Может, вам повезёт?

Author: Wladyslaw

  • Цифровой суверенитет по-русски. Часть третья

    Одним из самых простых способов обезопасить значительную часть государственной информации в процессе отправки — создание собственного браузера.

    Кроме того, что большинство «отечественных» браузеров работают на западном движке Blink (в пример — «Яндекс Браузер», «Атом», и т. д.), что само по-себе убивает любой запрос на «отечественность» (т. к. главным разработчиком Blink является корпорация Google), они также доверяют запредельному количеству иностранных удостоверяющих центров.

    Что это означает: если один из многочисленных «авторитетных» центров доверия американского происхождения под давлением выпустит поддельный сертификат для «Госуслуг», то отечественный «Яндекс Браузер» ничего даже не заметит.

    Принцип работы таких атак уже был описан в публикации «Зловредные Сертификаты». В контекст стоит добавить, что такая атака имеет «цену» в одно письмо национальной безопасности.

    Стоит сделать отступление и сказать, что этому существуют разной эффективности меры противодействия, например, DANE — но это «залечивание» симптоматики, а не решение проблемы в целом.

    К тому же, приведенные в пример «Госуслуги» его не используют.

    Выбор в пользу западных сертификатов недавно сделал мессенджер Max, даже не удосужившись сначала попробовать сертификаты НУЦ Минцифры. По-сути, Max добровольно облегчил проведение такой атаки на свой же сервис.

    В рамках политкорректности «Может, вам повезёт?» не будет уточнять, как это сочетается с нарративом о «борьбе» с российским национальным мессенджером.

    Решение этой проблемы простое — отдельный браузер для госслужащих. Его отличительными особенностями должны быть отдельное хранилище сертификатов (а-ля Firefox), российский движок, и, разумеется, отсутствие доверия к западным центрам.

    Такой браузер просто не примет поддельный сертификат для какого-либо российского сервиса — ведь он доверяет только «своим».

    На потребительский рынок его можно ограниченно продвигать как способ безопасного взаимодействия с государством, но никак не как ПО общего пользования.

    Часть первая, часть вторая

  • Почему важны обновления?

    «Может, вам повезёт?» уже говорил о «командном» аспекте информационной безопасности. Между тем, «за сценой» зачастую остаётся один из других, менее известных «краеугольных камней» защиты информационных систем — системность при построении обороны.

    Гиперфокус на одной области зачастую приводит к тому, что заходят через открытый «тыл».

    Автор «Может, вам повезёт?» находится в процессе написания книги на эту тему. Она будет в деталях разбирать все аспекты информационной безопасности (аппаратная, программная, сетевая, операционная), а что самое главное — объяснять, как выстроить из этого «единое целое».

    Частота обновлений вашей ОС носит критический характер. Во время развития ИИ, даже самые маленькие «дыры» (которые, к слову, публикуются на регулярной основе) могут составить вам большой «сюрприз».

    Не секрет, что обученный искусственный интеллект может с фантастической скоростью как находить, так и закрывать уязвимости. Так как «оборона» на данный момент находится в положении «ленивца», этим пользуется «нападение».

    Например, с помощью ИИ была найдена уязвимость CopyFail, которая не так давно позволяла любому пользователю получить полные административные права через ошибку логики в ядре GNU/Linux.

    Стоит сделать отступление и сказать, что если ваш производитель не присылает вам обновления, это не значит, что их нет. Например, для Android каждый месяц публикуются бюллетени безопасности, в которых все найденные уязвимости «как на ладони».

    Это не говоря про обновления прошивки, ведь драйвера зачастую находятся прямо в памяти вашего ядра. Особенно чревато это в GNU/Linux, где ошибка в одном модуле позволяет получить полный доступ к системе.

    Необновлённый драйвер сотового модема/WiFi/Bluetooth может привести к тому, что любой человек рядом с вами может использовать ваше радио как «открытую дверь». Даже если сам чип изолирован через тот же IOMMU.

