Китайская корпорация Tencent со вчерашнего ввела в принадлежащих ей играх "комендантский час" с распознаванием лиц, чтобы несовершеннолетние не играли по ночам и не тратили в играх деньги. Начали с 60 мобильных игр и планируют постепенно распространить систему на все игры, которые принадлежат Tencent.

Работает это так: все игровые аккаунты по умолчанию - ограничены и имеют права как для несовершеннолетних. Таким аккаунтам можно играть 1.5 часа в рабочие дни и 3 часа в выходные и праздничные, и только с 8 утра до 10 вечера, игровых платежей в таких аккаунтах можно делать только на 400 юаней в месяц (это примерно 4500 рублей), и для этого распознавание лица проходить не надо. Но если хочется поиграть ночью или положить больше денег на игровой аккаунт - надо проходить распознавание лица при входе в игру или во время платежа. Tencent уже тестировал эту систему и пишет, что в июне распознавание лица при входе в игру предлагали пройти в среднем 5.8 миллионам аккаунтов в день и 91.4% попыток - не прошли. То ли пользователи отказались распознаваться, то ли правда система распознавания их забраковала.

Вторая функция, которую Tencent вчера ввел, это что-то вроде родительского контроля: взрослый пользователь смартфона может сам включить обязательное требование распознавания лица для своего аккаунта, а то дети таскают родительские телефоны, чтобы на них играть.

Tencent придумал всю эту историю не сам: наверняка им выгодно, чтобы люди много играли на смартфонах и тратили в играх деньги. Но в 2019 году Китай принял официальные государственные правила и Tencent их буквально имплементирует. Основных ограничений для несовершеннолетних в госправилах три:

1. Регистрировать аккаунты можно только на настоящие имена и фамилии.
2. Играть можно с 8 утра до 10 вечера, 90 минут в рабочие дни и 3 часа в выходные.
3. Пользователям младше восьми лет вообще нельзя делать покупки в играх. С 8 до 16 лет нельзя одноразово платить больше 50 юаней и в месяц больше 200. С 16 до 17 лет нельзя одноразово платить больше 100 юаней и в месяц больше 400.

И с одной стороны вроде они добра желают. А с другой - должно ли государство законодательно регулировать, сколько часов в день можно играть на смартфоне? А еще, в определении свободного ПО есть такая "нулевая свобода": программу можно свободно использовать с любой целью. Игры Tencent устроены наоборот: приложением фактически владеет производитель, который решает, когда и как оно у пользователя будет работать.

Выпущен Tor Browser 10.5. В нем появилась поддержка бриджей Snowflake, которые должны выручать в странах, где Tor блокируется. Например, в Беларуси государство борется с Tor с 2015 года.

Как работает нововведение: пользователи, у которых нет доступа к Tor, включают у себя Snowflake в настройках Tor Browser (Настройки-Tor-Использовать мост-Выбрать встроенный мост-Snowflake). Волонтеры, у которых есть доступ в сеть Tor, устанавливают в своих обычных браузерах расширение Snowflake (вот ссылки для Firefox, Chrome) и соглашаются быть прокси в сеть Tor, и потом через них начинает ходить чужой зашифрованный трафик. В любой момент в сети активно около 8000 Snowflake прокси и если кто-то из них исчезает, соединение автоматически переключается на другой. Скорость у конечного пользователя при этом снижается, но людям, у которых заблокирован Tor, выбирать не приходится.

Дополнительная техническая информация здесь.

В Беларуси сегодня заблокировали два популярных там новостных сайта - Еврорадио (euroradio.pl) и Наша Нива (nn.by). Причем nn.by хостился в Беларуси, поэтому его по факту просто отключили и он перестал открываться для пользователей во всем мире, с VPN и без. В Беларуси есть указ, по которому местные сайты должны быть размещены на хостинговых площадках в Беларуси, и это позволяет их блокировать из Беларуси для всего мира.

На сайте Роскомсвободы - история о том, как Роскомнадзор попросил Wordpress.com заблокировать одну страницу, а Wordpress.com заблокировал весь сайт, а вчера разблокировал.

