אכיפה במכשיר עצמו · ללא רוט · ללא חשבון

משהו בטלפון הזה מדבר.
אנחנו מקשיבים בחזרה.

ENCLAY עוקבת אחר כל חיבור שהאפליקציות שלכם יוצרות, ומנתקת בשקט את אלו שמכוונות לתשתית של תוכנות מעקב, ריגול וזדון, עוד לפני שסיום ה-handshake.

זה לא על להסתיר מי אתם. זה על לעצור את מה שכבר נמצא בטלפון שלכם מלדווח על הנתונים שלכם למקום שלא אמור לקבל אותם.
האיום
"זה לא נראה כמו תוכנה זדונית.
זה נראה כמו אפליקציה
שמישהו התקין בכוונה,
כי מישהו באמת התקין אותה."

תוכנת מעקב (stalkerware) היא לא וירוס. זהו מוצר פעיל לכל דבר, שנמכר בגלוי, משווק כ"פיקוח הורי" או "פיקוח על עובדים", ומותקן על ידי מישהו עם גישה פיזית למכשיר: בן או בת זוג, אקס, מעסיק. ברגע שהיא פועלת, היא קוראת הודעות, עוקבת אחר מיקום, ולעיתים אף מאזינה דרך המיקרופון, ולאחר מכן מעלה בשקט את מה שמצאה.

וזו בדיוק הסיבה שאנטי-וירוס מבוסס חתימות בדרך כלל מפספס אותה. סורק מחפש קוד שלא אמור להיות שם. תוכנת מעקב אינה קוד זדוני לפי ההגדרה הזו. היא עושה בדיוק את מה שהיא הותקנה כדי לעשות. שום דבר בחתימת הקובץ שלה לא נראה שגוי, כי שום דבר בה לא באמת שבור. היא פועלת בדיוק כמתוכנן, נגד האדם שנושא את הטלפון.

יש דבר אחד שכל אפליקציה מהסוג הזה לא יכולה להימנע ממנו, לא משנה כמה טוב היא מסתירה את האייקון שלה או משנה את שם התהליך: היא חייבת לשלוח את מה שהיא אוספת למקום כלשהו. אותו חיבור יוצא (לשרת פיקוד, לנקודת איסוף, ללוח בקרה של המפעיל) הוא ההתנהגות היחידה שזיהוי לא צריך לדעת את שם האפליקציה כדי לתפוס.

וכאן בדיוק ENCLAY מציבה קו ברור לגבי המטרה שלה. היא לא הופכת אתכם לאנונימיים. היא לא מסתירה את כתובת ה-IP שלכם, לא מטשטשת את הזהות שלכם ולא מנתבת את התעבורה שלכם דרך שרת של מישהו אחר. מה שהיא כן עושה הוא לסרב לתת למשהו שכבר נמצא במכשיר שלכם להגיע אל מי שהוא מדווח לו: הגנה מפני חדירה, לא הבטחה לבלתי-נראות.

איך זה עובד

ארבעה שלבים, לפני שכל חיבור מקבל אישור לעבור.

אין שרת פרוקסי, אין ממסר, שום דבר מתוכן התעבורה שלכם לא יוצא מהמכשיר. ההחלטה לחסום או לאפשר מתקבלת מקומית, תוך אלפיות שנייה.

01

השתלטות על הרשת של המכשיר

ENCLAY פועלת כ-VpnService רגיל של אנדרואיד: ללא רוט, ללא שינוי מערכת. התעבורה של כל אפליקציה, IPv4 ו-IPv6 כאחד, מנותבת דרך ממשק TUN מקומי שרק ENCLAY רואה.

02

בדיקה ברמת הפרוטוקול

שאילתות DNS, handshake של TLS מסוג ClientHello/ServerHello, שמות מארח מסוג SNI, שרשראות תעודות. DNS מוצפן (DoH/DoT) נכפה בכוונה חזרה ל-DNS רגיל, כך שכלל דומיין לא יכול לעקוף אותו בשקט.

03

השוואה מול אינדקס איומים מקומי

בנוי מ-29 מקורות מודיעין ציבוריים בתוספת מודיעין איומים ש-ENCLAY מתחזקת באופן פרטי, מתעדכן כל 8 שעות ומאוחד לאינדקס אחד במכשיר. שום חיפוש לא יוצא מהטלפון.

04

החלטה עוד לפני שההתקשרות מסתיימת

התאמה נדחית מיידית באמצעות RST, שלא ניתן להבחין בינו לבין דחיית חיבור רגילה מצד היעד עצמו. כל השאר עובר בשקט, ונרשם כדי שתוכלו לראות אותו.

יכולות

כל מה ש-ENCLAY עושה, בפועל.

לא רשימת פיצ'רים שנכתבה לעמוד חנות. זהו משטח הזיהוי, הנראות והשליטה האמיתי שפועל במכשיר כבר היום.

