Comments 68
Там, судя по коду, сама утилита написана нейронкой
Только что проверил срез за февраль
Ничего криминального там нет, всё делается через чекбоксы/запросы к пользователю
Что утилита нейрослоп, что авторские бредни
Продажа опенсурса это вопрос десятый, фактически они продают морду, весь код доступен в репозитории, лицензии это не нарушает
По поводу же "вредоносной активности"
Если бы автор изучил отчет "any.run", то он бы узнал, что вся "вредоносность" той древней версии заключается в байпасе политик powershell, скачивании оригинальных библиотек WinDivert-2.2.1 с gitea и скачивании + запуске всё с той же gitea дистрибутива самой софтины из релиза (который там всё ещё лежит)
https://gitea.com/censorliber/zapret/src/commit/50f5c6be36ba8bab8b1f389d00beb2e6ab45b22c/
https://gitea.com/censorliber/zapret/src/commit/50f5c6be36ba8bab8b1f389d00beb2e6ab45b22c/get.ps1
https://gitea.com/censorliber/zapret/releases/download/6.4.0/zapret6.4.0.zip
Очень надеюсь, что модерация Хабра снесет эти бредни в ближайшее время, ибо статья абсолютный поток псевдотехнической чепухи, а автор даже не смотрел дальше двух строк на файл
@moderator статья является полнейшим введением в заблуждение
да, я только сейчас нашел, как на хабре правильно давать отклик модерации, всё думал что просто где-то пропустил меню с кнопкой жалобы
Лучше свяжитесь с авторами программы, и убедите их не делать платные услуги на общей беде
Ахахаха, и они безусловно скажут "Да-да, чувак конечно НЕ БУДЕМ!"
А почему не должны? Мне кажется, в данном случае прямая конкуренция с открытыми бесплатными продуктами должна вытеснить его с рынка.
Если человеку хочется платить за нейрослоп гуй, его право. Но всё же большинство почитает тему больше пяти минут и пойдёт использовать оригинальный запрет.
Не надо основывать систему взаимоотношений в обществе исключительно на какой-то этике, это наоборот даёт большое преимущество людям без её наличия.
Очень надеюсь, что модерация Хабра снесет эти бредни в ближайшее время, ибо статья абсолютный поток псевдотехнической чепухи, а автор даже не смотрел дальше двух строк на файл
статья является полнейшим введением в заблуждение
Вы, похоже, крайне заинтересованы, чтобы этот материал снесли? Какой-то, возможно, личный у этого есть интерес? Смотрю на существующий нейрослоп так остро не реагируете... видимо у Вас есть какое-то отношение к этому репозиторию, раз Вы его так защищаете :)
del
@moderator прошу выдать мне перманентный бан на сайте за клевету и препятствование работе модерации, если вы считаете, что этот нейровысер достоин вывода в соцсети
Всё равно хомячки скоро рейтинг в минус сольют, так какая разница
а серт-то она зачем втыкает?
То, что всё делается через "чекбоксы/запросы к пользователю" ни о чём не говорит, с чем только обезумевший от ютубного голодания домохозяин/домохозяйка не согласится. "Установить серт?" - "да, да, быстрее только ютуб включи"
Для code sign, как понимаю для WinDivert
WinDivert уже есть подписанный - любые остальные сборки zapret/goodbyedpi просто по умолчанию несут с собой нормально загружаемый экземпляр.
Windows не дает возможности установить корневой сертификат так, чтобы можно было им подписать и затем загрузить какие-либо драйвера (есть исключение, но несущественное), для других целей это в любом случае подозрительно.
Наличие чекбокса вредоносную функцию не легализует. Большинство пользователей жмут далее -> далее -> согласен, не читая что им предлагают. Если софт предлагает установить левый Root CA под предлогом "так надо для работы", это социальная инженерия чистой воды
Зачем там свой Root CA? (нет - внятные объяснения могут быть - например зачем оно антивирусу современному - вполне понятно)
Зачем слив в телеграм?
