Защищает ли от чего-либо Secure Boot?
Secure Boot представляют как «один ответ» на неисчислимое число «бед» с физической безопасностью, которые «мучают» традиционные компьютеры на базе архитектуры х86 чуть ли не с момента «зарождения». На «практике» же это классический «театр безопасности», который работает лишь иногда.
Начнём с основ. Secure Boot проверяет криптографическую подлинность файлов загрузчика и образа ядра при каждой загрузке — по «задумке», это должно защищать операционную систему от подмены критических файлов. Имя такой атаке — Evil Maid (от англ. — корыстная горничная), и она является наиболее простой из класса физических атак.
Самый главный недочет этой «защиты» можно выявить непосредственно из принципа её работы — ядро системы, как и файлы загрузчика — компоненты критические, но далеко не самые важные на фоне всех остальных «составляющих».
Это особенно актуально при отсутствии шифрования диска; атакующий может заменить системные бинарные файлы (например, SU или systemd в Linux/*nix), и добиться все того же полного заражения системы не прикасаясь к образу ядра, который «обороняет» Secure Boot.
Даже если диск зашифрован, список разрешённых «ключей» исчисляется тысячами — что, разумеется, позволяет полностью обойти Secure Boot просто подписав, например, заражённое ядро «украденным» у одной из множества компаний ключом.
Правильное исполнение Secure Boot — Verified Boot, самыми популярными «носителями» которого являются компьютеры Macintosh на базе Apple Silicon, устройства iOS и телефоны Google Pixel. Принцип работы Verified Boot заключается в проверке полного образа системы — вместе со всеми файлами — а также драйверов и прочей «переферии».
За пример мы возьмём именно Google Pixel. В них за Android Verified Boot отвечает криптографический чип Titan M/M2, который полностью проверяет все файлы загрузчика и «прошивки» (раздел /vendor) с помощью ключа Google, после чего также проверяет все файлы ОС Android, вплоть до системных приложений, используя либо ключ Google, либо же пользовательский.
Это позволяет устранить как и прямую подмену системных файлов, так и их заражение через какую-либо уязвимость. На практике это обеспечивает телефонам Google Pixel практически полную защиту от долгосрочного заражения — после каждой перезагрузки атакующему необходимо начинать с начала.
Отвечая на поставленный вопрос, — Secure Boot, конечно, может вас защитить, но только в исключительных случаях. Любой более-менее компетентный «специалист» с легкостью пройдет мимо него.
Вам повезёт. | Интернет-сайт
Secure Boot представляют как «один ответ» на неисчислимое число «бед» с физической безопасностью, которые «мучают» традиционные компьютеры на базе архитектуры х86 чуть ли не с момента «зарождения». На «практике» же это классический «театр безопасности», который работает лишь иногда.
Начнём с основ. Secure Boot проверяет криптографическую подлинность файлов загрузчика и образа ядра при каждой загрузке — по «задумке», это должно защищать операционную систему от подмены критических файлов. Имя такой атаке — Evil Maid (от англ. — корыстная горничная), и она является наиболее простой из класса физических атак.
Самый главный недочет этой «защиты» можно выявить непосредственно из принципа её работы — ядро системы, как и файлы загрузчика — компоненты критические, но далеко не самые важные на фоне всех остальных «составляющих».
Это особенно актуально при отсутствии шифрования диска; атакующий может заменить системные бинарные файлы (например, SU или systemd в Linux/*nix), и добиться все того же полного заражения системы не прикасаясь к образу ядра, который «обороняет» Secure Boot.
Даже если диск зашифрован, список разрешённых «ключей» исчисляется тысячами — что, разумеется, позволяет полностью обойти Secure Boot просто подписав, например, заражённое ядро «украденным» у одной из множества компаний ключом.
Правильное исполнение Secure Boot — Verified Boot, самыми популярными «носителями» которого являются компьютеры Macintosh на базе Apple Silicon, устройства iOS и телефоны Google Pixel. Принцип работы Verified Boot заключается в проверке полного образа системы — вместе со всеми файлами — а также драйверов и прочей «переферии».
За пример мы возьмём именно Google Pixel. В них за Android Verified Boot отвечает криптографический чип Titan M/M2, который полностью проверяет все файлы загрузчика и «прошивки» (раздел /vendor) с помощью ключа Google, после чего также проверяет все файлы ОС Android, вплоть до системных приложений, используя либо ключ Google, либо же пользовательский.
Это позволяет устранить как и прямую подмену системных файлов, так и их заражение через какую-либо уязвимость. На практике это обеспечивает телефонам Google Pixel практически полную защиту от долгосрочного заражения — после каждой перезагрузки атакующему необходимо начинать с начала.
Отвечая на поставленный вопрос, — Secure Boot, конечно, может вас защитить, но только в исключительных случаях. Любой более-менее компетентный «специалист» с легкостью пройдет мимо него.
Вам повезёт. | Интернет-сайт
❤3🔥2
Навигация по разделам
Цифровая криминалистика
Для мобильных устройств
• Какие телефоны может «открывать» российская полиция?
