Может, вам повезёт?

Author: Wladyslaw

  • Памятка по предупреждению «пыточного» криптоанализа

    Среди аудитории интернет-ресурса «Может, вам повезёт?» существует своеобразная «прослойка» поборников теории абсолютной бесполезности мер безопасности мобильных устройств (вроде чипов Secure Element) по причине того, что «секрет» от них можно получить попросту запытав владельца.

    Подобные явления, разумеется, имеют место быть, вот только составляют одну из самых «узких» крайностей в так называемом «моделировании угроз», т. е. статистическое большинство даже при желании «допрыгнуть» до этого не может. Тем не менее, вы уверены, что с вами это непременно произойдёт. Что делать?

    Во-первых, вам нужно прекратить хранить какие-либо чувствительные данные на «потребительских» устройствах. То есть, про любимый iPhone, iPad и прочие девайсы вам необходимо забыть.

    Вместо этого для всех «важных» дел вам необходимо приобрести простенький телефон Pixel. Не обязательно «метить» на последние модели 10-го поколения, а также на варианты Pro. Pixel 9a стоит в районе двадцати девяти тысяч рублей (~$300 долларов США), но в плане безопасности ничем не отличается от Pro XL того же поколения. Дата окончания поддержки — апрель 2032-го.

    Далее вам необходимо установить на свежеприобретенный телефон операционную систему GrapheneOS. Это делается через браузер на любом компьютере за ~12 минут. Путём последовательного нажатия кнопок на экране, разумеется.

    Важно: сверьте контрольную сумму ключа AVB после установки с точно подлинным. Желательно сразу с нескольких устройств. Для работы Verified Boot далее вручную это делать не надо.

    После настройки ОС и установки сильного пароля (!) вам необходимо проследовать по пути Settings -> Security & Privacy -> Device Unlock -> Duress PIN и ввести свой пароль. После этого надо придумать заведомо ложный пароль/ПИН-код и запомнить его. Он будет использоваться для экстренного стирания устройства. В том же разделе находится секция Exploit Protection, где рекомендуется отключить порт USB-C и поставить автоматическую перезагрузку на значение меньше 4-х часов.

    Подробнее о работе Duress PIN можно прочитать здесь. Если кратко — ключи восстановить нельзя, даже если вы позже назовете пароль, а также «результат» процесса можно списать на обычное повреждение раздела /data.

    GrapheneOS — дериватив Android, имеющий полную совместимость с стандартыми приложениями .apk. Ощущается Pixel на GrapheneOS как обычный телефон с Android из среднего сегмента.

    Касательно советов по применению Duress PIN; желательно применить его до того, как вас непосредственно «прижмут». Соответственно, для этого вам необходимо пользоваться собственным «чутьем». Никакая программа не сможет его заменить.

  • Про iPhone репортёра Washington Post

    На днях появилось известие о том, что у ФБР не получилось «открыть» достаточно старый Apple iPhone 13 и Macbook Pro репортёра Washington Post. Стоит отметить, что автор «Может, вам повезёт?» при первом прочтении был весьма удивлён — как правило, устройства Apple, как и например Google Pixel на «заводской» ОС могут быть спокойно взломаны соответствующими аппаратными комплексами.

    Полноценно подтвердить или опровергнуть возможность подобного «исхода», к сожалению, не представляется возможным — ведь в материалах отсутствуют упоминания ключевых факторов, от которых зависит успех большинства криминалистических «исследований». Из доступной информации — то, что Face ID был отключен, и то, что оба устройства находились в режиме блокировки (Lockdown Mode).

    Что же отсутствует? Описание состояния устройства — Before First Unlock [BFU] или After First Unlock [AFU]. Соответственно, первый акроним относится к состоянию после выключения/перезагрузки но без ввода пароля (далее — секрет), второй — уже после. Подробнее о них можно прочитать в этой статье.

    Это абсолютно ключевая деталь, которая определяет порядка 70% успеха во взломе устройства. Если устройство в AFU, поверхность, которую можно атаковать, кратно больше, и vice versa. Без упоминания этой детали сказать что-то крайне затруднительно.

    Также, отсутствует упоминание характера «секрета», который репортер использовал для доступа к устройствам. Это также крайне важно, ведь «слабые» значения полностью зависят от замедления криптографическим сопроцессором (Secure Element), в данном случае — Apple SEP. Соответственно, если «комплексы» ФБР могут обойти названное замедление, любой пароль менее 32 случайных символов становится «приговором» владельцу.

