Если опасаетесь что ваши сообщения сохраняются или анализируются, можете использовать картинки с высоким разрешением на которых будет текст.

С них будет в разы сложнее доставать информацию. А еще дорого будет хранить все это долго после удаления. Можно еще добавлять сторонний текст чтобы ломать системы распознавания текста.

Один из популярных запрещенных в Telegram ботов таким образом обходит блокировки.

Хочу сделать форк Signal или molly.im с опцией отключения подключения к CDN Signal (и вообще ко всем сторонним серверам), и с опцией Forced Sealed Sender.

Было бы еще классно отключить прием сообщений без Sealed Sender (чтобы не раскрывать связь людей с вами), но скорее всего это никак не сделать без изменений серверной части.

По крайней мере, можно сделать их визуальную маркировку, чтобы понимать кто вас "подставляет".

Хочу подробнее раскрыть тему с электронной почтой

Существует множество провайдеров якобы безопасной почты, таких как ProtonMail, Tutanota.

Все это маркетинг. Сам протокол электронной почты изначально очень старый и небезопасный. Вы доверяете вашему почтовому провайдеру все свои письма и логи активности. Если письмо незашифровано (а никто кроме пользователей это не делает, т.е. регистрируетесь на сайте - письмо в plaintext), то у почтового провайдера есть полный доступ к нему как минимум на момент получения, к метаданным.

Ни для кого не секрет что большинство провайдеров отдают логи активности, это можно понять по историям со сваттингами. У почтового провайдера cock.li есть transparency report - https://cock.li/transparency/, в целом ознакомьтесь с историей этого почтового сервиса, там очень много задокументированных примеров давления спецслужб.

Это было попыткой создать анонимную почту, на какое-то время регистрации в этом сервисе были отключены из-за давления. Открытых регистраций нет и у riseup.net, другого популярного провайдера из-за проблем со спамом и другими злоупотреблениями.

ProtonMail имеет Tor домен, но при регистрации требует подтверждения через другую почту, что не очень похоже на анонимность.

Хочу также привести интересную цитату:

Proton Technologies, which is headquartered in Geneva and says it is the world's largest secure email provider, said the sent time confirmed it came after the Ryanair passenger plane was diverted to Belarus.

А еще я хотел вам показать сервис который нашел - https://auth-email.com
Он позволяет авторизовываться по OAuth протоколу не раскрывая свои логин и пароль даже для почт у которых такого протокола нету (получается доверие почты для этого сервиса). Сейчас поддержка этого протокола безопасности есть у нескольких крупных провайдеров таких как Google, Yandex, Yahoo, Outlook. Разумеется все из них предоставляют ваш почтовый ящик в полных деталях.

Плюсы использования auth-email просты. Предположим, вы хотите проверить свою riseup почту, в таком случае вам нужно ввести логин с паролем. Предположим, вы введете их в недоверенной среде, они будут залогированы и т. д. Тогда с их помощью можно удалить вашу учетную запись, сменить пароль, и так далее. OAuth можно отозвать.

Интернет повсюду

С каждым днем все сложнее и сложнее получить интернет без паспорта. Есть места где сделать это крайне сложно.

Публичные wifi могут требовать номер телефона для авторизации. Они запоминают вас по mac адресу. Вы можете получить mac адреса связанных с точкой доступа, а также можете модифицировать свой.

Множество роутеров уязвимо к pixie dust атаке (WPS), она занимает несколько секунд.

Если вы находитесь на улице без интернета, время за которое вы получите доступ к нему может иметь большое значение.

В публичных местах также люди любят включать мобильные точки доступа, пароли на них в основном простые, чтобы было удобно вводить. Минус - ограниченное время.

Если у вас есть построенная инфраструктура, вам может быть не нужно отправлять большой объем трафика. Лишь получать обновления и вносить изменения.

В эпоху нейросетей довольно легко построить свой маршрут доставки данных. ЦРУ использовало сайт фанатов star wars.

Есть множество незащищенных хостингов с доменами, к которым обращается существенное число юзеров. Представьте, что было бы, если бы на них были развернуты какие-нибудь vless xtls-reality. Как промежуточный узел цепочки - очень неплохо, хостинги зачастую имеют доступ к зарубежным адресам.

Помните о honeypot's.

Очередная 0-click "уязвимость" задевающая пользователей Telegram устройств Apple.

Нельзя изменить провайдера карт. В Android и Telegram Desktop идет получение превью карты через сервера Telegam, однако в Apple-клиентах (iOS, macOS native) нативное отображение карт, что отправляет дополнительные запросы к Apple.

Это не требует подтверждений, работает во всех чатах, отключение автозагрузки не помогает, идет в обход всех прокси. В общем, способа избежать этого нету.

При сотрудничестве Apple по запросам карт (кто загружал место в какое время и т. п.) - возможны эффективные таргетированные атаки.

https://support.signal.org/hc/en-us/articles/360007320791-How-can-I-report-a-security-vulnerability

"Signal does not have a bounty program"

🫡

Неплохой сервис для использования ИИ - https://ppq.ai/

Поддерживает оплату в Monero, lighting, bitcoin, litecoin
Много моделей, текстовых, для изображений, для видео.

