CityCat4

Ключами надо обмениваться минуя сервер, например по email или при личной встрече, или сервер может делать mitm и читать вашу переписку, я прав?

Несомненно правы. Когда я читаю в whatsapp, что переписка "не будет доступна никому", я всегда ржунимагу. "Никому, кроме админов whatsapp, конечно же" :)
Пример.
Контора, в которой переписка шифруется сертфикатами. AES256, все по-взрослому. Кто, кроме отправителя и получателя может прочитать письмо? Правильно, человек, который генерировал сертификат :D

Ммммм... зачем пентестеру вебство? Чтобы знать как работает? Тогда не стоит указывать владение - а то думается, что инструмент изучается для того, чтобы зарабатывать на нем.
Двигаться - в практику :)

Как-то кажется мне, что в таможенных органах РФ можно применять далеко не все существующие программы по ИБ :) Сначала надо бы выяснить, что там можно применять, а уж потом писать, тем более, как совершенно справедливо заметил dmshar - ИБ это ооооочень широкая область

Каким образом можно избавиться от уязвимости Eternalblue?

Прочитать соответствующее CVE и выполнить рекомендации :)

Можно ли сделать пакости тому человеку который хочет взломать компьютер (при помощи Eternalblue)?

Можно. Если поймаете :)

Банку эту инфу слил мобильный провайдер - у него скорее всего договор заключен - как только появился готовый клиент - сразу сливать инфу туда-то. Искать с телефона что-то серьезнее песен Лены Василек - это подставляться на неприятности :)

Как избежать ситуации, когда файлы бэкапов на сервере окажутся зашифрованы, и на NASе, соответственно, тоже?

- никогда не монтировать полки с бэкапами как сетевые шары. Вирус туда непременно проберется.
- использовать технику "дед-отец-сын"
- запускать копирование с полки. Это по крайней мере отсечет шифрование файлов на самой полке
- проверять файлы перед копированием. Конечно, все шифровальщики не проверишь, но нормальный-то файл точно известно как выглядит!

Ну конечно! Представиться сексуальной и на все согласной красоткой, готовой поменять свое откровенное видео на номер телефона :)
Не факт правда, что это будет настоящий номер, что он действующий и что он хоть кому-то принадлежит :)

Нет :)

Потому что VPN - это технология построения туннелей между сетями. Обычному пользователю, если он конечно не админ, она не нужна, потому что у него нет сетей, с которыми ему нужно связываться :)

Окей, гугл.
Что представляет собой физический уровень ISO/OSI?

... и все глупые вопросы отпадают сами собой...

1. Нет. Нет. Вы представляете как устроен "сертификатный бизнес"? Есть несколько контор-монополистов, которые создали у себя CA и выпускают сертификаты. Что дало им такую вохможность? Эту возможность им дало включение их корневых сертификатов как доверенные во все дистрибы винды, яббла, и гугла. Если бы у меня скажем была гипотетическая возможность такое провернуть - и я бы стал "СityCat CA" :) А так - этот бизнес ничем не отличается от другого. Поэтому я могу получить сертификат на домен nichego.net в Thawte, и еще один в Comodo, и еще один в LE - и никто ничего не скажет, только "несите ваши денежки", особенно если это будет не простой DV, а OV/EV
2. Он не только возможен, но и активно эксплуатируется в корпоративных прокси и в потенциальных сценариях с обязательной установкой госсертификата.
3. Запретить что-либо Thawte или GlobalSign-у Вы не сможете :) - запрещалка не отросла настолько :) Защититься от MitM можно - HPKP, например (но оно несет больше вреда чем пользы) или ручная проверка серийного номера сертфииката. Можно также проверять издателя. Серьезные платформы, например QIUK - судя по тому, что не работают через прокси с бампингом - именно так и делают. Но здесь под "Вы" я имею в виду оператора сервера. Для клиента же защита одна - внимательно смотреть на свойства сертификата и проверять не только его валидность, но и издателя - что, как всегда конфликтует с удобством :)

Баннер отображается только на сайтах с http

Это однозначно провайдер. В саппорт тут особо без толку, они могут и не в курсе быть. Пров видит http соединение и врезается в него.

