Могут ли российские мессенджеры обеспечивать конфиденциальность переписки?
У разработчиков отечественных сервисов ещё с давних времён принято «лепить» слово «безопасность» и картинку пресловутого зелёного «замочка» на свои продукты. Ничего плохого в этом, разумеется, нет — кроме того, что на «деле» эту безопасность обеспечивать им мешает такая «мелочь», как российское законодательство.
Начнем с основ. Любые коммуникации по интернету можно считать конфиденциальными только в том случае, когда доступ к ним задерживается (важный момент — шифрование не предотвращает доступ к содержанию коммуникаций, а многократно его задерживает) современными алгоритмами шифрования, ключи к которым имеют только две стороны — получатель и отправитель.
Это «заумное» описание принципа работы сквозного шифрования (E2EE), которое используют все более-менее «приличные» мессенджеры. Только оно сейчас предоставляет приемлемую «гарантию» конфиденциальности передаваемых данных — все, что «ниже» зачастую опирается на «честные» лица своих создателей.
Российское законодательство же напрямую запрещает подобный «расклад» — если вы владеете защищённым мессенджером, вы обязаны зарегистрироваться в реестре Организаторов Распространения Информации (ОРИ) и по первому запросу предоставлять все данные о пользователях, в т. ч. ключи шифрования, доступ к которым вы не имеете.
По-сути, это запрещает использование сквозного шифрования по «назначению» — оно просто не предполагает доступа для постороннего «носа» Пакета Яровой. Именно по этому российские сервисы не могут обеспечить конфиденциальность переписки — интегральная часть этого понятия фактически запрещена законом.
Кроме этого, Пакет Яровой заставляет сервисы хранить чувствительную информацию непомерно долго (до трёх лет), что повышает вероятность её утечки многократно — но это крайне старательно игнорируется.
Отвечая на поставленный вопрос: нет, не могут. Повторяя многократно данные рекомендации — если вы нуждаетесь в конфиденциальности ваших коммуникаций, общайтесь через Signal или сделайте свой мессенджер.
Вам повезёт. | Интернет-сайт
У разработчиков отечественных сервисов ещё с давних времён принято «лепить» слово «безопасность» и картинку пресловутого зелёного «замочка» на свои продукты. Ничего плохого в этом, разумеется, нет — кроме того, что на «деле» эту безопасность обеспечивать им мешает такая «мелочь», как российское законодательство.
Начнем с основ. Любые коммуникации по интернету можно считать конфиденциальными только в том случае, когда доступ к ним задерживается (важный момент — шифрование не предотвращает доступ к содержанию коммуникаций, а многократно его задерживает) современными алгоритмами шифрования, ключи к которым имеют только две стороны — получатель и отправитель.
Это «заумное» описание принципа работы сквозного шифрования (E2EE), которое используют все более-менее «приличные» мессенджеры. Только оно сейчас предоставляет приемлемую «гарантию» конфиденциальности передаваемых данных — все, что «ниже» зачастую опирается на «честные» лица своих создателей.
Российское законодательство же напрямую запрещает подобный «расклад» — если вы владеете защищённым мессенджером, вы обязаны зарегистрироваться в реестре Организаторов Распространения Информации (ОРИ) и по первому запросу предоставлять все данные о пользователях, в т. ч. ключи шифрования, доступ к которым вы не имеете.
По-сути, это запрещает использование сквозного шифрования по «назначению» — оно просто не предполагает доступа для постороннего «носа» Пакета Яровой. Именно по этому российские сервисы не могут обеспечить конфиденциальность переписки — интегральная часть этого понятия фактически запрещена законом.
Кроме этого, Пакет Яровой заставляет сервисы хранить чувствительную информацию непомерно долго (до трёх лет), что повышает вероятность её утечки многократно — но это крайне старательно игнорируется.
Отвечая на поставленный вопрос: нет, не могут. Повторяя многократно данные рекомендации — если вы нуждаетесь в конфиденциальности ваших коммуникаций, общайтесь через Signal или сделайте свой мессенджер.
Вам повезёт. | Интернет-сайт
👍14🔥7⚡1
Токсичные пакеты
Как и было сказано в предыдущей публикации ресурса «Может, вам повезёт?», кроме установления фактического запрета на конфиденциальность интернет-сообщений, «Пакет Яровой» также противоречит практикам минимизации хранимых данных, устанавливая непомерно долгий срок хранения чувствительной информации.
Нет «непробиваемых» информационных систем; всегда есть шанс существования неизвестной уязвимости в критическом системном компоненте, которую могут обнаружить ваши «недоброжелатели» и применить против вас. На таких уязвимостях строится целый рынок «цифрового оружия»: от полицейских «открывашек» до шпионского ПО.
Для уменьшения возможного урона от подобного «недуга» существуют стратегии минимизации хранимой информации, которые значительно снижают количество информации, которую можно украсть. Таким образом, даже если ваша система будет взломана, «недоброжелатель» получит кратно меньше чувствительной информации.
«Пакет Яровой» же обязывает сервисы в реестре ОРИ хранить данные годами, что повышает возможность их утечки как и от простого взлома, так и от человеческих ошибок. Второй вариант особенно популярен в отечественных корпорациях — чего один случай взлома государственного «Аэрофлота» стоит. Если инфраструктура организации подобного уровня является «дырявой», то можно представить, как все обстоит у «простых смертных».
Кроме того, это создаёт «тепличные» условия для продажи данных; так как использовать нормальное шифрование нельзя, а данные хранятся годами, у сотрудников возникает сильный «соблазн» заработать дополнительную «копеечку». Актуальный пример — продажа облачных чатов в мессенджере Telegram, менее актуальный — продажа доступа к почтовым ящикам сотрудниками VK.
Таким образом, «Пакет Яровой» представляет из себя ничто иное, как «Токсичный Пакет» — так как ухудшает и без того плохую ситуацию с защитой персональных данных в российских сервисах.
Вам повезёт. | Интернет-сайт
Как и было сказано в предыдущей публикации ресурса «Может, вам повезёт?», кроме установления фактического запрета на конфиденциальность интернет-сообщений, «Пакет Яровой» также противоречит практикам минимизации хранимых данных, устанавливая непомерно долгий срок хранения чувствительной информации.
