Цифровой суверенитет по-русски
Сейчас «цифровой суверенитет» у нас понимается как создание собственных сервисов, мессенджеров, и даже «операционных систем» с последующим их продвижением через административный ресурс. Без существенных ограничений на западные компоненты.
Не нужно быть в «теме», чтобы понять, что большинство таких проектов не улучшают «суверенитет», а являются обычной профанацией.
Представим сценарий, в котором всё вышеперечисленное действительно работает «как часы» и имеет популярность. Даже тогда «суверенитет», максимум, носит характер «показухи», ведь используются иностранные инструменты, библиотеки, и даже «ядра» операционных систем.
Проблема в том, что используя такой «фундамент», любое, даже самое «суверенное» ПО становится заложником решений и «чистоплотности» его разработчиков. Это непотребно высокий уровень доверия для элементов, которые в целом тяжело понять.
Прекрасный тому пример — бесконечное число «отечественных» дистрибутивов GNU/Linux, основными разработчиками которого являются, сюрприз, мегакорпорации из США.
Кроме этого, в файлах Эпштейна нашли неплохую «зацепку», которая указывает на то, что главные разработчики ядра Linux и сам Торвальдс могут быть «на зарплате» уже с десяток лет.
Это частично подтверждает то, что ядро Linux не разрабатывается как серьёзный продукт. Оно не имеет какой-либо внутренней изоляции, что вкупе с распространённым использованием небезопасного C превращает любую, даже самую «малую» ошибку логики в «открытую дверь» для полного доступа над системой.
Прямое доказательство этому — уязвимость CopyFail, которая позволяла получить полный контроль над системой из пользовательского аккаунта благодаря «оптимизации» компонентов из 2017 года.
Сейчас самым разумным вариантом будет создание именно безопасной отечественной операционной системы. Про процессоры и криптографические чипы (Secure Element) мечтать не приходится.
Такую ОС стоит делать по образу и примеру Redox OS, которая использует микроядро (т. е. имеет внутреннюю изоляцию), написанное на безопасном языке Rust, а также большинство системы на нем же.
Это сильно снизит количество возможных уязвимостей, связанных с искажением памяти, самых распространённых на данный момент.
Переход на такие системы способен существенно усилить национальную безопасность в кратчайшие сроки. В том числе и потому, что осуществлять взлом критической инфраструктуры станет ощутимо сложнее.
Всегда стоит помнить, что информационная безопасность, даже на национальном уровне — командный «спорт». Интернет-ресурс «Может, вам повезёт?» как раз и был создан для популяризации «сложных» аспектов этой «дисциплины».
kremlinkernel.com
Сейчас «цифровой суверенитет» у нас понимается как создание собственных сервисов, мессенджеров, и даже «операционных систем» с последующим их продвижением через административный ресурс. Без существенных ограничений на западные компоненты.
Не нужно быть в «теме», чтобы понять, что большинство таких проектов не улучшают «суверенитет», а являются обычной профанацией.
Представим сценарий, в котором всё вышеперечисленное действительно работает «как часы» и имеет популярность. Даже тогда «суверенитет», максимум, носит характер «показухи», ведь используются иностранные инструменты, библиотеки, и даже «ядра» операционных систем.
Проблема в том, что используя такой «фундамент», любое, даже самое «суверенное» ПО становится заложником решений и «чистоплотности» его разработчиков. Это непотребно высокий уровень доверия для элементов, которые в целом тяжело понять.
Прекрасный тому пример — бесконечное число «отечественных» дистрибутивов GNU/Linux, основными разработчиками которого являются, сюрприз, мегакорпорации из США.
Кроме этого, в файлах Эпштейна нашли неплохую «зацепку», которая указывает на то, что главные разработчики ядра Linux и сам Торвальдс могут быть «на зарплате» уже с десяток лет.
Это частично подтверждает то, что ядро Linux не разрабатывается как серьёзный продукт. Оно не имеет какой-либо внутренней изоляции, что вкупе с распространённым использованием небезопасного C превращает любую, даже самую «малую» ошибку логики в «открытую дверь» для полного доступа над системой.
Прямое доказательство этому — уязвимость CopyFail, которая позволяла получить полный контроль над системой из пользовательского аккаунта благодаря «оптимизации» компонентов из 2017 года.
Сейчас самым разумным вариантом будет создание именно безопасной отечественной операционной системы. Про процессоры и криптографические чипы (Secure Element) мечтать не приходится.
Такую ОС стоит делать по образу и примеру Redox OS, которая использует микроядро (т. е. имеет внутреннюю изоляцию), написанное на безопасном языке Rust, а также большинство системы на нем же.
Это сильно снизит количество возможных уязвимостей, связанных с искажением памяти, самых распространённых на данный момент.
Переход на такие системы способен существенно усилить национальную безопасность в кратчайшие сроки. В том числе и потому, что осуществлять взлом критической инфраструктуры станет ощутимо сложнее.
Всегда стоит помнить, что информационная безопасность, даже на национальном уровне — командный «спорт». Интернет-ресурс «Может, вам повезёт?» как раз и был создан для популяризации «сложных» аспектов этой «дисциплины».
kremlinkernel.com
👍18🔥7❤1
Цифровой суверенитет по-русски. Часть вторая
Кроме аспектов безопасности самой ОС, всегда необходимо учитывать аппаратную безопасность систем, подходящих под определение «критическая инфраструктура».
Как ни странно, усиление аппаратной безопасности может привести к повышению программной в том числе. Это реализуется через сокращение срока жизни несанкционированного доступа в систему путём проверки её образа (Verified Boot), а также недопущение получения чувствительных данных через «обходные пути» вроде TEMPEST.
Если в вопросе аппаратной безопасности классических компьютеров ещё можно «идти на компромиссы», то в мобильных устройствах это недопустимо, и станет ощутимой преградой их создания.
Как пример, текущие планшеты «Аврора», которые позиционируются как «импортозамещенный продукт», несмотря на использование западного ядра Linux и прочих компонентов не имеют криптографического чипа.
Это значит, что данные из устройства возможно «выкачать» простым перебором паролей. Кроме этого, это делает невозможным какую-либо аттестацию (проверку подлинности) такого планшета.
Кроме замены всей ОС Аврора как таковой (о чем было написано ранее), до состояния какой-либо приемлемой «безопасности» такому планшета не хватает криптографического чипа. В данном случае, российского производства.
Такой чип должен быть разработан государством и являться требованием при обработке секретных данных.
Из самых основных требований при разработке такого чипа должна быть устойчивость к атакам Fault Injection, поддержка отечественных алгоритмов шифрования, а также отечественного же способа аттестации устройств.
Как реализовать аттестацию? Предполагается, что чипу (в данном случае — условной «Бруснике-М») доверяет как конечный пользователь, так и государство. В «Бруснике-М» должен быть зашит сертификат, который может быть использован для подтверждения подлинности получаемой информации.
Так как подразумевается, что приватные ключи сертификата «Брусники-М» не могут быть получены из-за аппаратной защиты, государство может автоматизировать проверку всех своих устройств с криптографически гарантированной подлинностью результата.
Такие отчёты можно отсылать на централизованный сервер в формате информации о системе с подписью «Брусники-М». Это уже реализовано, например, в телефонах Google Pixel, где можно использовать криптографический чип Titan для подтверждения подлинности системы.
