Билайн любит перехватывать незащищённые соединения
Так в том то и дело, что у меня SSH сессия, защищённая.
в андроиде много всяких сервисов на каждый чих в сеть лезут
1) У меня андройд прошивка без гугло-сервисов 2) сетевых онлайн приложений, лезущих в сеть нет, только телеграм один клиент 3) у меня запущен фаервол NetGuard, доступ в интернет разрешён у единичных программ. К тому же установлен режим отключать интернет у всех приложений при выключенном экране, кроме телеграм.
какой-нибудь PUSH SMS от оператора
1) у меня беззвучный режим был 2) это не повод жужжать в течении 5-7 секунд непонятными звуками 3) смс от операторов не лезут в интернет. Возьмите AOSP, LineageOS и посмотрите как она работает, там ни одного лишнего пакета/пинга нету. Это чистая ось без блоатваре-кода.
В мире нет магии
Есть. Например, то что когда я иду куда то, то все уже знают что там буду я и когда и с какой целью. А когда террористы идут совершать теракт, то почему то никто не знает ничего.
Вариант, но с кодами безопаснее, их можно распечатать и хранить отдельно от смартфонов/ПК. Т.к. если злоумышленник получил удалённый доступ к устройству, то к почте тоже можно получить доступ.
А коды можно распечатать и положить в папочку, в сейф, в тумбочку, под подушку.
Ну и в случае утраты доступа к почте, тоже встаёт вопрос - а чё делать теперь?
Перевыпуск кодов требует так же подтверждения владельца: двухфакторка и т.д.
В любом случае я очень сомневаюсь, что уязвимость в телеграм закладывается в форке. Форком будет пользоваться тыща человек, может больше, а вот официалка щас под милиард уже.
К тому же может прослеживаться политическая мотивация, если например разработчик внедрён российский.
Ну как бы эта практика вообще везде. Если кому то, где то, что то не понравилось, сразу бегут постить посты куда угодно. Почитайте отзывы о товарах на популярных маркеплейсах, там тоже самое.
Как вариант решения для телеграм клиента - это выпуск секретных кодов, которые будут работать как коды для аварийного восстановления доступа к аккаунту. Использовать такие коды можно только с двухфакторной защитой, что подтверждает использование кодов настоящим владельцем аккаунта.
В случае использования таких кодов, все текущие сессии уничтожаются и остаётся одна единственная текущая сессия.
Да, у F-DROD версии телеграма, свой репозиторий - https://github.com/Telegram-FOSS-Team/Telegram-FOSS и на весну 2021 года, когда я обнаружил эту паранормальщину, тоже был этот репозиторий.
На весну (февраль-март) 2021 года я пользовался Xiaomi Redmi Note 7, прошивка была LineageOS или crDroid, менее вероятно прошивка "/e/". Это получается Android 10 или 11 (возможно 10).
Ну вот вам ещё один пример паранормальщины, как вы такое можете объяснить.
Калуга, Билайн, Мобильный интернет. Имеем SSH соединение, а потом бац и в соединении появляется HTTP пакет с редиректом на билайновскую заглушку и флагами "FIN, PSH, ACK":
Телеграм изначально создавался с совершенно другой философией и целью. Цель создания телеграм - безопасный, приватный месседжер. Доходность видимо на втором плане. Что мы и наблюдаем всё время существования телеграм.
Но на счёт безопасного Телеграм я сомневаюсь, т.к. сам лично наблюдал паранормальщину, которая побудила меня отказаться от мобильной и десктопной версии и перехода только на веб версию через браузер с запуском из jail/fairjail.
Если коротко, то кто-то из разработчиков запилил код в телеграм клиенте, позволяющий выполнять удалённо что-то, возможно даже что угодно, вплоть до полного управления Android-ом, т.к. паранормальщину зафиксировал на андройде.
Чуть подробнее: более 2 лет назад я установил на андройд программу джаммер, опенсурсную из репозитория F-DROID, чтобы блокировать микрофон всем приложениям, когда смартфон не используется. Android недавно перепрошил, установил фаервол NetGuard из репозитория F-DROID и установил только 1 программу с сетевым функционалом, работающую постоянно, даже в фоне с выключенным экраном - это был Телеграм, тоже установленный из репозитория F-DROID. Напоминаю, что все программы из F-DROID собираются из исходного кода и лог сборки доступен всем для ознакомления. С 22:00 до 9:00 мой смартфон автоматически переводится в режим "Не беспокоить" и все звуки отключаются. И ровно в эту же ночь я просыпаюсь от жужащего непонятного звука (такой звук я слышал впервые), понимаю, что это жужжит смартфон, беру в руки смартфон, открываю фаервол NetGuard и вижу 2 новых установленных TCP соединения, которые появились меньше минуты назад, т.е. ещё до того как я включил экран смартфона и открыл NetGuard. К тому же тот, кто эксплуатировал данную уязвимость ещё как то могут обходить установленные настройки андройда, т.к. звуки были отключены.
