Hacker News Digest

Европейский Совет вновь отступил от спорного предложения Chat Control после массового общественного сопротивления. Текущее датское председательство отозвало инициативу, которая требовала всеобщего сканирования зашифрованных сообщений под предлогом борьбы с материалами о сексуальном насилии над детьми. Это лишь очередной эпизод длительной борьбы между защитниками приватности и законодателями, которые считают, могут пожертвовать шифрованием во имя общественной безопасности. Предложение, прозванное "зомби-инициативой" за свою способность возрождаться, встретило решительный протест со стороны более 80 общественных организаций, включая Electronic Frontier Foundation.

Техническая критика фокусируется на фундаментальном непонимании принципов шифрования. Любая система сканирования, особенно клиентская, создает уязвимость в системе безопасности, превращая шифрование в иллюзию. Как показал опыт Apple в 2021 году, подобные системы неизбежно будут эксплуатироваться не только авторизованными органами, но и злоумышленниками. Отказ Chat Control демонстрирует важность общественного участия в технологической политике, где консолидированное сопротивление экспертов, правозащитных организаций и обычных граждан смогло остановить опасную инициативу.

• Предложение о "контроле чатов" в ЕС отложено, но сторонники намерены вернуться к нему; это уже 25-я попытка за 4 года.
• Любые исключения для политиков и чиновников вызывают особенно яростную критику, поскольку подчеркивает лицемерие.
• Попытки ввести сканирование сообщений в ЕС сопровождаются попытками в США, где подобные инициативы уже провалились.
• Предложение в ЕС предусматривает, что даже зашифрованные сообщения могут быть прочитаны третьей стороной, что технически невозможно без встроенной уязвимости, что вызывает обеспокоенность экспертов.
• Подобные инициативы встречают сопротивление из-за опасений, что они могут быть использованы для массового надзора и что они нарушают права человека, особенно если политики и другие элиты освобождаются от этих правил.

Google анонсировал, что с выходом Chrome 154 в октябре 2026 года включит по умолчанию функцию "Always Use Secure Connections", требующую разрешения пользователя для доступа к сайтам без HTTPS. Эта мера призвана защитить пользователей от атак, при которых злоумышленники могут перехватить навигацию и подменить контент. Хотя HTTPS-адoption достиг 95-99%, прогресс застыл с 2020 года, а оставшиеся HTTP-соединения все еще представляют значительную угрозу.

Для баланса безопасности и удобства Chrome не будет дублировать предупреждения для часто посещаемых HTTP-сайтов. Google подчеркивает, что даже небольшая доля небезопасных соединений создает риски, так как атакующему достаточно одного успешного перехвата. Компания отмечает, что за десятилетие наблюдений HTTPS стал зрелым и широко распространенным, что позволяет теперь перейти к более строгим мерам защиты по умолчанию.

• Пользователи обсуждают, что почти весь трафик уже давно перешёл на HTTPS, и оставшиеся HTTP-сайты — это в основном старые ресурсы, которые не обновлялись с 2010-х годов.
• Обсуждается, что в 2024 году Google Chrome полностью отключит поддержку HTTP, и это вызвало споры о том, насколько это нужно, учитывая, что большинство сайтов уже используют HTTPS.
• Участники обсуждают, что вместо того, чтобы отключать HTTP, Google мог бы вместо этого инвестировать в улучшение инструментов для разработчиков, чтобы они могли легче мигрировать с HTTP на HTTPS.
• Также обсуждается, что отключение HTTP может затруднить доступ к внутренним ресурсам в корпоративных сетях, где HTTPS не всегда практичен.

Исследователи с помощью обычного спутникового оборудования провели наиболее полный анализ геостационарных спутниковых коммуникаций и обнаружили шокирующее количество незашифрованного трафика. Среди уязвимых данных оказались критическая инфраструктура, корпоративные и правительственные коммуникации, личные голосовые звонки и SMS, а также интернет-трафик из бортовых Wi-Fi и мобильных сетей. Доступ к этой информации возможен с помощью оборудования стоимостью всего несколько сотен долларов, а один транспондер может быть виден с территории, покрывающей до 40% поверхности Земли.

Уязвимости выявлены в различных секторах: от мобильной связи и военных систем до коммерческих сетей и критической инфраструктуры. Исследователи связались с ответственными сторонами, и некоторые из них, включая T-Mobile, WalMart и KPU, уже внедрили исправления. Эксперты рекомендуют организациям рассматривать спутниковые каналы как незащищенные и использовать шифрование на всех уровнях, а обычным пользователям — применять VPN и приложения с end-to-end шифрованием для защиты своих данных.

