Новый скандал про продажу "обезличенных" данных геолокации. Приложение знакомств для геев Grindr собирает данные пользователей, "обезличивает" их и продает дата-брокерам, в том числе геолокацию с точным временем. Редакция католического сайта Pillar покупает у дата-брокера набор данных Grindr за два года, предположительно связанный с высокопоставленным американским католическим бюрократом, Джеффри Буррелом. Редакция деанонимизирует данные геолокации по координатам его дома, работы и известных мест рабочих встреч и поездок, этого достаточно. Как только редакция убеждается, что данные действительно принадлежат Буррелу, она наносит остальные точки на карту, и видит там гей-клубы и прочие подобные места. Pillar делает об этом материал, Буррела увольняют.

Публикация этой истории вызвала очередные обсуждения про приватность геолокации, американский сенатор Вайден высказывается в ключе, "ого, а оно реально так работает, это же не анонимность, давайте как-нибудь это регулировать"!

Люди постепенно начинают понимать, что данные геолокации - это персданные, и они не должны так просто в открытую продаваться, а приложения и брокеры данных просто врут про степень анонимности - у них такой бизнес. Большинство людей спит дома и работает в одном и том же месте, то есть у нас есть уникальный деанонимизирующий "фингерпринт локаций". И редакция сайта - это никакая не спецслужба, если они смогли купить, значит, любой сможет. Ну и наконец, данные геолокации часто можно сопоставить с данными камер видеонаблюдения, которые теперь везде.

Конечно, пользователи могут следить за тем, какие приложения устанавливают, или отключать геолокацию, когда она не нужна. Но пользователи не умеют, и этих защит недостаточно - похоже, надо "гасить" саму бизнес-модель. Только как?

Команда "Умного голосования" отреагировала на историю, как их админка месяц назад торчала в открытом доступе, а логи рассылки с имейлами получателей были доступны в поисковиках. Команда подтверждает, что да, был такой косяк, ошибка в конфигурационном файле. Когда пользователь сообщил им о проблеме, админы поменяли ключи доступа и закрыли админку от посторонних.

"Мы признаем ошибку с публичной доступностью внутреннего сервиса. Мы установили ее причины и исправили ее, предприняли технические и организационные меры, чтобы устранить целые классы возможных проблем безопасности. Мы очень надеемся на вашу поддержку и постараемся заслужить ваше доверие вновь."

Заодно команда описывает, какие технологии они используют, как их инфраструктура защищена от атак и зачем им вообще Kubernetes на таком проекте. Если вы веб-разработчик или веб-админ, интересно почитать.

Сайт "Ведомостей" не открывается, издатель говорит о DDoS-атаке. "Ведомости" сегодня опубликовали колонку Ивана Сафронова о том, как следствие работает с подозреваемыми до и после ареста. Потом колонка исчезла с сайта (но осталась в кеше Google), а теперь сам сайт лежит. Интересно, что там у них происходит.

UPD: Сайт заработал, лежал больше трех часов. Пишут, что это был технический сбой.

Новая версия нашего расширения для браузеров Censor Tracker (https://censortracker.org/) снова доступна в Chrome Store. Googlе дольше обычного проверял это обновление, и, наконец, проверил. Пользователи, которые писали нам, что собирались тестировать, но магазин Chrome выдавал ошибку - можете снова качать и устанавливать! С багрепортами и тестами будем рады видеть вас в этой группе.

Напоминаем, что делает это расширение:

• Позволяет обходить блокировки: пользователь ходит на доступные сайты напрямую, но если сайт заблокирован, расширение пускает пользователя через наши прокси.
• Сообщает пользователю, если сайт входит в реестр запрещенных сайтов или в список организаторов распространения информации. Последние обязаны хранить и без решения суда предоставлять органам любую информацию о пользователях.
• Помогает нам собирать информацию о внереестровых блокировках. То есть если сайт фактически заблокирован, а в реестре его нет, мы получим об этом минимум данных, чтобы начать разбираться. Когда мы начинаем разбираться - это иногда помогает.

Для странно настроенных сайтов в расширении есть список исключений.