Совпадение? Не думаю.
Толи до этого случая, толи после когда я начал интересоваться подобной паранормальщиной я нашёл какой то смартфон в продаже, позиционирующийся как безопасный с защитой от спецслужб. Я задал пару вопросов компании и толи на следующий день толи позже я видел сам лично, как зазвонил кнопочный телефон бати, ответить на звонок никто не успел, но после того я начал смотреть кто звонил, во входящих вообще отсутствовал пропущенный звонок. Такие фокусы могут делатся при звонке напрямую на модем, когда факт звонка даже не доходит до операционной системы, поэтому звонок не фиксируется во входящих. Такое оборудование для таких звонов не продают обычным физ. и юр. лицам, это возможности гос-спецслужб.
Вот и вопрос - какова вероятность, что официальный клиент забекдорен именно под спецслужб? Ответ очевиден.
Павел Дуров, если вдруг прочтёшь это сообщение - у тебя среди разработчиков похоже предатель/агент, пишуший уязвимый код, позволяющий творить с андройдом что угодно.
После небольшого расследования я обнаружил, что Mac Studio оказалась слишком быстрой для синхронизации ресурсов Kubernetes. Чтобы исправить ситуацию, пришлось добавить ограничения для каждого модуля.
У меня помню был глюк интересный. Я когда собрал комп в 2013 году на базе Intel i7-4770k, то на винде игра CS 1.6 вела себя немного странно. Сразу после начала игры, мой игрок начал перемещаться очень очень быстро, как будто я включил чит, позволяющий двигаться в 10 раз быстрее. В результате я доходил до нужных точек быстрее всех, все это сразу спалили и начали говорить, что я читер. Естественно меня быстро кикнули и забанили.
После недолних раздумий решил забинидить процесс cs на 1 ядро процессора, сместо 8. Помогло. Вот такой странный глюк был.
Дело не в бесплатно/платно, дело в писькомерьке, которую вы сами и начали. Заметьте, не я начал, а вы. Я всего лишь посоветовал никогда не включать автообновление, не более. Применение патчей и ручных обновлений никто не отменял, но это надо производить на тестовых серверах, без влияния на прод. Иначе будет так, как описано в посте.
Но если вы и действительно не планировали меряться письками и вы действительно хороший специалист (ну предположим, теоретически) и, возможно, вы действительно работали в миллиардной компании, где произошёл взлом, который может быть из-за чего угодно, например из-за какого нибудь коммита на гитхаб злоумышленником в какой нибудь openssh и из-за этого постардала миллиардная компания, то как вариант ущерб был нанесён точно не из-за отключённых автообновлений, а совершенно по другим причинам, которые как вы сказали секретны и в закрытых слушаньях.
Всё к чему могут привести автоматические обновления - это к вот такому апокалипсису. И не надо путать тёплое с мягким.
Команда взламывает и выкладывает реальные документы из серьёзных крупных компаний по всей России. Приведите пример уголовного преследования ИТ-безопасников, отвечающих за безопасность и сохранность их документов и данных?
А то у меня ощущение складывается, что вы на прошлой недели узнали пару умных слов и решили повыпендриваться тут на хабре и почесать своё ЧСВ. Без реальных примеров юридических последствий ваши слова ничего не значит, думаю вы это и сами понимаете.
Вы уходите от темы разговоры. Прочитайте внимательно мой первый комментарий. Мы не говорим сейчас про патчи безопасности, речь идёт про автоматическое обновление, которое опасно с точки зрения безопасности.
Жду не дождусь, когда начнут вводит на законодательном уровне запрет на автоматическое обновление программных систем. И когда начнут применять такие выражения как "умышленное включение автоматического обновления", как халатная работа с ИТ-системами.
Не забудьте опять мой коммент заминусовать и проплюсовать другие. Как это делают во всех моих комментариях. Я не гоняюсь за кармой на хабре.
Наличие исходников не всегда может помочь, т.к. запутанный код и сложность внедрения уязвимости может свести на нет возможность найти её.
Если не задаваться прям специально искать подобные уязвимости, то вы возможно и не найдёте её никогда.
Спасибо, буду общаться с билайном по поводу этой версии.
Режим "Не беспокоить" выключает все звуки и вибрации. Я настраиваю его так, чтобы он выполнял своё предназначение.
Так в том то и дело, что у меня SSH сессия, защищённая.
