Может, вам повезет?
08.05.202508:40
Хостинг-провайдеров будут штрафовать, если они не «внесли» себя в реестр РКН
Это логическое продолжение мартовских «проверок зависимостей», только теперь в РКН перестали лгать. У меня нет сомнений в том, что это юридический фундамент для будущих блокировок иностранных хостингов, первыми из которых будут AWS/Cloudflare. Про «отработку» их блокировки можно почитать у меня на канале, забив в поиске «Cloudflare»
Вам не повезет.
Это логическое продолжение мартовских «проверок зависимостей», только теперь в РКН перестали лгать. У меня нет сомнений в том, что это юридический фундамент для будущих блокировок иностранных хостингов, первыми из которых будут AWS/Cloudflare. Про «отработку» их блокировки можно почитать у меня на канале, забив в поиске «Cloudflare»
Вам не повезет.
04.05.202507:25
Пока «пакет с пакетами» для регулирования мессенджеров все еще находится в стадии «приготовления», я хочу добавить еще один пункт к своему «прогнозу» о его содержимом.
Ограничение длинны ключей шифрования
Банально, но применяется в нескольких странах ЕС. Например, шифры Serpent или Twofish будут ограничены в длине ключа в 128 битов, что делает их гораздо более подверженным к атакам классических/квантовых компьютеров. Разумеется, под предлогом «иностранных шпионов» или тому подобной несуразицы.
Вам не повезет.
Ограничение длинны ключей шифрования
Банально, но применяется в нескольких странах ЕС. Например, шифры Serpent или Twofish будут ограничены в длине ключа в 128 битов, что делает их гораздо более подверженным к атакам классических/квантовых компьютеров. Разумеется, под предлогом «иностранных шпионов» или тому подобной несуразицы.
Вам не повезет.
29.04.202505:10
С первого мая в силу вступают увеличенные штрафы за «утечки» данных из коммерческих организаций.
Проблему «утечек» это не решает, но главное тут в другом: действует это только на бизнес, не на гос. структуры. При этом, «утечка» из сервиса доставки условной пиццы никак не может быть сравнима с продажей записей с камер Собянинского «Безопасного Города».
Наглядный пример имитации «борьбы», под которым еще и монетку можно срубить.
Вам не повезет.
Проблему «утечек» это не решает, но главное тут в другом: действует это только на бизнес, не на гос. структуры. При этом, «утечка» из сервиса доставки условной пиццы никак не может быть сравнима с продажей записей с камер Собянинского «Безопасного Города».
Наглядный пример имитации «борьбы», под которым еще и монетку можно срубить.
Вам не повезет.
24.04.202512:05
Глава минцифры Шадаев заявил, что работу мессенджеров (?) в России запрещать не планируется. Почему именно Шадаев считает, что его долг — делать такие заявления, ведь блокировать мессенджеры это вотчина РКН — не ясно, но допустим.
Начнем с того, что Шадаев не упомянул, какие мессенджеры собираются «разрешать». Тот же Signal Messenger, которым пользуются аж в нынешней администрации США, у нас заблокирован за «терроризм». Или «это другое»?
Тоже самое было и с YouTube, к слову. Там сам Песков говорил, что ничего блокировать не будут.
Начнем с того, что Шадаев не упомянул, какие мессенджеры собираются «разрешать». Тот же Signal Messenger, которым пользуются аж в нынешней администрации США, у нас заблокирован за «терроризм». Или «это другое»?
Тоже самое было и с YouTube, к слову. Там сам Песков говорил, что ничего блокировать не будут.
20.04.202516:50
На прошлой неделе Яндекс выпустил свою IP-камеру, разумеется, успев рассказать про безопасность и приватность своего творения. Вот только подкрепить свои тезисы, к сожалению, позабыли
I. Улыбнитесь, вас снимают
Новая камера Яндекса имеет закрытую прошивку — т. е., пользователь полностью полагается на добропорядочность самого Яндекса, что, как я и раньше утверждал, самообман. На практике, Яндекс, как и любые российские компании, контактируют с российским государством — и российское государство могло попросить вшить доступ для себя. И нет, кнопка для отключения чего-либо не является гарантом вашей приватности.
Решается очень просто — Яндекс публикует прошивку своей камеры.
II. МВД предупреждает
МВД недавно сделало пресс-релиз, где предупреждало об опасности электрических зубных щеток. Камера Яндекса — устройство IoT, т. е. оное ходит в интернет. Может ли Яндекс гарантировать, что прошивку его камер нельзя сломать, как это делали много раз с западными брендами? Вопрос дискуссионный.
I. Улыбнитесь, вас снимают
Новая камера Яндекса имеет закрытую прошивку — т. е., пользователь полностью полагается на добропорядочность самого Яндекса, что, как я и раньше утверждал, самообман. На практике, Яндекс, как и любые российские компании, контактируют с российским государством — и российское государство могло попросить вшить доступ для себя. И нет, кнопка для отключения чего-либо не является гарантом вашей приватности.
