Telegram’s end-to-end encryption is vulnerable to sophisticated attacks that could enable large-scale surveillance. Researchers demonstrated that an attacker can exploit weaknesses in Telegram’s MTProto2.0 protocol to recover encryption keys with high probability using relatively few queries. This attack leverages the protocol’s padding mechanism, highlighting a critical design flaw. While official clients may be safer due to open-source scrutiny, third-party clients could be compromised, making this a significant threat. The study also proposes a simple fix to the padding mechanism that would mitigate this risk, suggesting that Telegram’s current encryption needs urgent revision to prevent potential state-level exploitation.

• Обсуждение охватывает уязвимости и риски безопасности в Telegram, особенно в отношении шифрования и возможных бэкдоров.
• Подчеркивается, что атаки требуют скомпрометированного клиента, что значительно снижает непосредственную угрозу для большинства пользователей.
• Отмечается, что сквозное шифрование (E2E) в Telegram по умолчанию отключено для большинства чатов, что увеличивает риски.
• Указывается, что существуют критические уязвимости в реализации шифрования Telegram (MTProto), делая его менее надежным по сравнению с конкурентами.
• Подчеркивается, что даже при использовании E2E, архитектура "клиент-сервер" и зависимость от доверенного сервера представляют фундаментальные риски.

Медленные социальные сети

Люди часто думают, что я ненавижу социальные сети. И их можно понять: я открыто критикую современные платформы и их влияние на людей и общество, а в 2019 году удалил все свои аккаунты.

Однако сама идея соцсетей мне близка: оставаться на связи с теми, кто вам дорог. Проблема в том, что нынешний формат искажён и антисоциален. Вместо укрепления связей эти рекламные контент-мельницы designed, чтобы удерживать внимание, усиливать одиночество и неудовлетворённость. Когда TikTok показал, что короткие видео с алгоритмом рекомендаций — это цифровой наркотик, остальные платформы тут же скопировали эту формулу.

Meta превратила Instagram и Facebook из инструментов общения в бесконечный скроллинг случайного контента. Даже Pinterest стал походить на TikTok! Компании следуют за вовлечённостью, игнорируя реальные предпочтения пользователей. Я убеждён, что любая коммерческая соцсеть со временем деградирует в рекомендательную медиасреду.

Многие не осознают, что они — продукт. Instagram создан для маркетологов, знаменитостей, политиков, а не для вас. Он эксплуатирует вашу неуверенность и тревожность. Общество и политика трещат по швам, чтобы фитнес-инфлюенсер мог продать вам программу «Пресс за 30 дней». Это квинтэссенция позднего капитализма.

Каким же мог бы быть не-зловещий аналог? Идеал — чтобы все вели блоги и подписывались через RSS. Но это не масштабируется: не каждый готов писать тексты длиннее 255 символов. Многие мои друзья не знают о моём блоге или RSS.

Поэтому давайте спроектируем гипотетическую платформу, которая сохранит хорошие черты соцсетей, но создаст просоциальные стимулы. Она должна быть о:

• Общении с друзьями и близкими
• Реальной связи
• Укреплении отношений
• Осмысленном взаимодействии

И не должна касаться:

• Сбора подписчиков
• Самопродвижения
• Рекламы
• Коротких видео и развлечений

Как только появляется коммерческий интерес, он берёт верх. Механизм «подписчиков» — часть проблемы. Предлагаю вернуться к симметричной системе «друзей», где оба участника подтверждают связь. «Подписчики» нужны только для эго или финансовой выгоды, порождая парасоциальные отношения.

Также стоит ввести лимит на число друзей — например, 300. Больше — это уже коллекционирование, а не общение. Это устранит 90% маркетингового интереса.

Второй ключевой элемент — хронологическая лента постов от друзей. Так платформа станет инструментом для отслеживания жизни близких, а не двигателем вовлечённости. Важно, что у ленты будет естественный конец — просмотренные посты. Пагинация гуманнее бесконечного скролла: она даёт паузу для принятия решения о продолжении.

Наконец, стоит ограничить число постов в день — скажем, 5. Это позволит сохранять осознанность публикаций и не захламлять ленту.

Остальные функции можно оптимизировать для удобства: что-то между старыми Instagram и Twitter, с комментариями и реакциями. Никаких рилов или рекомендательных систем. И никакой аналитики — она ориентирует на охват, а не на связь.

Ожидаю ли я успеха такой платформы? Не по традиционным меркам. В реальном мире она будет существовать рядом с контент-мельницами, которые designed для вовлечения. Возможно, она сработает в нишевых группах или среди тех, кто устал от текущих платформ.

Проект нужно как-то финансировать. К сожалению, немногие готовы платить $5 в месяц за софт, даже если используют его ежедневно. Но подозреваю, что такая платформа может быть управляемой и рентабельной для небольшой команды — возможно, на донатах.

