Q: Установи внутрь жука, хочу подсунуть жене/мужу/коллеге
A: Нет, и не обсуждается
A: Нет, и не обсуждается
#nocomment
#lesson9
https://t.me/rospres/8296
Size: a a a
2019 December 04
2019 December 05
2019 December 07
Когда писал про #Telegram, кое-что забыл (под носом), и все чета руки не доходили, теперь держите:
Удобная функция, да? Телеграмчик вообще весь такой юзерфрендли
А теперь🤓
Кто-то задумывался, каков фундамент это прекрасной функции?
Попробуем?
Чтобы подобрать нужный смайлик, надо что сделать? Правильно, проанализоровать текст.
Сверить подходит ли данное слово для чего-то. Например, для смайлика..
Доходит помаленьку?
Слова-маячки - страшилка еще советских времен
Страшилка ли?
Отличная статья про анализатор речи и то, как это работает
Не могу удержаться и не привести пару цитат:
"По этой базе данных можно осуществлять поиск, существует и возможность следить за конкретными ключевыми словами в речи"
"система посылала уведомления, если они говорили о чем-то потенциально важном"
"к 2010 году АНБ научилось выявлять случаи, когда люди говорят по телефону с помощью фильтров, маскирующих голос для конспирации" к слову о подмене голоса, но мы и с анб готовы сыграть в эту игру, правда пока, не с телефона😒
Удобная функция, да? Телеграмчик вообще весь такой юзерфрендли
А теперь🤓
Кто-то задумывался, каков фундамент это прекрасной функции?
Попробуем?
Чтобы подобрать нужный смайлик, надо что сделать? Правильно, проанализоровать текст.
Сверить подходит ли данное слово для чего-то. Например, для смайлика..
Доходит помаленьку?
Слова-маячки - страшилка еще советских времен
Страшилка ли?
Отличная статья про анализатор речи и то, как это работает
Не могу удержаться и не привести пару цитат:
"По этой базе данных можно осуществлять поиск, существует и возможность следить за конкретными ключевыми словами в речи"
"система посылала уведомления, если они говорили о чем-то потенциально важном"
"к 2010 году АНБ научилось выявлять случаи, когда люди говорят по телефону с помощью фильтров, маскирующих голос для конспирации" к слову о подмене голоса, но мы и с анб готовы сыграть в эту игру, правда пока, не с телефона😒
Наглость, с которой это вывалено на публику, лично меня поражает, никаких стеснений
Будем считать это вишенкой на торте #Telegram
Ну а к вишенке идет черешенка
Фоткал с беспалика, кстати, ночью между прочим, в темноте
Сикрит чаты же нельзя скринить, это же не безопасно, да?
Зато текст в них анализировать ништяк
Будем считать это вишенкой на торте #Telegram
Ну а к вишенке идет черешенка
Фоткал с беспалика, кстати, ночью между прочим, в темноте
Сикрит чаты же нельзя скринить, это же не безопасно, да?
Зато текст в них анализировать ништяк
Q: Это движок клавиатуры | У меня в вотсапе также делает
A: Вотсапом не пользовался лет 5, неудивлен, думаю Павел у него и подсмотрел, он же ему так ненавистен
Движок клавиатуры.. Интересно, это уже реальность?
Как бы там ни было, в беспалике у клавы нет никакого движка - apk весит 837кб, 1 разрешение на вибрацию, это тупо кнопки с буквами на англ/ру языке, цифрами и символами, в ней даже эмоджиков нет (попробуйте найти их кнопку на фотке ниже), она использует встроенные в тг, в данном случе
Как проверить, кто именно анализирует вводимый нами текст?
Кстати, если у вас gboard/swiftkey/cheetah и прочие клавы с 30+ разрешениями (интересно на 🍏 глянуть, если есть джейлбрейкеры, отпишитесь, но простые выводы можно сделать тупо из функционала), то даже не сомневайтесь она тоже точно анализирует текст, и не только,она тоже точно анализирует текст, и не только, даже если не выводит эмодзи на подбор, иначе зачем им интернет, локация, контакты, смс, камера, контроль (!) над сетью, download (!!!) without notification интернет, локация, контакты, смс, камера, контроль (!) над сетью, download (!!!) without notification и прочие прелести жизни
Но применительно к данному случаю, чтобы точно понять, что конкретно эти распознавания эмоджи - дело рук мессенджера, проделаем простое упражнение:
Зайдем в другие приложения, где есть куда ввести текст: заметки, браузер, смс итд, и попробуем повторить этот трюк
Ну а если в вотсапе у вас также, вопросы к вотсапу😉
A: Вотсапом не пользовался лет 5, неудивлен, думаю Павел у него и подсмотрел, он же ему так ненавистен
Движок клавиатуры.. Интересно, это уже реальность?
