Экспромт хорош тогда, когда хорошо подготовлен

Немецкая спецслужба BSI (Федеральное управление по информационной безопасности) продолжает свой проект Sisyphus по изучению телеметрии Windows 10.

За время, прошедшее после публикации последнего отчёта, немцы разработали собственную утилиту с открытым исходным кодом — System Activity Monitor — которая позволяет подключаться к ETW-провайдерам (компонентам первичного сбора телеметрической информации, работающим как в ядре, так и в юзерспейсе) и осуществлять запись потока событий в формате, удобном для последующего анализа.

В самой Windows 10 сбор телеметрии настраивается (на низком уровне) через конфигурационный файл-профиль (%ProgramData%\Microsoft\Diagnosis\DownloadedSetttings\utc.app.json). Этот профиль перечисляет все источники событий (ЕTW-провайдеры), которые должны быть включены, и отличается в зависимости от сборки и редакции Windows, заданного в настройках уровня собираемой телеметрии, языка и региона (Microsoft может создавать конфигурации для конкретных регионов, например, в зависимости от применимых законов о защите данных). Может, бывают индивидуальные профили для "особо интересных" пользователей, не знаю. Например, на моей тестовой виртуальной машине, куда установлена чистая Windows 10 Pro на основе ISO-файла из MSDN, в этом файле 422 провайдера на уровне телеметрии "Full" и 410 провайдеров на уровне телеметрии "Basic". Как видите, Microsoft уважает ваши настройки конфиденциальности в Windows 10.

Утитита SAM от BSI позволяет выбирать "индивидуальные пункты меню" при построении профиля слежки за пользователем, с целью изучения того, как оно работает по отдельности; плюс содержит удобные средства для десериализации собранных событий, их преобразования в открытый формат, с целью последующего анализа, например в Logstash, ElasticSearch и Kibana. Короче, это консольная утилита для работы с профилями и первичного преобразования потока собираемых ЕTW-событий.

Ссылки:
1. Общее описание на немецком
2. PDF-файл с примерами на английском
3. System Activity Monitor (исходные коды на C++, а также установщик)

В продолжение темы грамотного собаководства (1, 2, 3, 4, 5, 6, 7, 8, 9).

Сам факт наличия особых, свободных от телеметрии и бэкдоров, редакций десятой винды для правительств (Windows 10 China Government Edition, Windows 10 Enterprise G/GN) и для специальных применений (Azure Stack HCI), реконструированные сборки которых можно скачать, например, в непубличных разделах форума MyDigitalLife, наводит на соображения о том, что ленивым мелкомягким индусским жопам было бы влом поддерживать две совершенно разных винды (одну для лохов, другую для нормальных пацанов), и что отличается нормальная винда от лоховской, в общем-то не сильно, лишь набором компонент, да настройками в реестре.

Изучение разницы между утёкшей в паблик редакцией Windows 10 China Government Edition и обычной китайской редакцией Windows 10 позволило умельцам с форума mydigitallife.info создать скрипты для построения китайской правительственной редакции Windows 10 на основе файлов Windows 10 для обычных китайцев, а применение этих скриптов к обычной редакции Windows 10 Pro порождает редакцию для западных правительств, называемую Windows 10 Enterprise G (или нечто, на неё максимально похожее — достоверно подтвердить нельзя, т.к. утечек официального установочного ISO-файла Windows 10 Enterprise G/GN ещё не было).

Опираясь на эти результаты и продолжая наблюдать за сетевой активностью полученного уродца, другие кулибины (ameliorated.info) предлагают своё решение — изрядно обкусанную десятку, в которой часть компонент вырезана, часть заменена заглушками, а также вся шпионская дрянь, насколько это возможно, отключена настройками в реестре и в Group Policy. Предлагается два варианта на выбор: скачать готовый ISO-шник (для смелых) или набор скриптов для его создания на основе официального установочного ISO-шника Windows 10 Pro из MSDN. Готовые ISO-шники эта команда распространяет торрентами через Телегу, чтобы не подставлять свой домен под удар закона DMCA и юристов из Microsoft.

