Смотрю народ перевозбудился по поводу их драгоценных айпишников, которые предположительно может передавать ( и / или перепродавать, бгг) не только Le Télésramme, но и даже мессенджер макс (бета версия) куда не надо.
Расскажу небольшую байку на эту тему в продолжении двух заметок про ОС и "браузеры".
Итак, хорошо, уговорили - ставлю альт. Скачал свежайший исошник с их сайта - https://www.basealt.ru/alt-workstation/download
В галках списка пакетов при установке был yandex browser, этих сразу в banyu.
(хм matrix в комплекте идет).
Установился. Все очень гладко, субъективно работает норм. По умолчанию встал браузер хромиум.
Ээээ - доверяй, но проверяй. В линуксе очень просто собрать первичку (может поэтому так корпы его ненавидят бгг).
Вот на пыхе простенький монитор соединений TCP сокетов ( пасет /proc/net/tcp и пишет в базу данных..., домашнее задание (уровень школьник) сделать то же самое по UDP). ( Выложил здесь https://github.com/SmirnovRoman/rusadblock/blob/main/tcpmon.php )
Он выводит ip, с которыми в системе были соединения, порт и имя процесса ( да, туда не все попадет, но для примера норм).
Запустил его (надо под рутом, чтобы доступ к именам процессов был), и теперь запускаю браузер, захожу для примера на адрес своей точки доступа ( в локальной сетке ) и бабах.
Что мы тут видим.
Постоянно передает... . IP адреса 64. ... например вот такая Калевала.
Кстати про эту чудовищных размеров числодробилку гугловскую не далеко от болот уже вроде писал, там энергетика интересная ( охлаждение, громадье планов и прч)
ну ладно это другая сказка.
Так же, как видим, постукивает gnome-software... ( а его не убрать), он залез сначала на гитхаб (обновка какая то?), потом на парочку cdn ов (один хотя бы Российский).
Конечно до этого в хромиуме, отключил "переводчика" и "сообщать о паролях" в настройках.
Запускаю. Все равно. Вот так вот.
Так же повторюсь постоянно льет сам gnome
Ну и например идущая в комплекте c ОС ремина (популярный rdp клиент) , после отключения всех настроек все равно лезет в инет.
Куда лезет? tcpmon показывает только IP, а они наверняка динамические - т.е. в софте прописаны днс, поэтому хорошо бы еще прикрутить мониторинг днс запросов ( так как если собираетесь "системно" банить, то лучше dns имена прописывать - внутри софта они обычно указаны ),
но для понимания чего - как там, достаточно для начала замониторить ДНС трафик по классике:
tcpdump -l port 53
Вон эта ремина тут же вылезла - соединения к info.remmina.org (инфа о ком бгг?) и plugins.remmina.org.
Задание для школьников номер два - объединить теперь это все в одну "утилиту", приделать веб интерфейс, с кнопкой отправить соответствующий IP или dns имя в бан ( правила для файрвола или блокировка на уровне hosts).
Для первокурсников - переписать на ansi c и в виде модуля для ядра ( или вон что люди советуют - https://aftershock.news/?q=comment/18697372#comment-18697372 ) , чтобы с proc не через файловую систему работать...
Для выпускников ВШЭ, чтобы наконец появился дистр для домашнего пользования... где вот этого вот нет. Можно платный.
Повторюсь это все на чистом с нуля образе alt linux (не СП).
Так же методика "мониторинга" proc/net не покажет _действительно_ хитрые штучки.
Не вдаваясь в технические детали. Что это все дает? Не разбирал, что там отправляется (и принимается), надо смотреть сырцы или ставить wireshark, подменять сертификаты и прч. Лень. Итак все понятно, что у Хозяев формируются достаточно полные базы данных активности автохтонов Российской Федерации, держится волосатая лапа не то что на пульсе... но и на горле (если кроме "отправки" реализован и "прием" - то там уже Искусство начинается).