Нет «непробиваемых» информационных систем; всегда есть шанс существования неизвестной уязвимости в критическом системном компоненте, которую могут обнаружить ваши «недоброжелатели» и применить против вас. На таких уязвимостях строится целый рынок «цифрового оружия»: от полицейских «открывашек» до шпионского ПО.
Для уменьшения возможного урона от подобного «недуга» существуют стратегии минимизации хранимой информации, которые значительно снижают количество информации, которую можно украсть. Таким образом, даже если ваша система будет взломана, «недоброжелатель» получит кратно меньше чувствительной информации.
«Пакет Яровой» же обязывает сервисы в реестре ОРИ хранить данные годами, что повышает возможность их утечки как и от простого взлома, так и от человеческих ошибок. Второй вариант особенно популярен в отечественных корпорациях — чего один случай взлома государственного «Аэрофлота» стоит. Если инфраструктура организации подобного уровня является «дырявой», то можно представить, как все обстоит у «простых смертных».
Кроме того, это создаёт «тепличные» условия для продажи данных; так как использовать нормальное шифрование нельзя, а данные хранятся годами, у сотрудников возникает сильный «соблазн» заработать дополнительную «копеечку». Актуальный пример — продажа облачных чатов в мессенджере Telegram, менее актуальный — продажа доступа к почтовым ящикам сотрудниками VK.
Таким образом, «Пакет Яровой» представляет из себя ничто иное, как «Токсичный Пакет» — так как ухудшает и без того плохую ситуацию с защитой персональных данных в российских сервисах.
Вам повезёт. | Интернет-сайт
🔥12👍5❤4👏2
Существуют ли «красные лампочки»?
В массовом сознании уверенно закрепился образ «спецслужбиста», который зажигает «красные лампочки», делает специальные пометки на деле человека, или поднимает «флажок» если использовать средства шифрования «слишком много».
Необходимо заметить, что в отличии от нарратива об опасности VPN, данная «пугалка» имеет совершенно натуральный характер, и произошла из фильмов и сериалов про «шпионов», а не из офиса на определённой «площади».
Начнем с основ. Шифрование является «краеугольным камнем» интернета — так как любые передаваемые по интернету данные по умолчанию публичные, для сокрытия содержания (важно — шифрование не скрывает метаданные, т. е. кто, откуда, куда, сколько) был придуман стандарт TLS, он же SSL. Так как обычный трафик HTTP можно не только читать, но и изменять, смотреть даже условные «смешные видео» без TLS — сомнительная идея.
Исходя из этой «пугалки», каждый, кто использует хоть какие-то интернет сервисы с использованием шифрования получает себе «красный флажок», что прямо указывает на техническую несостоятельность «предмета» обсуждения. Но, допустим, «лампочка» загорается только у тех, кто использует безопасные мессенджеры. Что в этом случае?
Во-первых, не все мессенджеры имеют «четкий» отпечаток, по которому их можно обнаружить. Наиболее «ярким» отпечатком среди всех обладает Telegram, в том числе потому, что он передаёт уникальный номер пользователя в незашифрованном виде. Наиболее трудно обнаружить использование «частного» мессенджера, так как, повторяя тезис из недавней публикации, его трафик составляет меньше «капли» в море.
Само использование безопасных средств коммуникации преступлением не является, и может представлять интерес только в контексте «оперативно-розыскных мероприятий» — без этого, до ваших «предпочтений» никому не будет дела.
Гораздо большую угрозу в этом плане несёт СОРМ-3 — если вами «заинтересуются» в будущем, ретроспективно прослушать все разговоры по сотовой связи не составит труда.
Вам повезёт. | Интернет-сайт
В массовом сознании уверенно закрепился образ «спецслужбиста», который зажигает «красные лампочки», делает специальные пометки на деле человека, или поднимает «флажок» если использовать средства шифрования «слишком много».
Необходимо заметить, что в отличии от нарратива об опасности VPN, данная «пугалка» имеет совершенно натуральный характер, и произошла из фильмов и сериалов про «шпионов», а не из офиса на определённой «площади».
Начнем с основ. Шифрование является «краеугольным камнем» интернета — так как любые передаваемые по интернету данные по умолчанию публичные, для сокрытия содержания (важно — шифрование не скрывает метаданные, т. е. кто, откуда, куда, сколько) был придуман стандарт TLS, он же SSL. Так как обычный трафик HTTP можно не только читать, но и изменять, смотреть даже условные «смешные видео» без TLS — сомнительная идея.
Исходя из этой «пугалки», каждый, кто использует хоть какие-то интернет сервисы с использованием шифрования получает себе «красный флажок», что прямо указывает на техническую несостоятельность «предмета» обсуждения. Но, допустим, «лампочка» загорается только у тех, кто использует безопасные мессенджеры. Что в этом случае?
Во-первых, не все мессенджеры имеют «четкий» отпечаток, по которому их можно обнаружить. Наиболее «ярким» отпечатком среди всех обладает Telegram, в том числе потому, что он передаёт уникальный номер пользователя в незашифрованном виде. Наиболее трудно обнаружить использование «частного» мессенджера, так как, повторяя тезис из недавней публикации, его трафик составляет меньше «капли» в море.
Само использование безопасных средств коммуникации преступлением не является, и может представлять интерес только в контексте «оперативно-розыскных мероприятий» — без этого, до ваших «предпочтений» никому не будет дела.
Гораздо большую угрозу в этом плане несёт СОРМ-3 — если вами «заинтересуются» в будущем, ретроспективно прослушать все разговоры по сотовой связи не составит труда.
Вам повезёт. | Интернет-сайт
👍8✍4❤2🔥2
Дайджест «О том, что было, будет, или есть» за ноябрь 2025
О том, что было:
В ноябре был достигнут значительный прогресс в завершении «подготовительных работ», необходимых для блокировки двух самых популярных в РФ мессенджеров — Telegram и WhatsApp*. Стоит отметить, что значительный вклад в его замедление внёс не Павел Дуров, который питал надежды возобновить свои «консультации» с правительством РФ и вследствие значительно отложить момент запрета «оригинального Telegram», а параллельная работа над улучшением механизмов блокировки VPN в «фильтрах» ТСПУ.
