Министерство обороны Литвы опубликовало результаты собственного исследования безопасности трех популярных китайских смартфонов с поддержкой 5G: Huawei P40 5G, Xiaomi Mi 10T 5G и OnePlus 8T 5G.
Результаты: смартфоны Xiaomi отсылают скрытую зашифрованную смску в при регистрации нового смартфона в Xiaomi Cloud, какие-то служебные данные. А еще аудиторы нашли на телефоне Xiaomi обновляемый файл
/data/user/0/com.android.thememanager/files/MiAdBlacklistConfig
со списком терминов, запрещенных в Китае. Список стандартный: "Свободный Тибет", "Независимость Монголии", "Демократическое движение", "Голос Америки", "Да здравствует независимость Тайваня", названия каких-то исламских организаций. Всего 449 строк. В ЕС фильтрация отключена, но, если Xiaomi захочет, может удаленно включить.
А больше аудиторы особо ничего не нашли, только что обновления безопасности на Android поздно приходят, но это мы и так знаем.
Ссылка (pdf на литовском): https://kam.lt/download/72223/5g-cn-tyrimas[.]pdf
Результаты: смартфоны Xiaomi отсылают скрытую зашифрованную смску в при регистрации нового смартфона в Xiaomi Cloud, какие-то служебные данные. А еще аудиторы нашли на телефоне Xiaomi обновляемый файл
/data/user/0/com.android.thememanager/files/MiAdBlacklistConfig
со списком терминов, запрещенных в Китае. Список стандартный: "Свободный Тибет", "Независимость Монголии", "Демократическое движение", "Голос Америки", "Да здравствует независимость Тайваня", названия каких-то исламских организаций. Всего 449 строк. В ЕС фильтрация отключена, но, если Xiaomi захочет, может удаленно включить.
А больше аудиторы особо ничего не нашли, только что обновления безопасности на Android поздно приходят, но это мы и так знаем.
Ссылка (pdf на литовском): https://kam.lt/download/72223/5g-cn-tyrimas[.]pdf
EFF официально отправляет на пенсию легендарное расширение для браузеров HTTPS Everywhere, которое было нужно, чтобы автоматически перекидывать пользователей на зашифрованную (https) версию сайтов. То есть технически оно еще будет работать до конца 2022 года, но EFF считает, что смысла в нем больше нет - во всех популярных браузерах теперь есть встроенная поддержка режима "только HTTPS".
Как включить родной режим "только HTTPS" в браузерах:
Chrome: Настройки - Конфиденциальность и безопасность - Безопасность - Всегда использовать безопасные соединения
Firefox: Настройки - Приватность и защита - Режим "только HTTPS"
А в Safari 15, который вышел позавчера, ничего даже включать не надо - в нем по-умолчанию включена функция HTTPS upgrade.
Ссылка: https://www.eff.org/deeplinks/2021/09/https-actually-everywhere
Как включить родной режим "только HTTPS" в браузерах:
Chrome: Настройки - Конфиденциальность и безопасность - Безопасность - Всегда использовать безопасные соединения
Firefox: Настройки - Приватность и защита - Режим "только HTTPS"
А в Safari 15, который вышел позавчера, ничего даже включать не надо - в нем по-умолчанию включена функция HTTPS upgrade.
Ссылка: https://www.eff.org/deeplinks/2021/09/https-actually-everywhere
Electronic Frontier Foundation
HTTPS Is Actually Everywhere
For more than 10 years, EFF’s HTTPS Everywhere browser extension has provided a much-needed service to users: encrypting their browser communications with websites and making sure they benefit from
Forwarded from Roskomsvoboda
💬«VPN-блокировки не за горами, но с ними можно бороться»
Почти два года назад в силу вступил Закон о «суверенном Рунете», согласно которому, российский сегмент интернета должен «централизованно управляться Роскомнадзором». Однако для осуществления полного контроля над интернетом Роскомнадзору мешают VPN-сервисы.
