Прям как в комсомол вступаю, я же просто почитать для начала, понять, так сказать, аргументы другой стороны.
Завершение переноса инфраструктуры
- Автор темы admin
- Дата начала
- Статус
Ну и в чем я ошибся собвственно говоря?
Правильно, сначала надо присмотреться. Но если я бы там был модератором, то всех проверял бы на знание десяти воровских заповедей )))
Просто без оскорблений и все
Честно говоря, меня интересуют ответы администрации на следующие вопросы:
- К какой информации получили доступ СБУ и Европол?
- На форуме заметил сбои при входе, особенно связанные с почтой — с чем это может быть связано?
- Почему в оформлении используется хостинг и флаг РФ?
- Что будет с депозитами, арбитражем и гарантом?
- Какие планы у администратора по дальнейшему развитию форума?
- Какие меры безопасности форумчанам стоит принять уже сейчас?
- В чем причина конфликта с модераторами форума и как они могут связаться с администрацией? Только по почте или есть альтернативные способы? И почему выбрана именно эта почта и что будет если они выйдут на связь.
- Какие проблемы технической инфраструктуры привели к захвату форума, на каком этапе сейчас восстановление и как сильно пострадала инфраструктура?
- Чем подтверждается вероятность компрометации onion-домена? Какие меры защиты применены к новому onion-домену?
- Если логирование отключено, как был обнаружен вредоносный бинарник? Были ли утечки сообщений пользователей?
- Почему сервер не был зашифрован? Планируется ли теперь обязательное шифрование серверов?
- Есть ли подтверждения изъятия холодных кошельков? Какие меры защиты новых кошельков применены?
- Какие решения по маршрутизации и шифрованию используются для предотвращения дальнейших компрометаций?
- Каким образом будет организован новый арбитраж и гарант? Какие гарантии прозрачности и безопасности для пользователей?
- Какие шаги предусмотрены для урегулирования конфликта с модераторами? Планируются ли дополнительные способы связи помимо почты?
- Как обеспечивается защита данных новых и прежних модераторов? Какие рекомендации по безопасности форума, кроме модели Zero Trust?
- Использует ли форум технологии снятия уникальных отпечатков браузеров или пользователей? Какие риски это несет для анонимности?
- Позволяет ли TLS-сертификат на Tor-домене снимать дополнительные TLS fingerprint, раскрывающие информацию о клиенте или сервере? Какие методы снижают риск TLS fingerprinting в Tor-сервисах?
- Как организован трекинг платежей при платной регистрации? Каким образом обеспечивается анонимность и предотвращается отслеживание через блокчейн?
- Как настроен e-mail сервис? Какие протоколы и меры используются для защиты почтовых коммуникаций от перехвата, подмены и анализа?
- Каков статус логирования IP при использовании клирнет реверс-прокси, особенно у российских или иных «белых» хостеров? Насколько это безопасно с точки зрения утечек?
- Какие риски связаны с использованием Cloudflare, учитывая возможность сотрудничества с правоохранителями? Насколько безопасно грузить скрипты с их CDN?
- Какие опасности возникают при загрузке графики с американских сервисов по уникальным ссылкам, которые могут идентифицировать пользователей XSS?
- Какие плюсы и минусы применения американской hCaptcha? Сохраняется ли гарантия отсутствия сотрудничества с правоохранителями?
- Какая у вас личная и профессиональная история (без деталей, исключая деанон)?
- Кто имеет полный доступ к бэкенду, базам данных и платежным системам? Сколько в команде администраторов?
- Какие процедуры контроля и аудита существуют в управлении инфраструктурой и обработке данных? Проходят ли независимые проверки безопасности?
- Как вы оцениваете текущее состояние безопасности пользователей, включая риск раскрытия IP, платежной информации и переписок?
- Насколько вы открыты к независимому аудиту и контролю деятельности администрации со стороны сообщества?
- Как обеспечивается анонимность платежей и регистрации на форуме?
- Какие планы в случае давления или угроз со стороны спецслужб?
- Считаете ли вы, что Европол и подобные структуры могут использовать захваченные форумы для сбора информациею всех пользователях неважно сидели они в рид онли или просто писали статьи и общались? Какие меры нужно принимать для защиты от подобных рисков?
- Ваше мнение о том, насколько адекватны и профессиональны представители СБУ в области кибербезопасности? Есть ли повод сомневаться в их независимости от политических заказов?