• Сигналы спутниковой связи не зашифрованы, что делает их уязвимыми к перехвату и анализу, но это не новость для специалистов и, похоже, не для компаний, которые продолжают использовать незашифрованные каналы связи.
• Исследование показывает, что даже сегодня множество спутниковых каналов связи остаются незашифрованными, что делает возможным перехват трафика с помощью доступного оборудования.
• Участники обсуждения отмечают, что отсутствие шифрования в спутниковых каналах связи является известным фактом, и что исследование не вносит новизны, но вместо этого лишь подтверждает известное.
• Некоторые комментаторы подчеркивают, что отсутствие шифрования может быть связано с тем, что компании не хотят внедрять шифрование из-за дополнительных затрат и сложностей, а также из-за того, что это может повлиять на производительность и удобство использования.
• Также обсуждается, что хотя технически возможно перехватывать и анализировать трафик, но это не обязательно означает, что это будет сделано, и что в конечном счете ответственность за обеспечение безопасности каналов связи лежит на плечах самих пользователей.

После 350 лет секретное дипломатическое послание, отправленное Уильямом Первичем из двора Людовика XIV в 1670 году, наконец расшифровали двумя независимыми группами. Ключевую роль сыграли криптографы Мэтью Браун и команда доктора Джорджа Ласри, профессора Норберта Бирманна и Томокио Сато, известные ранее расшифровкой писем Марии Стюарт. Шифр оказался сложным - требовалось определить 20 столбцов и случайным образом переставлять их, а также идентифицировать "нулевые" буквы, которые следовало отбросить.

Расшифровке помогла частота букв - необычное количество "Q" (8 штук), из которых 6 находились у правого поля, указывая на дополнение строк. Для взлома использовали специальное ПО и ручную работу, так как отправитель ошибочно пропустил несколько букв. В тексте остались числовые коды вместо имен и мест, которые невозможно расшифровать без ключа, но содержание уже доступно: жалобы солдат на охлаждение короля к армии и влияние его фавориток.

• Обсуждение началось с предупреждения, что квантовые компьютеры могут расшифровать сегодняшние шифры, и государства-участники уже сейчас собирают зашифрованный трафик для будущего расшифровки.
• Участники обсудили, как в 18 веке шифротекст был вскрыт, и как в статье не упомянули, что именно использовал второй кодовый ломщик, чтобы расшифровать его.
• Была затронута тема, что даже если бы текст был расшифрован, дальнейшие шифры внутри сообщения все еще оставались бы защищенными.
• Участники также обсудили, что в будущем может потребоваться 300 лет, прежде чем квантовые компьютеры смогут быть использоваными на практике.
• И наконец, обсуждалось, что даже 250 лет назад шпионство и манипуляция были обычным делом, и что религиозные предлоги часто использовались для оправдания вторжений и грабежа.

Европа пытается усилить контроль над приватными сообщениями, требуя сканирования даже зашифрованного контента, но это подрывает саму идею цифрового суверенитета. Германия недавно заблокировала голосование по так называемому "Chat Control", что даёт отсрочку до декабря.

За этой задержкой стоит важный вопрос: можно ли строить технологическую независимость, одновременно ломая шифрование — основу безопасной цифровой инфраструктуры?

Компании вроде Proton и Element выступают против, указывая, что безопасность — это не опция, а фундамент. Без шифрования нет доверия к цифровым сервисам, а значит, и суверенитета.

Дебаты в ЕС сейчас — это не только о приватности, но и о стратегической автономии. Зависимость от неевропейских tech-гигантов усугубляется, если местные компании вынуждены встраивать уязвимости в свои продукты.

Декабрь покажет, сможет ли Европа выбрать гармонию между безопасностью и свободой.

• Продолжающийся конфликт между технологическим суверенитетом и правом на приватность в ЕС; вопрос в том, что ЕС не стремится к технологическому суверенитету и вместо этого продолжает полагаться на американские технологические компании.
• Дискуссия о том, что ЕС не имеет собственной технологической индустрии, и что это может быть связано с тем, что ЕС не защищает свои рынки от американских технологических компаний.
• Обсуждение о том, что ЕС не имеет собственной технологической индустрии, и что это может быть связано с тем, что ЕС не защищает свои рынки от американских технологических компаний.
• Обсуждение о том, что ЕС не имеет собственной технологической индустрии, и что это может быть связано с тем, что ЕС не защищает свои рынки от американских технологических компаний.

Правящая партия Германии CDU/CSU официально отказалась от поддержки системы массового контроля переписки, которую продвигают некоторые страны ЕС. Это решение стало крупной победой для приватности в Евросоюзе, поскольку предотвращает введение так называемой «чаткинтроли» без конкретного повода.

Немецкое правительство заняло чёткую позицию против сканирования личных сообщений граждан, что вызвало положительную реакцию среди защитников цифровых прав. Хотя некоторые комментаторы выражают скептицизм относительно долгосрочных намерений партии, текущее заявление укрепляет позиции приватности в европейской политике.

