На Хабре - история про свежую дыру в онлайн-инфраструктуре проекта "Умное Голосование". 24 июня автор получил от проекта имейл с адреса в домене @rus.vote, удивился, полез искать этот домен поисковой системой и на второй странице выдачи нашел открытую вебпанель админки Kubernetes. А в ней - лог всех имейлов, которые проект рассылал в последние 40 дней с адресами получателей, а также "доступы до внутренних сервисов; доступы до БД; ключи от сервисов Amazon, Google, ботов Telegram; пароли от Facebook и Instagram, ключ от mailgun" (внешнего сервиса рассылки почты). И все эти секреты автор нашел просто поисковиком, это даже не взлом. На момент, когда автор нашел админку, она висела в поисковиках в открытом доступе как минимум 10 дней. Дыру автор зарепортил, проект ее закрыл и ключи поменял.

Если эта история - правда, то вот такие у "Умного голосования" админы. Нет слов.
https://habr.com/ru/post/568842/

Мессенджер Nextcloud Talk обновился до версии 12. Новая версия поддерживает голосовые сообщения, возможность делиться геолокацией и контактами из мобильных приложений и удаление сообщений из чата в первые шесть часов после отправки.

Nextcloud Talk - это децентрализованный мессенджер, использующий собственные сервера пользователей или готовые настроенные сервера у провайдеров Nextcloud. В такой системе не нужно доверять единому центральному серверу, что он будет "хорошим" и не будет собирать все метаданные, как это может делать Skype или Whatsapp. Но поскольку сервер - доверенный, сквозного (end-to-end) шифрования у Nextcloud Talk нет и не предвидится. Такая концепция.

Если вы хотите попробовать новую версию Talk, самый быстрый и дешевый способ это сделать - выбрать провайдера на https://nextcloud.com/signup/, который дает аккаунты с бесплатным пробным периодом и возможностями администрирования для добавления пользователей. Например, https://webo.cloud/nextcloud-admin/. Регистрируете аккаунт, добавляете двух пользователей в разделе Пользователи, устанавливаете на два телефона Nextcloud Talk из Play Market или App Store - и вперед, можно чатиться и звонить через собственный сервер. Если понравится - самый дешевый сервер стоит примерно от 300 рублей в месяц. Или поднимайте свой собственный.

Кстати, все же понимают, что для этих взломов госуслуг никакой rocket science не требуется.
Взяли какую-нибудь базу данных слитых паролей (Озон, например, раньше любил пароли хранить вообще в открытом виде), процентов десять пар подойдет и к госуслугам (многие же любят использовать одни и те же пароли в разных сервисах). Двухфакторки у таких людей традиционно также нет. Ну и дальше можно на праймариз Единой России пойти, можно микрозайм оформить, а можно и недвижку переписать.

Скорее всего у тех, кто читает этот канал такой проблемы и с паролем и 2fa нет, но вот у ваших родителей скорее всего есть.
Поэтому заставьте их зайти через десктоп по этой ссылке: https://lk.gosuslugi.ru/settings/login
И пусть включат Вход с подтверждением по SMS. Да, как 2fa - смс так себе решение, но тут хватит.

И еще про двухфакторную аутентификацию (2fa): у Twitter вышел свежий отчет о прозрачности, в нем написано, что 2fa на декабрь 2020 года пользовались 2.3% пользователей платформы, из них 79.6% - через смс.

Вдумайтесь, 2.3% пользователей! Есть небольшая вероятность, что эти люди просто не считают Twitter важным, а Госуслуги у них хорошо настроены. Но скорее это данные в поддержку теории, что у людей просто массово не включена двухфакторная. А потом инциденты происходят, потому что они сами вводят пароли на фишинговых страницах, либо используют одинаковый пароль в разных местах (reuse), а потом его можно найти поиском на Dehashed.com.

Если вы - такой пользователь, то включите 2fa прямо сейчас везде, где можно, - в почтах, соцсетях, мессенджерах (там второй фактор - пароль) и Госуслугах. По статистике Microsoft и Google ЛЮБАЯ включенная двухфакторная в аккаунте пользователя снижает вероятность взлома аккаунта на их платформах на 95-99%.

