Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 157
«Никогда такого не было, и вот опять»
Ничего, теперь мы знаем, какие западные IP всегда будут в белом списке!
С чего вы взяли?
Наоборот судя по выборке amazon/cloudflare/whatsapp/telegram можно так палить self hosted vpn и потом сдавать их на баны в РКН.
Учитывая, что у ВК да и в целом на российском рынке есть свои нормальные сервисы определения ip и геолокации, эти запросы выглядят больше как малварь, нежели как обычный детект.
есть конечно вариант что это просто какая-то используемая либа в потрохах делает запросы. но сей час уже конспирология это отсутствие злого умысла, а не его наличие.
но сей час уже конспирология это отсутствие злого умысла, а не его наличие.
Это уже конспирология конспирологии, второй уровень рекурсии. Для тех, кто не любит MAX и именно MAX.
Я MAX тоже не люблю, но - за компанию, с Telegram и WhatsApp: мне вообще не нравится идея перести общение с властями на смартфоны, со всеми их, типа, прелестями, вроде геолокации. И банки туда же - всё норовят приложение на смртфон засунуть. Безопасность же смартфона - это штука сомнительная. Потому что в системном ПО всегда есть/неизбежно появятся уязвимости (ибо верифицировать их отсутствие невозможно).
Так что у меня самого смартфона нет, и я постараюсь обойтись без него как можно дольше. Поэтому для меня вся эта статья - конспирология, начиная с вопроса, зачем ее автор вообще написал: он AFAIK обитает в Чехии, и зачем ему за свободу интернета в РФ бороться - чисто непонятно.
зачем ему за свободу интернета в РФ бороться - чисто непонятно.
Наверное потому что у него до сих пор остались друзья и родственники в России?
Но конспирологическое истолкование этот факт допускает, не так ли?
А предыдущий ответ - он как раз был для иллюстрации, что конспирология - она о двух концах, и вообще есть предмет веры.
И людям циничным, вроде меня, для которых первичная установка - "обмануть меня хотят" - на ум изначально приходят как раз другие варианты, конспирологические.
И про MAX, кстати - тоже, но там с мотивацией проще: выгода селфмейдмена - сына Киндерсюрприза там очевидна.
А ещё есть у меня мысль, нельзя ли в MAX каналы и ботов использовать как VPN-канал, который ловит даже на парковке, и даже когда мимо пролетает какой-нибудь Лютый. Это было бы круто, но думать ее до конца мне лень.
Очевидно, они это и делают. Значит владельцы VPN должны заблочить все адреса мах. У кого-нибудь есть cidr-список маха?
Это имело бы значение, если бы разработчики не выполняли ТЗ как запихнуть зонд, а делали мессенджер для людей. Так что хоть майнер там найдите - результата не будет.
вот я тоже не понимал, что с самого начала все искали как оно будет файлы воровать, трафик был бы заметен и телефон быстрее бы садился. а вот сорм на стороне сервиса позволяет сопоставлять пользователя даже за квн, соответственно если кто-то не умеет в выборочную маршрутизацию и имеет макс, яндекс, вк на телефоне, то его квн адрес будет сопоставлен с ним легко.
а описанные в статье "многовекторные" проверки как раз призваны детектить выборочную маршрутизацию
А уж в сочетании с вот такой атакой простор для слежки так вообще огромен: https://habr.com/ru/articles/915732/
Ну обращается и обращается чего бухтеть.
Меры предосторожности можно было бы закончить на первом пункте, пушто если вас уже продавили установить это чудо (пряником или дубиной неважно) то будут продолжать засовывать зонд глубже.
Ну с одной стороны да, но всё же пусть лучше уж мониторят обстановку и предупреждают. Глядишь для кого-то это будет аргументом. Уж пусть лучше опубличивают свои находки и бухтят
Проблема в том, что зачастую IP выходного сервера (которая, как говорится в статье, часто совпадает с входным) РКН сможет на всех ТСПУ глобально раскатывать блокировку определенного IP. Поэтому для корректной работы придется ставить за этим сервером еще однин, который никак не связан с российскими IP адресами. Говоря простым языком - плата за прокси/VPN вырастет в два раза.