• Выражено глубокое недоверие к мотивам Германии и других стран, продвигающих массовый контроль за перепиской, с предупреждениями, что эти инициативы могут быть возобновлены в будущем.
• Участники считают, что дебаты о контроле за шифрованием (Chat Control) носят циклический характер и вряд ли будут окончательно урегулированы в обозримом будущем, так как сторонники контроля будут продолжать свои попытки.
• Подчеркивается техническая невозможность ослабить сквозное шифрование для выборочного контроля, не создав уязвимости для всех пользователей, что делает онлайн-банкинг и другие сервисы небезопасными.
• Многие выступают за безусловную защиту права на приватность и шифрование, рассматривая его как фундаментальную свободу, и призывают отвергать любые попытки его ограничения.
• Оппоненты массового контроля утверждают, что существующих юридических механизмов (например, предоставление истории переписк

Великобритания продолжает попытки внедрить бэкдоры в шифрование для пользователей Apple, несмотря на глобальную критику. Власти настаивают, что доступ к зашифрованным данным необходим для борьбы с преступностью, но эксперты предупреждают, что это ослабит безопасность всех пользователей.

Такие меры могут подорвать доверие к технологическим компаниям и создать уязвимости, которыми воспользуются злоумышленники. Apple и правозащитные организации активно сопротивляются, подчёркивая, что бэкдоры не могут быть ограничены только «законным» доступом.

• Участники обсуждают требования правительства Великобритании к Apple о предоставлении доступа к зашифрованным данным пользователей (iCloud), включая отключение функции Advanced Data Protection.
• Высказывается обеспокоенность по поводу расширения государственного надзора и ущемления приватности, проводятся параллели с ситуацией в Китае и другими законами (PATRIOT Act, FISA).
• Обсуждается юридическая сторона: какие пользователи попадают под юрисдикцию UK, возможность Apple противостоять требованиям и роль правительства США в предыдущих спорах.
• Поднимается вопрос о доверии к производителям устройств и облачным сервисам, уязвимости перед принудительными OTA-обновлениями и необходимости независимого аудита безопасности.
• Некоторые пользователи связывают эти события с общим упадком и ужесточением законодательства в Великобритании, включая ограничение свободы слова и иммиграционную политику.

Предложение ЕС «Контроль за чатами» угрожает фундаментальным правом на приватность в Европе, требуя массового сканирования всех сообщений, фото и видео на устройствах пользователей под предлогом защиты детей. Это фактически уничтожает сквозное шифрование, создавая бэкдор для хакеров и враждебных государств, что даже разведки признают катастрофой для национальной безопасности. Германия, исторически защищавшая приватность, сейчас рискует отступить от своих принципов, что стало бы стратегической ошибкой в условиях геополитической нестабильности.

Signal рассматривает это как экзистенциальную угрозу и заявляет, что предпочтёт уйти с рынка, чем встроить систему слежки, поскольку шифрование либо работает для всех, либо не работает вообще. Решение Германии может определить будущее приватных коммуникаций в Европе — сохранятся ли они или будут подорваны массовой слежкой, угрожающей экономической и социальной безопасности. Важно не допустить повторения истории, но уже с масштабными базами данных и крайне чувствительной информацией.

• Пользователи выражают поддержку Signal и её борьбе против инициативы ЕС "Chat Control", видя в ней массовую слежку под предлогом защиты детей.
• Обсуждается опасность принятия закона, который может привести к сканированию всего контента на устройствах и уничтожению приватности и сквозного шифрования.
• Участники сравнивают "Chat Control" с практиками Штази и Гестапо, подчёркивая репрессивный характер инициативы и её угрозу гражданским свободам.
• Высказывается критика в адрес немецких политиков и партий (CDU, SPD), которые, по мнению комментаторов, исторически лоббируют тотальную слежку и ограничение свобод.
• Обсуждаются технические и правовые последствия, включая возможный запрет децентрализованных сетей и необходимость активного политического сопротивления.

Автор столкнулся с критической проблемой при шифровании пула ZFS: после переноса зашифрованных снапшотов с промежуточного пула sneakernet обратно на основной old данные оказались нерасшифровываемыми. Оказалось, что ZFS неявно создаёт зависимость от encryptionroot — исходного пула, где данные были впервые зашифрованы. В данном случае этим пулом был sneakernet, а не old, поэтому при попытке расшифровать данные на old система не смогла найти нужный ключ.

Ключевая деталь: ZFS передаёт метаданные о encryptionroot при операциях send/receive, даже если данные отправляются в raw-формате. Это привело к тому, что после удаления промежуточного пула sneakernet данные на old стали недоступны, так как система искала ключ от уже несуществующего источника. Автору удалось восстановить доступ, модифицируя исходный код ZFS для ручного создания bookmark и обновления метаданных, что подчёркивает важность понимания внутренней работы encryptionroot перед выполнением сложных операций с шифрованием.

• Пользователи обсуждают сложности и риски использования нативного шифрования ZFS, приводя примеры потери данных из-за ошибок в управлении ключами и снимками.
• Поднимаются вопросы о сравнении ZFS с альтернативами (LUKS+mdadm, Storage Spaces), отмечая преимущества ZFS в эффективности сжатия и производительности, но критикуя его сложность и отсутствие дружелюбного интерфейса.
• Обсуждается важность тестирования резервных копий и необходимость осторожности при использовании зашифрованных наборов данных, особенно при смене паролей или ключей.
• Упоминаются случаи успешного использования ZFS в течение многих лет без потерь данных, но с оговорками о необходимости строгого следования документации.
• Критикуется reliance на Stack Overflow и ИИ для решения сложных задач, поскольку это может привести к необратимым ошибкам из-за некорректных советов.