Я понимаю что могут быть причины. был у меня например опыт написания и поддержки утилит которые инжекцию в чужой процесс (или вообще во все процессы что лезут в сеть - в другой утилите) делают и творят там то что скажем так авторы процессов не предусматривали и иногда - активно против. И оно еще и VMprotect'ом было прикрыто(!) + активация . Но - пользователи в курсе были зачем все (и могли спросить про детали) а активация и привязка - как раз для того чтобы не ушло дальше этих пользователей
Действительно странное поведение - зачем ему отключать Defender?
Товарищъ дорогой нейро-вирусоискатель. ;)
1. Заканчивайте доверять анализу кода через нейрослоп так уж усердно, помощь нейронок хорошо, но перекладывание 90% на них - это зло. Я бы сказал использовать нейронки в анализе уже теперь точно необходимо, но в балансе хотя бы 60/40, может 70/30. Человеческий мозг и умения надо тоже включать.
2. Вы видимо не видели настоящие трояны в zapret.zip, так их сотни, и тг каналов сотни с ними, и майнеры в них это самое безобидное. Вот такие и подобные гораздо умнее и серьёзнее стали за последний год: https://habr.com/ru/articles/868864/
Чего-то истерику раскрутили вокруг продукта. Видимо кому-то нужна. Я уже давно пользуюсь, и никаких проблем. И антивирус не отключал, хотя да, удивлён был, что автор призывал ему выключить и даже обосновывал это. Но автор много чего писал про разные лишние настройки Win раньше. Он так видит.
Ищите подозрительные записи в «Доверенные корневые центры».
А как узнать, какие записи подозрительные? (Наверно, полезно туда просто для профилактики заглядывать).
Есть утилита от Sysinternals, ей можно проверить наличие недоверенных сертификатов
sigcheck64.exe -tv *
Потом найти эти сертификаты по отпечатку в certmgr.msc
Можно и сразу удалить через консоль, но иногда там бывает что-то важное, т.к. люди используют самоподписанные сертификаты для софта и драйверов. certutil –delstore Root отпечаток
sigcheck64.exe -tv *
А дальше? Вот первый сертификат из списка:
%PCNAME% это имя моего компьютера. Серийник и отпечаток я частично замазал, поскольку не знаю, насколько опасно их показывать из-под распахнутого плаща случайным прохожим в Интернете.
Особо подозрительным мне кажется, что он имеет статус Valid, хотя начало и конец срока действия датированы 2023-м годом. Кто его выписал, когда, с какой целью — бог весть. Как это узнать? И надо ли беспокоиться?
Искать его в certmgr.msc, там можно посмотреть расширенные свойства.
Может что получится вспомнить.
Обычно самоподписанным ставят в свойствах "все области применения", а на скрине только "Server Auth". Его могла поставить какая-то прога вроде локального веб сервера или что-то с веб-интерфейсом.
В certmgr есть папка недоверенных, можно его перетащить туда и посмотреть не отвалится ли что.
Искать его в certmgr.msc, там можно посмотреть расширенные свойства.
Там, к сожалению, пусто. Во всех полях на всех вкладках.
В certmgr есть папка недоверенных, можно его перетащить туда и посмотреть не отвалится ли что.
Ну, я так и подумал, что только методом тыка. К сожалению, я ставил модифицированные драйвера (доверяя изготовителю), вдруг после этого отвалится ВСЁ? (Я вижу пару сертификатов, где issuer указан этот человек, но вдруг это дополнительный сертификат, где он забыл указать себя как issuer — на его сайте написано: не доверяете мне — компилятор в зубы и идёте сами собирать, так что вопросами ему лучше не докучать).
Такое чувство, что Microsoft специально создала среду, где простой юзер концов не найдёт. Может, его даже попросили об этом сверху. Эй, куда вы меня тащи…
Ну если уж прямо хочется посмотреть насколько глубока кроличья нора, можно запустить System Informer.
Там для драйверов и процессов добавить столбцы verified signer/verification status.
