифрованный контейнер на рабочей вм, так?
(20:51:50) Пейн: Можно и на рабочей вм, но не забывайте, что, по-хорошему, при этом сама вм уже должна находиться в зашифрованной области.
(20:52:15) ame: Верно ли я понял, по лекции?
1. Собственная безопасность.
На основную машину ставлю свой впн сервер, дальше захожу в виртуальную машину. Работу провожу в сфере
2. Непосредственно работа.
Покупка СС, под необходимые мне параметры. (наличие инструментов, для того чтобы стать походим на кх)
Либо покупка СС, далее настройка системы в сфере под параметры КХ, это настройка языка, часовой пояс, время, покупка носков, туннеля под ЗИП КХ.
И далее работа ....
(20:53:37) Пейн: 1. Ну, если у вас он собственный, то да. А в целом говорилось о просто надёжном VPN (хотя свой, несомненно, лучше).
2. Покупка, затем настройка.
(20:53:52) dat_user1: Проксю лучше брать под лог, или под СС?
(20:54:56) Пейн: Какой лог? Дело в том, что логи бывают разные, в том числе уже содержащие CC, поэтому вопрос теряет смысл. А вообще да, под материал ― будь то CC или что ещё.
(20:55:01) Yarah: почему вы предложили использовать VPN из стран третьего мира?
(20:55:44) Пейн: Потому что передовые государства в большинстве случаев обмениваются разведывательной информацией и сотрудничают по вопросам информационного пространства.
(20:57:10) adik89: Пейн, спасибо за лекцию, было очень информативно. инфа много, завтра буду все неспеша усваивать. Вопрос- к кому обращаться за вопросами по теме сегодняшней?
(20:57:44) Koba787: да тут бы переварить и впитать это все) отличная лекция. мозг поломался
(20:57:47) Пейн: В конференцию вопрос/ответ, всё всегда можо направить туда.
(20:59:04) Пейн: Значит, вопросов нет? Тогда благодарю всех за присутствие и желаю удачи. Еще увидимся.
Не забывайте, что у нас существует приват-канал с наиболее актуальной информацией и материалом, для входапишите нашему саппорту @ouhom2