а почему тогда это 'не делают' с помощью приложений vk/сбер/rustor/.. приложения по массовости установки мне кажется больше макса?
Может 'пока' не делают, а может и делают, но пока это не обнаружили, т.к. явно все внимание приковано к МАКС'у. Госуслуги вон уже давно при подключении с зарубежных адресов требует поставить макс и блочит аккаунт на 72 часа, так что они вполне себе используют тактику обнаружения IP-адресов.
Это не соответствует действительности. Я без проблем захожу на сайт госуслуг и логинюсь с зарубежного IP. И ничего он от меня не требует.
Нифига. При заходе на госуслуги с иностранного ip без VPN (старлинк) он порой не загружался вовсе. При имитации российского ip уже загружался, но ругался на VPN и ограничивал некоторые функции. То есть, если ты заграницей, то нормально госуслуги не доступны. Но это было ещё до Макса, сейчас не знаю.
А с каких пор ваш личный опыт нужно экстраполировать на всех? На вашем языке: "Это не соответствует действительности. Я не могу зайти на сайт госуслуг с зарубежного IP".
А зачем вы подменой тезиса занимаетесь? Речь про
Госуслуги вон уже давно при подключении с зарубежных адресов требует поставить макс и блочит аккаунт на 72 часа
И это не соответствует действительности, я тоже захожу на ГУ из Европы, и никакой макс меня ставить не заставляют и аккаунт на 72 часа не блочат.
При этом то что вы описываете тоже периодически наблюдается, например во время выборов ГУ в принципе у меня были не доступны, но к Максу это не имеет отношения.
Автор комментария, на который я отвечал, попадает под вашу претензию? Или он не о личном опыте говорил?
Раз на раз не приходится. Был какой-то период времени когда не пускало с европейских IP, тогда помогал ВПН с выходной нодой в РФ.
В какой-то момент начало пускать, но не работала аутентификация - ни на самих госуслугах, ни на смежных сервисах типа налоговой.
По итогу самым рабочим решением оказалась виртуалка (или Windows Sandbox) с установленным Яндекс браузером. В этом случае европейский IP госуслугам до лампочки, и все работает как надо.
Даже находясь в РФ, с отключенным впн, госуслуги запросто могут выкинуть, и написать про подозрительную активность, и 72 часа. Самое забавное, что через 72 часа у некоторых, у меня в том числе, не разблокировалось. В МФЦ сами жалуются что проблема массовая. Особенно поулыбался от самих мфцшников, предложение макс не ставить, потому что связка с госуслугами не работает, и толка большого от него нет.
Потому что макс возбудил конкурентов, лутающих данные тоже, на их окученую поляну вторглись посторонние и лишают доступа с кбору информации - вот и понеслось изучение со всех сторон, чтобы найти зацепки для "разгромных статей".
Так-то если аудит провести, скорее всего половина рустора будет похожую шнягу вытоворять, просто до этого никому никакого дела нет...
скорее всего половина рустора будет похожую шнягу вытоворять
Тот же Яндекс уже ловили с поличным на даже более плохих вещах: https://habr.com/ru/articles/915732/
этим кстати и некоторые сайты занимаются.
Тот же Яндекс уже ловили с поличным
Ага. Причем - на пару с Facebook* (по той же сылке).
Фейсбука нет в русторе, про который говорил автор комментария выше.
Ну и свой, локальный, отечественный товарищ майор с физическим доступом к тушке всегда опаснее кого-то сэра сержанта на другом конце земного шарика.
Фейсбука нет в русторе, про который говорил автор комментария выше.
От этого он, однако не стал белее и пушистее. Корпораты - они во всем мире примерно одинаково наглые.
Ну и свой, локальный, отечественный товарищ майор с физическим доступом к тушке всегда опаснее кого-то сэра сержанта на другом конце земного шарика.
It depends: шарик маленький. Поехал куда-нибудь в Тай - и вот уже мистер сержант стал ближе и роднее, и амерская кича гостеприимно распахивает вам свои двери.
Ну а вас AFAIK это вообще не должно трогать. Разве что, Еврокомиссия американские платформы таки нагнет - но это будет не при Трампе. И не при Вэнсе, даже если вдруг Трамп загнется: Вэнс, помнится, на прошлом Мюнхене европейцам вообще в полный рост выволочку за отсутствие демократии устроил.
