Configurando

Será preciso do Tor instalado:

apt install tor -y && sysemctl enable tor

• https://www.torproject.org/download/tor/

Toda configuração será feita no arquivo principal do Tor (/etc/tor/torrc).

Edite-o, e adicione as informações que será pública na rede:

Nickname Katrovisch
ContactInfo your-email@domínio

Especifique a porta TCP para as conexões de entrada do Tor, 443 e 9001 são as mais usadas atualmente:

ORPort 9001

Interessante criar um banner informando explicitamente que seu host é um retransmissor de nó de saída. O DirPort especifica a porta de acesso web, DirPortFrontPage é caminho do banner em HTML do seu host.
• Exemplo de página que poderá usar ( https://gitweb.torproject.org/tor.git/plain/contrib/operator-tools/tor-exit-notice.html ).

DirPort 80
DirPortFrontPage /etc/tor/tor-exit-notice.html

Políticas de saídas:

Tor Project contém uma lista de regras de portas recomendadas a serem usadas no seu host relay:
• https://gitlab.torproject.org/legacy/trac/-/wikis/doc/ReducedExitPolicy

Copie e adicione:

ExitPolicy accept *:20-21     # FTP
ExitPolicy accept *:22        # SSH
[...]
ExitPolicy reject *:*

Por fim, ative o exit node:

SocksPort 0
ExitRelay 1

Toda configuração do torrc ficará dessa forma:

Nickname Katrovisch
ContactInfo katrovisch@domínio
ORPort 9001
DirPort 80
DirPortFrontPage /etc/tor/tor-exit-notice.html
ExitPolicy accept *:20-21     # FTP
ExitPolicy accept *:22        # SSH
[...]
ExitPolicy reject *:*
SocksPort 0
ExitRelay 1

Reinicie o Tor e verifiquei se foi configurado corretamente:

systemctl restart tor

tail -f /var/log/syslog 
Self-testing indicates your DirPort is reachable from the outside. Excellent.

Também é interessante analisar o tráfego do nó de saída se ele estiver sendo usado por outros, usando o próprio Tor, nyx:
• https://news.1rj.ru/str/DARKNET_BR/6925

1. haveibeenpwned.com — check in leaked databases

2. emailrep.io — find websites where account has been registered by email

3. dehashed.com — checking mail in leaked databases

4. @Smart_SearchBot — find full name, DoB, address and phone number

5. pwndb2am4tzkvold.onion — search in pwndb, also search by password

6. intelx.io — multifunctional search engine, the search is also carried out on the darknet

7. @mailsearchbot — search in database, gives password partially

8. @shi_ver_bot — breached passwords

9. @info_baza_bot — show from what base mail leaked, 2 free scans

10. leakedsource.ru — show from what base mail leaked

11. mostwantedhf.info — find skype account

12. email2phonenumber (t) — automatically collects data from account recovery pages, and finds the phone number

13. spiderfoot.net (r) — automatic search using a huge number of methods, tool available in the cloud with registration

14. reversegenie.com — find location, first letter of the name and phone numbers

15. @last4mailbot — bot will find the last 4 digits of the Sberbank client’s phone number

16. searchmy.bio — find instagram account with email in denoscription

17. leakprobe.net — it will find nickname and source of leaked database

18. Leakpoint.com - It will give you every thing whatever you wants that's why its in last because it never dehope people

https://cdn.preterhuman.net/

#Links #Guides

ℹ️ Pode conter materiais relativos a atividades ilegais

https://anonymousplanet.org/export/guide.pdf

The Hitchhiker’s Guide to Online Anonymity

#Anonymity #Surveillance #Guides #OpSec #Books #Links

please visit: anonymousplanet.org

Malware:

- Subreddits
https://www.reddit.com/r/MalwareDevelopment/
https://www.reddit.com/r/MalwareResearch/

- Forums
https://hackforums.net/ (essa porcaria tem Cloudflare, então não passou nem no meu IP que é residencial)
https://malwaretips.com/
https://cyberarsenal.org/forums/malware-dev.68/ (precisa de registro)
damagelabs (https://xss.is/) (esse só entra se os admins deixarem, é o melhor fórum mas é fechado, é em russo)
https://0x00sec.org/ (esse é o melhor pra totalmente leigos mas os noscripts/códigos são bem nível noscript kiddie de facilidade, aceita perguntas básicas/de leigos)
https://exploit.in/ (em russo também)
https://www.blackhatworld.com

(nos forums de malware pode ter boards de engenharia reversa tbm)

- Not Forums
https://github.com/rootkit-io/awesome-malware-development
https://github.com/rshipp/awesome-malware-analysis

Reverse Eng. / Cracking:

