Пока СМИ писали про победу команды Дурова над РКН, анонимные разработчики из опенсорс-комьюнити уже две недели сидели в чатах, реверсили DPI и писали патч, который и использовала команда Дурова. Расскажу, как это было на самом деле.
Вскоре после нахождения шпионского модуля в Max я обнаружил критическую уязвимость во всех известных VLESS клиентах.
Эта уязвимость позволяет обходить per-app split tunneling и приватные пространства (Knox/Shelter/Island/etc) и гарантированно обнаруживать выходной ip прокси, который вы используете.
При этом один из клиентов уязвим настолько, что позволяет дампить ваши конфиги и, в худшем случае, расшифровать весь ваш трафик.
Я сообщил об этом разработчикам этих клиентов, но они это проигнорировали. На днях минцифры разослала методичку, из которой ясно что они либо знают, либо скоро узнаю об этой уязвимости.
Я решил, что ждать больше нельзя и нужно публиковать статью об этом чтобы у вас всех был хотя бы шанс. Но сейчас защиты от этого нет.
████████
████████ — ██████████ █ ███████ ██████████████ ██████. ███████ ██████ ███████████ █████ █ █████████████████. █ █████████ ████████, ██████ ██████ █████████ █████████ █████████ ██████ █ █████████████████ ███████████ ████████, ███ ██████ ███████████ █████████████ █████ █ █████ ███████ ████████████ █ █████ █████████ █████████████ ██████, ███ █████ ███████████ ███████████ █ ███████████ ████████ █ █████.
Наверное, каждый видел эти терминалы «Сбера» на кассах магазинов. Раньше там был радостный кот, а сейчас бегают разноцветные глаза. И не знаю, как вам, а мне всегда было интересно, что эти девайсы имеют под капотом. Можно ли туда поставить свои приложения? Неужели «Сбер» сам их сделал? Да и было бы забавно заставить работать игры на нём.
И вот он в моих руках, а далее в статье есть все ответы на вопросы выше. Ну и ещё мы с него звонить будем.
Всем привет!
На связи команда разработчиков Amnezia. Сегодня хотим рассказать о важном обновлении нашего протокола – AmneziaWG 2.0, а также о том, как с его помощью можно развернуть собственный VPN на своем сервере.
AmneziaWG 2.0 – это уже не просто набор новых параметров в конфигурации, а заметный технологический шаг вперед в вопросе восстановления доступа к свободному интернету. Новая версия уже поддерживается в клиенте AmneziaVPN для десктопных приложений и Android у пользователей self-hosted.
Хабр переполнен статьями о VPN и протоколах шифрования. Но корень проблемы — не технический. Я проследил путь от первых блокировок Википедии до 70-миллиардных бюджетов РКН и попытался ответить на вопрос, который почему-то редко задают вслух: почему мы сами оплачиваем собственные ограничения — и соглашаемся с этим?
Привет! Хочу поделиться историей о том, как я пытался трудоустроиться в Яндекс в начале 2026 года. Только факты, без эмоций. От каких‑либо выводов также воздержусь.
Немного контекста. Меня зовут Дмитрий, 44 года, C++/Go разработчик, стаж почти 20 лет, в том числе в крупных международных компаниях. Разрабатывал софт для mobile, desktop, backend, инфраструктурные сервисы. Осенью 2023, имея полупассивный доход, я решил взять перерыв в карьере, с целью сосредоточиться на личных приоритетах и «перезагрузиться». В течение этого времени продолжал поддерживать свои навыки разработчика, держал руку на пульсе индустрии. В итоге, личное разгрёб, перезагрузился, полностью готов к продолжению карьеры в ИТ, ищу работу. Обо всём этом прямо написал в резюме, чтоб предвосхитить вопросы. Да, насчёт резюме, тут ссылку на него давать не буду, пост не для этого; cкажу лишь, что резюме я уделил довольно много внимания, и оно… ну, нормальное.