Да, смс это не самый идеальный способ, и есть нарушители безопасности, которые умеют его перехватывать. Да, существуют крутые "конструкторы" фишинговых сайтов, которые предлагают пользователю ввести на поддельном сайте второй фактор ToTP из приложения и в реальном времени передают код второго фактора в Googlе, чтобы установить сессию. Да, аппаратный ключ FIDO/U2F можно потерять. Но вдумайтесь, 95-99% снижения вероятности, это же очень круто.

Как включить двухфакторную в сервиcе n? Забиваете в своей любимой поисковой системе "двухфакторная "название сервиса n", идете на официальную страницу и следуете инструкциям.

Новый скандал про продажу "обезличенных" данных геолокации. Приложение знакомств для геев Grindr собирает данные пользователей, "обезличивает" их и продает дата-брокерам, в том числе геолокацию с точным временем. Редакция католического сайта Pillar покупает у дата-брокера набор данных Grindr за два года, предположительно связанный с высокопоставленным американским католическим бюрократом, Джеффри Буррелом. Редакция деанонимизирует данные геолокации по координатам его дома, работы и известных мест рабочих встреч и поездок, этого достаточно. Как только редакция убеждается, что данные действительно принадлежат Буррелу, она наносит остальные точки на карту, и видит там гей-клубы и прочие подобные места. Pillar делает об этом материал, Буррела увольняют.

Публикация этой истории вызвала очередные обсуждения про приватность геолокации, американский сенатор Вайден высказывается в ключе, "ого, а оно реально так работает, это же не анонимность, давайте как-нибудь это регулировать"!

Люди постепенно начинают понимать, что данные геолокации - это персданные, и они не должны так просто в открытую продаваться, а приложения и брокеры данных просто врут про степень анонимности - у них такой бизнес. Большинство людей спит дома и работает в одном и том же месте, то есть у нас есть уникальный деанонимизирующий "фингерпринт локаций". И редакция сайта - это никакая не спецслужба, если они смогли купить, значит, любой сможет. Ну и наконец, данные геолокации часто можно сопоставить с данными камер видеонаблюдения, которые теперь везде.

Конечно, пользователи могут следить за тем, какие приложения устанавливают, или отключать геолокацию, когда она не нужна. Но пользователи не умеют, и этих защит недостаточно - похоже, надо "гасить" саму бизнес-модель. Только как?

Команда "Умного голосования" отреагировала на историю, как их админка месяц назад торчала в открытом доступе, а логи рассылки с имейлами получателей были доступны в поисковиках. Команда подтверждает, что да, был такой косяк, ошибка в конфигурационном файле. Когда пользователь сообщил им о проблеме, админы поменяли ключи доступа и закрыли админку от посторонних.

"Мы признаем ошибку с публичной доступностью внутреннего сервиса. Мы установили ее причины и исправили ее, предприняли технические и организационные меры, чтобы устранить целые классы возможных проблем безопасности. Мы очень надеемся на вашу поддержку и постараемся заслужить ваше доверие вновь."

Заодно команда описывает, какие технологии они используют, как их инфраструктура защищена от атак и зачем им вообще Kubernetes на таком проекте. Если вы веб-разработчик или веб-админ, интересно почитать.

Сайт "Ведомостей" не открывается, издатель говорит о DDoS-атаке. "Ведомости" сегодня опубликовали колонку Ивана Сафронова о том, как следствие работает с подозреваемыми до и после ареста. Потом колонка исчезла с сайта (но осталась в кеше Google), а теперь сам сайт лежит. Интересно, что там у них происходит.

UPD: Сайт заработал, лежал больше трех часов. Пишут, что это был технический сбой.

Новая версия нашего расширения для браузеров Censor Tracker (https://censortracker.org/) снова доступна в Chrome Store. Googlе дольше обычного проверял это обновление, и, наконец, проверил. Пользователи, которые писали нам, что собирались тестировать, но магазин Chrome выдавал ошибку - можете снова качать и устанавливать! С багрепортами и тестами будем рады видеть вас в этой группе.