Промахнулся, поставил минус комментарию :(
вк, возможно. банки и госуслуги палевно в фоне будить слишком активно. мессенджеру можно навыдавать прав и потом писать а в америке ннегров линчуют а вацап тоже эти права требует.
но весь бигтех - потенциальная угроза. предустановленный софт потенциально самый опасный. а т.к. скрытые неудаляемые (в т.ч. adb) сервисы уже реальность, то обособленные устройства с кастомной прошивкой для российского/нероссийского софта уже просятся.
Я не спец, у меня настроено раздельно по приложениям и банковские приложения видят, что включен ВПН, хотя они в списке исключений
Многие программы, в т.ч. банковские, "видят" ВПН не потому что он ВПН, а просто потому что включена функция. Даже банальный локальный брандмауэр, работающий через функцию ВПН, вызывает панику у банковских и гос. приложений.
Они скорее всего водят что интерфейс ВПН на Андроиде активен. Это как маркер есть ВПН нет ВПН. Куда вы ходите через ВПН и через какой ip они не знают
будут продолжать засовывать зонд глубже.
«...главное — чтобы не раскрыли!» ©
Кстати, разве это не разгадка, ну или по крайней мере одна из причин - зачем всех туда гонят?
Чем больше установленных МАХов - тем больше выявленных РАБОЧИХ IPшников КВН, списки РКН пополняются, те их активно глушат и цикл повторяется. Как результат целая система по поиску негодяйских адресов.
И как бонус - еще и привязка юзера КВН к личности (очевидно, не совсем лояльной личности)
А дальше бонусом можно еще и штрафы накинуть за использование КВН
Так себе причина. Реклама впн нынче из каждого утюга льется и не пытается скрываться. Если бы действительно хотелось бы бороться с впн, то начинать бы стоило именно с них, а не со сложных схем шпионажа.
Уже давно заметил, что телефоны с этим СКАМом, помимо вышеназванных ресурсов, проверяют сотни и сотни других. У меня в логах, больше тысячи попыток установить соединение с сайтами на которых ни я, ни родственники никогда не заходили. И это только за несколько дней набегает. Трафик именно со смартфонов. Никаких ботнетов, смартфоны относительно новые с оф. прошивкой. Сами смартфоны проверил, такую активность только СКАМ в фоне и ведёт. Остальные мирно спят(пока). У меня его нет, но вот родителям пришлось установить, т.к. у них много знакомых, а других популярных альтернатив, государство в своём великодушии нам не оставило.
Всё проверяется на доступ ровно один раз. За секунду проверяются пачками, потом несколько минут тишина и опять. Все подряд в списке блокировке РКН потому и палятся(в пять утра), т.к. у меня не КВН, а приложение обходящее алгоритмы ТСПУ.
К чему я веду, на фоне вступившего в силу в этом году закона, про запрет просмотра запрещённой к просмотру информации, штрафы, а следом и по нарастающей, могут полететь пачками.
А ещё можно открыть 100500 "специальных" КВН-сервисов и тех самых не лояльных и так отследить. Хотя стоп, а что если...
Тут бы такой момент понять. Просто пинг до телеграмма или вотсапа не палит сам по себе IP выходного сервера КВН. Ну есть пинг, есть и есть, чего бухтеть то, может в Беларусь приехал свободный воздух понюхать.
А вот может ли приложение в фоне сделать что-то вроде traceroute? Там будет видно сервера, но Vless вроде как traceroute просто на fallback отобьет, и тоже особо ничего не понятно будет. А если не отобьет - то все, что макс будет знать, что при обращении к tg в какой-то момент появляется прыжок за границу, но он вроде и так появляется же, серверов то в РФ нет.
Я это все к чему, надо срочно маскировать КВН-сервер? Начинать заниматься обратным DPI-инжинирнгом чтобы пинги макса ловить, или пока терпит?
Просто у меня, как и у многих, свой сервер, и КВН я раздал друзьям и родственникам, чтобы они могли жить вне чебурнета, а если у кого-нибудь будет макс? Все, блокировка?
Просто пинг до телеграмма или вотсапа не палит сам по себе IP выходного сервера КВН.