Т.е. даже не имея доступа к телеком инфраструктуре можно _снаружи_ составить по "сетевой активности" профиль абонента-не-абонента, ну и самой инфры и далее уже.
Да, все можно выпилить конечно, и у корпов обычно все более менее прикрыто, но было бы хорошо и для домашнего пользования иметь что то, что хотя бы от такого примитивного "защищено" и не только сертификатом.
Для мобильной среды тем более... но нет.
Про нее отдельная история - там если такой аналог поставить и чутка помониторить, то опупеть можно будет от вакханалии - "приемо-передатчиков".
P.S.
У Взрослых обычно любая приложуха с затейливыми исходниками (даже если они даются) помещается в виртуальную песочницу и прч. там много разных методик - целая Индустрия вокруг, но не суть. Тут сразу видно, что в альте получается предположительно этот момент "передатчиков" не отслеживается, конечно такой задачи может и не ставилось, но...
----------
Проблематика несколько глубже, чем кажется на первый взгляд и она больше не про технику (все всё знают, статистику, как чего делать и прч), а про массовую психологию в этих вот вопросиках.
P.S. 2
Да и по поводу ремины кстати почитайте ЧСХ для опенсорса история
главнюку в ней швейцарцу накидали вопросиков - как отключить то, что лезет, "пачиму" собирает id инсталяций и прч. https://gitlab.com/Remmina/Remmina/-/issues/2029
тут похоже надо и пакет смотреть - что там в альт положили.... с какими ключами собирали и прч
Комментарии
В последнее время ещё пошла мода по защищенным протоколам DNS резолвить домены и адреса резолверов прибиты гвоздями где-то внутри софта. Пришлось 853 порт забанить, чтобы андроиды и пр. шли фоллбэком на открытый протокол по 53, где я перехватываю и на локальный DNS перенаправляю, где собственно уже рекламные телеметрические домены режутся...
А можно было бы отправлять на сервис с которого бы забирали другие... впрочем наверно это уже есть, на поверхности лежит.
но это же будет очередная итерация "софт ХХХ шлёт пакеты на ойойой.тут"
а где в заметке написано, что софт вообще ничего не должен слать?
просто ойойоой должен быть понятным, как и что там в пакетике
Мода эта пошла потому что пошли любители лезть в чужой трафик DNS с желанием поцензурить и у пользователей появился спрос чтобы сделали что все просто работает даже если кто-то грязными лапками лезет туда.
У вменяемого софта обычно есть возможность отключения такого поведения именно для случая когда есть у устройства есть нормальный администратор (и это либо владелец либо с владельцем доверенные отношения по мнению обоих сторон) и он понимает что делает.
Спрос не рождает предложение. Предложение рождает спрос. Это азы.
Нет, это явное желание скрыть свои рекламные и телеметрические темные делишки. Иначе бы они позволяли это все включать/выключать/настраивать.
) В ряде случаев приходится устанавливать фейковые VPN, чтобы только ввести в дело свой локальный DNS-сервер. В общем, тщательно скрывают возможность настроить что-то свое, указываешь в свойствах соединения свой DNS, а оно упорно ресолвит через какой-то свой скрытый.
Конкретно в Андроиде более поздних версий - можно указывать свой приватный DNS, но! очень хитро, вместо IP адреса, куда можно было бы указать DNS в локалке - там нужно указать доменное имя к DNS (внимание вопрос.. а кто же это доменное имя должен то резолвить? еще один приватный DNS?
Я помню, давным-давно, свой ступор опупение, когда до меня дошло, сколько же "ресурсов железа", с определённого момента, ИТ индустрии, стало тратиться вот на это телеметрическое и иже с ним, дерьмо...
Порезать это всё, глядишь, и новые процы будут,ближайшие пять, а то и больше, лет, точно, не нужны.
Я несколько лет назад старую инсталляцию XP запустил на относительно свежей системе, чтобы вытащить что-то из файлов...