זיהוי

חסימת IP ודומיינים

מעל 76,000 טווחי IPv4 ו-IPv6 ומעל 1.4M+ דומיינים, ממוזגים ממקורות ציבוריים וקנייניים לתוך אינדקס מקומי אחד.

טביעת אצבע פסיבית JA3

מסמנת חיבור לפי הצורה המדויקת של ה-handshake היוצא שלו ב-TLS, ותופסת לקוחות ידועים כזדוניים גם על IP שלא רשום ברשימה.

טביעת אצבע אקטיבית JARM

אופציונלי: בודקת באופן אקטיבי יעד TLS חדש באמצעות עשרה handshakes מותאמים כדי לזהות מסגרות תקיפה כמו Cobalt Strike או Metasploit רק לפי טביעת האצבע של השרת.

עקיפת DNS מוצפן

DoH ו-DoT נכפים חזרה ל-UDP:53 רגיל, כך שהתחמקות מבוססת DNS לא יכולה להתגנב בשקט מעבר לכללי הדומיין.

חסימת מדינות

דוחה את כל התעבורה מ/אל מדינה שלמה, נאכף מול אותו אינדקס GeoIP במכשיר המשמש גם לתצוגה.

סריקת אפליקציות ריגול ידועות

משווה כל אפליקציה מותקנת, לפי שם החבילה ולפי תעודת החתימה של ה-APK, מול 646 חבילות מ-158 ספקי תוכנת מעקב וניטור מסחריות ידועים. תופסת גם התקנה רדומה שעדיין לא יצרה תעבורה חשודה, וגם גרסאות ששונה שמן ומשתמשות מחדש במפתח החתימה של ספק ידוע.

מעקב

זיהוי איתות מחזורי (Beaconing)

לקוחות פיקוד ובקרה ורוב תוכנות המעקב "מתקשרות הביתה" לפי טיימר, לא לפי דרישה: מתחברות כל כמה דקות, מעלות נתונים, ממתינות, וחוזרות חלילה. ENCLAY עוקבת אחר המרווח בין חיבורי אפליקציה לאותו יעד, ומסמנת דפוס כשהוא סדיר בצורה חשודה, בניגוד לשימוש אנושי אמיתי שכמעט אף פעם לא כזה.

app.example → 10.2.4.19  ·  41 חיבורים  ·  כל כ-4.0 דקות (σ 0.15)  ·  סומן: איתות במרווח קבוע

זיהוי שרשראות הפניה

מקבצת פרץ מהיר של חיבורים למארחים שונים מדפדפן לתוך שרשרת ניווט אחת, ומסמנת אותה אם קפיצה כלשהי הובילה לתשתית ידועה כזדונית. מוגבל לאפליקציות דפדפן בפועל, לא לתעבורת רקע של אפליקציות אחרות.

מתאם בין הרשאות לרשת

מסמנת יעד חדש שמופיע תוך דקות ממתן הרשאה רגישה (מצלמה, מיקרופון או מיקום), חתימה נפוצה של איסוף נתונים ומשלוח מיידי שלהם החוצה.

פיד חי

כל חיבור, כל אפליקציה, בזמן אמת, ניתן לחיפוש לפי מארח, IP, ארגון, מדינה או קטגוריית איום.

פרופיל אפליקציה

היסטוריית מארחים, צריכת נתונים ודפוסי חיבור לכל אפליקציה בנפרד, מבודדים משאר התעבורה של המכשיר.

גיל דומיין (RDAP)

מסמנת תשתית שנרשמה לפני ימים, לא שנים, אחד הסימנים האמינים ביותר לפישינג ותוכנה זדונית.

DNS הפוך וסיווג אחסון

מציינת מתי יעד יושב על תשתית ענן/VPS גולמית במקום על שירות בעל שם מוכר.

בדיקת תעודות

נושא, מנפיק, תוקף וזיהוי תעודות בחתימה עצמית, נקראים ישירות מתוך ה-handshake החי של TLS.

העשרת DNS

אופציונלי: פותרת את כתובת ה-IP האמיתית של דומיין חסום רק לצורך תצוגה, כך שחסימה ברמת ה-DNS עדיין מציגה IP ו-ASN אמיתיים במקום הכתובת חסרת המשמעות בתוך המנהרה.

בדיקת הרשאות מיידית להתקנה חדשה

אפליקציה שהותקנה זה עתה מקבלת תמונת מצב של ההרשאות שלה מיד, ולא לאחר המתנה של עד שעה לסריקה המחזורית — אין נקודה עיוורת בציר הזמן של ההרשאות מהרגע הראשון.