Как бы там ни было, в беспалике у клавы нет никакого движка - apk весит 837кб, 1 разрешение на вибрацию, это тупо кнопки с буквами на англ/ру языке, цифрами и символами, в ней даже эмоджиков нет (попробуйте найти их кнопку на фотке ниже), она использует встроенные в тг, в данном случе
Как проверить, кто именно анализирует вводимый нами текст?
Кстати, если у вас gboard/swiftkey/cheetah и прочие клавы с 30+ разрешениями (интересно на 🍏 глянуть, если есть джейлбрейкеры, отпишитесь, но простые выводы можно сделать тупо из функционала), то даже не сомневайтесь она тоже точно анализирует текст, и не только,она тоже точно анализирует текст, и не только, даже если не выводит эмодзи на подбор, иначе зачем им интернет, локация, контакты, смс, камера, контроль (!) над сетью, download (!!!) without notification интернет, локация, контакты, смс, камера, контроль (!) над сетью, download (!!!) without notification и прочие прелести жизни
Но применительно к данному случаю, чтобы точно понять, что конкретно эти распознавания эмоджи - дело рук мессенджера, проделаем простое упражнение:
Зайдем в другие приложения, где есть куда ввести текст: заметки, браузер, смс итд, и попробуем повторить этот трюк
Ну а если в вотсапе у вас также, вопросы к вотсапу😉
Q: Это не оналйн функция, "Просто есть словарь, с которым сравнивается вводимый текст" (это шедевр)
A: Про онлайн я ничего и не говорил, ну а цитату, думаю, можно не комментировать
Только спросите себя, какие там еще составляются словари из всего того массива, который он хранит?
Ведь из сервера можно вытащить диск и вставить в другую машину, и там анализировать, составлять словари..
Это описано тоже на гитхабе?
Ну а факт, того, что какие-то словари составляются (эмоджи), причем явно из слов юзеров (мат, сокращения) будем считать доказанным, ладно?😁
Кстати, заметил, у Павла очень преданные поклонники
Вера - страшная вещь..
Хорошая цитата в тему:
"Сташно себе представить, что в головах у святых
Я не очень в этой теме, я делаю свой пых-пых"
Всем мир🤙
A: Про онлайн я ничего и не говорил, ну а цитату, думаю, можно не комментировать
Только спросите себя, какие там еще составляются словари из всего того массива, который он хранит?
Ведь из сервера можно вытащить диск и вставить в другую машину, и там анализировать, составлять словари..
Это описано тоже на гитхабе?
Ну а факт, того, что какие-то словари составляются (эмоджи), причем явно из слов юзеров (мат, сокращения) будем считать доказанным, ладно?😁
Кстати, заметил, у Павла очень преданные поклонники
Вера - страшная вещь..
Хорошая цитата в тему:
"Сташно себе представить, что в головах у святых
Я не очень в этой теме, я делаю свой пых-пых"
Всем мир🤙
Все ребят, с телеграмом закончили, теперь точно😅
Вишенки, черешенки, людям вон голову сносит чета, боязно теперь за них как-то даже..
Разберем вопросики поинтереснее (мой вам респект, ребята):
Вишенки, черешенки, людям вон голову сносит чета, боязно теперь за них как-то даже..
Разберем вопросики поинтереснее (мой вам респект, ребята):
Q: У вас разблокирован загрузчик? Это опасно?
A: Предполагаю, что вопрос под собой также несет вопрос о безопасности рута, как следствия разблокированного загрузчика в определенных случаях
У нас пропатчен раздел boot, но загрузчик (bootloader) заблокирован
В целом, это не так важно, в рамках безопасности - в обоих случаях, а равно если ничего не делали вообще - опасность есть и она одинаково велика
Поясню:
Ну во-первых, что касается рута как такового, довольно подробно описано тут, но еще раз, достаточно хотя бы чуток мозгов, чтобы (a) не установить своими руками виря, после чего (2) СВОИМИ РУКАМИ не дать ему рута. Вы скажите, а если вирь сможет сам просплоитить себе рут, без моих рук? Так он и без рута в системе его просплоитить сможет тогда
Лечение:
1. virustotal
2. не ходим по левым ссылкам, хотя наша лиса весьма стойка😏
все по руту (да и по вирям)
Теперь что касается опасности разблокированного загрузчика как такового, без рута
Ну здесь очевидная угроза - облегченный доступ с компьютера по шнуру в отделе милиции, но на самом деле, весьма условно, и в очень определенных случаях
И тут вот какая тема:
в случае отдел-комп-шнур абсолютно неважно:
разблокирован у вас загрузчик или нет
стоит рут или нет (он всегда есть, помните еще?)