Хочется узнать как не бояться скачивать приложения/игры/фильмы и т.д с торрент-трекеров.

Приложения и игры - не скачивать :) Я вот знаю только одно приложение от M$, которому до сих пор не могу найти бесплатного (хотя бы для дома) аналога, а уж тема аналогов фотожопа изьезжена сверху вниз наискосок. Игры покупаются в стиме - там бывают акции, причем такие, что можно купить "две в одной по цене половины".
В фильмах не бывает майнеров :)

Я немного разбираюсь в информационной безопасности

Я бы на Вашем месте опускал бы эту сточку до тех пор пока сами не сможете отвечать на такой вопрос. Те, кто хоть немного в ней разбираются - они как минимум помалкивают :) Безопасники - они вообще не болтливые :)

Софт который мне нужен стоит много (((

И что же это за софт?

чем вредит поему сайту мойдомен.ru и моим ящикам такая рассылка?

репутационными издержками, попаданием в спамлисты по имени домена

как защититься от таких рассылок?

никак. Можно конечно SPF/DKIM настроить - это повысит проходимость нормальных писем и понизит проходимость спамерских - но не везде.

вообщем рисковать? использовать WifiСraСk?

Можно и рисковать. Если УК 272, 273 не пугают.

Обычно антивирус - это программа, которая проверяет наличие определенных фрагментов кода (сигнатур) в проверяемом файле (хотя конечно же есть эвристика, бессигнатурный анализ и прочие элементы борьбы брони и снаряда). Ничто не мешает внести в эти базы сигнатуры различных "ломалок", чтобы банально отпугивать от них :) тех, кого не пугает УК 273 :)

Человек отвечает: "Нет, мы не пользовались!"

Человеку показывают лог прокси и скрины экрана, снятые СМП :)

чем вообще занимаются безопасники в свободное от ловли хакеров время.

Избавляемся от стереотипов. ИБ не занимается ловлей хакеров. От слова совсем. Этим занимаются компетентные органы :)
ИБ - это:
- файрволлы, СКЗИ, шифрование, сертификаты
- прокси, NAT, контроль доступа в тырнет, статистика, отчеты
- СКУД (если контора прям большая, то конечно СКУД повесят на охрану)
- СМП (системы мониторинга пользователей), в том числе оперативное наблюдение
- документация. Много-много-много документации, положений, инструкций, регламентов
- знание законодательства, особенно его некоторых частей - по авторскому праву, по ПДн и других
- могут повесить бэкапы ("тыжспецпозащитеинформации" :) )

Это скучная, неинтересная, ответственная работа, зачастую морально тяжелая и неприятная.

На чём практиковаться с Kali?

На сайте школы, в которой учишься :)

Если я нахожусь под VPN, то может ли меня обнаружить провайдер, точнее увидеть, что я качаю с торрента и что именно качаю(какой фильм или программу)?

Нет. Провайдер видит, что есть подключение к VPN, а также видит сколько и когда было перекачано трафика.

Имеет ли права провайдер подавать на меня в суд за то что я качаю с торрента

Зависит от законодательства страны - где-то имеет, где-то нет

это может делать только тот кому принадлежат авторские права?

Зависит от законодательства страны - где-то может, где-то нет. Во многих случаях очень большую роль играет - что качаете.

Хранит ли провайдер информацию о пользователях(что они качали и когда и в каком объеме )

Да

И если я под ВПН, то доступна ли информация о скачанных мною файлах провайдеру с торрент сайтов?

Нет. Но опять же, если качаете допустим хаченые версии свежих игр или фильмов - не обольщайтесь VPN - кто Вам даст гарантию, что сам оператор VPN не сольет данные, например?