За нами кто‑то следит!
Вот ты занят своим делом, и тебе звонят с предложением купить недвижимость во Владивостоке, а ты даже не понял, откуда у них твой номер. Как вообще они о тебе узнали?

Т.е. с одной стороны РКН вводит огромные штрафы за утечку персональных данных, а с другой — постоянно идут звонки с предложениями, хотя ты своих контактов не оставлял, и разрешения на перезвон не давал.

Внутри:
— 4 метода слива наших телефонов
— Как и кому сливаются сайты (домены) которые мы посещаем
— Как сливаются входящие и исходящие на наш номер телефона
и как с этим бороться.

Привет, Хабр!

Ну вот вы ставите Яндекс Go, жмёте «Разрешить» на всё подряд — микрофон, контакты, местоположение. Такси же, надо. А потом выясняется, что приложение лезет в буфер обмена. 16 раз в разных местах кода. Зачем такси буфер обмена — я так и не понял.

Короче, я взял семь популярных Android-приложений и разобрал их по косточкам. SAST, реверс-инжиниринг, декомпиляция DEX, разбор манифестов, ковыряние в нативных библиотеках. Под раздачу попали: Яндекс Go, Карты, Музыка, Пэй, Телемост, Mir Pay и мессенджер МАКС (бывший ICQ New / VK Messenger).

Спойлер: один мессенджер умеет распознавать ключевые слова прямо в аудиопотоке звонков. Не метаданные, не «кто кому звонил» — а именно слова.

<cut/>

Мне всю жизнь говорили одно и то же: «ты умный, но ленивый».
И знаешь, самое неприятное - я сам в это поверил.

Потому что со стороны всё выглядело именно так: я быстро схватываю, могу разобраться в сложной теме за вечер, иногда выдаю результат лучше других… а потом просто бросаю. Без причины. Без логики. Без объяснения.

Я мог часами сидеть в абсолютном фокусе, забывая про еду и время. А потом, не мог заставить себя начать элементарную задачу. Не сложную. Не новую. Просто… начать.

И в какой-то момент это начинает ломать.
Ты смотришь на людей, которые «медленно, но стабильно» идут вперёд - и понимаешь, что они в итоге оказываются дальше тебя.
Хотя ты вроде бы опережал их и мог достичь значительно больше.

Я долго думал, что проблема в дисциплине. Потом - что в выборе сферы. После - что я просто нестабильный или, если честно, немного «не такой».

Пока не наткнулся на одну вещь, которую обычно вообще не обсуждают, когда говорят про СДВГ.

Это не про «не можешь сосредоточиться».
Это про то, что твой мозг по-другому решает, на что вообще стоит тратить усилия.

В этой статье я разберу СДВГ не как рассеянность или гиперактивность, а как дефицит регуляции мотивации и усилия.
Почему ты можешь впадать в гиперфокус, но при этом не можешь начать простую задачу.
Почему «просто сделай» не работает.
И что на самом деле происходит у тебя в голове.

Это не та версия СДВГ, о которой рассказывают в TikTok.
И, возможно, ты узнаешь в этом себя.

Вскоре после нахождения шпионского модуля в Max я обнаружил критическую уязвимость во всех известных VLESS клиентах.

Эта уязвимость позволяет обходить per-app split tunneling и приватные пространства (Knox/Shelter/Island/etc) и гарантированно обнаруживать выходной ip прокси, который вы используете.

При этом один из клиентов уязвим настолько, что позволяет дампить ваши конфиги и, в худшем случае, расшифровать весь ваш трафик.

Я сообщил об этом разработчикам этих клиентов, но они это проигнорировали. На днях минцифры разослала методичку, из которой ясно что они либо знают, либо скоро узнаю об этой уязвимости.

Я решил, что ждать больше нельзя и нужно публиковать статью об этом чтобы у вас всех был хотя бы шанс. Но сейчас защиты от этого нет.

Разбор HTTP/HTTPS‑трафика, потерянных заголовков и умирающих сессий съедает время, особенно когда всё это приходится делать консольными утилитами или через логи. Под катом я собрал 10 инструментов, которые помогут в дебаге запросов и сэкономят нервы.

Привет, Хабр! На связи Руслан, инженер по информационной безопасности в Selectel. Эта статья — для тех, кто задумывался о сборке собственной механической клавиатуры, но кого отпугнули обилие терминов и необходимость неочевидных манипуляций.

Приглашаю последовать моему примеру и убедиться, что собрать свою идеальную клавиатуру — не только просто, но и увлекательно. Кстати, это занятие задействует мелкую моторику и благотворно влияет на нервную систему. По уровню же медитативности процесс можно сравнить с раскрашиванием картины по номерам.