Есть как API, так и веб-интерфейс.
Можно пользоваться без создания аккаунта (но нужно сохранять credit id чтобы не потерять баланс)

Нашел на https://kycnot.me, в целом советую ознакомиться с содержимым этого сайта, много полезного

Продолжение истории

На днях разоблачили топ-1 игрока по Minecraft PVP, Marlow.

Посмотрите ролик, очень интересно!

https://youtu.be/UP0DYAOPqwA

Можно смотреть другие разоблачения, поскольку читеры не станут вести публичную деятельность если не уверены что их не поймают. Но их ловят и делают это весьма неочевидными способами.

К сожалению кейсов по поиску преступников / интернет-преступников в интернете нету, вся эта деятельность непублична. По сути поиск читеров это единственная альтернатива, в которой все методы должны быть наглядно продемонстрированы в качестве доказательств.

Разница Tor VPN и Orbot.

Orbot разработан Guardian project - https://guardianproject.info/
Tor VPN - командой torproject.

Tor VPN использует arti, в отличие от Orbot который использует C-Tor. Arti разрабатывается на Rust и должен быть безопаснее. Подробнее на странице arti.

Ссылка на Arti:
https://arti.torproject.org/

Ссылка на Tor VPN:
https://play.google.com/store/apps/details?id=org.torproject.vpn

Кстати, вот Treat Model Tor VPN, почитайте - https://support.torproject.org/tor-vpn/security/threat-model/

Интересно, какие крупные каналы призовут не использовать Telega?

Шпионский клиент одобренный самим Telegram судя по всему как компромисс в блокировках.

- Подменяет датацентры и проксирует все запросы к ним
- Ломает секретные чаты
- Имеет возможность отключить секретные чаты удаленно
- Сливает номер аккаунта
- Подписывает пользователя автоматически на канал (полностью сливает профиль)
- Сливает auth_key_id (видимо чтобы банить не клиентов в дальнейшем)
- Имеет опцию бана каналов, чатов независимо от Телеграм
- При включенной проверке "черного списка" все id открываемых чатов уходят на сервера что позволит построить граф кто с кем общается, на что подписан и т. п.

Почему одобрен Telegram?
Галка в оф. канале, реклама в самом Telegram через их плафторму, отсутствие попыток противодействия несмотря на нарушение ToS Telegram.

В канале Telega кстати уже 2 миллиона подписчиков.

Большое спасибо:
https://t.me/bruhcollective
Читайте оригинальный разбор Telega там.

Проблема с Telegram Web A

Даже при установке пароля аватарки пользователей хранятся в открытом виде.

Application - Cache storage - tt-media-avatars.

Для удобства есть id пользователя прямо в имени файла - например /a/avatar777000? , в данном случае id - 777000

Поэтому даже из заблокированного Telegram Web A с установленным паролем можно собрать круг лиц, то есть список людей чьи профили попались (кстати еще и с временем кеширования, что может быть полезно, поскольку вначале подгружается список чатов и аватарки оттуда).

Легко идти от обратного, выстраивая логичную цепочку

Например, если у вас есть пользователь А, в разы проще выстроить логичное объяснение как вы вообще его нашли, потому что можете цепляться за самые мелкие детали связанные конкретно с ним и анализировать их.

Как пример, вы можете сравнить его время активности, при этом вы бы в жизни не нашли этого человека таким образом.

Но как выходят на пользователя А? Никто не говорит. Это может быть плотное сотрудничество между приятелями, даже в разных, быть может, враждующих странах.

Павел Дуров однажды упомянул как к нему срочно обращались за помощью при терактах. Интересно, что он делал? Отслеживал тех кто написал конкретное сообщение? Просто я сомневаюсь что он экстренно предоставил ip и номер телефона.

Сегодня вы используете якобы nolog сервис, а завтра оказывается что у админа лучший друг (или друг друга) просит логи (ведь они нигде фигурировать не будут), и уже найдя вас, ваши ip адреса, могут найти более простую цепочку объясняющую как вас нашли.

Чтобы определить источник утечки придется проводить глубокий анализ. Но кто его будет проводить, если виновные наказаны и ни в каких материалах источник не фигурирует...

Важно! Я не утверждаю что так работают спецслужбы, лишь предполагаю.

Кстати, чуть больше про confer:

Он ищет в интернете без предпреждения. А возможности отключить это нет.

Помню я даже просил его не искать в промпте, но он все равно искал)

Риски:

Опасные запросы исходящие от прокси confer мониторятся, а далее находится список тех кто обращался к confer в это время =)

Написал небольшую статью про возможности Apple Configurator
Я максимально советую каждому владельцу iPhone попробовать настроить его таким образом

https://onion.as/530

iPhone, Google Pixel это не устройства для "анонимности"

Как может быть анонимным устройство Google Pixel? Вы уже оставляете серьезный отпечаток, в странах СНГ данное устройство очень редкое.