Решается очень просто — Яндекс публикует прошивку своей камеры.
II. МВД предупреждает
МВД недавно сделало пресс-релиз, где предупреждало об опасности электрических зубных щеток. Камера Яндекса — устройство IoT, т. е. оное ходит в интернет. Может ли Яндекс гарантировать, что прошивку его камер нельзя сломать, как это делали много раз с западными брендами? Вопрос дискуссионный.
15.04.202509:50
Интересно выходит.
Классические боты в ТГ не могут ходить и собирать у всех данные; они могут это делать только после того как человек их самостоятельно запустил. Почему за сбор публичной информации нужно блокировать — тоже хороший вопрос.
В результате ведения подобных «теневых боев» у команды Telegram образовался цифровой эквивалент «слона в посудной лавке», а именно новый бот не-РКН. Он не только собирает публичные данные, но и приватные(номера телефонов), и, по той же самой логике, подлежит немедленной блокировке. Или «это другое»?
Классические боты в ТГ не могут ходить и собирать у всех данные; они могут это делать только после того как человек их самостоятельно запустил. Почему за сбор публичной информации нужно блокировать — тоже хороший вопрос.
В результате ведения подобных «теневых боев» у команды Telegram образовался цифровой эквивалент «слона в посудной лавке», а именно новый бот не-РКН. Он не только собирает публичные данные, но и приватные(номера телефонов), и, по той же самой логике, подлежит немедленной блокировке. Или «это другое»?
07.05.202510:25
Руководство по защите мобильной техники [телефоны, планшеты, пр.]
Немногим ранее я уже рассматривал эту тему в контексте защиты от «мобильной криминалистики» (читай: взлом с целью осуществления несанкционированного
доступа к данным), что, несмотря на сложность обсуждаемого, оставило пробелы. Этот материал закрывает возникшую «недосказанность».
I. Хранение секретов
«Секрет» который вы используете для доступа в телефон, должен иметь существенную криптографическую стойкость, ибо при атаках даже самое продвинутое криминалистическое устройство пытается подобрать этот самый «секрет».
В качестве «секрета» я рекомендую использовать пароль от 15-ти символов, желательно сгенерированный генератором паролей. Если хотите сделать сами — нужно не менее четырех спецсимволов, маленькие и большие буквы, цифры.
Можно также использовать кодовые фразы, их запомнить проще. Моя рекомендация — использовать 12 случайных слов и более.
II. Не доверяйте лицам
Другой важный аспект — у вас не должен быть включен вход по биометрии. Любая биометрия, даже сетчатка глаза, не является секретом и может быть получена после взаимодействия с вами. Также, в некоторых юрисдикциях, полиция может заставить вас разблокировать телефон по биометрии, но не по традиционному «секрету».
III. Только после разрешения
Ваш телефон не должен разрешать подключаться по USB до разблокировки экрана. Да, это можно обойти, но это сильно усложняет задачу для атакующего.
IV. Тушите свет
У современных смартфонов есть два состояния: AFU/BFU. Если кратко, AFU — вы ввели пароль после перезагрузки, ключи шифрования находятся в памяти. BFU — телефон выключен/включен после перезагрузки без ввода пароля, ключи недоступны. AFU гораздо проще «сломать» ввиду большего числа процессов, в которых можно найти «дырку», чем BFU. Если вы не планируете пользоваться телефоном на протяжении продолжительного времени, его стоит выключать, чтобы перевести его в BFU. Подробнее почитать об этом можно тут.
V. Храните молчание
В общественных местах, таких как метро, я рекомендую отключать любые средства беспроводной связи ввиду того, что по уникальным идентификаторам вашего телефона его очень просто отследить. Идеальный вариант — полностью выключать, что, кроме уменьшения количества метаданных, поможет вам, если вас решат, например, задержать.
VI. Меньше знаешь, лучше спишь
Дополнительный пункт. Ввиду того, что современные смартфоны зачастую имеют закрытое ПО, я не рекомендую хранить конфиденциальные данные на них. Исключения существуют, такие как GrapheneOS и пр. свободные дистрибутивы Android, но не более.
Вам не повезет.
Немногим ранее я уже рассматривал эту тему в контексте защиты от «мобильной криминалистики» (читай: взлом с целью осуществления несанкционированного
доступа к данным), что, несмотря на сложность обсуждаемого, оставило пробелы. Этот материал закрывает возникшую «недосказанность».
I. Хранение секретов
«Секрет» который вы используете для доступа в телефон, должен иметь существенную криптографическую стойкость, ибо при атаках даже самое продвинутое криминалистическое устройство пытается подобрать этот самый «секрет».
В качестве «секрета» я рекомендую использовать пароль от 15-ти символов, желательно сгенерированный генератором паролей. Если хотите сделать сами — нужно не менее четырех спецсимволов, маленькие и большие буквы, цифры.
Можно также использовать кодовые фразы, их запомнить проще. Моя рекомендация — использовать 12 случайных слов и более.