Технические специалисты «РосКомСвободы» разобрались в сути вопроса и объяснили, каким образом россияне могут бороться с цензурой в Сети.
Здесь – перечень текущего состояния VPN-протоколов, их возможности и принципы работы:
➡️ https://roskomsvoboda.org/post/vpn-soprotivlenie-1/
❗️Напомним, что надёжный VPN-сервис вы можете приобрести в нашем маркетплейсе VPNlove.me. Там мы собрали все проверенные нами сервисы, которым доверяем и пользуемся сами.
Почти два года назад в силу вступил Закон о «суверенном Рунете», согласно которому, российский сегмент интернета должен «централизованно управляться Роскомнадзором». Однако для осуществления полного контроля над интернетом Роскомнадзору мешают VPN-сервисы.
Технические специалисты «РосКомСвободы» разобрались в сути вопроса и объяснили, каким образом россияне могут бороться с цензурой в Сети.
Здесь – перечень текущего состояния VPN-протоколов, их возможности и принципы работы:
➡️ https://roskomsvoboda.org/post/vpn-soprotivlenie-1/
❗️Напомним, что надёжный VPN-сервис вы можете приобрести в нашем маркетплейсе VPNlove.me. Там мы собрали все проверенные нами сервисы, которым доверяем и пользуемся сами.
Роскомсвобода
«VPN-блокировки не за горами, но с ними можно бороться»
Технические специалисты «РосКомСвободы» подготовили просветительский материал по теме VPN, и мы публикуем его первую часть, в которой рассказывается о вероятности блокировок таких сервисов, способах технического противостояния цензуре и защите пользователей.
Очередные новости про функцию "Частный узел" от Apple (это их платный аналог VPN, который не работает в России). В браузере Safari в IOS 15 с подключенным "Частным узлом" исследователи обнаружили утечку IP-адреса через WebRTC, которая позволяет вебсайту узнать реальный адрес клиента.
WebRTC - распространенная технология, на которой работает, например, Google Meet, Jitsi Meet и еще куча подобных сервисов, которым нужно связывать клиентов напрямую (как правило, для звонка). А утечка связана с механизмом, при помощи которого браузеры пытаются найти друг друга. Оказывается, в Safari в IOS этот трафик идет не через "Частный узел", а мимо, то есть напрямую.
Проблема - позорная, ей сто лет и все коммерческие провайдеры VPN умеют такое решать. А тут Apple, который одновременно разработчик браузера, операционной системы и самого сервиса "Частный узел". Наверное, очень быстро пофиксят.
Ссылка: https://fingerprintjs.com/blog/ios15-icloud-private-relay-vulnerability/
WebRTC - распространенная технология, на которой работает, например, Google Meet, Jitsi Meet и еще куча подобных сервисов, которым нужно связывать клиентов напрямую (как правило, для звонка). А утечка связана с механизмом, при помощи которого браузеры пытаются найти друг друга. Оказывается, в Safari в IOS этот трафик идет не через "Частный узел", а мимо, то есть напрямую.
Проблема - позорная, ей сто лет и все коммерческие провайдеры VPN умеют такое решать. А тут Apple, который одновременно разработчик браузера, операционной системы и самого сервиса "Частный узел". Наверное, очень быстро пофиксят.
Ссылка: https://fingerprintjs.com/blog/ios15-icloud-private-relay-vulnerability/
В России с конца августа выписывают штрафы за неподключение к НСДИ (Национальной системе доменных имен) операторов связи и компаний, имеющих номера автономных систем. А тут на Хабре пишут, как Роскомнадзор это проверяет. Если автор прав, то логируется само наличие запросов к НСДИ, и от кого запросы есть, того не штрафуют.
"НСДИ детектирует подключение к ней по наличию запросов, но совершенно не может определить, что вы делаете с ответами."
