Alienist Collections

MORI VPN. Спасение или утка?

2026-05-07T20:49:50.010Z

Долго думал, делать этот разбор или нет. Наркотрафик меня не особо интересует, но так как Мориарти — блогер с миллионной аудиторией, я просто не мог пройти мимо.
Триггером сработал ролик про РКН, который мне показался уж слишком плоским и заказным. А ведь так все хорошо начиналось, а сейчас что? Царь хороший — бояре плохие, импортозамещение и загнивающий запад. Это просто уныло!

Перед тем как приступить, сразу хочу зафиксировать, что сетевые настройки VPN MORI действительно защищены, а посему — стандартные инструменты сетевого сканирования не дали НИЧЕГО!

Я же парень упертый и полез в код, но начнем с самого начала. После перехода в Telegram-бот MORI VPN нас встречает политика конфиденциальности, в которой четко написано, что сервис собирает о вас данные.

Обратите внимание на пункт 1.2:

Из данного пункта сразу становится понятно, что MORI VPN ведет логи.

Дальше — пункт 2.3:

Если вам тоже странно видеть, как "наркодилер" собирает и обрабатывает данные в соответствии с законодательством РФ, то вы не одиноки в своем недоумении.

Ладно, скачиваем приложение. Не буду скатываться в обзор всех вкладок, но скажу, что выглядит действительно солидно — над фронтендом работали профессионалы. Этот проект явно серьезно финансируется и не выглядит как любительский пробный продукт. Однако, меня интересует вкладка пользователя.

А вот тут уже написано "Zero-Logs политика". Стоимость ежемесячной подписки в 250 рублей, при затратах на фронт — явно убыточна. Можно было бы сослаться на проявление альтруизма, если бы не предыдущий скам-проект Мориарти, который был направлен исключительно на получение прибыли.

Если коррелировать частоту выхода видео на канале "Мориарти" и его преемника "BAZA", то напрашивается вопрос, не происходила ли передача проектов в новые руки в период многомесячного простоя?

Думаю, код скажет нам больше, поэтому сразу открываю config.json:

В начале кода кажется, что логи на стороне клиента выключены, но это ни о чем не говорит, ведь главной опасностью для пользователя выступают серверные логи.

Переходим к приему трафика от приложений:

Казалось бы, локальный порт, значит безопасно, но есть нюансы. Например "auth": "noauth", это значит, что любой процесс на компьютере может использовать 10808 порт как прокси без подтверждения, но это мелочь, ведь "sniffing": {"enabled": false} — такие запросы могут уйти напрямую, минуя тоннель, раскрывая провайдеру или локальной сети реальные DNS-запросы. Эта утечка обходит шифрование и пускает трафик по обычному IP-маршруту, про что я уже говорил в своем ролике по безопасности.

Движемся дальше и пытаемся понять, куда идет трафик:

Это главная часть конфига, сразу видим единственный российский IP 83.166.239.100, который является главным, через него проходит весь трафик. Примечательно, что домен не подменяется, а используется свой, конечно же российский "serverName": "api.chrysalisservice.store", "flow": "" — пустой, что также ослабляет обфускацию, также выставлен рандомный фингерпринт, что тоже ослабляет вашу маскировку.

Все вышеперечисленные косяки — это детский лепет, ведь админ отключил шифрование VLESS "encryption": "none", но самое опасное, что на MORI VPN использует в своем конфиге следующую строку "allowInsecure": true, которая полностью игнорирует проверку сертификатов и позволяет проводить атаки типа MITM.

А что? Очень удобно! Сначала ты ослабляешь VLESS, а затем перекладываешь шифрование на транспортный уровень и отключаешь проверку сертификатов, чтобы трафик перехватывался ТСПУ. При нормальной проверке сертификата клиент обнаружил бы подмену и разорвал соединение, но с "allowInsecure" : true — этого не происходит и трафик пользователя читается в открытом виде.

Хочу напомнить, что сейчас мы разбираем только config.json. Тут нет интересных DNS-запросов, вместо этого указаны Google DNS 8.8.8.8 и 8.8.4.4. Однако, реальная обработка DNS-трафика пользователя происходит в tun.json, к которому мы перейдем позже.

Сейчас же предлагаю обратить внимание на статистический сбор данных:

"statsUserUplink": true,"statsUserDownlink": true, "statsOutboundUplink": true и "statsOutboundDownlink": true — отслеживают объем входящего и исходящего трафика по каждому пользователю, что позволяет определить, когда вы обычно выходите в сеть, в какое время активны и другие данные, которые затем подвергаются корреляции.

Видите значение 0.0.0.0? Оно указывает с каких адресов принимать запросы к API, в нашем случае — с любых. Другими словами, API нарочно открыт наружу, и любой внешний хост может опросить StatsService и получить статистику трафика пользователей. Можно подумать, что это стандартные настройки, но я вижу тут многоуровневую систему сбора информации.

Переходим к tun.json и сразу натыкаемся на блок с обещанной DNS-архитектурой:

Нас сразу встречает публичный DNS-сервис Alibaba Group, который любезно хранит логи запросов для китайских регуляторов, которые идут по незашифрованному UDP. Второй же сервер Alibaba уже с шифрованием, но уходит туда же.

В конфиге Мориарти мы также видим CloudFlare, от которого осталось только название, ведь админы выключили динамические IP и пустили трафик через Москву.

Переходим к правилам, чтобы понять кто и кого резолвит:

Видно, что любой IP-запрос сначала смотрит в локальную таблицу. В режиме Global — DNS-запросы идут через московский прокси, а в режиме Direct напрямую через китайский DNS. Дальше видно, что заблокировали HTTPS и SVCB записи, которые нужны для ECH. Примечательно, что запросы к Google идут через московские адреса, как и любой зарубежный трафик, который не попадает под правила, исключение — китайские адреса.

