Comments 196
Уд0ли…
"Троянский конь"?
лучше пусть они юзают опен сорц и мы будем знать как оно работает, чем всё скрытно и пост фактум.
Так оно похоже для проверки надёжности своего подключения и в РКП пока(?) не стучит. В любом случае, код открытый и его можно проверить на наличие нежелательных лиц адресов.
Как показывают последние события со сторонним клиентом телеги Nekogram, открытость кода не является гарантией безопасности. Там просто в Release выложили не совсем то что было в репозитории. А что так можно было?
А ссылка на подробности есть?
Даже если сам собираешь, не факт что в репозитории не подключена какая нибудь библиотека, которая выглядит безобидно.
Это понимают единицы. Большинство упорно считает, что если open source, то там точно никаких бэкдоров и закладок...
А ещё меньше людей понимают, что и компилятор и интерпретатор могут из внешне безобидного, собрать вполне не совсем безобидный код...
Насчёт компилятора с интерпретатором - как это работает? Просто реально интересно, хоть я в этом плохо разбираюсь
Теоретически возможно создать компилятор, который будет вставлять вредоносный код в каждый выходной бинарник. И, если этот вредоносный код является квайном, то при сборке компилятора заражённым компилятором на выходе будет заражённый компилятор.
На практике вроде бы ещё ни один компилятор на этом не ловили.
Но вот вирус-квайн, модифицирующий исходники стандартной библиотеки Delphi 7, уже существует.
Это вроде давняя (чуть ли не с 80-ых) философская концепция GCC-вируса. Что если в бинарь GCC будет внедрен очень хитрый зловредный код, который будет внедрять себя в каждый сгенерированный бинарник. Причем, чтобы сделать антивирус, который ищет этот код, мы напишем антивирус на C, но чтобы скомпилировать его - нам потребуется GCC (зараженный, по условиям задачи). Получается, запуская антивирус мы запускаем малварь, которая будет способна не дать антивирусу обнаружить вирус.
Ну, всё-таки основная проблема тут - обнаружить само существование вируса, не на компьютере, а вообще. Всё-таки надо быть совсем уж параноиком чтобы регулярно проверять компилятор вручную, а автоматические тесты автор вируса может обойти.
Однако, когда вирус выявлен и проанализирован, сделать антивирус против него не так сложно. Проблема останова же не позволит вирусу понять что он собирает именно антивирус, а не что-то ещё, а дальше сколько бы закладок в GCC не было - в какой-то момент вирус будет вынужден передать управление написанному коду. Ну и написать код таким образом, чтобы не вызвать ни одну закладку снова - тоже не то чтобы нерешаемая задача.
Например, передаст он управление коду, но это будет уже немного другой код. open/read операции из файла спрячут определенную последовательность байт (если она там будет).
Если (для простоты) .com формат рассматривать (из MS DOS) - если первые 10 байт такие-то, и CRC первых 6789 байт (длина вируса) такая-то, то он первые 6789 байт и прячет.
GCC-вирус не может перехватить прямые системные вызовы если не проник в ядро (а если это руткит, то зачем ему ещё и компилятор заражать?)
Вырезание же кода вируса из файла при его открытии - приём мощный, но он делает антивирус даже слишком простым (читаем файл через стандартную библиотеку, пишем прямым системным вызовом - и всё).
каким системным вызовом? :-)
Все что вы пишете в коде .c - это "рекомендации" компилятору, а он у нас по условиям вредный. Ну напишете вы строчку с текстом "syscall()" в тексте, а что вместо нее будет - уже решит компилятор.
В предельном случае - может вообще большой сложный огромный антивирус "оптимизировать" до
sleep(3600);
printf("Вирусов не обнаружено");
Но в целом согласен, если вирус известен и он не слишком умен (умен, как могли быть умны вирусы времен 2000-ых, но не сейчас, когда есть GPT) - то тем или иным способом, как-то перехитрить его можно будет.
И наоборот - на каждый "перехитр", вирус можно обновить, чтобы этот трюк уже не помогал.
Все что вы пишете в коде .c - это “рекомендации” компилятору, а он у нас по условиям вредный. Ну напишете вы строчку с текстом “syscall()” в тексте, а что вместо нее будет - уже решит компилятор.
В тексте я соберу в памяти массив байт, скастую его к указателю на функцию, и вызову её. При необходимости - разбавив всё это обсфуцирующшим кодом. Удачи компилятору понять, что это именно системный вызов, особенно учитывая что он всё ещё должен оставаться компилятором.