При выявлении аномалий устройство можно будет легко изолировать, а затем провести «разбор полётов» и отследить, на каком моменте все пошло «не так».
Про Verified Boot и хранение ключей в таком чипе необходимо говорить отдельно, в том числе из-за «обширности» темы.
kremlinkernel.com
Кроме аспектов безопасности самой ОС, всегда необходимо учитывать аппаратную безопасность систем, подходящих под определение «критическая инфраструктура».
Как ни странно, усиление аппаратной безопасности может привести к повышению программной в том числе. Это реализуется через сокращение срока жизни несанкционированного доступа в систему путём проверки её образа (Verified Boot), а также недопущение получения чувствительных данных через «обходные пути» вроде TEMPEST.
Если в вопросе аппаратной безопасности классических компьютеров ещё можно «идти на компромиссы», то в мобильных устройствах это недопустимо, и станет ощутимой преградой их создания.
Как пример, текущие планшеты «Аврора», которые позиционируются как «импортозамещенный продукт», несмотря на использование западного ядра Linux и прочих компонентов не имеют криптографического чипа.
Это значит, что данные из устройства возможно «выкачать» простым перебором паролей. Кроме этого, это делает невозможным какую-либо аттестацию (проверку подлинности) такого планшета.
Кроме замены всей ОС Аврора как таковой (о чем было написано ранее), до состояния какой-либо приемлемой «безопасности» такому планшета не хватает криптографического чипа. В данном случае, российского производства.
Такой чип должен быть разработан государством и являться требованием при обработке секретных данных.
Из самых основных требований при разработке такого чипа должна быть устойчивость к атакам Fault Injection, поддержка отечественных алгоритмов шифрования, а также отечественного же способа аттестации устройств.
Как реализовать аттестацию? Предполагается, что чипу (в данном случае — условной «Бруснике-М») доверяет как конечный пользователь, так и государство. В «Бруснике-М» должен быть зашит сертификат, который может быть использован для подтверждения подлинности получаемой информации.
Так как подразумевается, что приватные ключи сертификата «Брусники-М» не могут быть получены из-за аппаратной защиты, государство может автоматизировать проверку всех своих устройств с криптографически гарантированной подлинностью результата.
Такие отчёты можно отсылать на централизованный сервер в формате информации о системе с подписью «Брусники-М». Это уже реализовано, например, в телефонах Google Pixel, где можно использовать криптографический чип Titan для подтверждения подлинности системы.
При выявлении аномалий устройство можно будет легко изолировать, а затем провести «разбор полётов» и отследить, на каком моменте все пошло «не так».
Про Verified Boot и хранение ключей в таком чипе необходимо говорить отдельно, в том числе из-за «обширности» темы.
kremlinkernel.com
👍7🔥5
Дайджест «О том, что было, будет, или есть» за май 2026
В дайджесте за предыдущий месяц «Может, вам повезёт?» позволил себе заметить, что структурных изменений толком не было. В этом месяце обозримая «мелодичная» тишина распространилась и на «воздушное» измерение.
О том, что было:
Тарификация иностранного трафика провалилась. «Может, вам повезёт?» между «делом» предсказал это ещё второго апреля, когда весь «сыр-бор» только обретал свою форму.
«Министерство цифровых диверсий» перенесло реализацию этой меры на осень. «Может, вам повезёт?» полностью уверен в том, что этот «лихорадочный сон» имени г-ина Шадаева будет успешно забыт как раз к обозначенному сроку.
Впрочем, для Минцифры это далеко не первый провал — их «белые списки» не ввели в период праздничных мероприятий девятого мая. Как и было сказано ранее, возможно до «силовиков» тоже дошёл «секрет полишенеля» о том, что каждый уважающий себя VPN любые «списки» запросто обходит. Не говоря уже про иностранные «симки».
Тем временем в мире происходит «война с анонимностью». Несмотря на обозримое «чудо» синхронизации бюрократий многих стран запада, «война» идёт крайне посредственно, в том числе и потому, что глобалисты — те же бюрократы, только в «профиль».
О том, что есть:
«Может, вам повезёт?» принял решение не публиковать руководства по созданию альтернативных сетей.
Несмотря на техническую возможность их реализации, а также относительную лёгкость для «обывателя», ввод их в эксплуатацию будет контрпродуктивным до полного «отказа» других «мер обхода государственного беспредела».
О том, что будет:
Несколько источников «Может, вам повезёт?» утверждают, что может произойти эдакая «рокировка» со снятием всех ограничений в российском интернете. Предположительно, в ближайшее время.
«Может, вам повезёт?» внимательно наблюдает за «маркерами» развития этого сценария.
kremlinkernel.com
В дайджесте за предыдущий месяц «Может, вам повезёт?» позволил себе заметить, что структурных изменений толком не было. В этом месяце обозримая «мелодичная» тишина распространилась и на «воздушное» измерение.
О том, что было:
Тарификация иностранного трафика провалилась. «Может, вам повезёт?» между «делом» предсказал это ещё второго апреля, когда весь «сыр-бор» только обретал свою форму.
«Министерство цифровых диверсий» перенесло реализацию этой меры на осень. «Может, вам повезёт?» полностью уверен в том, что этот «лихорадочный сон» имени г-ина Шадаева будет успешно забыт как раз к обозначенному сроку.
Впрочем, для Минцифры это далеко не первый провал — их «белые списки» не ввели в период праздничных мероприятий девятого мая. Как и было сказано ранее, возможно до «силовиков» тоже дошёл «секрет полишенеля» о том, что каждый уважающий себя VPN любые «списки» запросто обходит. Не говоря уже про иностранные «симки».
Тем временем в мире происходит «война с анонимностью». Несмотря на обозримое «чудо» синхронизации бюрократий многих стран запада, «война» идёт крайне посредственно, в том числе и потому, что глобалисты — те же бюрократы, только в «профиль».
О том, что есть:
«Может, вам повезёт?» принял решение не публиковать руководства по созданию альтернативных сетей.
Несмотря на техническую возможность их реализации, а также относительную лёгкость для «обывателя», ввод их в эксплуатацию будет контрпродуктивным до полного «отказа» других «мер обхода государственного беспредела».
О том, что будет:
Несколько источников «Может, вам повезёт?» утверждают, что может произойти эдакая «рокировка» со снятием всех ограничений в российском интернете. Предположительно, в ближайшее время.
«Может, вам повезёт?» внимательно наблюдает за «маркерами» развития этого сценария.
kremlinkernel.com
🤔13❤3👍3🔥1
Почему важны обновления?
«Может, вам повезёт?» уже говорил о «командном» аспекте информационной безопасности. Между тем, «за сценой» зачастую остаётся один из других, менее известных «краеугольных камней» защиты информационных систем — системность при построении обороны.
Гиперфокус на одной области зачастую приводит к тому, что заходят через открытый «тыл».
Автор «Может, вам повезёт?» находится в процессе написания книги на эту тему. Она будет в деталях разбирать все аспекты информационной безопасности (аппаратная, программная, сетевая, операционная), а что самое главное — объяснять, как выстроить из этого «единое целое».
