За последние годы наше правительство "поднаторело" в регулировании прослеживания самых разных товаров. Сельхозпродукции, лекарств, да и ещё много чего. И хочется задать лишь один вопрос, а прослеживать законы или приказы органы власти уже научились? Кто, когда, по какой причине написал НПА, кто внес правки, кто их завизировал, кто утвердил и кто принял? Потому что я лично не устаю повторять что если цепочки ответственных нет, то виноват всегда руководитель.

Потому что если нет виноватых (читай - ответственных) Приказ Министерства науки и высшего образования Российской Федерации от 21.08.2020 № 1076 "Об утверждении Порядка приема на обучение по образовательным программам высшего образования - программам бакалавриата, программам специалитета, программам магистратуры" [1] [2]

Потому что в пункте 79 этого приказа есть:
79. В конкурсном списке указываются следующие сведения:

1) номер страхового свидетельства обязательного пенсионного страхования (при наличии), уникальный код, присвоенный поступающему (при отсутствии указанного свидетельства);

Потому из-за этого университеты теперь массово публикуют списки абитуриентов с указанием СНИЛС каждого. Примеры:
- Бауманка [3]
- СФУ [4]
- КГПУ [5]

И продолжать можно долго. Тем кто не понимает что это значит я поясню. СНИЛС - это постоянный идентификатор человека выдаваемый ему, считайте, на всю жизнь. По СНИЛС можно идентифицировать ФИО конкретного человека. Базы сопоставляющие СНИЛС и ФИО периодически всплывают, я писал о доступности сертификатов удостоверяющих центров в которых по умолчанию (спасибо Минцифре и ФСБ) вписываются СНИЛСы физ. лиц, как следствие найти ФИО и другие сведения по СНИЛС совершенно точно возможно.

Возвращаясь к вопросу о прослеживаемости. По прежнему интересно кто был такой умный вставил этот пункт в этот приказ? Ну и если ответственных нет, то виноват, как всегда, министр лично.

А нам остается помнить что не хакеры, а государство - вот кто главный враг приватности граждан.

Ссылки:
[1] publication.pravo.gov.ru
[2] www.garant.ru
[3] priem.bmstu.ru
[4] admissions.sfu-kras.ru
[5] www.kspu.ru

#government #education #privacy
_______
Источник | #begtin

Главный радиочастотный центр (ФГУП при Роскомнадзоре) объявил закупку на "Выполнение работ по созданию автоматизированной системы мониторинга нарушений прав субъектов персональных данных в сети «Интернет» " [1] (АС МПДн)

Закупают они по 223-ФЗ, поэтому победителя торгов мы не узнаем, а вот на что точно можно и нужно обратить внимание так это на чрезвычайно детальное техническое задание с тщательным перечислением всех технических средств предполагаемых к использованию, что, чаще, бывает когда ТЗ пишет поставщик предопределенный госзаказчиком. Но, опять же, с сайта ЕИС мы о поставщике не узнаем.

Зато можно обратить внимание по каким ключевым словам Роскомнадзор собирается искать сайты распространяющие ПДн.

Как бы сказать помягче, система в будет совершенно бессмысленна. Её заказчики явно не понимают как устроено распространение персональных данных.

Ссылки:
[1] zakupki.gov.ru

#privacy #rkn #procurement
_______
Источник | #begtin

SecurityLab пишут [1] о том как несколько дней назад Христо Грозев, основатель Belligcat, выступал с предсказанием что года через 2 в России введут аккредитацию хостинг провайдеров и, соответственно, снижение скорости подключения к тем кто не аккредитуется.

Я не буду говорить о том что это поубивает весь ИТ/интернет бизнес в России который работал и работает на международную аудиторию, отъезд команд разработчиков резко ускорится, впрочем он и так набирает обороты. Я хочу сказать что это предсказание вполне реалистично и я добавлю свои пункты. При этом оговорюсь что не надо полагать что что-то из того о чём я пишу и так не знают. Уже давно регуляторам никто ничего не подсказывает, там всё знают.