Напоминаем, что делает это расширение:

• Позволяет обходить блокировки: пользователь ходит на доступные сайты напрямую, но если сайт заблокирован, расширение пускает пользователя через наши прокси.
• Сообщает пользователю, если сайт входит в реестр запрещенных сайтов или в список организаторов распространения информации. Последние обязаны хранить и без решения суда предоставлять органам любую информацию о пользователях.
• Помогает нам собирать информацию о внереестровых блокировках. То есть если сайт фактически заблокирован, а в реестре его нет, мы получим об этом минимум данных, чтобы начать разбираться. Когда мы начинаем разбираться - это иногда помогает.

Для странно настроенных сайтов в расширении есть список исключений.

Ссылка на версию для Chrome - на оффсайте проекта и в интернет-магазине Chrome. А версия для Firefox - здесь.

https://censortracker.org/

Домены navalny.com, free.navalny.com и 39 URI типа https://shtab.navalny.com/hq/[город] сегодня заблокированы по решению Генпрокуратуры и появились в нашей открытой базе Реестра запрещенных сайтов.

https://reestr.rublacklist.net/search/?q=navalny

UPD: Заблокированы не только navalny.com, free.navalny.com и 39 URI типа https://shtab.navalny.com/hq/[город], а еще и домены:
soboll.ru
leonidvolkov.ru
fbk.info
"Альянс учителей" teachers-union.ru
"Альянс врачей" alyansvrachey.ru
РосЖКХ roszkh.ru
РосЯма rosyama.ru

А вот еще какие сайты заблокированы в России с начала июля. Про все эти случаи писал наш основной Telegram-канал. На некоторых из них должна быть заблокирована одна страница, но если ссылка начинается с https://, то домен блокируется целиком, так уж технически устроена цензура.

23 июля: Три сайта с текстом рэпера Face "Суицид"
21 июля: Домены сервисов хранения картинок Photobucket.com и Pixabay.com
18 июля: Сервис хранения картинок музыкального сайта Bandcamp (https://f4.bcbits.com)

16 июля:
"Команда 29" team29.org
Фонд "Будущее России" futureofrussia.org
Американский Бард Колледж bard.edu
НКО "Немецко-русский обмен" austausch.org
Дискуссионная площадка "Центр либеральной современности" libmod.de
"Форум русскоязычных европейцев" forumeuru.org

15 июля:
Сайт Bitcoin.org
Сайт с текстом "Терновая зима" блэк-метал группы Blackthorn
Русская версия сайта "Радио Прага" ruski.radio.cz

14 июля: Украинский информационный сайт "Буквы"
9 июля: Крымская правозащитная группа Сrimeahrg.org
7 июля: Аниме по классическим произведениям японской литературы Aoi Bungaku.
5 июля: Сервисы анонимной отправки почты Anonymousmail.me и Anonymousemail.me

Пятилетие празднует проект No More Ransom, обновляемый репозиторий бесплатных утилит для расшифровки файлов, зашифрованных зловредами-шифровальниками (ransomware). На сегодня в базе сайта - 121 такая утилита, помогает при заражении 151 семействами вредоносного ПО. На сайте также есть раздел Крипто-шериф, куда можно закачать зашифрованный файл и определить, какой конкретно малварью он зашифрован.

No More Ransom - это совместный проект 180 организаций, в том числе правоохранителей типа Europol и полиции Нидерландов и антивирусных компаний, например McAfee и Kaspersky Labs. В честь пятилетия Europol пишет, что утилиты за пять лет сказали шесть миллионов раз, и что проект сэкономил жертвам шифровальщиков 900 миллионов долларов выкупа.

В общем, если вы админ или безопасник - полезный ресурс, однозначно в закладки.