Мелкомягкие тролли в пабликах разных форумов наподобие HN на говно исходят, ругая Ameliorated-редакцию за отключённость автоматических обновлений, а значит, "сапоги хорошие, надо брать" — подумал я и ради интереса установил Ameliorated-редакцию Windows 10 (версию от 2020-10-31) в виртуальную машину с записью трафика, как описано здесь.

По итогам наблюдения за её сетевой активностью в течении нескольких месяцев, хочу отметить, что она не идеально герметична, но близко к тому (гораздо лучше, чем то, чего можно достичь самостоятельно путём выкусывания "всего ненужного" и путём настройки Group Policy в обычной Windows 10 Pro с помощью NTLite). В сочетании с Henry++ Simplewall, сетевую активность Ameliorated-редакции Windows 10 вполне можно, так сказать, загнать в рамки приличия, сделать эквивалентной сетевой активности Windows 7 — остаются только запросы к time.windows.com, msftncsi.com и CRL/OCSP-запросы наподобие ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab (которые, при желании, можно отключить настройками Group Policy для Crypto API).

Наблюдая за сетевой активностью этой винды с этим файерволлом, я добавил только несколько записей 0.0.0.0 в файл C:\Windows\System32\drivers\etc\hosts: для settings-win.data.microsoft.com, для displaycatalog.mp.microsoft.com и fs.microsoft.com. По сравнению с тысячами доменов обычной десятки — это, как говорится, небо и земля. Посмотрим, что будет дальше.

Какой-то хобот завернул свою малварь в самораспаковывающийся архив, созданный с помощью WinRAR, далее информация о детекции этой малвари распространилась между 60+ вендорами антималвари через VirusTotal (из которых добрая половина — китайский ноунейм), а в кульминационный момент этой драмы какой-то овощ из CA (certificate authority: контора, которая выдаёт вендорам софта сертификаты для цифровой подписи кода) отозвал сертификат, которым подписывается WinRAR. То есть включил этот сертификат в CRL (certificate revocation list, список отозванных сертификатов).

В итоге, программа WinRAR последней версии не запускается и не устанавливается нигде, она перестала работать на всех компьютерах в мире. А далее драма переходит в фарс: овощи из CA полностью выпадают на мороз ("пока не решите проблему с VirusTotal, нового сертификата не будет"), в результате чего авторы WinRAR почему-то паникуют, поддаются на вымогательство и быстренько бегут покупать аналогичный сертификат для подписи кода у других подобных скаммерсантов.

https://web.archive.org/web/20200827101709/https://www.rarlab.com/revoked591.html

Хотя наиболее логичным на месте авторов WinRAR было бы послать всех этих CA-шантажистов к хуям собачьим и просто-напросто перестать подписывать свою программу вообще, даже если все сертификаты для подписи кода будут полностью на шару а-ля LetsEncrypt. Пущай юзвери-хомячки дрессируются на прокликивание ворнингов, нефик вендорам софта поощрять это CA-вымогательство.

WinRAR находится на таком уровне, что он сам вправе требовать от этой CA-шпаны оплату на уровне не менее $1000 в месяц за привилегию предоставить ему сертификат для подписи кода, и при этом ещё и ломать комедию и придираться к ерундовым мелочам.

vlmcsd — хороший, годный open source эмулятор майкрософтовского KMS-сервера (лекарство для десятой винды, установленной из оригинальных MSDN-образов, которое должно постоянно присутствовать в локальной сети). Юзер с github'а под ником mchome даже сделал соответствующий пакет для роутеров с прошивкой OpenWrt, чтобы не надо было париться с поднятием отдельного "большого" Linux-сервера в локальной сети: https://github.com/mchome/openwrt-vlmcsd (via henry_flower).

Сам я десятую винду считаю малварью и не практикую ни в каком виде, но документирую всякие полезные мелочи, чтоб, если вдруг придётся, то всё было по последним советам лучших собаководов.