1. Расширение полномочий Росфинмониторинга и ведение "списка блокировок финансовых транзакций" через Росфинмониторинг и ЦБ РФ. Фактически, неаккредитованным хостинг провайдерами и не только будут отрубать возможность получения платежей из России.
2. Запрет любой криптовалюты вне мониторинга ЦБ РФ и Росфинмониторинга. Цифровой рубль, если он таки будет, будет совершенно точно создаваться по критерию наблюдаемости и неанонимности транзакций. И это будет не только про входящие деньги на политическую активность, но и исходящие на платежи зарубежным сервисам.
3. Криминализация использования любой не аккредитованной ЦБ криптовалюты. Именно по причине неотслеживаемости и анонимности транзакций. Под это будут "публичные казни", мощные медиавбросы про ловлю криминальных банд легализующих через криптовалюту большие объёмы криминальных денег.
4. Ужесточение регулирования CDN провайдеров используемых для анонимизации хостинга контента. Модель будет всё та же - "Или сообщаете информацию о клиентах, или получаете блок на трафик и на финансовые транзакции". CDN сервисы разделяться на те которые на это согласятся и те которые нет
5. Создание специального реестра компаний ведущих интернет торговлю и получающих платежи из России. Скорее всего постепенно, начиная с каких-то критичных товаров и далее расширяя. Наиболее вероятный сценарий через принятие регулирования аналогичного GDPR с его экстерриториальностью, но с большим акцентом именно на экстерриториальность. То есть российские компании могут временно не регулировать, а вот зарубежные собирающие данные россиян вполне могут.


Ссылки:
[1] www.securitylab.ru

#privacy #security
_______
Источник | #begtin

Для всех кто ищут варианты защиты приватности на фоне глобальных событий по блокировке публичных DNS напомню про такой неплохой ресурс с коллекцией инструментов как Privacy Guides [1]

Там есть обзор DNS провайдеров [2].

Ранее это был сайт PrivacyTools.io, но он совсем недавно был обновлён [3] и перешёл на другой домен потому что владелец домена privacytools.io куда-то исчез.

А коллекция инструментов весьма неплохая.

Ссылки:
[1] www.privacyguides.org
[2] www.privacyguides.orgproviders/dns/
[3] www.reddit.com
[4] www.reddit.comhct0pz7/

#privacy
_______
Источник | #begtin | #полезности

Про новые мобильные приложения Минцифры, в версиях для Android, если без иронии и сжато.

Госуслуги.Авто [1]
* подписано сертификатом АО РТЛАБС
* опубликовано от имени Минцифры России
* включают для связи с серверами Российского союза автостраховщиков (РСА)
* включают код журналирования действий на сервера разработки РСА и их SDK
* содержит следы кода компании ЛАНИТ, возможно как чать SDK РСА
* содержит код трекеров Google Firebase Analytics, Google Crashlytics, Yandex AppMetrica
* запрашивает разрешение на звонки и доступ к камере
* не включает сведений о передачи данных третьим сторонам в условиях использования, там не упомянуты: РСА, Google, Yandex

Госуслуги.Культура [2]
* подписано сертификатом АО РТЛАБС
* опубликовано от имени Минцифры России
* наиболее вероятно разработано компанией Notamedia (есть метки в коде)
* приложение написано на языке Flutter, скомпилировано в нативный код в виде libapp.so. Как следствие не все активности выявляются статическим анализом
* обращается к серверу pushka.gosuslugi.ru, возможно к каким-то ещё, сложно выяснить статическим анализом
* содержит код трекера Mail.ru MyTracker
* запрашивает разрешение на запись аудио и на доступ к камере
* не включает сведений о передачи данных третьим сторонам в условиях использования, там не упомянуты: Mail.ru


Ссылки:
[1] play.google.com
[2] play.google.com

#apps #privacy
_______
Источник | #begtin

Ссылки:
[1] facepay.mosmetro.ru
[2] www.dw.com
[3] www.tadviser.ru
[4] www.tadviser.ru(ВижнЛабс)
[5] clearspending.ru
[6] reports.exodus-privacy.eu.org

#privacy
_______
Источник | #begtin

Моя презентация с конгресса EDPC о слежке через государственные мобильные приложения [1].
В презентации всё сказанное не передашь, так что задавайте вопросы/комментируйте в чате

Ссылки:
[1] www.beautiful.ai

#privacy
_______
Источник | #begtin

Моя презентация с конгресса EDPC о слежке через государственные мобильные приложения [1].
В презентации всё сказанное не передашь, так что задавайте вопросы/комментируйте в чате

Ссылки:
[1] www.beautiful.ai

#privacy
_______
Источник | #begtin

Объясните мне, знающие люди, зачем часть сайтов и, может быть, инфраструктуры Мэрии Москвы находится за пределами РФ? Например, хостится на серверах Hetzner, Германия. Это такой хостер-дискаунтер, хороший в своём классе, но далёкий от России.