умен, как могли быть умны вирусы времен 2000-ых, но не сейчас, когда есть GPT
Неа, никакой GPT не поможет написать вирус, решающий проблему останова (а детекция системных вызовов легко сводится именно к ней, методом “представим что системный вызов останаливает программу”)
Чтобы его не проверять регулярно, применили подход с бутстрапом: достаточно маленький компилятор, кажется пять тыщ строк на Scheme, собирает основной компилятор*, и бинарь того таким образом можно считать доверенным.
*Точнее, там mutual и полная цепь длиннее как до, так и после: GNU Mes состоит из маленького компилятора Си на схеме и маленького интерпретатора схемы на Си. Ими дальше собирается другой компилятор Си помощнее, способный скомпилировать старый GCC, а тем уже в итоге нормальный. А начинается всё с маленького платформенного ассемблера.
Это всё не спасает от вируса, который просто дописывает свой код к любому файлу, открытому на запись и имеющему нужный заголовок.
Сложные схемы бутстрапа делаются больше для того, чтобы пользователь компилятора не оказался в ситуации, когда его компилятор не может быть скомпилирован из-за отсутствия поддержки нужного диалекта в текущем компиляторе.
Китайский Xcode встраивал трояна во время компиляции iOS приложения https://en.wikipedia.org/wiki/XcodeGhost
Для тестовой тулзы типа RKNHardering это не так критично. Поигрался, проверил свой клиент, удалил)
Судя по тому, откуда они берут данные, это приложение использует методику проверки от РКН, но данные о проверяемых устройствах и сервисах ему не передаёт (возможно пока), т.ч. скорее используется теми, кто хочет проверить насколько незаметны используемыми ими средства. Другой вопрос, что будет когда методичка и критерии обновятся, а пользователи будут уверены, что их всё ещё не детектируют.
Разворачивать новый сервер :)
Запустил на андроиде Amnezia, потом YourVPNDead - сканер сказал, что никакихх VPNов нет... Запустил RKNHardering - "Обход выявлен" (понравились сточки "Capability NOT_VPN: отсутствует (подозрительно)", "DNS использует публичный резолвер 1.1.1.1" и "IP в базе известных прокси/VPN: да") . Хм.... Запустил снова YourVPNDead - "Всё чисто", но при этом найдены и "Прямые ппризнаки VPN/прокси" и куча "Косвенных признаков"...
Так это ж отлично! Этим софтом можно проверять свои сетапы, чтобы знать, палятся ли они
Палится оно будет, т.к. андроид прямо светит тем что у него включен КВН, без правки прошивки или же без root+lsposed скрыть это не получится
прямо светит тем что у него включен КВН
туннельный интерфейс? и что? его используют application firewalls, системы родительского контроля, антивирусы и ещё много чего
и что?
То, что это прямо будет условием не-работы государственных приложений.
роскомдегенератам наплевать для чего у тебя tun поднят, в методичке написано что впн значит впн, думать им не положено
не положено
Будьте честны: нечем
Одно другому не мешает..
Да есть чем. Хороший специалист на такую гнилую работу не пойдет, потому что развитому человеку важны не только деньги, но и ощущение самореализации. Чтобы за колбасу работать - это прямо совсем нищим надо быть. Любой, кто там работает, полагаю, получает больше, чем мог бы получить на честном рынке. Такая вот надбавка, которая большинству гетеросексуальных программистов не положена. Каждый, кто получает там 100 тысяч, имеет квалификацию на 50 тысяч. Кто получает 200 - имеет скиллов на 100.
Но тем не менее - они сделали достаточно большую и сложную систему, которая таки работает и портит кровь и отбрасывает всю страну куда то в прошлое, во времена Майкла Джексона. Недооценивать противника тоже не стоит, это опасно.
знаю таких людей. из одной компании производители DPI
биороботы. не у всех кого вы видите есть осознание
но выглядят как как будто осознанные и нормальные
там как бы просто нечему осознавать. их даже не накажут высшие силы потом, потому что некого наказывать
Я бы с удовольствием поработал кочегаром у печи освенцима, если бы туда загоняли айтишников, работающих на ркн и минцифры
Проще купить б/у телефон за 5 тысяч рублей чисто под банки и Госуслуги, чем ковырять прошивки, ставить Magisk, прятать рут от SafetyNet и играть в эти кошки-мышки каждый день
Банки, госуслуги, маркетплейсы, магазины, навигатор, карта метро, парковки, страховые… Многовато функций придется перенести на этот б/ушный телефон.
