[Alien]

@alien

GNU/Linux and FOSS enthusiast, information security professional, DevOps engineer, PC gamer

3,050 words

https://darkn.space/~alien @alien_2003 Thank
You'll only receive email when [Alien] publishes a new post

Почему геймерам стоит уйти с Discord

Discord logo

1. Electron

Discord написан на Electron, а это значит, что по сути приложение представляет из себя просто Google Chrome без адресной строки с запущенной внутри веб-страницей - по факту у вас потребляет ресурсы полноценный браузер со своими несколькими процессами, рабочим окружением и виртуальной машиной, внутри которой запущен сайт с JavaScript и гифками. Во-первых это сотни мегабайт оперативной памяти, потраченных впустую, а во-вторых производительность веб-сайта никогда не сможет сравниться с производительностью нативной программы.

Discord in Task Manager

Выходит что вместо того, чтобы использовать ресурсы компьютера под игру, геймерам приходится держать запущенным ещё один браузер, к тому же, нерационально использующий ресурсы. Также стоит отметить огромную нагрузку на жесткий диск, которую создает Discord, что сильно влияет на скорость загрузки карт и приводит к фризам в играх и в целом, на производительность компьютера, а так же сокращает срок службы SSD-носителей.

2. Privacy Nightmare

Discord Policeman

Discord собирает и хранит у себя достаточно большой объем данных - помимо базовых данных об аккаунте, в их базе сохраняется переписка, фрагменты голосовых записей, данные привязанных аккаунтов пользователей, игровая статистика и т. д. Добавим к этому встроенную аналитику от Google и тот факт, что Discord юридически находится в США - одной из худших стран с точки зрения приватности личных данных пользователей. Данные пользователей в любой момент могут быть проданы (как сейчас и поступают в таких случаях) с целью монетизации продукта или украдены злоумышленниками. Разработчики Discord до сих пор отказываются внедрить оконечное шифрование даже для личной переписки, что в наше время уже можно считать технологической отсталостью. Разработчики Discord имеют полный контроль над вашей перепиской и остальным контентом. В общем, ользоваться этим приложением для общения на личные темы нельзя категорически.

3. Альтернативы

Discord - не первый и не единственный. Для сообщения внутри игры можно использовать Mumble или его неэтичный аналог - TeamSpeak. Эти программы потребляют приблизительно в 10 раз меньше ресурсов и обеспечивают намного лучшее качество звука и более быстрый отклик, однако не предоставляет продвинутых функций чата - только голосовые каналы. Для группового чата можно создать одну или несколько групп в Wire или Signal или даже собственные IRC-каналы.

Riot.im

В некоторых случаях лучшей альтернативой может также выступить Riot.im - приложение, напоминающее Discord визуально, но построенное на открытых стандартах и являющееся более безопасным.

Мой случай

Mumble

Лично я до использую Mumble для голосовой связи в играх + Wire для групповых и личных бесед и звонков, в том числе и по играм.

Две категории безопасников

Большинство безопасников, к сожалению, не владеют достаточно полными знаниями в своей сфере. Одна категория - "специалисты по ИБ" имеют академическое образование и досконально знает сухую теорию, другая же - "хакеры" - это самоучки с хакерских форумов, которые знают многие вещи на практике, но могут не знать элементарных базовых теоретических вещей.

К примеру, возьмём вопрос взлома хешей паролей в SQL-базе. Первая категория будет считать, что взлом хеша длинного пароля с солью - задача нерешаемая, так как требует больших вычислительных мощностей и времени. Вторая же категория будет рекомендовать использовать не сложные пароли, а предложит генерировать уникальные пароли для пользователей, поскольку для них стойкий пароль - это тот пароль, который отсутствует в "слитых базах" и "не паблик" и попытается найти такой пароль при помощи приватных баз и небезызвестного "клиента" с теневых форумов. Каждый будет прав по-своему.

Достаточно интересно будет сопоставить подходы решения этими двумя категориями людей задач организации фрод-мониторинга в банковских системах и разработки безопасных систем обмена сообщениями. В первом случае результатом будет платёжная система на базе блокчейна с цифровыми подписями и аппаратными токенами для первой задачи и что-то вроде Signal или Tox для второй, во-втором - платёжная система PayPal, которая будет всех бесить своими беспричинными ошибками для первой задачи и для второй - что-то вроде Telegram, с сохранением информации на сервере в "безопасной" юрисдикции, но с подключением через Tor и анонимной регистрацией без привязки к почте или номеру телефона.