שליטה ובעלות על הנתונים שלכם

נעילת USB HID

התקפת BadUSB מגיעה מוסווית כמטען או כבל, נרשמת כמקלדת ברגע שהיא מחוברת, ולאחר מכן מקלידה פקודות לפני שמישהו מספיק להגיב. ENCLAY עוקבת בדיוק אחר החתימה הזו: ברגע שמתחבר מכשיר מסוג מקלדת או עכבר, כל חיבור פתוח מנותק וכל תעבורה חדשה נחסמת, בכל המכשיר, בזמן אמת, עם התראה שנשארת במגירת ההתראות עד שהיא מתבטלת ידנית. אופציונלי, כי גם מקלדת שמחברים בכוונה מפעילה את זה.

התקן USB חובר ← זוהה סוג HID ← הרשת ננעלה בכל המכשיר ← חיבורים פעילים נסגרו ← נשלחה התראה

ייצוא דוח בטיחות

כל ממצא שזוהה, התאמות למקורות איומים, איתות מחזורי, מתאמים בין הרשאות לרשת, התאמות לאפליקציות ריגול ידועות, מיוצא כקובץ PDF אחד בלחיצה בודדת: בנוי כדי למסור למקלט, לעורך דין או לרשויות אכיפת חוק, לא רק לקריאה עצמית.

כללי מארח ואפליקציה בלחיצה אחת

חוסמים או מאפשרים כל מארח, אפליקציה או מדינה ברגע שאתם רואים אותם. לא נדרש מסך הגדרות נפרד.

חריגות VPN לפי אפליקציה

מאפשר לאפליקציה אחת, כמו אפליקציית בנקאות שמסרבת לפעול תחת VPN, לעקוף את המנהרה לחלוטין, בלי לכבות את ההגנה עבור כל השאר.

אריח בהגדרות המהירות

הפעלה או כיבוי של ההגנה ישירות ממגירת ההתראות. אין צורך לפתוח את האפליקציה.

אזהרת התנגשות DNS פרטי

מסמנת מראש מתי מצב ה-DNS הפרטי המחמיר של אנדרואיד עלול לשבור בשקט את כל הקישוריות ברגע שההגנה מופעלת, לפני שתגלו את זה בדרך הקשה.

מתג חירום מערכתי

פועל יחד עם הגדרת "חסימת חיבורים ללא VPN" של אנדרואיד עצמה, למתג חירום אמיתי: אם המנהרה נופלת, שום דבר לא עובר עד שהיא חוזרת, במקום כישלון שקט שמשאיר הכול פתוח.

שעות שקט

חסימת הכול לפי לוח זמנים: אין תעבורה נכנסת או יוצאת בזמן שהמכשיר אמור להיות רדום.

מודעות למצב

התראה מאשרת שההגנה פעילה כל עוד חומת האש רצה, ולא ניתן להסיר אותה בהחלקה כל עוד היא דולקת. אם המנהרה נופלת באופן בלתי צפוי, תקבלו התראה מיידית במקום כישלון שקט שמשאיר הכול פתוח.

ייצוא CSV

קחו את היסטוריית החיבורים שלכם איתכם, לפי אפליקציה, מתי שתרצו.

אכיפה מקומית

אין צורך בחשבון או בלוח בקרה בענן כדי להשתמש ב-ENCLAY. כל החלטת חסימה או אישור מתקבלת במכשיר עצמו.

בפועל

איך זה נראה בפועל.

מסכים אמיתיים ממכשיר שמריץ את ENCLAY, לא הדמיות.

מסך הפיד החי של ENCLAY, המציג את מצב ההגנה, ספירת חבילות/session, מספר חסימות, ורשימת אפליקציות עם החיבורים שלהן, מותרים וחסומים, בזמן אמת.
פיד חי: כל אפליקציה, כל חיבור, בזמן אמת
מסך הממצאים של ENCLAY, המציג אפליקציות עם בעיות שזוהו אוטומטית: התאמות למקורות איומים ואיתות במרווח קבוע, כל אחת עם תגית חומרה.
ממצאים: התאמות למקורות איומים ואיתות מחזורי, מוצגים אוטומטית
מסך ההגדרות של ENCLAY, המציג את מצב הסנכרון של מודיעין האיומים, מצב חסימת DNS, שעות שקט, ומתג סריקת טביעת האצבע האקטיבית של JARM.
הגדרות: סריקת JARM, שעות שקט, מצב DNS, הכול גלוי וניתן להפעלה
מסך פרופיל אפליקציה עבור Google Services Framework, המציג ספירות מותר/חסום, נתונים שהועלו/הורדו, ורשימת מארחים הניתנת לחיפוש עם תגיות קטגוריית איום.
פרופיל אפליקציה: היסטוריית מארחים וצריכת נתונים לפי אפליקציה
גיליון פרטי חיבור עבור מארח בודד, המציג גיל דומיין, סיווג אחסון, טביעות אצבע JA3 ו-JA3S, ונושא/מנפיק/תוקף של התעודה.
פרטי חיבור: JA3, JA3S ומידע על תעודה עבור מארח בודד
מה כן ומה לא

נאמר בפשטות, לשני הכיוונים.