Система выстроена таким образом, чтобы пропускать китайский и российский трафик напрямую, а западный возвращать обратно в Россию.

Дальше продолжать не буду, так как конфиги отражают то, что мы уже выяснили, а именно:

Трафик логируется и акцентирует свое внимание на зарубежных ресурсах, которые мифическим образом всегда возвращаются в Россию.
Шифрование не только ослаблено, но и отсутствует в большинстве случаев.
Фронтенд стоит дорого, а бэкенд не содержит случайных ошибок, что говорит о технической осведомленности админов.
В конфигурациях все идет через единый центральный сервер в Москве с сомнительной историей.
Были обнаружены точки входа, которые позволяют вмешиваться в соединение пользователя удаленно.

В заключение скажу, что лично для меня проект явно имеет государственные корни. Для чего это было сделано? Ответ прост — ты делаешь кумиром молодежи человека, который якобы против системы и все это в изумительном качестве. На выходе мы получаем слежку за "неблагонадежным" слоем населения в глазах государства. MORI VPN — это самый опасный проект из тех, которые я разбирал, ведь его организовывали не дураки, а люди, которые обладают огромными ресурсами и компетенцией.

Поддержи автора - ТЫК

Переходи в Telegram канал - ТЫК

Рубрика «Дерьмовый VPN». Испытуемый — VPN BLANKO.

2026-04-17T09:49:24.215Z

Сегодня необычная статья, ведь в ней я буду проверять не просто коммерческий VPN, а проект человека, который позиционирует себя как специалист по кибербезопасности.

После посещения заветного бота в Telegram мне сразу бросилось в глаза, что все инструкции представлены на RUTUBE, что уже выглядит подозрительно, ну и конечно же — ТРЕКЕРЫ НАШЕ ВСЕ. Кроме того, российский VPN просто обязан быть от иранских разработчиков (НЕТ).

С порога запускаю максимально агрессивное сканирование через nmap, чтобы найти открытые порты:

Пока идет сканирование, по классике жанра, напоминаю, что проверяемый VPN является личным проектом самопровозглашенного этичного хакера, который отзывается на имя Илья Бланко. Он неоднократно посещал федеральные каналы, доксил школьников, а также взламывал простых людей на потеху своей публике. Ну а что такого? Я вот тоже думаю, что ничего... Подумаешь, можно же потом извиниться, сказать, мол, бес попутал, да и вообще — все в рамках образовательной программы по защите населения от мошенников. Школьники побегут трясти деньги с родителей на заветный Flipper Zero, а самого народного героя позовут на очередную передачу Газпром-Медиа холдинга.

Ладно, прерываю свое лирическое отступление, ведь отчет уже готов.

Если вам тоже сразу бросилась в глаза надпись "EXPLOIT", то значит, я не одинок в своей наблюдательности.

Фильтруем вывод по портам, чтобы понять какие из них открыты:

Сразу предлагаю посмотреть уязвимости, которые у нас засели на порту SSH. Для этого переходим на сайт — https://nvd.nist.gov/vuln/detail/CVE-2024-6387

Нас сразу встречает CVSS, любезно оцененный Red Hat в 8.1 балла. Давайте поясню! Common Vulnerability Scoring System — это международный стандарт для оценки степени критичности уязвимости, от 0 до 10. Чем выше балл, тем опаснее уязвимость. Мы также видим флажки эксплуатации уязвимости, которую Илья Бланко держит на своем VPN-сервисе.

AV:N — атака выполняется удаленно через сеть
AC:H — сложность эксплуатации высокая, что хорошо для пользователей, ведь зумерская аудитория Ильи, вероятнее всего, не сможет осуществить атаку
PR:N — авторизация не требуется, а это значит, что атаковать пользователя можно без доступа к паролю и логину от VPN BLANKO
UI:N — участие пользователя не нужно, а это значит, что не будет никакой фишинговой ссылки или любой другой ошибки с вашей стороны
C:H/I:H/A:H — ну и напоследок, полный захват системы при успешно проведенной атаке

Спускаемся ниже в раздел Known Affected Software Configurations, чтобы подтвердить все вышесказанное и не оговорить кумира молодежи, этичного хакера, стилягу и просто отличного парня.

Видим в Configuration 33, что уязвимость была выявлена с 8.6 и до 9.8 версий OpenSSH. Как мы помним из вывода Nmap, у Ильи Бланко стоит версия 9.6p1, которая как раз попадает в диапазон уязвимых.

Переходим к следующей уязвимости — https://nvd.nist.gov/vuln/detail/CVE-2025-26465

Снова Red Hat, но теперь оценка 6.8.

AV:N — атака выполняется удаленно через сеть
AC:H — сложность эксплуатации высокая
PR:N — авторизация не требуется
UI:R — участие пользователя нужно. Другими словами, тут все зависит от вас
C:H/I:H/A:N — ИТОГО. Полная компрометация данных без отказа в обслуживании. Это значит, что если сервер будет взломан, то он продолжит свою работу и дальше — например, в качестве человека посередине (MITM).
Установленная версия OpenSSH попадает в диапазон уязвимых.

Следующая уязвимость — https://nvd.nist.gov/vuln/detail/CVE-2025-26466

Оценка 5.9 от Red Hat

AV:N — атака выполняется удаленно через сеть
AC:H — сложность эксплуатации высокая
PR:N — авторизация не требуется
UI:N — участие пользователя не нужно
C:N/I:N/A:H — отказ в обслуживании, данные не компрометируются. Это значит, что если сервер начнут досить, то он мгновенно ляжет под натиском переполненного буфера.
Установленная версия OpenSSH попадает в диапазон уязвимых.

На самом деле, на VPN-сервере Ильи Бланко найдено 12 уязвимостей, но все их я рассматривать не буду, дабы не затягивать статью.