Частота обновлений вашей ОС носит критический характер. Во время развития ИИ, даже самые маленькие «дыры» (которые, к слову, публикуются на регулярной основе) могут составить вам большой «сюрприз».
Не секрет, что обученный искусственный интеллект может с фантастической скоростью как находить, так и закрывать уязвимости. Так как «оборона» на данный момент находится в положении «ленивца», этим пользуется «нападение».
Например, с помощью ИИ была найдена уязвимость CopyFail, которая не так давно позволяла любому пользователю получить полные административные права через ошибку логики в ядре GNU/Linux.
Стоит сделать отступление и сказать, что если ваш производитель не присылает вам обновления, это не значит, что их нет. Например, для Android каждый месяц публикуются бюллетени безопасности, в которых все найденные уязвимости «как на ладони».
Это не говоря про обновления прошивки, ведь драйвера зачастую находятся прямо в памяти вашего ядра. Особенно чревато это в GNU/Linux, где ошибка в одном модуле позволяет получить полный доступ к системе.
Необновлённый драйвер сотового модема/WiFi/Bluetooth может привести к тому, что любой человек рядом с вами может использовать ваше радио как «открытую дверь». Даже если сам чип изолирован через тот же IOMMU.
В случае с Android, это значит, что если у вас нет уровня безопасности 2026-06-01 (первый понедельник месяца), то вы уже подвергаетесь риску взлома с использованием публичного кода. Даже с платформы GitHub.
Приемлемого отставания от обновлений нет. С каждым новым месяцем устаревшее ПО только превращается в «катастрофу».
Как проверить? Для Android — во вкладке «Об Устройстве». Для iOS — вы должны иметь как минимум 26.5. Обновления выходят ежемесячно. Соответственно, 26.5 — за май.
На данный момент приемлемую частоту обновлений имеют только устройства Google Pixel и Apple iPhone.
В случае с первыми, вы можете использовать GrapheneOS и получать исправления безопасности на многие месяцы вперёд.
kremlinkernel.com
«Может, вам повезёт?» уже говорил о «командном» аспекте информационной безопасности. Между тем, «за сценой» зачастую остаётся один из других, менее известных «краеугольных камней» защиты информационных систем — системность при построении обороны.
Гиперфокус на одной области зачастую приводит к тому, что заходят через открытый «тыл».
Автор «Может, вам повезёт?» находится в процессе написания книги на эту тему. Она будет в деталях разбирать все аспекты информационной безопасности (аппаратная, программная, сетевая, операционная), а что самое главное — объяснять, как выстроить из этого «единое целое».
Частота обновлений вашей ОС носит критический характер. Во время развития ИИ, даже самые маленькие «дыры» (которые, к слову, публикуются на регулярной основе) могут составить вам большой «сюрприз».
Не секрет, что обученный искусственный интеллект может с фантастической скоростью как находить, так и закрывать уязвимости. Так как «оборона» на данный момент находится в положении «ленивца», этим пользуется «нападение».
Например, с помощью ИИ была найдена уязвимость CopyFail, которая не так давно позволяла любому пользователю получить полные административные права через ошибку логики в ядре GNU/Linux.
Стоит сделать отступление и сказать, что если ваш производитель не присылает вам обновления, это не значит, что их нет. Например, для Android каждый месяц публикуются бюллетени безопасности, в которых все найденные уязвимости «как на ладони».
Это не говоря про обновления прошивки, ведь драйвера зачастую находятся прямо в памяти вашего ядра. Особенно чревато это в GNU/Linux, где ошибка в одном модуле позволяет получить полный доступ к системе.
Необновлённый драйвер сотового модема/WiFi/Bluetooth может привести к тому, что любой человек рядом с вами может использовать ваше радио как «открытую дверь». Даже если сам чип изолирован через тот же IOMMU.
В случае с Android, это значит, что если у вас нет уровня безопасности 2026-06-01 (первый понедельник месяца), то вы уже подвергаетесь риску взлома с использованием публичного кода. Даже с платформы GitHub.
Приемлемого отставания от обновлений нет. С каждым новым месяцем устаревшее ПО только превращается в «катастрофу».
Как проверить? Для Android — во вкладке «Об Устройстве». Для iOS — вы должны иметь как минимум 26.5. Обновления выходят ежемесячно. Соответственно, 26.5 — за май.
На данный момент приемлемую частоту обновлений имеют только устройства Google Pixel и Apple iPhone.
В случае с первыми, вы можете использовать GrapheneOS и получать исправления безопасности на многие месяцы вперёд.
kremlinkernel.com
🔥7👍1
Мессенджер Max был удален из App Store.
Кроме сломанных уведомлений (так как национальный мессенджер использует систему Push-уведомлений Apple) и обновлений, многие медиа упускают «маленький нюанс»: Apple сейчас может заблокировать его запуск в принципе.
Так уже было с клиентом для Telegram «Telega», который сначала был помечен как «шпионское ПО», зачем удален из App Store, а в конце — внесён в чёрный список на всех устройствах iOS.
Справедливости ради, клиент «Telega» действительно был классическим шпионским ПО.
Заменить мессенджер Max без использования VPN и с полноценным функционалом позволяет «Руководство по созданию собственного мессенджера».
Кроме безупречной работы, ваш сервер будет поддерживать сквозное шифрование, т. е. только вы и ваш собеседник будете иметь доступ к ключам. В мессенджере Max этого нет.
Даже если ваш сервер будет взломан (что, в рамках описанной конфигурации, маловероятно), злоумышленник получит доступ к «каше из букв», которую не сможет расшифровать.
Кроме этого, все ожидаемые функции, вроде интернет-телефонии также присутствуют и работают без нареканий.
Автор «Может, вам повезёт?» лично использует такой сервер для общения каждый день. В связи с этим, к слову, руководство по его созданию получит несколько важных правок в ближайшем будущем.
Ознакомится можно тут: https://kremlinkernel.com/guide/hosting/127/
Кроме сломанных уведомлений (так как национальный мессенджер использует систему Push-уведомлений Apple) и обновлений, многие медиа упускают «маленький нюанс»: Apple сейчас может заблокировать его запуск в принципе.
Так уже было с клиентом для Telegram «Telega», который сначала был помечен как «шпионское ПО», зачем удален из App Store, а в конце — внесён в чёрный список на всех устройствах iOS.
Справедливости ради, клиент «Telega» действительно был классическим шпионским ПО.
Заменить мессенджер Max без использования VPN и с полноценным функционалом позволяет «Руководство по созданию собственного мессенджера».
Кроме безупречной работы, ваш сервер будет поддерживать сквозное шифрование, т. е. только вы и ваш собеседник будете иметь доступ к ключам. В мессенджере Max этого нет.
Даже если ваш сервер будет взломан (что, в рамках описанной конфигурации, маловероятно), злоумышленник получит доступ к «каше из букв», которую не сможет расшифровать.
Кроме этого, все ожидаемые функции, вроде интернет-телефонии также присутствуют и работают без нареканий.
Автор «Может, вам повезёт?» лично использует такой сервер для общения каждый день. В связи с этим, к слову, руководство по его созданию получит несколько важных правок в ближайшем будущем.
Ознакомится можно тут: https://kremlinkernel.com/guide/hosting/127/
🔥14👍2😁2❤1
После того, как центр доверия GlobalSign отозвал у мессенджера Max сертификат TLS, местные «инженеры» не нашли решения лучше, чем выпустить и использовать сертификаты Let's Encrypt.