• Предлагается ввести ограничения для социальных сетей: лимит на число друзей (~300), количество постов в день и обязательное ежегодное взаимодействие для поддержания связи.
• Обсуждаются существующие альтернативы: закрытые платформы (Discord, форумы), децентрализованные решения (Mastodon, Scuttlebutt, Nostr) и нишевые сервисы (микроблоги, Slowly, Peergos).
• Отмечается, что монетизация через внимание и алгоритмы рекомендаций коммерческих платформ противоречит целям искреннего социального взаимодействия.
• Подчеркивается важность хронологической ленты без алгоритмов, отсутствия счетчиков лайков и акцента на приватность в небольших группах.
• Признается сложность преодоления сетевого эффекта крупных платформ и необходимость регуляции или изменения пользовательских привычек.
• Высказывается мнение, что люди используют мессенджеры (WhatsApp, Telegram) и группы по интересам для медленного и осмысленного общения.
• Указывается на ностальгию по ранним социальным сетям (Friendster, LiveJournal) и желание вернуть фокус на близкий круг общения, а не виральный контент.

• Атакующий случайно раскрыл свою инфраструктуру: оставил открытым Git-репозиторий с исходниками вредоноса, скриптами и конфигами.
• Внутри: Python-стиллер, нацеленный на браузеры, крипто-кошельки, 2FA; обфускация через pyarmor; авто-апдейт через Telegram.
• Следы ведут в русскоязычное комьюнити: комментарии, ники, форумы.
• Уязвимость в C2 позволила аналитикам Huntress скачать 30 ГБ логов жертв: пароли, cookies, крипто-сид-фразы.
• Ошибка раскрыла 1 800+ уникальных пользователей за 3 месяца; сам стиллер активен с 2023.
• Huntress заблокировал домены и передала IOC партнёрам; инцидент подчёркивает ценность мониторинга «мелких» endpoint-угроз.

• Huntress — это EDR-решение для компаний, которое ставит агент на каждый корпоративный ПК и передаёт в SOC-отдел логи браузера, процессов, hostname и файлы.
• Пользователи возмущены: «устанавливать продукт безопасности = дать поставщику полный доступ к истории и данным».
• Сам пост — история «случайно пойманного» злоумышленника, который сам установил триальный агент Huntress на свою «хакерскую» машину; компания узнала его по старому hostname и опубликовала разбор действий.
• Критики считают это саморекламой и примером «шпионажа за клиентами»; вендор отвечает: «анализируем только подозрительное, логи доступны заказчику, нужно для расследований».
• Комментаторы напоминают: в больших компаниях подобные EDR-инструменты (CrowdStrike, SentinelOne и др.) стоят на каждом ПК де-факто, просто обычно об этом не пишут посты.

• Непал блокирует Facebook, X, YouTube и др. за отказ регистрироваться в стране.
• Платформы должны были до среды указать локального представителя и модератора.
• Из 10 крупнейших лишь TikTok и Viber оформились; остальным грозит отключение.
• Правозащитники: «внезапное закрытие удар по свободе слова».

• Непал заблокировал 26 популярных соцсетей и мессенджеров (Meta, YouTube, Signal, Reddit и др.), требуя от компаний зарегистрироваться и назначить локального представителя.
• Блокировка пока DNS-уровня: смена DNS или VPN открывает доступ, но уже появляются IP-блоки (Telegram).
• Мнения разделились: кто-то считает мерой защиты от «цифрового госпереворота» и вреда психике, кто-то — авторитарным цензурированием и нарушением свободы слова.
• Часть пользователей рада избавлению от «алгоритмичного трэша» и призывает другие страны последовать примеру; другие опасаются погони за VPN и дальнейшей цензуры.

• ICE получает доступ к израильскому шпионскому ПО Paragon Graphite, способному взламывать iPhone и Android без взаимодействия с жертвой и читать переписку в WhatsApp, Signal, Telegram.
• Контракт на 8 млн $ подписан в 2024 г.; ПО использует уязвимости ОС, а не «бэкдоры» мессенджеров.
• Paragon основана бывшими сотрудниками NSO Group; Graphite позиционируется как инструмент «борьбы с преступностью».
• Критика: правозащитники и конгрессмены беспокоятся о массовом надзоре и отсутствии прозрачности; ICE ранее применяла NSO Pegasus.
• Данные: ICE купила 40 лицензий, но не раскрывает, как и против кого использует технологию.

• Правительство США вынуждено покупать шпионские технологии у частных компаний, потому что NSA не может (или не хочет) использовать свои 0-day против граждан.
• Paragon утверждает, что продаёт Graphite «только демократиям» и якобы не знает, как клиенты используют шпионку, что вызывает скепсис.
• Уязвимости обычно заходят через WhatsApp/Signal, SMS/MMS и браузеры; Lockdown Mode может частично защитить, но не гарантирует безопасность.
• Обсуждаются связи Paragon с бывшими политиками и инвесторами из окружения Эпштейна, что усиливает недоверие.
• Участники предлагают переход на децентрализованные приложения и отказ от локального хранения данных, но сомневаются в реальности такого сценария.