Дальше по курсу 1080 порт. После сотни неудачных попыток пробиться, я понял, что там расположился Reality или какой-то фильтр. Сервер впускает меня, но рвет соединение, как только получает неправильное рукопожатие. Я пытался пробросить SNI из белого листа на данный порт, но безуспешно.

На 8080 порту расположился валидный сертификат OZON. Админ явно пытался мимикрировать под маркетплейс. Кроме того, я обнаружил данный сертификат на 18041 хосте в базе Censys — это инфраструктура самого маркетплейса. Наш этичный хакерс скопировал публичную часть сертификата и установил его на свой сервер для маскировки трафика.

Но вот в чем загвоздка. При детальном анализе видно, как наш стиляга не учел несколько моментов, из-за чего его маскировка оказалась паршивой.

Теперь перечислю пункты, которые прямо подтверждают, что мимикрия оказалась костыльной и не выполняет свою функцию:

1) Сервер заявляет поддержку тикетов, но отказывается их принимать. Это значит, что сессия не возобновляется. При огромном трафике OZON это привело бы к сгоревшему оборудованию.

2) Сервер отдает сертификат при прямом обращении по IP. Реальный OZON потребовал бы подтверждения, что домен тебе принадлежит. Кроме того, после успешного рукопожатия мы не видим никакого ответа, значит сервер будет играть в молчанку до тех пор, пока не получит путь или ключ. РКН, ФСБ бы сразу поняли, что это зеркало, а не настоящий ресурс.

3) Дабы снизить задержки, валидность сертификатов в крупных компаниях проверяется динамически, тут мы не видим никакой проверки, что является аномальным поведением.

4) Проверка rDNS выдает хостинг Senko Network. Это мелкий провайдер, который специализируется на продаже VPS для игровых серверов Minecraft. Сомнительная картина, когда одна из самых инновационных компаний страны держит критическую инфраструктуру на хостинге для школьников.

На порту 8443 нас встречает также валидный сертификат от Cloudflare.

Что примечательно, в этом случае наш этичный хакер на*бал сам себя.

Я стучусь на IP игрового хостинга Senko Network, а в ответ получаю сертификат, принадлежащий самому Cloudflare. Cloudflare — это CDN, у них свои диапазоны IP. Странно было увидеть их родной сертификат на IP мелкого хостера. В отличие от сертификата OZON, цепочка доверия тут не нарушена, и сервер честно возвращает тикеты. Рукопожатие наш стиляга взял самое жирное (постквантовое) — эту технологию действительно активно внедряют крупные корпорации, и в контексте Cloudflare это выглядит ОК.

Переходим к порту 62050.

Как уже заведено в народе, российский VPN просто обязан быть Marzban. Я смотрю, все просто молятся на иранских разработчиков Gozargah, поэтому, наверное, чисто из принципа отказываются переписывать заголовки. Кто только этим не пользуется: либеральная оппозиция, борцы за свободу, а теперь список пополнили еще и этичные хакеры. Посмотрю детальнее.

КЛАССИКА! Сертификат выдан на 100 лет вперед, зачем мелочиться... Кроме того, админ настроил панель управления так, что теперь она ждет клиентский сертификат для входа. Наш хацкер также выкрутил SHA512, но зачем? Это не скроет иранский сертификат, который сам по себе является настолько древним, что не содержит поля SAN, а без него все современные браузеры покажут, что соединение небезопасно.

Я надеялся увидеть продолжение иранской истории на порту 62051, но увы — он просто обрывает соединение. Предположу, что на нем расположился основной транспорт для прокси, например VLESS. Наш стиляга, видимо, думал, что безжизненный порт не привлечет внимания, но когда перед ним, как новогодняя елка, светится админка Marzban, это наводит на мысли любого, кто будет ломиться на VPN BLANKO.

ИТОГО. Что мы имеем в сухом остатке?

1) Наглухо дырявый SSH с кучей незакрытых эксплойтов на борту.

2) Дешевая мимикрия под OZON и Cloudflare, рассыпающаяся при первом же толковом зондировании.

3) Использование дефолтной панели Marzban с самоподписанными сертификатами на 100 лет. Все это решение прекрасно простукивается по стандартным портам и выдает опенсорсный иранский софт.

VPN BLANKO мне видится как очередной обман потребителей под соусом кибербезопасности. Было бы просто скудно, я бы и слова не сказал, но система готова к захвату любым, кто умеет читать отчеты NVD.

Поддержи автора - ТЫК

Переходи в telegram канал - ТЫК

VPN vs ТСПУ. Как нам ломают интернет и почему это лотерея?

2026-04-05T12:48:52.148Z

В тематических чатах я неоднократно натыкался на заявления, где люди сравнивают GFW с ТСПУ в одном ключе, наивно полагая, что системы устроены одинаково. На деле, между китайским и российским решением есть ключевые различия, которые сегодня я разберу в статье. Понимание механизмов однозначно поможет нам обходить блокировки эффективнее.

Great Firewall — это один из проектов, нацеленный на суверенный интернет в КНР. Полный пакет называется «Golden Shield Project». Разработка непосредственно нацелена на блокировку неугодного контента через фильтрацию содержимого.

В отличие от российского решения, наши азиатские партнеры подготовились основательно и много лет создавали полную экосистему, заточенную исключительно под Китай. Речь идет не только про софт, но и про местное железо. За несколько лет власти Китая выстроили на границе цифровой барьер, причем буквально.

После того как иностранный трафик пересекает цифровую границу Китая, пакеты проходят через несколько строго контролируемых узлов, которые находятся в точках с плотным пересечением потоков (Пекин, Шанхай, Гуанчжоу). Их немного, но продолжительные разработки позволили таким гигантам, как Huawei и ZTE, предоставить ультимативное оборудование для фильтрации трафика, исключая зарубежные аналоги.