כלי אבטחה נוטים תמיד למכור יותר ממה שהם נותנים. הנה בדיוק מה ש-ENCLAY בנויה לעשות, ובאותה מידה של כוונה, מה שהיא לא.

כןבנויה לעצור חדירה: אפליקציה במכשיר שלכם שמוציאה את הנתונים שלכם החוצה בלי ידיעתכם.
לאבנויה להגן על הזהות שלכם. היא לא הופכת אתכם לאנונימיים, לא מסתירה את כתובת ה-IP שלכם, ולא מסתירה מי אתם מהשירותים שאתם משתמשים בהם.
כןחומת אש שחוסמת חיבורים יוצאים לתשתית ידועה כזדונית, לפי IP, דומיין וטביעת אצבע TLS.
לאאנטי-וירוס. היא אף פעם לא סורקת קבצים או קוד של אפליקציות, והיא לא יכולה להסיר אפליקציה מותקנת.
כןמסוגלת לנתק את החיבור של אפליקציית מעקב למי שצופה דרכה.
לאמסוגלת להסיר עבורכם את האפליקציה הזו בבטחה. הסרה עלולה להתריע לתוקף. ניתוק הגישה שלה לרשת, וייצוא דוח בטיחות כראיה, הם הצעד הראשון הבטוח יותר.
כןאוכפת באופן מלא במכשיר עצמו: החלטת החסימה או האישור לעולם לא יוצאת מהטלפון.
לאVPN לפרטיות או לאנונימיות. אין שרת יציאה, והיא לא מסתירה את כתובת ה-IP שלכם מאתרים שאתם מבקרים בהם.
כןבנויה על בדיקה ברמת הפרוטוקול: DNS, handshakes של TLS, SNI, תעודות.
לאסורק תוכנות זדוניות מבוסס חתימות. שום דבר לא מזוהה על ידי התאמת hash של קבצים.
כןVpnService רגיל של אנדרואיד: מותקנת ורצה ללא גישה מיוחדת.
לאדורשת רוט, ואף פעם לא משנה את המערכת או מתקינה מודול ליבה.
כןחומת אש ליציאה (egress): שולטת במה שהאפליקציות שלכם מורשות להגיע אליו.
לאחומת אש לכניסה (ingress). טלפונים לא יושבים על פורטים נכנסים פתוחים, כך שאין שם בכלל מה לחסום.
מקורות

כל הרשימות שמהן בנוי האינדקס של ENCLAY.

מתעדכן כל 8 שעות, מסווג, ונבדק מול רשימת פופולריות מהעולם האמיתי לפני שמשהו נחשב אמין מספיק כדי לחסום.

בתוספת מודיעין קנייני. לצד 29 המקורות הציבוריים המפורטים למטה, ENCLAY משלבת מודיעין איומים שמתוחזק באופן פרטי בתוך הארגון, לא רשום פומבית, ומתעדכן באותו מחזור של 8 שעות.

מודיעין ניצול לרעה ו-C2

  • Spamhaus DROP ו-DROPv6
  • FireHOL Level 1
  • DShield
  • blocklist.de
  • CINS Army
  • Emerging Threats compromised IPs
  • GreenSnow
  • Feodo Tracker
  • ThreatFox (abuse.ch)
  • URLhaus (abuse.ch)

טביעות אצבע TLS

  • SSLBL JA3 blacklist
  • cedowens / C2-JARM
  • myceliumbroker / jarm
  • JARMGuard (malicious)
  • JARMGuard (ad-trackers)

פישינג

  • OpenPhish
  • PhishTank
  • Phishing.Database (domains)
  • Phishing.Database (IPs)

רשימות חסימה לפרסום ומעקב

  • AdAway
  • StevenBlack hosts
  • oisd
  • HaGeZi (light + ultimate)
  • AdGuard DNS filter
  • Disconnect.me
  • developerdan hosts

מודיעין תוכנת מעקב

  • AssoEchap stalkerware-indicators (CC BY 4.0)

גאוגרפיה

  • DB-IP country & ASN data (CC BY 4.0)
29מקורות ציבוריים ממוזגים
1.4M+דומיינים באינדקס
76,000+טווחי IP (IPv4 ו-IPv6)
8hמחזור עדכון
במכשיר עצמו. תמיד.

הטלפון שלכם מדבר עם הרבה מקומות. דעו אילו, ועצרו את אלו שלא אמורים לשמוע ממנו.

אין חשבון ליצור, אין מה להגדיר לפני שזה מתחיל לעבוד. סתם חומת אש שבאמת קוראת את התעבורה שהיא מגנה עליה.