Схема «бездушного» казино
Новый русскоязычный партнёрский проект Gambler Panel («бездушный, создан для прибыли») за месяц породил сотни фальшивых гемблинг-сайтов.

Как работает

• В соцсетях крутят рекламу с «промокодом на $2 500» и именами звёзд.
• Пользователи регистрируются, «выигрывают», но для вывода требуют «верификационный депозит» ≈ $100 в крипте.
• После пополнения жертву уговаривают играть дальше и вливать ещё; в итоге всё теряется.

Gambler Panel

• Даёт готовый движок «фейкового казино», инструкции, шаблоны постов для Instagram/TikTok.
• Обещает партнёрам до 70 % прибыли и минимум $10 за каждый депозит.
• 20 000+ партнёров, вступление через Telegram-канал (~2 500 активных).
• География: любой трафик, кроме стран СНГ.

• Предложено создать децентрализованный протокол MVM, который вычисляет «скам-рейтинг» сайтов по движению денег и, как DNS, помечает мошенников по всему миру.
• Обсуждение быстро свелось к тому, что без регуляции всё стремится к скаму, а крипта и гемблинг лишь ускоряют процесс.
• Примером стала Yotta от YC: обещала FDIC-страховку, потеряла $112 млн вкладов и теперь работает как криптоказино.
• Вывод: YC называют «фабрикой скамов», где изредка вырастает реальный бизнес.

clearcam — добавляет к любой RTSP-камере или iPhone детекцию, трекинг объектов и push-уведомления.
Работает на Raspberry Pi, Linux, macOS, Windows; Python 3.8+.

Ключевые функции

• Детекция людей, животных, машин, посылок (YOLOv8).
• Трекинг объектов между кадрами.
• Уведомления в iOS/Android (Firebase).
• Запись коротких клипов при событии.
• Web-интерфейс для просмотра и настройки.

Быстрый старт

git clone https://github.com/roryclear/clearcam
cd clearcam
pip install -r requirements.txt
python clearcam.py --source rtsp://user:pass@ip/stream

Настройка

• config.yaml: камеры, классы объектов, чувствительность, токен Firebase.
• Telegram-бот для команд «/arm», «/disarm».

Примеры

• Дом: уведомление, если кто-то вошёл во двор.
• Офис: отслеживание доставленных посылок.

• Обсуждали два решения: новый проект Clearcam и известный Frigate; Clearcam проще ставится, но удалённый просмотр и уведомления требуют подписки, тогда как у Frigate всё бесплатно.
• Пользователей смущает, что Android-версия Clearcam пока требует регистрации через iOS и Apple Pay.
• Ищут камеры без шпионского ПО: советуют Axis, Reolink, Ubiquiti, а также самоделки на open-source прошивке Thingino.
• Разбирались, как детектировать машины, не остановившиеся у знака «стоп»: предложили измерять скорость между двумя точками и задавать порог.
• Выяснили, что термин «CCTV» всё ещё используют для любых камер наблюдения, хотя технически это уже IP-видео.

В даркнете появилась модифицированная прошивка для Flipper Zero, которая обходит защиту rolling-code у гаражных ворот и автомобильных сигнализаций.

Прошивка «Shadow Code» перехватывает и «замораживает» текущий код, позволяя злоумышленнику повторно активировать систему без подбора следующего значения. Работает на частотах 433/868 МГц, совместима с Keeloq, KeeLoq HCS и аналогичными протоколами.

Разработчики утверждают, что эксплойт не требует физического доступа к брелку: достаточно одного перехваченного пакета. Прошивка распространяется через закрытые Telegram-каналы и даркнет-форумы за криптовалюту.

Специалисты по ИБ рекомендуют обновить прошивку своих систем до последней версии, включить двухфакторную аутентификацию (где поддерживается) и использовать шлюзы с временными окнами активации, чтобы минимизировать риск повторного использования кода.

• Уязвимость в системах с динамическим кодом KeeLoq позволяет по одному нажатию кнопки ключа клонировать все функции брелка, если известен «производственный ключ».
• Пользователи обсуждают, что из-за атаки оригинальный брелок рассинхронизируется и перестаёт работать, что может быть использовано как акт вандализма.
• Многие считают бесключевой запуск и удалённое открытие машины избыточным риском, предпочитая физический ключ или многофакторную защиту.
• Упоминается, что производители (особенно Hyundai/Kia) могут выигрывать от краж, так как страховые выплаты приводят к продаже новых машин.
• Некоторые производители (Chevrolet, Toyota, Honda, Nissan) в списке уязвимых не фигурируют — возможно, используют другие протоколы или просто не тестировались.