Есть такой сайт о марийцах и финно-угорском мире https://mariuver.com/ Это - платный блог на площадке Wordpress.com с собственным доменным именем. У них вышла заметка, которую Роскомнадзор потребовал снять, потому что там содержалась информация о способе самоубийства. Редактор заметку снял. А РКН, оказывается, отправил требование снять заметку и в Wordpress.com, а те заблокировали для России весь сайт "чтобы WordPress.com оставался доступным для всех в России". Испугались, что их IP-адреса заблокируют, а у них на нескольких адресах все клиенты их платформы. В результате сайт https://mariuver.com/ из России не открывается, показывает пользователям заглушку, и Роскомсвобода делает материал на сайте. А редактор пишет в поддержку Wordpress.com, вы чего, я же снял заметку, и вообще, за что весь сайт заблокировали? А техподдержка ему вчера отвечает, да, погорячились. И разблокировали сайт!

В общем, если блокируют незаконно, то ругаться с сервис-провайдерами бывает полезно.

Сегодня в Китае заблокированы сайты крупных криптовалютных бирж Binance.com, Huobi.com и Okex.com. У Binance также перестало работать мобильное приложение. И кстати, ровно месяц назад любые упоминания этих бирж исчезли из китайских поисковых систем Baidu и Sogou и социальных сетей. Не любит китайское государство криптобиржи.

До конца сентября Mozilla собирается предложить всем пользователям Firefox в Канаде включить DNS-поверх-HTTPS (DoH), то есть шифровать весь DNS трафик в Firefox. Канада - вторая страна, в которой Firefox предлагает всем пользователям включать DoH, в прошлом году Mozilla то же самое сделала в США. У Mozilla есть собственный список доверенных DNS-серверов, которые поддерживают DoH, и теперь в их число входит канадская CIRA.

Какую проблему они вообще решают? DNS - это старая технология, в которой запросы и ответы не зашифрованы, а поэтому маршрутизаторы между пользователем и доверенным DNS-сервером могут следить за пользовательскими запросами, блокировать их или модифицировать. Это - известный способ интернет-цензуры, он, к примеру, активно используется в Китае. Так вот DoH - это способ решения этой проблемы на уровне браузера.

Поддержка этой технологии уже давно есть во всех основных браузерах, но она, как правило, отключена. К примеру, будет ли DoH работать в Chrome с настройками по умолчанию, зависит от того, поддерживает ли эту технологию используемый в системе DNS-сервер. Конечно, DNS-через-HTTPS можно включить руками, но такое делаем только мы с вами, а остальным пользователям лень разбираться и менять настройки. Вот для них Mozilla и старается. Как обычно, безопасность приложения определяется его настройками по умолчанию.

Если вы еще не ковырялись с DoH, вот как он включается в Firefox и Chrome. И есть онлайн-тестилки, например у Cisco.

Защищенный сервис электронной почты Tutanota жалуется на Google. Имейлы от платных пользователей Tutanota на Gmail не доходят, если в теле сообщения есть ссылка на https://tutanota.com. У бесплатных аккаунтов такой проблемы нет. Наверное, косяк конфигурации спам-фильтров, но выглядит некрасиво.

На Медузе вышло интервью Евгения Антипова, создателя "Глаза Бога" - канала и бота, предлагающего услуги "пробива". "Глаз Бога" удалили из Telegram 2 июля по решению суда, но проект запустил кучу клонов. Теперь Антипов обещает публиковать компромат на Telegram: "все, что у меня на них есть — а есть у меня сильно много — вылить в сеть. Все их сообщения, все голосовые, где они рассказывают, как сливают информацию всем подряд. И про коррупцию в Telegram, и про их связь с РКН — все-все абсолютно."

И вот еще интересная цитата: "После обыска [в апреле 2021 года] меня отвезли на разговор в Следственный комитет. И я услышал там от их сотрудников, которые в праве шарят: «Когда нужно узнать, кто кого ищет в боте, мы запрашиваем не вас, а Telegram: у нас к ним больше доверия. Вы-то можете что-то подмешать к ответу на запрос, загрязнить данные — а они так не будут делать: там люди с репутацией сидят. В Telegram мы возьмем все, что нужно, от и до»."

А еще Антипов рассказывает, что "Глаз Бога" сохраняет и анализирует, кто кого "пробивает", например, кого и когда ищут сотрудники спецслужб и журналисты: "Журналисты ... мы раздали им подписки, чтобы они подсели на «Глаз Бога» — и поставили все их запросы на монитор. И теперь можно смотреть, кто какие запросы сейчас делает: о ком ищут информацию."

В общем, однозначно надо читать целиком, очень много любопытных заявлений.

Перестал реcолвиться домен pikabu.ru, возвращает статус "Не делегирован". Что случилось, пока неизвестно, в реестре запрещенных сайтов их нет.
UPD: Починили!