Увы, всё идет к этому. Два смартфона: для чебурнета и интернета.
тут и двоемыслие уже надо развивать потихоньку))
Позорно такой мир оставлять детям.
мир оставлять детям
Будьте честны: детей оставлять ублюдкам.
Не надо в таком мире оставлять детей
Мир таким сделали не мы, не стоит посыпать голову пеплом. Все инструменты в чужих руках.
Чем дальше догнивает СССР и его замечательные государственные best practice, воплощение которых мы видим, тем больше воняет. Так уж устроен мир. Поэтому лучше беречь нервишки и не расстраиваться по поводам, которые не в нашей власти.
Да никто тебе ничего не сделает, успокойся, паникёр. Все как пользовались впн, так и будут. Надо куда-то зайти — включили. Вышли — выключили
Да никто тебе ничего не сделает, успокойся, паникёр. Все как пользовались впн, так и будут. Надо куда-то зайти — включили. Вышли — выключили
я думал уже это слово "паникёр", который так часто использовали в последнее время, уже утратило свой манипуляторский смысл, как если бы Титаник врезался в айсберг, а кто-то кричал "паникёр" перед этим. Ну типа вы после айсберга продолжаете кричать "паникёр"? Серьёзно?
Это логичный ход, но увы предсказуемый. Самый плохой вариант поставить симку в телефон где только с VPN, это позволит определить, что соединения идут с одного устройства. Сейчас VPN трафик размыт среди разных соединений и его сложно вычислить. А тут почти весь не VPN трафик уйдет на отдельный телефон и на этом телефоне останется только VPN трафик. И дальше более 80% трафика на один адрес и что за адрес неизвестно? Вот ты и открыл им свою входную точку. Нужно еще будет придумать как генерить не VPN трафик на телефоне с VPN, чтобы снова его размыть.
Похоже что теперь бушный телефон надо для телеги, вацапа и ютубчика
Не надо, достаточно одного телефона.
С него заходим чем-то вроде RDP/VNC на свой приватный сервер а там уже без блокировок.
Т.е. VPN интерфейс в системе есть но трафик через него идет только для одного приложения.
Все прочие проверяльщики могут хоть застучаться в разные адреса для определения IP.
А VPN до "работы" и RDP/VNC клиенты никак не смогут запретить для смартфонов.
На своем сервере запустить Android в виртуалке (с софтом которому надо наружу за блокировки).
И пробрасывать на него аля scrcpy.
Останется еще нужные сервисы/службы типа геолокации и прочих датчиков пробрасывать с реального устройства для полного идеала.
Хотел бы я посмотреть, как вы будете использовать какой-нибудь навигатор "на своем приватном сервере". Да даже банальный Яндекс.Такси будет крайне неудобен.
RDP/VNC клиенты никак не смогут запретить для смартфонов.
Гм :)
В любом случае, даже если путем невероятных плясок и приседаний такой кейс удастся запустить - это точно не вариант для массового использования. А отдельные гики... когда массу отсекут, ими займутся точечно.
Вот только интерфейс RDP over mobile, и с телефона пользоваться десктопами... Ну совсем такое. Лучше уж два телефона тогда. Но надеюсь удастся в итоге шифроваться. Сам факт впн не страшен, а то что стучат конфиг и серваки улетают в бан - это дырища, которая при должной работе с той стороны похоронит шустро всё, пока не будет найдена затычка... Броня-снаряд...
Купить бу телефон и перенести туда телегу, котиков.. что там еще.
Да и ладно. Вы когда последний раз телефон покупали? За что мы платим в телефоне - это за всякие приятные плюшечки: за хорошую камеру, за яркий экран, чистый звук, за то, чтобы можно было поиграться. А зачем нам ДВА камерафона или игровых смартфона? Один можно брать "для себя", второй "для государства". Навигатор и Озон отлично откроются на любом и даже в 64Гб отлично влезут (Если не забивать место сотнями фоток с каждого похожа в кафе).
А еще - это инерция ума, воспринмать, что электроника (комп, телефон) - это что-то дорогое. Да, я жил в 90-ые, у отца была огромная зарплата в 1000р, а комп стоил 45 тысяч. То есть, если 4 года работать и не есть - можно накопить на компьютер! А на днях я просто из интереса с озона взял мини-пк на 6600H за 23 тысячи. И он в два раза мощнее моего десктопа. Мобила тоже, когда-то была невероятной роскошью, но чем дальше в лес - тем проще мы к ней будем относиться. Единственная реальная проблема - место в карманах.