II. Не доверяйте лицам
Другой важный аспект — у вас не должен быть включен вход по биометрии. Любая биометрия, даже сетчатка глаза, не является секретом и может быть получена после взаимодействия с вами. Также, в некоторых юрисдикциях, полиция может заставить вас разблокировать телефон по биометрии, но не по традиционному «секрету».
III. Только после разрешения
Ваш телефон не должен разрешать подключаться по USB до разблокировки экрана. Да, это можно обойти, но это сильно усложняет задачу для атакующего.
IV. Тушите свет
У современных смартфонов есть два состояния: AFU/BFU. Если кратко, AFU — вы ввели пароль после перезагрузки, ключи шифрования находятся в памяти. BFU — телефон выключен/включен после перезагрузки без ввода пароля, ключи недоступны. AFU гораздо проще «сломать» ввиду большего числа процессов, в которых можно найти «дырку», чем BFU. Если вы не планируете пользоваться телефоном на протяжении продолжительного времени, его стоит выключать, чтобы перевести его в BFU. Подробнее почитать об этом можно тут.
V. Храните молчание
В общественных местах, таких как метро, я рекомендую отключать любые средства беспроводной связи ввиду того, что по уникальным идентификаторам вашего телефона его очень просто отследить. Идеальный вариант — полностью выключать, что, кроме уменьшения количества метаданных, поможет вам, если вас решат, например, задержать.
VI. Меньше знаешь, лучше спишь
Дополнительный пункт. Ввиду того, что современные смартфоны зачастую имеют закрытое ПО, я не рекомендую хранить конфиденциальные данные на них. Исключения существуют, такие как GrapheneOS и пр. свободные дистрибутивы Android, но не более.
Вам не повезет.
02.05.202514:40
Telegram выпустил свои «очень безопасные» групповые звонки. К уже имеющимся проблемам с метаданными команда Дурова решила добавить еще больше метаданных, и я считаю необходимым это разобрать.
Как Telegram описывает свою «ошеломительную» безопасность:
По какой-то причине, к сквозному шифрованию добавили блокчейн — мол, чтобы никто точно не подслушал. Во-первых, блокчейн в первую очередь был придуман для отслеживания транзакций, что не предотвращает «подслушивание». Во-вторых, сквозное шифрование не нуждается в блокчейне чтобы работать. Из этого отрывка можно сделать вывод, что PR-отдел Telegram сам не понимает о чем пишет.
Есть и другое объяснение — добавление блокчейна позволяет Telegram знать, кто, как и с кем говорил, т. е. создает метаданные.
Совсем абсурдно звучит сравнение модели Telegram с другими приложениями — мол, блокчейн не дает разработчикам подслушивать. Учитывая потенциал для сбора метаданных, это ложь, хоть и опосредованная.
Далее они пишут об «открытости»:
Это полуправда. Клиентская часть «очень безопасных» звонков открыта, но вот что происходит на серверах Telegram никому не известно. Независимые аудиты безопасности от «экспертов» они тоже не проходили — поэтому, нельзя сказать, что сервер не занимается, например, сбором пресловутых метаданных.
Вам не повезет.
Как Telegram описывает свою «ошеломительную» безопасность:
In addition, group calls use blockchain-like technology to ensure that, unlike in other apps, no one —
not even Telegram — can secretly join as a listener.
По какой-то причине, к сквозному шифрованию добавили блокчейн — мол, чтобы никто точно не подслушал. Во-первых, блокчейн в первую очередь был придуман для отслеживания транзакций, что не предотвращает «подслушивание». Во-вторых, сквозное шифрование не нуждается в блокчейне чтобы работать. Из этого отрывка можно сделать вывод, что PR-отдел Telegram сам не понимает о чем пишет.
Есть и другое объяснение — добавление блокчейна позволяет Telegram знать, кто, как и с кем говорил, т. е. создает метаданные.
Совсем абсурдно звучит сравнение модели Telegram с другими приложениями — мол, блокчейн не дает разработчикам подслушивать. Учитывая потенциал для сбора метаданных, это ложь, хоть и опосредованная.
Далее они пишут об «открытости»:
We welcome security researchers to study the detailed documentation and open source code that powers the new group calls.
Это полуправда. Клиентская часть «очень безопасных» звонков открыта, но вот что происходит на серверах Telegram никому не известно. Независимые аудиты безопасности от «экспертов» они тоже не проходили — поэтому, нельзя сказать, что сервер не занимается, например, сбором пресловутых метаданных.
Вам не повезет.
27.04.202510:10
В прошедший четверг в Минцифры заявили о приготовлении «пакета с пакетами» для регулирования мессенджеров. Видимо, пришли к осознанию, что старый «Пакет Яровой» не добирает.
Обещают «приготовить» все к концу этого лета, разумеется, без конкретики о «приготовляемом». В связи с этим, я хочу озвучить два своих предположения о содержании этих мер.
