Главный радиочастотный центр (ФГУП при Роскомнадзоре) объявил закупку на "Выполнение работ по созданию автоматизированной системы мониторинга нарушений прав субъектов персональных данных в сети «Интернет» " [1] (АС МПДн)
Закупают они по 223-ФЗ, поэтому победителя торгов мы не узнаем, а вот на что точно можно и нужно обратить внимание так это на чрезвычайно детальное техническое задание с тщательным перечислением всех технических средств предполагаемых к использованию, что, чаще, бывает когда ТЗ пишет поставщик предопределенный госзаказчиком. Но, опять же, с сайта ЕИС мы о поставщике не узнаем.
Зато можно обратить внимание по каким ключевым словам Роскомнадзор собирается искать сайты распространяющие ПДн.
Как бы сказать помягче, система в будет совершенно бессмысленна. Её заказчики явно не понимают как устроено распространение персональных данных.
Ссылки:
[1] zakupki.gov.ru
#privacy #rkn #procurement
_______
Источник | #begtin
Закупают они по 223-ФЗ, поэтому победителя торгов мы не узнаем, а вот на что точно можно и нужно обратить внимание так это на чрезвычайно детальное техническое задание с тщательным перечислением всех технических средств предполагаемых к использованию, что, чаще, бывает когда ТЗ пишет поставщик предопределенный госзаказчиком. Но, опять же, с сайта ЕИС мы о поставщике не узнаем.
Зато можно обратить внимание по каким ключевым словам Роскомнадзор собирается искать сайты распространяющие ПДн.
Как бы сказать помягче, система в будет совершенно бессмысленна. Её заказчики явно не понимают как устроено распространение персональных данных.
Ссылки:
[1] zakupki.gov.ru
#privacy #rkn #procurement
_______
Источник | #begtin
SecurityLab пишут [1] о том как несколько дней назад Христо Грозев, основатель Belligcat, выступал с предсказанием что года через 2 в России введут аккредитацию хостинг провайдеров и, соответственно, снижение скорости подключения к тем кто не аккредитуется.
Я не буду говорить о том что это поубивает весь ИТ/интернет бизнес в России который работал и работает на международную аудиторию, отъезд команд разработчиков резко ускорится, впрочем он и так набирает обороты. Я хочу сказать что это предсказание вполне реалистично и я добавлю свои пункты. При этом оговорюсь что не надо полагать что что-то из того о чём я пишу и так не знают. Уже давно регуляторам никто ничего не подсказывает, там всё знают.
1. Расширение полномочий Росфинмониторинга и ведение "списка блокировок финансовых транзакций" через Росфинмониторинг и ЦБ РФ. Фактически, неаккредитованным хостинг провайдерами и не только будут отрубать возможность получения платежей из России.
2. Запрет любой криптовалюты вне мониторинга ЦБ РФ и Росфинмониторинга. Цифровой рубль, если он таки будет, будет совершенно точно создаваться по критерию наблюдаемости и неанонимности транзакций. И это будет не только про входящие деньги на политическую активность, но и исходящие на платежи зарубежным сервисам.
3. Криминализация использования любой не аккредитованной ЦБ криптовалюты. Именно по причине неотслеживаемости и анонимности транзакций. Под это будут "публичные казни", мощные медиавбросы про ловлю криминальных банд легализующих через криптовалюту большие объёмы криминальных денег.
4. Ужесточение регулирования CDN провайдеров используемых для анонимизации хостинга контента. Модель будет всё та же - "Или сообщаете информацию о клиентах, или получаете блок на трафик и на финансовые транзакции". CDN сервисы разделяться на те которые на это согласятся и те которые нет
5. Создание специального реестра компаний ведущих интернет торговлю и получающих платежи из России. Скорее всего постепенно, начиная с каких-то критичных товаров и далее расширяя. Наиболее вероятный сценарий через принятие регулирования аналогичного GDPR с его экстерриториальностью, но с большим акцентом именно на экстерриториальность. То есть российские компании могут временно не регулировать, а вот зарубежные собирающие данные россиян вполне могут.
Ссылки:
[1] www.securitylab.ru
#privacy #security
_______
Источник | #begtin
Я не буду говорить о том что это поубивает весь ИТ/интернет бизнес в России который работал и работает на международную аудиторию, отъезд команд разработчиков резко ускорится, впрочем он и так набирает обороты. Я хочу сказать что это предсказание вполне реалистично и я добавлю свои пункты. При этом оговорюсь что не надо полагать что что-то из того о чём я пишу и так не знают. Уже давно регуляторам никто ничего не подсказывает, там всё знают.