    В статье также упоминается то, что телефоны iPhone автоматически запрещают любые новые соединения по USB, пока устройство не будет разблокировано, но, по крайней мере, в 13-ом поколении эта «защита» поверхностная. Даже последние модели уступают в этом вопросе GrapheneOS, которая позволяет полностью отключить порт на «железном» уровне.

    Без отсутствующих деталей сложно сказать, сколько в этой новости «правды», а также есть ли она там вообще. Вердикт автора «Может, вам повезёт?» — «конструкция» неимоверно шаткая.

  • Делаем интернет безопаснее

    Важно заметить, что эта публикация будет затрагивать исключительно «оборону» сетевых соединений, но не операционной системы. Ввиду того, что интернет, как и любая прочая «сеть» является лишь приятным дополнением, а не «краеугольным камнем» любого компьютера, про защиту ОС выйдет отдельный материал.

    Первое. Для просмотра web-страниц вам понадобится браузер с приличным уровнем безопасности (и, соответственно, приватности — одно вытекает из другого). Сразу стоит сказать, что необходимо полностью забыть про любые «отечественные» продукты (см. причины), Google Chrome/Chromium и большинство браузеров на базе Firefox, с исключением разве что для Tor Browser.

    Из рекомендуемых:

    • Для компьютеров — Brave
    • Для мобильных устройств — Vanadium (GrapheneOS), Brave

    Brave на данный момент имеет лучшую среди прочих защиту от «отпечатков», а также высокий уровень приватности. Тем не менее, вам придётся единожды отключить все «свистелки», которых там предостаточно.

    Второе. Пользуйтесь VPN — на самом деле, это не более чем вопрос смены доверия с оператора связи, который так или иначе аффилирован с государством (а в некоторых случаях, имеет на своих узлах государственные «коробки», даже базовое описание функционала которых засекречено) на коммерческого VPN-провайдера, или вовсе, на себя самого.

    Стоит отметить, что сравнительно с большинством коммерческих VPN, классические интернет-провайдеры абсолютно не дорожат своей репутацией — бесконечные утечки и до сих пор широко доступные дешёвые сервисы «пробива» тому подтверждение.

    Прекрасный пример такой «разницы» — противоборство частного провайдера 1984 (которого, к слову, «Может, вам повезёт?» постоянно рекомендует) и глобалистской организации ADL. Для несведующих, ADL — «цепной пес» уже в край охамевшего государства Израиль, который при виде любого «нелестного» высказывания кричит «антисеметизм!» и идёт судиться. После продолжительных судебных тяжб, ADL было предложено «пойти погулять», а сайт, из-за которого весь «сыр-бор» произошёл стоит и по сей день.

    Если бы 1984 пошёл «на прогиб» перед хамскими требованиями ADL, это бы означало скорейшее закрытие компании — по причине утраты того самого пресловутого доверия.

    Третье. Вам нужно проверить системное хранилище сертификатов на наличие любых «дополнений». Так как «зловредный» корневой сертификат может прямо использоваться для перехвата вашего трафика, крайне нежелательно добавлять что либо без крайней необходимости (коей, например, является корпоративное ПО).

  • Делаем сотовую связь безопаснее

    «Может, вам повезёт?» уже неоднократно писал о хронических проблемах стандартов сотовой связи (она же мобильная), начиная отсутствием какой-либо конфиденциальности, и заканчивая слабой аутентификацией, которую начали исправлять только в стандарте 5G (NR).

    Тем не менее, даже через такой «хлипкий» канал можно спокойно передавать информацию. Для этого всего лишь необходимо понять, что сотовая сеть не может считаться безопасной — как и любой другой «прямой» способ подключения к телекоммуникационным сетям.

    Начнём с основ. В первую очередь, вам необходимо забыть про сервисы SMS/MMS и телефонию оператора. Как и было ранее сказано, они не являются хоть сколько-то конфиденциальными, а в РФ ещё и автоматически записываются в государственный СОРМ. Вместо этого используйте любой безопасный мессенджер, например Signal, SimpleX, или свой. Важно: Telegram и Max безопасными не являются.