1) Запрет сквозного шифрования (E2EE) и/или необходимость делать ключи шифрования доступными для государства
2) Обязательное подключение регистрации через госуслуги
С «оправданием» первого все более-менее понятно — мол, шифрованием террористы пользуются. А вот над вторым «слугам народа» придется подумать.
Вам не повезет.
Обещают «приготовить» все к концу этого лета, разумеется, без конкретики о «приготовляемом». В связи с этим, я хочу озвучить два своих предположения о содержании этих мер.
1) Запрет сквозного шифрования (E2EE) и/или необходимость делать ключи шифрования доступными для государства
2) Обязательное подключение регистрации через госуслуги
С «оправданием» первого все более-менее понятно — мол, шифрованием террористы пользуются. А вот над вторым «слугам народа» придется подумать.
Вам не повезет.
24.04.202510:10
X5 Group собирается устанавливать «умные камеры» и «аудиомаячки» на ценники в магазинах «Перекресток» и «Пятерочка», в целях «анализа работы магазина», что на «человеческий» переводится как «отслеживание продавцов и покупателей».
Аудиомаячки и прочий IoT-шлак в ритейле не инновация. Об ультразвуковых маячках еще в 2017 году писало издание Wired — таковые могут быть подобраны вашим телефоном, и даже будучи в экранирующей сумке, ваш телефон будет знать где вы были. К сожалению, защиты от этого, кроме как оставлять телефон дома, не существует.
Также, если X5 не позаботится о безопасности, данные с этих камер могут рано или поздно стать общедоступными за небольшую плату. Такое происходит до сих пор с Собянинским «Безопасным Городом», что уж о ценниках говорить.
Аудиомаячки и прочий IoT-шлак в ритейле не инновация. Об ультразвуковых маячках еще в 2017 году писало издание Wired — таковые могут быть подобраны вашим телефоном, и даже будучи в экранирующей сумке, ваш телефон будет знать где вы были. К сожалению, защиты от этого, кроме как оставлять телефон дома, не существует.
Также, если X5 не позаботится о безопасности, данные с этих камер могут рано или поздно стать общедоступными за небольшую плату. Такое происходит до сих пор с Собянинским «Безопасным Городом», что уж о ценниках говорить.
19.04.202507:00
Заметочки, заметочки — #11
Я считаю необходимым разобрать страницу "обновления (без)опасности", которую выпустило Apple к этой заплатке, ибо эфемизмов там слишком много.
I. "Крайне сложные атаки"
Apple прямо пишет, что к ним поступило сообщение о кейсе использования данных "дырок" против человека, после чего они выдают "подробности":
Во-первых, "individuals" — это множественное число, и если не брать в учет корпоративный язык, это означает, что "жертв" было несколько. Во-вторых, "extremely sophisticated attack" означает присутсвие государственных структур в вопросе, ибо зачастую только государства имеют знание о такого уровня уязвимостях. Разумеется, описание происходящего — ужасно размытое, но этого более чем достаточно.
II. Пациент был мертв
Это — классический пример уязвимости "zero-click", т. е. не требуется абсолютно ничего для заражения. В связи с этим, стоит задать вопрос — сколько эта "дырка" висела в iOS 18?
К сожалению, вещи такого характера находить крайне тяжело, так что ответ может приближатся к месяцам.
Также, стоит отметить, что ни пресс-служба МВД, которая постоянно предупреждает о "мошенниках" и "вирусах" в разных мессенджерах, ни популярные ресурсы по IT не выпустили требование обновиться, что наводит на мысли.
Я считаю необходимым разобрать страницу "обновления (без)опасности", которую выпустило Apple к этой заплатке, ибо эфемизмов там слишком много.
I. "Крайне сложные атаки"
Apple прямо пишет, что к ним поступило сообщение о кейсе использования данных "дырок" против человека, после чего они выдают "подробности":
Issue may have been exploited in an extremely sophisticated attack against specific targeted individuals on iOS
Во-первых, "individuals" — это множественное число, и если не брать в учет корпоративный язык, это означает, что "жертв" было несколько. Во-вторых, "extremely sophisticated attack" означает присутсвие государственных структур в вопросе, ибо зачастую только государства имеют знание о такого уровня уязвимостях. Разумеется, описание происходящего — ужасно размытое, но этого более чем достаточно.
II. Пациент был мертв
Это — классический пример уязвимости "zero-click", т. е. не требуется абсолютно ничего для заражения. В связи с этим, стоит задать вопрос — сколько эта "дырка" висела в iOS 18?
К сожалению, вещи такого характера находить крайне тяжело, так что ответ может приближатся к месяцам.
Также, стоит отметить, что ни пресс-служба МВД, которая постоянно предупреждает о "мошенниках" и "вирусах" в разных мессенджерах, ни популярные ресурсы по IT не выпустили требование обновиться, что наводит на мысли.
13.04.202508:10
Казалось бы, хорошее обновление — шифрование штука полезная, и может показаться, что команда Telegram начинает работать над безопасностью, а не над подарками. Но есть несколько нюансов:
I. Лучше поздно, чем никогда
Почему в «приватном» мессенджере зашифрованные групповые звонки появляются только в 2025 году? Тот же Signal Messenger, который я многократно рекомендовал, имеет эту функцию уже больше пяти лет. При этом Signal не напоминает вам отправить «подарок» кому-либо в меню приложения.