На основании этого предположения, автор и комментаторы предлагают варианты, как можно при помощи DNS-серверов dnsmasq и bind генерировать такие запросы, но при этом не использовать ответы от НСДИ, чтобы не платить штрафов, но и не попадать под цензуру по DNS и не ждать подолгу ответов (НСДИ пока медленный). Классическая инженерная смекалка, хотите обсудить - приходите в чат канала.
Ссылка: https://habr.com/ru/post/579634/
"НСДИ детектирует подключение к ней по наличию запросов, но совершенно не может определить, что вы делаете с ответами."
На основании этого предположения, автор и комментаторы предлагают варианты, как можно при помощи DNS-серверов dnsmasq и bind генерировать такие запросы, но при этом не использовать ответы от НСДИ, чтобы не платить штрафов, но и не попадать под цензуру по DNS и не ждать подолгу ответов (НСДИ пока медленный). Классическая инженерная смекалка, хотите обсудить - приходите в чат канала.
Ссылка: https://habr.com/ru/post/579634/
Разработчики приложения Lockdown Privacy критикуют Apple в Washington Post[1], говорят, что разрекламированная защита от отслеживания в IOS ("Настройки-Конфиденциальность-Отслеживание-Трекинг-запросы приложениями") не работает, по факту приложения продолжают собирать данные.
Lockdown Privacy - это такой фримиум (в смысле с платной частью) комбайн "два в одном", VPN + локальный файрвол. Файрвол пропускает трафик приложений через себя, отслеживает, куда они обращаются, блокирует и подсчитывает обращения. В общем, похоже на Tracker Control[2] в Android, но под IOS. Приложение использует свои собственные обновляемые списки трекеров, примерно как в блокировщиках рекламы (Amazon Trackers, Data Trackers, Email Trackers, Facebook Trackers, Game Marketing и так далее).
Ну и разработчики просто взяли свое приложение, поставили на чистый IOS, и по две минуты посмотрели, куда и сколько "стучат" 10 популярных приложений и игр под IOS с выключенной и с включенной системной защитой от отслеживания, и какую информацию передают. В их тесте, приложения в целом "стучат" на 13% меньше с включенной защитой. А некоторые начинают стучать больше.
В полной версии исследования[3] на сайте Lockdown Privacy есть список того, кто и сколько стучит и какую информацию отправляет. Ну и там еще пишут, что Apple придумал собственное длинное определение того, что такое "отслеживание" и по нему сбор данных может не быть отслеживанием. Но там казуистика в стиле "чтобы считаться отслеживанием, сбор данных должен соответствовать этому списку критериев и при этом не попадать вот в этот официальный список исключений".
Понятно, что Lockdown Privacy пиарят свое приложение. Но при этом они описали модель простого бесплатного эксперимента для примерной оценки, куда и сколько обращаются любые приложения на IOS, который каждый из нас может повторить и сделать собственные выводы. Это круто.
Ссылки:
[1] https://www.washingtonpost.com/technology/2021/09/23/iphone-tracking/
[2] https://trackercontrol.org/
[3] https://blog.lockdownprivacy.com/2021/09/22/study-effectiveness-of-apples-app-tracking-transparency.html
Lockdown Privacy - это такой фримиум (в смысле с платной частью) комбайн "два в одном", VPN + локальный файрвол. Файрвол пропускает трафик приложений через себя, отслеживает, куда они обращаются, блокирует и подсчитывает обращения. В общем, похоже на Tracker Control[2] в Android, но под IOS. Приложение использует свои собственные обновляемые списки трекеров, примерно как в блокировщиках рекламы (Amazon Trackers, Data Trackers, Email Trackers, Facebook Trackers, Game Marketing и так далее).
Ну и разработчики просто взяли свое приложение, поставили на чистый IOS, и по две минуты посмотрели, куда и сколько "стучат" 10 популярных приложений и игр под IOS с выключенной и с включенной системной защитой от отслеживания, и какую информацию передают. В их тесте, приложения в целом "стучат" на 13% меньше с включенной защитой. А некоторые начинают стучать больше.