    В случае с Android, это значит, что если у вас нет уровня безопасности 2026-06-01 (первый понедельник месяца), то вы уже подвергаетесь риску взлома с использованием публичного кода. Даже с платформы GitHub.

    Приемлемого отставания от обновлений нет. С каждым новым месяцем устаревшее ПО только превращается в «катастрофу».

    Как проверить? Для Android — во вкладке «Об Устройстве». Для iOS — вы должны иметь как минимум 26.5. Обновления выходят ежемесячно. Соответственно, 26.5 — за май.

    На данный момент приемлемую частоту обновлений имеют только устройства Google Pixel и Apple iPhone. В случае с первыми, вы можете использовать GrapheneOS и получать исправления безопасности на многие месяцы вперёд.

  • Дайджест «О том, что было, будет, или есть» за май 2026

    В дайджесте за предыдущий месяц «Может, вам повезёт?» позволил себе заметить, что структурных изменений толком не было. В этом месяце обозримая «мелодичная» тишина распространилась и на «воздушное» измерение.

    О том, что было:

    Тарификация иностранного трафика провалилась. «Может, вам повезёт?» между «делом» предсказал это ещё второго апреля, когда весь «сыр-бор» только обретал свою форму.

    «Министерство цифровых диверсий» перенесло реализацию этой меры на осень. «Может, вам повезёт?» полностью уверен в том, что этот «лихорадочный сон» имени г-ина Шадаева будет успешно забыт как раз к обозначенному сроку.

    Впрочем, для Минцифры это далеко не первый провал — их «белые списки» не ввели в период праздничных мероприятий девятого мая. Как и было сказано ранее, возможно до «силовиков» тоже дошёл «секрет полишенеля» о том, что каждый уважающий себя VPN любые «списки» запросто обходит. Не говоря уже про иностранные «симки».

    Тем временем в мире происходит «война с анонимностью». Несмотря на обозримое «чудо» синхронизации бюрократий многих стран запада, «война» идёт крайне посредственно, в том числе и потому, что глобалисты — те же бюрократы, только в «профиль».

    О том, что есть:

    «Может, вам повезёт?» принял решение не публиковать руководства по созданию альтернативных сетей.

    Несмотря на техническую возможность их реализации, а также относительную лёгкость для «обывателя», ввод их в эксплуатацию будет контрпродуктивным до полного «отказа» других «мер обхода государственного беспредела».

    О том, что будет:

    Несколько источников «Может, вам повезёт?» утверждают, что может произойти эдакая «рокировка» со снятием всех ограничений в российском интернете. Предположительно, в ближайшее время.

    «Может, вам повезёт?» внимательно наблюдает за «маркерами» развития этого сценария.

  • Цифровой суверенитет по-русски. Часть вторая

    Кроме аспектов безопасности самой ОС, всегда необходимо учитывать аппаратную безопасность систем, подходящих под определение «критическая инфраструктура».

    Как ни странно, усиление аппаратной безопасности может привести к повышению программной в том числе. Это реализуется через сокращение срока жизни несанкционированного доступа в систему путём проверки её образа (Verified Boot), а также недопущение получения чувствительных данных через «обходные пути» вроде TEMPEST.

    Если в вопросе аппаратной безопасности классических компьютеров ещё можно «идти на компромиссы», то в мобильных устройствах это недопустимо, и станет ощутимой преградой их создания.

    Как пример, текущие планшеты «Аврора», которые позиционируются как «импортозамещенный продукт», несмотря на использование западного ядра Linux и прочих компонентов не имеют криптографического чипа.

    Это значит, что данные из устройства возможно «выкачать» простым перебором паролей. Кроме этого, это делает невозможным какую-либо аттестацию (проверку подлинности) такого планшета.

    Кроме замены всей ОС Аврора как таковой (о чем было написано ранее), до состояния какой-либо приемлемой «безопасности» такому планшета не хватает криптографического чипа. В данном случае, российского производства.