1) У меня андройд прошивка без гугло-сервисов
2) сетевых онлайн приложений, лезущих в сеть нет, только телеграм один клиент
3) у меня запущен фаервол NetGuard, доступ в интернет разрешён у единичных программ. К тому же установлен режим отключать интернет у всех приложений при выключенном экране, кроме телеграм.
1) у меня беззвучный режим был
2) это не повод жужжать в течении 5-7 секунд непонятными звуками
3) смс от операторов не лезут в интернет. Возьмите AOSP, LineageOS и посмотрите как она работает, там ни одного лишнего пакета/пинга нету. Это чистая ось без блоатваре-кода.
Есть. Например, то что когда я иду куда то, то все уже знают что там буду я и когда и с какой целью. А когда террористы идут совершать теракт, то почему то никто не знает ничего.
Вариант, но с кодами безопаснее, их можно распечатать и хранить отдельно от смартфонов/ПК. Т.к. если злоумышленник получил удалённый доступ к устройству, то к почте тоже можно получить доступ.
А коды можно распечатать и положить в папочку, в сейф, в тумбочку, под подушку.
Ну и в случае утраты доступа к почте, тоже встаёт вопрос - а чё делать теперь?
Перевыпуск кодов требует так же подтверждения владельца: двухфакторка и т.д.
В любом случае я очень сомневаюсь, что уязвимость в телеграм закладывается в форке. Форком будет пользоваться тыща человек, может больше, а вот официалка щас под милиард уже.
К тому же может прослеживаться политическая мотивация, если например разработчик внедрён российский.
Ну как бы эта практика вообще везде. Если кому то, где то, что то не понравилось, сразу бегут постить посты куда угодно. Почитайте отзывы о товарах на популярных маркеплейсах, там тоже самое.
Как вариант решения для телеграм клиента - это выпуск секретных кодов, которые будут работать как коды для аварийного восстановления доступа к аккаунту. Использовать такие коды можно только с двухфакторной защитой, что подтверждает использование кодов настоящим владельцем аккаунта.
В случае использования таких кодов, все текущие сессии уничтожаются и остаётся одна единственная текущая сессия.
А сколько дней надо, чтобы новая сессия в телеграме перестала считаться новой?
Да, у F-DROD версии телеграма, свой репозиторий - https://github.com/Telegram-FOSS-Team/Telegram-FOSS
и на весну 2021 года, когда я обнаружил эту паранормальщину, тоже был этот репозиторий.
На весну (февраль-март) 2021 года я пользовался Xiaomi Redmi Note 7, прошивка была LineageOS или crDroid, менее вероятно прошивка "/e/".
Это получается Android 10 или 11 (возможно 10).
Ну вот вам ещё один пример паранормальщины, как вы такое можете объяснить.
Калуга, Билайн, Мобильный интернет.
Имеем SSH соединение, а потом бац и в соединении появляется HTTP пакет с редиректом на билайновскую заглушку и флагами "FIN, PSH, ACK":
а потом ssh клиент инициирует разрыв, а пакеты не доходят до ssh сервера, как результат ssh соединение отваливается по таймауту.
Ничё так, да?
Откуда в SSH соединении HTTP пакет? Http пакеты не стандартизированы в RFC SSH.
Сейчас поднял обсуждение на NTC, присоединяйтесь.
Телеграм изначально создавался с совершенно другой философией и целью.
Цель создания телеграм - безопасный, приватный месседжер. Доходность видимо на втором плане. Что мы и наблюдаем всё время существования телеграм.
Но на счёт безопасного Телеграм я сомневаюсь, т.к. сам лично наблюдал паранормальщину, которая побудила меня отказаться от мобильной и десктопной версии и перехода только на веб версию через браузер с запуском из jail/fairjail.
Если коротко, то кто-то из разработчиков запилил код в телеграм клиенте, позволяющий выполнять удалённо что-то, возможно даже что угодно, вплоть до полного управления Android-ом, т.к. паранормальщину зафиксировал на андройде.
Чуть подробнее: более 2 лет назад я установил на андройд программу джаммер, опенсурсную из репозитория F-DROID, чтобы блокировать микрофон всем приложениям, когда смартфон не используется. Android недавно перепрошил, установил фаервол NetGuard из репозитория F-DROID и установил только 1 программу с сетевым функционалом, работающую постоянно, даже в фоне с выключенным экраном - это был Телеграм, тоже установленный из репозитория F-DROID.
Напоминаю, что все программы из F-DROID собираются из исходного кода и лог сборки доступен всем для ознакомления.
С 22:00 до 9:00 мой смартфон автоматически переводится в режим "Не беспокоить" и все звуки отключаются.