Для справки, — Let's Encrypt хоть и некоммерческий центр доверия, но располагается он в США. Почему было отдано предпочтение именно ему — а не национальному удостоверяющему центру Минцифры, например — вопрос открытый.
Подобное поведение для «национального мессенджера» как минимум иррационально. Либо в VK опасаются, что НУЦ Минцифры может подменить их сертификат (что уже происходило в Казахстане), либо понимают, что российские сертификаты, мягко говоря, не имеют популярности.
Про проблемы российских государственных сертификатов можно прочитать в публикации «Зловредные сертификаты», которая до сих пор не потеряла своей актуальности.
kremlinkernel.com
Для справки, — Let's Encrypt хоть и некоммерческий центр доверия, но располагается он в США. Почему было отдано предпочтение именно ему — а не национальному удостоверяющему центру Минцифры, например — вопрос открытый.
Подобное поведение для «национального мессенджера» как минимум иррационально. Либо в VK опасаются, что НУЦ Минцифры может подменить их сертификат (что уже происходило в Казахстане), либо понимают, что российские сертификаты, мягко говоря, не имеют популярности.
Про проблемы российских государственных сертификатов можно прочитать в публикации «Зловредные сертификаты», которая до сих пор не потеряла своей актуальности.
kremlinkernel.com
😁23❤3👍3👏2🔥1
Интернет-сайт «Может, вам повезёт?»: https://kremlinkernel.com/
Полный список выпущенных материалов: https://kremlinkernel.com/table
Связаться с «Может, вам повезёт?»: https://kremlinkernel.com/contact
Полный список выпущенных материалов: https://kremlinkernel.com/table
Связаться с «Может, вам повезёт?»: https://kremlinkernel.com/contact
👍3❤1🔥1
Цифровой суверенитет по-русски. Часть третья
Одним из самых простых способов обезопасить значительную часть государственной информации в процессе отправки — создание собственного браузера.
Кроме того, что большинство «отечественных» браузеров работают на западном движке Blink (в пример — «Яндекс Браузер», «Атом», и т. д.), что само по-себе убивает любой запрос на «отечественность» (т. к. главным разработчиком Blink является корпорация Google), они также доверяют запредельному количеству иностранных удостоверяющих центров.
Что это означает: если один из многочисленных «авторитетных» центров доверия американского происхождения под давлением выпустит поддельный сертификат для «Госуслуг», то отечественный «Яндекс Браузер» ничего даже не заметит.
Принцип работы таких атак уже был описан в публикации «Зловредные Сертификаты». В контекст стоит добавить, что такая атака имеет «цену» в одно письмо национальной безопасности.
Стоит сделать отступление и сказать, что этому существуют разной эффективности меры противодействия, например, DANE — но это «залечивание» симптоматики, а не решение проблемы в целом.
К тому же, приведенные в пример «Госуслуги» его не используют.
Выбор в пользу западных сертификатов недавно сделал мессенджер Max, даже не удосужившись сначала попробовать сертификаты НУЦ Минцифры. По-сути, Max добровольно облегчил проведение такой атаки на свой же сервис.
В рамках политкорректности «Может, вам повезёт?» не будет уточнять, как это сочетается с нарративом о «борьбе» с российским национальным мессенджером.
Решение этой проблемы простое — отдельный браузер для госслужащих.
Его отличительными особенностями должны быть отдельное хранилище сертификатов (а-ля Firefox), российский движок, и, разумеется, отсутствие доверия к западным центрам.
Такой браузер просто не примет поддельный сертификат для какого-либо российского сервиса — ведь он доверяет только «своим».
На потребительский рынок его можно ограниченно продвигать как способ безопасного взаимодействия с государством, но никак не как ПО общего пользования.
Часть первая здесь, часть вторая здесь
kremlinkernel.com
Одним из самых простых способов обезопасить значительную часть государственной информации в процессе отправки — создание собственного браузера.
Кроме того, что большинство «отечественных» браузеров работают на западном движке Blink (в пример — «Яндекс Браузер», «Атом», и т. д.), что само по-себе убивает любой запрос на «отечественность» (т. к. главным разработчиком Blink является корпорация Google), они также доверяют запредельному количеству иностранных удостоверяющих центров.
Что это означает: если один из многочисленных «авторитетных» центров доверия американского происхождения под давлением выпустит поддельный сертификат для «Госуслуг», то отечественный «Яндекс Браузер» ничего даже не заметит.
Принцип работы таких атак уже был описан в публикации «Зловредные Сертификаты». В контекст стоит добавить, что такая атака имеет «цену» в одно письмо национальной безопасности.
Стоит сделать отступление и сказать, что этому существуют разной эффективности меры противодействия, например, DANE — но это «залечивание» симптоматики, а не решение проблемы в целом.
К тому же, приведенные в пример «Госуслуги» его не используют.
Выбор в пользу западных сертификатов недавно сделал мессенджер Max, даже не удосужившись сначала попробовать сертификаты НУЦ Минцифры. По-сути, Max добровольно облегчил проведение такой атаки на свой же сервис.
В рамках политкорректности «Может, вам повезёт?» не будет уточнять, как это сочетается с нарративом о «борьбе» с российским национальным мессенджером.
Решение этой проблемы простое — отдельный браузер для госслужащих.
Его отличительными особенностями должны быть отдельное хранилище сертификатов (а-ля Firefox), российский движок, и, разумеется, отсутствие доверия к западным центрам.
Такой браузер просто не примет поддельный сертификат для какого-либо российского сервиса — ведь он доверяет только «своим».
На потребительский рынок его можно ограниченно продвигать как способ безопасного взаимодействия с государством, но никак не как ПО общего пользования.
Часть первая здесь, часть вторая здесь
kremlinkernel.com
🔥13👍7👏2❤1
Депутат Свинцов, немногим ранее позорно выгнанный из ЛДПР, продолжает радовать публику своими расчётами.
Речь идёт не о заявлении, не о прогнозе и даже не о мнении — представленный депутат счёл нужным огласить свои домыслы.
Кроме того, через подобные изречения уважаемый «слуга народа» дезинформирует публику, проводя фундаментально некорректное сравнение между контекстом блокировки игровой платформы Roblox и ситуацией вокруг мессенджера Telegram.
Ввиду того, что, будем честны, г-ин Свинцов из себя представляет ровным счётом ничего, знать о том, что ни Роскомнадзор, ни Минцифры не являются инициаторами блокировки мессенджера ему не положено.
Павел Дуров знает, кто выступает против работы его мессенджера, но наотрез отказывается их называть, прикрываясь эвфемизмом «российское государство». От отправления им ключей, как это было при первой блокировке Telegram, также воздерживается.
Неясно, зачем депутат Свинцов продолжает «мусорить» в российском инфополе. Политические мотивы можно сразу отбросить, ведь «слуга народа» понимает, что в следующей «Думе» его не будет.
kremlinkernel.com
Речь идёт не о заявлении, не о прогнозе и даже не о мнении — представленный депутат счёл нужным огласить свои домыслы.
Кроме того, через подобные изречения уважаемый «слуга народа» дезинформирует публику, проводя фундаментально некорректное сравнение между контекстом блокировки игровой платформы Roblox и ситуацией вокруг мессенджера Telegram.