Это, простите, в каких 90-х был такой разрыв? З/П в 1000 рублей это примерно 1998 год (до этого были всякие бешеные тыщи неденоминированные), комп тогда стоил ну 6-10 тыщ, тоже конечно роскошь, но откуда цифра 45?
Вы в какой-то непонятной валюте говорите) в те года комп стоил неплохой тыщу убитых енотов(пень 100) . Что до четверга, что после. А вот в рублях - вспоминать надо. Норм моник ещё 300-400.
Ну в принципе да, если чутка жирнее, да после четверга, то 40-45 тыр как раз получается.
А до четверга это как раз 6000-8000р за мой вариант конфиги 12000-13000 за конфиг упомянутый, видимо что-то на аж целом пне 166ммх))
У меня четко в голове отложилось, что 45 000. Сейчас сложно перепроверить (это же не в Интернете рекламировалось.. в старых газетах, в по ТВ).
Но кажется, это была цена на IBM PC AT 286. (XT-шки стоили существенно дешевле). Это должно давать ориентир на примерное время. А еще, за компами из Сибири ехали в Москву, закупались там. То есть, отправить несколько человек через пол-страны туда и обратно было дешевле, чем купить их здесь.
Да нет, не место в карманах и не стоимость. Основная проблема в сформированных привычках. Нужно следить за 2 телефонами. 2 Зарядки, нужно постоянно переключать bluetooth наушники между телефонами. Нужно следить за 2 телефонами, например один телефон на тумбочке, а другой на рабочем столе. Или например нужно переслать фото или документ которые находится на другом телефоне. А игрушки на какой телефон ставить? А как платить с одного телефона если банковское приложение на другом. И много других случаев когда 2 телефона не удобно. Тут лучше настоящею виртуальную машину делать или аналог RDP для телефона.
на это в том числе и расчет. часть пользователей устанет и перестанет искать обход.
Поделитесь актуальным решением, я модули для magisk нашел только от 22 года
РКН завернет это в aab/jar библиотеку и будет передавать компаниям(Яндекс,озон и тбд) для детекции использования vpn)))
С учётом практической реализации - однажды это рискует превратиться в масштабный DDos всего рунета. Зависит, конечно, от частоты проверок, но яндекс-станции успешно задосившие отечественные сервера времени - ещё в памяти.
бл.
Не передавать, а продавать.
вангую что такие приложения со вшитым спайваре достаточно быстро удалят из google play.
Можно подсунуть в (za)loopback адреса серверов MAX, и пошла потеха :)
По идеи модерацию Яблока софт следящий за пользователем и сливающий данные о нем пройти не должен насколько я знаю
Ждем штрафы за VPN?
А завтра, они у нас на смартфоне что проверять захотят?
А завтра они обяжут разблокировать смартфоны по требованию сотрудников госорганов.
А со всеми этими Shelter'ами и т.п. есть же возможность ввести разблокировать разные пространства разными кодами? Ну то есть вводишь 1234, и тебе открывается одно "пространство" с одним набором приложений. Вводишь на экране разблокировки 5678, и открывается другое "пространство" с совершенно другим набором приложений.
Речь про Android-смартфоны (про iOS не в курсе).
За телефоны других производителей не скажу, но на OnePlus есть "клонирование системы" и с ним это именно так и работает.
На Xiaomi под MIUI14 при заходе во второе пространство в статус-баре появляется спец.значёк "второе пространство" (простите за тавталогию).
Просто "вежливо" посросят ввести другой пароль...
Ну живи во втором. В первом то не появляется?
Сотрудник подключает разблокированный телефон для снятия дампа для последующего анализа уже силами спец ПО, которое покажет кто в каком пространстве живёт.
Когда бутылка заходит в персоанальный loopback - тут уже ничего не поможет. Как правило, люди рассматривают вопросы безопасности и конфиденциальности, которые решаются на предыдущих этапах, а не когда человека "приняли".
Когда-то "афганцы" жаловались, что заходишь в кишлак, там сидит добрый местный. Мирный. А ночью он берет автомат... Тяжело существовать в стране, где тебя все не любят и только имитируют согласие чтобы избежать прямого силового конфликта.
Кажется, сейчас одно государство получило тот же самый эффект, но уже на своей территории.
У меня значок убирается в настройках. Но проблема остается, поскольку система пишет, что переключается во второе пр-во. Следовательно, жить надо во втором, а показывать первое.