Говоря о мессенджере Telegram, в этом месяце широкое распространение получила де-факто мошенническая схема Романа Новака по продаже криптовалюты The Open Network (TON) со скидкой в 50%. Сейчас уже можно твёрдо сказать, что Павел Дуров как минимум давал Роману молчаливое согласие на использовании своих продуктов в его «схематозе», а как максимум — был прямым «архитектором» и одновременно бенефициаром «развода» многих уважаемых «персон» на более чем 500 миллионов долларов. К несчастью для Павла, многие косвенные доказательства указывают именно на второй вариант.
О том, что есть:
За ноябрь ресурс «Может, вам повезёт?» выпустил большое количество материалов, направленных на разрушение «закаменелых» мифов о информационной безопасности. Некоторые из них, как например, миф об «красных лампочках», носят естественный характер, а некоторые, как нарратив об опасности приложений VPN-сервисов, были созданы искусственно в одной из «башен».
Отдельное внимание стоит уделить материалам о технической несостоятельности «смерти» Романа Новака; Ресурс «Может, вам повезёт» считает, что цифровые «следы» Роман продолжил оставлять и после своей трагической «смерти», что нельзя объяснить «натуральными» факторами, но можно оправдать ошибками в операционной безопасности, которые Роман сделал в процессе своего «исчезновения».
Кроме этого, ресурс «Может, вам повезёт?» выпустил пошаговое руководство по настройке «тревожной комбинации» в устройствах Apple. Несмотря на общую «топорность» этой альтернативы, она способна предоставить сравнимые с оригинальным Duress PIN гарантии уничтожения данных без необходимости «пересаживаться» на устройства Google Pixel и ОС Android в целом.
О том, что будет:
В декабре мессенджеры WhatsApp* и Telegram будут заблокированы. Полную блокировку WhatsApp* можно ожидать до десятых чисел декабря, Telegram — до нового года. Это связанно не только с сравнительно более высокой сложностью блокировки мессенджера Дурова, но и с тем, что общественный «осадок» от запрета WhatsApp ожидается сравнительно меньшим, что позволяет распределить «нагрузку».
Примечание: WhatsApp принадлежит экстремистской и запрещенной корпорации Meta.
Вам повезёт. | Интернет-сайт
О том, что было:
В ноябре был достигнут значительный прогресс в завершении «подготовительных работ», необходимых для блокировки двух самых популярных в РФ мессенджеров — Telegram и WhatsApp*. Стоит отметить, что значительный вклад в его замедление внёс не Павел Дуров, который питал надежды возобновить свои «консультации» с правительством РФ и вследствие значительно отложить момент запрета «оригинального Telegram», а параллельная работа над улучшением механизмов блокировки VPN в «фильтрах» ТСПУ.
Говоря о мессенджере Telegram, в этом месяце широкое распространение получила де-факто мошенническая схема Романа Новака по продаже криптовалюты The Open Network (TON) со скидкой в 50%. Сейчас уже можно твёрдо сказать, что Павел Дуров как минимум давал Роману молчаливое согласие на использовании своих продуктов в его «схематозе», а как максимум — был прямым «архитектором» и одновременно бенефициаром «развода» многих уважаемых «персон» на более чем 500 миллионов долларов. К несчастью для Павла, многие косвенные доказательства указывают именно на второй вариант.
О том, что есть:
За ноябрь ресурс «Может, вам повезёт?» выпустил большое количество материалов, направленных на разрушение «закаменелых» мифов о информационной безопасности. Некоторые из них, как например, миф об «красных лампочках», носят естественный характер, а некоторые, как нарратив об опасности приложений VPN-сервисов, были созданы искусственно в одной из «башен».
Отдельное внимание стоит уделить материалам о технической несостоятельности «смерти» Романа Новака; Ресурс «Может, вам повезёт» считает, что цифровые «следы» Роман продолжил оставлять и после своей трагической «смерти», что нельзя объяснить «натуральными» факторами, но можно оправдать ошибками в операционной безопасности, которые Роман сделал в процессе своего «исчезновения».
Кроме этого, ресурс «Может, вам повезёт?» выпустил пошаговое руководство по настройке «тревожной комбинации» в устройствах Apple. Несмотря на общую «топорность» этой альтернативы, она способна предоставить сравнимые с оригинальным Duress PIN гарантии уничтожения данных без необходимости «пересаживаться» на устройства Google Pixel и ОС Android в целом.
О том, что будет:
В декабре мессенджеры WhatsApp* и Telegram будут заблокированы. Полную блокировку WhatsApp* можно ожидать до десятых чисел декабря, Telegram — до нового года. Это связанно не только с сравнительно более высокой сложностью блокировки мессенджера Дурова, но и с тем, что общественный «осадок» от запрета WhatsApp ожидается сравнительно меньшим, что позволяет распределить «нагрузку».
Примечание: WhatsApp принадлежит экстремистской и запрещенной корпорации Meta.
Вам повезёт. | Интернет-сайт
🤬30👍9❤2🔥1
Когда настанет «чебурнет»?
На фоне всех ноябрьских событий относительно незамеченным осталось постановление, которое фактически дарует Роскомнадзору право на отключение российских сетей от «зарубежных» при условии обнаружения «хакерской атаки» извне или серьёзного сбоя изнутри. То есть, делает «чебурнет» не клишированным «мемом», а вполне реальным сценарием.
Кроме этого, РКН получает права на изменение маршрута трафика, его перенаправление через свои сервера, и ввод размыто описанного «ручного управления» рунетом в целом. На взгляд ресурса «Может, вам повезёт?», это по-сути узаконивает атаку «человек посередине» со стороны государства — её исполнение требует именно таких «манипуляций».
Стоит отметить, что российские «фильтры», ТСПУ, с большой вероятностью уже поддерживают как и полную/локальную «чебурнетизацию», так и атаки на интернет-трафик. Повторяя тезис из недавней публикации, любое устройство в «привилегированной» сетевой позиции (коим и является ТСПУ) может относительно просто исполнять атаки на интернет-трафик, проходящий через него.
Из-за непрозрачности подобных систем нельзя точно сказать, являются ли подобные «фильтры» активно «враждебными», или просто блокируют запрещённые сайты. Именно из-за этого по умолчанию предполагается враждебность оборудования такого характера, и потом, по желанию, доказывается обратное.
Какие-либо движения в сторону «чебурнетизации», даже локальной, можно ожидать с 1 марта 2026 года — после вступления этого постановления в силу. Учитывая количество «кибератак» и «сбоев» в современном мире, первые «звоночки» не заставят себя долго ждать.
