Гайз, я же всегда вам говорил, что в душе я всё ещё молод! И вот подъехали научные пруфы моего лайфстайла 😅

Целый профессор Скотт Галлоуэй выяснил пугающую вещь: зумеры выходят на свежий воздух реже, чем заключенные. У тех хотя бы есть обязательные 1-2 часа прогулки во дворе. А новое поколение в это время скроллит ленту дома.

Мол такая изоляция ведет к депрессиям, эпидемии одиночества, спаду рождаемости (осуждаем?) и даже бьет по экономике 🥺

Так что, если я отказываюсь выходить из дома — это я просто на одной волне с молодежью! Пойду дальше ленту полистаю 😂

#CodeLifeBalance

@p1ngpub специально для @z_vorchun

Гайз, помните, я пару месяцев назад писал, что через ВК и Яндекс Аппы могут вычислять VPN-гейты и рассылать провайдерам «письма счастья»?

Кто-то тогда согласился, кто-то отнесся скептически.

Ну так вот 👇
Пользователь runetfreedom на Хабре взял и провёл полноценный реверс-инжиниринг мессенджера MAX.

Перехватил трафик через mitmproxy, разобрал их кастомный протокол — и нашёл встроенный шпионский модуль.

Сам модуль определяет, включён ли VPN на устройстве.
Собирает ваш IP из нескольких источников — и российских (Яндекс, Mail.ru), и зарубежных (ipify, AWS, ifconfig.me).

Зачем оба?
Чтобы поймать сплит-туннелинг и вычислить адрес VPN-сервера.
Пингует заблокированные ресурсы (тг, ватсапп), проверяя, доступны ли они вам.
Фиксирует оператора связи (MTS, Мегафон и т.д.).

Отправляет всё это на сервер MAX, причём прямо через основной канал мессенджера, чтобы нельзя было заблокировать аналитику отдельно.

Ну и шпионское ПО не шпионское ПО, если бы модуль не управлялся удалённо и не мог включаться таргетно для конкретных аккаунтов.

Конечно, точные цели сбора этих данных мы можем только предполагать — автор статьи честно это оговаривает.

НО…

По моему ИМХО, вариант с вычислением VPN-серверов выглядит наиболее вероятным.

Судите сами: зачем одновременно собирать IP из российских и зарубежных источников, проверять доступность именно заблокированных ресурсов и фиксировать наличие VPN — если не для того, чтобы вычислять адреса VPN-шлюзов? 🤔

По сути, миллионы устройств с MAX превращаются в распределённую сеть по обнаружению VPN:

- Собрал пары «российский IP / зарубежный IP» с кучи устройств
- Вычислил адреса VPN-шлюзов
- Передал на блокировку.

Особенно эффективно это бьет по приватным серверам, где входной и выходной IP совпадают.

Не утверждаю, что это единственное объяснение. Но, на мой взгляд, самое логичное.

З.Ы. Пока я писал этот пост, в комментариях к статье люди уже написали, что замечали подобное на практике: туннели, которые используются параллельно с госприложениями, со временем блокируются. А «запасные», через которые не ходит российский трафик — живут.

З.З.Ы. Там уже демедж-контроль пошел, о том, что это всё только ради людей, только ради звонков через WebRTC 🤦‍♂️

#VPN #Max #Слежка #РКН #Блокировки #Приватность #РеверсИнжиниринг #ШпионскоеПО #ИБ

Пока вы читали предыдущий пост, полит-пабликам уже спустили план по дэмэдж-контролю.

Вот пример одного такого «опровержения» истории со шпионским модулем в MAX.

Они разобрали статью, а я попробую разобрать «разоблачение»:

Информация об IP-адресах в MAX используется ровно для одной цели — чтобы работали звонки. Технология WebRTC требует знать внешний IP для построения маршрута

Звучит убедительно, если не читать саму статью. Автор исследования нашёл конкретный модуль, который не имеет никакого отношения к звонкам. Он пингует хосты, проверяет TCP:443, собирает IP из разных источников, фиксирует оператора и статус VPN, да отправляет всё это отдельным событием при каждом сворачивании/разворачивании приложения.
WebRTC не совсем так работает 🤷