Ещё году в 16м-17м я на Xiaomi настраивал два пространства на разные отпечатки. Прикладываешь обычный палец (большой, например) - попадаешь в обычное чистое пространство. У нас как раз была волна "досмотров", когда прочухали, что один может держать, другой быстро палец приложить.
А вот другим, неочевидным и неудобным пальцем уже попадал в нужное пространство. Ну или пароль другой ввести. Система вообще никак не палилась, что там что-то есть.
И можно было снимать видео без включения экрана, зажимая кнопку громкости. И запись разговора из коробки.
Miui до 6-7 андроида вообще, будто создавались для шпионов (ну или обычной домохозяйки в 26м году в России)
всегда можно "дверью пальчик прищемить", пока не сознаешься
37-й в новой обёртке
Не знаю как товарищ майор, но описанный в посте способ обхода видит и впн из второго пространства. Это же все на уровне софта и абстракций, на деле они все в одной системе. А ставить дуалбут на телефоны никто не начал
Частично реализовано на Самсунгах есть режим "ремонта". Предназначен для того, чтобы скрыть ваше пространство и после перезагрузки открывается чистый телефон. Чтобы сервисники могли проверить все функции телефона, не имея доступа к вашей инфе. Т ак что можно использовать этот режим для "второго" профиля. Как этот профиль ведет себя после возвращения в свой "домашний" профиль - не пробовал. Но, по крайней мере, если едешь куда-нибудь, можно включить этот сервисный профиль и туда залить нужные телефоны и только безобидные приложения.
Второе пространство Xiaomi именно так и работает.
Понятненько.... Хоть я и на айфоне, но уже подумываю о том, чтобы прикупить MR3020 или Orange Pi Zero 2/3 накатить на него OpenWRT и раздавать уже нормальный интернет с TCP+Reality
Лучше тогда 902-й TP-Link. Это продолжение 3020 и внешне выглядит так же, но там и проц помощнее, и вафля двухдиапазонная.
Тогда уж точно Orange Pi Zero 2/3. Цена сопоставима, а вот проц и память на порядок лучше
Посмотрите в сторону Gl.Inet (дорогой Китай) Beryl или Cudy TR3000 (недорогой Китай).
OPi Zero 3 я себе брал как раз под такие развлекательные цели, но у него [на тот момент, больше года назад] были проблемы с установкой OpenWRT. На других ОС, ЕМНИП, были проблемы с подключением модема. Так что я забил, а он так и лежит чёрным кубиком.
Берилл, в свою очередь есть и очень нравится, даже на физическом уровне приятное устройство, из хорошего пластика, ничего не люфтит и прочее. Но цена высоковата, так что я бы рекомендовал Cudy. Аналог по железу, но дешевле. Впрочем, его в руках не держал.
Если у вас даже и получится это запустить на 32 мегабайтах оперативки, то на 400 мегагерцовом мипс это будет настолько грустно работать, что проще добавить ещё пару тысяч и купить нормальный роутер.
Я себе взял cudy tr3000, отличная железка для перемещения
Zero слабенький совсем. Канал слабый получается. Даже на Orange Pi 3b, который в разы быстрее Zero это очень грустно выходит.
то есть VPN для доступа в корпоративку или домой использовать нельзя?
А будут пристально смотреть куда ты там трафик шлешь
Так уже сейчас обычные протоколы или заблокировали или блокируют. Корпоративки призывают официально регистрировать, а домашние сети вместе с владельцами в принципе могут идти куда подальше.
Если квн в госреестре, то можно. Иначе штраф, большой штраф и посадка.
То есть, нас поддакивают к тому, что нужно удалить их приложения и поставить их в формате PWA приложения (или ссылкой на сайт)?
Да, историческая справка - Цукерберг сначала был против нативного приложения и доказывал, что прото-PWA лучше. Но в итоге - нативное.
И вот вопрос - банковские приложения еще можно как PWA, за исключением ВЖУХов. Но карты, карточки в маркетплейсах так чтобы все не тормозило в PWA будут не очень.
И еще - есть сервисы типа WEBRTC Leak. Есть не нулевые шансы, что такой пробник может быть встроен в PWA.
Не подскажете, есть какой-то генератор PWA приложений на базе сайтов? Я ozon как вкладку в хроме юзаю, но когда сайтиков становится много(в т.ч. selfhosted веб сервисы), уже переключаться становится неудобно.
Вот это больше понравилось, с объяснениями
В голове мем сразу всплывает где велосипедист сам себе палку в колесо вставляет
Что-то фигня какая-то. Exclave в режиме впн. Программа обнаружила только tun, socks не нашла.