Вам повезёт. | Интернет-сайт
На фоне всех ноябрьских событий относительно незамеченным осталось постановление, которое фактически дарует Роскомнадзору право на отключение российских сетей от «зарубежных» при условии обнаружения «хакерской атаки» извне или серьёзного сбоя изнутри. То есть, делает «чебурнет» не клишированным «мемом», а вполне реальным сценарием.
Кроме этого, РКН получает права на изменение маршрута трафика, его перенаправление через свои сервера, и ввод размыто описанного «ручного управления» рунетом в целом. На взгляд ресурса «Может, вам повезёт?», это по-сути узаконивает атаку «человек посередине» со стороны государства — её исполнение требует именно таких «манипуляций».
Стоит отметить, что российские «фильтры», ТСПУ, с большой вероятностью уже поддерживают как и полную/локальную «чебурнетизацию», так и атаки на интернет-трафик. Повторяя тезис из недавней публикации, любое устройство в «привилегированной» сетевой позиции (коим и является ТСПУ) может относительно просто исполнять атаки на интернет-трафик, проходящий через него.
Из-за непрозрачности подобных систем нельзя точно сказать, являются ли подобные «фильтры» активно «враждебными», или просто блокируют запрещённые сайты. Именно из-за этого по умолчанию предполагается враждебность оборудования такого характера, и потом, по желанию, доказывается обратное.
Какие-либо движения в сторону «чебурнетизации», даже локальной, можно ожидать с 1 марта 2026 года — после вступления этого постановления в силу. Учитывая количество «кибератак» и «сбоев» в современном мире, первые «звоночки» не заставят себя долго ждать.
Вам повезёт. | Интернет-сайт
🤬23🔥3⚡2❤1
Зловредные сертификаты
Завершая цикл публикаций об атаках на интернет-трафик, стоит также рассказать о несколько более простом, но гораздо более популярном методе перехватить соединение TLS (HTTPS) — зловредный корневой сертификат.
Начнем с основ. Для установления доверия во враждебной среде, коей является интернет, используются сертификаты — грубо говоря, это знак «подлинности», который используется для уменьшения шанса перехвата соединения. На каждом современном устройстве по умолчанию установлено определённое количество публичных корневых сертификатов «авторитетных» центров доверия.
Как следует из названия, данные сертификаты используются для верификации всей последующей «цепочки» — от какого-нибудь промежуточного центра до конечного сервиса. Соответственно, если подобный центр решит «подорвать» образовавшуюся «цепочку доверия», выпустив ложные сертификаты для какого-либо сервиса, клиенты не заметят «подвоха», ведь все будет подписано «правильно». Далее их можно использовать в атаках «человек посередине» и прочих.
Подобные атаки особо любят реализовывать государственные доверительные центры; хорошим примером послужит Казахстан, который сначала объявил необходимость устанавливать государственный корневой сертификат «QazNet», а потом выпустил ложные сертификаты для популярных сервисов вроде Google, YouTube, и прочих.
Тогда подобную «наглость» быстро загасили как и браузеры, так и операционные системы, просто занеся казахское «недоразумение» в чёрный список. Можно уверенно сказать, что если бы этого не произошло, надзорные органы Казахстана с «радостью» бы перехватывали значительную часть трафика своих граждан.
Некое подобие такого государственного «центра» сейчас содержит российское Минцифры — мол, для защиты от размыто определённых «санкций». Предложения установить российские государственные сертификаты, например, уже несколько лет висят на платежных шлюзах того же «Сбера».
Стоит отметить, что Минцифры пока что не занимается выпуском «ложных» сертификатов по казахскому примеру, но техническая возможность для этого существует — причём, в любой данный момент. Если частные центры от подобного «хулиганства» ограничивает потеря доверия к ним, и как следствие — прибыли, то у государственных структур подобных «ограничителей» нет.
В заключение ресурс «Может, вам повезёт?» рекомендует отказаться от использования любых государственных сертификатов, в том числе и российских. Вне зависимости от мифических «санкций», всегда существовали независимые центры доверия, которыми, кстати, сейчас тот же «Сбер» и пользуется.
Вам повезёт. | Интернет-сайт
Завершая цикл публикаций об атаках на интернет-трафик, стоит также рассказать о несколько более простом, но гораздо более популярном методе перехватить соединение TLS (HTTPS) — зловредный корневой сертификат.
Начнем с основ. Для установления доверия во враждебной среде, коей является интернет, используются сертификаты — грубо говоря, это знак «подлинности», который используется для уменьшения шанса перехвата соединения. На каждом современном устройстве по умолчанию установлено определённое количество публичных корневых сертификатов «авторитетных» центров доверия.
Как следует из названия, данные сертификаты используются для верификации всей последующей «цепочки» — от какого-нибудь промежуточного центра до конечного сервиса. Соответственно, если подобный центр решит «подорвать» образовавшуюся «цепочку доверия», выпустив ложные сертификаты для какого-либо сервиса, клиенты не заметят «подвоха», ведь все будет подписано «правильно». Далее их можно использовать в атаках «человек посередине» и прочих.
Подобные атаки особо любят реализовывать государственные доверительные центры; хорошим примером послужит Казахстан, который сначала объявил необходимость устанавливать государственный корневой сертификат «QazNet», а потом выпустил ложные сертификаты для популярных сервисов вроде Google, YouTube, и прочих.
Тогда подобную «наглость» быстро загасили как и браузеры, так и операционные системы, просто занеся казахское «недоразумение» в чёрный список. Можно уверенно сказать, что если бы этого не произошло, надзорные органы Казахстана с «радостью» бы перехватывали значительную часть трафика своих граждан.
Некое подобие такого государственного «центра» сейчас содержит российское Минцифры — мол, для защиты от размыто определённых «санкций». Предложения установить российские государственные сертификаты, например, уже несколько лет висят на платежных шлюзах того же «Сбера».
Стоит отметить, что Минцифры пока что не занимается выпуском «ложных» сертификатов по казахскому примеру, но техническая возможность для этого существует — причём, в любой данный момент. Если частные центры от подобного «хулиганства» ограничивает потеря доверия к ним, и как следствие — прибыли, то у государственных структур подобных «ограничителей» нет.
В заключение ресурс «Может, вам повезёт?» рекомендует отказаться от использования любых государственных сертификатов, в том числе и российских. Вне зависимости от мифических «санкций», всегда существовали независимые центры доверия, которыми, кстати, сейчас тот же «Сбер» и пользуется.