На vc.ru обсуждают вчерашнюю историю. Человеку звонит "Служба безопасности Сбербанка", а дальше следим за руками: "Во время общения с "младшим сотрудником", "старший" звонит на номер 900 подставляя на исходящий мой номер. Там робот предлагает продиктовать мне остаток по картам, просит назвать номер, если назвать номер наугад, то робот дружелюбно сообщает что такой карты нет, и называет номера всех действующих карт (Сбер,это реально круто, спасибо). Далее называешь номер любой из карт, и он сообщает тебе остаток."

И оно реально так и работает, достаточно позвонить с правильного номера, чтобы получить у робота информацию по остаткам и последние четыре цифры номера карты. Никакая другая авторизация не нужна, можете сами проверить. А подделать исходящий номер - решаемая задача.

Получается, что последние четыре цифры номера карты Сбербанка и остаток на счету - это информация, доступная технически грамотным мошенникам. Учитывайте это, когда будете принимать входящие звонки.

На Кубе протесты, поэтому там отрубали интернет, а теперь блокируют Telegram, Whatsapp Signal, Facebook и Instagram. При этом VPN работает.

Местные айтишники в соцсетях рассказывают про децентрализованные мессенджеры Briar и Matrix, причем Briar даже специально разрабатывался для подобных ситуаций и хорошо работает без интернета. А обычные пользователи пока в основном пишут, что пользуются VPN: установить и включить его - проще и удобнее, чем договариваться с контактами о смене мессенджера.

Админ Пикабу рассказывает историю про утреннее разделегирование.

• 5 июля регистратор Reg.ru просит админа Пикабу актуализировать паспортные данные. Админ по имейлу отвечает, что паспортные данные не менялись, и уезжает в отпуск.
• 8 июля Reg.ru присылает следующий имейл, что при непредоставлении паспортных данных разделегирует домен. Админ в отпуске и не видит этого имейла.
• 13 июля в два часа ночи Reg.ru разделегирует домен, админ понимает это в пять утра и с пяти до десяти утра через поддержку возвращает делегирование.

В посте голосование, кто из них достоин быть принятым в лигу тупых, админ или reg.ru. Большинство ответивших считают, что оба.

Вышла новая версия специализированного дистрибутива Tails 4.20. Tails - это известный liveusb, заточенный под использование Tor. Помимо обновлений версий пакетов, основное нововведение в новой версии - это мастер настройки Tor Connection Assistant, который на старте предлагает пользователю выбрать, соединяться с Tor "автоматически" (обычно) или через obfs4 мост. Называется эта опция "прятать от моей локальной сети, что я пользуюсь Tor (более безопасно)". Чтобы использовать мосты, пользователю нужно вводить их руками, и мастер предлагает отправить имейл на [email protected]. В будущем мастер настройки обещают допиливать, чтобы система запоминала мосты между перезагрузками, пока этого нет.

В общем, в этой версии работу с obfs4 мостами просто сделали немного удобнее. И теперь там Tor Browser 10.5.2 с поддержкой нового типа бриджей Snowflake, про который мы недавно писали. Snowflake позволяет пользователям, у которых Tor заблокирован, соединяться с сетью Tor через компьютеры волонтеров.

ЦОДД (Центр организации дорожного движения) запустил тепловую карту поездок по Москве на такси. Операторы в реальном времени передают обезличенные данные о поездках в ГИС ЕРНИС, и потом данные появляются на этой карте на следующий день, сегодня посмотреть нельзя. При выборе отдельных элементов карта показывает по ним статистику. Можно посмотреть, куда уезжали из сегмента и откуда приезжали. Очень впечатляет.

The Telegraph рассказывает, как сотрудники Facebook следили за пользователями в личных целях: читали их переписку в мессенджерах и отслеживали геолокацию. Эта публикация - отрывок из новой книги-расследования под названием "Ugly Truth: Inside Facebook’s Battle for Domination" ("Уродливая правда: внутри битвы Facebook за господство").

Всего с начала 2014 по август 2015 года Facebook уволил 52 человека за использование служебного положения для слежки за пользователями. Большинство из уволенных - мужчины-инженеры, которые шпионили за женщинами. В материале приводится несколько типичных историй: инженер читает переписку женщины, с которой он сходил на свидание, а она перестала отвечать ему в чате; другой инженер читает закрытую информацию из профиля женщины перед первым свиданием; еще один поехал с женщиной в путешествие, они поссорились и она переехала в другой отель, а он ее там нашел по геолокации. И так далее. Внутренние системы Facebook были слабо защищены от слежки за пользователями со стороны сотрудников до того, как компания наняла известного безопасника Алекса Стамоса в 2015 году на роль директора по безопасности. Стамос стал публично говорить об этой проблеме и пытаться защитить данные пользователей от сотрудников.