Запросы на серверы Apple и Google нужны для проверки доставки push-уведомлений

Ловкая подмена. В статье речь шла не про Apple и Google, а про запросы к main.telegram.org и mmg.whatsapp.net. Какое отношение серверы Telegram и WhatsApp имеют к push-уведомлениям MAX? Никакого. Классический приём — ответить на вопрос, который никто не задавал, и проигнорировать тот, который задали 🎯

MAX не отправляет никаких запросов на серверы WhatsApp или Telegram. Это легко проверить, но, видимо, проверять никто не хочет

Вот это уже просто откровенное враньё! 😡

Человек как раз проверил. Разобрал бинарный протокол, написал аддон для mitmproxy, опубликовал конкретный дамп трафика, где main.telegram.org и mmg.whatsapp.net прямо указаны в структуре.
Код опубликован, любой может воспроизвести. Сказать после этого «никто не хочет проверять» — расчёт на то, что аудитория канала не пойдёт читать первоисточник 😏

Вбросы про MAX появляются с завидной регулярностью, но ни разу не подтверждаются фактами

Факты: разобранный протокол, дамп трафика, декомпилированный код, аддон для воспроизведения. Всё опубликовано на Хабре. Назвать это «вбросом без фактов» — это мощно! (Нет)

Может, пора уже признать, что российский мессенджер просто работает и делает это хорошо

Может, пора уже признать, что если на техническое исследование с кодом и дампами ответ — это «вбросы», без единого технического контраргумента, то по существу ответить нечего? 🤔

Общая стратегия этого «опровержения»: апелляция к авторитету («спецы уже разбирали»), подмена тезиса (отвечают про WebRTC и push, хотя вопрос про модуль проверки доступности), газлайтинг («конспирология», «паника») и социальное давление («я пользуюсь и не остерегаюсь»).

Ни одного технического контраргумента по существу.

А ведь кто-то же подписан на этих «экспертов»… 🤦‍♂️

#Max #VPN #Слежка #РКН #Блокировки #Приватность #DamageControl #Политджойстик

Доброе!)

Буквально как-то так проходил вчера срач с моим участием в соседнем чЯтике 😂

Не, ну против таких аргументов я не «вывожу»

Во-первых, это красиво 😂

Гайз, сегодня пятница, верно?

А это значит, что я составил вам список того, что сегодня сделать лучше, чем деплоить: 😉

Наступить на ржавый гвоздь

Объяснять своим старикам подробности твоей работы (я несколько раз пробовал, кстати)

Ревью кода на Perl (не пробовал, но камрад с канала очень рекомендовал. Думаю, он меня ненавидит)

Собеседование, где просят развернуть связный список на доске маркером

Получить «нам надо поговорить» от тимлида в 17:59 или от девушки перед сном 😳

Дебажить CSS вертикального центрирования

Merge-конфликт на 400 файлов

Созвон, который «мог бы быть письмом»

Найти // TODO: fix later в проде — датированный 2012 годом

Хотя знаете что? Деплойте!
У меня даже слоган есть:

Деплой в пятницу — потому что выходные переоценены! 😂

Гайз, как некоторые из вас знают, я немного занимаюсь птицами, и попался мне такой лого организации (см. скрин) 🤔

Обратите внимание на обведённый логотип — аист с птенцами, символ заботы и педагогического мастерства, ага? Не ага 😐

В общем, есть у аистов такая штука, как редукция выводка.

Их «забота» вообще выглядит очень прагматично:
Аисты часто откладывают больше яиц, чем реально могут выкормить.

Если год не идеальный, то родители принимают холодное решение — и безжалостно выбрасывают самого слабого птенца из гнезда 😳

А иногда и сами заклевывают.
Просто такая вот оптимизация ресурсов 🫠

В контексте выше написанного, особенно «бейдж» про «учитель года» с аистом и птенцами выглядит иронично. Fly, bitch! 😅

#Птицы #Аисты #УчительГода #Природа #ЗанимательнаяОрнитология #НеТолькоИТ

Насчёт лого в комментах возник спор и даже напомнили довольно старый символ (приложил).

Ок, допускаю, что на лого пеликан 👌

Правда, у него с птенцами тоже не сильно лучше, чем у аистов 😳

У этих ребят каинизм практикуется (это когда старший птенец забивает младшего, братоубийство по нашему), а родители при этом не вмешиваются.

Тоже не клеится с идеей самопожертвования. Посыл про то, что лого выбрано неудачно — остаётся 😝

Я крайне поддерживаю «модульную архитектуру» девайсов, но не до такой же степени 😳