CityCat4

Ну, здесь, конечно сбер лажанулся, но обычно такое сообщение означает, что Вас мониторят :) и пытаются подсунуть лажовый сертификат для сайта. Это обычная практика для корпоративных прокси... и для криворуких провайдеров, которые пытаются таким образом прогнуться перед РКН.

Возможно.

Непросто, требует некоторых предварительных шагов, но возможно. Если перехватить сессионный ключ, то сессию можно расшифровать. И тогда весь трафик внутри туннеля видно.

Информационная безопасность пардон, чего? Сферы в вакууме? ИБ это не теоретическая физика, она суть дисциплина прикладная, то есть она бывает всегда "ИБ чего-то".

Это Вы сейчас поржали так, да? Щас вот сбежались толпой админы-ИБ-шники расписывать, как они свои сети защищают :)
Конечно security through obscuirty тоже неверный подход, но это вовсе не значит, что нужно направо и налево об этом трындеть.
Вы всем рассказываете - какой конторы у Вас домофон в подьезде, какой фирмы замки в дверях, как дверной косяк устроен, есть ли сигнализация?

Почему тогда avast выдаёт предупреждения?

Потому что очень хорошо помнит присказку "без лоха жизнь плоха". Кого он держит за лоха - догадайтесь сами ;) Вам впаривают, а чтобы Вы жали на кнопку и не рассуждали - пугают. Кинетик тут вообще ни при чем.

Нет ли в самом keenetic возможностей для решения этих проблем?

Нет. Потому что все перечисленное авастом - проблемой не является :) А в пункте первом он попросту врет :)

Я не знаком с гуглом корпоративным, но исходя из общей логики администрирования корпоративных приложений, почту он читать должен смочь. Потому что в ней не должно быть личной переписки, а корпоративная - является собственностью компании.

Но, разумеется у гугла может быть иной взгляд. Он все же родом из страны победившей толерастии.

Возможно ли слив дамп, ставить разные прошивки и при неудачной прошивке, восстановить регистратор родным дампом?

Теоретически да. Разумеется именно оригинальным byte-to-byte дампом. Практически - гарантии никто не даст, так что продумайте на всякий случай, что будете делать при окирпичивании :)

Насколько это опасно практически?

Ровно настолько, насколько для Вас является допустимым передавать в чатах whatsapp какую-либо приватную информацию

Для анализа исходников и поиска дыр - однозначно могут и будут использовать. А если найдут чего - непременно будут использовать "как-то еще" :)

Конечно намеренно.

Зачем? А зачем это делает MS? Гугл? Мозилла, как оказалось, тоже делает ЭТО :) Биг дата, господа, биг дата...

Трукрипт с гостовским модулем шифрования - его программы-расшифровщики просто не распознают :) Под одну тему - один контейнер. Шифрованные контейнеры можно бэкапить как угодно, хоть в облако, для полных параноиков - двойное шифрование - допустим контейнер в архив с паролем символов на 30.
Все пароли складываются в еще один контейнер, пароль от которого заучивается наизусть.

Разумеется, важно помнить при этом две вещи:
- Это относительно безопасно, по крайней мере на бытовом уровне (помним про терморектальный криптоанализ!), но жутко неудобно.
- Если забыли пароль от контейнера - все. Данных нет. Хотя если есть свободные мощности - можно попробовать сбрутить. Но опять же - если брутер понимает гостовский модуль.

пытадся подобрать этот код подтверждения

Спьяну, что ли? Самый простой код подтверждения - 4 цифры, 10 в четвертой степени = 10000 вариантов. Действует он обычно пять-десять минут. Даже коту по-моему понятно, что тут без вариантов :)

Теперь о том, что будет.

Может быть ст. 138 УК РФ
Может быть (больше похожа на) ст 272 УК РФ

Теперь о том, что "в итоге не взломал". Намерение, выраженное однозначно, имело место. Следовательно, имело место покушение на преступление. Внимательно читаем ст. 30 УК РФ и находим все признаки - общественно опасное действие (бездействие) непосредственно направлено на совершение преступления, но преступный результат не наступает по причинам, не зависящим от воли виновного.

Суд несомненно учтет это :)

Создайте новый ящик на гмыле (ну или другом бесплатном почтовике, но не российском!). И напишите оттуда. Но не указывайте ничего, что можно было бы использовать для деанонимизации. Если владелец сайта захочет Вас отблагодарить - договоритесь. Проблема в том, что он может посчитать совершенно обратное.

Сайт у хостера/VDS? Если да, то слить все логи (даже вроде бы ненужные), собственно сайт (так чтобы меток времени не повредить), удалить все, восстановить бэкап.
- Смотреть логи, выявлять подозрительную активность
- Обязательно обратить внимание, кто владелец мусорных скриптов - это даст информацию о том, под чьими правами они были записаны - ftp, www еще кто-то.
- Возможно сбрутили FTP - это не так сложно, если пользователь угадываемый и пароль несложный
- Возможно нашли ошибку в коде самого сайта или движка (если сайт на движке)

На все эти вопросы точно может ответить только тот, у кого есть доступ к исходным кодам сервера телеги, все остальное - это на уровне догадок. Телега может заявлять что она все удаляет, но проверить это невозможно никак, не имея доступа к ее инфраструктуре.
Поэтому ответ тут только такой - либо Вы верите им на слово, что они все удаляют - либо не пользуетесь. Весь этот треп про end-to-end шифрование - это для ламеров. Нет ничего сложного написать клиента с модификацией, которая будет сливать текущий ключ шифрования куда им надо. (Здесь им может быть кем угодно - Дуров, АНБ, ФСБ...)
То есть практически примерно как со спектрой - возможность есть, но эксплуатация тяжелая. Эксплуатация тяжелая, но когда mission critical, то со счетов скидывать не стоит.

Если дверь не запирать на замок, а просто закрывать, чтобы она была похожа на запертую - что произойдет? Вот примерно то же самое - может произойти все, что угодно
- Любой вирус-шифровальщик гарантированно положит все сеть. И не шифровальщик тоже, да к тому же еще и поломает что-нибудь.
- Любой странный скрипт на странном сайте превращает все компы в участников ботнета, который начинает рассылать спам/DDoSить/добывать крипту/еще что-нибудь...
- Любой обиженный сотрудник, уходя "гасит всех" - уносит с собой всю информацию, что понравится, и заодно может ее потереть на всех компах
- Уж не говоря о том, что люди могут (и непременно будут!) бездельничать, сидеть в соцсетях, заниматься своими делами (а то и на сторону работать)
- Сдох свитч или роутер - работа встала.

От админа защититься нельзя :) Этот факт не понимают многие руководители - Quis custodiet ipsos custodes? (Кто устережет сторожей - лат.) Не придумано средств для защиты от того, кто должен по факту своей работы иметь доступ всюду. Вы должны быть классом выше его, чтобы увидеть закладку, которую он сделал, но тогда зачем Вам вообще админ?
Разрабам же просто достаточно выдавать старые, потерявшие актуальность данные.

Провайдеру Ваш IMEI не нужен. И серийный номер (чего? диска? модуля памяти?) тоже. А MAC он и так знает. Более того, Вы его сами ему сообщаете - потому что зачастую привязка по нему идет. А если это роутер, то Ваш MAC ему пофиг - он и без того увяжет мак роутера с трафиком, который Вы создаете.
Если выходите в тырнет с телефона по 3G - то понятное дело, опсос знает и IMEI и IP и весь трафик, который создали.
Посещаемые ресурсы Вас идентифицируют не по IMEI и не по маку. Гуглите "отпечаток браузера".