Важно, есть ли уже в природе и в доступе сплоиты/инструменты, чтобы это сделать (не стоит сомневаться в способностях 👮🏻♂️)
И тут noname донор, кстати, выгодно выделяется на фоне любого масс-маркета, для которых такие сплоиты находят, пишут и много и часто продают, потому что это что?
Масс-маркет
На сплоитах под noname особо не заработаешь, но это не значит что его не найдут, если уж очень надо будет
Вывод?
Блокированный, разблокированный, рут, шмрут, в отделе милиционер и сам все сделает, без вашей помощи, вопрос в затраченных силах/соразмерности содеянного
Но честно скажу, если уж в яблоках регулярно находят червей (это метафора, если что, имеются ввиду сплоиты, а не фактические программы-черви, хотя уверен, они там тоже есть, пожалуйста, фанаты яблока, не будьте фанатами Павла), то чего ждать от Брина, и китайцев, которые своими кривыми руками описывают окружения процессора и всего остального железа?
Ничего хорошего, явно: дыру найдут, и не одну, и часто специально туда заложенную
Выход?
Кнопка PANIC, только уничтожение, только постоянный личный контроль, только хардкор, ну уже должны были понять
Тут спрашивают, а если украдут? Хм.. ну чтож, мы работаем, замечание принято, есть решение и на такой случай, но понадобится время, и пока оно идет, спросите себя:
А если у вас украдут кошелек с картой? С нее можно слить до $50k без пинов, смс и паролей, в курсе?
Реальные пацаны всегда на измене.. Девчонки, надо думать, тоже😁, так что юзая беспалик, по сторонам смотреть не стоит забывать.. да и вообще не стоит
A: Предполагаю, что вопрос под собой также несет вопрос о безопасности рута, как следствия разблокированного загрузчика в определенных случаях
У нас пропатчен раздел boot, но загрузчик (bootloader) заблокирован
В целом, это не так важно, в рамках безопасности - в обоих случаях, а равно если ничего не делали вообще - опасность есть и она одинаково велика
Поясню:
Ну во-первых, что касается рута как такового, довольно подробно описано тут, но еще раз, достаточно хотя бы чуток мозгов, чтобы (a) не установить своими руками виря, после чего (2) СВОИМИ РУКАМИ не дать ему рута. Вы скажите, а если вирь сможет сам просплоитить себе рут, без моих рук? Так он и без рута в системе его просплоитить сможет тогда
Лечение:
1. virustotal
2. не ходим по левым ссылкам, хотя наша лиса весьма стойка😏
все по руту (да и по вирям)
Теперь что касается опасности разблокированного загрузчика как такового, без рута
Ну здесь очевидная угроза - облегченный доступ с компьютера по шнуру в отделе милиции, но на самом деле, весьма условно, и в очень определенных случаях
И тут вот какая тема:
в случае отдел-комп-шнур абсолютно неважно:
разблокирован у вас загрузчик или нет
стоит рут или нет (он всегда есть, помните еще?)
Важно, есть ли уже в природе и в доступе сплоиты/инструменты, чтобы это сделать (не стоит сомневаться в способностях 👮🏻♂️)
И тут noname донор, кстати, выгодно выделяется на фоне любого масс-маркета, для которых такие сплоиты находят, пишут и много и часто продают, потому что это что?
Масс-маркет
На сплоитах под noname особо не заработаешь, но это не значит что его не найдут, если уж очень надо будет
Вывод?
Блокированный, разблокированный, рут, шмрут, в отделе милиционер и сам все сделает, без вашей помощи, вопрос в затраченных силах/соразмерности содеянного
Но честно скажу, если уж в яблоках регулярно находят червей (это метафора, если что, имеются ввиду сплоиты, а не фактические программы-черви, хотя уверен, они там тоже есть, пожалуйста, фанаты яблока, не будьте фанатами Павла), то чего ждать от Брина, и китайцев, которые своими кривыми руками описывают окружения процессора и всего остального железа?
Ничего хорошего, явно: дыру найдут, и не одну, и часто специально туда заложенную
Выход?
Кнопка PANIC, только уничтожение, только постоянный личный контроль, только хардкор, ну уже должны были понять
Тут спрашивают, а если украдут? Хм.. ну чтож, мы работаем, замечание принято, есть решение и на такой случай, но понадобится время, и пока оно идет, спросите себя:
А если у вас украдут кошелек с картой? С нее можно слить до $50k без пинов, смс и паролей, в курсе?