1. Расширение полномочий Росфинмониторинга и ведение "списка блокировок финансовых транзакций" через Росфинмониторинг и ЦБ РФ. Фактически, неаккредитованным хостинг провайдерами и не только будут отрубать возможность получения платежей из России.
2. Запрет любой криптовалюты вне мониторинга ЦБ РФ и Росфинмониторинга. Цифровой рубль, если он таки будет, будет совершенно точно создаваться по критерию наблюдаемости и неанонимности транзакций. И это будет не только про входящие деньги на политическую активность, но и исходящие на платежи зарубежным сервисам.
3. Криминализация использования любой не аккредитованной ЦБ криптовалюты. Именно по причине неотслеживаемости и анонимности транзакций. Под это будут "публичные казни", мощные медиавбросы про ловлю криминальных банд легализующих через криптовалюту большие объёмы криминальных денег.
4. Ужесточение регулирования CDN провайдеров используемых для анонимизации хостинга контента. Модель будет всё та же - "Или сообщаете информацию о клиентах, или получаете блок на трафик и на финансовые транзакции". CDN сервисы разделяться на те которые на это согласятся и те которые нет
5. Создание специального реестра компаний ведущих интернет торговлю и получающих платежи из России. Скорее всего постепенно, начиная с каких-то критичных товаров и далее расширяя. Наиболее вероятный сценарий через принятие регулирования аналогичного GDPR с его экстерриториальностью, но с большим акцентом именно на экстерриториальность. То есть российские компании могут временно не регулировать, а вот зарубежные собирающие данные россиян вполне могут.
Ссылки:
[1] www.securitylab.ru
#privacy #security
_______
Источник | #begtin
SecurityLab.ru
Христо Гроздев: Через 2 года в России замедлят зарубежный сегмент Интернета
В России в ближайшие два года планируют ввести систему аккредитации всех хостинг-провайдеров. Для провайдеров, не прошедших аккредитацию, скорость будет ограничена.
Для всех кто ищут варианты защиты приватности на фоне глобальных событий по блокировке публичных DNS напомню про такой неплохой ресурс с коллекцией инструментов как Privacy Guides [1]
Там есть обзор DNS провайдеров [2].
Ранее это был сайт PrivacyTools.io, но он совсем недавно был обновлён [3] и перешёл на другой домен потому что владелец домена privacytools.io куда-то исчез.
А коллекция инструментов весьма неплохая.
Ссылки:
[1] www.privacyguides.org
[2] www.privacyguides.orgproviders/dns/
[3] www.reddit.com
[4] www.reddit.comhct0pz7/
#privacy
_______
Источник | #begtin | #полезности
Там есть обзор DNS провайдеров [2].
Ранее это был сайт PrivacyTools.io, но он совсем недавно был обновлён [3] и перешёл на другой домен потому что владелец домена privacytools.io куда-то исчез.
А коллекция инструментов весьма неплохая.
Ссылки:
[1] www.privacyguides.org
[2] www.privacyguides.orgproviders/dns/
[3] www.reddit.com
[4] www.reddit.comhct0pz7/
#privacy
_______
Источник | #begtin | #полезности
Reddit
From the PrivacyGuides community on Reddit
Explore this post and more from the PrivacyGuides community
Про новые мобильные приложения Минцифры, в версиях для Android, если без иронии и сжато.
