משהו בטלפון הזה מדבר.
אנחנו מקשיבים בחזרה.
ENCLAY עוקבת אחר כל חיבור שהאפליקציות שלכם יוצרות, ומנתקת בשקט את אלו שמכוונות לתשתית של תוכנות מעקב, ריגול וזדון, עוד לפני שסיום ה-handshake.
זה נראה כמו אפליקציה
שמישהו התקין בכוונה,
כי מישהו באמת התקין אותה."
תוכנת מעקב (stalkerware) היא לא וירוס. זהו מוצר פעיל לכל דבר, שנמכר בגלוי, משווק כ"פיקוח הורי" או "פיקוח על עובדים", ומותקן על ידי מישהו עם גישה פיזית למכשיר: בן או בת זוג, אקס, מעסיק. ברגע שהיא פועלת, היא קוראת הודעות, עוקבת אחר מיקום, ולעיתים אף מאזינה דרך המיקרופון, ולאחר מכן מעלה בשקט את מה שמצאה.
וזו בדיוק הסיבה שאנטי-וירוס מבוסס חתימות בדרך כלל מפספס אותה. סורק מחפש קוד שלא אמור להיות שם. תוכנת מעקב אינה קוד זדוני לפי ההגדרה הזו. היא עושה בדיוק את מה שהיא הותקנה כדי לעשות. שום דבר בחתימת הקובץ שלה לא נראה שגוי, כי שום דבר בה לא באמת שבור. היא פועלת בדיוק כמתוכנן, נגד האדם שנושא את הטלפון.
יש דבר אחד שכל אפליקציה מהסוג הזה לא יכולה להימנע ממנו, לא משנה כמה טוב היא מסתירה את האייקון שלה או משנה את שם התהליך: היא חייבת לשלוח את מה שהיא אוספת למקום כלשהו. אותו חיבור יוצא (לשרת פיקוד, לנקודת איסוף, ללוח בקרה של המפעיל) הוא ההתנהגות היחידה שזיהוי לא צריך לדעת את שם האפליקציה כדי לתפוס.
וכאן בדיוק ENCLAY מציבה קו ברור לגבי המטרה שלה. היא לא הופכת אתכם לאנונימיים. היא לא מסתירה את כתובת ה-IP שלכם, לא מטשטשת את הזהות שלכם ולא מנתבת את התעבורה שלכם דרך שרת של מישהו אחר. מה שהיא כן עושה הוא לסרב לתת למשהו שכבר נמצא במכשיר שלכם להגיע אל מי שהוא מדווח לו: הגנה מפני חדירה, לא הבטחה לבלתי-נראות.
ארבעה שלבים, לפני שכל חיבור מקבל אישור לעבור.
אין שרת פרוקסי, אין ממסר, שום דבר מתוכן התעבורה שלכם לא יוצא מהמכשיר. ההחלטה לחסום או לאפשר מתקבלת מקומית, תוך אלפיות שנייה.
השתלטות על הרשת של המכשיר
ENCLAY פועלת כ-VpnService רגיל של אנדרואיד: ללא רוט, ללא שינוי מערכת. התעבורה של כל אפליקציה, IPv4 ו-IPv6 כאחד, מנותבת דרך ממשק TUN מקומי שרק ENCLAY רואה.
בדיקה ברמת הפרוטוקול
שאילתות DNS, handshake של TLS מסוג ClientHello/ServerHello, שמות מארח מסוג SNI, שרשראות תעודות. DNS מוצפן (DoH/DoT) נכפה בכוונה חזרה ל-DNS רגיל, כך שכלל דומיין לא יכול לעקוף אותו בשקט.
השוואה מול אינדקס איומים מקומי
בנוי מ-29 מקורות מודיעין ציבוריים בתוספת מודיעין איומים ש-ENCLAY מתחזקת באופן פרטי, מתעדכן כל 8 שעות ומאוחד לאינדקס אחד במכשיר. שום חיפוש לא יוצא מהטלפון.
החלטה עוד לפני שההתקשרות מסתיימת
התאמה נדחית מיידית באמצעות RST, שלא ניתן להבחין בינו לבין דחיית חיבור רגילה מצד היעד עצמו. כל השאר עובר בשקט, ונרשם כדי שתוכלו לראות אותו.
כל מה ש-ENCLAY עושה, בפועל.
לא רשימת פיצ'רים שנכתבה לעמוד חנות. זהו משטח הזיהוי, הנראות והשליטה האמיתי שפועל במכשיר כבר היום.
חסימת IP ודומיינים
מעל 76,000 טווחי IPv4 ו-IPv6 ומעל 1.4M+ דומיינים, ממוזגים ממקורות ציבוריים וקנייניים לתוך אינדקס מקומי אחד.
