Все потоки

Вскоре после нахождения шпионского модуля в Max я обнаружил критическую уязвимость во всех известных VLESS клиентах.

Эта уязвимость позволяет обходить per-app split tunneling и приватные пространства (Knox/Shelter/Island/etc) и гарантированно обнаруживать выходной ip прокси, который вы используете.

При этом один из клиентов уязвим настолько, что позволяет дампить ваши конфиги и, в худшем случае, расшифровать весь ваш трафик.

Я сообщил об этом разработчикам этих клиентов, но они это проигнорировали. На днях минцифры разослала методичку, из которой ясно что они либо знают, либо скоро узнаю об этой уязвимости.

Я решил, что ждать больше нельзя и нужно публиковать статью об этом чтобы у вас всех был хотя бы шанс. Но сейчас защиты от этого нет.

Хабр переполнен статьями о VPN и протоколах шифрования. Но корень проблемы — не технический. Я проследил путь от первых блокировок Википедии до 70-миллиардных бюджетов РКН и попытался ответить на вопрос, который почему-то редко задают вслух: почему мы сами оплачиваем собственные ограничения — и соглашаемся с этим?

Привет, Хабр!

Если не читали предыдущие статьи — кратко: в РФ сейчас работают белые списки (а мы не знали) подробнее тут, ТСПУ работает в режиме drop‑all, пропуская только одобренные IP + SNI.

Обходилось это легко — покупаешь VPS у VK/Timeweb/Яндекса, получаешь подсеть которая есть в белых списках, поднимаешь VLESS.

Только вот скоро это перестанет работать.

Сегодня наше правительство издаёт циркуляры, по которым программы из жизненно важного для среднего гражданина списка должны стучать “куда надо” о том, что у гражданина есть VPN.

Всё это - произвол в чистой форме, а потому мы можем и должны этому сопротивляться.

Гражданское сопротивление, гражданское неповиновение - вот то, что мы противопоставим этому произволу.

Они хотят сделать стукачей из установленных на наших смартфонах программ?

Мы ответим им тем, что отправим стукачей в цифровой ГУЛАГ. Изолируем эти мерзкие сущности из нашего мира!

Данная статья - инструкция о том, как установить и настроить песочницу Insular/Island. О том, как выселить всех стукачей на отдельный остров и заставить их работать там в изоляции. Без права переписки.

15 апреля 1986 года, Ливия. Майор Брайан Шул ведет SR-71 над пустыней на высоте 24 километра со скоростью 3 400 км/ч. Позади линия, которую Каддафи назвал «линией смерти» и пообещал сбивать любого, кто ее пересечет. Шул пересек ее 20 минут назад. В задней кабине оператор разведсистем майор Уолтер Уотсон докладывает: на панели обороны загорелись индикаторы — ливийские ЗРК ведут обстрел. Предположительно С-2 и С-4, скорость ракет до 5 Махов.

Шул прикинул время, за которое ракеты доберутся до их высоты. Потом посмотрел на указатель скорости. И сделал то, что написано в летной инструкции SR-71 как стандартная процедура уклонения от зенитных ракет: дал полный газ.

Скорость пошла вверх: 3,2 Маха, 3,3, 3,5. Самолет преодолевал около километра каждую секунду. Ракеты взорвались далеко позади. Шул и Уотсон вышли из ливийского воздушного пространства, развернулись к Средиземному морю и обнаружили, что на выделенной скорости проскочили мимо танкера-заправщика, который ждал где-то возле Гибралтара.

Прямо сейчас, на расстоянии более 24 миллиардов км от Земли, 48-летний космический аппарат мчится через межзвёздное пространство со скоростью 61 000 км/ч. Это самый удалённый от Земли объект, созданный человеком. Он передаёт научные данные, которые не может собрать ни один другой существующий прибор. И он делает всё это, имея в распоряжении всего 69 килобайт памяти и 8-дорожечный магнитофон.

У телефона в вашем кармане примерно в миллион раз больше памяти, чем у компьютера, управляющего «Вояджером-1». Одна фотография с низким разрешением, сделанная на том же телефоне, содержит больше данных, чем вся бортовая память «Вояджера-1».

И тем не менее он здесь, по-прежнему функционирует, по-прежнему передаёт данные, по-прежнему делает открытия в области космоса, куда ни один космический аппарат никогда не добирался, спустя почти полвека после того, как он покинул Землю в рамках миссии, изначально рассчитанной на пять лет.

«Вояджер-1» — это, по любым меркам, самая невероятная история успеха в истории человеческого освоения космоса.