Например, GFW слушает магистральный трафик и, если видит запрос к запрещенному домену, то подменяет DNS быстрее, чем настоящий домен возвращает ответ. Это классический DNS-инжект. Если сильно упростить, то в России по подобному принципу можно перехватывать ваши телефонные звонки.

Настоящей болью для китайских юзеров является глубокий анализ DPI. Именно из-за высокой энтропии пользователям пришлось отказаться от штатного ShadowSocks в пользу протоколов, которые имитируют низкую энтропию TLS (VLESS, Trojan), тем самым проходя проверку.

GFW в основном реагирует на сертификаты и SNI, а при подтверждении — блокирует домены и IP-адреса. Кроме того, разработка КНР умеет зондировать в автоматическом режиме (аналогично тому, как я ломился на сервера VPN Liberty). Если сервис VPN-хостинга жидкий, то он подсветит себя и моментально улетит в бан.

Можно сказать, что китайцы разработали параллельный интернет, который не только функционирует, но и исключает вред собственной инфраструктуре. Их системы имеют белые списки для корпоративных клиентов, умеют подменять DNS на уровне магистрали, блокируют сложные пакеты, а также применяют активное зондирование.

Казалось бы, выглядит все супер современно, но на деле Great Firewall имеет понятную и самодостаточную инфраструктуру, а посему знающий человек с легкостью подберет средство для обхода блокировок, которое может служить верой и правдой не один год. GFW — мощное решение, но предсказуемое.

Закончив с родоначальниками мракобесия в интернете, мы переходим к ситуации в России, печально задавая вопрос, который ежедневно волнует каждого из нас — ЧТО ТАМ С ЧЕБУРНЕТОМ?

Основное отличие отечественного решения от китайского заключается в децентрализации. В России нет магистральных узлов, и чтобы мы не огорчались, чекисты, совместно с дочерней компанией Ростелекома (ООО «РДП.РУ») снизошли с небес и вручили каждому россиянину подарок в виде ТСПУ.

ТСПУ (Технические средства противодействия угрозам) — этакий Ящик Пандоры, который Роскомнадзор буквально вживил в узлы всех российских интернет-провайдеров. Такое решение позволяет добавить в цепочку людей, которые в режиме реального времени имеют доступ к вашему трафику, например ФСБ.

Механизм «подарка» строится на инвазивном методе. Иначе говоря, ТСПУ не подглядывает где-то в стороне, записывая лог. Система является контролером и решает, какие пакеты пройдут через нее, а какие будут нещадно замедлены. Это своего рода метод психологического воздействия, где пользователю не блокируют ресурс, а вместо этого делают посещение конкретного сайта невыносимым. РКН как бы дает людям надежду, заставляя нас истратить все нервы и добровольно перейти на отечественные площадки (СПОЙЛЕР — ИХ НЕТ).

В отличие от китайских братьев по оружию, Россия реже использует активное зондирование. Вместо этого, отечественная система научилась распознавать практически все известные протоколы по сигнатурам. Решения, которые можно успешно применить в Китае, в российских реалиях выглядят как бесполезные строчки кода. Эффективным средством борьбы с сигнатурным анализом является — фрагментация пакетов (GoodbyeDPI, Zapret). При таком подходе, мы размываем пакеты по сессии и вызываем сбой в работе ТСПУ.

Проблема обхода российских блокировок заключается в хаотичности системы. Кремлевские защитники цифрового суверенитета не имеют отечественного железа, поэтому их ТСПУ часто конфликтуют с зарубежным оборудованием, из-за чего периодически схлопываются сайты, которые должны были находиться в белых списках. Упасть может совершенно любой сервис, например: системы эквайринга, государственные приложения и даже целые линии провайдера. После подобных «подарков», страна неизбежно несет колоссальные убытки.

ЧЕБУРНЕТ превращается в лотерею. Сегодня у москвичей YouTube может вообще не грузиться, а где-нибудь в Cибири - загружаться в 4к. Завтра РКН начнут бороться с новым протоколом и замедлят Сибирь, но заработает ранее заблокированный регион. Провайдеры в данном случае бессильны, т.к. давно превратились в простых арендаторов стоек и сами не знают, что конкретно блокирует ТСПУ.

Чтобы стабильно обходить блокировки в России, нам недостаточно прятать заголовки трафика, теперь его приходится мимикрировать или разбивать. Это значит, что ТСПУ должны поверить, что мы не отправляем запрос к запрещенному ресурсу, а вместо этого подключаемся к Сбербанку или обновляем Windows.

По правде говоря, методы имитации TLS, вроде VLESS Reality, становятся всё сложнее и нестабильнее. ТСПУ научились сверять отпечатки браузеров и анализировать несоответствия фингерпринтов. Решение — не усложнять. Используйте метод обфускации QUIC, который работает поверх UDP, делая анализ ТСПУ — невероятно дорогим и неэффективным.

Дело в том, что ТСПУ намеренно отбрасывают часть пакетов при замедлении неугодных сервисов. TCP в такой ситуации начинает бесконечно переподключаться и отлетает, QUIC же игнорирует потерю отдельных фрагментов — он просто гонит данные дальше. К тому же, QUIC превращает трафик в хаотичный набор байтов, не похожий ни на один стандартный VPN, ставя наше решение в позицию «ПОШЕЛ ТЫ».

В заключение хочу сказать, что за эти страшные 4 года больше половины россиян не только стали более подкованными в IT-технологиях, но и смогли противодействовать неумолимой машине абсурда с огромными деньгами. Знайте своего врага в лицо и не останавливайтесь на достигнутом. МЫ ОБЯЗАТЕЛЬНО ПОБЕДИМ.

Поддержи автора - ТЫК

Переходи в telegram канал - ТЫК

Асимметричное шифрование. Сравнение алгоритмов и подарки от ЦРУ.

2026-03-28T15:23:59.800Z

Сегодня поговорим про алгоритмы асимметричного шифрования для создания цифровой подписи, которые затем будут использоваться для входа на VPS или для авторизации в Wi-Fi сетях.

