Пока СМИ писали про победу команды Дурова над РКН, анонимные разработчики из опенсорс-комьюнити уже две недели сидели в чатах, реверсили DPI и писали патч, который и использовала команда Дурова. Расскажу, как это было на самом деле.
Вскоре после нахождения шпионского модуля в Max я обнаружил критическую уязвимость во всех известных VLESS клиентах.
Эта уязвимость позволяет обходить per-app split tunneling и приватные пространства (Knox/Shelter/Island/etc) и гарантированно обнаруживать выходной ip прокси, который вы используете.
При этом один из клиентов уязвим настолько, что позволяет дампить ваши конфиги и, в худшем случае, расшифровать весь ваш трафик.
Я сообщил об этом разработчикам этих клиентов, но они это проигнорировали. На днях минцифры разослала методичку, из которой ясно что они либо знают, либо скоро узнаю об этой уязвимости.
Я решил, что ждать больше нельзя и нужно публиковать статью об этом чтобы у вас всех был хотя бы шанс. Но сейчас защиты от этого нет.
Хабр переполнен статьями о VPN и протоколах шифрования. Но корень проблемы — не технический. Я проследил путь от первых блокировок Википедии до 70-миллиардных бюджетов РКН и попытался ответить на вопрос, который почему-то редко задают вслух: почему мы сами оплачиваем собственные ограничения — и соглашаемся с этим?
Когда наши горячо любимые вожди в очередной раз заводят разговоры о том, что для экономического прорыва людям нужно просто работать дольше и без лишних вопросов, всегда за кадром остаётся одна фундаментальная проблема. Технологическая конкуренция XXI века все меньше зависит от того, сколько часов человек способен простоять у станка, и все больше - от того, кто быстрее внедряет автоматизацию, переобучает кадры и встраивается в глобальные производственные цепочки.
Человека можно заставить работать дольше. Но это не превращает его в более точный, более предсказуемый и более масштабируемый производственный юнит.
Привет, Хабр!
Если не читали предыдущие статьи — кратко: в РФ сейчас работают белые списки (а мы не знали) подробнее тут, ТСПУ работает в режиме drop‑all, пропуская только одобренные IP + SNI.
Обходилось это легко — покупаешь VPS у VK/Timeweb/Яндекса, получаешь подсеть которая есть в белых списках, поднимаешь VLESS.
Только вот скоро это перестанет работать.
«Кроилово ведёт к попадалову» — знает каждый русскоязычный, поляк бы сказал — «Tanie mięso psy jedzą», в британских колониях прозвучит — «Penny wise, pound foolish»...
Это история о том, к чему приводит экономия на SMM персонале и незнание банального
«Quis custodiet ipsos custodes?»
15 апреля 1986 года, Ливия. Майор Брайан Шул ведет SR-71 над пустыней на высоте 24 километра со скоростью 3 400 км/ч. Позади линия, которую Каддафи назвал «линией смерти» и пообещал сбивать любого, кто ее пересечет. Шул пересек ее 20 минут назад. В задней кабине оператор разведсистем майор Уолтер Уотсон докладывает: на панели обороны загорелись индикаторы — ливийские ЗРК ведут обстрел. Предположительно С-2 и С-4, скорость ракет до 5 Махов.
Шул прикинул время, за которое ракеты доберутся до их высоты. Потом посмотрел на указатель скорости. И сделал то, что написано в летной инструкции SR-71 как стандартная процедура уклонения от зенитных ракет: дал полный газ.
Скорость пошла вверх: 3,2 Маха, 3,3, 3,5. Самолет преодолевал около километра каждую секунду. Ракеты взорвались далеко позади. Шул и Уотсон вышли из ливийского воздушного пространства, развернулись к Средиземному морю и обнаружили, что на выделенной скорости проскочили мимо танкера-заправщика, который ждал где-то возле Гибралтара.
AIVPN — это VPN-протокол на Rust, который не только шифрует трафик, но и маскирует его под реальные приложения. Внутри: короткие криптотеги вместо открытого идентификатора сессии, малозаметный старт соединения, профили масок для мимикрии трафика и легковесный модуль нейросетевого резонанса, который отслеживает деградацию маски и позволяет автоматически переключаться на резервный профиль. Сейчас проекту нужна поддержка для развития протокола и выпуска iOS-версии с оплатой Apple Developer Program и размещением в App Store.