Реальные пацаны всегда на измене.. Девчонки, надо думать, тоже😁, так что юзая беспалик, по сторонам смотреть не стоит забывать.. да и вообще не стоит
Все короче, завтра продолжим, утомился
#nocomment
#lesson10
#lesson10
Система Социального Кредита (доверия) - SCS
В ближайшей перспективе рейтинговаться будут не только китайцы, как физические лица, но и компании как юридические лица, а затем различного рода некоммерческие и управленческие структуры и организации, и их руководство.
SCS является крупнейшей и наиболее сложной в мире системой мониторинга и воздействия на поведение. Соответственно разработчики и будущие операторы системы приняли решение не стараться создать всю систему сразу целиком, а сконструировать ее по модульному принципу.
Платформа, как программно-аппаратная база системы предполагает возможность поэтапного подключения тех или иных модулей. Более того, она носит открытый характер.
Предусмотрено, что важнейшие функции будет осуществлять не искусственный, а гибридный интеллект, т.е. не автоматические, а человеко-машинные системы. В первую очередь это будет относиться к анализу сложных тенденций и осуществлению прогнозов на основе полученной предиктивной информации. Гибридный характер системы предусматривается реализовать не только на высшем, но и на всех, вплоть до районного или городского, уровнях.
Ядром SCS являются социальные рейтинги.
Руководство Китая полагает, что после отработки SCS ее отдельные модули, а также упрощенные варианты системы могут продаваться или безвозмездно дариться третьим странам для обеспечения их национального развития.
Важнейшей задачей SCS является поощрение, развитие способностей и запуск социальных лифтов для лучших граждан, для тех не только молодых людей, но и лиц средних и даже старших возрастов, кто уже сегодня живет по принципам доверия, прозрачности и гармоничности.
В 2004 г. по поручению руководства КПК, коллектив разработчиков во главе с выдающимся ученым, ключевой фигурой в создании межконтинентальных баллистических ракет, участником космической программы США и основоположником космической программы Китая Зянь Сюэсэном и президентом Академии инженерных наук Китая Сунь Цзяном начали разработку программно-аппаратной оценки надежности и эффективности работы государственных служащих и системы кредитных рейтингов для формирующейся национально-государственной кредитной системы.
Их наработки были использованы для создания уникальной, малоизвестной за рубежом, системы отслеживания работы кадров государственного аппарата с элементами кибернетической обратной связи и самокоррекции.
Любые экономические, социальные и даже бытовые действия в Китае не только онлайн, но и оффлайн, начиная с 2021 г., могут быть осуществлены только на основе электронного идентификатора личности.
По оценкам к 2023-2025 гг. повсеместная биометрическая идентификация сделает любые транзакции в китайском обществе абсолютно проницаемыми.
Поощрительной мерой является предоставление возможности отличившимся гражданам использовать интернет с максимальной скоростью. При этом, для нарушителей скорость интернета в качестве наказания ограничивается.
Китайцы с высоким социальным рейтингом:
имеют преимущества при направлении детей в лучшие школы и при обучении детей за рубежом;
имеют возможность получать банковские кредиты с процентной ставкой на треть ниже, чем установленная, с компенсацией от государства, и т.п.
Высокорейтинговым руководителям и владельцам бизнеса открываются дополнительные возможности в льготном кредитовании, преференции при проведении тендеров на госзакупки, государственной поддержки при проведении импортно-экспортных операций.
До 2030 г. Китай израсходует на развитие ИИ как минимум $150 млрд. И еще $1,5 трлн. – на компьютеризацию важнейших государственных институтов, программ и превращение Китая не позднее 2025 г. в первое в мире государство, комплексно управляемое на основе больших данных.
По факту соединение ИИ, интернета всего с SCS позволит китайскому руководству стать наиболее мощной интеллектуальной силой на планете.
Главное же, оно позволит китайскому руководству заметно снизить риски в наиболее турбулентный период цивилизации, который по всем прогнозам придется на
2025-2035 гг.
В ближайшей перспективе рейтинговаться будут не только китайцы, как физические лица, но и компании как юридические лица, а затем различного рода некоммерческие и управленческие структуры и организации, и их руководство.
SCS является крупнейшей и наиболее сложной в мире системой мониторинга и воздействия на поведение. Соответственно разработчики и будущие операторы системы приняли решение не стараться создать всю систему сразу целиком, а сконструировать ее по модульному принципу.
Платформа, как программно-аппаратная база системы предполагает возможность поэтапного подключения тех или иных модулей. Более того, она носит открытый характер.
Предусмотрено, что важнейшие функции будет осуществлять не искусственный, а гибридный интеллект, т.е. не автоматические, а человеко-машинные системы. В первую очередь это будет относиться к анализу сложных тенденций и осуществлению прогнозов на основе полученной предиктивной информации. Гибридный характер системы предусматривается реализовать не только на высшем, но и на всех, вплоть до районного или городского, уровнях.