Энтузиасты, хакеры и безопасники давно спорят, что лучше использовать, ed25519 или RSA. Оба алгоритма пока что не смогли ответить на вопрос о грядущей квантовой угрозе, но т.к. они являются стандартом, будем работать с тем, что есть.

Алгоритм RSA создавался 50 лет назад и со временем никак не изменялся, кроме увеличения длины ключа. Дыр в RSA всегда было достаточно, поэтому хвалить я данный алгоритм не буду, вместо этого сразу перейду к недостаткам:

Невозможность масштабирования. Алгоритм возводит в степень огромные числа, из-за чего работает крайне медленно и сильно нагружает CPU. Кроме того, ключ в 4096 бит — это уже относительно непростая нагрузка, а если мы смотрим на 10 лет вперед, то ставить нужно 8192 или 16384, оба варианта неюзабельные. Ключ длиннее 4096 бит также пагубно сказывается на скорости пропускной способности сети, Wi-Fi его просто выплюнет.
Уязвимость к квантовым компьютерам. Существует математически доказанный алгоритм(метод Шора), который позволяет квантовому компьютеру быстро разлагать большие числа на множители. Лет через 5, максимум 10 — у атакующих появится достаточно вычислительной мощности для того, чтобы щелкнуть RSA моментально.
Корреляция. Уже существуют инструменты, позволяющие проанализировать, какое количество электроэнергии потребляет процессор, а на основе полученных данных вычислить ключ. То же самое делают и по временной корреляции. "Но есть же padding" — скажешь ты и будешь абсолютно не прав, RSA детерминирован из коробки, а добавление случайных чисел зачастую приводит к ошибке.
Плохая реализация. RSA критически зависим от качества генератора случайных чисел. Если на новом железе(например VPS) было мало энтропии(движения мыши, как в VeraCrypt), то при генерации ключа или создании подписи — вы обнаружите, что ключ можно угадать, а при отсутствии соли вообще два раза создать один и тот же ключ.
Сомнительная репутация. Ходит слух, что спецслужбы внедрили бэкдор в алгоритм RSA, позволяющий по публичному ключу расшифровывать секрет. Эта теория небезосновательна, т.к. раньше США запрещали использовать компаниям ключи длиннее 512 бит. Лично я задался вопросом, почему в 2025 году Calyx Institute использовали на своих публичных XMPP серверах именно ключи RSA.

Переходим к современному решению, а именно ed25519. Алгоритм относительно молодой(15 лет) и кардинально сменил подход, отказавшись от громоздких чисел в пользу эллиптической кривой curve25519, созданной Дэниелом Бернштейном. В своей вступительной части я уже упомянул, что ed25519 также неэффективен против квантовой угрозы, как и RSA, однако в остальном — алгоритм практически лишен недостатков. Перечислю достоинства современного стандарта:

Огромный потенциал масштабирования. Публичный ключ весит 256 бит, что позволяет втиснуть его в любое поле. Процесс подписи и проверки происходит в десятки раз быстрее, чем у RSA. Кроме того, ed25519 практически не нагружает CPU, из-за чего тысячу одновременно запущенных процессов будут быстрее, чем один у RSA. Любая авторизация превращается в песню и пролетает за один пакет, не вызывая сбоев.
Антикорреляция. Новый алгоритм детерминирован и здесь это реализовано правильно. Ed25519 имеет фиксированное время и одинаковое потребление электроэнергии для любой подписи, отчего любые корреляции идут ДОМООООЙ!
Отличная реализация. Подпись генерируется на основе хеша от вашего закрытого ключа и самого сообщения, это значит, что плохой алгоритм рандомизации чисел и низкая энтропия устройства — не повлияют на стойкость криптографии.
Прозрачность. Алгоритм был спроектирован по такому сценарию, что никакие спецслужбы не могут оказать давление, вшить бэкдор и сознательно снизить криптографическую устойчивость ключа.

Теперь перейдем от теории к практике и сгенерируем максимально защищенный ключ для ssh.

Для этого выполним в терминале:

ssh-keygen -t ed25519 -a 1000 -o -C "VPS"

-t ed25519 - алгоритм
-a - этот флажок наш главный друг, который увеличивает количество раундов хеширования пароля, отчего брут становится невероятно сложным. 1000 это экстремальное значение, можно использовать 200.
-o - заставляет использовать новый формат OpenSSH, который гораздо безопаснее, чем древний PEM.
-C - комментарий, который добавляется в конце ключа. Можно написать что угодно, например дату или название сервиса. При большом массиве ключей, данный флажок позволяет не запутаться.

Мой канал в telegram

Поддержать автора

Как отключить вход по паролю на сервере расписывать не буду, т.к. данный пункт совсем простой и не требует комментариев. Оставлю его вам для самостоятельного изучения.

Искусственный состав преступления

2026-03-23T18:08:39.435Z

Я считаю, что мнение без насильственного контекста не имеет состава преступления. Точно так же не имеют состава преступления деяния без жертвы. Что я под этим понимаю? Давайте разберемся по порядку.

Вы, наверное, не раз видели, что где-то стоит одинокий автомобиль, никак не препятствующий движению, но обязательно найдется стервятник в лице парковочного инспектора, который выпишет гребаный штраф. И неважно, что водитель отошел на 2 минуты передать документы — пусть разбирается в суде. В этом случае просто нет жертвы: никто не пострадал, движение не заблокировано, ущерба ноль. Но система все равно карает, разгоняет подобные случаи в своих желтых газетенках, делая из незначительной ситуации жупел. Это яркий пример, как государство создает искусственные нарушения, чтобы набить казну штрафами, а обычный человек страдает и становится жертвой бюрократической машины.