AIVPN — это VPN-протокол на Rust, который не только шифрует трафик, но и маскирует его под реальные приложения. Внутри: короткие криптотеги вместо открытого идентификатора сессии, малозаметный старт соединения, профили масок для мимикрии трафика и легковесный модуль нейросетевого резонанса, который отслеживает деградацию маски и позволяет автоматически переключаться на резервный профиль. Сейчас проекту нужна поддержка для развития протокола и выпуска iOS-версии с оплатой Apple Developer Program и размещением в App Store.

Итак, что мы имеем в моменте

Люди зачем-то общаются с чат-ботами, по собственной воле, менеджеры пытаются заменить программистов, а топ-менеджеры так вообще видят скорое наступление AGI.

Поскольку слепо доверять продавцам лопат глупо, попробуем по фактам и аргументам разобраться что же поменялось в мире.

9 апреля 2026 года Apple удалила альтернативный Telegram-клиент Telega из App Store. В тот же день Cloudflare Radar пометил домены telega.me и api.telega.info как spyware, после чего центр сертификации GlobalSign отозвал у проекта TLS-сертификат. 10 апреля Cloudflare снял пометку spyware — по словам разработчиков Telega, после предоставления ими «необходимой информации». Однако 11 апреля VirusTotal (Alphabet) пометил домены Telega как malware. На момент публикации TLS-сертификат остаётся отозванным, приложение в App Store не восстановлено.

Представители Telega заявили «Осторожно, новостям»: «Телега работает через официальный Telegram API с использованием протокола MTProto. Данные защищены шифрованием Telegram».

Я провёл полный технический аудит Android-версии Telega 2.4.2 — статический анализ декомпилированного кода и живой динамический эксперимент на контролируемом стенде. Ниже — что я нашёл.

Разбор 5-ти кластеров ИТ‑сред и тест на совместимость для тех, кто хочет построить карьеру, сохранив нервную систему.

Так сложилось, что моя профессиональная ИТ кривая прошла через стартапы, галеры, продуктовку, бигтех, энтерпрайз и госуху. И если в юности я делал выбор места работы не осознанно и не всегда удачно, то с возрастом появлялось настойчивое желание эту тему отрефлексировать, чтобы ответить на вопрос: «Чего ж тебе ещё надо собака?». У меня есть предположение, что я не одинок в этом вопросе выбора, поэтому хочу поделиться тем что из этого получилось. Погнали...

Надпись на храме Аполлона в Дельфах иногда высмеивают, но в управлении карьерой это может оказаться весьма неплохим инструментом. «Познай себя» означает честную инвентаризацию своей толерантности к хаосу, амбициям и типам давления. На мой взгляд, большинство профессиональных неудач — это не от недостатка скиллов, а чаще конфликт личности и среды. Я часто наблюдал как один и тот же человек, совершенно непригодный к одной ситуации, буквально «расцветал» в другой. Когда ваша внутренняя прошивка несовместима с операционной системой компании, трение сжигает ресурс быстрее, чем работа. Когда ваша внутренняя прошивка совпадает с операционной системой компании, трение минимально. Энергия уходит в работу, а не в преодоление среды.

Рынок IT гетерогенен и давно уже кристаллизовался в кластеры с мало‑пересекающимися правилами игры. Ошибка в выборе кластера стоит 2–3 лет жизни и куска нервной системы. Специалисты часто мечутся между средами, пытаясь играть по чужим правилам, и закономерно проигрывают.

В 2019 году я публиковал статью о первой версии своего проекта Russian Railway Simulator. Прошло достаточно много времени, и возможно кто-то думает, что проект умер. Нет, проект не только не умер, но и продолжает развиваться. На днях вышла новая версия игры. В связи с этим реализую свою давнюю задумку написать о проекте еще раз, о том как он развивался все эти годы, к чему мы пришли к сегодняшнему дню и какие перспективы ожидают нас в будущем.

Сделал себе VPN, который:

— работает через VLESS Reality, неотличимый от обычного HTTPS

— пробивает белые списки мобильных операторов через relay на Yandex Cloud

— имеет готовый код для аварийного канала через WebRTC и Яндекс.Телемост (пока не понадобился) — автоматически переключается между 4 уровнями защиты

— пропускает российские сайты (Яндекс, Госуслуги, банки) напрямую, без VPN

Весь код, конфиги, скрипты деплоя — всё написал Claude Code. Я только описал проблему и дал ему почитать несколько статей с Хабра про блокировки. Ну и бил его кнутом, пока всё не заработает.

Расскажу, как это устроено и как повторить.

Однажды на онлайн-барахолке мне на глаза попался так называемый «дисплей покупателя» — алфавитно-цифровое табло, которое стоит на кассе и показывает текущий товар в чеке и сумму покупки. Это был старый экземпляр, с красивым зелёным VFD-дисплеем, да и стоил он копейки. Пройти мимо я не смог. Ну а потом, как и многие обладатели очумелых ручек до меня, захотел сделать какую-нибудь самоделку на его основе.