• Как работает цифровая криминалистика?
• Какой телефон мне выбрать?
• Полезные настройки GrapheneOS
• Почему технику Apple так легко «открыть»?
• Конкретные уязвимости в процессорах Apple
• «Открываем» самые «непробиваемые» устройства
• Как работает Duress PIN?
• Актуальная «матрица поддержки» устройств Google Pixel «открывашками» Cellebrite Premium
Для компьютеров
• Может ли российская полиция «открывать» компьютеры?
• А если «секреты» из меня будут выбивать?
Векторы атак
Аппаратный уровень
• Атаки на сотовые модемы
• Атаки на радио-чипы (WiFi, Bluetooth, UWB)
• Атаки на медицинские импланты
• Как достать ключи шифрования из компьютера, не прикасаясь к ОС?
• Защищает ли от чего-либо Secure Boot?
Сетевой уровень
• Могут ли интернет-провайдеры осуществлять «перехват» сетевых соединений?
• Зловредные сертификаты
• Беспроводная безопасность на примере Маши и Пети
«Шпион, выйди вон!»
Цифровое Оружие
• Как работает шпионское ПО?
• Почему устройства Apple страдают от «шпионов» больше других?
• Прослушка с помощью сенсоров вашего телефона
• Подбираем вектор атаки по IMEI
Конфиденциальность коммуникаций
• Как понять, что меня «слушают»?
• Действительно ли переписку по «защищенным» мессенджерам невозможно прочитать?
• Добавляем безопасность в «отечественные» мессенджеры
• Могут ли российские мессенджеры обеспечивать конфиденциальность переписки?
Меры массового надзора
• Токсичные пакеты
Отслеживание Устройств
• Как отслеживают сотовые телефоны?
• Отслеживаем любое устройство по его «поведению»
• Как вычисляют устройства с «нарисованным» IMEI?
Мифы и легенды кибербезопасности
«Страшилки»
• Может ли VPN «украсть» ваши данные?
• Могут ли приложения VPN-сервисов быть опасны?
• Существуют ли «красные лампочки»?
Заблуждения
• Можно ли «обнаружить» шпионское ПО, наблюдая за скоростью разряда батареи?
Мессенджеры
• Безопасно ли устанавливать нацмессенджер Max?
• Отличается ли мессенджер Max от Telegram?
• Где сидит «товарищ майор»?
Руководства
Выбор оборудования
• Руководство по выбору сетевого оборудования
Обеспечение безопасности
• Руководство по мобильной безопасности
• Есть ли альтернативы Duress PIN для устройств Apple?
Создание собственных сервисов
• Руководство по созданию собственного мессенджера
Хронологии
Мессенджер Telegram
• Хронология подготовки к блокировке Telegram
• Дополнение к «Хронологии подготовки к блокировке Telegram»
• Птицы-небылицы
• Суперпозиция Новака
• Про «блокировку» мессенджера Telegram провайдером Lovit
Чебурнетизация
• Сколько ещё будут доступны коммерческие VPN-провайдеры?
• Когда настанет «чебурнет»?
• «Информационное сопровождение»
Дайджесты «О том, что было, будет, или есть»
2025
• Август 2025
• Сентябрь 2025
• Октябрь 2025
• Ноябрь 2025
Цифровая криминалистика
Для мобильных устройств
• Какие телефоны может «открывать» российская полиция?
• Как работает цифровая криминалистика?
• Какой телефон мне выбрать?
• Полезные настройки GrapheneOS
• Почему технику Apple так легко «открыть»?
• Конкретные уязвимости в процессорах Apple
• «Открываем» самые «непробиваемые» устройства
• Как работает Duress PIN?
• Актуальная «матрица поддержки» устройств Google Pixel «открывашками» Cellebrite Premium
Для компьютеров
• Может ли российская полиция «открывать» компьютеры?
• А если «секреты» из меня будут выбивать?
Векторы атак
Аппаратный уровень
• Атаки на сотовые модемы
• Атаки на радио-чипы (WiFi, Bluetooth, UWB)
• Атаки на медицинские импланты
• Как достать ключи шифрования из компьютера, не прикасаясь к ОС?
• Защищает ли от чего-либо Secure Boot?
Сетевой уровень
• Могут ли интернет-провайдеры осуществлять «перехват» сетевых соединений?
• Зловредные сертификаты
• Беспроводная безопасность на примере Маши и Пети
«Шпион, выйди вон!»
Цифровое Оружие
• Как работает шпионское ПО?
• Почему устройства Apple страдают от «шпионов» больше других?
• Прослушка с помощью сенсоров вашего телефона
• Подбираем вектор атаки по IMEI
Конфиденциальность коммуникаций
• Как понять, что меня «слушают»?
• Действительно ли переписку по «защищенным» мессенджерам невозможно прочитать?
• Добавляем безопасность в «отечественные» мессенджеры
• Могут ли российские мессенджеры обеспечивать конфиденциальность переписки?