Вам повезёт. | Интернет-сайт
👍11🔥10❤2
«Негативная» продуктивность
В период существования первого телеграм-канала «Может, вам повезёт?» между автором ресурса и одним из читателей разгорелась дискуссия на тему «Можно ли считать действия РКН праведной глупостью или корыстным замыслом?». Однозначного ответа тогда выведено не было, но сейчас можно говорить как минимум о нескольких «телодвижениях», которые могут оказать значительную поддержку второму «варианту».
Одним из таких «телодвижений» является блокировка игровой платформы Roblox. Люди, знакомые с «вопросом», могут точно сказать, что Roblox запрещал гораздо более широкий спектр действий в сравнении с аналогичными платформами. Ни о каких архетипичных «педофилах», «мошенниках» и прочих там речи быть не могло.
Если следовать гипотезе о «корыстном умысле», то блокировка была направлена на повышение негодования государством среди молодёжи; Сейчас каждый третий, или даже второй «школьник» регулярно заходит на эту платформу, и ограничения доступа без существенных обоснований (повторяясь, «педофилов» там быть не могло) как раз вызовет существенную волну негатива.
Следующее «телодвижение» — блокировка Snapchat. Сразу стоит оговориться, что этот мессенджер не подходит для общения различных «врагов народа», так как не имеет даже простейшего «сквозного» шифрования (которое в РФ де-факто запрещено законом), а также свободно выдаёт сообщения. Следуя все той же гипотезе, блокировка Snapchat также может быть попыткой вызвать негатив у молодёжи, т. к. у него есть обширная аудитория в РФ, хоть и сравнительно с Roblox менее значительная.
Кроме этого, благодаря «зоркому глазу» интернет-ресурса «Может, вам повезёт?» можно сказать, что нарративы об надуманной «опасности» обоих получали «информационное сопровождение» от «сеток», которые напрямую аффилированны с одной из «башен». Сам по себе, этот факт, конечно, ни о чем не говорит — но имеет большую контекстуальную ценность.
Вам повезёт. | Интернет-сайт
В период существования первого телеграм-канала «Может, вам повезёт?» между автором ресурса и одним из читателей разгорелась дискуссия на тему «Можно ли считать действия РКН праведной глупостью или корыстным замыслом?». Однозначного ответа тогда выведено не было, но сейчас можно говорить как минимум о нескольких «телодвижениях», которые могут оказать значительную поддержку второму «варианту».
Одним из таких «телодвижений» является блокировка игровой платформы Roblox. Люди, знакомые с «вопросом», могут точно сказать, что Roblox запрещал гораздо более широкий спектр действий в сравнении с аналогичными платформами. Ни о каких архетипичных «педофилах», «мошенниках» и прочих там речи быть не могло.
Если следовать гипотезе о «корыстном умысле», то блокировка была направлена на повышение негодования государством среди молодёжи; Сейчас каждый третий, или даже второй «школьник» регулярно заходит на эту платформу, и ограничения доступа без существенных обоснований (повторяясь, «педофилов» там быть не могло) как раз вызовет существенную волну негатива.
Следующее «телодвижение» — блокировка Snapchat. Сразу стоит оговориться, что этот мессенджер не подходит для общения различных «врагов народа», так как не имеет даже простейшего «сквозного» шифрования (которое в РФ де-факто запрещено законом), а также свободно выдаёт сообщения. Следуя все той же гипотезе, блокировка Snapchat также может быть попыткой вызвать негатив у молодёжи, т. к. у него есть обширная аудитория в РФ, хоть и сравнительно с Roblox менее значительная.
Кроме этого, благодаря «зоркому глазу» интернет-ресурса «Может, вам повезёт?» можно сказать, что нарративы об надуманной «опасности» обоих получали «информационное сопровождение» от «сеток», которые напрямую аффилированны с одной из «башен». Сам по себе, этот факт, конечно, ни о чем не говорит — но имеет большую контекстуальную ценность.
Вам повезёт. | Интернет-сайт
👍18🔥6❤2
Началась конечная фаза блокировки Telegram на территории РФ. Интернет-ресурс «Может, вам повезёт?» предупреждал о грядущей блокировке мессенджера ещё в конце сентября; примерно тогда же вышел материал, подробно расписывающий все «фазы» предшествующих «подготовительных работ».
В связи с этим интернет-ресурс считает рациональным сократить данный в ноябрьском дайджесте «О том, что было, будет или есть» прогноз. Можно уверенно сказать, что мессенджер Дурова будет заблокирован до 20-тых чисел Декабря. Абсолютный «предел» — 25-ое Декабря.
Вам повезёт. | Интернет-сайт
В связи с этим интернет-ресурс считает рациональным сократить данный в ноябрьском дайджесте «О том, что было, будет или есть» прогноз. Можно уверенно сказать, что мессенджер Дурова будет заблокирован до 20-тых чисел Декабря. Абсолютный «предел» — 25-ое Декабря.
Вам повезёт. | Интернет-сайт
🤬26✍6⚡2🔥1🤗1
Защищает ли от чего-либо Secure Boot?
Secure Boot представляют как «один ответ» на неисчислимое число «бед» с физической безопасностью, которые «мучают» традиционные компьютеры на базе архитектуры х86 чуть ли не с момента «зарождения». На «практике» же это классический «театр безопасности», который работает лишь иногда.
Начнём с основ. Secure Boot проверяет криптографическую подлинность файлов загрузчика и образа ядра при каждой загрузке — по «задумке», это должно защищать операционную систему от подмены критических файлов. Имя такой атаке — Evil Maid (от англ. — корыстная горничная), и она является наиболее простой из класса физических атак.
Самый главный недочет этой «защиты» можно выявить непосредственно из принципа её работы — ядро системы, как и файлы загрузчика — компоненты критические, но далеко не самые важные на фоне всех остальных «составляющих».
Это особенно актуально при отсутствии шифрования диска; атакующий может заменить системные бинарные файлы (например, SU или systemd в Linux/*nix), и добиться все того же полного заражения системы не прикасаясь к образу ядра, который «обороняет» Secure Boot.
Даже если диск зашифрован, список разрешённых «ключей» исчисляется тысячами — что, разумеется, позволяет полностью обойти Secure Boot просто подписав, например, заражённое ядро «украденным» у одной из множества компаний ключом.