    Такой чип должен быть разработан государством и являться требованием при обработке секретных данных.

    Из самых основных требований при разработке такого чипа должна быть устойчивость к атакам Fault Injection, поддержка отечественных алгоритмов шифрования, а также отечественного же способа аттестации устройств.

    Как реализовать аттестацию? Предполагается, что чипу (в данном случае — условной «Бруснике-М») доверяет как конечный пользователь, так и государство. В «Бруснике-М» должен быть зашит сертификат, который может быть использован для подтверждения подлинности получаемой информации.

    Так как подразумевается, что приватные ключи сертификата «Брусники-М» не могут быть получены из-за аппаратной защиты, государство может автоматизировать проверку всех своих устройств с криптографически гарантированной подлинностью результата.

    Такие отчёты можно отсылать на централизованный сервер в формате информации о системе с подписью «Брусники-М». Это уже реализовано, например, в телефонах Google Pixel, где можно использовать криптографический чип Titan для подтверждения подлинности системы.

    При выявлении аномалий устройство можно будет легко изолировать, а затем провести «разбор полётов» и отследить, на каком моменте все пошло «не так».

    Про Verified Boot и хранение ключей в таком чипе необходимо говорить отдельно, в том числе из-за «обширности» темы.

  • Цифровой суверенитет по-русски. Часть первая

    Сейчас «цифровой суверенитет» у нас понимается как создание собственных сервисов, мессенджеров, и даже «операционных систем» с последующим их продвижением через административный ресурс. Без существенных ограничений на западные компоненты.

    Не нужно быть в «теме», чтобы понять, что большинство таких проектов не улучшают «суверенитет», а являются обычной профанацией.

    Представим сценарий, в котором всё вышеперечисленное действительно работает «как часы» и имеет популярность. Даже тогда «суверенитет», максимум, носит характер «показухи», ведь используются иностранные инструменты, библиотеки, и даже «ядра» операционных систем.

    Проблема в том, что используя такой «фундамент», любое, даже самое «суверенное» ПО становится заложником решений и «чистоплотности» его разработчиков. Это непотребно высокий уровень доверия для элементов, которые в целом тяжело понять.

    Прекрасный тому пример — бесконечное число «отечественных» дистрибутивов GNU/Linux, основными разработчиками которого являются, сюрприз, мегакорпорации из США.

    Кроме этого, в файлах Эпштейна нашли неплохую «зацепку», которая указывает на то, что главные разработчики ядра Linux и сам Торвальдс могут быть «на зарплате» уже с десяток лет.

    Это частично подтверждает то, что ядро Linux не разрабатывается как серьёзный продукт. Оно не имеет какой-либо внутренней изоляции, что вкупе с распространённым использованием небезопасного C превращает любую, даже самую «малую» ошибку логики в «открытую дверь» для полного доступа над системой.

    Прямое доказательство этому — уязвимость CopyFail, которая позволяла получить полный контроль над системой из пользовательского аккаунта благодаря «оптимизации» компонентов из 2017 года.

    Сейчас самым разумным вариантом будет создание именно безопасной отечественной операционной системы. Про процессоры и криптографические чипы (Secure Element) мечтать не приходится.

    Такую ОС стоит делать по образу и примеру Redox OS, которая использует микроядро (т. е. имеет внутреннюю изоляцию), написанное на безопасном языке Rust, а также большинство системы на нем же.

    Это сильно снизит количество возможных уязвимостей, связанных с искажением памяти, самых распространённых на данный момент.

    Переход на такие системы способен существенно усилить национальную безопасность в кратчайшие сроки. В том числе и потому, что осуществлять взлом критической инфраструктуры станет ощутимо сложнее.

    Всегда стоит помнить, что информационная безопасность, даже на национальном уровне — командный «спорт». Интернет-ресурс «Может, вам повезёт?» как раз и был создан для популяризации «сложных» аспектов этой «дисциплины».

