XTLS-Reality, XHTTP, Naiveproxy и всякие там AnyTLS - это не интересно. Давайте копнем чуть глубже и посмотрим, где прячется настоящее безумие. Особенно учитывая, что мы живем во времена, когда даже самые, казалось бы, безумные вещи, могут оказаться весьма полезными чтобы не сойти с ума.
PingtunnelЧитать полностью »
Каждый день появляются уже привычные новости о том, что очередной любимый сервис блокируют или собираются заблокировать. Тем временем для большинства россиян приложение на три буквы становится таким же обыденным явлением, как и сами блокировки.
Я думаю, все мы понимаем текущую ситуацию с интернетом на территории Российской Федерации. Сейчас это выходит на уровень абсурда, а VPN-сервисы выходят на уровень первой необходимости, и в связи с этим я хотел бы поговорить о том, насколько некоторые из них ну абсолютно ужасны, и каким сервисам верить не стоит.
Разработчик с опытом общественной деятельности создал Стопчебурнет.рфЧитать полностью »
Всё начиналось по приколу. Недавно в сети поднялась шумиха вокруг уязвимости VLESS-клиентов: оказалось, что даже при использовании сплит-туннелирования (когда VPN включен только для избранных приложений), любое "шпионское" приложение на телефоне может узнать IP-адрес вашего VPN-сервера.
Уязвимость была тривиальной - ядро клиента открывает локальный SOCKS-прокси, который никак не защищен. Любая софтина на устройстве может постучаться в этот локальный порт и отправить пакет наружу. Ради академического интереса я написал Android-приложение TeapodStream, под капотом которого связал xray-core и tun2socksЧитать полностью »
Давно читаю Хабр, и всегда хотелось что-нибудь да написать. И вот, тема появилась. Надо было на одном сервере запустить и VPN-сервер (который уже работал), и легитимный сервис.
Сразу нужно сказать, что этот метод подойдёт в основном для тех, у кого уже есть свой реальный веб-сервис. Подойдёт и обычный написанный на коленке сайтик, и что-то покрупнее. Главное чтобы оно было действительно вашим.
Привет!
Ну вот вы ставите Яндекс Go, жмёте «Разрешить» на всё подряд — микрофон, контакты, местоположение. Такси же, надо. А потом выясняется, что приложение лезет в буфер обмена. 16 раз в разных местах кода. Зачем такси буфер обмена — я так и не понял.
Короче, я взял семь популярных Android-приложений и разобрал их по косточкам. SAST, реверс-инжиниринг, декомпиляция DEX, разбор манифестов, ковыряние в нативных библиотеках. Под раздачу попали: Яндекс Go, Карты, Музыка, Пэй, Телемост, Mir Pay и мессенджер МАКС (бывший ICQ New / VK Messenger).
Сразу перейдем к делу, я, Григорий Мельников, создатель сервиса KillBot, расскажу 4 метода как наш номер телефона попадает к тем, кто нам звонит.
Когда пользователь заходит на сайт с мобильного интернета, оператор видит факт обращения к домену, а твой номер телефона у него уже есть - симка же на тебя оформлена.
История о том, как сисадмин борется с конторой с бюджетом в 60 млрд.
В продолжение комментария.
Есть грандиозный проект, и для его существования нужны 3 вещи:
- сервера
- люди
- vpn
Компания зарубежная, и мы с удовольствием используем AWS.
Читать полностью »