Ссылка на версию для Chrome - на оффсайте проекта и в интернет-магазине Chrome. А версия для Firefox - здесь.

https://censortracker.org/

Домены navalny.com, free.navalny.com и 39 URI типа https://shtab.navalny.com/hq/[город] сегодня заблокированы по решению Генпрокуратуры и появились в нашей открытой базе Реестра запрещенных сайтов.

https://reestr.rublacklist.net/search/?q=navalny

UPD: Заблокированы не только navalny.com, free.navalny.com и 39 URI типа https://shtab.navalny.com/hq/[город], а еще и домены:
soboll.ru
leonidvolkov.ru
fbk.info
"Альянс учителей" teachers-union.ru
"Альянс врачей" alyansvrachey.ru
РосЖКХ roszkh.ru
РосЯма rosyama.ru

А вот еще какие сайты заблокированы в России с начала июля. Про все эти случаи писал наш основной Telegram-канал. На некоторых из них должна быть заблокирована одна страница, но если ссылка начинается с https://, то домен блокируется целиком, так уж технически устроена цензура.

23 июля: Три сайта с текстом рэпера Face "Суицид"
21 июля: Домены сервисов хранения картинок Photobucket.com и Pixabay.com
18 июля: Сервис хранения картинок музыкального сайта Bandcamp (https://f4.bcbits.com)

16 июля:
"Команда 29" team29.org
Фонд "Будущее России" futureofrussia.org
Американский Бард Колледж bard.edu
НКО "Немецко-русский обмен" austausch.org
Дискуссионная площадка "Центр либеральной современности" libmod.de
"Форум русскоязычных европейцев" forumeuru.org

15 июля:
Сайт Bitcoin.org
Сайт с текстом "Терновая зима" блэк-метал группы Blackthorn
Русская версия сайта "Радио Прага" ruski.radio.cz

14 июля: Украинский информационный сайт "Буквы"
9 июля: Крымская правозащитная группа Сrimeahrg.org
7 июля: Аниме по классическим произведениям японской литературы Aoi Bungaku.
5 июля: Сервисы анонимной отправки почты Anonymousmail.me и Anonymousemail.me

Пятилетие празднует проект No More Ransom, обновляемый репозиторий бесплатных утилит для расшифровки файлов, зашифрованных зловредами-шифровальниками (ransomware). На сегодня в базе сайта - 121 такая утилита, помогает при заражении 151 семействами вредоносного ПО. На сайте также есть раздел Крипто-шериф, куда можно закачать зашифрованный файл и определить, какой конкретно малварью он зашифрован.

No More Ransom - это совместный проект 180 организаций, в том числе правоохранителей типа Europol и полиции Нидерландов и антивирусных компаний, например McAfee и Kaspersky Labs. В честь пятилетия Europol пишет, что утилиты за пять лет сказали шесть миллионов раз, и что проект сэкономил жертвам шифровальщиков 900 миллионов долларов выкупа.

В общем, если вы админ или безопасник - полезный ресурс, однозначно в закладки.

Зеркало сайта Навального https://navalny.app/, которое сегодня ночью поднял Владислав Здольников, с 8 утра блокируют с использованием ТСПУ (Технических средств противодействия угрозам). Здольников пишет у себя в канале, что домен navalny.app - первая блокировка на ТСПУ, о которой нам известно, ранее это оборудование использовалось только для замедления Twitter. ТСПУ - это новое государственное DPI-оборудование, установленное у провайдеров по закону о "суверенном рунете", несколько месяцев назад Роскомнадзор заявлял, что ТСПУ установлено у 100% мобильных и 50% фиксированных операторов.

Действительно, в реестре запрещенных сайтов домена navalny.app нет, при этом доступность сайта в течение дня снижается, судя по графику в панели Globalcheck.

Ну что, это и есть внереестровая, непубличная блокировка.

UPD: Сайт появился в реестре.

🔥 navalny.app заблокирован

🚫 /n_3478186 Генпрокуратура 27-31-2021/Ид6832-21 2021-06-15 /d_0tg8mn9s92dja
• ст. 15.3, мятеж и фейки
как domain navalny.app

🚫 /n_3478187 Генпрокуратура 27-31-2021/Ид6832-21 2021-06-15 /d_0tg8mn9s92dja
• ст. 15.3, мятеж и фейки
как domain www.navalny.app

типы блокировки: domain: 🚫
✅ Данные синхронизированы: 2021-07-27T16:40:00+03:00

Как вообще понимать сегодняшнюю ситуацию с блокировкой зеркала navalny.app? Вот факты:

• Сегодня ночью поднимается зеркало, вот пост об этом, написанный в 2:49 утра.
• После семи утра российские провайдеры начинают его блокировать, вот график доступности сайта.
• Около 16:00 доменное имя зеркала появляется в Реестре запрещенных сайтов, и дальше реестр постепенно расходится по провайдерам, которые сейчас начинают блокировать его уже "как обычно".