Ядром SCS являются социальные рейтинги.
Руководство Китая полагает, что после отработки SCS ее отдельные модули, а также упрощенные варианты системы могут продаваться или безвозмездно дариться третьим странам для обеспечения их национального развития.
Важнейшей задачей SCS является поощрение, развитие способностей и запуск социальных лифтов для лучших граждан, для тех не только молодых людей, но и лиц средних и даже старших возрастов, кто уже сегодня живет по принципам доверия, прозрачности и гармоничности.
В 2004 г. по поручению руководства КПК, коллектив разработчиков во главе с выдающимся ученым, ключевой фигурой в создании межконтинентальных баллистических ракет, участником космической программы США и основоположником космической программы Китая Зянь Сюэсэном и президентом Академии инженерных наук Китая Сунь Цзяном начали разработку программно-аппаратной оценки надежности и эффективности работы государственных служащих и системы кредитных рейтингов для формирующейся национально-государственной кредитной системы.
Их наработки были использованы для создания уникальной, малоизвестной за рубежом, системы отслеживания работы кадров государственного аппарата с элементами кибернетической обратной связи и самокоррекции.
Любые экономические, социальные и даже бытовые действия в Китае не только онлайн, но и оффлайн, начиная с 2021 г., могут быть осуществлены только на основе электронного идентификатора личности.
По оценкам к 2023-2025 гг. повсеместная биометрическая идентификация сделает любые транзакции в китайском обществе абсолютно проницаемыми.
Поощрительной мерой является предоставление возможности отличившимся гражданам использовать интернет с максимальной скоростью. При этом, для нарушителей скорость интернета в качестве наказания ограничивается.
Китайцы с высоким социальным рейтингом:
имеют преимущества при направлении детей в лучшие школы и при обучении детей за рубежом;
имеют возможность получать банковские кредиты с процентной ставкой на треть ниже, чем установленная, с компенсацией от государства, и т.п.
Высокорейтинговым руководителям и владельцам бизнеса открываются дополнительные возможности в льготном кредитовании, преференции при проведении тендеров на госзакупки, государственной поддержки при проведении импортно-экспортных операций.
До 2030 г. Китай израсходует на развитие ИИ как минимум $150 млрд. И еще $1,5 трлн. – на компьютеризацию важнейших государственных институтов, программ и превращение Китая не позднее 2025 г. в первое в мире государство, комплексно управляемое на основе больших данных.
По факту соединение ИИ, интернета всего с SCS позволит китайскому руководству стать наиболее мощной интеллектуальной силой на планете.
Главное же, оно позволит китайскому руководству заметно снизить риски в наиболее турбулентный период цивилизации, который по всем прогнозам придется на
2025-2035 гг.
2019 December 08
#nocomment
#lesson11
#lesson11
«Власть Кремля над отечественным технологическим сектором означает, что российские компании фактически живут по его воле, признал человек, близкий к Яндексу»- FT.
Bonsoir Elliot ami
Сегодня добью пакет вопросов, еще было в планах навигатор по каналу сделать, посмотрим как получится
Короче stay focused
Сегодня добью пакет вопросов, еще было в планах навигатор по каналу сделать, посмотрим как получится
Короче stay focused
Q: Что за прошивка?
A: Делается так:
шаг0: подбираю донора на максимально голом AOSP (минимальные изменения во фреймворке, минимальное количество системных приложений - 124 у текущего донора - очень хороший показатель)
шаг1: прямо из телефона (чтобы сразу тестить) кромсаю прошивку, т.е. удаляю все по максимуму по принципу: не видно полезного действия - пшлнах (в текущем доноре, в версии xtrm осталось 39 системных приложений)
шаг2: билдпроп, рут, хпосд
шаг3: навешиваю сверху в пользовательский раздел (который можно безвозвратно зачистить по нашей технологии): необходимые аналоги отрезанного (смс/браузер/галерея/итд) + параноидальные возможности + одобренные редакцией мессенджеры - итого 22 приложения (цифра плавает иногда +-1-3, мы не стоим на месте)
шаг4: настраиваю, меняю все идентификаторы (полностью другой телефон получается по
всем пунктам), зашиваю BespaleVPN, отнимаю лишние права, привожу в стартовую позицию (только настрой время - дай интернет - пользуйся)