- В случае обнаружения компрометации форума и получения доступа к данным, какова ваша стратегия информирования пользователей и минимизации риска последствий?
- Насколько эффективно СБУ и Европол борются с киберпреступностью?
Отвечу на те вопросы, ответы на которые лежат на поверхности:
1) Считать надо, что ко всей информации, если нет - это прекрасно, если да - ты уже подсуетился и готов;
3) Да шобы не СБУ, их же за госизмену посадят, если они триколор где-то используют...
6) Те же, что и раньше, Zero Trust, Tor, vpn и вот это вот все;
16) Только Zero Trust, ничего больше не изобрели (никто не будет вам фейковую личность натягивать, не обольщайтесь);
21) Даже если хостер не логирует, то ТСПУ и DPI у провайдеров стоит 100%;
22) Ну, можно в fbi сразу данные отправить, все равно Cloudflare этим же занимается...
23) Ответ в пункте 22;
24) И опять пункт 22, вы же не думаете, что компании США имеют хоть малейший шанс не передать запрошенные данные в гос структуры США?)
32) Не только могут, но и будут, да уже это делают (даже тут, на xss была инфа про это, и я не про "сейчас");
35) Надо у Тохи уточнить...
Последнее редактирование:
Админ, чей крым? Ответ "наш" не принимается
Дайте админу время! Он и так нас всех посвещает в каждый сделанный шаг, он все рассказывает
Ребята! Сейчас нужно поддержать админа, ему и так не легко
Ребята! Сейчас нужно поддержать админа, ему и так не легко
Вот все и заработало
Очень хорошая работа Админ и спасибо
Очень хорошая работа Админ и спасибо
Если модель угроз согласно "Zero Trust", то почему не предполагается что у Тохи забрали бэкап форума с пользовательской БД, если это так, то почему до сих пор при первом логгине не обязать сменить пассы юзеров?
Было же написано, что бэккапы не были слиты.
- Автор темы
- Добавить закладку
- #112
После того как я объявил о том, что перенос инфраструктуры завершён, на нас обрушилось несколько ddos атак. Из-за них я был вынужден снова перевести форум в технические работы, чтобы установить систему защиты от ddos.
На текущий момент полностью отключены модули hcaptcha на всех страницах.
Почтовый сервер находится в процессе настройки, поэтому 2fa по почте пока не работает.
По каким-то, мне неведомым причинам, Тоха использовал SparkPost — зарубежную компанию, которая с радостью делится всей проходящей через неё информацией.
Сегодня будет завершён перенос белого домена под модуль защиты от ddos.
В ближайшую неделю могут возникать проблемы с доступом из-за агрессивно настроенных фильтров модуля защиты от ddos. В случае возникновения подобных проблем обязательно напишите мне в пм, так я смогу быстрее определить оптимальные параметры.
На текущий момент полностью отключены модули hcaptcha на всех страницах.
Почтовый сервер находится в процессе настройки, поэтому 2fa по почте пока не работает.
По каким-то, мне неведомым причинам, Тоха использовал SparkPost — зарубежную компанию, которая с радостью делится всей проходящей через неё информацией.
Сегодня будет завершён перенос белого домена под модуль защиты от ddos.
В ближайшую неделю могут возникать проблемы с доступом из-за агрессивно настроенных фильтров модуля защиты от ddos. В случае возникновения подобных проблем обязательно напишите мне в пм, так я смогу быстрее определить оптимальные параметры.
Вериф готов пройти на других форумах? Чтобы мы знали кто ты такой
Я уже очень хочу знать кто ты такой. Что то ты себя очень борзо и агрессивно ведешь.
Тоха как выйдет на свободу — узнаешь
Ты его холоп? А если он никогда не выйдет?
Значит никогда не узнаешь
Дак еще и неизвестно, а был ли мальчик, а если и был, то чьих...
И кто, кого, как и где будет верифицировать, и на каком основании доверять такой информации - тоже совершенно непонятно, все это сплошная профанация. Доверенных лиц в Интернет, тем более на таких ресурсах нет и быть не может по дефолту. Это одна из основ безопасности.
Последнее редактирование:
Ты вериф прошел то? Крымчанин. Герой вылез. И вообще если ты считаешь, что все очень плохо, в чем суть твоего нахождения тут? Разлогинься, забудь про форум и жди Тоху.
Полностью солидарен
- Статус