Ввиду того, что, будем честны, г-ин Свинцов из себя представляет ровным счётом ничего, знать о том, что ни Роскомнадзор, ни Минцифры не являются инициаторами блокировки мессенджера ему не положено.
Павел Дуров знает, кто выступает против работы его мессенджера, но наотрез отказывается их называть, прикрываясь эвфемизмом «российское государство». От отправления им ключей, как это было при первой блокировке Telegram, также воздерживается.
Неясно, зачем депутат Свинцов продолжает «мусорить» в российском инфополе. Политические мотивы можно сразу отбросить, ведь «слуга народа» понимает, что в следующей «Думе» его не будет.
kremlinkernel.com
❤8🔥5👍4💯2
Корень проблемы
После удаления мессенджера Мах из магазина приложений App Store аффилированный административный ресурс предсказуемо спустил всех «собак» на корпорацию Apple. Мол, «нормально же общались».
Параллельно старательно выстраивался нарратив о том, что американская транснациональная корпорация ни с того, ни с сего залезла к россиянам в «карман» и отобрала их собственность.
Ключевая фактологическая ошибка была сделана именно в презумпции того, что россияне владеют своими iPhone, и соответственно, имеют право решать, какой мессенджер на них использовать.
В краткой форме доказать это можно тем, что криптографический чип Secure Enclave Processor, установленный в каждом iPhone, доверяет только Apple. Это значит, что любые модификации (в том числе сделанные номинальным «владельцем») воспринимаются как угроза, от которой необходимо защищаться.
Реализовано это с помощью проверки образа системы при загрузке, на научном языке — Verified Boot. Этот механизм на мобильных устройствах Apple не поддерживает установку пользовательских ключей.
Прямой конкурент iPhone от компании Google, телефон Pixel, такой ключ установить позволяет. После этого пользователь сам решает, что ему нужно, а что нет.
Приобретение продукции Apple — дело полностью добровольное. Никто не заставлял патриотическую общественность приобретать телефон, истинный «хозяин» которого — корпорация из «недружественного государства».
Сказать что Apple изменила что-то «пост-фактум» тоже нельзя. Модель безопасности iPhone не изменялась с момента его создания. Проблема удаления российских приложений из App Store носит общеизвестный характер уже четыре года.
На этом фоне особо забавно выглядят обещания «решить» вопрос от главы профильного министерства. Стоит напомнить, что предыдущая попытка принудительно устанавливать Max на устройства Apple закончилась тем, что наш «решала» позорно сел в «лужу».
Удаление мессенджера Max корпорацией Apple только подтверждает тезисы цикла публикаций «Цифровой суверенитет по-русски», который на момент публикации покрывает сравнительно незначительную часть имеющихся проблем.
kremlinkernel.com
После удаления мессенджера Мах из магазина приложений App Store аффилированный административный ресурс предсказуемо спустил всех «собак» на корпорацию Apple. Мол, «нормально же общались».
Параллельно старательно выстраивался нарратив о том, что американская транснациональная корпорация ни с того, ни с сего залезла к россиянам в «карман» и отобрала их собственность.
Ключевая фактологическая ошибка была сделана именно в презумпции того, что россияне владеют своими iPhone, и соответственно, имеют право решать, какой мессенджер на них использовать.
В краткой форме доказать это можно тем, что криптографический чип Secure Enclave Processor, установленный в каждом iPhone, доверяет только Apple. Это значит, что любые модификации (в том числе сделанные номинальным «владельцем») воспринимаются как угроза, от которой необходимо защищаться.
Реализовано это с помощью проверки образа системы при загрузке, на научном языке — Verified Boot. Этот механизм на мобильных устройствах Apple не поддерживает установку пользовательских ключей.
Прямой конкурент iPhone от компании Google, телефон Pixel, такой ключ установить позволяет. После этого пользователь сам решает, что ему нужно, а что нет.
Приобретение продукции Apple — дело полностью добровольное. Никто не заставлял патриотическую общественность приобретать телефон, истинный «хозяин» которого — корпорация из «недружественного государства».
Сказать что Apple изменила что-то «пост-фактум» тоже нельзя. Модель безопасности iPhone не изменялась с момента его создания. Проблема удаления российских приложений из App Store носит общеизвестный характер уже четыре года.
На этом фоне особо забавно выглядят обещания «решить» вопрос от главы профильного министерства. Стоит напомнить, что предыдущая попытка принудительно устанавливать Max на устройства Apple закончилась тем, что наш «решала» позорно сел в «лужу».
Удаление мессенджера Max корпорацией Apple только подтверждает тезисы цикла публикаций «Цифровой суверенитет по-русски», который на момент публикации покрывает сравнительно незначительную часть имеющихся проблем.
kremlinkernel.com
👍19👏4❤3😁2🔥1
Конец эпохи
На данный момент существуют три основные стадии развития интернета. Больше всего, конечно же, говорится о WEB-3, в контексте децентрализованных активов и прочих, будем честны, «фантиков».
Именно NFT, имеющие дурную славу, использовались и до сих пор используются как один из маркеров третьего поколения.
Нельзя отрицать, что NFT ознаменовали собой новую эпоху — но не самого интернета, а мошенничества в нём. Но про этот «казус» в следующий раз.
Сейчас происходит переход из третьего поколения в четвёртое, которое не имеет красивых картинок, но представляет значительную угрозу установления глобального «цифрового концлагеря».
Безусловно, на данном этапе о нём речи не идёт. Во-первых, даже с безграничными ресурсами, это дело не одного и даже не двух лет. Во-вторых, общество неминуемо будет отторгать установление все новых «барьеров».
Для этого, в том числе, сейчас во многих странах идёт ввод «цифровых паспортов» под прикрытием «защиты детей». Детальнее об этом можно прочитать в публикации «Когда умрёт анонимность?».
Демократическими процедурами этот процесс не остановить, ведь руководят им надгосударственные организации. Для простоты подсчёта можно их обозначить как «глобалисты».
Так как интернет носит международный характер, именно координация «сверху» необходима для установления хоть каких-то ограничений.
Создание все новых и новых барьеров так или иначе приведёт к «расколу» интернета на «подконтрольные» и «свободные» части. На практике это означает установление самого обычного хаоса.
В этот переходный период иметь преимущество будут не «монолиты» вроде текущих популярных сервисов, а мелкие, изолированные «ячейки». В том числе и потому, что потенциал адаптации у последних на несколько порядков выше.
У нас это наглядно видно по борьбе государства с VPN. Крупных провайдеров соответствующий орган заблокировать может, а несколько тысяч «мелких» и быстрых — ни при каких обстоятельствах.
Создание таких «ячеек» и их развёртывание будет сильно упрощено. «Может, вам повезёт?» ожидает, что в специфических инструкциях, вроде «Руководства по созданию собственного мессенджера» в перспективе не будет необходимости.
Отдельные криптовалюты, вроде Monero, имеют весь потенциал стать серьёзным платёжным средством. Существует угроза того, что в рамках международной борьбы с VPN их оплату с обычных карт просто запретят.