Обнаружена серьёзная уязвимость в роботах Unitree, позволяющая злоумышленникам удалённо захватывать управление целыми группами устройств. Эксплойт использует недостатки в системе связи и аутентификации, что делает возможным несанкционированный доступ к функциям роботов без физического вмешательства.

Исследователи продемонстрировали, как можно манипулировать роботами для выполнения произвольных команд, что создаёт риски для безопасности в публичных пространствах и коммерческих применениях. Уязвимость затрагивает популярные модели, включая Unitree Go1, широко используемые в исследованиях и индустрии. Это подчёркивает критическую важность своевременного обновления прошивок и усиления мер кибербезопасности в робототехнике.

• Обнаружена серьезная уязвимость в роботах Unitree, включающая в себя скомпрометированные криптографические ключи, обход аутентификации и возможность внедрения команд, что делает угрозу самораспространяющейся (wormable).
• Участники выражают серьезную озабоченность по поводу последствий уязвимости: возможность создания ботнетов из зараженных роботов, их удаленный захват для причинения физического вреда или проведения атак.
• Поднимается вопрос о необходимости строгого регулирования, сертификации и встроенных независимых систем аварийной остановки для обеспечения безопасности робототехники.
• Высказываются опасения, что подобные уязвимости могут затронуть более массовые продукты, такие как автомобили Tesla и Waymo, что приведет к катастрофическим последствиям.
• Обсуждается этическая сторона и практическая невозможность реализации "законов робототехники" Азимова, а также ответственность человека за действия автономных машин.

Датское председательство в ЕС активно продвигает обязательный скрининг сообщений для борьбы с детскими abuse-материалами, несмотря на серьёзные разногласия между странами-членами. Внутренний протокол переговоров показывает, что Копенгаген вернул первоначальный жёсткий вариант закона, отменяющий предыдущие смягчения, и намерен добиться его принятия министрами юстиции уже 14 октября. Дания открыто заявляет, что «реализуемые варианты заканчиваются», и использует как рычаг давление срока — временное исключение из директивы ePrivacy, разрешающее добровольное сканирование, истекает в апреле 2026 года.

Ключевым игроком стала Германия, чья позиция под руководством министра внутренних дел Добриндта может оказаться решающей. Десять стран поддерживают датский подход, но противники образуют блокирующее меньшинство, опасаясь массовой слежки и подрыва шифрования. Парламент ЕС ранее называл подобные меры неприемлемыми и предлагал ограничиться сканированием незашифрованных сообщений только у подозреваемых. Практический итог: если Дания преуспеет, это создаст прецедент тотального контроля над приватностью в цифровой среде.

• Франция поддерживает обязательный контроль чатов и клиентское сканирование, несмотря на ранее отклонённые аналогичные меры как чрезмерно intrusive.
• Участники выражают серьёзные опасения по поводу приватности, злоупотреблений со стороны властей и уязвимости систем к взлому из-за встроенных бэкдоров.
• Обсуждается, что реальная цель закона — не борьба с преступностью, а политический контроль и слежка за инакомыслием.
• Высказывается скептицизм относительно эффективности сканирования, поскольку преступники могут перейти на открытые или незадокументированные инструменты.
• Отмечается ирония в том, что сами политики, продвигающие закон, исключены из-под его действия, и предлагается сделать прозрачными их коммуникации.

Европейский Союз продвигает законопроект «Chat Control», который обяжет технологические компании сканировать все личные сообщения пользователей, включая защищённые сквозным шифрованием. Это достигается за счёт клиентского сканирования (CSS), когда контент проверяется на устройстве до отправки, что создаёт уязвимости для хакеров, корпораций и правительств.

Инициатива не только подрывает конфиденциальность, но и угрожает безопасности интернета в целом — приватные переговоры перестанут быть таковыми. Mozilla призывает исключить сквозное шифрование из требований сканирования, отказаться от ослабления защиты и привлекать независимых экспертов для оценки рисков. Уже сейчас позиции стран ЕС разделились, и важно повлиять на решение регуляторов.

• Опасения по поводу массового сканирования личных сообщений и подрыва приватности под предлогом борьбы с преступностью.
• Критика двойных стандартов, когда законодатели хотят ввести контроль для граждан, но исключить из-под него себя и силовые структуры.
• Убежденность, что закон не сломает, но обесценит шифрование, отправив обычных пользователей под наблюдение по умолчанию.
• Опасения, что успешное принятие закона в ЕС создаст прецедент для авторитарных режимов по всему миру.
• Призывы к сопротивлению и переходу на альтернативные, более защищенные методы общения.