читайте внимательнее: до телеги и ватсапа проверка вероятно идет «заблокировано или нет», а выходной IP прокси-сервера определяется с помощью иностранных myip-сервисов, которые тоже упоминаются в статье.
и макс легко может понять, что выходные адреса при обращении к российским и иностранным ресурсам - разные.
Ну вот он понял, что он ходит напрямую, а телега - разблокирована. То есть по умолчанию мы понимаем - включена маршрутизация. Получается, если эти myip не идут через КВН - у него просто нет информации? А если идет через КВН, почему тут пишут про дополнительную проксю в России, ведь myip видят последний IP сервера (тобишь выходную ноду уже за кордоном)?
Получается, если эти myip не идут через КВН - у него просто нет информации?
да
почему тут пишут про дополнительную проксю в России, ведь myip видят последний IP сервера (тобишь выходную ноду уже за кордоном)?
потому что когда прокся только одна, чаще всего ее входной адрес совпадает с выходным. И тогда можно этот адрес сообщить куда надо и там его заблокируют на ТСПУ.
А если на своём квн-сервере заблочить какой-нибудь mmg.whatsapp.net, то будет ли это выглядеть словно всё нормально?
Все адреса не перебаните. На крайний случай ВК сами могут арендовать зарубежный хост для определения IP и на него стучаться.
юмора камент: развернуть свой квн на котором согласно списку ркн забанить ресурсы!
Ну вот и та самая "нейросеть" РКП, которая выявляет "характерные признаки VPN-протоколов" для последующей блокировки серверов.
Это чё получается, дома надо WAF держать ещё?
Ибо поставил ты такое приложение на отдельный телефон, а что толку. С этого телефона ты только это приложение используешь.
Но ведь с этого IP ты подозрительно часто ходишь в определённые сайты (не важно, сразу зарубежные или сначала российские).
А там и связать всё воедино несложно.
На телеграм и вацапп Макс ломится чтобы собрать маршруты до них, и сопоставив маршрут до самого Макса, помочь РКН вычислить все адреса прокси. Фактически Макс - троян от РКН для блокировки ресурсов обхода блокировки.
Все сервисы обхода на устройствах, где установлен Макс, будут в чёрном списке РКН. Пользователи Макса фактически невольные сотрудники РКН. Я так это увидел.
Разве Макс единственное приложение, которое может этим заниматься? Госуслуги стоят еще у большего количества людей. Им было бы разумно все это делать там. Тогда уж вообще никакие российские приложения не использовать.
Пользователь может фильтровать домены которые идут в средства обхода, и вероятно телега и WhatsApp будут в этом фильтре.
Тогда уж вообще никакие российские приложения не использовать.
Ну, или играть в белые списки со своей стороны — разрешать определённым приложениям доступ только на официальные API, по умолчанию блокируя любые другие подключения.
Вот в этом шуме с максом больше удивляет как относительно тихо приняли ГУ по сравнению с максом, хотя без них-то действительно никак, в той же больничке, да и справки разные без ГУ не получить (а если и получить - геморно)
Краткий вывод из статьи: макс используется для сбора ip vpn серверов.
Публичные vpn сервера окажутся заблокированными одномоментно, а приватные выживут.
Теперь когда друзьям и родным раздаете vpn, нужно изолировать макс от vpn (например, v2raytun на android позволяет выбрать приложения, какие пускать напрямую, а какие через vpn).
приватные как раз прибьют первыми т.к. у них входной и выходной IP обычно совпадает.
Даже если не совпадает, они же у провайдера видят, к каким ip коннекты висят, через который макс увидит, что телега и вацап открыты. Вот их и будут банить, видимо
Имел ввиду, что на своем приватном vpn конечно же не пользоваться максом. А на публичных платных/бесплатных много кто будет пользоваться максом.
Да это не логично с точки зрения ресурсов тспу - занять адрес ради одного пользователя.
Что значит «занять адрес»? Для IPv4 проверка «адрес забанен или нет» вообще делается элементарно за O(1) буквально несколькими инструкциями процессора, для IPv6 чуть сложнее, но тоже решаемо, особенно если херачить не единичные адреса, а сразу по /64 например.
Опять же, можно не просто блокировать адреса, а собирать статистику, какие хостеры/облака чаще используются для личных VPN и блокировать их целиком в первую очередь.