Вот для этого и придумали e2ee (end-to-end encryption, оконечное шифрование). Если его нет, то гораздо выше вероятность, что какие-нибудь мудаки-сотрудники будут тихо шпионить за пользователями в личных целях или продавать эту информацию какой-нибудь Саудовской Аравии (как в прошлогодней истории про Twitter).

Известный провайдер бесплатного VPN Psiphon показывает статистику использования на Кубе, где сейчас блокируют мессенджеры и соцсети, но работает VPN. Около 700 тысяч новых пользователей за несколько дней!

Psiphon - это канадская компания, которая отличается от большинства других бесплатных провайдеров VPN бизнес-моделью. Она не торгует данными пользователей (хотя может делиться статистикой со спонсорами и исследователями), а в основном собирает спонсорские деньги на то, чтобы предоставлять бесплатный VPN в ситуациях вроде кубинской. Их часто рекомендуют тем, кому нужен "какой-нибудь бесплатный VPN".

Сайт Psiphon.ca давно занесен в российский реестр запрещенных сайтов, но сам VPN в России работает. И если послать имейл с любым текстом на [email protected], то робот присылает в ответ приложения для Windows и Android аттачментами и прямые ссылки на скачивание приложений с серверов Amazon.

Вчера Whatsapp запустил бета-версию с поддержкой пяти устройств в одном аккаунте. Раньше один телефон с аккаунтом Whatsapp подключался к сети Whatsapp, а уже к телефону можно было подключить один компьютер, который фактически был просто отдельным устройством ввода-вывода для телефона.

Во вчерашней бете разработчики добавили поддержку максимум четырех "несмартфонов", и все они - независимые устройства, которые соединены с инфраструктурой Whatsapp напрямую. На всех подключенных устройствах работают голосовые и видео звонки. При этом Facebook обещает, что оконечное (e2e) шифрование сохранилось и даже объясняет, как это реализовано. В интерфейсе по прежнему видны пользователи, а не их устройства, но "под капотом" разработчики разделили сущности "аккаунт" и "устройство в аккаунте", и теперь отправитель зашифровывает каждое сообщение ключами всех устройств, привязанных к аккаунту получателя. Если вас интересуют дополнительные технические подробности - читайте анонс.

То, что делает Whatsapp, это стандартное решение проблемы "как поженить оконечное шифрование и поддержку нескольких устройств". У этого решения есть стандартное слабое место: если отправитель не знает, какими ключами шифровать и спрашивает сервер, то сервер может в ответ в своих интересах дать не только "хорошие" ключи, а еще и "плохие". Кто-то из американских спецслужб такое публично предлагал Apple по поводу iMessage: "Давайте вы оставите свое оконечное шифрование, а просто будете все (или некоторые) сообщения в сети шифровать дополнительно и нашим ключом тоже".

Но в целом поддержка нескольких устройств - хорошая новость, и теперь ее можно реально попробовать.

История про поддельные письма с требованиями от поддельных правообладателей.

На Reddit есть такой бот, SaveVideo, он сохраняет видео в файлы. На днях владелец объявил о закрытии бота и связанного с ним сайта RedditSave.com, потому что получил от администрации Reddit письмо с угрозой судебного разбирательства. Письмо длинное, убедительное (pdf в материале по ссылке), и вообще, сейчас правообладатели щемят подобные сервисы, так что владелец не удивился. Тут появляется администрация Reddit и говорит, что они никакого письма не посылали, и это подделка.

После этого журналист Torrentfreak решил дополнительно пройтись по базе Lumen, куда попадают официальные жалобы в адрес соцсетей и поисковиков. Он нашел там еще несколько требованиий выкинуть RedditSave из поисковой выдачи Googlе, отправленных от имени Reddit на этой неделе. И заодно он нашел жалобу в адрес Google с требованием выкинуть из результатов поиска еще 29 сайтов, которые умеют сохранять видео с Reddit. Reddit в ответ заявляет, что это - тоже подделка, кто-то ими притворяется. Google пока ссылки не блокирует, может разобрались, что жалобы фейковые, может статью на Torrentfreak прочитали, а может просто времени слишком мало прошло.

В общем, если бы не поднялся шум, хозяин RedditSave бы сам навсегда выключил и бот и сайт, иногда для этого достаточно просто убедительного имейла. Непубличность списков блокировки - потенциальная дыра, которую могут использовать мошенники.