Меры массового надзора
• Токсичные пакеты
Отслеживание Устройств
• Как отслеживают сотовые телефоны?
• Отслеживаем любое устройство по его «поведению»
• Как вычисляют устройства с «нарисованным» IMEI?
Мифы и легенды кибербезопасности
«Страшилки»
• Может ли VPN «украсть» ваши данные?
• Могут ли приложения VPN-сервисов быть опасны?
• Существуют ли «красные лампочки»?
Заблуждения
• Можно ли «обнаружить» шпионское ПО, наблюдая за скоростью разряда батареи?
Мессенджеры
• Безопасно ли устанавливать нацмессенджер Max?
• Отличается ли мессенджер Max от Telegram?
• Где сидит «товарищ майор»?
Руководства
Выбор оборудования
• Руководство по выбору сетевого оборудования
Обеспечение безопасности
• Руководство по мобильной безопасности
• Есть ли альтернативы Duress PIN для устройств Apple?
Создание собственных сервисов
• Руководство по созданию собственного мессенджера
Хронологии
Мессенджер Telegram
• Хронология подготовки к блокировке Telegram
• Дополнение к «Хронологии подготовки к блокировке Telegram»
• Птицы-небылицы
• Суперпозиция Новака
• Про «блокировку» мессенджера Telegram провайдером Lovit
Чебурнетизация
• Сколько ещё будут доступны коммерческие VPN-провайдеры?
• Когда настанет «чебурнет»?
• «Информационное сопровождение»
Дайджесты «О том, что было, будет, или есть»
2025
• Август 2025
• Сентябрь 2025
• Октябрь 2025
• Ноябрь 2025
👍11❤3👏3🔥2✍1
Как защититься от атак на радио-чипы?
Интернет-ресурс «Может, вам повезет?» уже не раз подробно расписывал методы, которыми атакуют разного порядка радио (см. материал про сотовые модемы и медицинские импланты), но не говорил о методах защиты от них. Стоит оговориться, что «защита» в данном случае является не более чем снижением урона.
Ввиду закрытого характера современных процессоров (к коим и относятся радио-чипы), практически не представляется возможным каким-либо образом наблюдать за их «жизнедеятельностью», и, соответственно, выявлять аномалии в процессе этой самой «жизнедеятельности». Этим, например, пользуются спецслужбы при атаках на сотовые модемы; ввиду того, что сам оператор мобильной связи используется как «прокси», у конечной «цели» подобных «манипуляций» не остается способов обнаружить заражение.
Стоит отметить, что большинство атак носят временный характер, т. е. нанести серьёзный «вред» системным файлам они не способны. Из этого вытекает, пожалуй, наиболее сильный метод защиты от этого «произвола»: Verified Boot. Так как криптографическая целостность системы (в том числе и «прошивки» радио) проверяется перед кажой загрузкой, способов получить постоянный контроль над устройством практически не остается.
На практике это означает что, даже если любое из ваших радио было заражено, «исправить» все можно простой перезагрузкой. Конечно, подразумевается что Verified Boot в вашем устройстве исполнен правильно – сейчас таким могут «похвастаться» только телефоны Google Pixel с установленной GrapheneOS и, в некоторой мере, Apple iPhone.
Вам повезёт. | Интернет-сайт
Интернет-ресурс «Может, вам повезет?» уже не раз подробно расписывал методы, которыми атакуют разного порядка радио (см. материал про сотовые модемы и медицинские импланты), но не говорил о методах защиты от них. Стоит оговориться, что «защита» в данном случае является не более чем снижением урона.
Ввиду закрытого характера современных процессоров (к коим и относятся радио-чипы), практически не представляется возможным каким-либо образом наблюдать за их «жизнедеятельностью», и, соответственно, выявлять аномалии в процессе этой самой «жизнедеятельности». Этим, например, пользуются спецслужбы при атаках на сотовые модемы; ввиду того, что сам оператор мобильной связи используется как «прокси», у конечной «цели» подобных «манипуляций» не остается способов обнаружить заражение.
Стоит отметить, что большинство атак носят временный характер, т. е. нанести серьёзный «вред» системным файлам они не способны. Из этого вытекает, пожалуй, наиболее сильный метод защиты от этого «произвола»: Verified Boot. Так как криптографическая целостность системы (в том числе и «прошивки» радио) проверяется перед кажой загрузкой, способов получить постоянный контроль над устройством практически не остается.
На практике это означает что, даже если любое из ваших радио было заражено, «исправить» все можно простой перезагрузкой. Конечно, подразумевается что Verified Boot в вашем устройстве исполнен правильно – сейчас таким могут «похвастаться» только телефоны Google Pixel с установленной GrapheneOS и, в некоторой мере, Apple iPhone.
Вам повезёт. | Интернет-сайт
👍7👏2🔥1
Меняем адрес IMEI на устройствах Google Pixel
Появление этой публикации было частично вызвано намерением Минцифры вводить обязательную государственную регистрацию уникальных идентификаторов мобильных устройств в государственной же «базе». Интернет-ресурс «Может, вам повезет» не видит смысла в обсуждении этой инициативы как таковой, но считает важным разобрать возможность «обойти» подобные базы, и не только их российский «вариант».