Стоит сделать исключение и сказать, что схожая участь постигнет и «прозрачные» криптовалюты вроде Bitcoin. Monero отличается именно тем, что по умолчанию скрывает получателя, отправителя и сумму платежа.
kremlinkernel.com
На данный момент существуют три основные стадии развития интернета. Больше всего, конечно же, говорится о WEB-3, в контексте децентрализованных активов и прочих, будем честны, «фантиков».
Именно NFT, имеющие дурную славу, использовались и до сих пор используются как один из маркеров третьего поколения.
Нельзя отрицать, что NFT ознаменовали собой новую эпоху — но не самого интернета, а мошенничества в нём. Но про этот «казус» в следующий раз.
Сейчас происходит переход из третьего поколения в четвёртое, которое не имеет красивых картинок, но представляет значительную угрозу установления глобального «цифрового концлагеря».
Безусловно, на данном этапе о нём речи не идёт. Во-первых, даже с безграничными ресурсами, это дело не одного и даже не двух лет. Во-вторых, общество неминуемо будет отторгать установление все новых «барьеров».
Для этого, в том числе, сейчас во многих странах идёт ввод «цифровых паспортов» под прикрытием «защиты детей». Детальнее об этом можно прочитать в публикации «Когда умрёт анонимность?».
Демократическими процедурами этот процесс не остановить, ведь руководят им надгосударственные организации. Для простоты подсчёта можно их обозначить как «глобалисты».
Так как интернет носит международный характер, именно координация «сверху» необходима для установления хоть каких-то ограничений.
Создание все новых и новых барьеров так или иначе приведёт к «расколу» интернета на «подконтрольные» и «свободные» части. На практике это означает установление самого обычного хаоса.
В этот переходный период иметь преимущество будут не «монолиты» вроде текущих популярных сервисов, а мелкие, изолированные «ячейки». В том числе и потому, что потенциал адаптации у последних на несколько порядков выше.
У нас это наглядно видно по борьбе государства с VPN. Крупных провайдеров соответствующий орган заблокировать может, а несколько тысяч «мелких» и быстрых — ни при каких обстоятельствах.
Создание таких «ячеек» и их развёртывание будет сильно упрощено. «Может, вам повезёт?» ожидает, что в специфических инструкциях, вроде «Руководства по созданию собственного мессенджера» в перспективе не будет необходимости.
Отдельные криптовалюты, вроде Monero, имеют весь потенциал стать серьёзным платёжным средством. Существует угроза того, что в рамках международной борьбы с VPN их оплату с обычных карт просто запретят.
Стоит сделать исключение и сказать, что схожая участь постигнет и «прозрачные» криптовалюты вроде Bitcoin. Monero отличается именно тем, что по умолчанию скрывает получателя, отправителя и сумму платежа.
kremlinkernel.com
👍10🔥3❤2
Почему меры по учёту IMEI провалятся, по пунктам.
1. Получить доступ к базе данных IMEI не составит труда.
Не потому, что существуют некие «предатели», а потому что каждый мобильный оператор и даже профильные надзорные органы поражены коррупцией.
Продаются гораздо более серьёзные данные, чем какая-то база идентификаторов. Наглядный пример — после подкупа чиновника женщине из Екатеринбурга прописали около 60-ти мигрантов в квартиру. С помощью «самых безопасных» госуслуг.
Предположим, что все, кто будут иметь доступ к этой базе — «розовые пони в белых пальто» и железно взяток не берут. Даже в этом случае сервер с базой данных можно будет взломать. Учитывая количество «точек отказа» в российских системах, злоумышленников будет беспокоить только значительное удорожание операции.
2. Специальное оборудование позволяет изменять номер IMEI по запросу.
Получив доступ к этой базе данных, можно будет подстроить каждый индивидуальный слот условного SIM-бокса под ожидаемые параметры. Сложнее? Определённо. Существенно, когда на «кону» сотни миллионов рублей? Конечно нет.
Это не потребительский телефон, в котором этот номер охраняется иногда лучше, чем сохранность образа операционной системы.
Представленный пакет мер в лучшем случае является «контрпродуктивным», если не брать в расчёт обыкновенное «вредительство».
На порядок более эффективным является улучшение эвристических механизмов, направленных на нахождение SIM-боксов и прочего специализированного оборудования. Как минимум, их поведение можно детерминистически отличать от обыкновенной потребительской «звонилки».
kremlinkernel.com
1. Получить доступ к базе данных IMEI не составит труда.
Не потому, что существуют некие «предатели», а потому что каждый мобильный оператор и даже профильные надзорные органы поражены коррупцией.
Продаются гораздо более серьёзные данные, чем какая-то база идентификаторов. Наглядный пример — после подкупа чиновника женщине из Екатеринбурга прописали около 60-ти мигрантов в квартиру. С помощью «самых безопасных» госуслуг.
Предположим, что все, кто будут иметь доступ к этой базе — «розовые пони в белых пальто» и железно взяток не берут. Даже в этом случае сервер с базой данных можно будет взломать. Учитывая количество «точек отказа» в российских системах, злоумышленников будет беспокоить только значительное удорожание операции.
2. Специальное оборудование позволяет изменять номер IMEI по запросу.
Получив доступ к этой базе данных, можно будет подстроить каждый индивидуальный слот условного SIM-бокса под ожидаемые параметры. Сложнее? Определённо. Существенно, когда на «кону» сотни миллионов рублей? Конечно нет.
Это не потребительский телефон, в котором этот номер охраняется иногда лучше, чем сохранность образа операционной системы.
Представленный пакет мер в лучшем случае является «контрпродуктивным», если не брать в расчёт обыкновенное «вредительство».
На порядок более эффективным является улучшение эвристических механизмов, направленных на нахождение SIM-боксов и прочего специализированного оборудования. Как минимум, их поведение можно детерминистически отличать от обыкновенной потребительской «звонилки».
kremlinkernel.com
👍16🔥3
Похоже, что у квази-государственной корпорации VK отозвали ещё один сертификат — в этот раз, для большинства её веб-сервисов.
Вместо использования сертификатов Let's Encrypt (который уже заявил, что продлевать сертификат мессенджера Max не будет), был выбран другой западный центр, HARICA. Он находится в Греции, а значит, подпадает под влияние европейского административного давления, и, в меньшей мере, их же санкций.
Российский НУЦ Минцифры в который раз был проигнорирован, хотя является самым надежным решением в сложившейся ситуации. Скорее всего, и в этой юрисдикции сертификат у них отберут.
Незамеченными остаются риски такой «беготни» по удостоверяющим центрам. Во-первых, далеко не все из них имеют первоклассную безопасность, а во-вторых, некоторые могут начать выпускать поддельные сертификаты для сервисов VK под вышеупомянутым административным давлением.
kremlinkernel.com
Вместо использования сертификатов Let's Encrypt (который уже заявил, что продлевать сертификат мессенджера Max не будет), был выбран другой западный центр, HARICA. Он находится в Греции, а значит, подпадает под влияние европейского административного давления, и, в меньшей мере, их же санкций.
Российский НУЦ Минцифры в который раз был проигнорирован, хотя является самым надежным решением в сложившейся ситуации. Скорее всего, и в этой юрисдикции сертификат у них отберут.