Правильное исполнение Secure Boot — Verified Boot, самыми популярными «носителями» которого являются компьютеры Macintosh на базе Apple Silicon, устройства iOS и телефоны Google Pixel. Принцип работы Verified Boot заключается в проверке полного образа системы — вместе со всеми файлами — а также драйверов и прочей «переферии».
За пример мы возьмём именно Google Pixel. В них за Android Verified Boot отвечает криптографический чип Titan M/M2, который полностью проверяет все файлы загрузчика и «прошивки» (раздел /vendor) с помощью ключа Google, после чего также проверяет все файлы ОС Android, вплоть до системных приложений, используя либо ключ Google, либо же пользовательский.
Это позволяет устранить как и прямую подмену системных файлов, так и их заражение через какую-либо уязвимость. На практике это обеспечивает телефонам Google Pixel практически полную защиту от долгосрочного заражения — после каждой перезагрузки атакующему необходимо начинать с начала.
Отвечая на поставленный вопрос, — Secure Boot, конечно, может вас защитить, но только в исключительных случаях. Любой более-менее компетентный «специалист» с легкостью пройдет мимо него.
Вам повезёт. | Интернет-сайт
Secure Boot представляют как «один ответ» на неисчислимое число «бед» с физической безопасностью, которые «мучают» традиционные компьютеры на базе архитектуры х86 чуть ли не с момента «зарождения». На «практике» же это классический «театр безопасности», который работает лишь иногда.
Начнём с основ. Secure Boot проверяет криптографическую подлинность файлов загрузчика и образа ядра при каждой загрузке — по «задумке», это должно защищать операционную систему от подмены критических файлов. Имя такой атаке — Evil Maid (от англ. — корыстная горничная), и она является наиболее простой из класса физических атак.
Самый главный недочет этой «защиты» можно выявить непосредственно из принципа её работы — ядро системы, как и файлы загрузчика — компоненты критические, но далеко не самые важные на фоне всех остальных «составляющих».
Это особенно актуально при отсутствии шифрования диска; атакующий может заменить системные бинарные файлы (например, SU или systemd в Linux/*nix), и добиться все того же полного заражения системы не прикасаясь к образу ядра, который «обороняет» Secure Boot.
Даже если диск зашифрован, список разрешённых «ключей» исчисляется тысячами — что, разумеется, позволяет полностью обойти Secure Boot просто подписав, например, заражённое ядро «украденным» у одной из множества компаний ключом.
Правильное исполнение Secure Boot — Verified Boot, самыми популярными «носителями» которого являются компьютеры Macintosh на базе Apple Silicon, устройства iOS и телефоны Google Pixel. Принцип работы Verified Boot заключается в проверке полного образа системы — вместе со всеми файлами — а также драйверов и прочей «переферии».
За пример мы возьмём именно Google Pixel. В них за Android Verified Boot отвечает криптографический чип Titan M/M2, который полностью проверяет все файлы загрузчика и «прошивки» (раздел /vendor) с помощью ключа Google, после чего также проверяет все файлы ОС Android, вплоть до системных приложений, используя либо ключ Google, либо же пользовательский.
Это позволяет устранить как и прямую подмену системных файлов, так и их заражение через какую-либо уязвимость. На практике это обеспечивает телефонам Google Pixel практически полную защиту от долгосрочного заражения — после каждой перезагрузки атакующему необходимо начинать с начала.
Отвечая на поставленный вопрос, — Secure Boot, конечно, может вас защитить, но только в исключительных случаях. Любой более-менее компетентный «специалист» с легкостью пройдет мимо него.
Вам повезёт. | Интернет-сайт
❤2🔥1
Навигация по разделам
Цифровая криминалистика
Для мобильных устройств
• Какие телефоны может «открывать» российская полиция?
• Как работает цифровая криминалистика?
• Какой телефон мне выбрать?
• Полезные настройки GrapheneOS
• Почему технику Apple так легко «открыть»?
• Конкретные уязвимости в процессорах Apple
• «Открываем» самые «непробиваемые» устройства
• Как работает Duress PIN?
• Актуальная «матрица поддержки» устройств Google Pixel «открывашками» Cellebrite Premium
Для компьютеров
• Может ли российская полиция «открывать» компьютеры?
• А если «секреты» из меня будут выбивать?
Векторы атак
Аппаратный уровень
• Атаки на сотовые модемы
• Атаки на радио-чипы (WiFi, Bluetooth, UWB)
• Атаки на медицинские импланты
• Как достать ключи шифрования из компьютера, не прикасаясь к ОС?
• Защищает ли от чего-либо Secure Boot?
Сетевой уровень
• Могут ли интернет-провайдеры осуществлять «перехват» сетевых соединений?
• Зловредные сертификаты
• Беспроводная безопасность на примере Маши и Пети
«Шпион, выйди вон!»
Цифровое Оружие
• Как работает шпионское ПО?
• Почему устройства Apple страдают от «шпионов» больше других?
• Прослушка с помощью сенсоров вашего телефона
• Подбираем вектор атаки по IMEI
Конфиденциальность коммуникаций
• Как понять, что меня «слушают»?
• Действительно ли переписку по «защищенным» мессенджерам невозможно прочитать?
• Добавляем безопасность в «отечественные» мессенджеры
• Могут ли российские мессенджеры обеспечивать конфиденциальность переписки?
Меры массового надзора
• Токсичные пакеты
Отслеживание Устройств
• Как отслеживают сотовые телефоны?
• Отслеживаем любое устройство по его «поведению»
• Как вычисляют устройства с «нарисованным» IMEI?
Мифы и легенды кибербезопасности
«Страшилки»
• Может ли VPN «украсть» ваши данные?
• Могут ли приложения VPN-сервисов быть опасны?
• Существуют ли «красные лампочки»?
Заблуждения
• Можно ли «обнаружить» шпионское ПО, наблюдая за скоростью разряда батареи?
Мессенджеры
• Безопасно ли устанавливать нацмессенджер Max?
• Отличается ли мессенджер Max от Telegram?
• Где сидит «товарищ майор»?
Руководства
Выбор оборудования
• Руководство по выбору сетевого оборудования
Обеспечение безопасности
• Руководство по мобильной безопасности
• Есть ли альтернативы Duress PIN для устройств Apple?