Для владельцев устройств Google Pixel с процессорами Tensor (6-е поколение по 10-е) данные базы не представляют особой «угрозы», ведь адрес IMEI, как и прочие уникальные идентификаторы у них исключительно просто меняются. Об одном из таких методов «подмены» адресов сейчас и пойдет речь.
Начнем с основ. Телефоны Pixel хранят всю информацию о «себе» в специальном разделе Device Info (далее – devinfo), который является перезаписываемым и может быть изменен с помощью простого HEX-редактора или специальных программ. В этом разделе можно поменять регион устройства, адреса MAC протоколов WiFi и Bluetooth, а также IMEI. Именно последний нас и интересует.
Важная деталь — изменение адреса IMEI подразумевает дополнительные «телодвижения», в то время как остальные «номера» этого не требуют. Причина в сотовом радио Samsung Shannon, которое используют Google Pixel. Оно хранит крипографический отпечаток номера IMEI (CPSHA) в собственном разделе EFS, и при несовпадении «показаний» выдает шестнадцать нулей вместо записанного в devinfo числа. Этот отпечаток можно поменять только в «заводском» режиме, он же factory mode.
Для модификации раздела devinfo можно использовать графическую версию программы lexipwn – разумеется, для ее использования необходимы права суперпользователя, получение которых мы рассматривать не будем. После того, как вы изменили IMEI, она предложит вам перезагрузиться в тот самый factory mode, из которого можно будет отправлять AT-команды на модем Shannon. Именно через них можно обновить тот самый отпечаток.
После выполнения всех «телодвижений» телефон можно вернуть в обычный режим. Стоит отметить, что раздел devinfo является постоянным — т. е. вы можете избавиться от прав суперпользователя, «прошить» другую ОС, и все равно внесенные вами «правки» будут действовать.
Вам повезёт. | Интернет-сайт
Появление этой публикации было частично вызвано намерением Минцифры вводить обязательную государственную регистрацию уникальных идентификаторов мобильных устройств в государственной же «базе». Интернет-ресурс «Может, вам повезет» не видит смысла в обсуждении этой инициативы как таковой, но считает важным разобрать возможность «обойти» подобные базы, и не только их российский «вариант».
Для владельцев устройств Google Pixel с процессорами Tensor (6-е поколение по 10-е) данные базы не представляют особой «угрозы», ведь адрес IMEI, как и прочие уникальные идентификаторы у них исключительно просто меняются. Об одном из таких методов «подмены» адресов сейчас и пойдет речь.
Начнем с основ. Телефоны Pixel хранят всю информацию о «себе» в специальном разделе Device Info (далее – devinfo), который является перезаписываемым и может быть изменен с помощью простого HEX-редактора или специальных программ. В этом разделе можно поменять регион устройства, адреса MAC протоколов WiFi и Bluetooth, а также IMEI. Именно последний нас и интересует.
Важная деталь — изменение адреса IMEI подразумевает дополнительные «телодвижения», в то время как остальные «номера» этого не требуют. Причина в сотовом радио Samsung Shannon, которое используют Google Pixel. Оно хранит крипографический отпечаток номера IMEI (CPSHA) в собственном разделе EFS, и при несовпадении «показаний» выдает шестнадцать нулей вместо записанного в devinfo числа. Этот отпечаток можно поменять только в «заводском» режиме, он же factory mode.
Для модификации раздела devinfo можно использовать графическую версию программы lexipwn – разумеется, для ее использования необходимы права суперпользователя, получение которых мы рассматривать не будем. После того, как вы изменили IMEI, она предложит вам перезагрузиться в тот самый factory mode, из которого можно будет отправлять AT-команды на модем Shannon. Именно через них можно обновить тот самый отпечаток.
После выполнения всех «телодвижений» телефон можно вернуть в обычный режим. Стоит отметить, что раздел devinfo является постоянным — т. е. вы можете избавиться от прав суперпользователя, «прошить» другую ОС, и все равно внесенные вами «правки» будут действовать.
Вам повезёт. | Интернет-сайт
👍10❤4🔥4
На интернет-сайте «Может, вам повезёт?» вышло обновлённое руководство по созданию собственного мессенджера.
Основные правки заключаются в улучшении модели безопасности, замене SQLite на PostgreSQL, а также добавлении TURN-сервера для интернет-телефонии.
Ознакомиться можно по следующему адресу: https://kremlinkernel.com/guide/selfhost/127/
Основные правки заключаются в улучшении модели безопасности, замене SQLite на PostgreSQL, а также добавлении TURN-сервера для интернет-телефонии.
Ознакомиться можно по следующему адресу: https://kremlinkernel.com/guide/selfhost/127/
👍14👏6🔥3
На интернет-сайте «Может, вам повезёт?» вышло руководство по созданию собственного VPN-сервера.