II. Вас слушают
Не в прямом смысле, а в опосредованном. Telegram все еще знает, в каком именно звонке вы находитесь, с кем, сколько, и когда. Даже если не брать плохо обследованное шифрование Telegram, метаданных слишком много.
Таким образом, может, когда-то и сквозное шифрование [E2EE] в группах появится. Когда-то.
I. Лучше поздно, чем никогда
Почему в «приватном» мессенджере зашифрованные групповые звонки появляются только в 2025 году? Тот же Signal Messenger, который я многократно рекомендовал, имеет эту функцию уже больше пяти лет. При этом Signal не напоминает вам отправить «подарок» кому-либо в меню приложения.
II. Вас слушают
Не в прямом смысле, а в опосредованном. Telegram все еще знает, в каком именно звонке вы находитесь, с кем, сколько, и когда. Даже если не брать плохо обследованное шифрование Telegram, метаданных слишком много.
Таким образом, может, когда-то и сквозное шифрование [E2EE] в группах появится. Когда-то.
07.05.202505:00
Силовые органы РФ смогут получать доступ к данным абонентов операторов связи в течении дня
ФСБ и МВД уже имеют доступ к данным абонентов ввиду СОРМ, но, видимо, сроки доступа к своей же системе показались им медленными, и теперь они смогут просить все необходимое у операторов напрямую. Объявленая причина — осуществление поправок против «мошенников», принятых в апреле.
Текущая инфраструктура, СОРМ-3 и «Пакет Яровой» уже является крупным «перегибом», который позволяет противодействовать кому угодно, и даже имеет какой-то уровень надзора за доступом к данным. Ради чего силовой блок «просит» себе такую скорость, имея все «карты» на руках — вопрос дискуссионный.
Вам не повезет.
ФСБ и МВД уже имеют доступ к данным абонентов ввиду СОРМ, но, видимо, сроки доступа к своей же системе показались им медленными, и теперь они смогут просить все необходимое у операторов напрямую. Объявленая причина — осуществление поправок против «мошенников», принятых в апреле.
Текущая инфраструктура, СОРМ-3 и «Пакет Яровой» уже является крупным «перегибом», который позволяет противодействовать кому угодно, и даже имеет какой-то уровень надзора за доступом к данным. Ради чего силовой блок «просит» себе такую скорость, имея все «карты» на руках — вопрос дискуссионный.
Вам не повезет.
01.05.202506:40
На фоне идущих мирных «консультаций», активизировался дискурс об ослаблении цензуры в рунете после перехода от «консультаций» к переговорам.
Кроме понятия “Wishful Thinking”, всевозможные маркеры свидетельствуют об обратном. Еще в феврале, РКН начал обучать специалистов ГРЧЦ созданию «поведенческих» профилей россиян, после чего последовали «проверки зависимостей» в марте. Стоит напомнить, что «проверки зависимостей» на самом деле являются учениями по блокировке AWS/Cloudflare.
Мой личный прогноз — никакого ослабления не предвидится. Скорее всего, станет еще тяжелее.
Вам не повезет.
Кроме понятия “Wishful Thinking”, всевозможные маркеры свидетельствуют об обратном. Еще в феврале, РКН начал обучать специалистов ГРЧЦ созданию «поведенческих» профилей россиян, после чего последовали «проверки зависимостей» в марте. Стоит напомнить, что «проверки зависимостей» на самом деле являются учениями по блокировке AWS/Cloudflare.
Мой личный прогноз — никакого ослабления не предвидится. Скорее всего, станет еще тяжелее.
Вам не повезет.
26.04.202510:20
Глава «отдела по работе с лидерами общественного мнения» Rutube Алена Кузьмина сообщила о том, что ее компания передает данные силовикам по своей инициативе.
Казалось бы, обычное дело — но важно тут то, что они это делают без официальной «бумажки» от органов. Даже в текущем положении российского государства, не существует нормативного акта, который заставляет компании самостоятельно выдавать данные «неправильных» пользователей. Получается, что Алена и ее коллеги пытаются «выслужиться» — ценой своих пользователей.
Если вы сомневались, что такое российский корпоративный «активизм», то вот замечательный пример.
Вам не повезет.
Казалось бы, обычное дело — но важно тут то, что они это делают без официальной «бумажки» от органов. Даже в текущем положении российского государства, не существует нормативного акта, который заставляет компании самостоятельно выдавать данные «неправильных» пользователей. Получается, что Алена и ее коллеги пытаются «выслужиться» — ценой своих пользователей.
Если вы сомневались, что такое российский корпоративный «активизм», то вот замечательный пример.
Вам не повезет.