Ощущение, что курсор мыши движется быстрее твоей мысли её куда-то перемещать)) Понятно, что какие миллисекунды, но мозг четко заметил.
Ровно аналогичные впечатления остались от похода, к родственнику, для "починки ПК", на который сам же ставил семёрку (с разными оптимизациями, ручками), которой пользовался и сам, до 22 года. Ему, её, хватает для всех его делишек.
Я, конечно, прихудел, от скорости и плавности, по сравнению с имеющейся, у меня, 10-ой. Не ожидал. Помню, как со слезами слазил, с ней. Но нужен был новый вддм, а его в семёре уже не было, твари из МС, снова себя показали.
Спасибо) Это - примерно всё, что нужно знать об отечественных защищенных ОС. Справедливости ради надо отметить, что у вас, конечно, не сертифицированный ФСТЭК экземпляр (такие добыть практически нереально), но т и их бы стоит дополнительно проверять, если реально безопасностью заботится
Это обычный альт, просто допустим захотел "не убунту" и чем, тогда отличается в контексте поднятого вопроса, если некоторые пакеты в базе так же льют все наружу...
Прикол капец короче. Ржу не могу...
В смысле я работал в Политехническом ВУЗе Гомель.
Сейчас в Кооп перешёл.
И вот ректор меня упрекнул - что я налево кадры готовлю...
Я его упрекнул ты блин с твоими зарплатами - всех на лево готовишь.
Они все любили деньги.
Потом произошло 2020 год в смысле все IT рванули в Грузию и Литву...
где благополучно сдохли...
И вот сейчас - норОт переписывается нам в Гомель возвращаться или как???
что делать то?
Ржу не могу....
Ребята Родину предали за деньги... и вдруг на Родине больше платят... печалька.
Роман, а вы, вот, напишите, сему мудачку, булкохрустному. Он, по совместительству, вроде как, разраб, в этом, нашем, Базальте, емнип.
Часть работ ФСТЭК отдает на субподряд. И вот некоторые субподрядчики странные, если не сказать больше. Такое вчепятление что там криптосионисты сидят.
Это не впечатление. Я с ними тоже работал - с тем же результатом.
... Не с той диаспоры начали.
С чего вы взяли? Абсолютно нереально сохранить в тайне код, которым пользуются хотя бы сотня юзеров. Про сертифицированные оси предназначенные для массового использования с госучреждениях и говорить нечего. Защищенность вовсе не в тайне кода. Всё можно декомпилировать и распотрошить, если приспичит. Как пример исходники софта, выполняющего шифрования не являются секретом. Тайна вовсе не в коде и не в алгоритмах, они открыты.
Ну и интересно, отлавливал бы такие соединения антивирус...
гарантии нет - если шпионское ПО выполняется на уровне ядра ОС то можно отправлять-получать траффик минуя обработчики пакетов. эта задача была решена более 20 лет назад.
для гарантии фильтрации трафика нужно две независимые машины - собственно, сам клиент, и роутер-фильтр.
Уровень ядра ОС, сегодня, это уже детский сад. Настоящий, тотальный контроль, уже давно идёт через железо, те его блоки, что не документированы и тупо минуют все системы отслеживания, либо вообще, в виде отдельного микропроцессора. Хорошо помню, как в прошлом году, кажись, вой подняли касательно квалкомовских процов, что там есть такая мааахонькая приблуда, что шлёт всё, шо надо, кому и куда надо.
И на вопрос, заданный пытливыми умами, в контору-разработчика - "как же так, это нарушение прав пользователей и тд и тп и прочая муть дермократическая", контора ответила - пошли вы, ребята, на ..й. На том всё и закончилось. А то, что эти процы, занимают львиную долю рынка, дегродофонов и прочих мобил, и говорить не надо. Контора - пиндосская.
А в чем мораль-то? То что 90% импортозамещения - это фикция, итак давно известно.