шаг5: собираю, ужимаю, пакую
шаг6: обвешиваю программным набором (джентельменским/для прекрасных дам), настраиваю все внутри, добавляю Инструкцию, Руководство владельца, пакую
шаг7: высылаю владельцу
шаг8: поддерживаю по всем вопросам впоследствии
Q: А я сам так смогу сделать? Без тебя/беспалефона/поддержки
A: Да легко, вон, выше же написано все
A: Делается так:
шаг0: подбираю донора на максимально голом AOSP (минимальные изменения во фреймворке, минимальное количество системных приложений - 124 у текущего донора - очень хороший показатель)
шаг1: прямо из телефона (чтобы сразу тестить) кромсаю прошивку, т.е. удаляю все по максимуму по принципу: не видно полезного действия - пшлнах (в текущем доноре, в версии xtrm осталось 39 системных приложений)
шаг2: билдпроп, рут, хпосд
шаг3: навешиваю сверху в пользовательский раздел (который можно безвозвратно зачистить по нашей технологии): необходимые аналоги отрезанного (смс/браузер/галерея/итд) + параноидальные возможности + одобренные редакцией мессенджеры - итого 22 приложения (цифра плавает иногда +-1-3, мы не стоим на месте)
шаг4: настраиваю, меняю все идентификаторы (полностью другой телефон получается по
всем пунктам), зашиваю BespaleVPN, отнимаю лишние права, привожу в стартовую позицию (только настрой время - дай интернет - пользуйся)
шаг5: собираю, ужимаю, пакую
шаг6: обвешиваю программным набором (джентельменским/для прекрасных дам), настраиваю все внутри, добавляю Инструкцию, Руководство владельца, пакую
шаг7: высылаю владельцу
шаг8: поддерживаю по всем вопросам впоследствии
Q: А я сам так смогу сделать? Без тебя/беспалефона/поддержки
A: Да легко, вон, выше же написано все
2019 December 09
Q: Что такое BespaleVPN? Чем он лучше? Как тебе доверять (логи/запросы)?
A: Это doublevpn (openvpn x2), два разных сервера/хоста/страны/владельца, шифрование настроено по максимуму: dh4096, aes-256-cbc, sha512 - и так два раза, на серверах ничего кроме впн-серверов не расположено вообще, а значит нечего взламывать
Тотальная анонимность + максимально доступная на сегодня безопасность
Лучше/хуже: просвещайтесь, решайте сами
По поводу логов - отличный вопрос, полагаю, тупо сказать, что мы их не ведем, будет недостаточно?😄
Немного разверну: а зачем? Меньше знаешь - крепче спишь, и дольше живешь, кстати
Так-то мы и сами ровно этим впном и пользуемся, ровно всей бандой..
Тоже недостаточно? ладно
Есть предложения о проверке? (дать доступ к серверам - сразу не обсуждаем, ладно?)
Готов послушать
Например, что-то типа стрима, где покажу как захожу на оба сервака, в папку впн сервера, что там нет файлов с логами, в файл конфига сервера (предварительно проверив дату создания/редакции, конечно), что там все чисто (/dev/null)
Есть другие предложения? Welcome, нам бояться нечего
Но и опять же, на забывайте, что я могу сразу после всех проверок зайти обратно, поменять настройки, и начать писать логи, так ведь? Надо это трезво понимать, но хотя бы к моменту проверки убедимся, что от даты последней редакции файлов логи не велись
Доверять не надо
Не верите, прям паранойя съедает?
У нас есть услуга сборки BespaleVPN (15к)
Т.е. предоставляете сервера (а, при покупке BespalePhone, мы дарим вам на год 2 прекрасных, чистых, абсолютно анонимных, никак друг с другом не связанных, зарегистрированных на живых американских людей, сервера, а это долларов 100, между прочим)
И мы на них
- собираем точно такой же BespaleVPN
- закрываем сервера от любого вторжения
- показываем вам, как самостоятельно сгенерировать ключи, которые будут только у вас (их надо положить в криптоконтейнер, кстати, мы так делаем)
После чего, на эти сервера по сети никто, кроме вас попасть не сможет физически (а ssh брутят с периодичностью 10-1000раз/минуту на любом ipv4 в мире, если что)
Ну и там уже точно будете уверены и в логах и в запросах и в чем еще угодно, оба сервера окажутся в ваших руках почти физически
Нам пока ни одного запроса ни от кого не приходило (мониторим), если придет - скорее похороним конкретно этот сервер и развернемся на новом (дело́в - на полдня), чтобы уберечь остальных клиентов и себя от ненужного внимания, чем будем хоть как-то взаимодействовать, что может затянуться на месяцы.. месяцы жесткого палева, общения с 👮🏻♂️ или кем там, нам оно вообще уперлось, думаете?