23.04.202514:30
В прошедший понедельник Павел Дуров заявил о том, что уйдет с рынка если его обяжут «давать полиции доступ к перепискам». Эдакий «закос» под главу Lavabit, который в свое время закрыл свою компанию из-за нежелания выдавать емейлы Эдварда Сноудена.
На самом деле, все гораздо проще.
Telegram имеет доступ ко всем сообщениям в обычных чатах, что делает «полицейские» бэкдоры просто ненужными, можно напрямую попросить. Решение данной проблемы уже существует — можно поступить как Signal, и начать использовать сквозное (E2EE) шифрование везде.
Таким образом, даже если полиция будет настойчиво просить, Павел с чистой душой сможет выдать только метаданные. И тому есть многочисленные подтверждения в судебной практике Signal.
На самом деле, все гораздо проще.
Telegram имеет доступ ко всем сообщениям в обычных чатах, что делает «полицейские» бэкдоры просто ненужными, можно напрямую попросить. Решение данной проблемы уже существует — можно поступить как Signal, и начать использовать сквозное (E2EE) шифрование везде.
Таким образом, даже если полиция будет настойчиво просить, Павел с чистой душой сможет выдать только метаданные. И тому есть многочисленные подтверждения в судебной практике Signal.
17.04.202519:40
Меня иногда изумляет поведение крупных медиа, и, в особо запущенных случаях, пресс-отдела МВД. А именно, про «фантомный» вирус в WhatsApp все кричат, но когда появляется огромная дырка в популярной ОС — гробовая тишина.
Что за «дырка»? Речь идет о iOS 18.4, где было обнаружено сразу несколько дырок, которые, по мнению Apple и Google, используются аж государствами. Конкретно:
— CoreAudio
Часть системы, которая отвечает за звук. По словам Apple, если воспроизвести вредоносный файл, этот самый файл может начать выполнять неподписанный код.
Если совсем просто, вам присылают условный тикток, вы его открываете, и все. Заражение произошло.
— RPAC
Pointer Authentication, один из критических механизмов защиты памяти. Если, допустим, атакующий выполнил код используя «дырку» в CoreAudio, он может спокойно смотреть во все остальные процессы.
Стоит отметить, что ввиду особой запущенности этой уязвимости, затронутый код просто вырезали.
Если совсем просто, «тикток» который вам прислали может читать память приложения банка.
Обновление, исправляющее ситуацию, уже вышло, и называется 18.4.1.
Что за «дырка»? Речь идет о iOS 18.4, где было обнаружено сразу несколько дырок, которые, по мнению Apple и Google, используются аж государствами. Конкретно:
— CoreAudio
Часть системы, которая отвечает за звук. По словам Apple, если воспроизвести вредоносный файл, этот самый файл может начать выполнять неподписанный код.
Если совсем просто, вам присылают условный тикток, вы его открываете, и все. Заражение произошло.
— RPAC
Pointer Authentication, один из критических механизмов защиты памяти. Если, допустим, атакующий выполнил код используя «дырку» в CoreAudio, он может спокойно смотреть во все остальные процессы.
Стоит отметить, что ввиду особой запущенности этой уязвимости, затронутый код просто вырезали.
Если совсем просто, «тикток» который вам прислали может читать память приложения банка.
Обновление, исправляющее ситуацию, уже вышло, и называется 18.4.1.
11.04.202510:33
РКН «настоятельно рекомендует» россиянам перестать пользоваться VPN и иностранными ресурсами уже много лет, вот только россияне оставляют «советы» надзорного органа на свое усмотрение.
Речь идет об организациях — т. е. юридических лицах, о них и пишет Интерфакс. Это является частью отголоска отечественной «паранойи» насчет зарубежных протоколов — мол, если условный AES зарубежный, то мы будем пользоваться нашим ГОСТом, не смотря на то, что первый был в три раза лучше обследован.
Если все организации перейдут на «отечественные» решения, все протоколы VPN можно будет с чистой душой блокировать. Пока что, потенциал «воя на болоте» не дает РКН принимать совсем радикальные меры.
Речь идет об организациях — т. е. юридических лицах, о них и пишет Интерфакс. Это является частью отголоска отечественной «паранойи» насчет зарубежных протоколов — мол, если условный AES зарубежный, то мы будем пользоваться нашим ГОСТом, не смотря на то, что первый был в три раза лучше обследован.
Если все организации перейдут на «отечественные» решения, все протоколы VPN можно будет с чистой душой блокировать. Пока что, потенциал «воя на болоте» не дает РКН принимать совсем радикальные меры.
06.05.202506:02
Насчет вмешательства в работу сотовой связи в период майских праздников
Разумеется, оное происходит в целях «безопасности», хотя надо понимать, что мы подразумеваем под «безопасностью». Дроны не работают на сотовых частотах ввиду перенаселенности и помех. Есть народная молва, что особо продвинутые модели имеют встроенный искусственный интеллект, т. е. на «подавление» им наплевать.
Стоит отметить, что никто из чиновников так и не сказал, о какой «безопасности» идет речь — я предполагаю, что они опасаются публичных акций. Отсюда и нужда «обезопасится» таким неэффективным методом.