  • Лихорадочный сон

    Как и было сказано в предыдущей публикации, этот материал возник исключительно потому, что автор «Может, вам повезёт?» получал множество вопросов о недавних «тезисах» Алекса Карпа, главы Palantir.

    Большинство задававших эти вопросы, к слову, принадлежали к поколению, которое не только имеет чрезвычайно расплывчатое представление о предметной области Palantir, но и пользуется вычислительной техникой «постольку-поскольку».

    Это значит, что «тема» действительно беспокоит «ширнармассы». Плюс, автору «Может, вам повезёт?» только в удовольствие пересказать собственные слова.

    Первое. Palantir не является чем-то принципиально новым. Алекс Карп может хоть в цирке выступать, но это не изменит факт того, что его «контора» ничего нового в «сферу» не принесла.

    Гораздо большую опасность представляет Агенство Национальной Безопасности (NSA). Эта «скромная» американская структура начала подрывать общемировую безопасность ещё задолго до самого Palantir.

    О возможностях АНБ мы знаем только из документов 2013 года, и не в последнюю очередь благодаря Эдварду Сноудену. На тот момент, у них уже имелись возможности массово заражать устройства, пользователи которых вводили запросы вроде «анонимные прокси» в поисковые системы.

    Второе. С Palantir-ом можно и нужно бороться как с любой другой государственной угрозой. На собственный «класс» Алекс Карп ещё «не заработал».

    На данный момент успешную борьбу с подобными «акторами» ведут проекты вроде GrapheneOS. Самые «крутые» на рынке незаконного взлома устройств, израильская компания Cellebrite, не могут взломать эту ОС уже как четыре года.

    Прямое подтверждение этому можно посмотреть на сайте «Может, вам повезёт?». Уже много месяцев там опубликована свежая матрица «поддержки» устройств Google Pixel от Cellebrite, а также лицо их сотрудника Алекса в качестве доказательства — правда не Карпа, а Ранкмора.

    Что важно, это полностью частная «инициатива», с финансированием через добровольные пожертвования. Для поддержания ментального здоровья масштабировать этот пример на ресурсы, которые «пилят» отечественные «казнокрады» не рекомендуется.

    Таких примеров массы. GrapheneOS была выбрана только потому, что автор «Может, вам повезёт?» пользуется ей каждый день. Алекс Карп волен говорить все, что ему «вздумается», но его «качество» определяют действия.

    Информационная безопасность всегда была «гонкой вооружений» между «обороной» и «нападением». Весь этот «цирк» имеет «вес» только потому, что «оборона» сейчас сильно отстает.

    Никакой «черной магией» Palantir не обладает. Надо просто уметь «дать сдачи».

  • Когда умрёт анонимность?

    Из-за всеобщего и хорошо координированного раската «проверки возраста» по государственным документам/биометрии в западной части интернета многие «паникеры» начали говорить о конце анонимности в сети как таковой.

    Мы не будем говорить о том, кто и как продвигает подобные инициативы (спойлер: глобалисты), только о «технической» стороне вопроса.

    Взять и ввести проверку возраста во всем интернете просто невозможно. Единственный способ реализации этого «генерального плана» — заставить каждый отдельный сервис проверять своих пользователей.

    Это критическая «уязвимость» всей системы. Любое приложение, которое начнёт спрашивать пресловутый «паспорт» можно заменить на его аналог. Только отток пользователей много кого заставит «задуматься», не говоря уже о прибыли.

    Сейчас этот «эффект» уже чувствуют российские маркетплейсы, которые теряют миллиарды из-за ограничения пользователей с VPN.

    Как пример, у интернет-ресурса «Может, вам повезёт?» есть достаточно простое «Руководство по созданию собственного мессенджера», которое является как прямой заменой Discord, так и Telegram.

    На это существует прямой контраргумент — мол, «так уже в самих операционных системах вводят проверку возраста!».