טביעת אצבע פסיבית JA3
מסמנת חיבור לפי הצורה המדויקת של ה-handshake היוצא שלו ב-TLS, ותופסת לקוחות ידועים כזדוניים גם על IP שלא רשום ברשימה.
טביעת אצבע אקטיבית JARM
אופציונלי: בודקת באופן אקטיבי יעד TLS חדש באמצעות עשרה handshakes מותאמים כדי לזהות מסגרות תקיפה כמו Cobalt Strike או Metasploit רק לפי טביעת האצבע של השרת.
עקיפת DNS מוצפן
DoH ו-DoT נכפים חזרה ל-UDP:53 רגיל, כך שהתחמקות מבוססת DNS לא יכולה להתגנב בשקט מעבר לכללי הדומיין.
חסימת מדינות
דוחה את כל התעבורה מ/אל מדינה שלמה, נאכף מול אותו אינדקס GeoIP במכשיר המשמש גם לתצוגה.
סריקת אפליקציות ריגול ידועות
משווה כל אפליקציה מותקנת, לפי שם החבילה ולפי תעודת החתימה של ה-APK, מול 646 חבילות מ-158 ספקי תוכנת מעקב וניטור מסחריות ידועים. תופסת גם התקנה רדומה שעדיין לא יצרה תעבורה חשודה, וגם גרסאות ששונה שמן ומשתמשות מחדש במפתח החתימה של ספק ידוע.
זיהוי איתות מחזורי (Beaconing)
לקוחות פיקוד ובקרה ורוב תוכנות המעקב "מתקשרות הביתה" לפי טיימר, לא לפי דרישה: מתחברות כל כמה דקות, מעלות נתונים, ממתינות, וחוזרות חלילה. ENCLAY עוקבת אחר המרווח בין חיבורי אפליקציה לאותו יעד, ומסמנת דפוס כשהוא סדיר בצורה חשודה, בניגוד לשימוש אנושי אמיתי שכמעט אף פעם לא כזה.
זיהוי שרשראות הפניה
מקבצת פרץ מהיר של חיבורים למארחים שונים מדפדפן לתוך שרשרת ניווט אחת, ומסמנת אותה אם קפיצה כלשהי הובילה לתשתית ידועה כזדונית. מוגבל לאפליקציות דפדפן בפועל, לא לתעבורת רקע של אפליקציות אחרות.
מתאם בין הרשאות לרשת
מסמנת יעד חדש שמופיע תוך דקות ממתן הרשאה רגישה (מצלמה, מיקרופון או מיקום), חתימה נפוצה של איסוף נתונים ומשלוח מיידי שלהם החוצה.
פיד חי
כל חיבור, כל אפליקציה, בזמן אמת, ניתן לחיפוש לפי מארח, IP, ארגון, מדינה או קטגוריית איום.
פרופיל אפליקציה
היסטוריית מארחים, צריכת נתונים ודפוסי חיבור לכל אפליקציה בנפרד, מבודדים משאר התעבורה של המכשיר.
גיל דומיין (RDAP)
מסמנת תשתית שנרשמה לפני ימים, לא שנים, אחד הסימנים האמינים ביותר לפישינג ותוכנה זדונית.
DNS הפוך וסיווג אחסון
מציינת מתי יעד יושב על תשתית ענן/VPS גולמית במקום על שירות בעל שם מוכר.
בדיקת תעודות
נושא, מנפיק, תוקף וזיהוי תעודות בחתימה עצמית, נקראים ישירות מתוך ה-handshake החי של TLS.
העשרת DNS
אופציונלי: פותרת את כתובת ה-IP האמיתית של דומיין חסום רק לצורך תצוגה, כך שחסימה ברמת ה-DNS עדיין מציגה IP ו-ASN אמיתיים במקום הכתובת חסרת המשמעות בתוך המנהרה.
בדיקת הרשאות מיידית להתקנה חדשה
אפליקציה שהותקנה זה עתה מקבלת תמונת מצב של ההרשאות שלה מיד, ולא לאחר המתנה של עד שעה לסריקה המחזורית — אין נקודה עיוורת בציר הזמן של ההרשאות מהרגע הראשון.
נעילת USB HID
התקפת BadUSB מגיעה מוסווית כמטען או כבל, נרשמת כמקלדת ברגע שהיא מחוברת, ולאחר מכן מקלידה פקודות לפני שמישהו מספיק להגיב. ENCLAY עוקבת בדיוק אחר החתימה הזו: ברגע שמתחבר מכשיר מסוג מקלדת או עכבר, כל חיבור פתוח מנותק וכל תעבורה חדשה נחסמת, בכל המכשיר, בזמן אמת, עם התראה שנשארת במגירת ההתראות עד שהיא מתבטלת ידנית. אופציונלי, כי גם מקלדת שמחברים בכוונה מפעילה את זה.