Описанная в материале конфигурация была проверена и в данный момент используется автором ресурса «Может, вам повезёт?».
Ознакомиться можно по следующему адресу: https://kremlinkernel.com/guide/selfhost/507/
Описанная в материале конфигурация была проверена и в данный момент используется автором ресурса «Может, вам повезёт?».
Ознакомиться можно по следующему адресу: https://kremlinkernel.com/guide/selfhost/507/
🔥15👍10❤3
Помогают ли антивирусные программы?
Интернет-ресурс «Может, вам повезет?» уже разбирал одну из популярных «панацей» в аппаратной безопасности традиционных компьютеров — Secure Boot. Переходя к программной безопасности, нельзя оставить без внимания очередной «ответ» на семь «бед», но уже на уровне ПО — антивирусы.
Начнем с основ. Антивирусы, как класс ПО, возникли из-за популярности Microsoft Windows, и соответственно, проприетарного (закрытого) ядра системы NT. Как и в случае с, например, таким же проприетарным ядром Apple XNU, это создает «тепличные» условия для процветания множества критических уязвимостей, которые могут оставаться незамеченными десятилетиями. Стоит отметить, что не одно ядро NT является причиной существования «орды» вирусов под Windows — значительный вклад также был внесен «дремучей» моделью безопасности ОС, которую Microsoft начал править только в Windows 10.
Из-за этого, например, под GNU/Linux существует кратно меньше как и антивирусов, так и вирусов — код системы полностью открыт, ввиду чего уязвимости закрываются быстрее. Кроме этого, сама архитектурная модель Unix (к коей принадлежит Linux) делает заражение значительно сложнее, особенно при «образованном» пользователе.
Говоря об антивирусах под Windows, в современном мире они стали наносить больше вреда, чем пользы — действительно серьёзные угрозы (например, шпионское ПО) они поймать не в состоянии (у подобных программ нет четкого «отпечатка», на который в большинстве своем опираются антивирусные программы, а эвристический анализ заметить их не способен), но при этом работают с максимальными системными правами — практически все антивирусы используют модули ядра, т. е. работают в «сердце» системы.
Найдя уязвимость в таком модуле, можно заразить всю систему разом, даже не прикасаясь к системным компонентам, которые в абсолютном большинстве случаев имеют кратно более лучший «контроль качества». На практике это означает значительное увеличение «поверхности», которую можно атаковать — из-за программы, которая эту «поверхность» должна защищать.
Кроме этого, сам антивирус может быть использован как вирус — большинство подобных программ имеют закрытый код, т. е. вы полностью доверяете «честному слову» разработчиков. Время показало, что подобные «честные слова» имеют свойство моментально терять «цену» при первом же запросе от государства.
В США, например, существует акт PATRIOT, который позволяет принуждать разработчиков ПО создавать «черные ходы» через «письма национальной безопасности». В России существует схожий механизм — реестр ОРИ, хоть он и уступает по «популярности» неформальному давлению, которое применяется более охотно.
Отвечая на поставленный в начале вопрос — нет, не помогают. Количество вреда от них будет только нарастать — создатели зловредного ПО давно «в курсе» слабых мест подобной «защиты».
Вам повезёт. | Интернет-сайт
Интернет-ресурс «Может, вам повезет?» уже разбирал одну из популярных «панацей» в аппаратной безопасности традиционных компьютеров — Secure Boot. Переходя к программной безопасности, нельзя оставить без внимания очередной «ответ» на семь «бед», но уже на уровне ПО — антивирусы.
Начнем с основ. Антивирусы, как класс ПО, возникли из-за популярности Microsoft Windows, и соответственно, проприетарного (закрытого) ядра системы NT. Как и в случае с, например, таким же проприетарным ядром Apple XNU, это создает «тепличные» условия для процветания множества критических уязвимостей, которые могут оставаться незамеченными десятилетиями. Стоит отметить, что не одно ядро NT является причиной существования «орды» вирусов под Windows — значительный вклад также был внесен «дремучей» моделью безопасности ОС, которую Microsoft начал править только в Windows 10.
Из-за этого, например, под GNU/Linux существует кратно меньше как и антивирусов, так и вирусов — код системы полностью открыт, ввиду чего уязвимости закрываются быстрее. Кроме этого, сама архитектурная модель Unix (к коей принадлежит Linux) делает заражение значительно сложнее, особенно при «образованном» пользователе.
Говоря об антивирусах под Windows, в современном мире они стали наносить больше вреда, чем пользы — действительно серьёзные угрозы (например, шпионское ПО) они поймать не в состоянии (у подобных программ нет четкого «отпечатка», на который в большинстве своем опираются антивирусные программы, а эвристический анализ заметить их не способен), но при этом работают с максимальными системными правами — практически все антивирусы используют модули ядра, т. е. работают в «сердце» системы.
Найдя уязвимость в таком модуле, можно заразить всю систему разом, даже не прикасаясь к системным компонентам, которые в абсолютном большинстве случаев имеют кратно более лучший «контроль качества». На практике это означает значительное увеличение «поверхности», которую можно атаковать — из-за программы, которая эту «поверхность» должна защищать.