Когда на macOS включен FileVault, том с данными остается заблокированным до ввода пароля при загрузке, что делает SSH недоступным, так как его конфигурация хранится на этом томе. Однако если активирована опция Remote Login, можно аутентифицироваться по паролю через SSH даже в заблокированном состоянии, что позволяет удаленно разблокировать диск.

После успешной аутентификации система ненадолго разрывает SSH-соединение, пока монтирует том и запускает зависимые сервисы, после чего полноценный доступ возобновляется. Эта функция, появившаяся в macOS 26 Tahoe, полезна для администрирования устройств без физического присутствия.

• В macOS 26 Tahoe появилась возможность удалённой разблокировки зашифрованного тома (FileVault) по SSH до входа в систему, что решает давнюю проблему для удалённых серверов на Mac.
• Пользователи подтверждают работоспособность функции: после перезагрузки можно подключиться по SSH, ввести учётные данные для разблокировки, после чего соединение разрывается, и система завершает загрузку.
• Функция высоко оценена корпоративными пользователями и администраторами, так как позволяет использовать Mac mini в стойках и ЦОД без необходимости физического доступа для ввода пароля после сбоя питания.
• Обсуждаются технические детали реализации: использование системного тома (read-only), перезагрузка пользовательского пространства после разблокировки для избежания race condition.
• Некоторые пользователи выражают озабоченность по поводу потенциальных векторов атаки и необходимости использования аутентификации по паролю для SSH в этом сценарии.

В Unicode существует больше символов, обозначающих «латинскую заглавную букву A», чем букв в английском алфавите. Это наблюдение вдохновило на создание «шифра крика» — замены каждой буквы на один из вариантов A с диакритическими знаками. Например, фраза «SCREAM CIPHER» превращается в «ǠĂȦẶAẦ ĂǍÄẴẶȦ», что выглядит как набор кричащих символов.

Функции SCREAM и unscream реализуют прямое и обратное преобразование, сохраняя при этом регистр и игнорируя не-буквенные символы. Такой подход демонстрирует игривое использование Unicode для создания визуально эффектного, но семантически тривиального шифрования.

• Представлена кодировка zalgo256 с использованием комбинирующих символов Unicode для создания "кричащего" шифра, аналогичного моноалфавитной замене.
• Обсуждаются юмористические и практические аспекты шифра, включая сравнение с ROT13, отсылки к XKCD и потенциальное применение для обхода ограничений длины строк.
• Участники делятся своими реализациями на разных языках (Python, JS, Racket) и идеями по скрытию данных с помощью невидимых символов или эмодзи.
• Поднимаются вопросы безопасности, указывается на отсутствие криптостойкости и обсуждаются технические детали работы с графемными кластерами в Unicode.
• Шифр вызвал оживлённую реакцию, включая шутки о "песчаных людях" из Star Wars и создание чат-ботов для кодирования.

Борьба против Chat Control: "Позиция Германии вернулась к статусу НЕОПРЕДЕЛЕННОСТЬ..."

Для использования веб-приложения Mastodon необходимо включить JavaScript. Также можно воспользоваться нативными приложениями для вашей платформы.

• Исключение для государственных аккаунтов ставит под сомнение заявления о безопасности и точности системы, указывая на вероятность ложных срабатываний.
• Предложение воспринимается как антидемократичное и нелегитимное, подрывающее доверие к ЕС и ведущее к росту поддержки крайних политических сил.
• Реализация подобного контроля технически неfeasible, так как злоумышленники могут легко обойти его с помощью альтернативных зашифрованных каналов.
• Критики проводят параллели с историей тотальной слежки (Стази, Третий рейх) и предупреждают о создании дистопического инструмента массового наблюдения.
• Обсуждение выявляет циничный мотив лоббирования со стороны компаний-поставщиков surveillance-решений (Thorn, Palantir) и заинтересованных госструктур (Europol).
• Исключение для политиков трактуется как способ избежать бумажного следа и подотчетности, а безопасность служит лишь прикрытием.
• Многие пользователи выражают готовность полностью отказаться от сервисов, которые подчинятся таким требованиям, и поддерживают принцип сквозного шифрования.

pass — менеджер паролей в духе Unix.
Каждый пароль — отдельный gpg-файл в ~/.password-store; можно каталогизировать, копировать, версионировать в git.

Команды:

• pass — список;
• pass site.com — показ;
• pass -c site.com — 45 с в буфере;
• pass insert site.com → ввод;
• pass generate site.com 15 → создать;
• pass rm site.com — удалить;
• pass git push/pull — синхронизация.

Установка: apt/yum/pacman/brew install pass или tar.