Вопросы сетевой безопасности (что бы что надо не лезло куда не надо) решаются фаерволлом.
"Для выпускников ВШЭ, чтобы наконец появился дистр. для домашнего пользования... где вот этого вот нет. Можно платный." - это никому не надо.
Ну обычный альт не декларируется как что то "безопасное", так что не фикция.
Тут вопрос про то, как все устроено в принципе.
Будет ли востребован такой дистр у физиков? Почему нет... это вопрос условно говоря рекламы на тиви имхо.
Ну если производитель даже не удосужился модифицировать компоненты "своей ОС", чтобы оно ломилось за обновлениями/сбором статистики/прочей херней на свои зеркала внутри РФ, то продолжать разговор про реальное импортозамещение смысла ноль.
По поводу того все устроено - в любой ОС её компоненты лезут в туда куда указал/(в нашем случае забил Х..) производитель. Врядли это для кого то новость. Если для кого то данное поведение является нежелательным, то данный вопрос решается на сетевом уровне.
В том виде, в каком импортозамещение происходит сейчас - нет, физики будут шарахаться как огня от всех этих навязанных поделок. До тех пор пока не появится какой либо вменяемый продукт.
хз тут надо мировой опыт смотреть... в том числе по работе с "психологией потребителей" и что то так вот на вскидку сложно вспомнить "удачные" проекты чего то "своего".
Китай
https://www.reuters.com/technology/china-releases-its-first-open-source-computer-operating-system-2023-07-06/
4 тыщи разработчиков...
обзор
https://itsfoss.com/linux-national-os/
Надо смотреть на мировой опыт и делать вменяемый продукт, а не писькологией потребителей заниматься.
Удачные проекты своего? Яндекс, Каспер, Госуслуги, Eltex, Rikor, Эльбрус (если разберутся с производством), Veeam (сейчас контора уплыла за горизонт, но в начале все r&d происходило в Питере), Abby (таже история).
У нас более чем достаточно компетенций для разработки подобных вещей, однако у меня есть серьезные сомнения в способности отечественного менеджмента вывезти подобную задачу.
4k разрабов, 300.000руб каждый, если пытаться набирать вменяемых, больше полутора ярдов в месяц чисто ФОТа.
'Своего" имел в виду национальные дистры в камменте ссылка.
Российского софта нормального много...
Прошёл по второй ссылке. Если посчитать всех пользователей независимых от Микрософт, их уже больше чем пользователей Винды должно быть. Самые густонаселённые страны делают свою ОС. Особенно кубинцы понравились - замена ХР! У меня в конторе Hunter (развал-схождение) уже лет 20, там ХР сервиспак 2 без перебоев пашет.:))
В убунту в последних версиях механизм с зеркалами чуть подковыряли и вот так просто сказать - используй ВОТ ЭТО зеркало (не потому что оно российское а потому что пинг 10ms до него всего и чуть ускоряется процесс обновления, владельцы зеркала прямо говорят зачем оно создано и мое использование на мой взгляд - этого не нарушает ) - не получится.
Чего только люди не придумают, лишь бы в исходники не лезть...
Ничего не понял, но ужасно перепугался. Теперь кушать не смогу.
yet another подтверждение того, что кодинг на пыхе как-то нехорошо влияет на умы. есть множество чего для отлавливания и анализа сетевого трафика. делать такой велосипед на пыхе как-то простите, очень стремно. А тем более выносить высер на люди. Модуль для ядра блджад. Для мусорного ведра скорее.
Совершенно непонятна позиция автора «сетевого трафика просто не должно быть». Даже роутер на стене генерирует трафик (и с совершенно легитимными целями) – connectivity check, updates, DDNS etc. Это же верно и для прочего программного обеспечения.
Автор инстинктивно понимает, что наличие непонятного ему сетевого трафика может свидетельствовать о нежелательном для него распространении информации. И в этом он прав, однако абстрактно решить эту проблему очевидно невозможно, поскольку надо анализировать каждую крупицу трафика отдельно.