А почему сайт блокировали до 16:00? Тут может быть несколько версий, например:

• Существуют разные версии "Реестра запрещенных сайтов" и некоторые провайдеры получают список сильно раньше других. Так было еще в 2018 году, но тогда разница во времени была не такая большая, точно не 8 часов.
• До включения в реестр сайт "аварийно" блокировали одним способом, в одном режиме, а после включения в реестр будут блокировать уже обычно. Тогда это все-таки внереестровая блокировка, но временная.

А какие еще могут быть варианты? Если вам что-нибудь приходит в голову, пишите в комменты.

Github анонсировал проект бесплатной юридической помощи для разработчиков свободного ПО, обвиненных в нарушении авторских прав по DMCA. Для этого сервис пожертвовал миллион долларов в Стэнфордскую юридическую школу. Теперь, когда в адрес Github будут приходить обоснованные жалобы, компания будет перенаправлять их разработчикам и тут же адресно отправлять их в Стэнфорд за бесплатной юридической поддержкой.

Сейчас разработчики, на которых наехали по DMCA, часто не знают, что делать, и удаляют проекты с Github. Например, в конце прошлого года американская ассоциация защиты авторских прав RIAA добилась временного удаления с Github проекта youtube-dl, утилиты для скачивания роликов с Youtube. RIAA утверждала, что основная функция youtube-dl - "воспроизводить и распространять музыкальные клипы и записи, приналежащшие [клиентам RIAA] без авторизации". Youtube-dl в результате отбился с помощью интернет-правозащитников EFF. Но в целом идея верная: у разработчиков свободного софта действительно нет денег на хороших юристов, да и не все проекты такие известные, как youtube-dl.

Человеческие мозги любят экономить энергию и думать, "ага, Github это Microsoft, Microsoft это "копирасты", значит Github это "копирасты". Но в этой новости Github - молодцы.

Украинская полиция конфисковала с местной хостинг-площадки сервера канадского VPN-провайдера Windscribe. А там не было полнодискового шифрования, и на дисках лежал сертификат сервера OpenVPN и приватный ключ. Теперь Windscribe оправдывается.

Что вообще случилось? Пару недель назад директор Windscribe выпускает вот это сообщение, и как обычно, мы меняемся для вас, улучшенная безопасность, аудит. А через четыре экрана говорится: у Windscribe ушли в оффлайн два украинских сервера, компания связалась с хостером, хостер сказал, что их забрала полиция. Дальше Windsсribe открыто признается, что диски на серверах не были зашифрованы, и на них лежал сертификат сервера OpenVPN и приватный ключ. Диски не были зашифрованы, потому что Украина - "безопасное" государство, а компания шифрует диски только в "опасных".

А дальше директор Windscribe уговаривает пользователей, что это не страшно, и говорит в общем-то технически правильные вещи, например:

Чтобы поднять поддельные сервера Windscribe, и с их помощью следить за пользователями, Украине нужно перенаправлять пользователей на свою инфраструктуру, например, подделывать DNS.

Большая часть трафика внутри VPN все равно уже защищена HTTPS, и даже если кто-то поднимет левые сервера Windscribe, то ему все равно не достанется содержимое, а только метаданные.

Даже если Украина собирала зашифрованный трафик пользователей Windscribe, а потом получила ключи, то расшифровать старый трафик нельзя, потому что совершенная прямая секретность (perfect forward secrecy).

После инцидента компания обещает перейти на новую стандартную конфигурацию своих серверов до конца года. Обещают, что там все будет гораздо безопаснее, они даже делали аудит.

Мда. Конечно, компания публично призналась, что у них случилось и рассказывает, что она собирается делать, чтобы этого не повторилось. Респект, такая открытость может нравиться пользователям. С другой стороны, в VPN бизнесе все основано на слепом доверии и репутации. Windscribe обещает, что не хранит логов пользователей, но у нас нет возможности это проверить, а есть только возможность читать подобные истории в интернете и делать выводы. А выводы - печальные, мы теперь знаем, что часть инфраструктуры Windscribe по всему миру работает на незашифрованных дисках.