И дальше для всего подозрительного ручками открывать файлы и смотреть в свойствах подпись.
А для совсем полного удовлетворения можно еще вывести список всех проблемных сертификатов на компе. Там даже попадаются официальные.certutil -verifyStore Root
certutil -verifyStore TrustedPublisher
certutil -user -verifyStore Root
certutil -user -verifyStore TrustedPublisher
Вообще сертификаты с полем "Server Auth" по идее не должны влиять на драйвера.
Особо подозрительным мне кажется, что он имеет статус Valid, хотя начало и конец срока действия датированы 2023-м годом
It’s OK if the certificate has expired - as long as the timestamped signature on the file that you downloaded was made while the certificate still was valid.
Чисто для профилактики заглядывать туда бессмысленно, если вы не знаете что ищете. Проще прогнать систему нормальным антивирусом или использовать утилиту Sigcheck от Sysinternals, которая сравнит ваш список с эталонным списком доверенных сертификатов от Microsoft
Последняя фраза - это приговор
Да, для этой статьи. Не перестаю задаваться вопросом, откуда модели унаследовали такой странный слог.
Интересно, а кто накидал лайков этому - они вообще читали, что лайкают? +50 вот в данный момент у нейрослопа...
Хочется, конечно, поспорить со статьей, но какой смысл, если это нейрослоп от начала до конца, содержащий как факты, так и домыслы с противоречиями?
Удивительно только, что статья так яростно заплюсована.
Авторы программы так не объяснили зачем ставить свой корневой сертификат, остальное в целом понятно зачем.
Для расшифровки HTTPS (TLS) трафика нужно знать ключи, которые генерируются обеими сторонами совместно почти каждый раз при подключении. И никакие сертификаты в этом не помогут.
Да, но если у тебя есть ключи, которые якобы есть только у телеграмма, не сложно сделать MitM между клиентом и сервером телеграмма. Шифрование бесполезно, когда ты не можешь гарантировать, что зашифрованный канал ты построил с нужным тебе получателем.
Речь шла об расшифровке трафика... MITM и расшифровка - разные вещи...
Ага, ведь MitM - это тип атаки, а расшифровка - это действие, это и правда разные действия. /sarcasm
Я не совсем понимаю, как вы себе митм представляете без расшифровки, но обычно он выдаёт себя за сервер, создавая зашифрованное соединение с клиентом и обмениваясь подписанными ключами, что позволяет ему расшифровывать трафик, при этом не создавая подозрений. Дальше он шифруется обратно и отправляется уже реальному серверу, чтобы делать вид, будто бы митма нет.
Весь "анализ" и статья, даже ответы автора в оригинальном обсуждении на гитхабе bol-van есть продукт работы ИИ. Парень обиделся, что в его нейро-алармизм никто не поверил на Github и пошел писать "статью" на Хабр :)
ага, а снесли-то все обсуждаемые автором модули почему?) ровно как и почему версии, скомпилированные в .exe, отстают от тех, что в открытой репе? что за "секреты" в закрытой репе, зачем?) полагаю, на эти вопросы вы не в состоянии ответить, ведь автор "обиделся", и этого достаточно, чтобы на неудобные вопросы не отвечать
По содержанию могу сказать разве что то, что похоже все уже исправили. Но на будущее пожелание всем велосипедописателям: прекратите подсовывать свои мутные (корневые!) сертификаты, это вообще доверия не внушает.
Ой как много комментариев с ключевым словом "Нейрослоп", как под копирку :D
Компетентность автора и его выводы можно ставить под сомнение - бесспорно, но скоординированная реакция в комментариях заставляет задуматься: "Автор возможно прав"
100% авторы натравили ботов, тут даже не нагибаясь виден наплыв "поддержки" ))
Да тут как будто бы обе стороны знатно оподливились. Разрабы навайбкодили непонятное нечто с кривыми обходами ограничений системы, из-за чего и не смогли нормально ответить на претензии и просто кинулись всё фиксить, не объяснив толком а зачем они это вообще сделали чтобы снизить репутационный ущерб. Ещё и защитников в комментарии нагнали.