Более трезвомыслящие люди не ставят невозможных задач – например чтобы «хромой никуда не лез». Есть сотни браузеров, заточенных под сетевую безопасность, но это же надо читать и разбираться, а мозгов на это нет. Или чтобы вместо гномокомбайна поставить минималистичный DE. Без аддонов, апплетов и всего прочего.
да, но единственный способ этого избежать это отключиться от интернета. ну или купите vps в занзибаре и заверните туда через vpn весь трафик. Кроме торрентов, конечно. Если асилите.
Анонимность выгодна только Вам лично и ждать, что ее принесут на тарелочке, странно. А уж государству то точно не нужен еще один аноним лол.
Государству - да. А врагам государства?
анонимность, как, например, и вера – совершенно ортогональны «лояльности к государству». Моя позиция здесь проста – я не нарушаю законы а вы уберите свои ручонки от того, что я сочту личным пространством. это мы сейчас смеемся над тем, что «в новом российском менеджере будет сразу видно, на сколько лет оценивается данное сообщение», так что запоминайте твиты и так далее. в отношении личной информации государство будет всегда противостоять индивидууму и наоборот.
Война диктует свои правила. Не индивидуальные.
пыха кстати специально ради такого каммента выбрана, бгг, ожидания оправдались, но не суть.
и что же идет в комплекте с дистром, что сразу выводит процессы - wireshark, tcpdump? ( это просто замена netstat'a... )
это где такая позиция в заметке? Про Российский cdn отметил...
Это не про анонимность (она миф) - а про "Российские дистрибутивы" и их отличие от "Заграничных"
Как выше в камментах написали - да ожидается, что все будет по умолчанию замкнуто внутри. Обновления проверенные - пакеты тоже и прч.
дистр, да будет Вам известно, это
не только ценный мехпакетный менеджер с некоторым к-вом (зависящим много от чего) предустановленных пакетов. tcpdump и wireshark мало где предустановлены, но в репах есть везде. и обсуждать что-то, что сводится к команде $PM install tcpdump – неконструктивно. установить быстрее чем написать об этом.да везде, собственно заметка и посвящена теме «ой, тут всякий трафик который имхо не нужен». а какой трафик нужен? и почему Вы считаете, что Ваша оценка нужности трафика – единственно верная?
то что он находится в РФ, вообще ничего не меняет. Есть принадлежащие РФ субъектам сервера, находящиеся где угодно и наоборот.
с такой точки зрения российским может быть только дистрибутив изначально с нуля российский. напишите для начала российский гцц. а то я как-то не вижу разницы между «российским» tcpdump и «заграничным». Российский linux любой это просто более продвинутый bolgenos.
все замкнуто внутри? для этого надо начинать с российского DNS и много чего еще. замкнуть это означает по факту отрезаться от глобального интернета, а это не есть задача для конкретного инстанса ОС.
ну конечно, там же миллион таджиков проверяют код построчно. давайте проверим например хром, это недолго (сарказм)
(зевая) про таджиков - https://www.igi-global.com/chapter/source-code-analysis-with-deep-neural-networks/364561
нет, не посвящена
это к чему? где то предлагал tcpdump или gcc переписывать?
Переведите, пожалуйста, переводчик гугла не смог.
:)) Это люди говрят о человеческих делах.
Что мешает автору посмотреть исходники реммины, или хромиума и посмотреть, что конкретно и по каким адресам отправляет это ПО ? Ничего не мешает, кроме паранойи. Что мешало взять версию с с сертификатом ФСТЭК где за него уже посмотрели, кто и чего отправляет? Это уже к автору.
rpm -qa | wc -l
2203
установлено
доступно
apt-cache pkgnames | wc -l
313341
предлагаете все смотреть, чтобы заметку написать?