Вот примеры:
- inno.mos.ru - IP: 78.46.71.197 (открывается пустая страница)
- cgrt.mos.ru - IP: 176.9.230.170 (не открывается)
- gk.tech.mos.ru - IP: 138.201.197.43 (заглушка на немецком языке)
- aupd-test.mos.ru - IP: 95.216.13.234 (тестовая страница Московской электронной школы)
- new.dit.mos.ru - IP: 176.9.230.170 (не открывается)

Я, конечно, всё понимаю, немецкое качество и всё такое, но как так можно случайно сделать?

Это не единственный зарубежный хостер на который указывают домены в зане mos.ru и этот список не финальный. Читающим меня сотрудникам ДИТ Москвы я бы посоветовал проверить тщательно, потому что нельзя так делать.

#privacy #security #internet #moscow
_______
Источник | #begtin

Обновление Tor Browser 11.0.1 с интеграцией поддержки сервиса Blockchair
[www.opennet.ru]

В новом выпуске в число поисковых движков добавлен сервис Blockchair, позволяющий осуществлять поиск по 17 блокчейнам популярных криптовалют (Bitcoin, Etherеum, DogeCoin, Litecoin, Monero и т.п.). Например, пользователь теперь может набрать в адресной строке номер криптокошелька или транзакции, выбрать Blockchair и получить подробную информацию о состоянии кошелька и связанных с ним операциях. Кроме поддержки Blockchair в новой версии также отключена система рекомендаций Firefox (рекомендуемые для установки дополнения) и устранена проблема с работой после изменения настройки "Always use private browsing mode" в about:preferences#privacy.
_______
Источник | #dcntr

Почему в прошлой публикации я написал что МИД мог бы свалить всю вину на разработчиков приложения?

Во-первых потому что в большинстве госприложений запрашивается меньше небезопасных разрешений. Так приложение МИДа запрашивает их 8 штук, аналогичные запросы делают только несколько приложений Московского Пр-ва, мы делали исследование год назад где писали об этом [1], но там это было, как бы, хотя бы частично обосновано.

А во вторых, и в главных, важно знать как устроено приложение МИДа. Это не специализированное мобильное приложение вроде Госуслуг, Госключа или Активного гражданина или ещё много чего. Это контентное приложение построенное на материалах сайта МИДа РФ. А если конкретнее - это оболочка над браузером который обращается к сайту m.mid.ru скорее всего сделанное на движке 1С Битрикс мобильное приложение [2].

Так вот совершенно непонятно зачем мобильному приложению которое, по сути, просто надстройка над сайтом и без дополнительных функций нужны разрешения на доступ к камере или записи аудио. В приложении просто не предусмотрены задачи для которых эти разрешения применимы.

После углублённого анализа выяснилось следующее.

Это сложное xapk приложение с набором вложенных apk файлов под разные языки и базовым приложением ru.mid.app.apk внутри этого xapk. В AndroidManifest.xml общего приложения затребуются максимум разрешений, а внутри ru.mid.app.apk их нет вообще. Поэтому при проверке по приложению указано то что при установке не затребуются. В итоге всё сводится к тому что:
1) Разработчики ошиблись в структуре манифеста затребующего разрешения, но именно разрешения из этого манифеста указываются в Google Apps и они используются всеми сервисами и инструментами анализа Android приложений.
2) МИД РФ не в курсе что по факту разрешения приложению не нужны, и начал оправдывать их запрос. Реакция МИДа была не вполне нормальной.
3) По факту приложение не может собирать аудио, подключаться к камере и тд. поскольку это приложение надстройка над мобильным сайтом МИДа, см. выше

В который раз, не масонская ложа, а великая лажа (с). Ну, ошибки разработчиков - это лучше чем заговор, но выглядит всё это вопиюще глупо.

Ссылки:
[1] privacygosmobapps.infoculture.ru
[2] www.1c-bitrix.ru

#privacy #security #android
_______
Источник | #begtin

Крайне любопытное новое устройство - втыкающийся в USB-разъем магнитный размыкатель, который вызывает заранее придуманное действие на компьютере. Типовое применение: стереть все данные с компьютера бухгалтера, если в помещение ворвались злоумышленники. Ну или просто блокировка экрана, если вы не настолько параноик.

Решение действительно неплохое, посмотрите видео - одно короткое действие, причем можно даже не касаться клавиатуры - и все готово. У меня есть точно такое же решение на базе Yubikey, но оно сильно сложнее и дороже. Но я и данные на диске всегда зашифрованными держу 🙂 www.buskill.in
_______
Источник | #addmeto

По поводу моей последней публикации про DNS4EU Евросоюза [1], Михаил Климарев (@zatelecom) прокомментировал у себя в телеграм канале [2] о том что Да, это будет цензура. Если вы денег заплатите.