- Subreddit
https://www.reddit.com/r/ReverseEngineering/

- Forums
https://forum.tuts4you.com/
https://pcmhacking.net/forums/viewforum.php?f=26 (esse parece ser de hardware)
https://forums.sonicretro.org/index.php?forums/engineering-reverse-engineering.13/ (esse é de sonic)
https://forum.xda-developers.com/tags/reverse-engineering/ (pra android)

Game Hacking / Cheats:
https://www.unknowncheats.me/forum/index.php
https://guidedhacking.com/
https://forum.gamehacking.org/
https://www.mpgh.net/ (Multi Player Game Hacking, ou seja, pra games multiplayer tb)
https://www.webcheats.com.br (é brasileiro)

Assembly / Low-level:
https://board.flatassembler.net
https://www.pouet.net/index.php (é um dos melhores dos melhores)

#Links #ASM #Hacking #LowLevel #Forum #Subreddit #Lists

@PutridChannel

#REPOST
Remover metadados de arquivos (online ou pelo próprio computador)

mat2 -> https://0xacab.org/jvoisin/mat2
metadata-remover (mat2 front-end with python and GTK) -> https://gitlab.com/rmnvgr/metadata-cleaner/
mat2 web front-end -> https://0xacab.org/jvoisin/mat2-web

Supported formats / Formatos suportados:

    video: avi, mp4
    audio: off, opus, oga, spx, flac
    images: bmp, gif, jpeg, png, tiff, noscript
    documents: pptx, xlsx, docx

How to use / Como usar:
process files / processar arquivo(s)
    $ mat2 i.jpg i.png

cleanup without backup / limpar metadados sem backup do arquivo
    $ mat2 --inplace i.jpg

list harmful metadata / listar metadados comprometedores num arquivo
    $ mat2 -s i.jpg

Sources: https://nixsanctuary.com/wiping-traces-best-open-source-tools-for-deleting-metadata/

@PutridChannel

Links Deep Web Onion #1

http://biblemeowimkh3utujmhm6oh2oeb3ubjw2lpgeq3lahrfr2l6ev6zgyd.onion/

Tema: OpSec e lojas da deep web.

#OpSec #DWLinks #OnionLinks #DWMarkets #Links

Substitutos Livres ou de código aberto para softwares proprietários comumente usados.
Softwares dessa lista podem ser softwares executáveis ou hospedáveis de forma local em servidores domésticos, docker compose, maquina virtual, Raspberry Pi e etc.

- Editores de imagens rasterizadas como Photoshop => Gimp (gimp.org).
- Editores de imagens vetoriais como Adobe Illustrator, Corel Draw, Canva e Affinity Designer => Inkscape (inkscape.org).
- Editores de vídeo como Adobe Premiere Pro, Sony Vegas => Kdenlive (kdenlive.org).
- Editores de áudio como Adobe Audition => Audacity (audacityteam.org) e plug-ins (plugins.audacityteam.org).
- DAWs como FL Studio, Reaper, GarageBand => LMMS (lmms.io).
- Softwares para criação de design editorial como Adobe InDesign => Scribus (sourceforge.net/projects/scribus/) e GhostScript (ghostnoscript.com) para as fontes.
- Software de modelagem, animação e produção em 3D como Cinema 4D, 3D Max, Maya, Adobe Substance 3D => Blender (blender.org)
- Softwares de criação de efeitos especiais, animações, pós produção como Adobe After Effects => Blender pra pós processamento e VFX/GFX (blender.org), Natron pra VFX (natrongithub.github.io).
- Leitores de E-Books como Adobe Acrobat => Okular (okular.kde.org)
- Softwares para criação, prototipagem e previsão de UI/UX como Adobe XD, Figma => Penpot (penpot.app) (Web, self-hosted e dockerizado).
- Software para edição de fotos do tipo RAW e fotografia como Adobe Lightroom => DarkTable (darktable.org).
- Biblioteca de fontes como Adobe Fonts => DaFont (dafont.com/pt/new.php?l[]=10&l[]=1) selecione apenas as fontes livres ou domínio público.
- Software para conversão e codificação de áudio e vídeo como Adobe Media Encoder => Handbrake (handbrake.fr), ffmpeg (ffmpeg.org), Avidemux (avidemux.sourceforge.net) e Shutter Encoder (shutterencoder.com).
- Software para desenho rasterizado como Adobe Photoshop (para desenho rasterizado), Adobe Fresco => Krita (krita.org).
- Software para edição de arquivos web e criação de sites como Adobe DreamWeaver => Silex (silex.me), VSCodium e extensões auxiliares (vscodium.com).
- Software para animação como Adobe Character Animator => Blender (função de animação 2D) e Enve (maurycyliebner.github.io).
- Software de escritório como Microsoft Office, Google Workplace => LibreOffice (libreoffice.org), Apache - OpenOffice (openoffice.org).
- Software para anotação e produtividade como Microsoft OneNote, EverNote => Joplin (joplinapp.org) e Joplin Server (github.com/laurent22/joplin/tree/dev/packages/server) caso queira sincronizar numa instância self-hosted.
IDEs proprietárias => VSCodium (vscodium.com) , Vim/NeoVim (vim.org, neovim.io), GNU Emacs (gnu.org/software/emacs/).
- Software para hospedagem auto hospedada de serviços como CloudRon ou Docker Compose => YunoHost (yunohost.org), FreedomBox (freedombox.org).
- Serviços de armazenamento de arquivos online como Google Drive, Mega, OneDrive, Dropbox... => Comprar um HD externo, NAS, NextCloud (nextcloud.com), ownCloud (owncloud.com/), se atente nas versões 'community' pois são softwares OSS que visam o lucro.
- Serviços de armazenamento de senhas como 1Password, Lastpass, Bitwarden => Teampass (teampass.net), Keepass (keepass.info), Keeweb (keeweb.info).
- Serviço de upload de arquivos de forma temporária como Mozilla Send ou Anonfiles => Send (github.com/timvisee/send).