• pass — это минималистичный CLI-менеджер паролей на Bash + GPG; кто-то использует 10+ лет и доволен, кто-то уже ушёл.
• Главные претензии: неструктурированные файлы (приходится парсить в каждом скрипте), GPG-ключи сложны, плагинов/нормальных мобильных клиентов почти нет, Android-приложение заархивировано.
• Уязвимость: если агент GPG закешировал ключ, любой скрипт может выполнить pass и выкачать все секреты; спасает только PIN + touch на YubiKey.
• Удобные альтернативы: KeePassXC/KeePassDX, Bitwarden (есть CLI), Vaultwarden; синхронизация pass через Git работает, но историю зашифрованных файлов не посмотреть обычным git diff.
• Для shared/корпоративного использования нет аудита доступа и нормального способа перешифровки для новых сотрудников — приходится менять все пароли.

GrapheneOS и извлечение данных: мифы и реальность

GrapheneOS — защищённая Android-система, превосходящая iOS по ряду параметров. В мае в соцсетях разгорелась кампания, обвинявшая проект в «взломе»; на деле речь шла о добровольной выдаче кода владельцем.

Цифровая форензика

Цель — извлечь доказательства с устройств. Методы могут злоупотребляться против журналистов и активистов, поэтому GrapheneOS максимально усложняет изъятие без согласия.

Cellebrite

Израильская фирма продаёт комплекс UFED для извлечения данных. Оборудование поставляется и авторитарным режимам (Беларусь, РФ, КНР, Мьянма и др.).

Как вытащить информацию

1. Добровольное разблокирование — владелец сам вводит PIN.
2. Взлом — эксплойты или подбор кода.

Устройство бывает в двух состояниях:

• BFU — после перезагрузки, ключи шифрования не загружены, почти всё зашифровано.
• AFU — разблокировано хотя бы раз, ключи в памяти, доступ к данным шире, но экран может быть заблокирован.

• Утечки Cellebrite подтверждают: GrapheneOS с обновлениями после 2022 г. пока «не берётся» взломом.
• Ради высокой безопасности проект отказывается от официального root-доступа и поддерживает только Pixel (они единственные позволяют надёжно разблокировать/перезапирать загрузчик и имеют нужные аппаратные модули безопасности).
• Песочница GrapheneOS изолирует даже закрытые драйверы-блобы (Wi-Fi, модем, Bluetooth), минимизируя риск бэкдоров.
• Пользователи LineageOS считают переход на GrapheneOS оправданным: стабильные обновления, sandboxed Play Services и «выключатель» USB-порта.
• В дискуссии о «хороших/плохих» правительствах большинство сходится: любые власти могут (и будут) злоупотреблять доступом к данным, поэтому доверять кому-либо «вслепую» нельзя.

Патрик Брейер:
🇪🇺 ДА: Германия не поддерживает планы ЕС по #ChatControl.

• ChatControl отложен, но вернётся: поддержка высока, и Бундестаг уже ищет «компромисс» без взлома шифра, но с массовым сканированием.
• Участники сходятся: без конституционного/европейского права на приватность цифровых переписок битву придётся повторять каждые пару лет.
• Техническое небезразличие: политики не понимают, что требуют «чёрный ящик» на каждом устройстве; предлагают тестовый год для сторонников закона или публичные переписки чиновников.
• Север/Юг раскололись: Скандинавия и Австрия против, Латинский юг почти «за»; Дания считается главным лоббистом.
• Активисты фиксируют рост давления: письма/петиции работают, но нужен постоянный контроль и продвижение децентрализованных, E2E-протоколов вне гос-контроля.

Ключевые выводы исследования

• 8 популярных коммерческих VPN обслуживают >700 млн пользователей, но скрывают собственность и имеют критические уязвимости.
• 3 VPN связаны с НОАК Китая, у остальных найдены признаки китайского контроля.
• Отсутствие прозрачности позволяет злоумышленникам снимать шифрование и перехватывать трафик.

Почему важна прозрачность
VPN переносят доверие от интернет-провайдера к самому сервису. При выборе пользователи должны решить:

• Прозрачность — знать, кто видит данные.
• Анонимность — не знать, но полагаться на обещания.

Риски для пользователей

• Авторитарные государства могут использовать скрытые связи VPN для слежки.
• Отсутствие публичной информации о владельцах и разработчиках усиливает уязвимости.

• Коммерческие VPN часто продаются через страх не-технических пользователей, хотя реальные сценарии — это обход геоблоков, торренты и «неполиткорректный» контент.
• Модель доверия к единому VPN-узлу критикуется; предлагаются решения вроде iCloud Private Relay и MASQUE-релеев, разделяющих «кто» и «что».
• Подозрения вызывают «популярные» VPN (Nord, Express), их рекламные бюджеты и возможные связи с разведками; Mullvad считается одним из самых прозрачных, но его IP-адреса всё чаще банят.
• Некоторые «бесплатные» или малоизвестные VPN/прокси-сервисы превращают клиентов в узлы резидентного прокси и продают их трафик третьим лицам.
• Даже при смене IP браузерное фингерпринтирование легко идентифицирует пользователя; HTTPS сделал старые аргументы «VPN для безопасности в публичном Wi-Fi» почти бесполезными.

Зачем «перефразировать телеграмму»?

Во Второй мировой на американских телеграммах встречается пометка:
«This telegram must be closely paraphrased before being communicated to anyone».