    Важно заметить, что не во всех, и «черти-как». Для GNU/Linux существует простой скрипт, который «убивает» все имеющиеся задатки таких проверок на данный момент.

    С мобильными устройствами ситуация несколько сложнее, в том числе и потому, что вы не их хозяин. Почему? В том числе и потому, что они вам не доверяют.

    На данный момент действительно «владеть» можно только устройствами Google Pixel, которые позволяют использовать ваш ключ как корень доверия.

    Если вы не подпишете соответствующий код (или как это бывает чаще, разработчик вашей ОС), никаких «проверок», «досмотров», и так далее у вас не будет. Система просто воспримет такие «модификации» как умышленное повреждение данных, чем оно, грубо говоря, и является.

    В подобных случаях всегда стоит обращаться к русской аксиоме «у страха глаза велики». Следующий материал будет про несчастный Palantir, в том числе и потому, что автора «Может, вам повезёт?» активно расспрашивали «по вопросу» в частных беседах.

  • «Альфа-скам»

    На днях произошел интересный «казус» с «Альфа-банком». Персонал одного из их питерских офисов настолько поймал «дзен» от «палочной системы», что аж подделал подпись местного кредитного брокера.

    Дело в том, что на «заре» своего существования «Может, вам повезёт?» с разной периодичностью разбирал бесполезные и беспощадные инновации «Альфы», имеющие информационную безопасность, в лучшем случае, разбитого лобового стекла.

    Эту публикацию можно считать продолжением «доброй» традиции. Тем более, что информационные технологии сейчас активно играют против «красного банка».

    О чем «сыр-бор»? Как и было сказано в предисловии, кредитный брокер из Питера пришла перевыпустить дебетовую карту. Карта была перевыпушена, но есть «нюанс» — кредитная, и с дополнительной подпиской «Альфа-смарт».

    Навязывание услуг в «Альфе» — дело привычное, но весь «сок» этого случая — подпись в согласии появилась «сама собой». Далеко не ясно, кому принадлежит эта «гениальная» идея, но факт остаётся.

    Дело в том, что как и во всех банках, в «Альфе» работает цифровой «паноптикон», который записывает все действия сотрудников. Он же считает «квоту» по «дополнительным услугам», за отказ от подключения которых местным «клеркам» режут премии.

    Получается, что сотрудник под запись и в рамках «правил игры» своего же банка совершил грубое преступление. Хотя, может быть, в офисе «неожиданно» отключили электричество, из-за чего «цифровой след» записан не был.

    Не стоит думать, что это «частный случай». Без одобрения «сверху» такие вещи не происходят, да и «уникумы» на местах действуют чётко в рамках данных им инструкций.

    Как «вишенка» на коммерсантском «торте», вместо положенных извинений сейчас пострадавшей от сего «беспредела» приходят угрозы. Это опровергает любые, даже самые «замудренные» оправдания действий «Альфы».

    Конечно, ожидать чего-то иного от банка, топ-менеджер которого довел свою бывшую жену до самоубийства было бы, по крайней мере, глупо.

    Канал с информацией по «случаю» тут. «Может, вам повезёт?» желает потерпевшей всеобъемлющей удачи в разрешении этого «казуса».

  • О блокировке GitHub

    У интернет-ресурса «Может, вам повезёт?» есть достаточно «примитивный», но проверенный график выхода публикаций. Сейчас это каждый чётный день месяца, но при сильной «загрузке» автора материал переносится на следующий «слот».

    К сожалению, из-за непрекрающегося «потопа» блестящих идей в голове у отечественных «вредителей», этот «график» так или иначе приходится ломать.

    В этот раз «Роскомпозор», и его «говорящая голова», депутат Горелкин, коллективно «родили» блокировку GitHub. Если сильно упрощать, — GitHub это платформа для разработчиков, куда можно загружать исходный код приложений и коллективно его изменять, разумеется, с контролем версий.