Или ещё интереснее - если сквозь блокировки некоторые абоненты все-таки пробираются каким-то образом, то зная их IP и IP их серверов, можно дампать их трафик на ТСПУ и пристально анализировать, а что же там это такое, что пролезает.
Чтобы это было за О(1), это надо иметь битовую маску по всему диапазону, т.е. занять 4Гб памяти, не в курсе, если там столько оперативки.
Уточнение: битовая маска по всему диапазону нужна чтобы сделать проверку "буквально несколькими инструкциями процессора". Просто за среднее O(1) делается через хеш-таблицу.
надо иметь битовую маску по всему диапазону,
...а потом переходим на IPv6 — и обаньки!
Ну нет, битовая маска в 8 раз меньше - всего 512mb. Плюс есть всякие хитрые структуры данных, хранящие ее сжатой и все еще с O(1) доступом. Самое тупое - разбиваем на куски, для каждого храним варинты: все 1, все 0, битовая маска в массиве по такому сдвигу, все 0, кроме индексов вон в том массиве исключенимй от сих до сих, все 1, кроме индексов в массиве исключений. В худшем случае, конечно, даже больше памяти займет на вспомогательные данные, но на практике будет куча кусков целиком из 0 или из 1.
Да, точно, про в 8 раз меньше согласен. А вот что за тупой алгоритм не понял. Можно какой-то псевдокод как проверить адрес.
Допустим у нас битсет на N бит. Разбиваем на M блоков размера K=N/M. Заводим массив вспомогательных данных на M элементов, каждый говорит, заполнено ли там целиком 0, 1, или смотреть биты в битсете с какого-то оффсета, или где храниться список индексов с 1. Все несжатые куски хранятся рядом в одном битсете.
Что-то вроде этого:
int GetBit(int idx) {
int bucket_id = idx / 2048;
switch bucket_type_[bucket_id] {
case kAll0:
return 0;
case kAll1:
return 1:
case kBitset:
return bitset_[bucket_data_[bucekt_id] + idx % 2048]
case kExceptionsAre1:
// В куске не более 10 единичных бит.
return std::find(exceptions_.begin() + bucket_data_[bucket_id],
exceptions_.begin() + bucket_data2_[bucket_id]
, idx) != exceptions_.end();
}
}В худшем случае bitset_ будет размера со все N бит, но если там много кусков сильно или слабо заполненных, структура занимает мало места.
Только одна проблема - в таком виде структура неизменяема. Если вот эти куски в bitset_ хранить отдельно в куче и вместо одного массива exceptions_ иметь кучу set в куче, то оно даже изменяемо, но производительность там будет такая себе. Там надо будет при изменении бита смотреть, можно ли поменять тип блока.
Edit: Это называется Roaring Bitmaps.
Можно делить IP-адрес на 8, делать битовый shift на остаток и логическое «И» с тем что лежит по адресу - и вот надо уже не 4 гигабайта, а всего 512 мегабайт, а если выкинуть огромные локальные диапазоны типа 10.0.0.0/8 и подобные, то еще меньше.
Можно разбить пространство на блоки по /24, сначала проверять, есть ли вообще заблокированные адреса в блоке, если нет - пропускаем, если есть - делаем точную проверку, и т.д. Простора для оптимизации много, это классическая литкодная задача из разряда тех что любят давать на собеседованиях.
за О(1) можно сделать бинарным деревом, будет достаточно быстро и позволяет блокировать и проверять сразу подсети.
А кто-то удивиться, если выяснится, что многие отечественные публичные сервисы принадлежат лицам, так или иначе связанным с РКН?
В любом нормальном клиенте впн можно выбирать, какие приложения ходят напрямую, какие нет... Тот, кто не выставляет белый список - ССЗБ.
А так все верно сказано - скорее всего, проверяют доступность заблокированных адресов, чтобы, во-первых, искать провайдеров, которые не блокируют (штрафы там большие, так что мотивация есть), и во-вторых, чтобы оперативно собирать адреса публичных впн с буратин, заворачивающих весь траф туда без разбора.