    Второе. Ваш интернет-трафик также виден как и самой сети, так и любому, кто может её подменить. Решение достаточно простое: использовать VPN. Из дополнительных «плюсов» — это заблокирует «любопытный нос» как и вашему оператору, так и релевантным государственным органам.

    Касательно конкретных рекомендаций, проще и надежнее всего сделать собственный VPN-сервер. Из коммерческих провайдеров «Может, вам повезёт?» может порекомендовать только лишь шведского Mullvad.

    Третье, и пожалуй самое важное — вам нужно пользоваться устройством с изолированным сотовым модемом. О причинах подобной рекомендации подробнее можно прочитать тут. С этим сейчас лучше всего справляются телефоны Google Pixel девятого и десятого поколения.

  • Плоды отравленного дерева

    Говоря о роли ФБК (запр.) в так называемой операции «Ледокол», необходимо в первую очередь рассматривать его основателя, и, в том числе, единственного идейного лидера — вполне ожидаемо, что «рассмотреть» там можно многое.

    «Может, вам повезёт?» достоверно известно, что Алексей Навальный (террорист и экстремист) был завербован и стал пресловутым «агентом влияния» ещё в конце «нулевых». Если быть точным, речь идёт о временном промежутке между восьмым и девятым годом.

    Об этом свидетельствуют показания нескольких независимых источников, в числе которых есть и прямые свидетели «процесса». «Может, вам повезёт?» также известен адрес тогдашнего московского офиса Станислава Белковского, где «процесс» непосредственно произошёл.

    Касательно материальной «части», зарплата у Алексея тогда была была скромная — двадцать тысяч евро, естественно, на те деньги. Средства перечислялись на его кипрский офшор.

    Интернет-ресурс «Может, вам повезёт?» считает, что Алексей Навальный, как и его организация, ФБК, являлись если не интегральной, то чрезвычайно значимой частью «Ледокола».

  • Дайджест «О том, что было, будет, или есть» за январь 2026

    Как и ожидалось, первый месяц 2026-го года был переполнен «мишурой», в метафорическом, и, конечно же, в прямом смысле. Мы не будем тратить ценное время на череду геополитических «казусов», которые больше походят на «мемы третьей мировой», а рассмотрим «суть» событий, произошедших на собственном «болоте».

    О том, что было:

    Блокировка Telegram началась — о её неизбежности интернет-ресурс писал ещё в сентябре прошлого года. Стоит отметить, что вопреки желаниям особо «умных» комментаторов, ограничение доступа к сервису подобного масштаба не является аналогичным «пинанию камней» — более правильная параллель, конечно же существует. Постепенный «отказ» всех систем «организма», вызванный отравляющим веществом.

    Ввиду характера процесса, многие «слуги» народа взяли эту тему под «козырек» — с полным набором «гипотез», предсказаний, и всего прочего шума. Интернет-ресурс «Может, вам повезёт?» лишь из соображений гуманности не стал возить Сергея Боярского носом по «столу» во второй раз из-за его очередной серии несуразных «заявлений».

    О том, что есть:

    В данный момент идёт незаметный, но абсолютно центральный для «внесистемной оппозиции» скандал. За пределами «тусовочки» об этом, разумеется, ничего не слышно — ведь платформа указанной «оппозиции» была успешно уничтожена ещё в конце прошлого десятилетия.

    Речь идёт об вскрывшемся фактическом отсутствии какого-либо шифрования в большинстве VPN-сервисов оставшихся «политологов» и их ручных «медиа». Подробнее об этой «неурядице» вы можете прочитать в публикации «Кто борется с оппозицией?».

    Интернет-ресурс «Может, вам повезёт?» считает, что это прямое проявление малоизвестной операции «Ледокол». Важно заметить, что вне зависимости от имени (текущий вариант — рабочий, и был выбран как наиболее состоятельный), принцип работы один — внедрение в оппозицию «кротов», главная задача которых — не передавать информацию, а всячески саботировать работу изнутри.

    Наиболее значимая публикация «на тему» выйдет уже в ближайшее время.

    О том что будет:

    Блокировка Telegram продвинется дальше. Кроме этого, попросят «на выход» из рунета «злосчастную» Википедию.

  • Как правильно разделять приложения?