В вышеописанном случае нет жертвы, следовательно, действие водителя нельзя классифицировать как правонарушение. Но данный пример лишь вершина айсберга. Если копнуть глубже, то можно увидеть, как эта логика распространяется на множество сфер жизни, где люди наказываются, при этом не причиняя вреда окружающим.

Если спускаться в дебри контекста, то наркоман не является преступником из-за личного употребления веществ. Он вредит только себе, это его личный выбор, и осознанное саморазрушение. Однако торч обязательно станет преступником, если решит добыть деньги на дозу с помощью грабежа или разбоя — вот здесь появляется жертва, и это уже настоящее преступление. Разница огромна: личное употребление не затрагивает других, но государство все равно сажает людей за это, превращая их в изгоев и загоняя в криминальную среду. Добавлю, что в странах вроде Португалии декриминализовали личное потребление, и общество от этого только выиграло — меньше преступлений, больше помощи зависимым.

Проституция или другие услуги сексуального характера по взаимному согласию также не являются преступлением. Два взрослых человека договариваются, никто никого не принуждает, соответственно вреда третьим лицам нет. В России интим за деньги - преступление, где в итоге страдают сами участники: их шантажируют, эксплуатируют или сажают. Почему? Потому что поборники морали в правительстве решают за всех, как им правильно жить. Фактически это репрессии против личной свободы, которые только подпитывают теневой бизнес и настоящие преступления вроде торговли людьми, очернения политических оппонентов или вербовки для своих грязных делишек.

По подобному принципу мы не можем судить людей за то, что они пошли на осознанный риск и решили просрать свои деньги в азартных играх. Это личные средства и собственное решение с ними расстаться в дофаминовом кураже. Сейчас же статью можно схлопотать даже за то, что кучка знакомых решили сыграть в покер на деньги в своей квартире. Без обмана, без партии "на интерес", просто развлечение с риском. Но нет, государство влезает, объявляет это "незаконным игорным бизнесом" и раздает штрафы и сроки. В итоге люди, которые просто хотели расслабиться, становятся преступниками, а настоящие проблемы вроде обнальных схем в казино или инсайдерской торговли в букмекерских конторах - игнорируются.

Исходя из описанной логики, жизненно необходимо упразднить закон о защите чувств верующих. Чувства в принципе не поддаются объективной оценке, а под понятие "веры" можно подвести абсолютно что угодно. Более того, защищая прихожан одной религии, вы неизбежно оскорбляете представителей других конфессий, а верующие оскорбляют атеистов — и наоборот. От подобных вредных законов нужно избавляться без промедления: из-за их абсурдной и произвольной трактовки данные статьи Уголовного кодекса превращаются в ничто иное, как инструмент для преследования и устранения оппонентов, в том числе политических.

Этот список можно продолжать бесконечно, но принцип один: во всех перечисленных случаях подсудимые на самом деле являются потерпевшими, которых несправедливо прокатила неумолимая машина государственных репрессий. Добавлю еще пару примеров для ясности — скажем, курение в "запрещенных" местах, где никого рядом нет, или самостоятельное выращивание травы для личного использования. Нет жертвы — нет преступления. Но нынешние политики против, им не нравится такой подход, потому что проще штрафовать слабых, чем решать реальные угрозы вроде насилия или коррупции.

И когда каждый из нас хотя бы в своей голове не перестанет делить жизнь на черное и белое, пока каждый из нас не перестанет упиваться публичной поркой соседа, более значимые проблемы никогда не решатся. Мы тратим ресурсы на преследование "преступников без жертв", вместо того чтобы бороться с настоящим злом: убийствами, грабежами и террором. Пора проснуться и понять — свобода выбора без вреда другим не является преступлением. Иначе мы все останемся в этой репрессивной ловушке, а мир и дальше продолжит говорить, что Россия для грустных.

Телеграм канал - https://t.me/alienist_collections

Донаты - https://t.me/Alienist_Collections_Donate

Почему российские VPN г*вно? На примере VPN LIBERTY.

2026-03-12T10:17:25.012Z

Добрый день, уважаемые читатели. Сегодня речь пойдет о ненадежности российский vpn-сервисов. Мои знакомые, коллеги и товарищи часто рекомендуют мне те или иные решения по обходу блокировок. Почти никто из них не знает, чем я на самом деле занимаюсь, поэтому все их рекомендации вызывают у меня неистовую улыбку. Сегодня я продемонстрирую, что из себя представляют российские поставщики VPN.

Вы наверное видели ролик в сети, где на канале VPN LIBERTY высмеиваются политические деятели со своими уродскими продуктами. И они правы, черт, все о чем говорится в том ролике чистейшая правда, но сегодня я не хочу затрагивать недобитых и ангажированных борцов за свободу, вместо этого - предлагаю задаться вопросом, а что под капотом у самих VPN LIBERTY. Давайте уже приступим.

Первым делом я получил ключ - естественно в Telegram, и по классике жанра под чужой клиент. Все признаки гаражного кооператива на лицо, но нормально, на этом зацикливаться не будем, все так начинают.

Панель управления нодами в VPN LIBERTY

Единственное что на этом этапе меня интересует - это IP. Выбираю Литву, Нидерланды и Молдову. Получаю нужные ip через Whoer. Все действия буду выполнять с дистрибутива Linux Mint, дабы показать, что даже школьник справиться с этой задачей, не говоря уже о РКН.

Запускаю сканирование через nmap, ищем открытые порты:

Пока идёт проверка — напоминаю, что мы имеем дело с ребятами, которые позиционируют свой продукт как безопасный и гасят конкурентов, кроме того, недавно VPN LIBERTY подняли цену выше уровня Mullvad - одного из самых дорогих и надежных продуктов на рынке с 20-летней историей.

Отчёт готов. Смотрим, что общего у всех 3-х нод:

Начинается все с ошибки любого хацкера-школьника, SSH не просто не закрыли для долбежки снаружи, они даже не удосужились заменить стандартный 22 порт. Проверяем:

РКН с радостью будет туда долбиться - и не вручную, как делал я, а с помощью целой армии ботнетов. Впрочем, если пароль сильный - можно списать на невнимательность.