Кроме этого, сам антивирус может быть использован как вирус — большинство подобных программ имеют закрытый код, т. е. вы полностью доверяете «честному слову» разработчиков. Время показало, что подобные «честные слова» имеют свойство моментально терять «цену» при первом же запросе от государства.
В США, например, существует акт PATRIOT, который позволяет принуждать разработчиков ПО создавать «черные ходы» через «письма национальной безопасности». В России существует схожий механизм — реестр ОРИ, хоть он и уступает по «популярности» неформальному давлению, которое применяется более охотно.
Отвечая на поставленный в начале вопрос — нет, не помогают. Количество вреда от них будет только нарастать — создатели зловредного ПО давно «в курсе» слабых мест подобной «защиты».
Вам повезёт. | Интернет-сайт
⚡10👏4🔥2
На интернет-сайте «Может, вам повезёт?» вышел дайджест «О том, что было, будет, или есть» за 2025-й год.
Ввиду своего размера, в Telegram он опубликован не будет. Проще говоря, не «влезет».
Ознакомиться можно по следующему адресу: https://kremlinkernel.com/digest/year_2025/547/
Ввиду своего размера, в Telegram он опубликован не будет. Проще говоря, не «влезет».
Ознакомиться можно по следующему адресу: https://kremlinkernel.com/digest/year_2025/547/
👍10🔥4⚡1
Как можно обойти шифрование туннеля VPN?
Интернет-ресурс «Может, вам повезёт?» уже неоднократно говорил о преимуществах использования туннелей VPN — от пресловутого «обхода блокировок» до защиты от перехвата обмена ключей государственными «фильтрами». Тем не менее, абсолютное большинство «решений» VPN имеют один жирный «минус» — и, что самое главное, не всегда явно заметный.
Начнем с основ. Все виды коммуникаций в интернете, будь то зашифрованные, или, что редко встречается, открытые, имеют метаданные — размер, IP-адрес отправителя, IP-адрес и сетевой «порт» получателя, время. Эти данные видны всегда, и, что самое главное, всем, даже если само содержание было последовательно зашифрованно тремя разными шифрами. Даже без «углубления» это позволяет получить приблизительное представление о содержимом, а также об участниках такой «транзакции».
VPN, как и многие другие технологии подобного толка, исключением из «правил» не являются. Отправляемый через зашифрованный туннель интернет-трафик имеет все тот же «набор» метаданных, который можно анализировать точно также, как и любой другой зашифрованный трафик.
Происходит это через устройства в привилегированной сетевой позиции (простейший пример из вступления — государственные «фильтры»). С помощью алгоритмов машинного обучения сравниваются интервалы отправки пакетов интернет-трафика, и их размер, частота, порядок, и прочие характеристики с уже известными значениями для популярных сервисов/сайтов.
Процентаж точности такого анализа равняется приблизительно 70%, что позволяет получить более чем приемлемое представление о посещаемых через криптографически «непробиваемый» туннель ресурсах.
Противодействовать подобному анализу можно путём изменения тех самых характеристик, на которые опирается машинное обучение — искусственно увеличивать размер пакетов, проводить манипуляции с интервалами их отправки, и тому подобное. Тем не менее, подобные «меры противодействия» отсутствуют в подавляющем большинстве решений, — с единственным исключением для DAITA, которое разрабатывает и активно применяет коммерческий VPN-провайдер Mullvad.
Вам повезёт. | Интернет-сайт
Интернет-ресурс «Может, вам повезёт?» уже неоднократно говорил о преимуществах использования туннелей VPN — от пресловутого «обхода блокировок» до защиты от перехвата обмена ключей государственными «фильтрами». Тем не менее, абсолютное большинство «решений» VPN имеют один жирный «минус» — и, что самое главное, не всегда явно заметный.
Начнем с основ. Все виды коммуникаций в интернете, будь то зашифрованные, или, что редко встречается, открытые, имеют метаданные — размер, IP-адрес отправителя, IP-адрес и сетевой «порт» получателя, время. Эти данные видны всегда, и, что самое главное, всем, даже если само содержание было последовательно зашифрованно тремя разными шифрами. Даже без «углубления» это позволяет получить приблизительное представление о содержимом, а также об участниках такой «транзакции».
VPN, как и многие другие технологии подобного толка, исключением из «правил» не являются. Отправляемый через зашифрованный туннель интернет-трафик имеет все тот же «набор» метаданных, который можно анализировать точно также, как и любой другой зашифрованный трафик.
Происходит это через устройства в привилегированной сетевой позиции (простейший пример из вступления — государственные «фильтры»). С помощью алгоритмов машинного обучения сравниваются интервалы отправки пакетов интернет-трафика, и их размер, частота, порядок, и прочие характеристики с уже известными значениями для популярных сервисов/сайтов.
Процентаж точности такого анализа равняется приблизительно 70%, что позволяет получить более чем приемлемое представление о посещаемых через криптографически «непробиваемый» туннель ресурсах.