    В данный момент «Роскомпозор» в очередной раз превышает свои полномочия и производит незаконное же вмешательство в работу этого «безобидного» сервиса.

    Законность тут, конечно, только для «справки». Понятно, что если бы законодательством не «подтирались», сам «Роскомпозор» давно бы «разнесли». За дело.

    Автор «Может, вам повезёт?» желает поблагодарить «клерка» во главе этого «замечательного» ведомства за очередной, но «вычурно» наглядный пример государственного «вредительства».

    Если раньше эта точка зрения могла показаться части читателей «конспирологической», или даже «предательской», тут все встаёт на свои места.

    GitHub не несёт какой-либо опасности. Продукты Microsoft «зашиты» в самые корни российского государства с самого момента его основания. Сейчас их уже не «вырвать», ведь «рухнет» все.

    Гораздо большей проблемой является использование операционной системы MS Windows в государственных органах. Про «кривые» и «косые» дистрибутивы Linux с отечественным «шильдиком» говорить мы не будем.

    Ядро Linux написано в очень «кривой» манере, не имеет какой-либо изоляции внутри (т. н. «монолит») а также содержит неприемлемые количества кода, использующего языки программирования без безопасности памяти.

    Отечественные «рукоделы» используют его только потому, что так «проще». Плюсом, «думать» надо только при замене имени, иконки, и «зеркал» какого-нибудь пакетного менеджера.

    Понятное дело, что работать на этом невозможно. К слову, альтернативы GitHub у нас также нет — ведь цель не в «цифровом суверенитете», а в банальном «вредительстве».

    Возвращаясь к «лейтмотиву» публикаций про блокировки, это также «ослепит» взор государственных «коробок» на действия разработчиков в сети.

    Эта «социальная группа» теперь будет вынуждена пользоваться VPN, кроме этого, хорошими VPN. Они также в «теории» гораздо более «деструкивнее» любого пользователя Instagram или ребёнка, которому родители включают «Маша и Медведь» за завтраком.

    Для оправдания этого «беспредела» на никому не известного «клерка», главу «Роскомпозора» подстроили покушение. Конечно, «картина» уровня школьных театральных команд, не более. И смех, и грех.

  • После торжества

    Закрывая «тему» парада победы в этом году, стоит отметить, что он подтвердил «много новое» о текущей цифровой политике российского государства — ни «белые», ни «желтые» списки не способны повысить «безопасность» чего либо.

    Для справки, — сам министр Шадаев и вся прочая «шобла» из «Министерства цифровой деградации» старались согласовать свои «белые списки» с ФСБ все начало мая. В итоге, — ни на проводном, ни на каком-либо другом интернете они введены не были.

    «Мотив», конечно же, может быть у них и хороший — мол, может быть бизнес потеряет на пару миллиардов меньше, чем при полном отключении связи — но это простое залечивание «симптомов», вместо лечения «возбудителя» заболевания, т. е. отключения интернета в целом.

    Странно полагать, что ФСБ не знает про «дырявость» любых «списков» Шадаева. Обходить их научился каждый второй VPN с ботом в, злая ирония, заблокированном Telegram.

    То есть, практической пользы они не несут, только вред. Разумеется, если трактовать происходящее как полноценную стратегию по уничтожению доверия к государству, то это весьма логичные, и даже «полезные» для «цели» меры.

    В качестве дополнительной цели этого «вредительства» можно отметить «ослепление» российских спецслужб. «Может, вам повезёт?» уже писал, что популяризация VPN через вечные блокировки многократно уменьшает эффективность «коробок» российских спецслужб.

    Дело в том, что перехватить обычный HTTPS достаточно легко. А если он находится в туннеле VPN — мягко говоря, надо порвать «отходное место» на «британский флаг».

    Автор «Может, вам повезёт?», конечно же, глубоко уважает Шадаевский «цирк». Как-никак, эффективность в предательстве собственного государства — тоже эффективность.