Здорово придумали! А как заставить людей установить это приложение на свой телефон?
Ах, да...
Зашьют это во все русские приложения, будем значит использовать, какое нибудь такси, при необходимости, через браузер
да, к сожалению озон, вб, госуслуги -- все это можно дома на десктопе юзать.
но допустим Яндекс.такси, банки -- все это надо иметь на мобиле "на улице". так еще вход в них сделают через СКАМ-мессенджер... трындец короче.
Для десктопов сайтам допишут джава модуль делающий то же самое…
Яндкекс-такси через браузер на телефоне работает нормально, да ещё и шустрее этого Яндекс-Го. Возможно, за счёт фильтра трекинга и рекламы в браузере. И ничего не всплывает поперёк.
Ещё такси ставится как PWA приложение, а не просто как ссылка на браузер.
Да каждый крупный игрок под страхом вылететь из белого списка просто внедрит это себе в свое приложение и все, делов то. И не надо никого заставлять, сами установят/обновят
Как эта методичка собирается бороться с аппаратными роутерами? Если VPN поднят на OpenWRT дома, телефон для приложения выглядит абсолютно "чистым" - просто WiFi-соединение
Запрос у ютубу например сразу раскроет, что используется КВН, но вот IP КВН конечно же ПОКА они не получат
Так IP получат если после ютуба стукнутся на свой сервис определения IP.
Далее не проблема зная IP (и MAC) устройства на ТСПУ отследить куда канал VPN.
Если в КВН ломятся по списку, а не все подряд, то получат они только российский IP. Но если они создадут какой-нибудь ресурс с определением IP, а потом его заблочат, то он появится во всех списках и таким образом могут определить
Так они его и не будут блокировать, речь о том что в случае если сервер будет идти сразу же до ресурса-чекера, то адрес будет сразу раскрыт.
Так можно достаточно много серверов перебанить, конечно кроме ситуации когда маршрутизация правильно настроена
MAC не уходит же дальше первого хопа, или я что-то путаю?
Так не взлетит. Если всё в туннель, то увидят они выходной айпи, но не увидят айпи провайдера. А если в туннель только ютуп, то увидят только айпи у провайдера, но не увидят впн)
Мак вообще не увидят. Но если конечно они интегрируются со всеми провайдерами, тогда да. Вот только ресурсов не хватит.
но вот IP КВН конечно же ПОКА они не получат
Не знаком с потрохами андроида - в нём разве нет аналогов tracert?
Сделал у себя "tracert youtube.com", третьим хопом посмотрел на айпи своего VPS.
tracert показывает IP входящего интерфейса хопа, а не исходящего.
1 хоп: внутренний адрес роутера
2 хоп: внутренний адрес туннеля на стороне VPS
3 хоп: адрес шлюза VPS.
3 хоп: адрес шлюза VPS.
Вы правы, не разглядел с утра что там в последней цифре - вот что бывает когда пишешь не до конца проснувшись.
Правда в трейсе айпишник всё таки не тот что указан шлюзом на VPS, но в пределах маски сети. Ну и даже если там не сервер, а ближайший к нему шлюз - с РКН станется блочить по маске, им не впервой.
А далеко ли твой роутер бьёт? Хватит покрытия, чтобы на улицу выходить или на работу?
Переносим все потенциально опасные приложения в домашний телефон, если у вас селфхостед.
Все российские приложения удалил и установил их как PWA (из браузера отправить иконку на рабочий стол).
С одной стороны - хорошо, что можно проверить свой впн. А с другой стороны, облегчили жизнь РКН и российским сервисам. Но хорошо, если все воспользуются этим кодом.
Это приложение - хороший тест для антивирусов.
В теории оно должно обнаруживаться и удаляться средствами endpoint security.
у YourVpnDead странная проверка на DNS в частной сети...про локальную сеть забыли?
Так же решил протестировать приложение с новости, странный вывод, оно видимо рассчитано на обратный VPN, то есть когда VPN в РФ? (То есть когда ты например VK/MAX заворачиваешь в VPN) так как показало что оно смогло узнать мой реальный адрес(логично, его никто и не заворачивал), а то что он совпадает с тем что прямым запросом оно узнало они проверить забыли...это в разделе Split tunneling.
Оба показали только факт того что у меня туннель в итоге.
Без решения суда -хрен им а не пароль. Даже в таком грязном случае и то проканало.
https://harant.ru/blog/ugolovnoe-pravo/trebuyut-parol-ot-telefona/#:~:text=Каждый имеет право на тайну,только на основании судебного решения.