Смысл не в «размывании» содержания, а в криптографической безопасности.
Если дословно цитировать текст, противник, перехвативший шифр-телеграмму, получает известный открытый текст («crib»). Сравнивая его с шифртекстом, криптоаналитикам легче подобрать ключ.

Поэтому требовалось переформулировать каждую фразу, сохраняя смысл, но меняя слова и порядок. Это лишало врага «ключевых подсказок» и затрудняло взлом.

Инструкция появилась в 1939 г. и касалась всех зашифрованных сообщений, особенно дипломатических.

• Британцы использовали «саженые» открытые тексты в карманах погибших немцев для known-plaintext атак на Enigma.
• Повтор одних и тех же фраз («weather…», «Heil Hitler») и «сообщения в глубину» (in depth) позволяли взламывать и Enigma, и более сложный Lorenz/Tunny.
• Ключевое правило: нельзя повторять один и тот же текст ни в открытом, ни в зашифрованном виде; при перефразе лучше сокращать, чем расширять.
• Современные шифры устойчивы к таким атакам благодаря IV, CBC и другим приёмам; изучать старые методы помогают военные руководства и книги вроде «Between Silk and Cyanide».

• Суть: Лондон отказался требовать у Apple «чёрный ход» в шифрование iCloud (функция ADP).
• Контекст: В январе 2025 г. Apple отключила ADP в Великобритании после ультиматума Home Office.
• Результат: Без официальных объяснений власти отозвали приказ; Apple может вернуть полное сквозное шифрование.
• Значение: Победа Apple и правозащитников, но британские спецслужбы сохраняют право подавать новые требования в будущем.

• Участники сомневаются, что Apple действительно отказалась от «задних дверей» в Великобритании: решение не подтверждено документально, а откат мог быть лишь публичным жестом.
• Многие считают «победу» сомнительной: права на приватность всё равно зависят от страны и политического давления, а не от универсального принципа.
• Поддержка детей и борьба с терроризмом воспринимаются как удобный предлог для анти-свободных законов.
• Есть опасения, что власти просто временно отступили и скоро вернутся с новыми попытками или уже имеют доступ к данным.
• Вопрос о восстановлении сервиса Advanced Data Protection (ADP) в UK остаётся открытым.

Как работает технология «мультиплеера» в Figma

Основная идея
Figma позволяет десяткам дизайнеров одновременно работать над одним файлом без конфликтов. Это достигается за счёт оперативной синхронизации изменений и разрешения конфликтов на лету.

Архитектура

• WebSocket-соединение — каждый клиент держит постоянное соединение с сервером.
• Операционные преобразования (OT) — любое действие (перемещение слоя, изменение текста) описывается как операция. Сервер применяет её и рассылает всем клиентам.
• Дельты и патчи — вместо полной передачи файла отправляются только изменения, что экономит трафик и ускоряет работу.

Разрешение конфликтов
Если два пользователя одновременно изменяют один и тот же объект, алгоритм OT выстраивает правильный порядок операций, сохраняя логическую целостность. Пользователи видят результат почти мгновенно.

Производительность

• Дерево объектов хранится в памяти браузера и обновляется по мере поступления операций.
• Сжатие и батчинг — несколько операций объединяются в один пакет, чтобы снизить нагрузку на сеть.
• Кеширование — сервер хранит последние состояния файлов, чтобы быстро «догнать» клиента, который только подключился.

Безопасность и надёжность

• Все операции логируются и могут быть отменены (undo/redo).
• Данные шифруются при передаче и хранятся в зашифрованном виде.
• Регулярные снепшоты защищают от потери данных при сбоях.

Итог
Технология «мультиплеера» превращает Figma в «Google Docs для дизайна», где коллаборация происходит без конфликтов и задержек.

• Участники делятся ссылками на материалы Linear, Automerge, Croquet и другие решения для реал-тайм синхронизации.
• Обсуждают, насколько сложной остаётся задача и какие новые инструменты (Liveblocks, Electric SQL, Rocicorp Zero) делают её доступнее.
• Спорят о терминологии «multiplayer» и о том, насколько часто пользователи действительно одновременно редактируют дизайн.
• Отмечают, что Figma пошла на радикальные меры: собственный WebGL-рендерер и протокол, отказавшись от готовых библиотек.
• Шутят о случайном переключении сайта из тёмной в светлую тему при прокрутке и о «figma balls».

Что происходит
Брюссель предлагает «Chat Control»: обязательный сканер всех личных сообщений и фото, включая зашифрованные. Это массовое наблюдение без подозрения и без исключений для 450 млн граждан ЕС.

Последствия

• Слежка: каждое сообщение, фото, файл автоматически проверяются.
• Взлом шифрования: бэкдоры откроют доступ хакерам и спецслужбам.
• Права человека: нарушение статей 7 и 8 Хартии ЕС.
• Ложные срабатывания: отпускные фото и шутки признают «запрещённым контентом».
• Дети не в безопасности: эксперты ООН говорят, что массовая слежка не защищает, а ослабляет безопасность.
• Прецедент: авторитарные режимы будут ссылаться на ЕС, чтобы вводить собственные сканеры.