И ровно в эту же ночь я просыпаюсь от жужащего непонятного звука (такой звук я слышал впервые), понимаю, что это жужжит смартфон, беру в руки смартфон, открываю фаервол NetGuard и вижу 2 новых установленных TCP соединения, которые появились меньше минуты назад, т.е. ещё до того как я включил экран смартфона и открыл NetGuard. К тому же тот, кто эксплуатировал данную уязвимость ещё как то могут обходить установленные настройки андройда, т.к. звуки были отключены.
Совпадение? Не думаю.
Толи до этого случая, толи после когда я начал интересоваться подобной паранормальщиной я нашёл какой то смартфон в продаже, позиционирующийся как безопасный с защитой от спецслужб. Я задал пару вопросов компании и толи на следующий день толи позже я видел сам лично, как зазвонил кнопочный телефон бати, ответить на звонок никто не успел, но после того я начал смотреть кто звонил, во входящих вообще отсутствовал пропущенный звонок. Такие фокусы могут делатся при звонке напрямую на модем, когда факт звонка даже не доходит до операционной системы, поэтому звонок не фиксируется во входящих. Такое оборудование для таких звонов не продают обычным физ. и юр. лицам, это возможности гос-спецслужб.
Вот и вопрос - какова вероятность, что официальный клиент забекдорен именно под спецслужб? Ответ очевиден.
Павел Дуров, если вдруг прочтёшь это сообщение - у тебя среди разработчиков похоже предатель/агент, пишуший уязвимый код, позволяющий творить с андройдом что угодно.
Недавно делал тест, чтобы узнать, какой вообще битрейт на ютубе.
720p@60 без фризов и прелоадеров влез в 7 Мбит/с.
Поэтому никакие 100, 200 или тем более 300 Мбит/с не нужны для ютуба без прелоадера.
У меня помню был глюк интересный. Я когда собрал комп в 2013 году на базе Intel i7-4770k, то на винде игра CS 1.6 вела себя немного странно. Сразу после начала игры, мой игрок начал перемещаться очень очень быстро, как будто я включил чит, позволяющий двигаться в 10 раз быстрее. В результате я доходил до нужных точек быстрее всех, все это сразу спалили и начали говорить, что я читер. Естественно меня быстро кикнули и забанили.
После недолних раздумий решил забинидить процесс cs на 1 ядро процессора, сместо 8. Помогло. Вот такой странный глюк был.
Законопроект относится только к коммерческому ПО или к опенсурс тоже?
На входящий ограничения по SSH нет
21 и 22 августа наблюдал разрывы ssh сессий. Работаешь, работаешь и бац, сессия прервалась.
poe.com использую больше года, там есть всё, что только может быть и не только.
Дело не в бесплатно/платно, дело в писькомерьке, которую вы сами и начали. Заметьте, не я начал, а вы. Я всего лишь посоветовал никогда не включать автообновление, не более. Применение патчей и ручных обновлений никто не отменял, но это надо производить на тестовых серверах, без влияния на прод. Иначе будет так, как описано в посте.
Но если вы и действительно не планировали меряться письками и вы действительно хороший специалист (ну предположим, теоретически) и, возможно, вы действительно работали в миллиардной компании, где произошёл взлом, который может быть из-за чего угодно, например из-за какого нибудь коммита на гитхаб злоумышленником в какой нибудь openssh и из-за этого постардала миллиардная компания, то как вариант ущерб был нанесён точно не из-за отключённых автообновлений, а совершенно по другим причинам, которые как вы сказали секретны и в закрытых слушаньях.
Всё к чему могут привести автоматические обновления - это к вот такому апокалипсису. И не надо путать тёплое с мягким.
Но вы пишите, есличё.
А практическое применение ваших слов есть?
Вот берём серьёзных ребят Head Mare - https://x.com/head_mare
Команда взламывает и выкладывает реальные документы из серьёзных крупных компаний по всей России. Приведите пример уголовного преследования ИТ-безопасников, отвечающих за безопасность и сохранность их документов и данных?
А то у меня ощущение складывается, что вы на прошлой недели узнали пару умных слов и решили повыпендриваться тут на хабре и почесать своё ЧСВ. Без реальных примеров юридических последствий ваши слова ничего не значит, думаю вы это и сами понимаете.
Не забудьте заминусовать комментарий.
Вы уходите от темы разговоры. Прочитайте внимательно мой первый комментарий. Мы не говорим сейчас про патчи безопасности, речь идёт про автоматическое обновление, которое опасно с точки зрения безопасности.
Жду не дождусь, когда начнут вводит на законодательном уровне запрет на автоматическое обновление программных систем. И когда начнут применять такие выражения как "умышленное включение автоматического обновления", как халатная работа с ИТ-системами.
Не забудьте опять мой коммент заминусовать и проплюсовать другие. Как это делают во всех моих комментариях. Я не гоняюсь за кармой на хабре.