Вам не повезет.
Разумеется, оное происходит в целях «безопасности», хотя надо понимать, что мы подразумеваем под «безопасностью». Дроны не работают на сотовых частотах ввиду перенаселенности и помех. Есть народная молва, что особо продвинутые модели имеют встроенный искусственный интеллект, т. е. на «подавление» им наплевать.
Стоит отметить, что никто из чиновников так и не сказал, о какой «безопасности» идет речь — я предполагаю, что они опасаются публичных акций. Отсюда и нужда «обезопасится» таким неэффективным методом.
Вам не повезет.
30.04.202511:34
На Северном Кавказе уже две недели не работают игровые сайты.
Нельзя сказать, что это новость — РКН обожает «обкатывать» блокировки на отдаленных регионах, что и произошло с Telegram в Дагестане, например.
Что можно сказать с уверенностью, так это то, что подобные «блокировки» являются маркером намерений РКН. В данном случае, можно с уверенностью сказать, что намереваются они заблокировать Cloudflare/Amazon Web Services как минимум. Об этом также свидетельствуют недавние «проверки зависимостей», о которых я писал тут и тут.
Вам не повезет.
Нельзя сказать, что это новость — РКН обожает «обкатывать» блокировки на отдаленных регионах, что и произошло с Telegram в Дагестане, например.
Что можно сказать с уверенностью, так это то, что подобные «блокировки» являются маркером намерений РКН. В данном случае, можно с уверенностью сказать, что намереваются они заблокировать Cloudflare/Amazon Web Services как минимум. Об этом также свидетельствуют недавние «проверки зависимостей», о которых я писал тут и тут.
Вам не повезет.
25.04.202508:33
Вице-спикер ГД Владислав Даванков направил главе МВД просьбу проверить небезызвестную «Лигу Безопасного Интернета», и выяснить куда Мизулина младшая потратила 200 миллионов рублей из бюджета. Скажу честно — я был удивлен, что вотчине Кати нужны такие средства.
Что такое «Лига Безопасного Интернета»? На бумаге — организация, защищающая детей от «деструктивного контента». На деле — переросшая пресс-служба РКН, созданная для того, чтобы найти «пристанище» для дочери Мизулиной старшей.
Все функции «Лиги» выполняют разные подразделения РКН, вроде ГРЧЦ — кроме, разумеется, «просвещения молодежи». Вся их деятельность по борьбе с «деструктивным» контентом заключается в отправке обращений в РКН, самостоятельно удалять что-то они не могут. Эдакое сборище «активистов», только на государственном обеспечении.
К слову о государственном обеспечении — в 2022 году расходы на «Лигу» можно было объяснить вызовом на «ковер» разных блогеров — мол, химчистка ковров стоит дорого. Вот только «вызовы» давно закончились, и куда пропадают 200 миллионов — хороший вопрос.
Г-ин Даванков безусловно на верном пути, но, к сожалению, дело скорее всего замнут по «просьбе» Елены Мизулиной, ибо негоже родных в беде бросать.
Вам не повезет.
Что такое «Лига Безопасного Интернета»? На бумаге — организация, защищающая детей от «деструктивного контента». На деле — переросшая пресс-служба РКН, созданная для того, чтобы найти «пристанище» для дочери Мизулиной старшей.
Все функции «Лиги» выполняют разные подразделения РКН, вроде ГРЧЦ — кроме, разумеется, «просвещения молодежи». Вся их деятельность по борьбе с «деструктивным» контентом заключается в отправке обращений в РКН, самостоятельно удалять что-то они не могут. Эдакое сборище «активистов», только на государственном обеспечении.
К слову о государственном обеспечении — в 2022 году расходы на «Лигу» можно было объяснить вызовом на «ковер» разных блогеров — мол, химчистка ковров стоит дорого. Вот только «вызовы» давно закончились, и куда пропадают 200 миллионов — хороший вопрос.
Г-ин Даванков безусловно на верном пути, но, к сожалению, дело скорее всего замнут по «просьбе» Елены Мизулиной, ибо негоже родных в беде бросать.
Вам не повезет.
23.04.202506:10
Вчера «Код Дурова» выпустил статью, где назвал «модерацию» Telegram причиной уменьшения количества утечек информации в РФ. Как оное связанно с модерацией в Telegram - не ясно, но им виднее.
Подробнее:
I. Ведется надзор
Telegram — небезопасный инструмент для передачи любой «конфиденциальной» информации, о чем людям с хоть каким-то доступом к «конфидециальной» информации известно. Начиная от привязки к номеру телефона, заканчивая сохранением всех метаданных(с какого устройства ты зашел, когда, с какого IP) и фактическим отсутствием шифрования в группах и каналах [оно есть, но между отправителем и Telegram, не получателем, — прим. ред.].
II. Сокрытие симптомов
Примем утверждение «Кода Дурова» за истину. Зачастую «утечки» попадают в Telegram из закрытых форумов в darknet-e, т. е. команда мессенджера занимается ни чем иным, как уборкой отходов. Утечек меньше не становится — только убирается факт их существования для обывателя.