Мне кажется, самые лучшие решения в области информационной безопасности могут быть разработаны только теми людьми, кто видит в обоих плоскостях - имеет как хорошее академическое образование и множество прочитанных книг, так и хорошую репутацию на русско- и англоязычных андеграундных форумах.

Почему Telegram не является безопасным

Всем нравятся простые и хорошо работающие программы. Telegram является как раз примером такой программы, Всё бы было хорошо, если бы не то, что разработчики позиционирует свой продукт как безопасный мессенджер и люди доверяют ему все свои тайны. Это прекрасная разработка с большим количеством интересных и реально работающих функций, но она не является безопасной, как говорят разработчики. Обо всём по порядку

Telegram

Облачные чаты

В обычном режиме Telegram не обеспечивает никакой защиты и это является одной из основных проблем его безопасности. Все современные мессенджеры умеют сразу же автоматически использовать сквозное шифрование переписки без возможности доступа к ней со стороны сервера. В случае с Telegram - это не так. Более того, в версии для компьютера никакие другие чаты и не предусмотрены. Telegram позиционирует себя, как более безопасный конкурент WhatsApp, при этом как WhatsApp, так и Viber (которые даже не позиционируют себя как безопасные мессенджеры) не сохраняют переписку на сервере, всё построено таким образом, чтобы сообщения можно было прочитать только на клиенте. Вот, что говорят сами разработчики:

Всё хранится в зашифрованном виде, чаты хорошо зашифрованы, а ключи шифрования хранятся по частям в датацентрах в юрисдикции разных стран.

Нет абсолютно никакого подтверждения этому. Исходные коды сервера закрыты, а клиент работает лишь, используя API и никак не взаимодействуя напрямую с "безопасными датацентрами", то есть мы имеем дело с чёрным ящиком и должны просто верить на слово. Учитывая очень высокую скорость доставки сообщений и просмотра истории, слабо верится, что ключи шифрования собираются на лету из частей, расопложенных в разных уголках земного шара - как минимум, это вызвало бы существенные задержки. Более того, сильные сомнения вызывает юрисдикция Telegram - на самом деле он зарегистрирован в офшорах в том числе и в США и Великобритании, в странах, в которых действует так называемый Gag order, согласно которому правоохранительные органы могут обязать разработчиков сервиса не разглашать информацию даже о факте предоставления им какой-либо информации (о пользователях, сообщениях). Очевидно, что власти этих государств могут потребовать от разработчиков доступ ко всем серверам, в том числе и заграничным и собрать ключи шифрования воедино и прочитать переписку не составит труда. Да и учитывая закрытый исходный код и отсутствие какой-либо конкретной информации о юрисдикции серверов трудно вообще поверить в существование такой инфраструктуры.

Секретные чаты

Для шифрования в секретных чатах используется авторский протокол MTProto. Мы все знаем, что первое правило криптографии гласит: Не создавайте свой собственный шифр. Особенно, если вы не являетесь профессиональным криптографом. Крпитографией не должны заниматься обычные разработчики, это отдельная сложная наука, которой хорошо владеют всего несколько сотен человек во всём мире. В результате мы имеем новый протокол, неэффективность которого доказана неоднократно. Почему разработчики не взяли готовый протокол Axololt/Signal, который является стандартом, использующимся во всех современных защищенных мессенджерах и был неоднократно проверен на наличие уязвимостей?
Уязвимости в MTProto находят постоянно: бац, бац. Длительное время вообще использовалась уязвимая хеш-функция SHA1, которую позже заменили на современную SHA-256. Кроме того, разработчики хоть и позиционируют свои клиенты как OpenSource, на самом деле исходные коды выкладываются со значительными задержками, а разработка ведётся достаточно закрыто, как это было с TrueCrypt. Иначе чем можно объяснить недавнюю уязвимость нулевого дня в клиенте для ПК, которая почти год эксплуатировалась злоумышленниками? А отсутствие секретных чатов? Issue на Github висит с июля 2015 года - разработчики просто отмолчались и ограничили доступ к нему - мол, не в приоритете. Сначала нужно выкатить новые стикеры и русскую локализацию

Разработчики обещают $200.000 за взлом шифрования Telegram

Известный специалист в области информационной безопасности Moxie Marlinspike рассказал, почему конкурс является абсурдным. Разработчики попросту не предоставляют никакой возможности проверить шифр в деле - не дают возможности провести MITM-атаку, не дают известный открытый текст, выбранный открытый текст, выбранный шифротекст, не дают возможность вызвать повтор и т.д. - конкурс очень далёк от реальных условий, в которых работают защищённые мессенджеры. Задача взлома даже самого неэффективного и уязвимого шифра с чёрным ходом с такими условиями становится абсолютно невыполнимой. По факту конкурс является трюком для оболванивания людей, которые не обладают никакими знаниями в области криптоанализа и доказывает лишь некомпетентность разработчиков.