Госуслуги.Авто [1]
* подписано сертификатом АО РТЛАБС
* опубликовано от имени Минцифры России
* включают для связи с серверами Российского союза автостраховщиков (РСА)
* включают код журналирования действий на сервера разработки РСА и их SDK
* содержит следы кода компании ЛАНИТ, возможно как чать SDK РСА
* содержит код трекеров Google Firebase Analytics, Google Crashlytics, Yandex AppMetrica
* запрашивает разрешение на звонки и доступ к камере
* не включает сведений о передачи данных третьим сторонам в условиях использования, там не упомянуты: РСА, Google, Yandex
Госуслуги.Культура [2]
* подписано сертификатом АО РТЛАБС
* опубликовано от имени Минцифры России
* наиболее вероятно разработано компанией Notamedia (есть метки в коде)
* приложение написано на языке Flutter, скомпилировано в нативный код в виде libapp.so. Как следствие не все активности выявляются статическим анализом
* обращается к серверу pushka.gosuslugi.ru, возможно к каким-то ещё, сложно выяснить статическим анализом
* содержит код трекера Mail.ru MyTracker
* запрашивает разрешение на запись аудио и на доступ к камере
* не включает сведений о передачи данных третьим сторонам в условиях использования, там не упомянуты: Mail.ru
Ссылки:
[1] play.google.com
[2] play.google.com
#apps #privacy
_______
Источник | #begtin
Госуслуги.Авто [1]
* подписано сертификатом АО РТЛАБС
* опубликовано от имени Минцифры России
* включают для связи с серверами Российского союза автостраховщиков (РСА)
* включают код журналирования действий на сервера разработки РСА и их SDK
* содержит следы кода компании ЛАНИТ, возможно как чать SDK РСА
* содержит код трекеров Google Firebase Analytics, Google Crashlytics, Yandex AppMetrica
* запрашивает разрешение на звонки и доступ к камере
* не включает сведений о передачи данных третьим сторонам в условиях использования, там не упомянуты: РСА, Google, Yandex
Госуслуги.Культура [2]
* подписано сертификатом АО РТЛАБС
* опубликовано от имени Минцифры России
* наиболее вероятно разработано компанией Notamedia (есть метки в коде)
* приложение написано на языке Flutter, скомпилировано в нативный код в виде libapp.so. Как следствие не все активности выявляются статическим анализом
* обращается к серверу pushka.gosuslugi.ru, возможно к каким-то ещё, сложно выяснить статическим анализом
* содержит код трекера Mail.ru MyTracker
* запрашивает разрешение на запись аудио и на доступ к камере
* не включает сведений о передачи данных третьим сторонам в условиях использования, там не упомянуты: Mail.ru
Ссылки:
[1] play.google.com
[2] play.google.com
#apps #privacy
_______
Источник | #begtin
Google Play
Приложения в Google Play – Госуслуги Авто
«Госуслуги Авто» — электронные документы и сервисы для автовладельцев
Ссылки:
[1] facepay.mosmetro.ru
[2] www.dw.com
[3] www.tadviser.ru
[4] www.tadviser.ru(ВижнЛабс)
[5] clearspending.ru
[6] reports.exodus-privacy.eu.org
#privacy
_______
Источник | #begtin
[1] facepay.mosmetro.ru
[2] www.dw.com
[3] www.tadviser.ru
[4] www.tadviser.ru(ВижнЛабс)
[5] clearspending.ru
[6] reports.exodus-privacy.eu.org
#privacy
_______
Источник | #begtin
DW
Face Pay в Москве: тотальная слежка или удобный сервис?
В московском метро с 15 октября будет работать сервис оплаты по технологии распознавания лица. К нему уже подключили 14 линий. Критики называют этот сервис очередным шагом к системе тотального контроля.
Моя презентация с конгресса EDPC о слежке через государственные мобильные приложения [1].
В презентации всё сказанное не передашь, так что задавайте вопросы/комментируйте в чате
Ссылки:
[1] www.beautiful.ai
#privacy
_______
Источник | #begtin
В презентации всё сказанное не передашь, так что задавайте вопросы/комментируйте в чате
Ссылки:
[1] www.beautiful.ai
#privacy
_______
Источник | #begtin
Beautiful.ai
Слежка через государственные мобильные приложения
Get started with Beautiful.ai today.
Моя презентация с конгресса EDPC о слежке через государственные мобильные приложения [1].
В презентации всё сказанное не передашь, так что задавайте вопросы/комментируйте в чате
Ссылки:
[1] www.beautiful.ai
#privacy
_______
Источник | #begtin
В презентации всё сказанное не передашь, так что задавайте вопросы/комментируйте в чате
Ссылки:
[1] www.beautiful.ai
#privacy
_______
Источник | #begtin
Beautiful.ai
Слежка через государственные мобильные приложения
Get started with Beautiful.ai today.
Объясните мне, знающие люди, зачем часть сайтов и, может быть, инфраструктуры Мэрии Москвы находится за пределами РФ? Например, хостится на серверах Hetzner, Германия. Это такой хостер-дискаунтер, хороший в своём классе, но далёкий от России.
Вот примеры:
- inno.mos.ru - IP: 78.46.71.197 (открывается пустая страница)
- cgrt.mos.ru - IP: 176.9.230.170 (не открывается)
- gk.tech.mos.ru - IP: 138.201.197.43 (заглушка на немецком языке)
- aupd-test.mos.ru - IP: 95.216.13.234 (тестовая страница Московской электронной школы)
- new.dit.mos.ru - IP: 176.9.230.170 (не открывается)
Я, конечно, всё понимаю, немецкое качество и всё такое, но как так можно случайно сделать?
