Дмитрий Крымский

Дмитрий Крымский написал
26 янв. в 09:04 (ред.)

Олды вспомнят.

DIMONCHIK 064 🇷🇺 опубликовали
26 янв. в 09:01 (ред.)

Старый логотип канала Daniel Myslivets это:

Старый логотип канала Daniel Myslivets это: (00:45)

Дмитрий Крымский написал
23 янв. в 16:24

DIMONCHIK 064 🇷🇺 опубликовали
23 янв. в 16:23

Школьник раскрыл гигантскую уязвимость в мессенджерах. Под угрозой миллиарды людей по всей планете. Россияне частично в безопасности

15-летний исследователь безопасности выявил уязвимость в платформе Cloudflare, благодаря которой можно устанавливать местоположение пользователей мессенджеров. У этих сервисов миллиарды пользователей, и теперь их приватность под угрозой. Часть из них заблокированы в России.

Никакой приватности

15-летний исследователь безопасности под псевдонимом hackermondev, называющий себя Дэниэлом (Daniel), выявил гигантскую брешь в экосистеме Cloudflare. Он обнаружил ее в системе доставки контента (Content Delivery Network, CDN) этой компании и установил, что с ее помощью можно отслеживать местоположение пользователей мессенджеров.

У hackermondev есть свой профиль на GitHub, где он и изложил суть проблемы. По его словам, при помощи CDN Cloudflare можно точно определять, какой именно дата-центр используют мессенджеры для кэширования изображений, получаемых или отправляемых теми или иными пользователями. На основе этой информации можно устанавливать местоположение этих людей – конечно, приблизительное, но существенно сужающее зону поиска для тех, кто хочет вычислить место дислокации конкретного человека.

С заботой о россиянах

В своем блоге на GitHub hackermondev написал, что найденная им брешь в Cloudflare позволяет отслеживать местоположение пользователей целого множества сервисов. В качестве примера он привел социальную сеть Х, ранее известную как Twitter, а также мессенджеры Discord и Signal. Последний считается одним из самых защищенных в мире.

Каждый из этих трех сервисов к моменту выхода материала был недоступен для россиян без применения известных всем жителям страны технологий. Их в разное время заблокировал Роскомнадзор, так что, можно сказать, россияне частично защищены от потенциальной слежки через «дыру» в сети доставки контента Cloudflare.

Международный сервис отслеживания граждан

Hackermondev, также располагающий профилем на платформе для исследователей безопасности HackerOne, написал, что Cloudflare имеет обширное глобальное присутствие с сотнями дата-центров в 330 городах в более чем 120 странах мира. По его словам, у нее в 2,7 раза больше дата-центров, нежели у Google.

Он подчеркнул, что с высокой степенью вероятности ближайший ЦОД Cloudflare находится на расстоянии менее 160 километров от текущего местоположения жителя любой относительно развитой страны. Для неразвитых стран это расстояние примерно вдвое больше.

CDN Cloudflare – самая популярная в мире, она опережает всех конкурентов, включая Sucuri, Amazon CloudFront, Akamai и Fastly, пишет hackermondev. «Несколько месяцев назад меня осенило: если Cloudflare хранит кэшированные данные так близко к пользователям, можно ли это использовать для атак по деанонимизации на сайты, которые мы не контролируем», – написал hackermondev. Затем он провел серию экспериментов, которые наглядно показали, что это более чем действенный метод слежки. Иной раз злоумышленнику достаточно просто отправить изображение потенциальной жертве и взамен за пару мгновений получить приблизительное место ее расположения.

В два клика

В ходе экспериментов hackermondev установил местоположение ряда пользователей вплоть до города, где они в тот момент находились.

15-летний школьник создал собственное мини-ПО Cloudflare Teleport, при помощи которого отслеживал путь отправляемого им изображения до конечного дата-центра Cloudflare. Также он использовал софт Burp Suite.