Я показывал что GrapheneOS также через интернет шлет специфичные запросы, что напрочь лишает его анонимности.
Наверное можно настроить правильно, но лучше все-таки нет.

С iPhone подавно - к каждому устройству нужно Apple ID привязывать, каждое устройство отслеживает по BLE через распределенную сеть Локатор.

Если вы будете использовать Tor браузер с таких устройств, вы существенно сузите круг в котором вы находитесь.

Представьте, ваш Onion браузер незаметно обновляется на iPhone что оставляет браузерный отпечаток, вы заходите на подконтрольный форум который замечает это. И все, осталось спросить у Apple с каких устройств было запрошено обновление приложения в промежуток.

Эти устройства обеспечивают конфиденциальность, как ее обеспечивает Signal (а анонимность - нет, раскрытие ip через CDN, регистрация по номеру).

Но вот зачем может быть нужен iPhone - вы можете с него использовать Telegram, и если вы доверяете этой платформе, Apple ничего не может поделать. Все что они смогут узнать, вероятно, дата установки приложения Telegram и метаданные связанные с этим. Миллионы людей на iPhone используют Telegram, вы легко затеряетесь среди них.

В первую очередь я советую эти устройства потому что их проблематично атаковать и с них проблематично извлечь данные эксплоитами (по крайней мере Google Pixel с GrapheneOS).

Если уж и использовать iPhone для анонимности, я советую не ставить туда что попало, а разработать систему взаимодействия через привычные приложения не вызывающие подозрения у Apple, чтобы через них совершать какие-то действия со своей инфраструктурой.

Проблема с Apple в том что они вероятно могут дополнительно отслеживать подозрительные устройства где мало приложений, и другие характерные признаки (например какие устройства в supervised режиме).

Статья была написана для повышения конфиденциальности и общей безопасности на iPhone.

Кстати, будьте осторожны с моими советами.

Все ошибаются, и я в том числе. Я не уверен на 100% что отключив запросы GrapheneOS к серверам в меню настроек, это не оставит характерный отпечаток.

Зато уверен что если ваше устройство настроено таким образом, то это сильно сужает круг.

Один дополнительный запрос про который я не знал - и читатели канала или репостнувших его раскрыли себя.

Человек годами использовал GrapheneOS и тут перестали идти его отпечатки GrapheneOS - и он попал под подозрение.

Так что я больше информирую о рисках и возможностях.

Не секрет, что убийцу наверняка можно найти среди тех кто ищет "как спрятать труп".

В общем, читая этот канал вы уже нарушили свою анонимность, он слишком непопулярный.

Автозагрузка в Telegram в iOS клиенте отключается, но только не для рекламы.
Там нужно и гифку 8 мегабайт загрузить автоматически.

Проблема с Telega гораздо глубже.

Telega уже делает mitm с rootcert-ом и подменяет датацентры.

Вполне вероятно что сессионные ключи тоже подменяют (или будут подменять) что дает доступ ко всем событиям (подписки на каналы, сообщения, доступ ко всему этому возможен).

Зачем нужен флаг is_pfs_enabled...

Чтобы автоматически подменять ключи секретных чатов пользователям Telega, и перехватывать данные незаметно для пользователя, ломая весь смысл секретных чатов. Подменять их получится при подмене сессионных ключей и соответственно доступе ко всему вашему трафику к Telegram.

Доверяя этому мессенджеру вы доверяете им полный доступ к аккаунту Telegram (не могу точно сказать что прямо сейчас сессионные ключи подменяются).

В канале у себя кстати они заявляют, мол, ваша переписка защищена шифрованием Telegram, вводя подписчиков в заблуждение (они ломают это шифрование). Хотя, кстати, для них действительно защищена.

В общем, небезопасно писать людям у которых установлен этот клиент.

Если раньше неосторожный пользователь писал от своего имени комментарии, оставлял публичные реакции под сообщениями, писал в боты-ловушки, то теперь вообще все его действия в Telegram будут видны государству если он будет использовать клиент Telega.

Не знаю как еще убедить читателей убедить остальных не использовать это(

Как просто искать интересный контент:

- собираете большой датасет каналов / сайтов / прочего

- спустя время повторяете

- смотрите разницу что было заблокировано и выясняете почему

Надоело ждать пока соберусь с силами доделать проект по записи звонков, так что держите этот архив. Внутри основной код который опирается на библиотеки и CMakeLists, это уже 90% работы.

Я с горем пополам собрал это на macOS.

Код записывает видео сегментами (telegram меняет качество) в формате y4m в файл и аудио в формате wav (раздельно).

Надеюсь разберетесь, потребуется еще собрать библиотеку tg_owt и библиотеку tg_calls (и может что-то еще).

К сожалению собирать какие-то CMake файлы для разных платформ я пока что не очень готов (и так очень долго провозился с этим на macos, пришлось какие-то фреймворки их добавлять в сборочные файлы).

Может быть дойдут руки до грамотного завершения этого, а пока что нейронки вам в помощь. Кстати, клонируйте сразу репозиторий tdesktop, чтобы разбираться как он собирает и использует библиотеки для звонков если что-то не будет работать, я все делал на его основе.