Итак, что мы имеем в моменте
Люди зачем-то общаются с чат-ботами, по собственной воле, менеджеры пытаются заменить программистов, а топ-менеджеры так вообще видят скорое наступление AGI.
Поскольку слепо доверять продавцам лопат глупо, попробуем по фактам и аргументам разобраться что же поменялось в мире.
Я провёл аудит веб-сайта CEO Y Combinator Гарри Тана после того, как он похвастался, что выдаёт по 37 тысяч строк кода в день, и держит этот темп уже 72 дня. В статье я покажу, как на самом деле выглядят в продакшене 78,4 тысячи строк ИИ-слопа. При загрузке одной главной страницы http://garryslist.org в 169 запросах загружается 6,42 МБ. И это для простого новостного блога с рассылкой.
В 2019 году я публиковал статью о первой версии своего проекта Russian Railway Simulator. Прошло достаточно много времени, и возможно кто-то думает, что проект умер. Нет, проект не только не умер, но и продолжает развиваться. На днях вышла новая версия игры. В связи с этим реализую свою давнюю задумку написать о проекте еще раз, о том как он развивался все эти годы, к чему мы пришли к сегодняшнему дню и какие перспективы ожидают нас в будущем.
Вы думаете, что на собеседовании выбирают лучшего? Рекрутеры пишут статьи про «снижение неопределённости», «оценку рисков» и «понятных кандидатов». А по факту сами не знают, кого ищут, нанимают сказочников и называют это оптимизацией потока.
Спойлер: «понятный» кандидат обходится бизнесу дороже, чем «непонятный» профессионал. И да, Жизнь за Нер'зула!
Прямо сейчас, на расстоянии более 24 миллиардов км от Земли, 48-летний космический аппарат мчится через межзвёздное пространство со скоростью 61 000 км/ч. Это самый удалённый от Земли объект, созданный человеком. Он передаёт научные данные, которые не может собрать ни один другой существующий прибор. И он делает всё это, имея в распоряжении всего 69 килобайт памяти и 8-дорожечный магнитофон.
У телефона в вашем кармане примерно в миллион раз больше памяти, чем у компьютера, управляющего «Вояджером-1». Одна фотография с низким разрешением, сделанная на том же телефоне, содержит больше данных, чем вся бортовая память «Вояджера-1».
И тем не менее он здесь, по-прежнему функционирует, по-прежнему передаёт данные, по-прежнему делает открытия в области космоса, куда ни один космический аппарат никогда не добирался, спустя почти полвека после того, как он покинул Землю в рамках миссии, изначально рассчитанной на пять лет.
«Вояджер-1» — это, по любым меркам, самая невероятная история успеха в истории человеческого освоения космоса.
История эта началась, когда мне предложили забрать неисправный электропроигрыватель «Вега ЭП-122С». Подумав, я решил, что дарёным «вертушкам» в механизм не заглядывают, и забрал эту «Вегу» с собой.
После моего первого двигателя, в голове стали роиться мысли о создании масштабной модели транспортного средства с настоящим функциональным мотором внутреннего сгорания. Сначала я не мог определиться, что это будет, грузовик, автобус или легковушка. А может быть даже танк? Но реальность поставила всё на свои места. Нельзя делать модель бесконечно большой (а то жена выгонит из дому), а значит, что размер её будет определяться минимальным размером двигателя, который я смогу сделать. Для модели примерно метровой длины наилучшим образом подходил именно легковой автомобиль, и я решился его собрать. По своей традиции — из всякого хлама. Эта статья начнёт рассказ о том, как я себе ретро автомобиль делал. Пока не доделал, конечно, но верю, что скоро.
Что можно сделать со сканером из дешёвого многофункционального устройства? Я решил, что превращу его в сенсорный экран с мультитачем, добавив всего несколько дополнительных компонентов и немного программирования.
Как же я пришёл к такой безумной идее? Источником вдохновения может быть что угодно. Ко мне оно пришло, когда я убирал стол, который использую для хакинга. Как обычно, на нём валялась куча деталей и поломанных устройств и среди прочего многофункциональный принтер Epson Stylus SX125. Я купил его, чтобы задействовать детали принтера в каком-то другом эксперименте, и хотя оборудование сканера было в порядке, плата контроллера, управлявшая и принтером, и сканером, вероятно, уже ни на что не была способна.