Это не единственный зарубежный хостер на который указывают домены в зане mos.ru и этот список не финальный. Читающим меня сотрудникам ДИТ Москвы я бы посоветовал проверить тщательно, потому что нельзя так делать.
#privacy #security #internet #moscow
_______
Источник | #begtin
Вот примеры:
- inno.mos.ru - IP: 78.46.71.197 (открывается пустая страница)
- cgrt.mos.ru - IP: 176.9.230.170 (не открывается)
- gk.tech.mos.ru - IP: 138.201.197.43 (заглушка на немецком языке)
- aupd-test.mos.ru - IP: 95.216.13.234 (тестовая страница Московской электронной школы)
- new.dit.mos.ru - IP: 176.9.230.170 (не открывается)
Я, конечно, всё понимаю, немецкое качество и всё такое, но как так можно случайно сделать?
Это не единственный зарубежный хостер на который указывают домены в зане mos.ru и этот список не финальный. Читающим меня сотрудникам ДИТ Москвы я бы посоветовал проверить тщательно, потому что нельзя так делать.
#privacy #security #internet #moscow
_______
Источник | #begtin
Telegram
Ivan Begtin
Объясните мне, знающие люди, зачем часть сайтов и, может быть, инфраструктуры Мэрии Москвы находится за пределами РФ? Например, хостится на серверах Hetzner, Германия. Это такой хостер-дискаунтер, хороший в своём классе, но далёкий от России.
Вот примеры:…
Вот примеры:…
Обновление Tor Browser 11.0.1 с интеграцией поддержки сервиса Blockchair
[www.opennet.ru]
В новом выпуске в число поисковых движков добавлен сервис Blockchair, позволяющий осуществлять поиск по 17 блокчейнам популярных криптовалют (Bitcoin, Etherеum, DogeCoin, Litecoin, Monero и т.п.). Например, пользователь теперь может набрать в адресной строке номер криптокошелька или транзакции, выбрать Blockchair и получить подробную информацию о состоянии кошелька и связанных с ним операциях. Кроме поддержки Blockchair в новой версии также отключена система рекомендаций Firefox (рекомендуемые для установки дополнения) и устранена проблема с работой после изменения настройки "Always use private browsing mode" в about:preferences#privacy.
_______
Источник | #dcntr
[www.opennet.ru]
В новом выпуске в число поисковых движков добавлен сервис Blockchair, позволяющий осуществлять поиск по 17 блокчейнам популярных криптовалют (Bitcoin, Etherеum, DogeCoin, Litecoin, Monero и т.п.). Например, пользователь теперь может набрать в адресной строке номер криптокошелька или транзакции, выбрать Blockchair и получить подробную информацию о состоянии кошелька и связанных с ним операциях. Кроме поддержки Blockchair в новой версии также отключена система рекомендаций Firefox (рекомендуемые для установки дополнения) и устранена проблема с работой после изменения настройки "Always use private browsing mode" в about:preferences#privacy.
_______
Источник | #dcntr
www.opennet.ru
Обновление Tor Browser 11.0.1 с интеграцией поддержки сервиса Blockchair
Доступна новая версия браузера Tor Browser 11.0.1. Браузер сосредоточен на обеспечении анонимности, безопасности и приватности, весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно…
Почему в прошлой публикации я написал что МИД мог бы свалить всю вину на разработчиков приложения?
Во-первых потому что в большинстве госприложений запрашивается меньше небезопасных разрешений. Так приложение МИДа запрашивает их 8 штук, аналогичные запросы делают только несколько приложений Московского Пр-ва, мы делали исследование год назад где писали об этом [1], но там это было, как бы, хотя бы частично обосновано.
А во вторых, и в главных, важно знать как устроено приложение МИДа. Это не специализированное мобильное приложение вроде Госуслуг, Госключа или Активного гражданина или ещё много чего. Это контентное приложение построенное на материалах сайта МИДа РФ. А если конкретнее - это оболочка над браузером который обращается к сайту m.mid.ru скорее всего сделанное на движке 1С Битрикс мобильное приложение [2].
Так вот совершенно непонятно зачем мобильному приложению которое, по сути, просто надстройка над сайтом и без дополнительных функций нужны разрешения на доступ к камере или записи аудио. В приложении просто не предусмотрены задачи для которых эти разрешения применимы.
После углублённого анализа выяснилось следующее.