Vice пишет про дата-брокеров, продающих привязку "анонимных" рекламных идентификаторов устройств к персональным данным. Журналисты переписывались с дата-брокером BIGDBM под видом потенциальных покупателей, и выяснили, что по рекламному идентификатору устройства можно получить "имя, фамилию, адрес, номер телефона, привязанные имейлы, данные о собственности" и так далее.

В общем, такой "пробив" на максималках. Вначале приложения собирают анонимные данные пользователей, а потом эти данные можно деанонимизировать в другом месте. Например, Vice писал про напоминалку о молитве для мусульман Salaat First с 10 миллионами скачиваний в Play Store, которая продавала дата-брокерам данные геолокации пользователей, но там нет персональных данных, только обезличенные идентификаторы!

Рекламные идентификаторы - это IFDA на устройствах Apple и AAID от Google, уникальные номера девайсов, которые используются для таргетированной рекламы и аналитики. Начиная с версии IOS 14.5, которая вышла в апреле, IFDA в IOS доступен приложениям только с явного разрешения пользователя и в среднем около 90% пользователей Apple отказываются.

Google собирается внедрить отдельное разрешение для передачи рекламного идентификатора приложениям только в 2022 году, но уже в конце этого года обещают, что если выключить персонализацию рекламы, ID поменяется на нули. Пока не сделали, ждем.

Крупные мировые СМИ скоординированно публикуют (1,2) результаты утечки данных израильской компании NSO Group, разработчика малвари Pegasus, которую израильтяне продают государствам. У NSO утек список 50 тысяч номеров телефонов людей, которых их "клиенты" заражали этой малварью. Исследователи Amnesty International получили доступ к 67 смартфонам из этого списка и действительно нашли на 37 из них Pegasus или его следы. В списке целей малвари - журналисты, правозащитники, бизнесмены и госслужащие, в том числе министры, дипломаты, и даже главы государств. NSO Group не продает малварь в Россию, но в списке стран-клиентов есть Казахстан и Азербайджан.

Пока что все телефоны, на которых обнаружили Pegasus - это iPhone, просто потому, что под эту платформу заточена текущая методология исследования Amnesty International. Это не значит, что Android надежнее или что его не ломают, просто iPhone удобнее анализировать. Самый свежий IOS 14.6 Pegasus ломает.

Атаки могут выглядеть как ссылки через sms, Whatsapp и iMessage, на которые жертва должна нажать, но в последнее время Pegasus также стал также использовать уязвимости zero-click, то есть не требующие от пользователя никаких действий для заражения. После заражения малварь получает доступ ко всему содержимому телефона, в том числе камере, микрофону, данным геолокации, логу звонков и мессенджерам. Исторически так уже случалось, что когда производитель закрывал уязвимость, которую использовал Pegasus, NSO тут же выкатывала обновление продукта с изменением технологии атаки. Конечный пользователь никак не может защититься от такой атаки, никакое шифрование, VPN или защищенные мессенджеры тут не помогают.

В общем, компания NSO скупает уязвимости нулевого дня (zero-day), и делает на их основе крутой продукт для удаленного взлома и слежки за пользователями через смартфоны. Потом она продает этот продукт в 40 одобренных стран, которые обещают, что будут использовать его только для борьбы с преступностью и терроризмом, а потом страны-клиенты NSO используют Pegasus и для решения других задач. Причем NSO - далеко не единственный поставщик таких решений, и в результате утечки мы скорее начинаем лучше понимать масштаб происходящего, и как устроен сам этот рынок.

Как теперь продолжать доверять своему смартфону?

В продолжение предыдущего поста: после выхода утечки NSO директор Whatsapp сразу напомнил, что два года назад его компания воевала с NSO по поводу Pegasus. Действительно, в 2019 году Whatsapp обнаружил, что NSO Group заражала смартфоны клиентов своей малварью через уязвимость в функции видеозвонков, исправил уязвимость, опубликовал информацию в крупных СМИ и даже подал на NSO Group в американский суд. Тогда NSO заявил, что никого не атакует и за атаки не отвечает, а только инструмент продает.

Это такая гонка вооружений: NSO и подобные компании скупают (или ищут сами) и используют уязвимости нулевого дня и зарабатывают на этом, производители типа Apple и Whatsapp их исправляют в новых версиях, и так до бесконечности. И продолжаться это будет тех пор, пока атаковать - выгоднее, чем защищаться, так работает экономика безопасности.