говорю же лень даже в эти сырцы лезть - тут факт соединения чего то с чем то это уже на больших объемах дает Картинку хорошую.
По поводу версия SE / СП уже обсуждали здесь - https://aftershock.news/?q=node/1519310
а просто нетстатом посмотреть не судьба?
Тут недалеко завалялась астра 1.7 на виртуалке. Запустила, посмотрела.
443 порт хттпс. наш хост обращается к некоему серверу и что-то с него тащит.
было бы странно ежели бы браузер хромиум тащил чего-нибудь с мозиллы или микрософта.
Посмотрела мозиллу. эта подключается сразу и к гуглю и к яндексу. Тоже обычные соединения браузера и сервера 80 и 443.
Вот ежели бы наоборот. тогда ужас-ужас. А так скорее всего ничего. но это не точно. Иншаллах!
зы
астра сидит за тремя натами( это только те которые у меня), и сколько-то еще у прова.
если "софт" куда то сразу "подключается" не спрашивая пользователя, что в этом нормального? хех
может он обновления проверяет, свежий антивирус :-)
Или сертификаты проверяет на валидность? или еще чего нибудь рутинное.
не нравятся тебе хромы мозиллы и яндексы? Пользуй links! По крайней мере в астре он никуда сам не лезет.
а это не важно, на той стороне фиксируется откуда запрос, ну и если передается какая то сопровождающая информация... - с учетом того, что у многих "вендоров" общие базы ( или организованы биржи вместе с например рекламщиками ) картинка повторюсь получается достаточно четкая по всем в совокупности
кстати по хромиуму это все обсуждалось многократно (в т.ч. у них бгг)
https://issues.chromium.org/issues/40555020
пользователь больше данных про себя вываливает сам. И грех этим не воспользоваться. Вот надысь от безделья решила почитать свои комменты на аше за много лет. Дык вот я вся такая инкогнита, магистр безопасности информационной, такого начепятала про себя - семь лет расстрелу через повешение. Чуть ли не домашний адрес и цвет обоев в комнате, и про сослуживцев тоже всякого лишнего можно наловить, просеявши. Такшта человек - это сам себе злобный буратино, и это не лечится. Иншаллах!
а отдельный человек кстати не особо кому и интересен, когда картинка по всей популяции или какой то ее значимой части складывается вот это уже другой уровень...
ИМХО серьезная ошибка что в тестах вы используете браузер*.
В этом случае ИМХО нельзя списывать суть проблемы на OS или в подобных тестах нельзя использовать браузеры (а надо использовать опен сорсе файлокачалки и качалки страничек и сайтов (если такие еще остались)).
*
Сравнение приватности браузеров говорит что де-факто нет приватных популярных браузеров:
https://www.kaspersky.ru/blog/best-private-browser-in-2025/39272/
(не доказанная) Приватность тех браузеров что выделены(и подобных) возможно рекламная акция и легко будет умножена на ноль при росте популярности (когда разрабам отсыпят(сделают предложение от которого они не смогут отказаться) за слив пользователей).
https://habr.com/ru/news/902910/
https://xakep.ru/2023/03/21/private-browsers/
для поверхностного - браузер, гном, ремина... норм, по хорошему - надо _каждый_ пакет смотреть ( это и в полуавтомате можно сделать при желании ) , но такой задачи нет... речь про дистр, который можно установить и понимать, что он в России работает.
Не надо перокурсников нехорошему учить. Во-первых в ядре не ansi c, а его более урезанная версия, потому как, чтобы ansi c работал в полном объеме стандарта нужно уже работающее ядро.
Во-вторых, такого рода работу сейчас принято делать через eBPF и не нужно не патчить ядро, ни модули в него на лету загружать, пропатченное ядро хрен кто себе поставить согласиться, как и чужой модуль. В то время как eBpf можно в bcc завернуть и одним питоновским скриптом обойтись, без компиляции и SMS, достаточно просто sudo иметь будет для запуска.
Страницы