Но все пользуются Telegram, даже террористы

Почему так - потому что не имеющих достаточных знаний в области информационной безопасности людей легко обвести вокруг пальца. Telegram - это, в конечном счёте, бизнес-проект. Агрессивный пиар, вложение больших средств в рекламную кампанию, известные личности, стоящие за разработкой продукта, постоянные пресс-релизы и посты на тематических ресурсах, привлекательный внешний вид - всё это хорошие инструменты для ведения бизнеса и завоевания аудитории. Очень жаль, что те, кто действительно говорят правду, редко имеют успех в бизнесе. В нашем мире много примеров того, как некачественный продукт становился лидером рынка, а то и вовсе монополистом за счёт хорошей пиар-кампании и договорённостей с партнёрами

Русские корни проекта

Мысль о разработке Telegram пришла в голову Павлу Дурову, когда спецназовцы постучались к нему в квартиру. Тогда он осознал, что не имеет надёжного канала связи с братом, к которому не имели бы доступ российские спецслужбы. После того как у него "отжали" ВКонтакте Павел собрал команду программистов-миллионеров и начал странствовать по всему миру, разрабатывая Telegram как некоммерческий проект - именно такова официальная история проекта. Что же было не самом деле? Telegram разрабатывался как экспериментальный проект ещё в рамках работы над ВКонтакте, теми же людьми в доме Зингера в городе Санкт-Петербург. Никакого "отжима" ВКонтакте на самом деле не было - Дуров договорился о продаже своей доле ещё за 2 года, а затем демонстративно поругался с акционерами для создания образа жертвы и ухела за границу. Да только не уехал, а разработка Telegram продолжилась в доме Зингера, прямо возле офиса ВКонтакте. Обо всём этом можно почитать в статье "Кот Дурова", которую опубликовал бывший сотрудник Telegram, Советую так же прочитать опровержение, написанное самим Дуровым для полноты картины. Выходит, что расположение активов по всему миру нужно не для юидической защищённости, а просто для оптимизации налогов, а Telegram долгое время разрабатывался в России, а уже потом компания открыла офис в стране, в которой нарушаются права человека. Можно ли, находясь в России, разрабатывать приложение, которое позволяет прятаться от российских спецслужб, я не знаю.

Штраф от ФСБ и блокировка Telegram

За отказ предоставления ключей шифрования суд обязал Telegram выплатить штраф и мессенджер оказался под угрозой блокировки. Дуров отказался предоставлять ключи шифрования, аргументируя это тем, что они хранятся на устройствах пользователей. Но... облачные чаты ведь зашифрованы не ключом, хранящимся на устройстве пользователя? Доступ к большей части переписки есть у владельцев Telegram. Странный аргумент, впрочем, неважно. Всё это является не более, чем спектаклем. Когда в Российской Федерации хотят заблокировать неугодное приложение, его молча блокируют, как это уже было с Line и BlackBerry Messenger или заставляют App Store и Google Play закрыть к приложению доступ из России, надавливая на сами магазины приложений, как это было с LinkedIn. Зачем тогда нужны эти штрафы и показательные суды? Также, стоит задуматься, почему в российских средствах массовой информации регулярно твердят о том, что Telegram - самый безопасный мессенджер современности, хотя во всём мире "золотым стандартом" защищённой коммуникации является протокол Signal от компании Open Whisper Systems и одноимённый мессенджер, что может подтвердить любой квалифицированный специалист в области информационной безопасности.

Чем пользоваться?