Это сложное xapk приложение с набором вложенных apk файлов под разные языки и базовым приложением ru.mid.app.apk внутри этого xapk. В AndroidManifest.xml общего приложения затребуются максимум разрешений, а внутри ru.mid.app.apk их нет вообще. Поэтому при проверке по приложению указано то что при установке не затребуются. В итоге всё сводится к тому что:
1) Разработчики ошиблись в структуре манифеста затребующего разрешения, но именно разрешения из этого манифеста указываются в Google Apps и они используются всеми сервисами и инструментами анализа Android приложений.
2) МИД РФ не в курсе что по факту разрешения приложению не нужны, и начал оправдывать их запрос. Реакция МИДа была не вполне нормальной.
3) По факту приложение не может собирать аудио, подключаться к камере и тд. поскольку это приложение надстройка над мобильным сайтом МИДа, см. выше
В который раз, не масонская ложа, а великая лажа (с). Ну, ошибки разработчиков - это лучше чем заговор, но выглядит всё это вопиюще глупо.
Ссылки:
[1] privacygosmobapps.infoculture.ru
[2] www.1c-bitrix.ru
#privacy #security #android
_______
Источник | #begtin
Во-первых потому что в большинстве госприложений запрашивается меньше небезопасных разрешений. Так приложение МИДа запрашивает их 8 штук, аналогичные запросы делают только несколько приложений Московского Пр-ва, мы делали исследование год назад где писали об этом [1], но там это было, как бы, хотя бы частично обосновано.
А во вторых, и в главных, важно знать как устроено приложение МИДа. Это не специализированное мобильное приложение вроде Госуслуг, Госключа или Активного гражданина или ещё много чего. Это контентное приложение построенное на материалах сайта МИДа РФ. А если конкретнее - это оболочка над браузером который обращается к сайту m.mid.ru скорее всего сделанное на движке 1С Битрикс мобильное приложение [2].
Так вот совершенно непонятно зачем мобильному приложению которое, по сути, просто надстройка над сайтом и без дополнительных функций нужны разрешения на доступ к камере или записи аудио. В приложении просто не предусмотрены задачи для которых эти разрешения применимы.
После углублённого анализа выяснилось следующее.
Это сложное xapk приложение с набором вложенных apk файлов под разные языки и базовым приложением ru.mid.app.apk внутри этого xapk. В AndroidManifest.xml общего приложения затребуются максимум разрешений, а внутри ru.mid.app.apk их нет вообще. Поэтому при проверке по приложению указано то что при установке не затребуются. В итоге всё сводится к тому что:
1) Разработчики ошиблись в структуре манифеста затребующего разрешения, но именно разрешения из этого манифеста указываются в Google Apps и они используются всеми сервисами и инструментами анализа Android приложений.
2) МИД РФ не в курсе что по факту разрешения приложению не нужны, и начал оправдывать их запрос. Реакция МИДа была не вполне нормальной.
3) По факту приложение не может собирать аудио, подключаться к камере и тд. поскольку это приложение надстройка над мобильным сайтом МИДа, см. выше
В который раз, не масонская ложа, а великая лажа (с). Ну, ошибки разработчиков - это лучше чем заговор, но выглядит всё это вопиюще глупо.
Ссылки:
[1] privacygosmobapps.infoculture.ru
[2] www.1c-bitrix.ru
#privacy #security #android
_______
Источник | #begtin
Крайне любопытное новое устройство - втыкающийся в USB-разъем магнитный размыкатель, который вызывает заранее придуманное действие на компьютере. Типовое применение: стереть все данные с компьютера бухгалтера, если в помещение ворвались злоумышленники. Ну или просто блокировка экрана, если вы не настолько параноик.
Решение действительно неплохое, посмотрите видео - одно короткое действие, причем можно даже не касаться клавиатуры - и все готово. У меня есть точно такое же решение на базе Yubikey, но оно сильно сложнее и дороже. Но я и данные на диске всегда зашифрованными держу 🙂 www.buskill.in
_______
Источник | #addmeto
Решение действительно неплохое, посмотрите видео - одно короткое действие, причем можно даже не касаться клавиатуры - и все готово. У меня есть точно такое же решение на базе Yubikey, но оно сильно сложнее и дороже. Но я и данные на диске всегда зашифрованными держу 🙂 www.buskill.in
_______
Источник | #addmeto
BusKill
BusKill: The USB Laptop Kill Cord
#BusKill is a laptop #DeadManSwitch triggered by someone physically yanking your laptop away from you. Powered by #USB & #udev. #opsec #infosec #CyberSecurity #travel #safety #TravelSecurity #security #privacy