Но нет, не только если вы денег заплатите. Я ещё раз обращаю на пункт 12. Lawful filtering это не про добровольность и не про родительский контроль, это про фильтрацию в соответствии с регулированием в странах Евросоюза, решениями судов и не только. Он явно указан в этой инициативе и маловероятно что не будет применяться.

Другой вопрос что ограничения на использование альтернативных DNS серверов и сервисов в Евросоюзе не вводятся, во всяком случае пока. Обязательности использования этих серверов также нет. Во всяком случае на сегодняшний день.

Ссылки:
[1] https://t.iss.one/begtin/3447
[2] https://t.iss.one/zatelecom/20261

#privacy #eu #internet #internetfiltering
_______
Источник | #begtin

MyVPN

Приложение для создания личного VPN-сервера. L2TP, PPTP, OpenVPN, WireGuard и д.р.

Провайдеры: DigitalOcean, Linode, CryptoServers, Hetzner Cloud

github.com

#soft #privacy #infosec #VPN
_______
Источник | #GitTools | #полезности

🇷🇺✌️🏛️#роструд #кт #работники #privacy
Работодатель не может запретить сотрудникам разглашать размер зарплаты
🔸В трудовом договоре работодатель запретил сотруднику разглашать размер зарплаты под угрозой дисциплинарной ответственности. Причина – по мнению работодателя, сведения о зарплате являются информацией, содержащей персональные данные. Роструд спросили, вправе ли работодатель включать такое положение в трудовой договор (Письмо Роструда от 24 мая 2022 г. № ПГ/11476-6-1).
🔸В письме сообщается, что обязать работника скрывать размер собственной зарплаты работодатель не вправе. В связи с этим такое условие, даже если оно включено в трудовой договор, не подлежит применению как противоречащее трудовому законодательству и ограничивающее права работника.
🔸Сославшись на письмо Роскомнадзора от 7 февраля 2014 г. № 08 КМ-3681, чиновники пояснили, что сведения о заработной плате лица являются информацией, содержащей персональные данные субъекта.
_______
Источник | #prv_adv

🌍😱📱#privacy #аналитика #meta #fb
Семь патентов Facebook, внушающих ужас:

1️⃣ Считывание ваших личных отношений — «Реконструкция статуса отношений пользователей соцсети». В заявке рассматривается возможность просчитать вероятность того, что вы находитесь в романтических отношениях – используя информацию о том, как часто вы посещаете страницу другого пользователя, сколько человек изображено на вашей аватарке и каков у вас процент друзей противоположного пола.

2️⃣ Классификация личности — «Определение характеристик личности пользователя через его коммуникации и характеристики в соцсети». В патенте предлагается использовать ваши посты и сообщения, чтобы сделать выводы о типе вашей личности. Описывается метод оценки «степени» экстраверсии (интроверсии) пользователя, открытости или эмоциональной стабильности, чтобы затем, исходя из этих характеристик, показывать вам новости и рекламу.

3️⃣ Предсказание вашего будущего — «Предсказание изменений в жизни участников соцсети». В этой заявке описывается использование ваших сообщений, а также данных о местоположении и транзакциях по банковским картам, чтобы предвидеть грядущие значимые изменения в жизни – рождение ребенка, смена места работы, выпускной и пр.

4️⃣ Идентификация вашей фотокамеры — «Привязка фотокамер к пользователям соцсети». Патент предлагает анализировать фотографии, чтобы создать уникальную «подпись» для каждой фотокамеры – основываясь на «битых» пикселях или царапинах на линзах. Эта подпись может быть использована, чтобы определить, что вы знакомы с кем-то, кто загружает снимки, сделанные на вашем устройстве, – даже если ранее связь между вами не была зафиксирована. Также с помощью этого приёма можно предположить близость между вами и вашим другом, основываясь на частоте использования вами одной и той же камеры.

5️⃣ Прослушивание окружающей вас обстановки — «Корреляция данных о медиапотреблении с профилем пользователя». Патент описывает возможность использования микрофона вашего телефона для идентификации телешоу, которые вы смотрите, и определения – понижаете ли вы звук рекламы во время просмотра ТВ. Также предлагается использовать «интерференционный узор, создаваемый силовым кабелем телевизора», чтобы определить, что за передача идет в данный момент.

