Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 43
Я уже давно сделала для себя выводы
Если расширить этот опыт, то все бигтехи, реализовавшие методичку, должны получить такую же метку?
Лично для меня стало неприятным сюрпризом, что Apple может заблокировать запуск уже установленного приложения.
Учитывая лестницу эскалации, по которой мы все поднимаемся, это ружье на стене не просто так висит.
Вроде оно еще может удаленно деинсталлировать приложение?
Скоро и Гугл тоже. Отзыв сертификата разработчика Google Play - и блокировка его программ, не важно из каких магазинов установленных
Гугель вроде пошёл навстречу и согласился оставить настройку для отключения этих проверок.
Ну хорошо, батюшка, пойдём длинным путём. Привези мне из-за моря цветочек аленький... (с)
ага, первая фаза, топор над головой уже повесили, но пока можно его привязывать к люстре (сделали для трёх с половиной извращенцев возможно задним числом октключить, чтобы заткнулись)
во второй фазе понадобится его держать рукой (настройка уедет в дебри, где её будет почти невозможно найти, и начнёт "почему-то" теряться и её надо будет каждый день/неделю/месяц перепроверять и восстанавливать. Что поделать, несть программы без ошибок)
а в третьей фазе будет "старый непонятный код, который не получается отладить/поддерживать, и которым пользовался 0,001% пользователей, наконец-то удалён при обновлении Андроида"
Очень однобокая статья: нигде не указано, что Cloudflare - это рак интернета.
А в статье не указано что Max - это рак России....
А чем он плох?
Не устанавливается на мой android 8, где телеграм и впн работают.
В качестве ликбеза: "CloudFlare — рак интернета".
Вообще плох. Тем, что слишком хорош. Он стал монополией. Если Cloudflare вас заблокирует, то персонально для вас Интернет станет Чебурнетом, где бы в мире вы не находились. И возможности отказаться от его услуг нет, если сервер его использовал.
Напомню, Cloudflare уже один раз прилёг на часок, и вместе с ним мир прилёг на часок, но никто похоже не научился.
Но сейчас это не наша проблема.
Начнем сначала. Чем плохи все популярные мессенджеры, которые были забанены?
Она однобока не этим, а тем, что там на странице домена, любой анонимный пользователь может проголосовать за присвоение любого тега. И тег про вредоносное ПО так и появился.
А где метка, что статья написана ИИ? Это же чистейший аутпут почти без правок.
Причем, писалась она таким примерно промптом:
Напиши статью для Хабра в жанре тревожно-объяснительного IT-ликбеза для людей, которые вчера узнали слово DNS, но уже хотят разобраться в геополитике мессенджеров.
Тема: у известного сервиса/мессенджера/домена появилась подозрительная метка в системе крупной инфраструктурной компании. Нужно сделать вид, что мы объективно разбираемся, хотя по факту у нас есть один скриншот, три общеизвестных определения и желание растянуть это на 8–10 минут чтения.
Структура:
Начни с фразы в духе: «В сети появилась информация, что крупная IT-компания присвоила домену классификацию X. Прежде чем делать резкие выводы, давайте спокойно разберемся». Обязательно создай ощущение важности, но сразу оговорись, что ничего точно не доказано.
Раздел «Что такое Cloudflare / крупная инфраструктурная компания». Объясни это так, будто читатель впервые видит интернет:
что такое CDN;
что такое DNS;
что такое DDoS;
что такое WAF;
что такое бот;
что такое корпоративная безопасность. Каждый термин объясняй максимально простыми словами, даже если он не особенно нужен для вывода.
Раздел «Что такое Gateway / фильтр / классификация доменов». Нарисуй словами схему: Пользователь → волшебная корпоративная прослойка → сайт. Объясни, что компании могут блокировать malware, phishing, spyware и другие страшные слова. Сделай это обстоятельно, но без технической глубины.