Создание собственных сервисов
• Руководство по созданию собственного мессенджера
Хронологии
Мессенджер Telegram
• Хронология подготовки к блокировке Telegram
• Дополнение к «Хронологии подготовки к блокировке Telegram»
• Птицы-небылицы
• Суперпозиция Новака
• Про «блокировку» мессенджера Telegram провайдером Lovit
Чебурнетизация
• Сколько ещё будут доступны коммерческие VPN-провайдеры?
• Когда настанет «чебурнет»?
• «Информационное сопровождение»
Дайджесты «О том, что было, будет, или есть»
2025
• Август 2025
• Сентябрь 2025
• Октябрь 2025
• Ноябрь 2025
Цифровая криминалистика
Для мобильных устройств
• Какие телефоны может «открывать» российская полиция?
• Как работает цифровая криминалистика?
• Какой телефон мне выбрать?
• Полезные настройки GrapheneOS
• Почему технику Apple так легко «открыть»?
• Конкретные уязвимости в процессорах Apple
• «Открываем» самые «непробиваемые» устройства
• Как работает Duress PIN?
• Актуальная «матрица поддержки» устройств Google Pixel «открывашками» Cellebrite Premium
Для компьютеров
• Может ли российская полиция «открывать» компьютеры?
• А если «секреты» из меня будут выбивать?
Векторы атак
Аппаратный уровень
• Атаки на сотовые модемы
• Атаки на радио-чипы (WiFi, Bluetooth, UWB)
• Атаки на медицинские импланты
• Как достать ключи шифрования из компьютера, не прикасаясь к ОС?
• Защищает ли от чего-либо Secure Boot?
Сетевой уровень
• Могут ли интернет-провайдеры осуществлять «перехват» сетевых соединений?
• Зловредные сертификаты
• Беспроводная безопасность на примере Маши и Пети
«Шпион, выйди вон!»
Цифровое Оружие
• Как работает шпионское ПО?
• Почему устройства Apple страдают от «шпионов» больше других?
• Прослушка с помощью сенсоров вашего телефона
• Подбираем вектор атаки по IMEI
Конфиденциальность коммуникаций
• Как понять, что меня «слушают»?
• Действительно ли переписку по «защищенным» мессенджерам невозможно прочитать?
• Добавляем безопасность в «отечественные» мессенджеры
• Могут ли российские мессенджеры обеспечивать конфиденциальность переписки?
Меры массового надзора
• Токсичные пакеты
Отслеживание Устройств
• Как отслеживают сотовые телефоны?
• Отслеживаем любое устройство по его «поведению»
• Как вычисляют устройства с «нарисованным» IMEI?
Мифы и легенды кибербезопасности
«Страшилки»
• Может ли VPN «украсть» ваши данные?
• Могут ли приложения VPN-сервисов быть опасны?
• Существуют ли «красные лампочки»?
Заблуждения
• Можно ли «обнаружить» шпионское ПО, наблюдая за скоростью разряда батареи?
Мессенджеры
• Безопасно ли устанавливать нацмессенджер Max?
• Отличается ли мессенджер Max от Telegram?
• Где сидит «товарищ майор»?
Руководства
Выбор оборудования
• Руководство по выбору сетевого оборудования
Обеспечение безопасности
• Руководство по мобильной безопасности
• Есть ли альтернативы Duress PIN для устройств Apple?
Создание собственных сервисов
• Руководство по созданию собственного мессенджера
Хронологии
Мессенджер Telegram
• Хронология подготовки к блокировке Telegram
• Дополнение к «Хронологии подготовки к блокировке Telegram»
• Птицы-небылицы
• Суперпозиция Новака
• Про «блокировку» мессенджера Telegram провайдером Lovit
Чебурнетизация
• Сколько ещё будут доступны коммерческие VPN-провайдеры?
• Когда настанет «чебурнет»?
• «Информационное сопровождение»
Дайджесты «О том, что было, будет, или есть»
2025
• Август 2025
• Сентябрь 2025
• Октябрь 2025
• Ноябрь 2025
👍10👏3❤2🔥1
Как защититься от атак на радио-чипы?
Интернет-ресурс «Может, вам повезет?» уже не раз подробно расписывал методы, которыми атакуют разного порядка радио (см. материал про сотовые модемы и медицинские импланты), но не говорил о методах защиты от них. Стоит оговориться, что «защита» в данном случае является не более чем снижением урона.
Ввиду закрытого характера современных процессоров (к коим и относятся радио-чипы), практически не представляется возможным каким-либо образом наблюдать за их «жизнедеятельностью», и, соответственно, выявлять аномалии в процессе этой самой «жизнедеятельности». Этим, например, пользуются спецслужбы при атаках на сотовые модемы; ввиду того, что сам оператор мобильной связи используется как «прокси», у конечной «цели» подобных «манипуляций» не остается способов обнаружить заражение.
Стоит отметить, что большинство атак носят временный характер, т. е. нанести серьёзный «вред» системным файлам они не способны. Из этого вытекает, пожалуй, наиболее сильный метод защиты от этого «произвола»: Verified Boot. Так как криптографическая целостность системы (в том числе и «прошивки» радио) проверяется перед кажой загрузкой, способов получить постоянный контроль над устройством практически не остается.
На практике это означает что, даже если любое из ваших радио было заражено, «исправить» все можно простой перезагрузкой. Конечно, подразумевается что Verified Boot в вашем устройстве исполнен правильно – сейчас таким могут «похвастаться» только телефоны Google Pixel с установленной GrapheneOS и, в некоторой мере, Apple iPhone.
Вам повезёт. | Интернет-сайт
Интернет-ресурс «Может, вам повезет?» уже не раз подробно расписывал методы, которыми атакуют разного порядка радио (см. материал про сотовые модемы и медицинские импланты), но не говорил о методах защиты от них. Стоит оговориться, что «защита» в данном случае является не более чем снижением урона.
Ввиду закрытого характера современных процессоров (к коим и относятся радио-чипы), практически не представляется возможным каким-либо образом наблюдать за их «жизнедеятельностью», и, соответственно, выявлять аномалии в процессе этой самой «жизнедеятельности». Этим, например, пользуются спецслужбы при атаках на сотовые модемы; ввиду того, что сам оператор мобильной связи используется как «прокси», у конечной «цели» подобных «манипуляций» не остается способов обнаружить заражение.