Развивается вчерашняя ситуация с блокировкой новых зеркал сайта Навального. Вчера очередное зеркало было поднято при помощи принадлежащего Google сервиса Appspot примерно в 21:20. Уже через час московские мобильные операторы блокировали это зеркало. По данным бота РКН Dump Check (@u2ckbot), зеркало попало в Реестр запрещенных сайтов только после полудня сегодня, 28 июля, то есть через 14 часов "внереестровой" блокировки.

В чем мы сегодня убедились? Раньше считалось, что "прятаться" в инфраструктуре Googlе - это хорошая защита от российских блокировок. На это, к примеру, рассчитывали разработчики сайта "Умное голосование", когда разместили его на https://votesmart.appspot.com/. Действительно, раньше провайдеры блокировали в основном по IP-адресам, и было представление, что РКН не решится блокировать IP-адреса, принадлежащие Googlе, чтобы не нарушить работоспособность других сервисов. Эта защита больше не работает: сегодняшняя блокировка происходит по SNI и позволяет эффективно блокировать домен третьего уровня на Appspot. Ничего не мешает РКН точно таким же способом блокировать "Умное голосование". Почему оно до сих пор не заблокировано -- большой вопрос.

Не судебный PDF, а просто триллер про Protonmail, Instagram и способы сбора доказательств! Совсем свежая история.

Какой-то американский антипрививочник с ником "Naturtheater Alhena" использовал Protonmail для рассылки угроз на имейлы чиновников Национальных институтов здравоохранения США с адреса [email protected]. Если читаете по-английски, почитайте имейлы в pdf - там есть, от чего испугаться. В общем, получатели обратились в службу безопасности министерства, безопасники начали официальное расследование.

Американцы сделали запрос в Швейцарию, там власти передали запрос в Protonmail, Protonmail отдал дату регистрации аккаунта. В рамках расследования выяснилось (не пишут, как), что этот аккаунт Protonmail был привязан к аккаунту Instagram с таким же псевдонимом. Запросили Instagram, те отдали статический IP-адрес, с которого подключался пользователь, IP-адрес запросили у интернет-провайдера, тот выдал физический адрес дома, так узнали настоящие ФИО человека, который там живет. По физическому адресу дома узнали еще один почтовый ящик на Mail.com, с которого человек вел официальную переписку о продлении аренды.

Затем у Mail.com запросили и получили содержимое писем в почтовом ящике, все проанализировали. В одном из писем владелец ящика писал "переезжаю на Protonmail, это Швейцария и у них сквозное шифрование, пишите мне туда" и указывал тот же [email protected]. Ну и, наконец, в почтовом ящике на Mail.com нашли пароли от аккаунта Protonmail, которые хозяин сам себе пересылал. В общем, в PDF сотрудник службы безопасности министерства доказывает американскому суду, что арендатор физического адреса в США, владелец аккаунта на Mail.com и владелец аккаунта на Protonmail - одно и то же лицо.

В общем, онлайн-анонимность - это сложно, пользователи не умеют.

Владислав Здольников поговорил с Роскомсвободой о последних блокировках зеркал сайтов Навального. Если вы интересуетесь интернет-цензурой в России, must read. Мы как раз вчера в комментариях обсуждали, что эти зеркала - недорогой и эффективный эксперимент по прояснению текущих возможностей оборудования для цензуры.

Блокировка navalny.app нужна была лично мне, чтобы получить в руки заблокированный домен, с которым можно пытаться проводить манипуляции, — потом это может помочь обходить DPI с помощью различных техник. К тому же мы увидели, что они начали блокировать на ТСПУ. Увидели, у каких операторов они установлены.

В качестве ТСПУ используется оборудование «ЭкоDPI» фирмы «РДП.Ру». Это оборудование давно и успешно работает на сетях провайдеров, которые покупали и покупают его по своей воле для эффективных блокировок.

Как только ТСПУ был установлен на большую часть трафика мобильных операторов, приняли решение их «обкатать» на замедлении Twitter. Ну а сейчас же мы наблюдали первые блокировки сайтов с использованием исключительно ТСПУ.