Раздел «Что такое Spyware». Дай широкое определение, чтобы под него потенциально попадало почти любое приложение с телеметрией. Перечисли:
сбор данных об устройстве;
геолокацию;
контакты;
скрытую сетевую активность;
странные DNS-запросы;
телеметрию;
“поведение, похожее на наблюдение”. После списка обязательно напиши: «Но это не значит, что конкретно в этом случае всё именно так».
Раздел «По каким признакам могла появиться метка». Напиши, что алгоритмы не раскрываются, потому что злоумышленники смогут их обходить. Перечисли максимально общие сигналы:
репутация домена;
машинное обучение;
коммерческие базы угроз;
подозрительная инфраструктура;
негативные сигналы из нескольких источников. Не приводи ни одного проверяемого технического факта по конкретному случаю. Вместо этого используй формулы «могут», «вероятно», «не исключено», «возможно», «требует проверки».
Раздел «Что может произойти дальше». Сделай список из пяти пунктов:
корпоративные сети могут начать блокировать домен;
пользователи могут насторожиться;
магазины приложений могут обратить внимание;
удостоверяющие центры могут что-то проверить;
журналисты, ИБ-специалисты и регуляторы могут начать задавать вопросы. В каждом пункте добавь оговорку, что это не обязательно произойдет.
Добавь пример другого приложения, у которого раньше тоже была похожая история. Используй его как “важный прецедент”, но тут же напиши, что прямую аналогию проводить нельзя. Сформулируй цепочку: Метка → внимание → сертификаты → магазины приложений → проблемы. Потом сразу смягчи: «Но это не означает, что здесь будет то же самое».
Финал. Напиши вывод в стиле: «Это не приговор, но и не мелочь». Повтори, что крупная компания — это крупная компания, метка — это метка, сигнал — это сигнал, а доказательство — это не доказательство. Последний абзац должен звучать рассудительно, но по сути повторять введение другими словами.
Стиль:
Псевдообъективный, аккуратный, “без паники, но с тревожной музыкой на фоне”.
Много объяснений базовых терминов.
Минимум собственных технических данных.
Максимум вводных слов: «важно понимать», «само по себе это не значит», «однако игнорировать не стоит», «окончательные выводы делать рано».
Каждые 2–3 абзаца добавляй предохранитель: «это не является доказательством».
Текст должен выглядеть как серьезный разбор, но ощущаться так, будто один абзац новости развернули в десять экранов справочника.
(это был стёб, но я вот сейчас этот промпт закинул в GPT, попросив покороче - он выдал текст раз в полтора лучше этой статьи):
Cloudflare, MAX и тревожная метка: что это может значить, если очень захотеть испугаться
В сети появилась информация, что крупная инфраструктурная IT-компания могла присвоить домену max.ru классификацию из неприятной категории. Прежде чем делать резкие выводы, давайте спокойно разберемся. Спокойно — это важно. Потому что пока у нас, строго говоря, есть не расследование, не технический отчет и не дамп сетевого трафика, а скриншот, несколько знакомых слов и желание понять, насколько сильно надо напрячь брови.
Сразу зафиксируем главное: сама по себе метка в каком-либо сервисе безопасности не является доказательством. Но, как обычно бывает в таких случаях, и совсем пустяком это тоже назвать неудобно. Потому что если крупная компания что-то где-то классифицировала, то это уже выглядит как событие. Даже если мы пока не знаем, кто классифицировал, почему классифицировал и не нажал ли кто-то в интерфейсе не ту кнопку.
Что такое Cloudflare и почему все делают вид, что понимают
Cloudflare — это большая инфраструктурная компания. Проще говоря, она стоит где-то между пользователем и сайтами и помогает интернету выглядеть так, будто он работает. Иногда она ускоряет сайты, иногда защищает их, иногда фильтрует трафик, а иногда становится поводом для статей, где половину текста надо посвятить объяснению DNS.