Позиции стран ЕС

• Против: 3 государства
• За: 15
• Не решились: 9

Что делать

1. Выбрать волнующие пункты (приватность, шифрование, ложные обвинения и т.д.).
2. Отредактировать письмо.
3. Отправить депутатам Европарламента одним кликом.

Ресурсы

• Анализ Патрика Брейера
• EDRI
• noyb

© 2025, инициатива граждан

• Европарламент тайно проголосовал за обязательную верификацию возраста при доступе к порнографии с тюремным сроком до года (поправка 186).
• Французы и другие почти без исключения поддерживают инициативу; активисты жертвуют GrapheneOS и аналогичным проектам.
• Совет ЕС сильнее Парламента и именно он продвигает «Chat Control»; сайт fightchatcontrol.eu пока отражает позиции правительств, а не личные взгляды депутатов.
• Участники обсуждения считают конец онлайн-анонимности концом интернета и предлагают план «Б»: децентрализованные мессенджеры, самостоятельные сборки Android, TOR.
• Евродепутаты и чиновники исключены из-под слежки «по правилам профессиональной тайны», что вызывает особое возмущение.

Как военный проект стал щитом приватности

На скрипучем поезде в тумане я пытаюсь зайти на сайт, но Wi-Fi блокирует его. Запускаю Tor Browser — страница открывается мгновенно.

Tor, или «тёмная сеть», ассоциируется с криминалом, но финансируется частично правительством США, а BBC и Facebook ведут в нём «зеркала» для обхода цензуры. Суть: трафик шифруется и прыгает по серверам мира, скрывая пользователя и обходя блокировки.

От криптовойн до Tor

90-е: хакеры-циферпанки вооружают гражданских военным шифрованием, предупреждая, что интернет может стать тоталитарным. Бизнес и Пентагон поддерживают: свободный поток данных = рыночная победа.

В исследовательской лаборатории ВМС США (NRL) инженеры ищут способ скрыть IP подлодок. Их решение — луковая маршрутизация — ложится в основу Tor.

Двойная игра государства

Сегодня одни ведомства финансируют Tor, другие требуют «задних дверей». Технологии, рождённые для шпионажа, стали инструментом сопротивления цензуре и массовой слежке.

• @neilv использовал Tor для скрытого мониторинга международной торговой площадки, выбирая выходные узлы под нужные регионы.
• @palsecam и @jmclnx рассказали, что запускать ретранслятор или bridge дёшево (VPS за $5) и безопасно, помогая обходить цензуру.
• Некоторые считают Tor «мертвым» или скомпрометированным; другие советуют прятаться в толпе, использовать VPN, residential-прокси или переходить на i2p.
• Книга «Tor: From the Dark Web to Your Browser» доступна бесплатно от MIT Press и получила положительные отзывы.
• Основные советы по безопасности: брать Tails на флешке, не ставить расширений в Tor Browser, не логиниться личными данными.

Криптография для полицейских и военных радиостанций оказалась уязвима

Исследователи из Университета Кентукки и Университета штата Джорджия обнаружили, что алгоритм ADP (Advanced Digital Privacy), который используется в радиостанциях марок BK Technologies, EF Johnson, Relm, Tait и других, можно взломать менее чем за минуту на обычном ноутбуке.

ADP защищает переговоры полиции, армии и спецслужб, но реализует «шифрование» лишь 32-битным XOR-потоком, что делает его фактически небезопасным. Уязвимость позволяет злоумышленнику:

• Слушать переговоры в реальном времени
• Изменять команды и координаты
• Отключать группы или отдельных операторов

Проблема усугубляется тем, что:

• Производители не публикуют спецификации ADP, поэтому пользователи не могут оценить уровень защиты.
• Некоторые модели радиостанций не поддерживают современные стандарты (AES-256, P25), оставляя ADP единственным вариантом.

Эксперты рекомендуют переходить на AES-256 или P25 Phase 2, но это требует замены оборудования и перенастройки инфраструктуры.

• Kevin Mitnick в 90-х глушил полицейские рации, просто зажимая кнопку передачи; сегодня такое не пройдёт из-за P25-транкинга.
• P25 и TETRA имеют уязвимости: от «on-demand» трекинга до 56-битных ключей и закрытых алгоритмов.
• В США до недавнего времени большинство переговоров шло в открытом виде, и жители жаловались на переход к шифрованию.
• Некоторые участники описывают, как легко искать MAC-адреса полицейских ноутбуков или использовать SDR-донглы и дроны для мониторинга.
• Общий вывод: безопасность радиосвязи часто рассматривалась как пунктик, а не базовое требование, и теперь это даёт сбой.

This pops up every few years, and I bet once it gets in it never goes away. It seems asymmetric that one side only has to win once to win permanently while the other side has to win constantly. Is there any mechanism to stop this in the EU and make this kind of legislation explic