И автор статьи который накидал на вентилятор, но не смог даже объяснить а как конкретно используют уязвимости, именно используют а не "могут использовать". Как минимум мне странным показалось что автор статьи побежал жаловаться в репо zapret2. Сомнительная ситуация, спасибо bol-van что пытался разобраться.
Бери круче, какие боты, ещё и много, это дорого не эффективно. Можно так: авторы нанимают вот такого писателя статей, что бы создать громкий шум продукту, и насмного, что шум основан на отрицательной информации потому что шум перерастает в рекламу, почти бесплатную и гипер профитную. См. "разборки" блохеров в ютупчике с обвинением друг-друга, где тупое стадо хомячков ведётся на это, идет посмотреть "правду" а в итоге добавляет трафик и деньги обоим.
Прикол в том что тут так не было, и действительно автор статьи - школота впервые увидевшая "анализ" кода от нейросетей, тут же побежавшая срать на гитхаб нейрослопом. Профита он не получил себе а вот трафик авторам возможно добавил ;)
Битва была равна, сражались два.. гпт, походу. Один в принципе не понимает, зачем используются секреты в гит репозиториях, вторые свой гитхаб токен (с админ правами, хочу заметить) положили напрямую в исходники, только немного пошифровав через шифр уровня b64. Благо хоть последнее поправили (но токен так и не ревоукнули, кстати).
Посмотреть с чего все началось можно в этой Discussion
Посмотрел. Автор лох и обосрался.
На претензии ответили, в том числе и коммитами. Да, есть такой момент что имеется неаккуратность при разработке, неактуальный код и всё такое. Но приходя с такими обвинениями без глубокого анализа не стоит ожидать адекватной реакции. Не формальный "анализ" вот есть код, который делает плохо и значит всё плохо. А нормальный анализ откуда и при каких условиях вызывается. На это даже авторы утилиты ответили, читать надо уметь.
Хм, 22 марта Commit 515dd46 "сертификат удалён".
Отрадно, конечно, но, возможно, не очень то и хотелось. Возможно, это не единственный способ. 😉
Если утилита для обхода блокировок просит права администратора и лезет устанавливать свои корневые сертификаты это красный флаг размером с Кремль. Обход DPI делается на уровне сетевых фильтров и маршрутизации, для этого не нужно ломать https-трафик на уровне сертификатов
Zapret от Flowseal просит права администратора. Да и в целом ежу понятно, что если софт лезет на уровень драйвера, то ему нужен рут.
Вот с сертификатом да, вопросы. Ни одна другая софтина с тем же функционалом никакие сертификаты не пихает. Но уже вроде удалили, а в остальном в софте никакого криминала не видно.
Да идиотом нужно быть чтоб не понимать что в этой халявной софтине якобы нет червей, еслиб всё было нормально, они моглибы хотяба без палева давно подключить нормально рабочие прокси к ней, а не доить людей на полурабочих, старых, убитых пулах..(( телега на ихнем этом софте висит и многие сайты также не открывает, работает боле-менее стабильно (почти) только ютуб и дискорд, и они там сидят новости печатают в телеге как там всё плохо млять, опять очередные блокировки от РКН итд, когда нормальные проксики работают идеально везде (наибалово чистой воды) ...Вывод: это очередная херь полу работающая (вирусоидная), работает исключительно на якобы идеи по обходу и бла бла бла, мы всё делаем что можем они говорят млять (((((. Люди, подключите себе нормальные живые проксики, а вы мощенники неибите мозг людям кто в этом не шарит.. Удаляете это без всяких раздумываний и используйте просто рабочие проксики их полно..
товарищ майор не смог пройти мимо и не "помочь" с обходом блокировок. не знаю зачем частному лицу собирать статистику каждые N минут
Привет хаборчане. Могу объяснить, зачем нужна установка рут сертификата.
После того, как я увидел эту статью, я вспомнил, что ставил эту программулину. Почитал, удивился и пошел проверять систему.