    На данный момент в устройствах Android существует достаточно сильный метод изоляции как приложений, так и большей части системной конфигурации от друг друга. Хотя это и не является заменой полноценного отдельного устройства, но предоставляет существенный для большинства пользователей «барьер».

    Важно: подразумевается, что устройство работает на операционной системе GrapheneOS, хотя и описанные ниже «манипуляции» работают на подавляющем большинстве современных устройств Android. Тем не менее, если вы собираетесь пользоваться потенциально «зловредным» ПО вроде мессенджера MAX, личная рекомендация автора «Может, вам повезёт?» — использовать именно GrapheneOS.

    Начнём с основ. Приложения из одного и того же профиля (он же пользовательский аккаунт) могут прямо «общаться» между собой — называется это Inter-Process Communication (IPC), и для него требуется только «обоюдное» согласие между сторонами. Это, в том числе, до сих пор вызывает шок у некоторых «экспертов» по IT, которые узнают, что недостаточно лишь заблокировать доступ в интернет для полного «заглушения» программы.

    Кроме этого, приложение может просмотреть список других программ, установленных в том же профиле — в случае с государственными сервисами, например, это может использоваться для поиска программ по «сокрытию информации», вроде того же VPN. Стоит заметить, что Android постепенно убирает эту возможность ввиду того, что от неё больше вреда, чем пользы.

    Система профилей, существующая уже не первый год, является единым ответом на все вышеперечисленные «беды». Так как профили изолированы от друг друга, приложения в них не могут «вылезти» за рамки и посмотреть, что же установлено у «соседа». Также, в случае с устройствами Google Pixel, каждый профиль имеет свой слот Weaver, и, соответственно, ключи шифрования в чипе Titan M2.

    Профили, что немаловажно, имеют отдельную конфигурацию, в том числе и VPN — то есть, в одном профиле у вас может быть собственный Outline, во втором — корпоративный, в третьём — какой-нибудь коммерческий. В первую очередь, это крайне полезно для использования «дотошных» приложений.

    Повторяясь, полноценной заменой второго устройства это не является, но предоставляет существенные «гарантии» для большинства задач.

  • Кто борется с «оппозицией»?

    На днях всплыл крупный скандал из-за фактического отсутствия шифрования во всех VPN-сервисах так называемых «независимых» российских СМИ, а также в аналогичным им сервисах «ЛОМов», которые забивают собой эфиры этих СМИ. Сразу стоит оговориться, что сервис на самом деле один — и принадлежит он фактическому директору ФБК (запр. в РФ).

    Начнём с основ. Абсолютное большинство «персональных» VPN от «борцов» за все хорошее на самом деле «персонального» ничего не имеют — и являются одним большим проектом «Общества Защиты Интернета» (иноагент), ранее называвшимся VPN Generator. Идея была до банальности простая — получить от условного «госдепа» грант, на эти деньги арендовать сервера, и дать доступ всем желающим бесплатно.

    Единственная помарка — любой «желающий» должен был также подключить четырёх своих друзей, чтобы получить доступ. Не будем затрагивать очевидную «натуру» данной разработки, но стоит отметить, что деньги на неё закончились — тот самый «госдеп» просто перестал кормить российских «троглодитов», в числе которых было и «Общество Защиты Интернета».

    Важно сделать отступление и сказать, что «ОЗИ» полностью контролируется Леонидом Волковым (террорист и экстремист), под чутким «управлением» которого у ФБК произошли несколько катастрофических утечек баз «сторонников», а также был перезапущен краудфандинг в 2021, уже после (!) признания ФБК экстремистской организацией. Разумеется, оплата с карт российских банков только приветствовалась.

    По делам о финансировании ФБК, к слову, сейчас уже сидит более сотни человек. При этом, в первые несколько недель после «переоткрытия», команда этого, без сомнений, «прекрасного» управленца даже умудрялась вписывать в «платежки» прямую благодарность от уже экстремисткого ФБК, что сильно намекает на скрытую «цель» всего мероприятия.

    Зная все это, подозрительное отсутствие какого-либо шифрования в сервисе, который, по-сути, Леонид Волков «впарил» российской «либероте», уже не выглядит как случайность — тем более, что в «ОЗИ» сидят поголовно айтишники, а не «балаболы», как в большинстве случаев.