Сам по себе факт того, что Cloudflare позволяет запросто установить примерное место дислокации миллиардов людей по всему миру, очень важен. Но еще более важно то, что потенциальному объекту слежки даже не нужно открывать сообщение с изображением – даже если на экране его устройства высветилось уведомление, этого уже достаточно для отслеживания.

Пока гром не грянет

К моменту выхода материала не было известно, как часто киберпреступники пользовались выявленной hackermondev «недокументированной функцией» CDN Cloudflare. При этом сама Cloudflare, как оказалось, была отлично осведомлена о проблеме как минимум в течение года, но ничего не предприняла для ее решения.

По словам hackermondev, первым об уязвимости Cloudflare уведомил другой ИБ-специалист с платформы HackerOne, но компания никак не отреагировала на него. Лишь после публикации hackermondev информации в интернете Cloudflare снизошла до сотрудничества.

Компания восстановила отчет другого участника HackerOne, устранила выявленную им брешь в своей сети и заплатила ему $200 (19,8 тыс. руб. по курсу ЦБ на 23 января 2025 г.). Аналогичную сумму получил и hackermondev.

Работы еще очень много

После исправления уязвимости с CDN Cloudflare хакер hackermondev нашел новую «дыру» в ней. Он переписал код своего инструмента Cloudflare Teleport, добавив в него поддержку сервисов с названием из трех букв, используемых россиянами для получения доступа в полноценный интернет. Это вновь открыло ему возможность отслеживать пользователей, но на этот раз в вдвое меньших масштабах – он смог «дотянуться» до 54% дата-центров Cloudflare.

Неутешительные выводы

Потенциал эксплуатации CDN Cloudflare с использованием атаки деанонимизации значителен, особенно для журналистов, активистов и людей, заботящихся о конфиденциальности, написал hackermondev в своем блоге. По его словам. Атака использует фундаментальные решения проектирования в системах кэширования и push-уведомлений, демонстрируя, как инфраструктура, призванная повышать производительность, может быть использована для инвазивного отслеживания.

Хотя Cloudflare исправил ошибку Teleport, а некоторые сервисы, включая Discord и Signal, реализовали меры по смягчению последствий атаки, основные риски все же остаются. «Любое приложение, использующее CDN для доставки контента и кэширования, может быть уязвимым, если не принять надлежащие меры предосторожности», – подытожил hackermondev.

Источник: safe.cnews.ru/news/top/2025-01-23_shkolnik_raskryl_gigantskuyu

Дмитрий Крымский написал
23 янв. в 11:25

Тыц-пыздыц! ВКентах - всё, сдох!

Дмитрий Крымский написал
23 янв. в 10:15

Крымские мемы опубликовали
23 янв. в 10:06 (ред.)

Старый логотип "Волна" это:

Старый логотип "Волна" это: (00:45)

Дмитрий Крымский написал
22 янв. в 12:37

DIMONCHIK 064 🇷🇺 опубликовали
22 янв. в 12:36 (ред.)

🫣Вымогатели начали использовать нейросети для подделки голосовых сообщений в мессенджерах

Сначала мошенники получают доступ к аккаунту, а затем начинают писать потенциальным жертвам из вашего списка контактов с просьбой перевести деньги. Причем теперь аферисты отправляют голосовые сообщения якобы от вас, созданные на основе нарезок из ваших ранних голосовых сообщений.

Новую схему обмана в Крыму не зафиксировали, но тем не менее, за прошедшую неделю, по данным МВД региона, через интернет-сайты, социальные сети, мессенджеры кибермошенники обманули 15 крымчан.

А умеют ли наши граждане отличать подлинную информацию от фейковой? Ответы в нашей постоянной рубрике #СловоЗаСлово

ВЕСТИ КРЫМ

Слово за слово. Выпуск от 22.01.2025 (02:51)

Источник: t.me/vesticrimea/22349

Дмитрий Крымский написал
22 янв. в 10:04

Дмитрий Крымский написал
21 янв. в 11:12

Я не понял? Что за хуйня?