Антивирусный ресурс Av-test подводит итоги полугодового тестирования 15 антивирусов для Android (тыц картинка с рейтингом). Пять приложений лидируют (Bitdefender, G DATA, McAfee, NortonLifeLock и Trend Micro) - они идеально показали себя в тесте и отловили абсолютно всё. Avast, AVG и Kaspersky сделали по одной ошибке на тесте из 20 тысяч вредоносов, а встроенный Google Play Protect - далеко на последнем месте, он смог распознать только две трети новых вирусов. Он не только отстает от конкурентов по качеству распознавания, но у него еще и высокий уровень ложных срабатываний - он посчитал вирусными 70 приложений из 1000 "хороших". Как бы плохо не показал себя Google Play Protect в сравнении с конкурентами, год назад он в этом же тесте вообще отловил только треть вирусов, так что это прогресс!

Для тестирования исследователи взяли 15 антивирусных приложений для Android и "скармливали" им в течение полугода по 3 тысячи новых вредоносов, которые появились в базах антивирусных компаний меньше 24 часа назад, и по 3 тысячи более старых. При этом исследователи также измеряли расход батареи и утверждают, что ни одно из исследованных антивирусных приложений батарею не жрет.

Интересно, какую последовательность действий нужно совершить, чтобы случайно заразиться вирусом на Android?

Google объявил, что начиная с апреля следующего года в карточках всех приложений в Play Market появится обязательный раздел "Безопасность и приватность", в котором будет ссылка на политику безопасности и ответы на вопросы:

• Какие данные собирает приложение?
• Какие данные приложение передает третьим лицам?
• К каким данным имеют доступ внешние библиотеки и SDK?
• Шифрует ли приложение данные при передаче?
• Можно ли отказаться от сбора данных или они нужны для работы приложения?
• Есть ли у пользователей возможность удалить свои данные с серверов приложения?
• Прошло ли приложение независимый аудит безопасности?
• Соответствует ли приложение стандарту "для детей и всей семьи"?

Разработчики должны начать набивать эти данные в октябре, а для пользователей они постепенно начнут появляться с начала следующего года. Давно пора.

Cnews публикует любопытные подробности о том, как Mail.ru выдает данные пользователей. В материале говорится, что тайна переписки защищает содержание и тему имейлов, и для их выдачи нужно решение суда или согласие самих пользователей. Но решение суда не нужно для выдачи персданных и медатанных пользователей в ответ на официальный запрос от ФАС (Федеральной антимонопольной службы).

Сюжет: ФАС проводила проверку закупок ФСИН и запросила у Mail.ru сведения о 9 ящиках, из них четыре - на корпоративном домене на Mail.ru, fgup33.ru.

ФАС запрашивала:
• регистрационные данные пользователей
• копии договоров, заключенных Mail.ru с ФГУП «Владимирское» ФСИН
• дату регистрации почтового домена fgup33.ru.
• перечень всех электронных почтовых ящиков, зарегистрированных в домене fgup33.ru
• IP-адреса, с которых заходили в почтовые ящики
• МАС-адреса устройств, с которых осуществлялась авторизация (???)

И журнал всех событий для ящиков с 1 января 2016 г. по 12 декабря 2019 г (то есть за четыре года).

Mail.ru согласилась предоставить все данные, кроме журнала событий. По поводу последнего компания заявила, ссылаясь на тайну переписки, что отдаст его либо с согласия самих пользователей, либо по решению суда. ФАС выписала Mail.ru штраф, Mail.ru его обжаловала и проиграла. Суд решил, что ссылка на тайну переписки несостоятельна, и журнал надо выдать тоже.

"Журнал событий для электронных почтовых ящиков представляет собой таблицу, в которой отображаются все основные изменения в электронном почтовом ящике (действия с письмами, папками и "метками", то есть сортировкой писем, их фильтрация), — отмечается в решении суда. — Напротив каждого из указанных действий указан IP-адрес компьютера, с которого оно было осуществлено. Каких-либо сведений, включающих в себя содержание электронного письма, его тему, журнал событий электронного почтового ящика не содержит".

Приватная поисковая система Startpage.com вчера запустила онлайн-переводчик. Чтобы им воспользоваться, нужно набрать в поисковой строке на Startpage.com слово "translate". Ограничение на объем текста - 500 знаков, работает автоопределение языка или выбор вручную из 109 языков.