CDN — это такая сеть серверов, которая раздает сайт не из одного героического компьютера в подвале, а из разных точек мира. DNS — это «телефонная книга интернета»: вы вводите имя сайта, а система выясняет, на какой IP-адрес идти. DDoS — это когда на сайт приходит не один посетитель, а толпа автоматических посетителей с желанием не читать, а уронить. WAF — это фильтр перед сайтом, который пытается отличить нормальный запрос от запроса с выражением лица «я сейчас полезу в базу данных».
Бот — это программа, которая делает что-то вместо человека. Иногда полезное, иногда вредное, иногда просто оставляет ощущение, что интернет населен не людьми, а автоматами с плохими манерами. Корпоративная безопасность — это когда компания говорит: «Наши сотрудники не будут ходить куда попало», и ставит между сотрудником и интернетом еще один слой контроля. Само по себе это не является доказательством чего-либо, но звучит уже достаточно серьезно, чтобы продолжить.
Что такое Gateway и почему сайт может внезапно стать подозрительным
В корпоративной сети путь пользователя можно описать так:
Пользователь → волшебная корпоративная прослойка → сайт.
Эта прослойка называется gateway, фильтр, secure web gateway или как-нибудь еще, в зависимости от того, насколько дорого это продавалось. Ее задача — смотреть, куда идет пользователь, и решать: можно туда идти или лучше показать страницу с красным значком и текстом, который выглядит как приговор отдела ИБ.
Такие системы могут блокировать malware, phishing, spyware и другие слова, после которых обычный пользователь закрывает вкладку, а ИБ-специалист открывает тикет. Malware — вредоносное ПО. Phishing — попытка украсть логин и пароль. Spyware — что-то, что может наблюдать, собирать, отправлять и вообще вести себя так, будто ему слишком интересно. Но важно понимать: наличие категории в интерфейсе фильтра не является доказательством, что конкретный сайт действительно делает всё то, что написано в страшном словаре.
Что такое Spyware, если объяснять широко
Spyware обычно называют программы или компоненты, которые собирают информацию о пользователе или устройстве без достаточно понятного согласия. В широком бытовом смысле под это определение можно при желании подвести половину современного софта, потому что телеметрия давно стала не багом, а бизнес-моделью с настройками приватности.
К признакам, которые теоретически могут вызывать вопросы, относят сбор данных об устройстве, геолокацию, контакты, скрытую сетевую активность, странные DNS-запросы, телеметрию и вообще «поведение, похожее на наблюдение». Формулировка удобная: с одной стороны, звучит тревожно; с другой — почти ничего не доказывает.
Но это не значит, что конкретно в этом случае всё именно так. Это важная фраза, без нее текст из осторожного ликбеза превращается в юридически уязвимый наброс.
Откуда могла взяться метка
Алгоритмы таких систем обычно не раскрываются. И это логично: если подробно рассказать злоумышленникам, за что именно ставится метка, они начнут обходить правила. Поэтому снаружи мы видим только результат, а не кухню.
Сигналы могут быть разные: репутация домена, машинное обучение, коммерческие базы угроз, подозрительная инфраструктура, пересечение с уже известными индикаторами, жалобы, автоматические проверки, негативные сигналы из нескольких источников. Возможно, сработала эвристика. Возможно, домен попал в базу по косвенным признакам. Не исключено, что это ошибка. Вероятно, ситуацию надо проверять руками. Технических фактов по конкретному случаю у нас нет, но зато есть прекрасная возможность написать еще один абзац.
И снова: это не является доказательством.
Что может произойти дальше
Теоретически корпоративные сети могут начать блокировать домен. Не обязательно начнут, но могут. Пользователи могут насторожиться. Не все, конечно, потому что большинство пользователей вообще не знает, что такое доменная репутация, и живет счастливее нас.
Магазины приложений могут обратить внимание. Удостоверяющие центры могут что-то проверить. Журналисты, ИБ-специалисты и регуляторы могут начать задавать вопросы. А могут и не начать. Но в тревожно-объяснительном жанре важно перечислить всю цепочку, чтобы событие выглядело как начало большого процесса, а не как один скриншот из панели фильтрации.