Подробнее:
I. Ведется надзор
Telegram — небезопасный инструмент для передачи любой «конфиденциальной» информации, о чем людям с хоть каким-то доступом к «конфидециальной» информации известно. Начиная от привязки к номеру телефона, заканчивая сохранением всех метаданных(с какого устройства ты зашел, когда, с какого IP) и фактическим отсутствием шифрования в группах и каналах [оно есть, но между отправителем и Telegram, не получателем, — прим. ред.].
II. Сокрытие симптомов
Примем утверждение «Кода Дурова» за истину. Зачастую «утечки» попадают в Telegram из закрытых форумов в darknet-e, т. е. команда мессенджера занимается ни чем иным, как уборкой отходов. Утечек меньше не становится — только убирается факт их существования для обывателя.
16.04.202507:33
Будущее без паролей может быть «комфортным» только если у будущего один телефон, который нельзя потерять и/или сломать.
«Будущее» про которое говорит Яндекс, это ассиметричная криптография — т. е. приватные/публичные ключи. Из этого вытекает несколько проблем:
— Ключ сохранен на одном устройстве, если не учитывать облачные сервисы(даже обычные пароли в облаке хранить затея сомнительная), что позволяет потерять доступ к аккаунту просто сломав/потеряв это устройство.
— Непонятно как передавать это «будущее» между платформами. Допустим, у условного Петра ключ сохранен на телефоне, дома пользуется он Windows, а рабочий компьютер у него вообще на базе Astra Linux. И как этот ключ передавать? То-то же.
— Если скомпрометировать одно устройство, на котором этот ключ сохранен, атакующий получает полный доступ к учетной записи на неограниченный срок, при условии отсутствия второго фактора. Очень «комфортно», не так ли?
Для пущего комфорта можно запустить вход по биометрии, которую, по уверениям властей, (не)возможно сломать
«Будущее» про которое говорит Яндекс, это ассиметричная криптография — т. е. приватные/публичные ключи. Из этого вытекает несколько проблем:
— Ключ сохранен на одном устройстве, если не учитывать облачные сервисы(даже обычные пароли в облаке хранить затея сомнительная), что позволяет потерять доступ к аккаунту просто сломав/потеряв это устройство.
— Непонятно как передавать это «будущее» между платформами. Допустим, у условного Петра ключ сохранен на телефоне, дома пользуется он Windows, а рабочий компьютер у него вообще на базе Astra Linux. И как этот ключ передавать? То-то же.
— Если скомпрометировать одно устройство, на котором этот ключ сохранен, атакующий получает полный доступ к учетной записи на неограниченный срок, при условии отсутствия второго фактора. Очень «комфортно», не так ли?
Для пущего комфорта можно запустить вход по биометрии, которую, по уверениям властей, (не)возможно сломать
10.04.202508:50
«Первый Отдел»*, действительно прав в вопросе того, что сам Telegram не вводил верификации от РКН официально. Но и говорить о полной непричастности нельзя.
Во-первых, такие «маркировки» может выдавать очень ограниченный круг организаций — и РКН стал одной из них. Также, Telegram поставил «галочку» боту РКН — не галочку «третей стороны», а официальную верификацию. Это является, как минимум, содействием.
Во-вторых, касаясь общей «независимости» Telegram, ее нельзя оценивать по изолированным событиям.
Сами «маркировки» были анонсированы после того, как РКН выпустил пресс-релиз о намерении «маркировать» каналы. Не многим ранее, в октябре, Telegram согласился выдавать данные пользователей по «обоснованным запросам от судов», что является слишком широкой формулировкой для «приватного» мессенджера.
Подводя итог, я хочу еще раз согласиться с «Первым Отделом»*, и заявить о том, что использовать Telegram для чувствительных переписок — сомнительная затея.
* — «Первый Отдел» считается «иностранным агентом» по решению минюста РФ
Во-первых, такие «маркировки» может выдавать очень ограниченный круг организаций — и РКН стал одной из них. Также, Telegram поставил «галочку» боту РКН — не галочку «третей стороны», а официальную верификацию. Это является, как минимум, содействием.
Во-вторых, касаясь общей «независимости» Telegram, ее нельзя оценивать по изолированным событиям.
Сами «маркировки» были анонсированы после того, как РКН выпустил пресс-релиз о намерении «маркировать» каналы. Не многим ранее, в октябре, Telegram согласился выдавать данные пользователей по «обоснованным запросам от судов», что является слишком широкой формулировкой для «приватного» мессенджера.
Подводя итог, я хочу еще раз согласиться с «Первым Отделом»*, и заявить о том, что использовать Telegram для чувствительных переписок — сомнительная затея.
* — «Первый Отдел» считается «иностранным агентом» по решению минюста РФ
Көрсетілген 1 - 24 арасынан 92
Көбірек мүмкіндіктерді ашу үшін кіріңіз.