Итак, в декабре 2025 со мной связался HR из Яндекса с предложением пообщаться насчёт вакансий в инфраструктурные команды. В прошлом я уже несколько раз собеседовался в Яндекс, но обычно отваливался на второй технической секции. Но последнее время активно готовился к собеседованиям и практиковался на LeetCode, и решил попробовать ещё раз. С HR пообщались хорошо. Он сказал что процесс найма в Яндекс в backend сейчас полностью унифицирован, такие‑то секции. Ок, назначили первую секцию — лайвкодинг, скорее всего многопоточка.
Первая секция. Действительно многопоточка. Задачка не то чтоб простая, но и не супер сложная, во время уложился, решил. HR пишет что всё отлично, интервьюер оценил меня высоко — и в техническом плане, и по общению. Назначаем вторую секцию, алгоритмическую, на после праздников. Все праздники готовился, решал LeetCode.
Сегодня наше правительство издаёт циркуляры, по которым программы из жизненно важного для среднего гражданина списка должны стучать “куда надо” о том, что у гражданина есть VPN.
Всё это - произвол в чистой форме, а потому мы можем и должны этому сопротивляться.
Гражданское сопротивление, гражданское неповиновение - вот то, что мы противопоставим этому произволу.
Они хотят сделать стукачей из установленных на наших смартфонах программ?
Мы ответим им тем, что отправим стукачей в цифровой ГУЛАГ. Изолируем эти мерзкие сущности из нашего мира!
Данная статья - инструкция о том, как установить и настроить песочницу Insular/Island. О том, как выселить всех стукачей на отдельный остров и заставить их работать там в изоляции. Без права переписки.
Когда наши горячо любимые вожди в очередной раз заводят разговоры о том, что для экономического прорыва людям нужно просто работать дольше и без лишних вопросов, всегда за кадром остаётся одна фундаментальная проблема. Технологическая конкуренция XXI века все меньше зависит от того, сколько часов человек способен простоять у станка, и все больше - от того, кто быстрее внедряет автоматизацию, переобучает кадры и встраивается в глобальные производственные цепочки.
Человека можно заставить работать дольше. Но это не превращает его в более точный, более предсказуемый и более масштабируемый производственный юнит.
Вчера я 4 минуты стоял в подъезде и смотрел, как два лифта одновременно поехали вверх. Все два. На табло — 12, 15, 18. Я на первом. Мне на шестой. И я подумал: вот я кучу лет пишу софт, оптимизирую запросы к базе данных, кеширую всё что движется — а эти две коробки на тросах не могут разобраться, кто из них должен спуститься за мной.
Потом я погрузился в тему. И выяснил, что они не «не могут разобраться». Они математически не способны найти идеальное решение. Вообще никто не способен. Задача диспетчеризации группы лифтов — NP-трудная. То есть буквально: не существует алгоритма, который гарантированно найдёт оптимальный маршрут за разумное время.
И вот уже 60 лет лучшие инженеры мира решают эту задачу эвристиками. По сути — догадками.
Привет, Хабр!
Если не читали предыдущие статьи — кратко: в РФ сейчас работают белые списки (а мы не знали) подробнее тут, ТСПУ работает в режиме drop‑all, пропуская только одобренные IP + SNI.
Обходилось это легко — покупаешь VPS у VK/Timeweb/Яндекса, получаешь подсеть которая есть в белых списках, поднимаешь VLESS.
Только вот скоро это перестанет работать.
Привет, Хабр! Это zarazaex. Абсолютно ВСЁ о блокировках, DPI, ТСПУ, белых списках и так далее. История РКН и протоколов.
Утром 18 марта создатели приложения Telega активировали скрытую функциональность, позволяющую им перехватывать все данные между их приложением и сервером Telegram, пропуская их через свои сервера.
К сожалению, информации об этом мало, и поэтому была написана эта статья с подробным, повторяемым анализом данного механизма.
Полтора года назад я писал статью «Я тебя найду и позвоню», которая начиналась с кейса угона клиентов, но затрагивала возможность пробива любого абонента. Статья вызвала резонанс, и благодаря этому сервис, показанный в статье, закрыл дыру!
И вот прошло 1,5 года, а что теперь? А теперь мы посмотрим на другие сервисы, но тоже связанные с операторами связи и таргетированной рекламой. Они выводы не сделали. Ведь как оказалось, у них все ГОРАЗДО хуже. Проще пробивать, достаточно звонка или клика по безобидной ссылке, а найти можно гораздо больше. А главное, это по прежнему бесплатно!