Незамеченными остаются риски такой «беготни» по удостоверяющим центрам. Во-первых, далеко не все из них имеют первоклассную безопасность, а во-вторых, некоторые могут начать выпускать поддельные сертификаты для сервисов VK под вышеупомянутым административным давлением.
kremlinkernel.com
💯13👍3🔥3🤔3
Каскад
Главным событием недели, разумеется, оказался обозримый факт несостоятельности защиты воздушного пространства Москвы.
Автор «Может, вам повезёт?» хоть и не является военным экспертом, но имеет значительный набор знаний в смежных дисциплинах, вроде радиоэлектроники и искусственного интеллекта.
Если кратко, то текущее поколение дронов использует либо компьютерное зрение для навигации (на базе самого обычного машинного обучения), либо бортовой терминал спутниковой группировки Starlink.
Первые нейтрализовать можно только кинетическим перехватом (т. к. глушить попросту нечего). Вторые же возможно подавить, что уже было проделано во время иранских протестов. Почему этого не происходит — вопрос третий.
Переходя к профильной теме канала, вслед за «прилетами» в Москве можно ожидать многократное ухудшение доступности систем связи. То, что давно стало «обыденностью» для регионов, начинает постепенно добираться до столицы.
Эти меры будут направлены исключительно на противодействие распространению информации об ударах. Если совсем грубо, речь идёт о введении «военной цензуры» путём саботажа телекоммуникационных систем.
Других способов установления хоть какой-то цензуры у текущей системы управления нет. Профильные ведомства с треском проваливают собственные обязательства по блокировке VPN, которые сейчас доступны всем и каждому.
Из-за этого, в том числе, блокировка любой платформы лишь способствует популяризации VPN, а следовательно, утере государственного контроля над трафиком граждан.
Даже запрет на публикацию видеоматериалов атак БПЛА не останавливает широкую публику, которая действует в рамках правила «всех не поймают».
Тем не менее, «Может, вам повезёт?» крайне рекомендует удалять из подобных видео метаданные вашего устройства. Больше всего для этого подходят специальные приложения, вроде Secure Camera от GrapheneOS.
Это приложение не записывает метаданные в ваши медиа, а также имеет функцию записи видео без звука.
Удаление метаданных из фотографий путём создания скриншота также работает не всегда. Особенно это касается ОС Android, где к каждому сделанному скриншоту прикрепляется номер сборки системы, что, в большинстве случаев, позволяет точечно определить модель устройства.
kremlinkernel.com
Главным событием недели, разумеется, оказался обозримый факт несостоятельности защиты воздушного пространства Москвы.
Автор «Может, вам повезёт?» хоть и не является военным экспертом, но имеет значительный набор знаний в смежных дисциплинах, вроде радиоэлектроники и искусственного интеллекта.
Если кратко, то текущее поколение дронов использует либо компьютерное зрение для навигации (на базе самого обычного машинного обучения), либо бортовой терминал спутниковой группировки Starlink.
Первые нейтрализовать можно только кинетическим перехватом (т. к. глушить попросту нечего). Вторые же возможно подавить, что уже было проделано во время иранских протестов. Почему этого не происходит — вопрос третий.
Переходя к профильной теме канала, вслед за «прилетами» в Москве можно ожидать многократное ухудшение доступности систем связи. То, что давно стало «обыденностью» для регионов, начинает постепенно добираться до столицы.
Эти меры будут направлены исключительно на противодействие распространению информации об ударах. Если совсем грубо, речь идёт о введении «военной цензуры» путём саботажа телекоммуникационных систем.
Других способов установления хоть какой-то цензуры у текущей системы управления нет. Профильные ведомства с треском проваливают собственные обязательства по блокировке VPN, которые сейчас доступны всем и каждому.
Из-за этого, в том числе, блокировка любой платформы лишь способствует популяризации VPN, а следовательно, утере государственного контроля над трафиком граждан.
Даже запрет на публикацию видеоматериалов атак БПЛА не останавливает широкую публику, которая действует в рамках правила «всех не поймают».
Тем не менее, «Может, вам повезёт?» крайне рекомендует удалять из подобных видео метаданные вашего устройства. Больше всего для этого подходят специальные приложения, вроде Secure Camera от GrapheneOS.
Это приложение не записывает метаданные в ваши медиа, а также имеет функцию записи видео без звука.
Удаление метаданных из фотографий путём создания скриншота также работает не всегда. Особенно это касается ОС Android, где к каждому сделанному скриншоту прикрепляется номер сборки системы, что, в большинстве случаев, позволяет точечно определить модель устройства.
kremlinkernel.com
👍15❤2🔥1👏1
Журналист «Важных Историй»* (т. н. «независимое СМИ») Роман Анин* вновь поднял тему связи мессенджера Telegram с ФСБ, предоставив все новые «экспертные» заключения.
Для справки, — год назад «Важные Истории» выпустили расследование, где выяснили, что инфраструктуру мессенджера Telegram обслуживает единственное лицо в виде компании Global Network Management Владимира Веденеева.
С его же слов, команда мессенджера не была ни в одном из четырёх существующих датацентров, а все обслуживается чуть-ли не Веденеевым лично.
«Кейс» г-на Анина строится на том, что в протоколе MTProto уникальный идентификатор устройства передаётся в открытом виде, что, мол, позволяет отслеживать пользователей.
GNM в лице Веденеева, исходя из материала, пользуется этой уязвимостью для отслеживания пользователей. Кроме этого, у GNM есть куратор из ФСБ, и несколько госзаказов от них же, что составляет «мотив» преступления.
Именно в этом моменте Роман Анин делает эдакий «мостик» в виде предположения о том, что ФСБ имеет над GNM влияние, а следовательно, может устанавливать вредоносное оборудование прямо на узлы мессенджера.
Следуя этому сценарию, гораздо эффективнее было бы «заражать» оборудование самих серверов, а не узлов связи, большинство проходящих по которым данных все равно зашифровано.
Даже если Дуров использует шифрование дисков, ничего не мешает GNM установить в материнскую плату чип, который эти ключи из памяти вытащит. «Может, вам повезёт?» крайне сомневается, что Telegram использует чипы безопасности (вроде серверных Google Titan) в своих серверах.
В данном случае, ФСБ бы удалось получить доступ ко всем «облачным чатам» (т. е. каналам, группам и обычным перепискам) на этих серверах, без необходимости что-то отслеживать на сетевом уровне.
«Отслеживание» пользователей по открытым идентификаторам может происходить только в том случае, если пользователь не использует VPN. Из России в Telegram без использования VPN в принципе невозможно зайти.
В лучшем случае, GNM видит сотни таких идентификаторов с IP-адресов европейских провайдеров. Так как VPN по своей природе шифруют весь трафик, российские надзорные органы также не видят этих идентификаторов, а следовательно, не могут отслеживать пользователей.
Роман Анин делает «медвежью услугу» своим же коллегам, отвлекая внимание от реальных проблем мессенджера на простое ухудшение приватности. Подробнее об этом можно прочитать в статье «Конкретные провалы в безопасности мессенджера Telegram».
* — иноагент
kremlinkernel.com
Для справки, — год назад «Важные Истории» выпустили расследование, где выяснили, что инфраструктуру мессенджера Telegram обслуживает единственное лицо в виде компании Global Network Management Владимира Веденеева.
С его же слов, команда мессенджера не была ни в одном из четырёх существующих датацентров, а все обслуживается чуть-ли не Веденеевым лично.