Стоит отметить, что большинство атак носят временный характер, т. е. нанести серьёзный «вред» системным файлам они не способны. Из этого вытекает, пожалуй, наиболее сильный метод защиты от этого «произвола»: Verified Boot. Так как криптографическая целостность системы (в том числе и «прошивки» радио) проверяется перед кажой загрузкой, способов получить постоянный контроль над устройством практически не остается.
На практике это означает что, даже если любое из ваших радио было заражено, «исправить» все можно простой перезагрузкой. Конечно, подразумевается что Verified Boot в вашем устройстве исполнен правильно – сейчас таким могут «похвастаться» только телефоны Google Pixel с установленной GrapheneOS и, в некоторой мере, Apple iPhone.
Вам повезёт. | Интернет-сайт
👍6🔥1👏1
Меняем адрес IMEI на устройствах Google Pixel
Появление этой публикации было частично вызвано намерением Минцифры вводить обязательную государственную регистрацию уникальных идентификаторов мобильных устройств в государственной же «базе». Интернет-ресурс «Может, вам повезет» не видит смысла в обсуждении этой инициативы как таковой, но считает важным разобрать возможность «обойти» подобные базы, и не только их российский «вариант».
Для владельцев устройств Google Pixel с процессорами Tensor (6-е поколение по 10-е) данные базы не представляют особой «угрозы», ведь адрес IMEI, как и прочие уникальные идентификаторы у них исключительно просто меняются. Об одном из таких методов «подмены» адресов сейчас и пойдет речь.
Начнем с основ. Телефоны Pixel хранят всю информацию о «себе» в специальном разделе Device Info (далее – devinfo), который является перезаписываемым и может быть изменен с помощью простого HEX-редактора или специальных программ. В этом разделе можно поменять регион устройства, адреса MAC протоколов WiFi и Bluetooth, а также IMEI. Именно последний нас и интересует.
Важная деталь — изменение адреса IMEI подразумевает дополнительные «телодвижения», в то время как остальные «номера» этого не требуют. Причина в сотовом радио Samsung Shannon, которое используют Google Pixel. Оно хранит крипографический отпечаток номера IMEI (CPSHA) в собственном разделе EFS, и при несовпадении «показаний» выдает шестнадцать нулей вместо записанного в devinfo числа. Этот отпечаток можно поменять только в «заводском» режиме, он же factory mode.
Для модификации раздела devinfo можно использовать графическую версию программы lexipwn – разумеется, для ее использования необходимы права суперпользователя, получение которых мы рассматривать не будем. После того, как вы изменили IMEI, она предложит вам перезагрузиться в тот самый factory mode, из которого можно будет отправлять AT-команды на модем Shannon. Именно через них можно обновить тот самый отпечаток.
После выполнения всех «телодвижений» телефон можно вернуть в обычный режим. Стоит отметить, что раздел devinfo является постоянным — т. е. вы можете избавиться от прав суперпользователя, «прошить» другую ОС, и все равно внесенные вами «правки» будут действовать.
Вам повезёт. | Интернет-сайт
Появление этой публикации было частично вызвано намерением Минцифры вводить обязательную государственную регистрацию уникальных идентификаторов мобильных устройств в государственной же «базе». Интернет-ресурс «Может, вам повезет» не видит смысла в обсуждении этой инициативы как таковой, но считает важным разобрать возможность «обойти» подобные базы, и не только их российский «вариант».
Для владельцев устройств Google Pixel с процессорами Tensor (6-е поколение по 10-е) данные базы не представляют особой «угрозы», ведь адрес IMEI, как и прочие уникальные идентификаторы у них исключительно просто меняются. Об одном из таких методов «подмены» адресов сейчас и пойдет речь.
Начнем с основ. Телефоны Pixel хранят всю информацию о «себе» в специальном разделе Device Info (далее – devinfo), который является перезаписываемым и может быть изменен с помощью простого HEX-редактора или специальных программ. В этом разделе можно поменять регион устройства, адреса MAC протоколов WiFi и Bluetooth, а также IMEI. Именно последний нас и интересует.
Важная деталь — изменение адреса IMEI подразумевает дополнительные «телодвижения», в то время как остальные «номера» этого не требуют. Причина в сотовом радио Samsung Shannon, которое используют Google Pixel. Оно хранит крипографический отпечаток номера IMEI (CPSHA) в собственном разделе EFS, и при несовпадении «показаний» выдает шестнадцать нулей вместо записанного в devinfo числа. Этот отпечаток можно поменять только в «заводском» режиме, он же factory mode.
Для модификации раздела devinfo можно использовать графическую версию программы lexipwn – разумеется, для ее использования необходимы права суперпользователя, получение которых мы рассматривать не будем. После того, как вы изменили IMEI, она предложит вам перезагрузиться в тот самый factory mode, из которого можно будет отправлять AT-команды на модем Shannon. Именно через них можно обновить тот самый отпечаток.
После выполнения всех «телодвижений» телефон можно вернуть в обычный режим. Стоит отметить, что раздел devinfo является постоянным — т. е. вы можете избавиться от прав суперпользователя, «прошить» другую ОС, и все равно внесенные вами «правки» будут действовать.
Вам повезёт. | Интернет-сайт
👍9❤4🔥1
На интернет-сайте «Может, вам повезёт?» вышло обновлённое руководство по созданию собственного мессенджера.
Основные правки заключаются в улучшении модели безопасности, замене SQLite на PostgreSQL, а также добавлении TURN-сервера для интернет-телефонии.
Ознакомиться можно по следующему адресу: https://kremlinkernel.com/guide/selfhost/127/
Основные правки заключаются в улучшении модели безопасности, замене SQLite на PostgreSQL, а также добавлении TURN-сервера для интернет-телефонии.
Ознакомиться можно по следующему адресу: https://kremlinkernel.com/guide/selfhost/127/
👍11👏5🔥2
На интернет-сайте «Может, вам повезёт?» вышло руководство по созданию собственного VPN-сервера.
Описанная в материале конфигурация была проверена и в данный момент используется автором ресурса «Может, вам повезёт?».
Ознакомиться можно по следующему адресу: https://kremlinkernel.com/guide/selfhost/507/
Описанная в материале конфигурация была проверена и в данный момент используется автором ресурса «Может, вам повезёт?».
Ознакомиться можно по следующему адресу: https://kremlinkernel.com/guide/selfhost/507/
👍8🔥8