    Интернет-ресурс «Может, вам повезёт?» уже давно занимается непубличным исследованием истинной «натуры» ФБК, а также аффилированных с ним «персонажей». К сожалению, большинство установленных фактов сейчас огласить не представляется возможным ввиду их характера.

    Единственное что можно сказать — происходящее и произошедшее очень походит на мифическую операцию «ледокол», которая, вероятно, отнюдь не мифическая.

  • Как полностью контролировать свой телефон?

    Интернет-ресурс «Может, вам повезёт?» уже писал о проблеме абсолютного доверия большинства современных устройств к криптографическим ключам их производителей. Это не только превращает сценарий «утечки» приватной части ключа в сущий «кошмар», но и создаёт риск атаки изнутри — «согласованной» или нет. К счастью, «ответ» на эту обширную «беду» есть — но только в устройствах Google Pixel.

    Начнем с основ. На данный момент только криптографические чипы серии Titan M, используемые в телефонах Pixel, поддерживают использование пользовательского ключа Android Verified Boot — то есть, вместо «прожженого» ключа Google для поверки ОС (важно — «прошивка» устройства, т. е. раздел /vendor все ещё проверяется заводским ключом) будет использоваться ваш собственный. Даже если у атакующего окажется приватный ключ Google, сделать он ничего не сможет — ведь система подписана не им.

    Тут может возникнуть вполне очевидный вопрос — «зачем это все, если прошивка устройства все равно проверяется только заводским ключом?». Для ликвидации этого «недуга» у критических компонентов, вроде чипа Titan, есть защита от тех самых «атак изнутри». Заключается она в невозможности загрузить более новую версию «прошивки» без успешной разблокировки основного пользователя системы (он же владелец). Это существенно нейтрализует любые риски от использования заводского ключа для проверки раздела /vendor.

    У подобного «контроля» есть существенные минусы — во первых, вам необходимо каждый раз самостоятельно собирать образ системы (стоит отметить, что в случае с той же GrapheneOS это достаточно просто), во вторых — постоянно его обновлять. Если по «умолчанию» всю работу по сборке вашего ПО делает производитель, то при использовании собственного ключа эта «головная боль» полным грузом ложится на вас.

    Соответственно, из-за этого подобная модель подходит только для самых «тяжелых» ситуаций, когда важно максимально сократить доверие к любым третьим лицам. Тем не менее, если это ваш «случай», то интернет-ресурс «Может, вам повезёт?» действительно рекомендует задуматься об использовании собственных ключей.

  • Кто украл безопасный интернет?

    После продолжительного расследования уничтожения первого телеграм-канала «Может, вам повезёт?», было выявлено, что заказчиком произошедшего с крайне высокой вероятностью является«Лига Безопасного Интернета», она же «продленка» для Екатерины Мизулиной.

    25 апреля 2025 года интернет-ресурс «Может, вам повезёт?» выпустил подробный материал про «Лигу», где подробно расписывалось, почему «вотчина» Мизулиной младшей является не более чем кружком активистов на государственном обеспечении. Объём этого обеспечения как вызывал вопросы, так и продолжает их вызывать — если раньше бюджетные 200 миллионов можно было обосновать дороговизной чистки ковров, на которые периодически вызывались «блогеры», то сейчас это уже не представляется возможным. Оригинал можно прочитать здесь.

    Эта публикация получила чрезвычайно широкое распространение, вплоть до появления в каналах с более одного миллиона подписчиков. К слову, тогда у Telegram-канала «Может, вам повезёт?» было их не более 180. Как следствие, этот материал был использован в обширном числе «наездов» на «Лигу» — а так как крупные каналы тогда было уничтожать слишком дорого, можно уверенно предположить, что PR-отдел Мизулиной не придумал ничего лучше, как «зарубить» скромный «Может, вам повезёт?».

    Ровно через месяц после публикации, 26 мая 2025 года, после очередной череды упоминаний в крупных каналах первый «Может, вам повезёт?» попросту исчез, а аккаунт владельца — заморожен. В числе свидетелей произошедшего, например, был экономист Никита Кричевский — его канал также уничтожили схожим образом.

    Ситуация с «заказами» каналов кратно ухудшилась со времен описываемых событий, и сейчас носит практически «обыденный» характер. По этой причине, в том числе, ещё в октябре прошлого года был создан сайт kremlinkernel.com — до него никакое «жульё» не дотянется, даже при жгучем желании.