Недавно я, не выдержав микроскопических лимитов Cursor (в остальном прекрасный инструмент!) по доступу к передовым моделям Anthropic, захотел получить их по плоским тарифам от фирмы-разработчика. Это такие тарифы с помесячной/годовой оплатой, а не с оплатой за каждый запрос к API.

Прося советов в интернете, я столкнулся с высокомерием и снобизмом тех, кто смог себе всё настроить. Поскольку мне нужен был платный тариф, я не хотел рисковать, так как ходят упорные слухи, что тарифы даже платных пользователей блокируются без возврата средств, если их сервис используют из некоторых стран.

В итоге я всё настроил: Claude работает как родной, и в этой статье — мой опыт, а также тесты разных VPS-локаций.

Я опишу настройку под Linux-десктоп, но в конце в качестве бонуса будет настройка и под Windows.

Сегодня наше правительство издаёт циркуляры, по которым программы из жизненно важного для среднего гражданина списка должны стучать “куда надо” о том, что у гражданина есть VPN.

Всё это - произвол в чистой форме, а потому мы можем и должны этому сопротивляться.

Гражданское сопротивление, гражданское неповиновение - вот то, что мы противопоставим этому произволу.

Они хотят сделать стукачей из установленных на наших смартфонах программ?

Мы ответим им тем, что отправим стукачей в цифровой ГУЛАГ. Изолируем эти мерзкие сущности из нашего мира!

Данная статья - инструкция о том, как установить и настроить песочницу Insular/Island. О том, как выселить всех стукачей на отдельный остров и заставить их работать там в изоляции. Без права переписки.

9 апреля 2026 года Apple удалила альтернативный Telegram-клиент Telega из App Store. В тот же день Cloudflare Radar пометил домены telega.me и api.telega.info как spyware, после чего центр сертификации GlobalSign отозвал у проекта TLS-сертификат. 10 апреля Cloudflare снял пометку spyware — по словам разработчиков Telega, после предоставления ими «необходимой информации». Однако 11 апреля VirusTotal (Alphabet) пометил домены Telega как malware. На момент публикации TLS-сертификат остаётся отозванным, приложение в App Store не восстановлено.

Представители Telega заявили «Осторожно, новостям»: «Телега работает через официальный Telegram API с использованием протокола MTProto. Данные защищены шифрованием Telegram».

Я провёл полный технический аудит Android-версии Telega 2.4.2 — статический анализ декомпилированного кода и живой динамический эксперимент на контролируемом стенде. Ниже — что я нашёл.

Приветствую тебя, %USERNAME%! Ох и давно я не писал ничего на Хабр (10+ лет) — чернила высохли, перо затупилось. И все же, читая последние сводки, мой академический интерес проснулся.

Если вдруг пропустили и не понимаете о чем я, то информационный фон сейчас бурлит: тут и новости про то, как большинство популярных приложений детектируют VPN, и выход утилиты RKNHardering, и методички по борьбе с обходами, и тревожные отчеты о свободе интернета в 2026 году. Но последней каплей стала статья про критическую уязвимость VLESS-клиентов, из-за которой «скоро все ваши VPN будут заблокированы».

Смахнув скупую мужскую слезу, вызванную этим богатым на эмоции потоком, я задумался: а насколько вообще сложно детектируется VPN на Android? Оказалось, что даже с использованием сплит-туннелирования у приложений остается вагон возможностей для детекта (хоть и не 100%, но все же).

Ниже перечислены лучшие техники для сокрытия email-адресов от глаз спам-ботов, наряду со статистикой их эффективности.

В идеале нужно использовать комбинацию из таких техник. К примеру, поделить адрес на два сегмента и каждый защитить своей.

В предыдущей статье мы обсуждали некоторые меры, которые пользователь может предпринять против spyware, детектирующего факт использования VPN и сливающего полученные данные “Большому брату”.

Если судить по комментариям (и автор в целом согласен с их логикой), то в условиях тотального стукачества иных выходов, кроме как иметь два смартфона (а, возможно, и два десктопа!), действительно почти не остаётся. На первый взгляд это и правда так.

Однако если немного подумать, то окажется, что техническое решение всё-таки есть. Да, оно относительно дорогое (минимальные расходы около 1000-1500 рублей в месяц), но оно существует!

Если интересна архитектура VPN-сервиса, устойчивая к наличию spyware на клиенте, то

Несколько недель назад я описал на Хабре идею «честного российского мессенджера» с открытым кодом и прозрачным compliance. Та статья была про «зачем». Эта — про «как получилось». Web-клиент и Android-приложение полностью переписаны и работают в production, серверная часть развёрнута и обслуживает реальные подключения. iOS пока не трогали. Ниже — разбор архитектуры, решения, которые мы приняли, грабли, на которые наступили, и открытый набор людей в проект.