Дмитрий Крымский написал
21 янв. в 08:58 (ред.)

Короче говоря, видеохостинг PeerVideo, который работает на базе децентрализованной сети PeerTube, заблокировал мне видео с гайдом о том, как обойти замедление YouTube без использования VPN. Он сделал это по требованию РКН. Казалось бы, децентрализованный видеохостинг, есть свобода слова. Но... Роскомнадзор сказал админам ПирВидео заблокировать видео, значит надо заблокировать видео. Сука, даже гайды как обойти замедление YouTube теперь выкладывать туда нельзя. Короче говоря, РКН - контора пидарасов!

Но вы всё ещё можете посмотреть гайд о том, как обойти замедление YouTube без VPN вот здесь: vidik.cc/v/VSe73w

Дмитрий Крымский написал
21 янв. в 06:05

Ребята, я удалил свою страницу на Fetbuk Social, так как соцсеть просто мертва и никто там не активничает и туда не заходит. Зачем мне сидеть в такой соцсети, где активничаю там и захожу туда только я?

Дмитрий Крымский написал
20 янв. в 18:53

DIMONCHIK 064 🇷🇺 опубликовали
20 янв. в 18:53

Новое видео на канале!

Как обойти замедление YouTube без использования VPN

Смотреть: odysee.com/@dima2008:d/Screenrecorder-2025-01-20-15-41-18-426:8?r=GJJHA5taqZvcaHoNYDnMGy3tnuLaa8Qy

Местоимения:	он/его
Семейное положение:	Не выбрано
Дата регистрации:	9 мая 2024 в 20:26
Полит. взгляды:	Консервативные
День рождения:	27 ноября 2008, 16 лет

Электронная почта:	[email protected]
Telegram:	@dimonchik_064
Город:	с. Кринички
Odysee:	https://odysee.com/@dima2008:d?r=GJJHA5taqZvcaHoNYDnMGy3tnuLaa8Qy
Bluesky:	https://bsky.app/profile/dimonchik064.bsky.social
KICQ:	748807614
Microsoft Teams:	https://teams.live.com/l/invite/FEAKTkpGTsealARbwI
Delta Chat:	https://i.delta.chat/#BA72D8F76871AEDBC4B1447CA1AE86D89FEEEA40&a=w21e8kn8h%40nine.testrun.org&n=DIMONCHIK%20064&i=vJ7IzNtoAPu-zz-1Gh-CikIo&s=Cvp2zMYNF1zbZSOnYARO42B0
YouTube:	https://youtube.com/@dimonchik064?si=2Bywem7yLbq44oRw

Интересы:	Политика, общество, экономика, создание контента, новости Крыма, Windows, Android, Крым 90-х и 2000-х, Интернет, и так далее.
Любимая музыка:	Сам не знаю, какая.
Любимые фильмы:	Не смотрю.
Любимые ТВ-шоу:	Я телевизор редко смотрю, и поэтому, я не знаю, какие шоу мне нравятся.
Любимые книги:	Не читаю.
Любимые цитаты:	"Расходимся, нас обманули", "Совпадение? Не думаю!" (© Дмитрий Киселев, 2014), "Че не смеётесь-то? Не смешно, не поняли, да?" (© Владимир Жириновский, 2014), "Это наша земля! И здесь будет наш порядок! Кому не нравится - до свидания! Чемодан, вокзал, Магадан!" (© Владимир Жириновский, 2011), "Надули! Просто нагло обманули!" (© Владимир Путин, 2021), "Нравится, не нравится - терпи, моя красавица. Надо исполнять, по-другому не получится." (© Владимир Путин, 2022), "Никто никогда не вернётся в 2007 год" (© Дмитрий Медведев, 2011), "Ну бред! Ну просто, неадекватнейший бред" (© Анастасия Калугина, 2025)
О себе:	Просто обычный челик, который любит побаловаться в Интернете. :)

Дмитрий (DIMONCHIK 064 🇷🇺) Крымский

Контактная информация

Личная информация