У Бастион есть легальный выход в международную сеть сигнализации SS7 и сетевой доступ к инфраструктуре Diameter
То есть какая-то сторонняя контора имеет легальный доступ в сразу две закрытые сети, никаким образом не будучи мобильным оператором? "Легальный" доступ используется исключительно для атак на других операторов? Не подскажете, где такой доступ можно купить?)
Удобство и интеграция с существующим кодом. Никто не будет всё приложение на С++ переписывать ради одной фичи. На .NET можно быстро и без боли реализовать почти что угодно в отличие от неудобного С++.
Ну и за PoC автору спасибо, сам эту тему тыкал - не получилось заставить работать как надо
В школах и детских садах действительно много не надо - пусть лучше учатся, чем в тиктоке деградируют. А вот колледжи и ВУЗы нуждаются в хорошей связи, ибо там сидит одновременно несколько тысяч человек, многие из которых работают и связь им нужна. Кто снова зелёных человечков нашел на антеннах - не понятно...
Статья ни о чем, имхо. Ни названий улучшайзеров, про которых добрая треть статьи, ни методики определения "качества". Ожидать какие-то инструкции, что можно сделать хотя бы в каких-нибудь случаях, уже кажется безнадежным
В моем окружении сейчас сложно найти того, кто все ещё пользуется bash. Если мы пишем для кого-то скрипт - шанс того, что его попробует запустить неподготовленный юзер без zsh/fish в системе околонулевой. А таковой все же найдется - столкнется с суровой реальностью и таки поставит себе zsh, потому что факт попадания скрипта на его машину автоматически означает наличие на ней интернета и прямых рук для установки чего нужно
Силовые детали из пластика - решение интересное, конечно.
Мне интересно, в чем была проблема взять штук 6 аккумуляторов от ноутбука. Удовольствие в Беларуси весьма доступное, а в России будет даже проще. Приблизительная ёмкость одной батареи - ~50 Вт*ч, 6 штук - 300 Вт*ч. Для мотора 250 Вт как раз самое оно, если не гонять сильно
В чем проблема использовать Burp? У него больше всех возможностей по перехвату запросов и их изменению, и из коробки есть всё нужное для автоматического тестирования много чего (перебор значений, генерация запросов, ручные запросы куда угодно и т.д.) Работает на всех платформах
А к кому они по итогу ходят с запросами? Правильно, к Гуглу, CF и прочим. Так что факт запроса скрыть не получится, а при использовании Chrome/Opera/другого не вполне свободного браузера утечка DNS запроса а чей-то публичный сервер резко становится не такой и критичной, ибо браузер сам с превеликим удовольствием сольет автору не только посещенные сайты, но и URL (читай про Google Safe Browsing), время посещения и вообще все, что Гугл или другая излишне доброжелательная корпорация хочет о нас знать
Согласен! С другой стороны, не свой же DNS поднимать. Всё равно все остальные сервера (кроме таковых от чрезмерно приватных, вроде нас), принадлежат корпорациям. Поэтому, так или иначе, наши запросы все равно видны, и что м хотим спрятать — тоже не вполне понятно. Просто гугл с превеликим удовольствием прилепит еще и вои DNS запросы к цифровому профилю, а Cloudflare такого, хочется верить, не имеет
Разные провайдеры. Теоретически, гуглоDNS, как более известный, может попасть под блокировки (привет, Беларусь), а Cloudflare почему-то обошла повальная популярность в гайдах по настройке сети, так что он может оказаться более живуч
IP толком ничего не дает, кроме иногда города, и тот не всегда корректно определяется. Время запроса определяет тоже примерно ничего. Юзерагент одинаковый для всех телефонов данной партии, а частенько (когда производитель забивает на обновления) и для всей модели. В любом случае, без этого 204 некорректно работает детект Captive Portal, так что со сферическим фингерпринтингом по IP в вакууме придется смириться
Уже писал на эту тему на Хакере (https://xakep.ru/2019/06/28/android-privacy/), но повторюсь. Подавляющее большинство того, что у автора "ой, а гугл следит" не представляет абсолютно никакой угрозы, и решается удалением GApps. Жизнь без них вполне себе возможна. А на полном серьезе рассказывать, что кто-то будет следить через пустой generate_204 — даже не смешно уже
То есть какая-то сторонняя контора имеет легальный доступ в сразу две закрытые сети, никаким образом не будучи мобильным оператором? "Легальный" доступ используется исключительно для атак на других операторов? Не подскажете, где такой доступ можно купить?)
Удобство и интеграция с существующим кодом. Никто не будет всё приложение на С++ переписывать ради одной фичи. На .NET можно быстро и без боли реализовать почти что угодно в отличие от неудобного С++.
Ну и за PoC автору спасибо, сам эту тему тыкал - не получилось заставить работать как надо
В школах и детских садах действительно много не надо - пусть лучше учатся, чем в тиктоке деградируют. А вот колледжи и ВУЗы нуждаются в хорошей связи, ибо там сидит одновременно несколько тысяч человек, многие из которых работают и связь им нужна. Кто снова зелёных человечков нашел на антеннах - не понятно...
Смешно выглядит запрет на автоматизацию. Зачем? Может, лучше взять на работу тех, кто автоматизирует, а не банить?
Статья ни о чем, имхо. Ни названий улучшайзеров, про которых добрая треть статьи, ни методики определения "качества". Ожидать какие-то инструкции, что можно сделать хотя бы в каких-нибудь случаях, уже кажется безнадежным
У меня тоже маловато( Помогите, люди добрые, дедушке морозу!
Потому что это стоит как майбах. А вот лишних телодвижений, чтобы заставить этот майбах выехать из гаража побольше, чем на любых жигулях
В моем окружении сейчас сложно найти того, кто все ещё пользуется bash. Если мы пишем для кого-то скрипт - шанс того, что его попробует запустить неподготовленный юзер без zsh/fish в системе околонулевой. А таковой все же найдется - столкнется с суровой реальностью и таки поставит себе zsh, потому что факт попадания скрипта на его машину автоматически означает наличие на ней интернета и прямых рук для установки чего нужно
Силовые детали из пластика - решение интересное, конечно.
Мне интересно, в чем была проблема взять штук 6 аккумуляторов от ноутбука. Удовольствие в Беларуси весьма доступное, а в России будет даже проще. Приблизительная ёмкость одной батареи - ~50 Вт*ч, 6 штук - 300 Вт*ч. Для мотора 250 Вт как раз самое оно, если не гонять сильно
В чем проблема использовать Burp? У него больше всех возможностей по перехвату запросов и их изменению, и из коробки есть всё нужное для автоматического тестирования много чего (перебор значений, генерация запросов, ручные запросы куда угодно и т.д.) Работает на всех платформах
Старый добрый friendly fire в действии
К сожалению, с кармой всё плохо, а статьи писать совсем некогда (позже исправлюсь, как время будет). Можно участвовать?
Уже писал на эту тему на Хакере (https://xakep.ru/2019/06/28/android-privacy/), но повторюсь. Подавляющее большинство того, что у автора "ой, а гугл следит" не представляет абсолютно никакой угрозы, и решается удалением GApps. Жизнь без них вполне себе возможна. А на полном серьезе рассказывать, что кто-то будет следить через пустой generate_204 — даже не смешно уже