Едем дальше:

Идентичная картина по портам 443, 8443, 10000 на всех трех нодах. Просто TLS 1.3 NGINX OK. По факту обычная шутка, Видимо, администраторы думали что нестандартный порт спасёт от сканеров - не спасло, как видите. В целом - окей.

Но есть еще один интересный порт на всех трех нодах - 54172. С шифрованием он не открылся, поэтому я попробовал без шифрования, по обычному http:

И о чудо!!! Cервис живой, правда без шифрования. Лезем в документацию:

Три одинаковых ответа. Название проекта - просто "FastAPI", версия 0.1.0. То есть они даже не удосужились дать имя своему коду, но это мелочь и моя придирка, посмотрите на методы: /get_usage/{key} и /get_usage_by_ports/{key} - это значит, что ключ авторизации прямо в URL, а следовательно пишется в логи и даже в историю браузера, и любой кто имеет доступ к логам - уже потенциально вас взломал или слил. Кстати, сам сервис взаимодействия в открытом виде и без шифрования. Лет 20 назад, это было базой.

Странно видеть подобную халатность у VPN, которые так не любят конкурентов-конструкторов, кстати сервис VPN LIBERTY тоже конструктор с одним написанным скриптом на коленке. Чтобы это подтвердить переходим к порту 28443, который открыт в нодах Литвы и Молдовы.

Вывод дал какую-то картинку, попробую открыть ее в браузере по адресу https://93.115.25.42:28443

Циановая анимация. Окей!

Посмотрю, что за сервер:

Uvicorn - супер. Любой нормальный API имеет документацию, и если её не спрятали - она лежит по стандартному пути:

Ля ты крысааааааааа. Это, друзья мои, Marzban - полная панель управления VPN на базе Xray. И она полностью открыта без авторизации. VPN LIBERTY - это не уникальный и безопасный продукт, а просто чужой опенсорс от иранских разработчиков Gozargah, поднятый на арендованных серверах. Они даже не удосужились переименовать его под себя.

Смотрим что внутри:

Здесь есть всё - логин администратора, список всех пользователей, системная статистика, конфигурация ядра Xray, управление нодами. Если говорить проще, то это дорожная карта всего проекта VPN LIBERTY и она в открытом доступе.

Попробую открыть:

Доступ закрыт, и на том спасибо, но документация открыта, а значит любой атакующий уже знает всю структуру изнутри. Злоумышленнику остаётся только подобрать пароль, вектор атаки у него уже есть.

Теперь переходим к уникальным портам. В Литве есть 3188 и 23092, в Нидерландах 6193, 57964, 62050 и 62051, а в Молдове 9575 и 48024.

В Литве на 3188 порту висит обфускация, его открыть не удалось, а на 23092 - самоподписанный сертификат аж до 2125 года. Тоже самое происходит на портах Молдовы. 6193 порт в Нидерландах имеет идентичный сертификат до 2125 года, порт 57964 с обфускацией, а вот на 62050 красуется сертификат, в котором забыли заменить Gozargah вместо имени сервера, к слову, это дефолтное имя из установки Marzban.

62051 - соединение рвётся сразу, сертификата нет. Этот порт, как и 62050 - служебные каналы связи между главным сервером Marzban и нодой (я это узнал из открытой документации VPN LIBERTY), по умолчанию должны быть закрыты файрволом и видны только главному серверу.

По портам можно сказать лишь одно - король то голый!

Теперь я хочу продемонстрировать, какой ужас творится c сертификатами VPN LIBERTY:

Начнем с Литвы:

443 и 8443 - оценка T. Сертификат sni.lt-cherry-01.com истёк 5 февраля 2026 года. Больше месяца назад. На основных портах сервиса висит мертвый сертификат и никто не удосужился его обновить
23092 - оценка T, самоподписанный 759056.lt-cherry-01.com до 2125 года. Видимо решили выдать с запасом и больше не париться.
28443 - оценка M, это Marzban, сертификат живой, но истекает через 25 дней. Понадеемся, что его обновят.

Нидерланды:

443 и 8443 - оценка T. Сертификат midorinote.org истёк 14 июля 2025 года. Восемь месяцев назад.
62050 - самоподписанный Gozargah до 2125 года. Всё те же сто лет.

Молдова:

443 и 8443 - оценка M, сертификат sni.gb-pq-01.org живой, действует до мая 2026.
48024 - оценка T, самоподписанный GB-PQ-01.gb-pq-01.org до 2126 года. Естественно на 100 лет
28443 - оценка M, сертификат marzban.gb-pq-01.org живой, действует до мая 2026.

Итак, что мы имеем. VPN Liberty - это не продукт, это опенсорсный Marzban от иранских разработчиков, поднятый на арендованных серверах. Никакой собственной разработки и кастомизации. SSH на дефолтном порту открыт на всех трёх нодах - любой ботнет РКН долбится туда без остановки. Мониторинг API работает без шифрования, ключ авторизации пишется в логи. Это значит, что любой кто получит доступ к логам - автоматически станет новым владельцем ваших данных. Документация Marzban открыта без авторизации - атакующий уже знает всю структуру изнутри, ему остаётся только подобрать пароль. На двух из трёх нод основные сертификаты просрочены - на нидерландской уже восемь месяцев. Служебные порты Marzban - словно портовая шлюха, открытая на диалог с каждым встречным.

Все вышеперечисленное удовольствие уже стоит дороже топовых западных решений, вроде Mullvad, у которых есть свой клиент, свои технологии, кучу настроек и что самое главное - отсутствие любых логов, причем с судебным подтверждением.

Еще раз напомню, что это легкая проверка с машины, которая не предназначена для этих целей, как думаете спасут ли вас VPN LIBERTY от РКН и ФСБ? Лично я - сомневаюсь...