Зеркало сайта Навального https://navalny.app/, которое сегодня ночью поднял Владислав Здольников, с 8 утра блокируют с использованием ТСПУ (Технических средств противодействия угрозам). Здольников пишет у себя в канале, что домен navalny.app - первая блокировка на ТСПУ, о которой нам известно, ранее это оборудование использовалось только для замедления Twitter. ТСПУ - это новое государственное DPI-оборудование, установленное у провайдеров по закону о "суверенном рунете", несколько месяцев назад Роскомнадзор заявлял, что ТСПУ установлено у 100% мобильных и 50% фиксированных операторов.

Действительно, в реестре запрещенных сайтов домена navalny.app нет, при этом доступность сайта в течение дня снижается, судя по графику в панели Globalcheck.

Ну что, это и есть внереестровая, непубличная блокировка.

UPD: Сайт появился в реестре.

🔥 navalny.app заблокирован

🚫 /n_3478186 Генпрокуратура 27-31-2021/Ид6832-21 2021-06-15 /d_0tg8mn9s92dja
• ст. 15.3, мятеж и фейки
как domain navalny.app

🚫 /n_3478187 Генпрокуратура 27-31-2021/Ид6832-21 2021-06-15 /d_0tg8mn9s92dja
• ст. 15.3, мятеж и фейки
как domain www.navalny.app

типы блокировки: domain: 🚫
✅ Данные синхронизированы: 2021-07-27T16:40:00+03:00

Как вообще понимать сегодняшнюю ситуацию с блокировкой зеркала navalny.app? Вот факты:

• Сегодня ночью поднимается зеркало, вот пост об этом, написанный в 2:49 утра.
• После семи утра российские провайдеры начинают его блокировать, вот график доступности сайта.
• Около 16:00 доменное имя зеркала появляется в Реестре запрещенных сайтов, и дальше реестр постепенно расходится по провайдерам, которые сейчас начинают блокировать его уже "как обычно".

А почему сайт блокировали до 16:00? Тут может быть несколько версий, например:

• Существуют разные версии "Реестра запрещенных сайтов" и некоторые провайдеры получают список сильно раньше других. Так было еще в 2018 году, но тогда разница во времени была не такая большая, точно не 8 часов.
• До включения в реестр сайт "аварийно" блокировали одним способом, в одном режиме, а после включения в реестр будут блокировать уже обычно. Тогда это все-таки внереестровая блокировка, но временная.

А какие еще могут быть варианты? Если вам что-нибудь приходит в голову, пишите в комменты.

Github анонсировал проект бесплатной юридической помощи для разработчиков свободного ПО, обвиненных в нарушении авторских прав по DMCA. Для этого сервис пожертвовал миллион долларов в Стэнфордскую юридическую школу. Теперь, когда в адрес Github будут приходить обоснованные жалобы, компания будет перенаправлять их разработчикам и тут же адресно отправлять их в Стэнфорд за бесплатной юридической поддержкой.

Сейчас разработчики, на которых наехали по DMCA, часто не знают, что делать, и удаляют проекты с Github. Например, в конце прошлого года американская ассоциация защиты авторских прав RIAA добилась временного удаления с Github проекта youtube-dl, утилиты для скачивания роликов с Youtube. RIAA утверждала, что основная функция youtube-dl - "воспроизводить и распространять музыкальные клипы и записи, приналежащшие [клиентам RIAA] без авторизации". Youtube-dl в результате отбился с помощью интернет-правозащитников EFF. Но в целом идея верная: у разработчиков свободного софта действительно нет денег на хороших юристов, да и не все проекты такие известные, как youtube-dl.

Человеческие мозги любят экономить энергию и думать, "ага, Github это Microsoft, Microsoft это "копирасты", значит Github это "копирасты". Но в этой новости Github - молодцы.

Украинская полиция конфисковала с местной хостинг-площадки сервера канадского VPN-провайдера Windscribe. А там не было полнодискового шифрования, и на дисках лежал сертификат сервера OpenVPN и приватный ключ. Теперь Windscribe оправдывается.

