Роман Ашихмин | IT, Security & AI

РИА Новости цитирует Дмитрия Пескова так: Telegram должен выполнить три условия, чтобы его не заблокировали: "Выполнить положения законодательства Российской Федерации, быть на гибком контакте с нашими властями и найти вариант для решения этих проблем, которые стоят". Эта достаточно мягкая формулировка означает примерно такой список задач: 1. Хранение метаданных и логов в РФ Это факты и следы: кто с кем общался, когда, откуда, с какого устройства, что происходило с сообщением. Срок сейчас установлен в 3 года...

По данным реверс-инжиниринга и тестов сообщества, у MAX обнаружен скрытый сетевой модуль. Он нацелен не на переписки, а на выявление использования VPN и сбор сетевых признаков. Что именно описывают исследователи. 1. Детекция VPN на устройстве через системные возможности Android и iOS. 2. Попытка деанонимизации: фоновые обращения к сервисам проверки внешнего IP (Amazon, Yandex и др.). Логика простая: если приложение видит ваш внешний IP, оно может зафиксировать IP-адрес вашего VPN-сервера. 3. Скрытые...

Если вы строите процессы на ChatGPT, закладывайте простой сценарий. Появится реклама. Усилится трекинг. Расширится обмен данными. OpenAI в феврале обновили Privacy Policy. Формулировки стали прямее. Это уже не про “научный продукт”. Это про бигтех-модель монетизации. Что это значит простыми словами. 1. Реклама в бесплатных тарифах В политике прямо описано использование данных для персонализации. Бесплатное будут монетизировать через объявления. 2. Данные будут дополняться “снаружи” В документах закрепили работу с рекламными партнерами...

Меня уже несколько раз спросили про Телегу. Прошерстил интернет и профильные отчеты по этому новому "мессенджеру". Детали там одна интереснее другой. От технических дыр до специфических юридических связей. Делюсь тем, что накопал. Технически это классический прокси. Звонки идут через сервера Одноклассников. Стабильная работа приложения без VPN объясняется просто. Трафик идет через белые узлы, которые лояльны к системам фильтрации РКН. В приложение вшит сертификат одного из федеральных ведомств. Проверку подлинности шифрованного соединения вырезали...

Пароль давно не главный риск. Главный риск это второй фактор, восстановление доступа и телефон, к которому привязана учётка. Если злоумышленник забрал Госуслуги, дальше часто начинается каскад. Номер телефона. Банки. Микрозаймы. Доступ к сервисам от вашего имени. Ниже чеклист, который я бы сделал базовой гигиеной. Для себя и для родственников. 1. Включите вход по одноразовому коду TOTP Это коды из приложения-аутентификатора. Они не приходят по SMS. Их сложнее выманить по телефону. 2. Сразу настройте резерв к TOTP Если вы потеряли телефон, это не всегда потеря доступа...

Многие столкнулись с тем, что Госуслуги на смартфонах начали настойчиво вести к установке мессенджера MAX для подтверждения входа. Минцифры постепенно уходит от SMS как второго фактора. Причина понятная: мошеннические схемы годами заточены под выманивание SMS-кодов у людей, и этот канал слишком часто становится слабым звеном. Но тогда логичный вопрос: зачем навязывать MAX, если есть более безопасные способы подтверждения входа? Проблема решается не установкой очередного мессенджера, а переходом на TOTP...

Сейчас в России можно сделать сервис неработоспособным без объявления полной блокировки. Механика уже знакома по YouTube и WhatsApp. Telegram идет тем же маршрутом. Ключевой элемент инфраструктуры здесь - ТСПУ. Технические средства противодействия угрозам. По сути это DPI (Deep Packet Inspection), оборудование для анализа и фильтрации интернет-трафика на уровне приложений. Проще: оно может распознавать тип соединения и управлять качеством доступа. Что это меняет на практике. 1) Ограничения выглядят как деградация сервиса...

Я выпал из постов на несколько дней. Причина простая. Я копал OpenClaw. Это сейчас самый хайповый AI проект. Это офигенная штука. Если объяснять по-бизнесовому, это не "еще один чат с ИИ". Это личный исполнитель. С памятью. С инструментами. С дисциплиной. Что в этом реально полезно. 1) Утренняя сводка под вас. Я не хочу копаться в новостных сайтах и 10 телеграм каналах. Я хочу получать сводку, заточенную под меня. Проекты. Риски. Сигналы. Письма. Задачи. Контекст. 2) Личный джун программист. Мой OpenClaw уже работает так...

Сотрудники HR любят ChatGPT. Закидывают туда резюме, просят оценить soft skills или сделать саммари. Юристы загружают договоры с фамилиями клиентов для поиска ошибок. Это удобно. Экономит часы работы. Но безопасно ли это для бизнеса? Спойлер: Нет. Если вы делаете это "в лоб". Разберем механику. 1. На чем учится модель По умолчанию ChatGPT сохраняет историю и учится на ваших диалогах. Если вы загрузили базу клиентов или паспортные данные сотрудника, они могут стать частью обучающего набора. Теоретически,...

Собирался писать про ChatGPT. Но жизнь подкинула кейс. Прямо сейчас на мне отработали сложную схему. Это не спам. Это целевой удар (Spear Phishing). Главный инструмент атаки. Юзер-боты. Что такое юзер-бот Простыми словами. Обычный бот это программа. Она пассивна, не может написать вам первой. Ждет нажатия кнопки /start. Юзер-бот это скрипт. Он управляет обычным аккаунтом. Он может написать вам первым. Для вас это выглядит как входящее сообщение от живого контакта или сервиса. На этом строится весь обман...

Выход DeepSeek в 2025 году наделал шума. Рынок трясло от демпинга цен. Сейчас пыль улеглась. Для многих это просто иконка на телефоне. Вы едете в метро, интернет нестабильный, VPN отваливается. А DeepSeek работает. Без иностранных номеров. Без сложных оплат. Это подкупает. 1. Почему это бесплатно У модели есть платный API для разработчиков. Но чат для пользователей остается условно бесплатным. Аттракцион щедрости оплачивает китайский хедж-фонд High-Flyer. Их цель не ваши 20 долларов за подписку...

Ваш пароль мог утечь пять лет назад, а вы пользуетесь им сегодня: проверьте это безопасно. В одном из прошлых постов я писал про проверку утечек ваших данных. Самому это сделать сложно, впн, странные сайты, регистрации. Решил перевести теорию в практику. Теперь проще. Я написал своего цифрового ассистента. Зовут Дженни. Сразу обозначу. Это не инструмент для "пробива" или слежки - это незаконно. Это инструмент личного аудита. Он показывает, где ваши данные уже стали публичными. Чтобы вы успели закрыть дыры...