Несмотря на вышеперечисленные факапы, администрация VPN LIBERTY и дальше будет говорить, что те или иные методы обфускации не работают, они продолжат бросаться лозунгами, что интернет будет свободным, что у них безопасный сервис, который выгодно выделяется среди конкурентов, но так ли это на самом деле? Решайте сами!

Мой телеграмм - https://t.me/alienist_collections

Донаты - https://t.me/Alienist_Collections_Donate

Шифрование или тюрьма, что веберешь ты? VeraCrypt, PIM, ОЗУ.

2026-03-08T07:11:06.729Z

Сложный пароль в VeraCrypt уже делает перебор паролей непосильной задачкой, но с увеличением вычислительных мощностей и появлением квантовых компьютеров я не уверен, что безусловная защита сохранится и завтра. Поэтому необходимо менять количество итераций. В VeraCrypt при создании нового тома есть галочка "Use PIM".

Количество итераций по умолчанию 485, это значит, что при каждом вводе пароля VeraCrypt выполняет 485 кратных циклов функции вывода ключа, прежде чем вообще приступить к расшифровке заголовка тома, а значение PIM линейно может увеличить это число. Чем больше количество циклов, тем дороже становится каждая попытка проверки пароля и тем бесполезнее становится мощное железо для перебора. При этом, увеличенное количество PIM не влияет на скорость работы вашего тома, но он будет немного дольше монтироваться. На мой взгляд мелочь, учитывая, что ввод пароля занимает две секунды вместо долей секунды, это нормальная и оправданная плата за свежесть ваших портков.

Я уже упоминал, что по умолчанию VeraCrypt использует около 500 000 итераций PBKDF2 (PIM 485) для одного ввода пароля. Эти полмиллиона итераций - не абстрактная цифра и не 500к проверок. Это 500к последовательных криптографических шагов, каждый из которых зависит от результата предыдущего. Их нельзя пропустить и нельзя ускорить железом. Если первая попытка оказалась неверной, то программа не узнаёт об этом сразу. Сначала она выполнит все итерации, чтобы получить возможный мастер ключ, затем попытается расшифровать заголовок тома, проверит криптографию и только после этого поймет, что пароль пустышка. Ошибка на первом символе пароля стоит ровно столько же вычислений, сколько и почти правильный пароль. Для атакующего каждая неудача это боль и повторение цикла.

Теперь посмотрим, как это масштабировать с помощью PIM. При стандартном PIM, количество итераций составляет: 15 000 + (485 × 1000) = 500 000 итераций. Это означает, что одна попытка пароля - полмиллиона последовательных криптографических операций. Если увеличить PIM, например, до 1000, формула становится: 15 000 + (1000 × 1000) = 1 015 000 итераций. Для наглядности: при PIM 1000, одна неверная попытка пароля требует выполнения более одного миллиона последовательных криптографических итераций. Сто ошибок — сотни миллионов вычислений. Тысяча — миллиарды. Миллион неверных попыток превращаются в триллионы операций, которые нельзя пропустить, ускорить или проверить заранее.

В конечном итоге, даже если сложить все доступные вычислительные мощности мира и дать атакующему тысячу лет на перебор, это всё равно не даёт никакой гарантии, что зашифрованный том падет в будущем. Именно поэтому никто не станет ломать криптографию напрямую. Они попытаются достать мастер ключ из оперативки.

К сожалению, VeraCrypt не шифрует оперативную память в привычном понимании. Программа защищает данные на диске, но в момент работы системы ключи и чувствительные данные неизбежно живут в ОЗУ. Да, они могут быть размыты, распределены и неприступны для простых дампов, но в классической модели, без аппаратной поддержки, память остаётся доверенной средой. А доверенная среда - это всегда слабое место при физическом доступе.

Но чтобы мы не огорчались, для нас придумали технологии AMD SME / SVE и Intel TME, которые шифруют содержимое оперативки в моменте, на уровне контроллера памяти. Физически извлечённая ОЗУ в таком случае содержит криптографический мусор, а дамп памяти - набор случайных битов без ключа, который никогда не покидал пределы процессора.

При таком подходе, ваши данные не могут быть украдены. VeraCrypt с высоким PIM делает перебор паролей экономически и физически бессмысленным. Аппаратное шифрование ОЗУ шлет в задницу попытки обойти перебор через память. Атакующему просто не остаётся пространства для атаки. В результате защита перестаёт быть набором разрозненных мер и превращается в структурированную систему. Пароль защищает от угадывания. PIM — от роста вычислительных мощностей и будущих ускорений, а аппаратное шифрование оперативной памяти — от хитрых атак, которые пытаются игнорировать криптографию целиком. Каждый уровень закрывает ровно ту дыру, которую неизбежно оставляет предыдущий.

📝 Инструкция по включению аппаратного шифрования оперативной памяти на примере процессоров AMD с BIOS от ASUS:

1️⃣ Заходим в BIOS

2️⃣ Переключаемся в Advanced Mode (F7)

3️⃣ Advanced → AMD CBS → CPU Common Options

4️⃣ Находим пункт SMEE

5️⃣ Выбираем Enabled

6️⃣ Сохраняем и перезагружаемся (F10)

P.S.

Включенная гибернация на вашем ПК перестает нести практическую ценность для плохиша при зашифрованной ОЗУ. Тем не менее, для спокойствия, я предпочитаю отключать данную функцию, дабы исключить лишнее пространство для атаки.

🖥️ Команда для отключения гибернации в Windows:

powercfg /hibernate off

Проверка:

powercfg /a

🐧 Команда для отключения гибернации в Linux:

sudo systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target

Проверка:

cat /sys/power/state

Больше интересного в канале - https://t.me/alienist_collections

Поднять автору настроение - https://t.me/Alienist_Collections_Donate