Уже давно все мессенджеры держу в отдельной виртуалке на десктопе, ибо все в равной степени говнюки. На телефоне, на мой взгляд, нормально работает только аппаратное разделение лол - нужен ватсап и прочие запрещенограммы - купи второй телефон для них, а основа со всеми максами, банками и пятерочками должна быть такой, как будто у тебя ее ежедневно товарищ майор досматривает. Утечки с дырами в бесконечной маркетинговой шняге никто не отменял, любителей собирать данные тоже...
В любом нормальном клиенте впн можно выбирать, какие приложения ходят напрямую, какие нет
Гораздо чаще люди просто используют правила маршрутизации по geoip/geosite, а они как раз уязвимы к подобному сбору данных
На мобильных устройствах нет возможности по приложениям байпассить. По крайней мере в iOS такое не работает. При всем желании.
Плюс, 99% настроят, 1% не настроят. И все. Сложно вылезти из категории «ССЗБ» в таких условиях.
На мобильных устройствах нет возможности по приложениям байпассить.
Nord точно умеет на андроиде, пару недель назад настроил и забыл про вот это всю возню с вкл/выкл/вкл/выкл ВЧС.
Ну а iOS - это осознанный выбор, со своими плюсоминусами, за всё приходится чем-то платить.
На мобильных устройствах нет возможности по приложениям байпассить.
На Android возможность есть, такое умеет даже мой вайбкоженный клиент для HTTPS-прокси как VPN:
Uses
VpnService.Buildermethods:- Whitelist Mode (ALLOW): Only selected apps use VPN via
addAllowedApplication()- Blacklist Mode (DISALLOW): All apps except selected use VPN via
addDisallowedApplication()
Для банковских приложений стоит отдельный телефон завести: чтобы не отобрали на улице, и чтобы на нём был минимум сторонних приложений (меньше вероятность взлома). То есть, получается, стоит минимум три смартфона покупать :-)
Давно для банков и Госуслуг завёл отдельный телефон с отдельной же симкой, с которой и сам не звоню, и звонки на неё не принимаю, да и вообще, он практически постоянно выключен.
Да, не совсем удобно в плане оперативного доступа ко всему этому хозяйству, но зато безопаснее.
Разумно (IMHO)
@Давно для банков и Госуслуг завёл отдельный телефон с отдельной же симкой,
Аналогично, только вдобавок симка в отдельном кнопочнике (который постоянно выключен), ну а денежно-государственные приложения все в специальном смартфоне, который не используется больше вообще ни для чего.
@стоит минимум три смартфона покупать :-)
Учитывая, что простенький смарт стоит почти ничего, да и устаревших накапливается в любой семье обычно много, я не вижу в этом никакой проблемы.
Была такая мысль, но, думаю, ходить на ГУ и в Мах для ГУ лучше с мобильного интернета, а не светить свой домашний IP или раздавать со своего основного телефона, засветив тем самым его IP.
Если есть модели кнопочников, которые умеют раздавать Wi-Fi, подскажите, потому что мой Nokia 6300 в это не умеет.
@и в Мах для ГУ
Я в Max для ГУ не хожу (вообще Max не имею ни на одном устройстве), мне как-то Google Authenticator-а хватает для ГУ. Кнопочник у меня, разумеется, в Wi-Fi не умеет и служит только для крайне редкого приема регистрационых SMS откуда-либо. Связка Max-ГУ мне представляется огромной дырой в безопасности, даже не касаясь "товарища майора".
Пример проблемы: отказ банковского приложения ставиться на устройства с версией android ниже xx. А ваш устаревший, но вполне живой девайс как раз на версии xx-1
Есть еще второе пространство, туда удобно ставить все что нужно изолировать от внешнего влияния, и, заодно, лишний раз не выпускать из него.
Для банков и госуслуг вообще телефон не нужен - веб интерфейс рулит)
а если изолировать его в «защищенном/втором пространстве» телефона на Android? в той же папке Knox на Самсунге? и он там будет в одиночестве - он всё равно будет долбиться по этим URL?
Еще пару лет и 90% населения научится создавать изолированную виртуальную цифровую личность не хуже спецслужбистов.