Около 300 миллионов лет назад в небе над древними лесами парили создания, по сравнению с которыми современные стрекозы — ничто. Размах крыльев у некоторых достигал 70 сантиметров, а вес — 100 граммов. Эти насекомые, известные как меганевры, или меганизоптеры, были настоящими хозяевами воздушного пространства. Почему они достигали таких размеров? Считалось, что основная причина — древняя атмосфера с высоким содержанием кислорода.
Но оказалось, что эта картина неполная. Работа, опубликованная в журнале Nature, поставила под сомнение привычное объяснение. Ученые внимательно изучили, как устроены мышцы современных летающих насекомых, и пришли к выводу: одного кислорода для гигантизма явно недостаточно. Давайте разберемся, в чем тут дело.
Из этой серии статей вы узнаете о, вероятно, самой глупом, легко предотвратимом и дорогом провале 21-го века, из-за которого Microsoft чуть не потеряла своего самого крупного клиента (OpenAI) и доверие правительства США.
Скучным утром понедельника 1 мая 2023 я впервые вышёл на работу в Azure Core в качестве сениор-сотрудника команды Overlake R&D, разработавшей карту выгрузки и сетевой ускоритель Azure Boost.
Azure не был для меня чем-то новым: наверно, это самая длительная моя подписка на облачный сервис, который был запущен в феврале 2010 года под названием Windows Azure.
Не был я и новичком в Microsoft: с 1 января 2013 года я был частью команды разработчиков Windows, а позже помогал выполнять миграцию SharePoint Online в Azure; в дальнейшем я присоединился к команде Core OS в качестве разработчика ядра. В ней я помогал совершенствовать ядро, участвовал в разработке и реализации платформы Container, поддерживающей Docker, Azure Kubernetes, Azure Container Instances, Azure App Services и Windows Sandbox. Выпуск всех этих технологий привёл к получению множества патентов.
Кроме того, я участвовал в мозговом штурме при создании прототипов карт Overlake в 2020-2021 годах, в составлении драфта предложения коммуникационного протокола и сетевого стека Host OS <-> Accelerator Card ещё на том этапе, когда у нас было лишь последовательное соединение отладчика. Также меня привлекали в качестве специалиста по Core OS, и я помогал разработчикам Azure Core диагностировать глубокие проблемы операционной системы.
В 2023 году я вернулся в Azure сразу в должности специалиста, поскольку уже внёс свой вклад в разработку некоторых из технологий, лежащих в основе Azure, и будучи её пользователем в глобальных масштабах больше десятка лет, как снаружи, так и внутри Microsoft.
Так как я был вернувшимся сотрудником, то пропустил обучение для новичков и получил приглашение Global Security на полдень для получения своего бейджа, но мой будущий менеджер спросил, смогу ли я прийти раньше, потому что тем утром у команды должно было состояться ежемесячное совещание по планированию.
Когда говорят об отечественном дирижаблестроении, обычно первым делом вспоминают трест «Дирижаблестрой», работу в нём Умберто Нобиле и знаменитый воздушный корабль полужёсткой конструкции «СССР В-6 Осоавиахим», советское развитие проекта «Италии» и прообраз «Кирова», который REPORTING. Однако это уже история 1930-х годов, тогда как впервые русский дирижабль поднялся в воздух ещё в 1908 году. Да и в 1920-е, несмотря на все проблемы после Гражданской войны, были построены несколько аппаратов. Давайте посмотрим на то, какими были отечественные дирижабли до того, как их строительство в 1931 году стало централизованным проектом.
Сделал себе VPN, который:
— работает через VLESS Reality, неотличимый от обычного HTTPS
— пробивает белые списки мобильных операторов через relay на Yandex Cloud
— имеет готовый код для аварийного канала через WebRTC и Яндекс.Телемост (пока не понадобился) — автоматически переключается между 4 уровнями защиты
— пропускает российские сайты (Яндекс, Госуслуги, банки) напрямую, без VPN
Весь код, конфиги, скрипты деплоя — всё написал Claude Code. Я только описал проблему и дал ему почитать несколько статей с Хабра про блокировки. Ну и бил его кнутом, пока всё не заработает.
Расскажу, как это устроено и как повторить.