Конечно, можно было бы засунуть туда ESP-шку и сделать погодную станцию, часы, или транслировать уведомления о новых сообщениях в ТГ и WhatsApp. Это всё, безусловно, по-своему интересно. Но самым большим моим увлечением являются игры. И поэтому я решил сделать из табло электронную игру. Как говорится, «но зачем?» Ответа у меня нет. Но есть рассказ, что и как я сделал.

Что если бы каждое устройство в интернете имело свой уникальный адрес, было доступно напрямую из любой точки мира, а весь трафик шифровался автоматически - без настройки VPN, без проброса портов, без центральных серверов?

Именно так работает Yggdrasil - mesh-сеть, в которой ваш адрес вычисляется из криптографического ключа, маршруты строятся сами, а NAT перестаёт быть проблемой. Разбираемся, как это устроено.

Приветствую тебя, %USERNAME%! Ох и давно я не писал ничего на Хабр (10+ лет) — чернила высохли, перо затупилось. И все же, читая последние сводки, мой академический интерес проснулся.

Если вдруг пропустили и не понимаете о чем я, то информационный фон сейчас бурлит: тут и новости про то, как большинство популярных приложений детектируют VPN, и выход утилиты RKNHardering, и методички по борьбе с обходами, и тревожные отчеты о свободе интернета в 2026 году. Но последней каплей стала статья про критическую уязвимость VLESS-клиентов, из-за которой «скоро все ваши VPN будут заблокированы».

Смахнув скупую мужскую слезу, вызванную этим богатым на эмоции потоком, я задумался: а насколько вообще сложно детектируется VPN на Android? Оказалось, что даже с использованием сплит-туннелирования у приложений остается вагон возможностей для детекта (хоть и не 100%, но все же).

После моего первого двигателя, в голове стали роиться мысли о создании масштабной модели транспортного средства с настоящим функциональным мотором внутреннего сгорания. Сначала я не мог определиться, что это будет, грузовик, автобус или легковушка. А может быть даже танк? Но реальность поставила всё на свои места. Нельзя делать модель бесконечно большой (а то жена выгонит из дому), а значит, что размер её будет определяться минимальным размером двигателя, который я смогу сделать. Для модели примерно метровой длины наилучшим образом подходил именно легковой автомобиль, и я решился его собрать. По своей традиции — из всякого хлама. Эта статья начнёт рассказ о том, как я себе ретро автомобиль делал. Пока не доделал, конечно, но верю, что скоро.

LLM сделали меня сильно эффективнее, расширили диапазон моих услуг, но вместе с этим почти убили ту часть разработки, ради которой я вообще когда‑то в нее пришел.

А потом мне привезли шкаф. И он неожиданно все расставил по местам.

Десять устройств дома, и каждому нужен доступ к заблокированным ресурсам. Ставить VPN-клиент на телевизор и колонку — невозможно, на телефон жены — бесполезно.

Я настроил прозрачный VPN на роутере: VLESS+Reality+XTLS-Vision через TPROXY на OpenWrt. Сплит-роутинг по GeoIP и доменам, автообновление серверов из подписки каждые 30 минут, балансировка по задержке, procd с автоперезапуском. В статье — полный путь от коробочного Cudy TR3000 до рабочей системы: nftables, policy routing, base64-декодер на awk и все баги, которые я нашёл по дороге.

Сегодня софт скиллы в IT превратились в удобный инструмент для манипуляций и газлайтинга. Под видом адаптивности и эмпатии нам продают некомпетентность менеджмента и отсутствие внятного планирования. Почему ваши личные качества обсуждают чаще, чем профессиональные результаты? Почему вместо нормальной работы требуют бесконечной гибкости? Разбираемся, почему мода на мягкие навыки стала токсичной и почему обычное человеческое воспитание гораздо важнее любых корпоративных тренингов.

Что можно сделать со сканером из дешёвого многофункционального устройства? Я решил, что превращу его в сенсорный экран с мультитачем, добавив всего несколько дополнительных компонентов и немного программирования.

Как же я пришёл к такой безумной идее? Источником вдохновения может быть что угодно. Ко мне оно пришло, когда я убирал стол, который использую для хакинга. Как обычно, на нём валялась куча деталей и поломанных устройств и среди прочего многофункциональный принтер Epson Stylus SX125. Я купил его, чтобы задействовать детали принтера в каком-то другом эксперименте, и хотя оборудование сканера было в порядке, плата контроллера, управлявшая и принтером, и сканером, вероятно, уже ни на что не была способна.