В полной версии исследования[3] на сайте Lockdown Privacy есть список того, кто и сколько стучит и какую информацию отправляет. Ну и там еще пишут, что Apple придумал собственное длинное определение того, что такое "отслеживание" и по нему сбор данных может не быть отслеживанием. Но там казуистика в стиле "чтобы считаться отслеживанием, сбор данных должен соответствовать этому списку критериев и при этом не попадать вот в этот официальный список исключений".
Понятно, что Lockdown Privacy пиарят свое приложение. Но при этом они описали модель простого бесплатного эксперимента для примерной оценки, куда и сколько обращаются любые приложения на IOS, который каждый из нас может повторить и сделать собственные выводы. Это круто.
Ссылки:
[1] https://www.washingtonpost.com/technology/2021/09/23/iphone-tracking/
[2] https://trackercontrol.org/
[3] https://blog.lockdownprivacy.com/2021/09/22/study-effectiveness-of-apples-app-tracking-transparency.html
Forwarded from Roskomsvoboda
⚡️Открываем третий набор в Privacy Accelerator
Это – онлайн-программа, где мы прокачиваем проекты в сфере приватности, доступа к информации и legal-tech.
Командам предстоит в течение трёх месяцев уделять проекту не менее 20 часов в неделю, работать с менторами и наставниками, а также посещать общие лекции и вебинары.
⏰ Приём заявок открыт до 3 октября включительно. Старт программы намечен на 18 октября 2021.
➡️ Подробности о том, чего мы ждём от проектов и как подать заявку читайте здесь.
Это – онлайн-программа, где мы прокачиваем проекты в сфере приватности, доступа к информации и legal-tech.
Командам предстоит в течение трёх месяцев уделять проекту не менее 20 часов в неделю, работать с менторами и наставниками, а также посещать общие лекции и вебинары.
⏰ Приём заявок открыт до 3 октября включительно. Старт программы намечен на 18 октября 2021.
➡️ Подробности о том, чего мы ждём от проектов и как подать заявку читайте здесь.
Хабр
Privacy Accelerator открывает третий набор
Да-да, у нас в Privacy Accelerator уже третий набор проектов в сфере приватности, доступа к информации, также legal-tech! Заявки принимаем на официальном сайте до 3 октября включительно. А ниже...
MIT Technology Review пишет[1], что в этом году исследователи нашли 66 "уязвимостей нулевого дня" ("зиродей"), которые реально использовались хакерами. В смысле, не просто исследователь нашел уязвимость, рассказал на конференции и сдал производителю, а чтобы кого-то реально так ломали, и на в момент инцидента уязвимость была еще не исправлена. Это и есть определение "зиродеев" - у производителя было 0 дней на исправление уязвимости, он о ней не знает и защиты пока нет.
И с одной стороны, количество обнаруженных зиродеев растет: в 2020 году таких уязвимостей было зарегистрировано 37, а в 2019 - 28. С другой, исследователи комментируют, что современный софт гораздо лучше обнаруживает подобные атаки, а раньше их просто реже замечали и меньше регистрировали. И рост может быть связан с этим.
А еще оказывается, что гугловские исследователи уязвимостей Project Zero держат специальную публичную таблицу, куда они вносят все зиродеи, которые реально использовались [2]. Там в этом году всего 48 записей, зато есть описание каждого случая и разбивка по продуктам. За 2021 года в Android 5 зиродеев, в Chrome - 10, в Windows - 9, в движке Webkit - 7 (вот[3] список софта, который работает на Webkit), по 4 в Internet Explorer и Exchange Server, три в IOS, и остального - меньше.
Общее количество - это ценный контекст. Иначе читаешь про какие-нибудь вирусы NSO Group, с которыми недавно случился скандал[4], и думаешь, что у всех государств - полные карманы зиродеев, чтобы ломать кого угодно. Но нет, их по-прежнему используется не так много и они по-прежнему очень дорогие - цены за последние три года даже немного выросли.