«Кейс» г-на Анина строится на том, что в протоколе MTProto уникальный идентификатор устройства передаётся в открытом виде, что, мол, позволяет отслеживать пользователей.
GNM в лице Веденеева, исходя из материала, пользуется этой уязвимостью для отслеживания пользователей. Кроме этого, у GNM есть куратор из ФСБ, и несколько госзаказов от них же, что составляет «мотив» преступления.
Именно в этом моменте Роман Анин делает эдакий «мостик» в виде предположения о том, что ФСБ имеет над GNM влияние, а следовательно, может устанавливать вредоносное оборудование прямо на узлы мессенджера.
Следуя этому сценарию, гораздо эффективнее было бы «заражать» оборудование самих серверов, а не узлов связи, большинство проходящих по которым данных все равно зашифровано.
Даже если Дуров использует шифрование дисков, ничего не мешает GNM установить в материнскую плату чип, который эти ключи из памяти вытащит. «Может, вам повезёт?» крайне сомневается, что Telegram использует чипы безопасности (вроде серверных Google Titan) в своих серверах.
В данном случае, ФСБ бы удалось получить доступ ко всем «облачным чатам» (т. е. каналам, группам и обычным перепискам) на этих серверах, без необходимости что-то отслеживать на сетевом уровне.
«Отслеживание» пользователей по открытым идентификаторам может происходить только в том случае, если пользователь не использует VPN. Из России в Telegram без использования VPN в принципе невозможно зайти.
В лучшем случае, GNM видит сотни таких идентификаторов с IP-адресов европейских провайдеров. Так как VPN по своей природе шифруют весь трафик, российские надзорные органы также не видят этих идентификаторов, а следовательно, не могут отслеживать пользователей.
Роман Анин делает «медвежью услугу» своим же коллегам, отвлекая внимание от реальных проблем мессенджера на простое ухудшение приватности. Подробнее об этом можно прочитать в статье «Конкретные провалы в безопасности мессенджера Telegram».
* — иноагент
kremlinkernel.com
👍9❤4🔥3
Цифровой суверенитет по-русски. Часть четвёртая
У проблемы отзыва сертификатов у российских сервисов западными центрами доверия уже сейчас есть возможное решение. Его можно отнести к классу «полумер» (полноценным решением будет полностью отечественный браузер, о чем было сказано в предыдущей части), но это не отменяет эффективность оного.
Ситуация такова, что отечественные сертификаты НУЦ Минцифры, которые отозвать нельзя, сейчас не имеют доверия в большинстве систем. В том числе из-за исторических прецедентов.
«Корень» потенциального решения находится именно здесь; если система не доверяет российским сертификатам, то можно заставить российские приложения им доверять.
Подобную модель, например, использует браузер Firefox, который имеет отдельное от системы хранилище сертификатов. Нет технических преград для ее масштабирования на нынче подсанкционные сервисы.
Очевидный минус этого решения — вне приложений доверия к этим сертификатам все равно не будет, что уменьшает его релевантность, например, для веб-сервисов.
Тем не менее, для потребительского сектора, где большинство использует именно приложения, эта модель имеет смысл. Возможно применение «гибридного» подхода, когда сайт условного VK или «Яндекса» будет использовать западные сертификаты, а их же приложения — отечественные.
Даже в этом варианте предоставленный метод сохраняет свои плюсы, ведь даже при отзыве сертификата у сайта, приложение будет функционировать, что помогает сократить потенциальный ущерб от таких «неполадок».
Выразить свой взгляд на решение возникшей проблемы можно по следующим контактам.
kremlinkernel.com
У проблемы отзыва сертификатов у российских сервисов западными центрами доверия уже сейчас есть возможное решение. Его можно отнести к классу «полумер» (полноценным решением будет полностью отечественный браузер, о чем было сказано в предыдущей части), но это не отменяет эффективность оного.
Ситуация такова, что отечественные сертификаты НУЦ Минцифры, которые отозвать нельзя, сейчас не имеют доверия в большинстве систем. В том числе из-за исторических прецедентов.
«Корень» потенциального решения находится именно здесь; если система не доверяет российским сертификатам, то можно заставить российские приложения им доверять.
Подобную модель, например, использует браузер Firefox, который имеет отдельное от системы хранилище сертификатов. Нет технических преград для ее масштабирования на нынче подсанкционные сервисы.
Очевидный минус этого решения — вне приложений доверия к этим сертификатам все равно не будет, что уменьшает его релевантность, например, для веб-сервисов.
Тем не менее, для потребительского сектора, где большинство использует именно приложения, эта модель имеет смысл. Возможно применение «гибридного» подхода, когда сайт условного VK или «Яндекса» будет использовать западные сертификаты, а их же приложения — отечественные.
Даже в этом варианте предоставленный метод сохраняет свои плюсы, ведь даже при отзыве сертификата у сайта, приложение будет функционировать, что помогает сократить потенциальный ущерб от таких «неполадок».
Выразить свой взгляд на решение возникшей проблемы можно по следующим контактам.
kremlinkernel.com
👍9❤2🔥1
С небольшим «перерывом» после мессенджера Max, все остальные приложения квази-государственной корпорации VK были удалены из App Store.
О том, почему Apple может и будет продолжать удаление приложений российских разработчиков, можно прочитать в публикации «Корень проблемы», в которой это рассматривается на примере одного «Макса».
Стоит напомнить, что профильный министр ещё тогда пообещал «решить вопрос» и вернуть мессенджер на былое место. Непревзойдённая эффективность нашего «решалы», что называется, «налицо».
kremlinkernel.com
О том, почему Apple может и будет продолжать удаление приложений российских разработчиков, можно прочитать в публикации «Корень проблемы», в которой это рассматривается на примере одного «Макса».
Стоит напомнить, что профильный министр ещё тогда пообещал «решить вопрос» и вернуть мессенджер на былое место. Непревзойдённая эффективность нашего «решалы», что называется, «налицо».
kremlinkernel.com
😁26👏8🔥2
Дмитрий Песков посоветовал россиянам переходить на Android.
Тем временем, пока эта картинка используется в качестве шутки, «Может, вам повезёт?» действительно переживает за информационную безопасность пресс-секретаря президента.
Даже последний iPhone не может достойно защищать своего пользователя от шпионского ПО. Это не экспертные выводы автора интернет-ресурса, об этом недавно сообщило ФСБ.
Если устройства российских чиновников активно заражают, то, должно быть, произошла страшная ошибка, вследствие чего Дмитрий Сергеевич об этом не был уведомлен.
Будем надеяться, что новый телефон на Android скоро появится в руках уважаемого чиновника.
Тем временем, пока эта картинка используется в качестве шутки, «Может, вам повезёт?» действительно переживает за информационную безопасность пресс-секретаря президента.
Даже последний iPhone не может достойно защищать своего пользователя от шпионского ПО. Это не экспертные выводы автора интернет-ресурса, об этом недавно сообщило ФСБ.
Если устройства российских чиновников активно заражают, то, должно быть, произошла страшная ошибка, вследствие чего Дмитрий Сергеевич об этом не был уведомлен.
Будем надеяться, что новый телефон на Android скоро появится в руках уважаемого чиновника.
😁30🔥7👏1