Но вы имеете полное право нам не верить
Наверное, тогда знаете, какому впн-провайдеру можно?😅
Если нет, будем рады конвертировать вашу паранойю в наши 15к
Ну а так, конфиг нашего BespaleVPN идет каждому клиенту в подарок - годовая подписка, вшит внутрь и прытко пытается подконнектиться при первой загрузке, что и делает моментально, как только телефон подцепляет любой источник интернета (дату/время актуальную не забудьте выставить только, а то будет ошибка авторизации), после чего цепко держит коннект, пока не умрет (аптайм 99.99%)
A: Это doublevpn (openvpn x2), два разных сервера/хоста/страны/владельца, шифрование настроено по максимуму: dh4096, aes-256-cbc, sha512 - и так два раза, на серверах ничего кроме впн-серверов не расположено вообще, а значит нечего взламывать
Тотальная анонимность + максимально доступная на сегодня безопасность
Лучше/хуже: просвещайтесь, решайте сами
По поводу логов - отличный вопрос, полагаю, тупо сказать, что мы их не ведем, будет недостаточно?😄
Немного разверну: а зачем? Меньше знаешь - крепче спишь, и дольше живешь, кстати
Так-то мы и сами ровно этим впном и пользуемся, ровно всей бандой..
Тоже недостаточно? ладно
Есть предложения о проверке? (дать доступ к серверам - сразу не обсуждаем, ладно?)
Готов послушать
Например, что-то типа стрима, где покажу как захожу на оба сервака, в папку впн сервера, что там нет файлов с логами, в файл конфига сервера (предварительно проверив дату создания/редакции, конечно), что там все чисто (/dev/null)
Есть другие предложения? Welcome, нам бояться нечего
Но и опять же, на забывайте, что я могу сразу после всех проверок зайти обратно, поменять настройки, и начать писать логи, так ведь? Надо это трезво понимать, но хотя бы к моменту проверки убедимся, что от даты последней редакции файлов логи не велись
Доверять не надо
Не верите, прям паранойя съедает?
У нас есть услуга сборки BespaleVPN (15к)
Т.е. предоставляете сервера (а, при покупке BespalePhone, мы дарим вам на год 2 прекрасных, чистых, абсолютно анонимных, никак друг с другом не связанных, зарегистрированных на живых американских людей, сервера, а это долларов 100, между прочим)
И мы на них
- собираем точно такой же BespaleVPN
- закрываем сервера от любого вторжения
- показываем вам, как самостоятельно сгенерировать ключи, которые будут только у вас (их надо положить в криптоконтейнер, кстати, мы так делаем)
После чего, на эти сервера по сети никто, кроме вас попасть не сможет физически (а ssh брутят с периодичностью 10-1000раз/минуту на любом ipv4 в мире, если что)
Ну и там уже точно будете уверены и в логах и в запросах и в чем еще угодно, оба сервера окажутся в ваших руках почти физически
Нам пока ни одного запроса ни от кого не приходило (мониторим), если придет - скорее похороним конкретно этот сервер и развернемся на новом (дело́в - на полдня), чтобы уберечь остальных клиентов и себя от ненужного внимания, чем будем хоть как-то взаимодействовать, что может затянуться на месяцы.. месяцы жесткого палева, общения с 👮🏻♂️ или кем там, нам оно вообще уперлось, думаете?
Но вы имеете полное право нам не верить
Наверное, тогда знаете, какому впн-провайдеру можно?😅
Если нет, будем рады конвертировать вашу паранойю в наши 15к
Ну а так, конфиг нашего BespaleVPN идет каждому клиенту в подарок - годовая подписка, вшит внутрь и прытко пытается подконнектиться при первой загрузке, что и делает моментально, как только телефон подцепляет любой источник интернета (дату/время актуальную не забудьте выставить только, а то будет ошибка авторизации), после чего цепко держит коннект, пока не умрет (аптайм 99.99%)
Q: Предустановка бекдоров производителем, программных, железных. Это реальность? Как бороться?