Valve выкатила в продакшн свежее решение для запуска Windows-игр в Linux под названием Proton. Основано на Wine, а ключевое отличие заключается в использовании DXVK, эмулятора DirectX поверх Vulkan API. Valve даже наняла разработчика DXVK на фуллтайм для работы над этим проектом.

https://news.ycombinator.com/item?id=17815892
https://www.phoronix.com/scan.php?page=news_item&px=Valve-Steam-Play-Proton-Linux
https://github.com/ValveSoftware/Proton/
https://github.com/doitsujin/dxvk/

Очевидно, что стратегическая цель Valve — обеспечить максимально широкую совместимость платформы Steam с платформой Win32. GDI, winsock, потоки, файлы, реестр, звук, ввод — всё это уже было в Wine, а вот с 3D-графикой была беда. Посмотрим, что получится в этот раз. Конечно, любые разговоры о поддержке 3D-графики стали возможными только со стабилизацией линуксового API для 3D-графики в форме Vulkan, что случилось совсем недавно. Понадобится ещё некоторое время для стабилизации драйверов и для реализации поддержки старых версий DirectX.

https://github.com/doitsujin/dxvk/issues/551
https://github.com/doitsujin/dxvk/pull/541

Наблюдать за тем, как RSS-читалки RssOwl и FeedDemon превозмогают недостатки встроенного в винду недобраузера — по-настоящему больно. То WININET.DLL не поддерживает TLS 1.3, то Internet Explorer 8 не может нормально отрендерить какую-то очередную хипстерскую ерунду из новейших стандартов HTML (поддержка которой месяц назад появилась в Chrome и Firefox, и через месяц будет удалена), то всё время лезут какие-то бредовые сообщения о смешанном содержимом http/https, то серверный вариант Internet Explorer'а не хочет загружать содержимое с очередного неизвестного ему домена (под ОС Windows Server всех версий IE требует whitelisting'а всех посещаемых доменов, даже если не запускать IE напрямую, а интегрировать его движок Trident в другие программы через COM).

В общем, RSS-читалка настолько тесно связана с браузером и его специфическими внутрибраузерными заскоками, а IE — это настолько небраузер, что становится очевидно: нормально работать RSS-читалка может только внутри адекватного браузера. Поскольку браузерный плагин для задачи RSS-агрегации не подходит (некому обновлять фиды в то время, когда браузер не запущен или компьютер выключен, БД rss-агрегатора может быть на несколько порядков больше браузерного профиля), очевидно, что это должен быть некий http-сервер в локальной сети.

Tiny Tiny RSS как раз и является таким сервером. Вопреки названию, эта штука не такая уж и легковесная — ей требуется установленный и настроенный web-сервер, установленная и настроенная СУБД, сервер PHP/FastCGI, а ещё в систему добавляется её собственный демон обновления (ttrssd). Итого — четыре дополнительных демона в /etc/rc.conf и два новых пользователя в /etc/passwd. Также надо уметь писать конфигурационные файлы для web-сервера nginx (с нуля), и будет нелишней способность разбираться в конфигурации php-fpm и postgresql, не говоря уже о шелл-скриптах Unix. Итого — забавы будет на целый вечер, это вам не InstallShield Wizard.

Впрочем, оно того стоило: всё работает, интерфейс удобный и лаконичный, все новейшие web-стандарты поддерживаются, ничего не тормозит и не глючит, никакие личные данные никуда не сливаются — и всё это совершенно бесплатно. tt-rss даже можно подружить с Firefox'ом, чтобы он при открытии новых rss-потоков (на клиенте) предлагал создать на них подписку (на сервере).

Весь мой UNIX experience делится на две части: до того, как я впервые установил терминальный мультиплексор tmux, и после этого.

Первоначальная мотивация к инсталляции программы заключается в том, чтобы обрыв ssh-подключений к серверу не приводил к закрытию подключённых к виртуальному терминалу процессов в результате доставки им сигнала SIGHUP. Затем к хорошим вещам привыкаешь быстро: можно оставить на ночь на сервере любую долго выполняющуюся задачу (инсталляцию, компиляцию, обновление, ...); можно экономить мобильный трафик и время, не передавая ssh-клиенту весь тот мусор, который выдаётся на экран во время выполнения таких задач; можно держать постоянно открытые окна для мониторинга состояния сервера (top, iftop); можно легко и удобно менять клиентские устройства, не прерывая серверный контекст; можно даже видеть один и тот же экран и суммировать клавиатурный ввод при подключении с нескольких устройств.