Что вообще случилось? Пару недель назад директор Windscribe выпускает вот это сообщение, и как обычно, мы меняемся для вас, улучшенная безопасность, аудит. А через четыре экрана говорится: у Windscribe ушли в оффлайн два украинских сервера, компания связалась с хостером, хостер сказал, что их забрала полиция. Дальше Windsсribe открыто признается, что диски на серверах не были зашифрованы, и на них лежал сертификат сервера OpenVPN и приватный ключ. Диски не были зашифрованы, потому что Украина - "безопасное" государство, а компания шифрует диски только в "опасных".

А дальше директор Windscribe уговаривает пользователей, что это не страшно, и говорит в общем-то технически правильные вещи, например:

Чтобы поднять поддельные сервера Windscribe, и с их помощью следить за пользователями, Украине нужно перенаправлять пользователей на свою инфраструктуру, например, подделывать DNS.

Большая часть трафика внутри VPN все равно уже защищена HTTPS, и даже если кто-то поднимет левые сервера Windscribe, то ему все равно не достанется содержимое, а только метаданные.

Даже если Украина собирала зашифрованный трафик пользователей Windscribe, а потом получила ключи, то расшифровать старый трафик нельзя, потому что совершенная прямая секретность (perfect forward secrecy).

После инцидента компания обещает перейти на новую стандартную конфигурацию своих серверов до конца года. Обещают, что там все будет гораздо безопаснее, они даже делали аудит.

Мда. Конечно, компания публично призналась, что у них случилось и рассказывает, что она собирается делать, чтобы этого не повторилось. Респект, такая открытость может нравиться пользователям. С другой стороны, в VPN бизнесе все основано на слепом доверии и репутации. Windscribe обещает, что не хранит логов пользователей, но у нас нет возможности это проверить, а есть только возможность читать подобные истории в интернете и делать выводы. А выводы - печальные, мы теперь знаем, что часть инфраструктуры Windscribe по всему миру работает на незашифрованных дисках.

Развивается вчерашняя ситуация с блокировкой новых зеркал сайта Навального. Вчера очередное зеркало было поднято при помощи принадлежащего Google сервиса Appspot примерно в 21:20. Уже через час московские мобильные операторы блокировали это зеркало. По данным бота РКН Dump Check (@u2ckbot), зеркало попало в Реестр запрещенных сайтов только после полудня сегодня, 28 июля, то есть через 14 часов "внереестровой" блокировки.

В чем мы сегодня убедились? Раньше считалось, что "прятаться" в инфраструктуре Googlе - это хорошая защита от российских блокировок. На это, к примеру, рассчитывали разработчики сайта "Умное голосование", когда разместили его на https://votesmart.appspot.com/. Действительно, раньше провайдеры блокировали в основном по IP-адресам, и было представление, что РКН не решится блокировать IP-адреса, принадлежащие Googlе, чтобы не нарушить работоспособность других сервисов. Эта защита больше не работает: сегодняшняя блокировка происходит по SNI и позволяет эффективно блокировать домен третьего уровня на Appspot. Ничего не мешает РКН точно таким же способом блокировать "Умное голосование". Почему оно до сих пор не заблокировано -- большой вопрос.

Не судебный PDF, а просто триллер про Protonmail, Instagram и способы сбора доказательств! Совсем свежая история.

Какой-то американский антипрививочник с ником "Naturtheater Alhena" использовал Protonmail для рассылки угроз на имейлы чиновников Национальных институтов здравоохранения США с адреса [email protected]. Если читаете по-английски, почитайте имейлы в pdf - там есть, от чего испугаться. В общем, получатели обратились в службу безопасности министерства, безопасники начали официальное расследование.

Американцы сделали запрос в Швейцарию, там власти передали запрос в Protonmail, Protonmail отдал дату регистрации аккаунта. В рамках расследования выяснилось (не пишут, как), что этот аккаунт Protonmail был привязан к аккаунту Instagram с таким же псевдонимом. Запросили Instagram, те отдали статический IP-адрес, с которого подключался пользователь, IP-адрес запросили у интернет-провайдера, тот выдал физический адрес дома, так узнали настоящие ФИО человека, который там живет. По физическому адресу дома узнали еще один почтовый ящик на Mail.com, с которого человек вел официальную переписку о продлении аренды.