Противодействовать подобному анализу можно путём изменения тех самых характеристик, на которые опирается машинное обучение — искусственно увеличивать размер пакетов, проводить манипуляции с интервалами их отправки, и тому подобное. Тем не менее, подобные «меры противодействия» отсутствуют в подавляющем большинстве решений, — с единственным исключением для DAITA, которое разрабатывает и активно применяет коммерческий VPN-провайдер Mullvad.
Вам повезёт. | Интернет-сайт
👍13❤2🔥2
Конкретные провалы в безопасности мессенджера Telegram
Интернет-ресурс «Может, вам повезёт?» уже не раз говорил о провалах в модели безопасности мессенджера Telegram в формате «между делом». В частности, этим отличается серия публикаций о происходившим между мессенджером Дурова и нацмессенжером MAX медийном «апокалипсисе», который к началу 2026-го года сильно сбавил свои «обороты». Тем не менее, необходимо привести все сказанное к единому «знаменателю».
Для начала стоит определить характеристики понятия «безопасный мессенджер», с которым мы в последствии будем сравнивать Telegram. Безопасный мессенджер имеет сильное сквозное шифрование (E2EE), использующее современные алгоритмы (см. Signal Protocol), защиту метаданных на приемлемом уровне, открытый код приложений, и, что самое главное, минимальный сбор данных (см. мессенджер Signal).
Начнём с основ. Telegram использует шифрование только в процессе передачи сообщений от клиента к серверу (и то, пакеты содержат незашифрованные идентификаторы, о чем далее). Это означает, что любой, кто получит доступ к серверам Telegram, на которых эти сообщения хранятся, сможет прочитать их без каких-либо проблем.
Как и в случае со всеми мессенджерами, соблюдающими требования «Пакета Яровой», эти сообщения не только могут быть проданы техническим персоналом Дурова, но и получены путём прямого взлома сервера через уязвимость нулевого дня, от которой команда Telegram даже при сильном желании защититься не может. Существуют «секретные чаты», но в расчёт их брать нельзя, ведь доступны они только на мобильных платформах, а также уязвимы к перехвату ключей самим сервером, ввиду «хлипкого» шифрования.
Говоря о метаданных, Telegram отправляет ID пользователя на сервер незашифрованным — не только без шифрования самого значения, но и без простого HTTPS — это означает, что любое устройство, которое наблюдает за трафиком пользователя Telegram (будь то злоумышленник в публичной сети или государственный «фильтр») может точно определить пользователя, а также, в некоторой степени, его устройство.
Также, ввиду того, что простой HTTP легко подменяется и искажается, это позволяет с лёгкостью манипулировать пакетами клиента Telegram. Это моветон, который без какой-либо необходимости уменьшает как и приватность пользователей, так и устойчивость к блокировкам.
Кроме этого, Telegram хранит всю историю групповых звонков в своеобразном блокчейне — мол, для того, чтобы было нельзя тайно подключиться. Оставим эту вселенскую глупость на «совести» PR-отдела Дурова. Сам факт излишнего сбора метаданных, тем не менее, есть.
Доморощенный протокол MTProto, который используется в том числе и в «секретных чатах», не подразумевает хоть какой-то приемлемой защиты метаданных — то есть, сервер, через который проходят все секретные чаты, всегда знает, кто, кому, когда, сколько, и откуда пишет. Это критическая уязвимость для любого безопасного мессенджера, которая так и не была исправлена за более чем 10 лет существования Telegram и две версии MTProto.
Исходя из перечисленных фактов, мессенджер Telegram «пролетает» со «свистом» по всем пунктам и не может считаться безопасным.
О других особенностях существования мессенджера Дурова, выходящих за рамки «техники», можно прочитать как и в «Дополнении к хронологии подготовки к блокировке Telegram», так и в дайджесте «О том, что было, будет, или есть» за 2025-й год.
Вам повезёт. | Интернет-сайт
Интернет-ресурс «Может, вам повезёт?» уже не раз говорил о провалах в модели безопасности мессенджера Telegram в формате «между делом». В частности, этим отличается серия публикаций о происходившим между мессенджером Дурова и нацмессенжером MAX медийном «апокалипсисе», который к началу 2026-го года сильно сбавил свои «обороты». Тем не менее, необходимо привести все сказанное к единому «знаменателю».
Для начала стоит определить характеристики понятия «безопасный мессенджер», с которым мы в последствии будем сравнивать Telegram. Безопасный мессенджер имеет сильное сквозное шифрование (E2EE), использующее современные алгоритмы (см. Signal Protocol), защиту метаданных на приемлемом уровне, открытый код приложений, и, что самое главное, минимальный сбор данных (см. мессенджер Signal).
Начнём с основ. Telegram использует шифрование только в процессе передачи сообщений от клиента к серверу (и то, пакеты содержат незашифрованные идентификаторы, о чем далее). Это означает, что любой, кто получит доступ к серверам Telegram, на которых эти сообщения хранятся, сможет прочитать их без каких-либо проблем.