Работает это так же, как все остальное у Startpage, - это фактически Google Translate через обезличивающий прокси. Cам Startpage не сохраняет историю запросов и не строит личных профилей пользователей, поэтому перевод, как и поисковая выдача, по идее будет одинаковым для всех пользователей. Полезная штука.

Блогер Брайан Кребс описывает типичный жизненный цикл базы украденных паролей.

Стадия 1: Взлом хешей. Базу воруют у сервиса и она оказывается на подпольном форуме. Участники пытаются восстановить пароли из хешей (если вы не знаете, что это, вот описание). Если хеши - простые, типа MD5, то на приличных видеокартах при помощи утилит типа hashcat за день-два получается поломать 60-70% хешей и восстановить соответствующие им пароли пользователей.

Стадия 2: Валидация. Получившиеся пары имейл+пароль автоматически тестируют на популярных ресурсах, надеясь, что у пользователя одинаковые пароли в разных местах и нет двухфакторной аутентификации. На этом этапе процент успеха - меньше 1%. Но на больших базах из миллионов записей - это все равно достаточно много рабочих пар.

Стадия 3: Перепродажа в розницу. Отсортированные рабочие пары имейл+пароль оптом продают сервисам типа закрытого год назад WeLeakInfo[.]com, Такие сервисы продают их уже в розницу, поштучно или по подписке.

Стадия 4: Утечка в паблик. Данные из базы используют и перепродают до тех пор, пока они не теряют основную ценность, и в конце концов кто-нибудь выкладывает базу в публичный доступ. Тогда она попадает на ресурсы типа HaveIBeenPwned.com.

Стадия 1А: Фишинговые кампании. Одновременно с первой стадией украденная база анализируется на наличие другой полезной информации, на которой можно построить фишинговые кампании. Типичный пример: злоумышленники украли базу у онлайн-магазина по продаже футболок и разослали всем недавним покупателям предложения получить 15% кешбека за последнюю покупку. Данные о покупках (дата, сумма, что купил клиент, как зовут клиента) злоумышленники взяли из украденной базы. Для получения кешбека клиентам магазина предлагалось перейти на фишинговый сайт и ввести данные кредитной карты.

Дальше Кребс делает стандартный набор выводов: не ходите по ссылкам из почты, не используйте пароли повторно, используйте парольные менеджеры и сложные пароли, не доверяйте звонящим по телефону.

Кребс - известный исследователь онлайн-преступности. Поэтому интересно почитать, даже просто чтобы убедиться, что мы правильно защищаемся.

Онлайн-правозащитники EFF выпустили заявление против массовой аудио-слежки в США. Заявление вышло после публикации Vice про нарушения и злоупотребления при использовании полицией США "умных" уличных микрофонов компании ShotSpotter (буквально "определитель выстрелов"), непрозрачной системы с недоказанной эффективностью.

Компания ShotSpotter по заказу полиции развешивает в американских городах подключенные к мобильному интернету микрофоны, с "плотностью" до 10 штук на квадратный километр. Микрофоны подключены к нейронке, которая позволяет отличить выстрелы от других громких звуков. Компания утверждает, что это позволяет точно определить координаты выстрела и сопоставить с данными камер видеонаблюдения или вызвать наряд полиции. Система ShotSpotter работает больше 15 лет и на данный момент установлена в 110 городах и 12 университетских городках в США, в том числе в Чикаго и Нью-Йорке. Данные ShotSpotter уже использовались в 190 судебных процессах.

И тут в очередном суде выясняется, что операторы регулярно меняют данные по просьбе полиции, причем не только изменяют результат, который выдала нейронка (меняют "фейерверк" на "выстрел"), но и вручную меняют координаты предположительного места стрельбы. В прошлом компания также теряла или уничтожала исходные аудиофайлы, которые могли бы поставить под сомнение точку зрения полиции. А некоторые исследователи вообще ставят под сомнение, что система - эффективна. Например, по данным анализа данных из Чикаго за 21 месяц, 86% срабатываний за этот период вообще не привели к установленным фактам о совершенных преступлениях. А объективных данных об эффективности ShotSpotter не существует - компания никогда не заказывала независимую оценку.

Мало нам камер, теперь еще и микрофоны.