Затем у Mail.com запросили и получили содержимое писем в почтовом ящике, все проанализировали. В одном из писем владелец ящика писал "переезжаю на Protonmail, это Швейцария и у них сквозное шифрование, пишите мне туда" и указывал тот же [email protected]. Ну и, наконец, в почтовом ящике на Mail.com нашли пароли от аккаунта Protonmail, которые хозяин сам себе пересылал. В общем, в PDF сотрудник службы безопасности министерства доказывает американскому суду, что арендатор физического адреса в США, владелец аккаунта на Mail.com и владелец аккаунта на Protonmail - одно и то же лицо.

В общем, онлайн-анонимность - это сложно, пользователи не умеют.

Владислав Здольников поговорил с Роскомсвободой о последних блокировках зеркал сайтов Навального. Если вы интересуетесь интернет-цензурой в России, must read. Мы как раз вчера в комментариях обсуждали, что эти зеркала - недорогой и эффективный эксперимент по прояснению текущих возможностей оборудования для цензуры.

Блокировка navalny.app нужна была лично мне, чтобы получить в руки заблокированный домен, с которым можно пытаться проводить манипуляции, — потом это может помочь обходить DPI с помощью различных техник. К тому же мы увидели, что они начали блокировать на ТСПУ. Увидели, у каких операторов они установлены.

В качестве ТСПУ используется оборудование «ЭкоDPI» фирмы «РДП.Ру». Это оборудование давно и успешно работает на сетях провайдеров, которые покупали и покупают его по своей воле для эффективных блокировок.

Как только ТСПУ был установлен на большую часть трафика мобильных операторов, приняли решение их «обкатать» на замедлении Twitter. Ну а сейчас же мы наблюдали первые блокировки сайтов с использованием исключительно ТСПУ.

Антивирусный ресурс Av-test подводит итоги полугодового тестирования 15 антивирусов для Android (тыц картинка с рейтингом). Пять приложений лидируют (Bitdefender, G DATA, McAfee, NortonLifeLock и Trend Micro) - они идеально показали себя в тесте и отловили абсолютно всё. Avast, AVG и Kaspersky сделали по одной ошибке на тесте из 20 тысяч вредоносов, а встроенный Google Play Protect - далеко на последнем месте, он смог распознать только две трети новых вирусов. Он не только отстает от конкурентов по качеству распознавания, но у него еще и высокий уровень ложных срабатываний - он посчитал вирусными 70 приложений из 1000 "хороших". Как бы плохо не показал себя Google Play Protect в сравнении с конкурентами, год назад он в этом же тесте вообще отловил только треть вирусов, так что это прогресс!

Для тестирования исследователи взяли 15 антивирусных приложений для Android и "скармливали" им в течение полугода по 3 тысячи новых вредоносов, которые появились в базах антивирусных компаний меньше 24 часа назад, и по 3 тысячи более старых. При этом исследователи также измеряли расход батареи и утверждают, что ни одно из исследованных антивирусных приложений батарею не жрет.

Интересно, какую последовательность действий нужно совершить, чтобы случайно заразиться вирусом на Android?

Google объявил, что начиная с апреля следующего года в карточках всех приложений в Play Market появится обязательный раздел "Безопасность и приватность", в котором будет ссылка на политику безопасности и ответы на вопросы:

• Какие данные собирает приложение?
• Какие данные приложение передает третьим лицам?
• К каким данным имеют доступ внешние библиотеки и SDK?
• Шифрует ли приложение данные при передаче?
• Можно ли отказаться от сбора данных или они нужны для работы приложения?
• Есть ли у пользователей возможность удалить свои данные с серверов приложения?
• Прошло ли приложение независимый аудит безопасности?
• Соответствует ли приложение стандарту "для детей и всей семьи"?

Разработчики должны начать набивать эти данные в октябре, а для пользователей они постепенно начнут появляться с начала следующего года. Давно пора.