В зависимости от того, что Вам удобно и какой уровень защиты Вам нужен. Я рекомендую всем попробовать Wire, как наиболее функциональный и чуть ли не единственный, полноценно работающий на персональных компьютерах мессенджер с хорошим качеством аудио- и видеосвязи и открытым исходным кодом как клиентской так и серверной части, находящийся в юрисдикции Швейцарии - страны с самым строгим законодательством в области защиты данных. Если Вам он не нравится по каким-либо причинам - используйте проверенный временем Signal, который недавно обзавёлся более-менее полноценным клиентом для ПК и активно развивается. Так же можно обратить внимание на Kontalk и Riot.im

Шпаргалка по установке Windows для игр

ISO-образы

Windows 10 LTSB:

Ссылки вставлять в торрент-клиент

Отключение слежки и автоматических обновлений

AutoSettings.zip

Распаковать, запустить Settings.bat. Запустить Spy, также можно настроить под себя или отключить автоматическое обновление. Settings не запускать

Установка Магазина Windows и приложения XBox

Add-MicrosoftStore-RS.zip

Распаковать, запустить Add-Store.cmd

Твики

Поменять местами Ctrl и CapsLock

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=hex:00,00,00,00,00,00,00,00,03,00,00,00,1d,00,3a,00,3a,00,1d,00,00,00,00,00

Сохранить как файл swapcaps.reg и запустить

Оптимизация для максимальной производительности в играх

По ссылкам ниже есть хорошее описание действий, позволяющих в той или иной мере оптимизировать Windows для максимально высокого FPS в играх:

Установка программ

Total Commander PowerUser

Огромное количество портативных программ, активация Windows, установщики разных программ. Всё, чего нет ниже, есть в Total Commander PowerUser
Ссылк вставлять в торрент-клиент

Железозависимое

  • GeForce Experience - автоматическая загрузка и установка драйверов для видеокарт NVIDIA, автоматическая настройка игр под Ваше железо, захват скриншотов и видео, стриминг без потери производительности.
  • Logitech Gaming Software - поддержка мышек и клавиатур Logitech

Игры

Лаунчеры

  • GOG Galaxy - клиент магазина старых игр GOG.com
  • EpicLauncher - лаунчер игр от Epic Games

Minecraft

  • Minecraft - официальный лаунчер
  • MultiMC - функциональный лаунчер и менеджер сборок Minecraft
  • FeedTheBeast - лаунчер с большим количеством сборок
  • Technic Launcher - лаунчер с большим количеством сборок
  • Badlion Client - клиент серверов киберспортивной лиги Badlion
  • EXBO Launcher - лаунчер Stalcraft

Другие игры

  • Xonotic - популярный бесплатный аренный шутер с открытым исходным кодом, гибрид Quake и Unreal Tournament
  • Zandronum - современный порт Doom для сетевой игры с поддержкой модов

Утилиты

  • GameSave Manager - резервное копирование и облачное хранение сохранений и настроек игр. Хорошо работает в связке с Яндекс.Диском
  • GameRanger - альтернатива Garena Tunngle, эмуляция локальной сети для игр через Интернет

Steam

Полезные вещи для разных игр

Общение

Электронная почта

Мессенджеры

  • Wire - безопасный и функциональный мессенджер c качественной аудио- и видеосвязью, возможностью поделиться экраном, альтернатива ужасному Skype
  • Signal - десктоп-клиент для безопасного мессенджера Signal, альтернатива WhatsApp
  • Riot.im - децентрализованный мессенджер на основе протокола Matrix с большим количеством публичных конференций, доступ к конференциям IRC

Общение во время игры

  • Mumble - безопасная голосовая связь для игр, альтернатива TeamSpeak
  • Ripcord - неофициальный клиент Discord с меньшим потреблением ресурсов

Музыка

  • Google Play Music Desktop Player - клиент Google Play Музыки
  • Google Play Music Manager - выгрузка музыки в Google Play Муызку
  • Auryo - плеер для прослушивания музыки из SoundCloud
  • Kaku - плеер для прослушивания музыки из YouTube, Vimeo, Baidu и других видеосервисов

Работа с файлами

  • NextCloud - клиент облачных сервисов на базе NextCloud (AllSync, Disroot)
  • Яндекс.Диск 2.0 - работа с файлами на Яндекс.Диске без синхронизации
  • MEGASync - клиент зашифрованного облачного сервиса MEGA
  • EncFSMP - шифрование папок. Хорошо работает в связке с Яндекс.Диском