#Links #FOSS #Libre #Lists #Software #Alternatives #SelfHosted

@PutridChannel

NÃO usem o protocolo Matrix / Element.

- Matrix foi criada dentro de uma Corporação de Inteligência Israelense chamada Amdocs.
- Matrix vaza muitos metadados, em muitos casos não corrigidos até o momento. O servidor doméstico pode armazenar e armazena muitos metadados.
- Mesmo se você executar sua própria instância, ela ainda enviará dados para o servidor doméstico principal.
- A instância principal utiliza Cloudflare que denoscriptografa o tráfego TLS e é um honeypot, e que por si só tem VÁRIOS problemas para quem busca privacidade.

Fonte: https://lemmy.eus/post/14271 [Wayback Machine]

#Links #Surveillance #Mossad

@PutridChannel

enable ksm in debian:

ksmd (Kernel Same-page Merging Daemon) is used to deduplicate repeated pages in RAM in a more "aggressive" way, ideal for servers with many virtual machines (like Proxmox for example), containers or many identical services at a higher CPU cost

can be considered an addition to the standard zswap deduplication

sudo apt install ksmtuned --no-install-recommends -y
sudo systemctl enable ksmtuned.service
sudo systemctl start ksmtuned.service

to check if ksm is working:

sudo cat /sys/kernel/mm/ksm/run

#kernel #sysadmin #debian #ksmd #vm

change the screen resolution scale (as if the resolution were larger)

replace "DVI-I-0" with your output and set the scale freely, 1.2x, 1.2x makes the items SMALLER, to make it BIGGER put a number below 1, to make it normal leave both values at 1

xrandr --output DVI-I-0 --scale 1.2x1.2

#linux #xorg #screen

https://healeycodes.com/counting-words-at-simd-speed

#simd #programming

What is fuzz testing (fuzzing)?

All previous answers are correct. I just want to add that “lots of data” typically means at least millions of slightly differently corrupt input data sets.

For example fuzzing an image decoder (like JPEG or TIFF) starts with a set of valid images, chosen to exercise all code paths within the decoder. The set covers all compression algorithms, all pixel formats, all color space, all sub-formats, think about the product of that, which is easily a few hundred files already.

The fuzzer program intelligently corrupts this set of valid files, sometimes using directives indicating where the sensible area are so some emphasis can be put there, together with a fair amount of random bit flipping at random locations, and generates large amounts of increasingly corrupted files that are fed to the decoder being tested hoping to cause a crash, typically rooted in a buffer overrun, or a heap corruption.

The set of corrupt files is created from scratch with each fuzzing campaign, generating entirely new corrupt files hopefully never seen before, and a minimal test after a small bug fix or performance optimization will require at least 500,000 new files for minimal validation, while a full campaign after a major upgrade of the parser, for example, will span weeks and use several million uniquely corrupted files. Cumulatively over the years, such parsers have been fuzzed over tens if not hundreds of million of iterations.

Fuzzing more complex software, for example an HTML parser, requires far more iterations (billions). According to Wikipedia[1]
, Microsoft spent 670 machine-years fuzzing their web browsers over 400 billion rounds, while Google is said to continuously fuzz Chrome on 15,000 cores, and we all know this did not find all the bugs!

Footnotes: https://en.wikipedia.org/wiki/Fuzzing

Texto de Axel Rietschin — Former Senior Engineer, Windows Base Kernel at Microsoft (company) (2013–2021).
Fonte: https://www.quora.com/What-is-fuzz-testing-fuzzing/answer/Axel-Rietschin

#fuzzing #software #security