A: Это - ежесекундная, объективная реальность
Любой современный смартфон просто напичкан вирусами доне́льзя
Проблема в том, что общество не считает google, apple, xiaomi, huawei и далее по списку - авторами вирусов, а их продукты - вирусами
Хотя разобравшись немного в этом вопросе, с обществом довольно трудно согласиться
Начнем с "железных" угроз
Конкретный чип можно проэксплуатировать:
1. по интернету
2. по его "железному" каналу - т.е. по gsm/bt/wifi/gps
Возможности строго железного канала минимальны
Размеры/протоколы не позволят загрузить сколько-нибудь рабочий пейлоад, разве что за исключением wifi, через него можно, ну это такая специальная особая железка, и, возможно bluetooth, какой-нибудь дроппер забросить вполне реально, особенно с учетом прав bluetooth-приложения
Железные бекдоры (не считая wifi|bt) - это скорее из области возможностей анб, и строго в рамках следить, т.е. получать и анализировать "железные" данные, но не управлять машиной
И тут, у нас отрублено для слежения/эксплуатации все, что можно (bt|gps|public wifi), а в остальном действовать надо вам:
Менять сим+imei почаще, так слежку сбивать
Вафлей, если и пользоваться, то только дома (настройте ее нормально, только, безопасно), и выходя из дома, сразу тушить wifi на телефоне
Потому что пока она включена (читай находится в режиме поиска знакомых точек), то крайне уязвима для атаки (тот самый пейлоад, нужен просто комп и все, а при большом желании и с телефона можно)
Тушите вафлю/бт/гпс, меняйте симки+imei как кондомы, и будет вам счастье по части железных беков
Другое дело интернет
С помощью него и при наличии бека в железке - уже становится интереснее и возможностей прибавляется до бесконечности
Но, для этого нужны:
1. Проводники из системы к железке (апк, элементы фреймворка)
2. Собственно, интернет для этих проводников или их родственников
С интернет угрозой покончено: фаервол работает в линукс ядре, а значит ниже всех апк, включая фреймворк, а значит не обойти никак (собственно говоря, это iptables)
И этот фаервол пускает в сеть (только через BespaleVPN, наш родной, не взламываемый) мессенджеры, браузер, ютуб, тор там итд, что сами решите, но ни система, ни один ее компонент или сервис никогда в жизни сеть не увидят, поэтому и просплоитить там без шансов, не говоря об управлении
И плюс, конечно, мы вырезаем все, т.е. из 124 оставляем 39 системных апк на сборке экстрим, и там вообще нет апк, связанных с bt, gps, public wifi (который как раз самый уязвимый) и много чем другим, что можно просплоитить и без привязанных железок, сугубо программно
Повторять мантру о 200+ системных апк в любом бренде, я уже утомился, честно говоря
Сравните 39 и 200+
Где больше программных вирусов и вирусов-проводников к железным дыркам?
A: Это - ежесекундная, объективная реальность
Любой современный смартфон просто напичкан вирусами доне́льзя
Проблема в том, что общество не считает google, apple, xiaomi, huawei и далее по списку - авторами вирусов, а их продукты - вирусами
Хотя разобравшись немного в этом вопросе, с обществом довольно трудно согласиться
Начнем с "железных" угроз
Конкретный чип можно проэксплуатировать:
1. по интернету
2. по его "железному" каналу - т.е. по gsm/bt/wifi/gps
Возможности строго железного канала минимальны
Размеры/протоколы не позволят загрузить сколько-нибудь рабочий пейлоад, разве что за исключением wifi, через него можно, ну это такая специальная особая железка, и, возможно bluetooth, какой-нибудь дроппер забросить вполне реально, особенно с учетом прав bluetooth-приложения
Железные бекдоры (не считая wifi|bt) - это скорее из области возможностей анб, и строго в рамках следить, т.е. получать и анализировать "железные" данные, но не управлять машиной
И тут, у нас отрублено для слежения/эксплуатации все, что можно (bt|gps|public wifi), а в остальном действовать надо вам:
Менять сим+imei почаще, так слежку сбивать
Вафлей, если и пользоваться, то только дома (настройте ее нормально, только, безопасно), и выходя из дома, сразу тушить wifi на телефоне
Потому что пока она включена (читай находится в режиме поиска знакомых точек), то крайне уязвима для атаки (тот самый пейлоад, нужен просто комп и все, а при большом желании и с телефона можно)
Тушите вафлю/бт/гпс, меняйте симки+imei как кондомы, и будет вам счастье по части железных беков
Другое дело интернет
С помощью него и при наличии бека в железке - уже становится интереснее и возможностей прибавляется до бесконечности
Но, для этого нужны:
1. Проводники из системы к железке (апк, элементы фреймворка)
2. Собственно, интернет для этих проводников или их родственников
С интернет угрозой покончено: фаервол работает в линукс ядре, а значит ниже всех апк, включая фреймворк, а значит не обойти никак (собственно говоря, это iptables)
И этот фаервол пускает в сеть (только через BespaleVPN, наш родной, не взламываемый) мессенджеры, браузер, ютуб, тор там итд, что сами решите, но ни система, ни один ее компонент или сервис никогда в жизни сеть не увидят, поэтому и просплоитить там без шансов, не говоря об управлении
И плюс, конечно, мы вырезаем все, т.е. из 124 оставляем 39 системных апк на сборке экстрим, и там вообще нет апк, связанных с bt, gps, public wifi (который как раз самый уязвимый) и много чем другим, что можно просплоитить и без привязанных железок, сугубо программно
Повторять мантру о 200+ системных апк в любом бренде, я уже утомился, честно говоря
Сравните 39 и 200+
Где больше программных вирусов и вирусов-проводников к железным дыркам?