Ваши данные доступны всем, бесплатно и в удобной форме. Почему? Читайте ниже!
Внимание, это НЕ шутка на 1 апреля.
После того как я написал статью про то, что ваш монитор не умеет показывать бирюзовый и 65% видимых цветов для него просто не существуют, один мой знакомый (далекий правда от технической отрасли) спросил: «Окей, монитор врёт, а что тогда делает JPEG с оставшимися 35%?» И это хороший вопрос. Я полез в спеку, а через полчаса забыл, зачем вообще полез. Потому меня уже интересовало другое: ребята, которые в 1992-м финализировали этот стандарт, по сути заревёрсили человеческое зрение и запихнули его в алгоритм сжатия.
И я хочу вам про это рассказать, потому что это самый красивый кусок инженерии, который я видел. В той статье я разбирал, как мало мы на самом деле видим. Здесь — как мало нам на самом деле нужно видеть, чтобы мозг поверил, что видит всё. А потом я решил это проверить руками.
Вы наверняка читали статью Ивана Потапенко про то, как избавляться от незаменимых сотрудников.
И тут приходит Иван и предлагает от них избавляться.
Я не буду просто критиковать. Критика без предложений это нытье. Давайте разберем, почему методы Ивана не работают, а потом я расскажу, что работает на самом деле. Спойлер: деньги, культура и организационные методы, а не ротация ради ротации.
История о том, как военкомат собирался применить ко мне ограничительные меры, несмотря на то, что в военкомат я явился (также был риск, что меня доставят в военкомат полицейские - для составления протокола). И как я обжаловал их намерения (на данный момент ограничения не введены и информации о таких намерениях тоже больше нет).
29.11.2025 я получил СМС от номера 117 с текстом: "Вам направлена повестка в военкомат. Ознакомиться: реестрповесток.рф".
По закону возможные ограничение за неявку по повестке (согласно статьи 7.1 Закона №53-ФЗ "О воинской обязанности и военной службе"):
‣ запрет выезда из страны;
‣ запрет на государственную регистрацию физических лиц в качестве индивидуальных предпринимателей;
‣ запрет на постановку на учет в налоговом органе физического лица в качестве налогоплательщика;
‣ приостановки на постановку недвижимого имущества на государственный кадастровый учет и (или) государственную регистрацию прав;
‣ ограничения права на управление транспортными средствами;
‣ запрет на государственную регистрацию транспортных средств;
‣ отказ в заключении кредитного договора, договора займа.
VPN шифрует ваш трафик, но не скрывает сам факт использования VPN. Провайдер знает — и вот как именно. Разбираю четыре уровня обнаружения: от проверки IP по базам до DPI-анализа TLS fingerprint’ов и российских ТСПУ с пропускной способностью 132 Тбит/с, которые в марте 2026-го ушли в bypass из-за перегрузки.
9 апреля 2026 года Apple удалила альтернативный Telegram-клиент Telega из App Store. В тот же день Cloudflare Radar пометил домены telega.me и api.telega.info как spyware, после чего центр сертификации GlobalSign отозвал у проекта TLS-сертификат. 10 апреля Cloudflare снял пометку spyware — по словам разработчиков Telega, после предоставления ими «необходимой информации». Однако 11 апреля VirusTotal (Alphabet) пометил домены Telega как malware. На момент публикации TLS-сертификат остаётся отозванным, приложение в App Store не восстановлено.
Представители Telega заявили «Осторожно, новостям»: «Телега работает через официальный Telegram API с использованием протокола MTProto. Данные защищены шифрованием Telegram».
Я провёл полный технический аудит Android-версии Telega 2.4.2 — статический анализ декомпилированного кода и живой динамический эксперимент на контролируемом стенде. Ниже — что я нашёл.
Представьте: вам дают 10 терабайт текста и говорят — запихни это в файл на 70 гигабайт. Так, чтобы потом по любому вопросу можно было восстановить нужный кусок. Не точно, но близко. Не побайтово, но по смыслу.
Вы бы сказали: «это lossy-компрессия, часть данных неизбежно потеряется».
И были бы правы. Потому что именно это делает LLM.