Прецеденты, аналогии и осторожное размахивание руками
В индустрии уже бывали истории, когда приложение или сервис получали неприятную репутационную метку, после чего начиналось внимание: сначала со стороны ИБ-сообщества, потом со стороны сертификатных инфраструктур, потом магазинов приложений, потом пользователей, потом всех сразу.
Цепочка выглядит красиво: метка → внимание → сертификаты → магазины приложений → проблемы.
Но прямую аналогию проводить нельзя. Это другая ситуация, другой домен, другие обстоятельства и, возможно, вообще другой уровень проблемы. Однако полностью игнорировать такие сигналы тоже странно. Не потому что они всё доказывают, а потому что в современной инфраструктуре репутация домена — это уже часть его работоспособности.
Вывод
Это не приговор, но и не мелочь. Крупная компания — это крупная компания. Метка — это метка. Сигнал — это сигнал. А доказательство — это, как ни странно, не просто скриншот с неприятным словом.
Окончательные выводы делать рано. Нужны технические данные, повторяемые проверки, комментарии сторон и нормальный анализ, а не гадание по интерфейсу Cloudflare. Но сам факт появления такой классификации, если он подтвердится, игнорировать не стоит. Он ничего не доказывает, зато отлично показывает, как быстро один маленький ярлык может превратиться в большую тревожную статью на десять экранов.
Не хватает только "это не А это Б" и "это золотой стандарт". Впрочем, я читал по диагонали.
Никакой cloudflair не может никак повлиять на приложение, сделанное для работы в сети и для аудитории к которым у него нет доступа. Статья для этого не нужна.
"Что это значит и к чему может привести". К блокировке Google Play? Останется RuStore и возможно несколько фирменных от Самсунг, Хуавей, Сяоми.
Очень просто. Или ты покупаешь телефон где оно может быть установлено или предустановлено или теряешь доступ к бытовым сервисам, альтернативы которым нет. На пример, фантазирую, не можешь отправить ребёнка в детский сад. Профит. У всех стоит дефолт мессенджер. Кроме шифропанков вне системы и бомжей.
Вы считаете, что невозможность отправить ребенка в сад без определенного софта — это нормально?
Школьные чаты и родительские группы в садике теперь только в МАХ. Запись ребёнка к врачу через Гос. Услуги работает, но не для всех случев. Например при заболевании только через МАХ или телефон(причём висеть 10 мин на линии не очень то комфортно, и не дешево, учитывая что телефон городской, а на моём тарифе звонок на городские вне месячного лимита).
Тем временем метку успели снять) Пишут, что обновили сертификат для этого.
В статье ссылки на собственно страничку вердикта не нашёл, прилагаю: https://radar.cloudflare.com/ru-ru/scan/135615a9-501a-4345-8470-3715087642e4/summary
Господи, сколько воды и повторов, если уж не в состоянии написать текст без помощи ИИ, так убирай хотя бы повторы, а не просто копируй и вставляй. Читать невозможно.
Реклама CF на популярной волне антирекламы Макса. Я так вижу.
Сильно надеюсь, что автор хотя бы не бесплатно такое навайбпостил
Метка шпиона -это очень важно, но ничего не значит. Это вывод из статьи
Не знаю как сейчас, в начале работы с Макс разговаривал с сисадмином, который просто глянул активность приложения. Так эта дичь 24/7 при отозванных разрешениях стучалась в галерею, так что какие данные оно реально собирает, неизвестно
что это значит? Да вообще ничего, на территории РФ, мало кто пользуется ДНС серверами cloudflare тут, чтобы какие-то там через этот ДНС правки в виде 0.0.0.0 айпишников вводились на домены Макса ¯\_(ツ)_/¯
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
MAX и метка Spyware в Cloudflare: что это значит и к чему может привести