ייצוא דוח בטיחות
כל ממצא שזוהה, התאמות למקורות איומים, איתות מחזורי, מתאמים בין הרשאות לרשת, התאמות לאפליקציות ריגול ידועות, מיוצא כקובץ PDF אחד בלחיצה בודדת: בנוי כדי למסור למקלט, לעורך דין או לרשויות אכיפת חוק, לא רק לקריאה עצמית.
כללי מארח ואפליקציה בלחיצה אחת
חוסמים או מאפשרים כל מארח, אפליקציה או מדינה ברגע שאתם רואים אותם. לא נדרש מסך הגדרות נפרד.
חריגות VPN לפי אפליקציה
מאפשר לאפליקציה אחת, כמו אפליקציית בנקאות שמסרבת לפעול תחת VPN, לעקוף את המנהרה לחלוטין, בלי לכבות את ההגנה עבור כל השאר.
אריח בהגדרות המהירות
הפעלה או כיבוי של ההגנה ישירות ממגירת ההתראות. אין צורך לפתוח את האפליקציה.
אזהרת התנגשות DNS פרטי
מסמנת מראש מתי מצב ה-DNS הפרטי המחמיר של אנדרואיד עלול לשבור בשקט את כל הקישוריות ברגע שההגנה מופעלת, לפני שתגלו את זה בדרך הקשה.
מתג חירום מערכתי
פועל יחד עם הגדרת "חסימת חיבורים ללא VPN" של אנדרואיד עצמה, למתג חירום אמיתי: אם המנהרה נופלת, שום דבר לא עובר עד שהיא חוזרת, במקום כישלון שקט שמשאיר הכול פתוח.
שעות שקט
חסימת הכול לפי לוח זמנים: אין תעבורה נכנסת או יוצאת בזמן שהמכשיר אמור להיות רדום.
מודעות למצב
התראה מאשרת שההגנה פעילה כל עוד חומת האש רצה, ולא ניתן להסיר אותה בהחלקה כל עוד היא דולקת. אם המנהרה נופלת באופן בלתי צפוי, תקבלו התראה מיידית במקום כישלון שקט שמשאיר הכול פתוח.
ייצוא CSV
קחו את היסטוריית החיבורים שלכם איתכם, לפי אפליקציה, מתי שתרצו.
אכיפה מקומית
אין צורך בחשבון או בלוח בקרה בענן כדי להשתמש ב-ENCLAY. כל החלטת חסימה או אישור מתקבלת במכשיר עצמו.
איך זה נראה בפועל.
מסכים אמיתיים ממכשיר שמריץ את ENCLAY, לא הדמיות.
נאמר בפשטות, לשני הכיוונים.
כלי אבטחה נוטים תמיד למכור יותר ממה שהם נותנים. הנה בדיוק מה ש-ENCLAY בנויה לעשות, ובאותה מידה של כוונה, מה שהיא לא.
כל הרשימות שמהן בנוי האינדקס של ENCLAY.
מתעדכן כל 8 שעות, מסווג, ונבדק מול רשימת פופולריות מהעולם האמיתי לפני שמשהו נחשב אמין מספיק כדי לחסום.
מודיעין ניצול לרעה ו-C2
- Spamhaus DROP ו-DROPv6
- FireHOL Level 1
- DShield
- blocklist.de
- CINS Army
- Emerging Threats compromised IPs
- GreenSnow
- Feodo Tracker
- ThreatFox (abuse.ch)
- URLhaus (abuse.ch)
טביעות אצבע TLS
- SSLBL JA3 blacklist
- cedowens / C2-JARM
- myceliumbroker / jarm
- JARMGuard (malicious)
- JARMGuard (ad-trackers)
פישינג
- OpenPhish
- PhishTank
- Phishing.Database (domains)
- Phishing.Database (IPs)
רשימות חסימה לפרסום ומעקב
- AdAway
- StevenBlack hosts
- oisd
- HaGeZi (light + ultimate)
- AdGuard DNS filter
- Disconnect.me
- developerdan hosts
מודיעין תוכנת מעקב
- AssoEchap stalkerware-indicators (CC BY 4.0)
גאוגרפיה
- DB-IP country & ASN data (CC BY 4.0)
הטלפון שלכם מדבר עם הרבה מקומות. דעו אילו, ועצרו את אלו שלא אמורים לשמוע ממנו.
אין חשבון ליצור, אין מה להגדיר לפני שזה מתחיל לעבוד. סתם חומת אש שבאמת קוראת את התעבורה שהיא מגנה עליה.