Эдакий инстаграмм для специфической аудитории. Товарищ майор, а вот мои фобии так я хотел бы выглядеть. /s
Дык это же хорошо. Цифровая грамотность - полезный навык ;)
Главное, чтобы эта изолированная виртуальная цифровая личность была ещё и мошенникоустойчивая и не бросалась переводить деньги на безопасный счет по первому же звонку.
Не была настолько идеально-законопослушной, что сама вас сдаст.
нет, это не хорошо. нулевое доверие государству это дно даже по меркам рабовладельческого строя.
"Верить в наше время нельзя никому. Порой даже себе." (с)
@нулевое доверие государству это дно
Собственно, почему это дно? На мой взгляд это как раз норма всегда и везде, если государство это не ты сам (или если хотя бы не входишь в самую верхушку правящей элиты).
потому, что нулевое доверие исключает любые договорные отношения.
Имхо, если норма не доверять государству, то нормой также будет и попытка скрыть действия или даже гражданина от государства, что превращается в определенный фарс. Если граждане вынуждены разными способами защищаться от государства - это странно.
Это точно не норма и не всегда, тем более не везде, имхо. Государства конечно бывают разные, от умирающего талибана с разбегающимися во все стороны "гражданами" до длительного санмарино, но вряд-ли их можно напрямую сравнить как всегда и везде.
норма всегда и везде, если государство это не ты сам (или если хотя бы не входишь в самую верхушку правящей элиты).
Если в верхушку нашей новой элиты, то там не очень наблюдается доверие к государству, наоборот скрывают что могут.
круто, государственный пентест)
это может быть необходимо для корректной настройки P2P‑звонков через WebRTC
Действительно ли? Меня терзают смутные сомнения.
Для p2p соединений, насколько мне известно, используют STUN сервера, и они у Max (Ok, VK и т.д.) имеются.
А больше внешний айпи ни для чего и не нужен мессенджеру, я так вижу.
Если речь про STUN запросы (как раз определение внешнего ip адреса), то это элементарно может оказаться нормальным.
Серверов STUN в интернете море, при этом часть из них появляются, часть исчезают и так постоянно. Когда я писал свою звонилку, чтобы не держать свои STUN сервера я использовал чужие - есть целые подборки в интернете актуальных серверов, так что достаточно сначала получить их список, а затем обращаться к случайным из них.
Так что схема абсолютно понятная и даже не подозрительная. Но конечно в продакшн решении дабы спрятать ip использующих max логично поднять свои серверы STUN и отправлять запросы на них
логично поднять свои серверы STUN и отправлять запросы на них
У VK/Mail.ru (разработчиков Max) уже давно есть свои собственные STUN-сервера (также используемые для звонков в ВК, например), поэтому для работы основного функционала им не нужны внешние чужие.
Именно поэтому схема не понятная и подозрительная.
Если речь про STUN запросы
Сервера указанных в статье сервисов не отвечают на STUN-запросы, они отдают IP-адрес клиента по обычному HTTP GET.
Цифровой стукач потихоньку развивается. Если нет возможности использовать клиент на отдельном устройстве, которое не используется для реальной жизни, то придется ограничивать доступ Максу (например разрешать сетевые подключения только к определенным адресам). У всех же в домашней сети всякие SmartTV и колонки ходят по "белым спискам" в Интеренет.
А объясните пож., если маршрутизация разделена по приложениям, как Макс может использовать IP WhatsApp'а если теоретически весь его трафик должен пройти мимо ВПН?
если маршрутизация разделена по приложениям, то все как раз неплохо. Max стучится на домен Whatsapp, трафик идет напрямую мимо впн, домен заблочен/замедлен - все как надо.
А как тогда те же Парковки определяют, что "Возможно у вас подключен ВПН...", хотя эта хайлилайки совсем не мешает их работе
Android позволяет это узнать любому приложению, активен в системе VPN или нет. ConnectivityManager возвращает NetworkCapabilities.TRANSPORT_VPN если впн-клиент активен и подключен .
Интересно, что AdGuard на телефоне для блокировки рекламы включает VPN. Причём даже если не сам VPN как таковой от AdGuard, а просто именно что блокировщик рекламы. Интересно, РКН и AdGuard тогда блокировать будет чтоль?
AdGuard на телефоне создаёт TUN-device и анализирует весь проходящий через него трафик. Делается это с помощью Android VPN API.
