社工之马甲是如何炼成的【通过】

[TOC]

潜水逛90sec已经很久了,个个都是人才,说话又好听,超喜欢里面。但是论坛中的信息安全工程师们某种程度上确实算得上是国家比较喜欢帮忙解决包食宿的帮扶群体(感动吗敢动吗),不会真有人希望也像想上电视做精神导师吧?所以就想从非技术的社会工程学角度聊一聊有哪些安全的服务,有助于我们打造一个马甲,将线上线下的身份尽可能隔离开来。

PS:由于支付渠道的溯源是阿sir最简单且最高效的一种手段更主要是因为穷,所以本文全文都是薅万恶的资本主义羊毛,介绍匿名且免费的服务。

服务器

即使是可以白嫖到的谷歌云,也不可避免地要提供银行卡或信用卡,尽管不认为谷歌会向阿sir(特别是没有开展业务的地区的阿sir)提供用户个人信息,但毕竟有悖于我们的匿名原则,还是不建议大家选用。

不过既然大家都是信息工程师,我个人建议直接0day get shell。没有0day?批量弱口令。不会写脚本?msf一把梭。工具也用不来?那没事了

但是连服务器的时候千万注意要使用代理来连接(代理资源哪里来,网上一搜一大把。也可以拿一台服务器开代理,开了代理后连接下一台服务器,整一出俄罗斯套娃)

以Xshell为例:

代理

ssr、v2ray、Trojan...

咦,脸他滚键盘滚出一些奇怪的字符

然后有了cross GFW的代理之后,推荐再在此基础上使用tor浏览器

tor浏览器除了提供应用层的加密转发以实现洋葱路由外,还默认禁用JS。

这是一个非常聪明的做法,JS能探测到的主机信息有多少,我就不科普了,建议大家直接上XSS平台看

系统

既然访问网站能暴露出我们主机的一些信息,这是挂代理也掩盖不了的,不如将错就错,完全可以修改系统的语言、时区、所使用的字体,大大方方地公开我赛博世界洋大人的高贵身份

域名

不走tls流量的代理和裸奔有什么区别?对tls流量的追求和代理服务器架设正常网站的伪装使我们有了对域名的追求

此外,一些远控软件(cobalt strike)的受害机上线,有时也需要利用到域名

免费的域名资源,还抗拒low low的二级域名?freenom满足你

虚拟号

Google Voice,不过申请起来有点麻烦(因为需要收发短信的美国实体电话)

推荐注册申请零门槛的TextNow,不过只能拿来收发短信

邮箱

ProtonMail

点对点加密

可以看下余弦大大的背书

或者是申请美国社区大学的邮箱

社区大学的申请很简单,但是能嫖的学生优惠一点也不少。此外社区大学的邮箱是谷歌登录的,安全性也是信得过。再者,某种意义上来说这也是一种身份的伪造和误导

https://www.moerats.com/archives/879/

通信

其实邮箱已经可以满足大部分人的通信需求了,但有些人就是喜欢IM

这里推荐同样支持私聊可以端对端加密的telegram

(友情提示,千万不要在这个软件上搜索什么"胴体的秘密")

网盘

先辱骂一下下载速度以kb计还喜欢给我把小姐姐变成7秒教育片默认开启用户激励计划偷传流量的某网盘biss

网盘推荐mega

两层密钥:随机生成2048位的RSA密钥,私钥以Master Key加密。私钥和Master Key上传到服务器时还会使用用户密码进行aes加密。

此外不限速,自动同步文件夹、有浏览器拓展

比某度网盘不知道高到哪里去

GPG

或许大家已经注意到了,主打安全的软件,无论是邮箱、通信软件还是网盘,都选择了端对端的加密方案,也就是非对称的公钥加密,这才是保护信息安全的关键

作为曾经一天速成密码学的老挂科边缘带学生,我简单介绍一下非对称加密,就是利用一些目前数学上除穷举外几乎无解的难题(如大整数的素因子分解、有限域上的离散对数问题、椭圆曲线的离散对数问题),描述这些问题的函数——单项陷门函数(简单理解就是f(x)->y,f是公开的,由x可以轻易算出y,但是y却很难反推出x )来生成一组密钥对。

加密算法相当于f,私钥相当于x,公钥相当于y。

一个人拥有公私钥对之后,将公钥通过可靠安全的信道发送给通信的对象,自己保留私钥。

公钥加密的信息必须用私钥才可以解密!私钥加密的信息公钥能不能的解密呢?不能,但是如果明文和私钥加密的密文一起公开的话,公钥可以验证是否有被篡改。这个叫签名

为什么讲这个呢?是因为如果我们采用公私钥加密,即使是微信,我们也可以强行让它成为端对端加密的软件(迫真

PGP是实现非对称加密的软件,而GPG是基于Gnu开源协议的PGP软件

关于GPG软件我推荐kleopatra,别问为什么?问就是有中文界面

关于kleopatra的保姆扫盲教程贴:

https://www.xzymoe.com/gpg4win/

  • 通过
  • 未通过

0 投票者