9 posts were merged into an existing topic: Методы защиты от ПО со шпионскими модулями (с 15.04.2026)
Читал, что через браузер можно простучать локалхост на предмет локального прокси на портах.
проверил у себя - ip выходного узла только показывает. ни входной, ни ip провайдера - отсутствуют
при правильной настройке утечки не будет
Мне казалось, что это могут только расширения, не js со страницы, но могу ошибаться, спасибо за наводку, поищу, интересно стало. Но это в любом случае максимум чем грозит - надо пароль на проксю просто ставить, спалить то не должно.
Подождём, понаблюдаем. Должно утечь в виде скана, хотя наверняка ДСП или под NDA.
Вроде можно даже на уровне ublock блокировать запросы.
в современных браузерах не должно такое прокатывать
А если зайти на любой случайный сайт, а там какая-нибудь метрика от Яндекс. Это ведь тоже “спалит” прокси? По крайней мере выходной адрес.
И кстати, если уж нельзя отследить маршрутизацию через Хром или Лису, то уж через Яндекс браузер наверняка можно будет. Может не прямо сейчас, но потом, в новых версиях. Это основное ПО на десктопах. Десятки миллионов пользователей.
Я лишь бегло прочитал шапку темы, но не заметил там никакого упоминания софта, который дурит трафик. Zapret / ByeByeDPI. Они не меняют IP адрес, и если взять например Ютуб, то на стороне провайдера будет видно только то, что вы просто коннектитесь к гугловским серверам, а что именно там, ютуб, гугл драйв, плей маркет, гмейл они не смогут узнать.
Как по мне, дурение трафика эффективней с точки зрения скрытности, чем гонять всё сразу на 1 конкретный IP.
Одно дело положить условно “недружественные” Американские хостинги. Однако если брать тупо полную изоляцию, то есть ещё и страны “дружественные” типа Казахстана, Узбекистана, стран Африки и прочие. Их-то “за що”?
Загрузил PDF в первый пост.
В документе упоминается ByeDPI, см. PDF-версию.
Касательно только оформления, а не наполнения. Сорян, но “слив” выглядит как нейроговно. И даже PDF файл не поможет этому. Я не высокого мнения о людях в минцифре, но по гостам уж их дрочат дай боже, а тут не близко документ.
P.S: Если путь был pdf → MD → pdf, то тогда понятнее.
Я может тоже не все моменты понимаю, но давайте разберём на практике.
Роутер провайдера, к нему подключен комп на винде — ходит напрямую для всякого повседневного. Отдельно стоит OpenWrt с разделением трафика — телефоны и другие ПК идут через него. На OpenWrt настроен Подкоп с XRay REALITY. Русский сегмент идёт напрямую через провайдера, а заблокированные сервисы типа YouTube — через цепочку vps.
На телефоне стоит Happ с маршрутизацией по приложениям. Все приложения ходят напрямую через мобильного оператора, и только YouTube и Instagram идут через VPN.
Теперь смотрим на методику. Там три уровня проверки: GeoIP на сервере, прямые признаки на устройстве (IS_VPN), и косвенные (tun-интерфейсы, MTU, DNS).
Что увидят (ВК, Яндекс)? Мой реальный IP провайдера. И дома, и вне дома. Обычный резидентный адрес. GeoIP — Россия, ASN — обычный оператор. Никаких красных флагов.
А IS_VPN на телефоне? Вне дома — да, Happ создаёт tun-интерфейс, и Android выставляет флаг IS_VPN. Но если посмотреть в их же матрицу принятия решений — при нормальном GeoIP и наличии только IS_VPN результат: «НЕ выявлен». Потому что IS_VPN создают и корпоративные VPN, и антивирусы, и фильтры рекламы. Сам по себе этот флаг ничего не доказывает.
Дома ещё лучше. VPN стоит на роутере, а не на телефоне. На самом устройстве нет ни tun0, ни IS_VPN, ни аномалий маршрутизации. Методика это прямо признаёт в п.8.7: «Методика НЕ рассматривает ситуации, когда VPN разворачивается на пользовательском маршрутизаторе. Выявление затруднено.»
И главный вопрос — ну увидят они IS_VPN, и что дальше? Закона об ответственности за использование VPN на данный момент нет. Методика написана для платформ, чтобы они могли детектить и, возможно, ограничивать функционал. Но если платформа видит нормальный провайдерский IP — ей не за что ограничивать. А YouTube и Instagram — не российские сервисы, РКН их логи не получает.
Так что на практике связка «OpenWrt дома + Happ вне дома + split по приложениям» закрывает все описанные в методике векторы. Или я чего-то не понимаю?
Вы правы, большая часть уязвимостей действительно закрывается переносом точки наблюдения на свой OpenWRT роутер.
Однако использовать провайдерский роутер – не требуется.
- Страна выхода для ру-сервисов – резидентский exit узел с другим SRC NAT IP (в т.ч сот. связь) | WARP (также повсеместно используется резидентами).
- Использовать FakeIP (закроет часть эвристик, или использовать client_subnet для закрытия уязвимости с определением ~ геолокации). То что это аномалия DNS – не важно.
- Распологать VPS ближе к себе – использовать российский VPS (для частичного обмана RTT-атаки).
95% атаки – локальная. Если так и хотите плясать вокруг этого – надежно будет использовать специализированные ОС для полной изоляции сети, такие как QubesOS, остальное – танцы с бубном и костыли на костылях.
Рабочие пространства Android и прочая хрень – тоже не работает (скоро всё будет ясно).
TL;DR: Локально на устройствах что-то решать, смысла не вижу (хоть обнаставтесь костылями / патчами и типа “ну я же всех всех шпионов заблокировал”), защитите свой входной IP и не сливайте свой адрес ТСПУ – всё. А все эти признаки – решаются переносом точки наблюдения на OpenWRT роутер.
Ни в коем случае не используйте Happ!!!
(удалите его со своих устройств, пока не буду говорить почему), вместо этого предлагаю например v2box или что угодно прочее на базе Xray/sing-box.
Есть одна очевидная причина. Домен happ зарегистрирован на SU через Рег – а значит, либо авторы прошли KYC, не подумав, либо и не собирались стесняться. Ну, либо на сына маминой подруги.
В источнике пусть заявлен как pdf → MD
Это не гипотеза, а 100% факт, есть кое какая очень серьёзная проблема. Я бы не стал вам однозначно и так уверенно что-то в требовательном тоне рекомендовать, если это была бы фигня или мои додумки.
Очень скоро всё прояснится, я не могу сейчас вам что-то раскрыть про Happ. Просто подождите и СРОЧНО удалите Happ.
А еще у Happ закрытый код.