Для блокировки рекламы часть трафика вырезается.
https://news.ycombinator.com/item?id=23619662#:~:text=> AdGuard desktop and mobile apps,there is always SNI scanning.
например, это может быть необходимо для корректной настройки P2P‑звонков через WebRTC.
Зачем? PeerConnection сам собирает ICE кандидатов. Надо только STUN сервер ему указать. Можно и к публичным, даже западным, обращаться.
Сложно все это. Очень похоже на паранойю. Есть более простые способы собирать информацию о vpn сервисах.
Если применить "бритву Оккама", то окажется все сильно прозаичнее.
А кто сказал, что те кто придумал такой способ собирать информацию семи пядей во лбу? Блокировку локалхост помните?
Ничего сложного здесь нет. И выводы очень логичные. Это просто один n способов для сбора подобной статистики.
Если применить "бритву Оккама",
Если применить бритву Хэнлона и учесть, что MAX, как и полагается блатным приложениям, сделанным для освоения темки, писался левой задней ногой. Я, сам не могу сказать, потому что мобильной разрабооткуой не занимаюсь, но имею серьезные подозрения, что есть-какая-то библиотека для определения собственного IP, лазающая точно на те же серверы, а разработчики ее просто взяли и вкорячили к себе, без задней мысли.
В целом же о разработках вского ПО на госденьги, особенно - коммерческой конторой, как в случае MAX, следует ожидать, что они подобны носорогу: квалификация у них не ахти, но это не их проблемы.
Есть более простые способы собирать информацию о vpn сервисах.
мессенджер хороший кандидат для трояна и внедрения.
прав много по умолчанию. под каким предлогом вы будете заставлять устанавливать бюджетников и студентов приложение для заказа пиццы?
детектор впн это же потенциально не единственный его вредоносный функционал.
Во‑вторых, в списке исходящих соединений также видны обращения клиента MAX к доменам, связанным с Telegram и WhatsApp:
И это уже выглядит как проверка проверка сетевой среды (например, доступ к каким доменам режется провайдером) и доступны/заблокированы ли конкуренты. Например, домен mmg.whatsapp.net используется WhatsApp для загрузки медиа по прямым ссылкам. В настоящий момент Роскомнадзор блокирует этот домен, и его можно удобно использовать для мониторинга
То есть на всех абонентских устройствах они проверяют "качество блокировок" у каждого провайдера, чтобы потом штрафовать или уничтожать тех, кто что-то не блокирует.
Если квн на телефоне работает, там можно настроить, какой трафик мимо пропускать, а какой через.
А можно ли как-то на роутере такое сделать? У него ведь нет информации о приложениях, запущенных на подключенных аппаратах.
Портативный роутер решает кучу проблем, стоит недорого, весит мало, питается от пауэрбанка. Есть gl.inet, есть более доступные аналоги. Это уже необходимый минимум к закупке.
Не очень понятно, от какого числа оригинальное сообщение, но запросы к серверу whatsapp и серверу телеги перепроверяли вечером 25 февраля, уже тогда их не было.
Выглядит как статья, опоздавшая на неделю.
Не прокатило, вычеркиваем? Ждем в следующем обновлении? :)
Дамп PCAP на форуме от февраля, да, но некоторые люди там перепроверили и подтвердили проблему буквально вчера.
Возможно подобные «сканирования» выполняются не постоянно, а «волнами» для разных групп абонентов или даже по команде от сервера.
Сейчас там один из пользователей реверсит APK, предварительно говорит «все даже хуже чем мы думали» и обещает выпустить подробный разбор, ждем.
Я правильно понимаю, что простое выключение впна перед запуском макса не поможет и они это будут и в бекграунде проверять?
Хороший какой софт создали. Которым или не пользоваться или пользоваться на отдельном девайсе только. Стыд и срам
Может ли таким же заниматься браузерная версия Макса web.max.ru?
Сам сегодня мониторил коннекты и действительно, встречались эти адреса.
Пишите все петицию в гугл и эппл что MAX имеет поведение трояна, чтобы его убрали из магазинов приложений. Выходит это мошенники. Это недопустимое поведение.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Российский мессенджер MAX замечен в обращении к иностранным сервисам определения IP и серверам конкурентов