Первым делом зашел в файл hosts. Вначале идут стандартные переопределения доменов от оригинального запрете, для дискорда и ютуба. Читаю файл дальше и диву даюсь. Стоят переопределения доменов для нейросетей и их API, для некоторых крипто-кошельков и соц сетей.
Скрины можно прикладывать до бесконечности. Обычному юзеру кажется, что он обращается на сайт оригинального ChatGPT, но на самом деле он идет через мост создателя этой проги.
Именно для этого он ставил самоподписанный корневой сертификат, для последующего перехвата и расшифровки HTTPS трафика
Я сам заметил некоторые странности, которые происходят с нейросетями которыми я пользуюсь и которые переопределены в hosts. Очень быстро тратятся лимиты и токены, хотя я пользуюсь нейронками как обычно, а некоторые аккаунты отлетают от ассоциации IP c РФ, хотя используются только с бпн и прокси.
Прикладываю hosts, чтобы вы смогли детальнее изучить
У меня всего один вопрос: откуда взялся файл на скриншотах? Какая версия запрета была установлена? Т.к. у себя я подобных записей не нахожу, хотя какое-то время прогой пользовался. Собственно, вот мой файл хостс. Плюс-минус аналогичный вариант предлагает Flowseal, как автор автоматизированной windows-версии запрета с запуском через bat файлы. Надеюсь, его в вирусах никто не обвиняет? А то он тоже от админа запускается, мало ли...
Учитывая момент про газлайтинг странно что автор GUI не написал это на eptaScript =D
Мало чего понимаю в инфобезе но вот скоординированное стадо комментаторов воспылавших праведным гневом и вставшим на защиту неправедно обвиненного автора полушпионской софтины прям режет мое чувствительное обоняние.
Объективно: кроме сертификата и нарушения лицензии по распространению больше придраться не к чему. Разве что к стабильности работы и качеству в целом, но это уже не относится к теме статьи.
Отключение антивируса? В свое время все анти-DPI программы это требовали, т.к. работали с неоригинальным драйвером windivert, и защитник винды очень на это ругался. В последствии это поправили и сейчас подобное ПО уже не требует обходить защиту системы. Собственно, в сабже это тоже давно перестало быть обязательным. (К слову, не удивлюсь, если автор софта из секты ненавистников обновлений и защитника винды. Ибо код отключения очень знаком.)
Запуск от админа, на который тут многие жалуются? Ну так чтобы работать на уровне драйвера - нужны права повыше юзерских. Да и прописывание софта в сервисы винды тоже допуски требует.
К слову, софт на анализ на malware у автора почему-то от января 2025 года, версия на скрине какая-то адски древняя. И да, я помню, что в какое-то время софт поставлялся, как лаунчер с последующей загрузкой "тела". Идея была странной, но никаких последствий не получила.
PS: в коде установщика сертификата есть строка "CREATE_NO_WINDOW". Забавно, но этого хотели сами пользователи, которых напрягало всплывающее окно установки сертификата.
PPS: и таки да, зумер с нейронкой. Ибо упустил кучу нюансов. А из нюансов и выходит общая оценка.
Лично для меня было странным, что авторы побежали переписывать код, хотя в целом могли сказать свое веское "ННАДА" и всё. Но, видимо, всё таки не надо.
И в качестве эпиграфа можно написать окончание знаменитого анекдота: "ложечки, конечно, нашлись, но осадочек остался". ©
Объективно
у вас опечатки в слове "субъективно", так как часть неудобных вопросов вы всё же опустили. зачем по соц.сетям распространять "более новую" версии программы, кода которой не существует в открытой репе, при том, что под капотом используется чужое решение, как раз-таки из полностью открытой репы zapret? при том, что обходы блокировок ежедневно ломаются - это буквально подталкивание с скачиванию именно новой версии, с внутренностями которой нет возможности ознакомиться
GUI ценой приватности: разбор вредоносного форка Zapret 2 GUI