Утилиты

  • bitwarden - безопасный облачный менеджер паролей
  • Authy - лучшая замена Google Authenticator
  • Standard Notes - приложение для заметкок с шифрованием и синхронизацией
  • UltraSurf - прокси для обхода блокировок и анонимизации трафика
  • f.lux - адаптация цветовой температуры экрана к времени суток
  • Keybase - простой инструмент для шифрования и цифровой подписи, зашифрованное облако объёмом в 10 Гб с возможностью простого создания своего сайта с помощью Markdown защищённый чат, зашифрованный git

Интеграция с другими устройствами

  • Synergy - общий доступ к мыши, клавиатуре и буферу обмена
  • NitroShare - передача файлов по локальной сети
  • Transmission Remote GUI - удалённое управление торрент-клиентом Transmission

Служебное

  • Windows Update Troubleshooter - исправление проблем с обновлением Windows
  • YUMI - создание мультизагрузочной флешки с GNU/Linux, Windows, Hiren's Boot CD, антивирусами и т. д.

GNU/Linux

  • X2Go Client - проброс X11 через SSH с удобным меню и возможностью просмотра удалённого рабочего стола
  • Termius - SSH-клиент с возможностью проброса портов
  • Babun - подсистема GNU/Linux для Windows - Oh-my-ZSH, git, OpenSSH, пакетный менеджер

Лучшее приложение 2017 года - Wire

Wire

Прошёл примерно год с тех пор, как я начал пользоваться мессенджером Wire. До этого метался по разным мессенджерам, пробовал, не мог выбрать то, что удовлетворяло бы моим критериям. Ранее пользовался XMPP, однако у него была масса проблем, которые меня таки доконали:

  • Проблемы с доставкой сообщений, особенно по 2G
  • Сложность в использовании для неподготовленных пользователей
  • Несоответствие современным требованиям
  • Зоопарк стандартов шифрования переписки
  • Нестабильность серверов

Что мне конкретно было нужно от мессенджера:

  • Максимальный уровень безопасности
  • Возможность использовать как ПК, так и на телефоне без ограничений
  • Простота в использовании (чтобы было несложно уговорить другиз установить)
  • Гарантия доставки сообщений

Signal мне не понравился насильной привязкой к телефону и плохим клиентом на ПК, Wickr был ужасен и неудобен на всех платформах, Matrix слишком сырой и ненамного проще джаббера, а безопасность Telegram - это лишь повод для смеха. Всё, что мне было нужно, нашлось в Wire. Теперь ради безопасности мне больше не приходится жертвовать удобством и функционалом. Радует, что приложений, обеспечивающих безопасность без ущерба для удобства использования становится всё больше и больше (ProtonMail, Standard Notes).

Wire

Плюсы Wire:

  • End-to-End шифрование абсолютно всего
  • Простота в использовании
  • Возможность авторизации как по коду из SMS, так и по почте/паролю
  • Открытый исходный код
  • Поддержка Windows, Mac, Linux, Android, iOS и веб-версия, без необходимости использовать телефон вообще
  • Лучшее качество звонков и видео на данный момент
  • Приятные мелочи вроде "пингов", возможности транслировать содержимое своего экрана, автодополнения эмодзи, самоуничтожения сообщений и поиска гифок - всё это меня мало интересует

Минусы:

  • Историю сообщений невозможно экспортировать наружу
  • Объём предаваемых файлов ограничен
  • Пока что нет плагина для Pidgin
  • Низкая популярность
  • Приложение для ПК написано на Electron

Было приятно найти сервис с курсом на приватность и безопасность, который одинаково хорошо работает как на ПК, так и на телефоне и, что немаловажно, прост в использовании. За год практически все мои друзья и знакомые согласились установить Wire, как альтернативу Skype и сейчас мне не нужны другие приложения для поддержания связи с друзьми. Даже олдфагам, не признающим ничего, кроме IRC, Wire понравился. Здесь у меня и приватные беседы с друзьями, и околоделовые разговоры, и несколько конфочек разной тематики, в том числе и наша конфа darkn.space.

Сайт Wire

Веб-версия Wire

Скачать Wire

Wire в Google Play

Wire для Windows

Установка Wire в Mint/Ubuntu/Debian:

sudo apt-get install apt-transport-https
wget -q https://wire-app.wire.com/linux/releases.key -O- | sudo apt-key add -
echo "deb https://wire-app.wire.com/linux/debian stable main" | sudo tee /etc/apt/sources.list.d/wire-desktop.list
sudo apt-get update
sudo apt-get install wire-desktop