и
https://pravo.ru/news/249096/#:~:text=Дело передали на рассмотрение коллегии,Это недопустимо%2C подчеркнул ВС.
Интересно, кто добровольно это себе поставит на телефон, а главное зачем?
А ничего, что приложение wb детектит впн и без специального софта с гитхаба? При этом у меня стоит маршрутизация строго на прилаги из глобального интернета, а весь чебурнет напрямую. И все равно при заходе на вб висит плашка
Они видят включен или нет ВПН в системе как флаг true или false
А приложение заправок ГПН уже несколько лет нерегулярно (часто, но не всегда) отказывается работать при любом включённом VPN.
Как и вк, рутуб, вквидео, озон, госуслуги. При чем сейчас сделали впн для работы госуслуг заграницей, додумались наконец
Включён split tunneling. YourVPNDead ничего не нашёл.
Hardening нашёл tun интерфейс, аномальный mtu и написал, что нашёл split. При этом написал, что gateway leak, и он смог обнаружить внешний ip сервера, но показал мой внешний провайдерский. Вердикт - квн есть.
В целом канеш неутешительно.
То ли РКН прошляпили мой впн сервис, то ли что, потому что заявлено, что заблокировали 400+ сервисов, а мой все еще живой.
У меня обычная обфускация (xor) без всяких фаршей, как у некоторых здесь. В YourVPNDead палюсь только с "VPN вообще включен" по tun0. Но это может быть блокировщик рекламы, приложение прокси или реально впн. Но допускать до VPN приложение не стал в split tunneling.
В общем, не знаю, что делать теперь с этой инфой. Приложение пишет, что "все чисто". Пока радуюсь, что за 5000р за 3 года есть доступ к 50+ странам без привязки к VPS в одной конкретной стране.
RKN Hardening нашел:
о боже, termux
VPN gateway leak, хотя я и так в split tunneling его не добавлял
И что VpnService объявлен из OpenVPN и приложения прокси для прослушки трафика
Split tunneling
Я так полагаю, что итоги проверки тоже ни о чем. Просто спалили, что "вкл/выкл".
Если это действительно то, что проверяет РКН, то могу спать спокойно?..
А кто-то может объяснить, как это все применимо, если используются изолированные пространства (Knox и прочее)?
Никак, читай readme YourVPNDead
Я на своем андроид-смартфоне через Shelter настроил т.н. "рабочий профиль", куда закинул VPN-приложения (Outline и Amnezia), а также все остальные приложения, которые работают только с впн (YouTube, Strava, Telegram и пр.) - получилась такая изолированная среда для запрещенки. Эмпирическим путем выяснил, что при запущенном впн (неважно каком) в этом рабочем профиле, сервисы по определению внешнего IP (например, myip.com) по-разному детектят внешний айпишник в зависимости от того, из какого профиля идут запросы: если из личного профиля, то определяется айпи провайдера, если из рабочего профиля - айпи впн-сервера. Большинство приложений из личного профиля (Ozon, ВТБ и пр.) тоже не видят включенный в рабочем профиле впн (по крайней мере, не выводят предупреждение о работе через впн); а вот Wildberries каким-то образом умудряется его определять, подозреваю, что по каким-то совсем косвенным признакам и айпи впн-сервера оно все равно узнать не может, (но это неточно).
Рискнул установить себе на смартфон YourVPNDead в личный профиль, в рабочем профиле включил впн, и запустил сканирование. YourVPNDead не обнаружил прямых признаков vpn/прокси, но нашел косвенные. Дальше привожу формулировки из отчета YourVPNDead:
1. Запущено в изолированном профиле: Shelter detected (не в профиле)
2. VPN-интерфейсы: tun0 tun0 (TUN/OpenVPN / WireGuard TUN / VPN Service)
3. MTU аномалия обнаружена Метод: NetworkInterface.getMTU() для всех активных интерфейсов Стандартный MTU: 1500 (Ethernet/WiFi) VPN снижает MTU из-за инкапсуляции (overhead ~60-120 bytes)
...
tun0: MTU 1280 — сильно снижен, двойная инкапсуляция?
Как-то так. Т.е. изоляция профилей только вызовет подозрение на наличие впн, но полноценно задетектить впн такого рода проверки не могут, вероятнее всего.
На мобиле Techno проверял, на основной системе стоит V2RayNG на скрытом пространстве никто его не видит, но там и связь идет напрямую.