6️⃣ Отслеживание распорядка вашей жизни — «Уведомления об отклонениях в распорядке жизни». Патентная заявка описывает способ отслеживать ваш еженедельный распорядок действий, и отправлять другим пользователям уведомления об отклонениях от обычного расписания. Дополнительно предлагается считывать геоданные вашего телефона посреди ночи – чтобы установить, где вы живете.

7️⃣ Выводы о ваших привычках — «Статистика для непрерывного отслеживания местоположения». В патенте предлагается сопоставлять локацию вашего телефона с локациями телефонов ваших друзей, чтобы вычислить, с кем вы встречаетесь чаще всего. Также предлагается фиксировать, как долго телефон не перемещается, чтобы определить, сколько часов вы спите.
_______
Источник | #prv_adv

Результаты свежего исследования Инфокультуры с анализом приватности (читай - слежки) 1014 мобильных приложений для Android опубликованных в магазине приложений RuStore.

Мы работали над ним около месяца, анализируя все опубликованные приложения на предмет тех разрешений которые затребуют на устройствах пользователей и наличия в них кода специальных библиотек (трекеров) используемых для слежки за потребителями.

Почему RuStore и приложения оттуда? Потому что усилиями Минцифры РФ и Правительства РФ именно этот магазин приложений стал официальным, фактически, нормативно закреплённым. Можно говорить о том что компания ВК и Правительство РФ теперь несут совокупную ответственность за то как приложения оттуда следят за нами.

Выводы [не]удивительные:
- большая часть приложения включает трекеры, требуют больше разрешений чем им реально может быть нужно, а сам магазин приложений не имеет стандартов верификации.
- большая часть приложений передают данные компаниям в юрисдикциях которые Правительство РФ называет "недружественными"
- даже госприложения включают трекеры, например компании Google, передающие данные о гражданах в другие страны и в BigTech корпорации

44 госприложения мы анализировали в прошлом году, но в этот раз решили подойти масштабнее и проанализировали 1014 приложений всех категорий. Было это дольше, но не менее увлекательно.

С результатами исследования мы публикуем все данные в CSV и исходный код по их подготовке [2].

Если будут сложности самостоятельного анализа данных в CSV и если Вы журналист или исследователь, хотите сделать собственную визуализацию или материал, свяжитесь с нами на [email protected], мы поможем․

Ссылки:
[1] rustoreprivacy.infoculture.ru
[2] github.com

#privacy #infoculture #android #mobileapps
_______
Источник | #begtin

Если вам кажется что только в Вашей стране, где бы Вы ни были, всё делают через одно место и это не голова, то это не так. Например, Chaos Computer Club (CCC), старейшая хакерская команда в Германии, пишут о том что германская компания Gematik отвечающая за информатизацию здравоохранения плохо понимают в информационной безопасности того что они делают [1].

Текст на немецком языке, но легко переводится и смысл его в том что по номеру медицинской страховки сотрудник аптеки может получить о человеке всю информацию о его рецептах, без дополнительной авторизации и подтверждения самого человека. Учитывая что в Германии идёт цифровизация здравоохранения с переходом на электронные рецепты - то это становится актуально.

Я бы ещё обратил внимание на модель угроз которую они описывают. Сотрудник аптеки может продать таблоидам номера страховок знаменитостей и те могут узнать из рецептов от чего знаменитости лечатся.

Это не единственный "косяк" от Gematik, но достаточно яркий.

А если вернуться к российским реалиям, то для авторизации на российском портале ЕМИАС [2] достаточно номера карточки медицинского страхования и даты рождения. После этого доступны данные о записях к врачам, рецептам и направлениям (хорошо хоть не самой медкарты).

Это означает что любой врач в системе ОМС имеющий доступ к Вашему анамнезу может увидеть всю эту информацию на сайте ЕМИАС и Вы никогда об этом не узнаете. Но, всё интереснее. В медицинских полисах последние 6 цифр - это и есть дата рождения. Если у кого-то есть номер вашего мед полиса и даже если этот кто-то не знает даты Вашего рождения он/она может получить доступ к этому же личному кабинету.

Страны разные, проблемы похожие.

Ссылки:
[1] www.ccc.de
[2] emias.info

#security #privacy #germany #russia
__
Источник | #begtin
#хроникицифровизации

​mautrix-telegram – гибридный мост Matrix-Telegram для организации общения между пользователями разных протоколов шифрования (Matrix и MTProto)

Мосты создаются по инициативе Matrix. После поднятия и настройки вы можете взаимодействовать с группами и пользователями, как если бы они были Matrix комнатами и Matrix пользователями

⤷ Ссылка на проект

GitHub | #Interesting #Privacy #Security #Telegram
_______
Source: GitHub Community