Обычно советы для новичков сводятся к чтению объёмной manual page и запоминанию многочисленных клавиатурных комбинаций, но как по мне — это лишнее. Начать следует с самого простого:

~/.tmux.conf:

set -g status-fg white
set -g status-bg red
set -g prefix C-a
unbind C-b
bind C-a send-prefix
set -g base-index 1

~/.bash_profile:

if [ $TERM = "xterm" ]; then
 ( (tmux has-session -t remote && tmux attach-session -t remote) || \
   (tmux new-session -s remote) ) && exit 0
 echo "tmux failed to start"
fi
if [ $TERM = "screen" ]; then
 clear
 cat /etc/motd
fi

А далее запомнить только три комбинации:
"Ctrl+A цифра" переключает окна
"Ctrl+A C" создаёт новое окно
"Ctrl+A D" отсоединяет от сервера (без потери контекста на сервере)

Большего мне не понадобилось и через пять лет после начала использования программы. Может, я использую 1% возможностей tmux, но этого вполне достаточно, чтобы повысить удобство удалённого администрирования в разы.

Программа для генерации больших растровых изображений, локально подобных малому исходному изображению:

https://github.com/mxgmn/WaveFunctionCollapse

Ключевые идеи:
– распределение паттернов в квадратных блоках исходного изображения совпадает с распределением паттернов в таких же квадратных блоках результирующего изображения (достаточно большого размера)
– такие распределения становятся гораздо более точными, если учесть инвариантность самых маленьких плиток относительно вращений и отражений (диэдральная группа D4)
– алгоритм постоянно стремится минимизировать Шэнноновскую энтропию (авторы называют это "коллапс волновой функции"

Bitmessage — первый шифрочятик, который способен шифровать метаданные (кому, от кого, когда, сколько байт).
https://en.wikipedia.org/wiki/Bitmessage

Технически, в DHT-сети содержится пул сообщений за последние 48 часов, зашифрованных публичными ключами. Хэш публичного ключа = сетевой адрес получателя сообщения. Приватные ключи, необходимые для расшифровки, локально хранятся у клиентов и не передаются в сеть. Для DDoS'оустойчивости применяется proof-of-work на хэшах, наподобие биткойновского.

UPD. Идея хорошая, но есть проблемы с реализацией — память течёт, и приложение периодически падает (32-битная версия) или заставляет систему грызть своп и всё равно падает (64-битная версия). Вдобавок ко всему, ещё и на Питоне. Если было написано на чистом Си — можно было бы применить Intel Inspector XE, а так хз, что там течёт — рантайм Питона, Питоновские библиотеки, или сама программа. Не наши проблемы, пусть автор сам разбирается во всём этом великолепии :)

Некоторые сцайты любят гадить в буфер обмена — добавлять "подробнее " и ссылку на страницу при нажатии Ctrl+C, или очищать буфер обмена по тому же событию, по сути мешая копировать текст с сайта в буфер обмена.

Разумеется, эти и многие другие последствия шаловливости рук чрезмерно инициативных погромистов легко лечатся отключением JavaScript'а кнопкой, которая всегда на виду (браузерный аддон JS Switch), но всё же, это очень неудобно — каждый раз нажимать эту чёртову кнопку и перезагружать страницу.

Особенно это раздражает при копировании небольших текстов — таких как код изделия или цена — с сайтов интернет-магазинов.

Есть лучший способ — раз и навсегда отучить все сайты от загаживания буфера обмена:
about:config -> dom.event.clipboardevents.enable = false

Попутно можно отключить перехват сайтами контекстного меню, которое открывается кликом правой клавиши мыши:
about:config -> dom.event.contextmenu.enable = false

А ещё есть полезный плагин YesScript, позволяющий запрещать/разрешать JavaScript не глобально на весь браузер, а индивидуально для каждого домена. Если какой-то сайт начинает наглеть (срёт в буфер обмена, мельтешит всплывающими окнами, воспроизводит звук, рисует на фоне страницы какой-то снег и тому подобный бред) — нажимаем на значок белого свитка (который сразу чёрнеет), обновляем страницу и дело в шляпе. "Научишься плавать — тогда и воду в бассейн нальём." (c)