Приложения на вашем телефоне могут обнаружить VPN через SOCKS5 на localhost и слить IP-адрес сервера. Рабочий профиль (Island, Insular, Shelter) скрывает VPN от ConnectivityManager, но не от tun0, маршрутов и локальных портов. Так родился open-souce Anubis, который решает проблему иначе - автоматически отключает приложения через pm disable-user при смене состояния VPN. Мёртвое приложение не может ничего детектить, потому что его не существует.

Вы открываете YouTube, Twitch или просто обновляете приложение — и, возможно, уже скоро за это придётся платить как за «иностранный трафик».

По обсуждаемым инициативам, после 15 ГБ в месяц каждый дополнительный гигабайт может стоить около 150 рублей — формально для борьбы с VPN.

Звучит просто: VPN = зарубежный сервер = иностранный трафик.
Значит, нужно просто посчитать и ограничить.

Проблема в том, что интернет так не работает.

Тот же Twitch сегодня может отдавать вам видео из локального кэша в вашем городе, а завтра — из Франкфурта. API вашего приложения может находиться в Нидерландах, а сайт с российским доменом — работать через зарубежный CDN.

И в какой-то момент становится непонятно: где вообще проходит граница между «нашим» и «чужим» трафиком?

Я решил разобраться в этом с технической стороны:

- что на самом деле видит провайдер

- почему он не может «заглянуть внутрь» вашего трафика

- как устроены VPN и чем они отличаются (или не отличаются) от обычного HTTPS

- можно ли реально отличить VPN от обычного трафика

- и почему идея считать «иностранные гигабайты» выглядит куда более спорной, чем кажется

И главный вопрос, к которому всё это приводит: можно ли вообще технически корректно реализовать такие ограничения да так, чтобы не сломать половину интернета?

Если коротко — всё чуть сложнее, чем звучит в новостях.

Государство усиливает заботу о гражданах: крупные сервисы и государственные приложения на Android всё активнее выявляют использование Перехватчиков трафика. Разбираемся, какими методами ведётся это наблюдение — и что Ненадёжные элементы противопоставляют Праведному взору Государства.

Есть такая штука, как "дисплей покупателя" - это тот самый экран на кассе, где пишут сколько денег вы должны заплатить.
И есть такое народное развлечение - делать из этих экранов всякое разное - ну например, "часы или метеостанцию" (с)

Фишка тут в том, что можно приобрести их б/у за копейки, и получить при этом винтажный газоразрядный экран, приятного зеленого или синего цвета.
Пусть алфавитно-цифровой - для часов этого более чем достаточно.

Поскольку сервер времени я себе уже сделал - дай-ка, думаю, и эту штуку попробую освоить, будут часы с синхронизацией по NTP.
А еще можно приспособить их для полезного дела - показывать температуру воды в котле, например - чтобы не бегать смотреть на основные экраны "умного дома", и не хвататься за телефон.

Итак, под руку попался Wincor Nixdorf BA64-2: 2 строки по 20 символов, газоразрядный, аккуратный черный корпус.

Эпичная история установки всех* расширений для браузера Firefox. Это был непростой процесс, который-таки увенчался успехом. Не обошлось в нём и без некоторых любопытных поворотов, неразрешённых вопросов и помощи друга.

Как выяснилось, всего у Firefox 84 тысячи расширений. Вроде бы не особо много, и по факту даже меньше 50 ГБ. Так что приступим!

*Всех, кроме 8, которые мы не соскрейпили (или которые удалили в промежутке между моментом проверки их списка на сайте и запуском скрипта), и 42, которые отсутствовали в extensions.json.¹ Так что чисто технически мы установили 99,94% всех расширений.

Привет, Хабр!

Если не читали предыдущие статьи — кратко: в РФ сейчас работают белые списки (а мы не знали) подробнее тут, ТСПУ работает в режиме drop‑all, пропуская только одобренные IP + SNI.

Обходилось это легко — покупаешь VPS у VK/Timeweb/Яндекса, получаешь подсеть которая есть в белых списках, поднимаешь VLESS.

Только вот скоро это перестанет работать.

Хабр переполнен статьями о VPN и протоколах шифрования. Но корень проблемы — не технический. Я проследил путь от первых блокировок Википедии до 70-миллиардных бюджетов РКН и попытался ответить на вопрос, который почему-то редко задают вслух: почему мы сами оплачиваем собственные ограничения — и соглашаемся с этим?