Видится мне. Самый бронебойный способ использования vpn на всех устройствах помечать трафик от определенных программ, а уже на роутере рулить куда надо. Все в директ, необходимое в socks.
Все остальное — дырявые полумеры.
ios в пролете. Собственно, отсутствие апп-сплит уже ставит крест на нем, придется на андроид мигрировать так как любая маршрутизация евейдится, в любой список можно залезть тем более когда они публичные. Не говоря уже об отсутствии килл-свитч, когда в любой момент ipleak может произойти потому что айос не позволяет запретить идти напрямую.
С пк понятно. Что там на андроид? Без рут помечать пакеты приложения можно?
Подскажите тупому - чем непосредственно мне это опасно? То, что при внедрении этой функциональности в банки/озон/яндекс впны будут банить быстрее, это понятно Но тут вариант один - избавится от следящих сервисов на основном телефоне
Такое ощущение, что написали прогу, которая обнаруживает, где именно Макс стучит в РКН. А нафига? (т.е. понятно, чтобы было, но пользы не много)
Гораздо полезнее было бы написать прогу, которая наблюдала бы за другими приложениями и сообщала бы, когда они начинают впн пытаться обнаруживать
Когда прошла информация, что мах проверяет доступность заблокированных ресурсов, то я сразу добавил в заблокированные ресурсы IP-чекеры у себя на ВПС и добавил правила маршрутизации для клиентов через JSON. Но в ближайшем будущем я планирую использовать "белые списки" для подключения к зарубежной сети, в котором будут только необходимые сервисы, не работающие благодаря роскомпозору.
Скрытый текст
"2ip.io",
"2ip.ru",
"api.ipify.org",
"api.seeip.org",
"checkip.amazonaws.com",
"maxmind.com",
"icanhazip.com",
"ident.me",
"ip.liquidweb.com",
"ip.mail.ru",
"ip.me",
"ip-api.com",
"ip2location.io",
"ipecho.net",
"ifconfig.co",
"ifconfig.io",
"ifconfig.me",
"ip-api.com",
"ipapi.co",
"ipapi.com",
"ipdata.co",
"ipgeolocation.io",
"ipinfo.io",
"ipstack.com",
"ipv4-internet.yandex.net",
"ipv6-internet.yandex.net",
"myip.com",
"wtfismyip.com",
"www.dp-ip.com",
"www.ipify.org",
"www.trackip.net",
"whatismyip.akamai.com"
Хз что делать обычным юзверям, ну запустил, увидел, что палюсь, а скрыть и крыть нечем..
Есть ли на андроид нормальный файрволл, чтобы можно было отсекать такие обращения?
Использовать маршрутизацию. Хоть и ругают Happ, но в нём можно создать правила маршрутизации по категориям. Типа через прокси гнать трафик только ютуба, телеграмма или ватсаппа. Даже если определять наличие квн, то узнать айпишник сервера не смогут
Маршрутизация не поможет (нужно добавить адреса всех пробивальщиков ip)! Любое приложение на андроид может просканировать открытый socks5 порт, подключиться и запросить IP. А Happ (предыдущая версия, вроде исправили) еще и был уязвим (Позволял дампить конфигурацию включая ключи шифрования )
Я же специально добавил про категории. В geosite.dat и geoip.dat есть разные теги, на любой вкус. Хотите, черз прокси пойдёт только трафик на ютуб, а все остальные напрямую. Захочет приложение посмотреть что там на ютубе - пожалуйста через заграничный прокси, а определить айпишник - вот вам окошко мимо прокси. В тегах геофайлов перечислены только те ресурсы, которые к нему относятся. В моей реализации доступа клиенты могут увидеть только свой реальный IP, который не относится к хостеру
Я с самого начала, как узнал, что айфоны не поддерживают маршрутизацию по приложениям, озадачился этой проблемой. v2raTun на iOS не позволял подгружать конфигурацию в формате JSON для маршрутизации трафика, а вот Happ умел это делать. Для него даже в последней панели от MHSanaei есть специальная настройка
Воспользовался RKNHardering для проверки клиентов v2RayTun и amnezia vpn. Для первого утилита обнаружила только tun0 интерфейс и больше ничего, а вот амнезия раскрыла ip входного сервера (раздельное туннелирование было включено в обоих случаях). Так что я бы ей не пользовался пока не выкатят обновление
Кто-нибудь пробовал запустить чекер впн на GrapheneOS?
Вышло RKNHardering — Android‑приложение для обнаружения VPN, согласно методичке по выявлению сетевых средств обхода