Как и в случае со всеми мессенджерами, соблюдающими требования «Пакета Яровой», эти сообщения не только могут быть проданы техническим персоналом Дурова, но и получены путём прямого взлома сервера через уязвимость нулевого дня, от которой команда Telegram даже при сильном желании защититься не может. Существуют «секретные чаты», но в расчёт их брать нельзя, ведь доступны они только на мобильных платформах, а также уязвимы к перехвату ключей самим сервером, ввиду «хлипкого» шифрования.
Говоря о метаданных, Telegram отправляет ID пользователя на сервер незашифрованным — не только без шифрования самого значения, но и без простого HTTPS — это означает, что любое устройство, которое наблюдает за трафиком пользователя Telegram (будь то злоумышленник в публичной сети или государственный «фильтр») может точно определить пользователя, а также, в некоторой степени, его устройство.
Также, ввиду того, что простой HTTP легко подменяется и искажается, это позволяет с лёгкостью манипулировать пакетами клиента Telegram. Это моветон, который без какой-либо необходимости уменьшает как и приватность пользователей, так и устойчивость к блокировкам.
Кроме этого, Telegram хранит всю историю групповых звонков в своеобразном блокчейне — мол, для того, чтобы было нельзя тайно подключиться. Оставим эту вселенскую глупость на «совести» PR-отдела Дурова. Сам факт излишнего сбора метаданных, тем не менее, есть.
Доморощенный протокол MTProto, который используется в том числе и в «секретных чатах», не подразумевает хоть какой-то приемлемой защиты метаданных — то есть, сервер, через который проходят все секретные чаты, всегда знает, кто, кому, когда, сколько, и откуда пишет. Это критическая уязвимость для любого безопасного мессенджера, которая так и не была исправлена за более чем 10 лет существования Telegram и две версии MTProto.
Исходя из перечисленных фактов, мессенджер Telegram «пролетает» со «свистом» по всем пунктам и не может считаться безопасным.
О других особенностях существования мессенджера Дурова, выходящих за рамки «техники», можно прочитать как и в «Дополнении к хронологии подготовки к блокировке Telegram», так и в дайджесте «О том, что было, будет, или есть» за 2025-й год.
Вам повезёт. | Интернет-сайт
❤6🔥6👍4🤝1
Дополнение к публикации «Безопасно ли устанавливать нацмессенджер Max?»
Оглядываясь на дискуссию о «зловредности» мессенджера MAX, стоит отметить одну очень грубую техническую ошибку, которую допускали практически все ЛОМы, говоря о «страшных вирусах» — MAX может собирать все. На самом деле, это описание одной «крайности» в устройствах Android, которую, по «незнанке», или по «заказу» обобщили на «все и вся».
Речь идёт о случае, когда мессенджер MAX был предустановлен как системное приложение. Это может сделать как и сам производитель устройства, так и «ушлый» ритейлер, который из-за «линии партии» производит умышленную атаку на цепочку поставки. Вне зависимости от «варианта», эффект только один — это полностью ломает модель безопасности ОС.
Если приложение установлено как пользовательское, то на него действуют строгие ограничения, для «прорыва» которых требуются крайне дорогостоящие уязвимости. Системные приложения же такими ограничениями не обременены, вследствие чего могут делать все, что «вздумается». В этом контексте, действительно, MAX, как и прочее «российское» ПО может за вами «следить».
Важно заметить, что это не применимо к устройствам Apple, а также к запечатанным «серым» телефонам на базе Android. В них действует модель безопасности, описанная интернет-ресурсом «Может, вам повезёт?» ещё в октябре прошлого года.
Вам повезёт. | Интернет-сайт
Оглядываясь на дискуссию о «зловредности» мессенджера MAX, стоит отметить одну очень грубую техническую ошибку, которую допускали практически все ЛОМы, говоря о «страшных вирусах» — MAX может собирать все. На самом деле, это описание одной «крайности» в устройствах Android, которую, по «незнанке», или по «заказу» обобщили на «все и вся».
Речь идёт о случае, когда мессенджер MAX был предустановлен как системное приложение. Это может сделать как и сам производитель устройства, так и «ушлый» ритейлер, который из-за «линии партии» производит умышленную атаку на цепочку поставки. Вне зависимости от «варианта», эффект только один — это полностью ломает модель безопасности ОС.
Если приложение установлено как пользовательское, то на него действуют строгие ограничения, для «прорыва» которых требуются крайне дорогостоящие уязвимости. Системные приложения же такими ограничениями не обременены, вследствие чего могут делать все, что «вздумается». В этом контексте, действительно, MAX, как и прочее «российское» ПО может за вами «следить».
Важно заметить, что это не применимо к устройствам Apple, а также к запечатанным «серым» телефонам на базе Android. В них действует модель безопасности, описанная интернет-ресурсом «Может, вам повезёт?» ещё в октябре прошлого года.
Вам повезёт. | Интернет-сайт
👍11🔥5