Ссылки:
[1] https://www.technologyreview.com/2021/09/23/1036140/2021-record-zero-day-hacks-reasons/
[2] https://docs.google.com/spreadsheets/d/1lkNJ0uQwbeC1ZTRrxdtuPLCIl7mlUreoKfSIgajnSyY/edit#gid=2129022708
[3] https://ru.wikipedia.org/wiki/WebKit
[4] https://t.iss.one/rks_tech_talk/118
И с одной стороны, количество обнаруженных зиродеев растет: в 2020 году таких уязвимостей было зарегистрировано 37, а в 2019 - 28. С другой, исследователи комментируют, что современный софт гораздо лучше обнаруживает подобные атаки, а раньше их просто реже замечали и меньше регистрировали. И рост может быть связан с этим.
А еще оказывается, что гугловские исследователи уязвимостей Project Zero держат специальную публичную таблицу, куда они вносят все зиродеи, которые реально использовались [2]. Там в этом году всего 48 записей, зато есть описание каждого случая и разбивка по продуктам. За 2021 года в Android 5 зиродеев, в Chrome - 10, в Windows - 9, в движке Webkit - 7 (вот[3] список софта, который работает на Webkit), по 4 в Internet Explorer и Exchange Server, три в IOS, и остального - меньше.
Общее количество - это ценный контекст. Иначе читаешь про какие-нибудь вирусы NSO Group, с которыми недавно случился скандал[4], и думаешь, что у всех государств - полные карманы зиродеев, чтобы ломать кого угодно. Но нет, их по-прежнему используется не так много и они по-прежнему очень дорогие - цены за последние три года даже немного выросли.
Ссылки:
[1] https://www.technologyreview.com/2021/09/23/1036140/2021-record-zero-day-hacks-reasons/
[2] https://docs.google.com/spreadsheets/d/1lkNJ0uQwbeC1ZTRrxdtuPLCIl7mlUreoKfSIgajnSyY/edit#gid=2129022708
[3] https://ru.wikipedia.org/wiki/WebKit
[4] https://t.iss.one/rks_tech_talk/118
MIT Technology Review
2021 has broken the record for zero-day hacking attacks
But the reasons why are complicated—and not all bad news.
Московский Центр организации дорожного движения (ЦОДД) начал тестирование уличных микрофонов-шумомеров, чтобы в перспективе штрафовать слишком громкий транспорт. Стандарты и юридическая часть пока в разработке. Где-то на Чистых прудах в Москве такая штука уже стоит. Выглядит она как на картинке.
"Камера нового типа оборудована четырьмя направленными в сторону проезжей части микрофонами на Х-образном креплении... Прибор будет не только фиксировать звук, но и снимать фото и видео (для работы ночью предусмотрен ИК-датчик)."
Если поставить много уличных камер и решить проблему хранения и обработки записей, то писать звук - очень логичный следующий шаг.
Ссылка: https://www.kommersant.ru/doc/5007056
"Камера нового типа оборудована четырьмя направленными в сторону проезжей части микрофонами на Х-образном креплении... Прибор будет не только фиксировать звук, но и снимать фото и видео (для работы ночью предусмотрен ИК-датчик)."
Если поставить много уличных камер и решить проблему хранения и обработки записей, то писать звук - очень логичный следующий шаг.
Ссылка: https://www.kommersant.ru/doc/5007056
Американские кинокомпании собрались вместе и подали в суд на Liquid VPN и предполагаемого владельца сервиса (он американец), требуют 10 миллионов долларов и чтобы Liquid:
• Закрыл для клиентов доступ к пиратским сайтам и трекерам.
• Блокировал порты 6881-6889.
• Начал наказывать пиратов-"повторных нарушителей" (для этого нужно начать логировать трафик пользователей).
Liquid VPN на сайте прямо писал "лучший VPN для торрентов", "вас не достанут правообладатели с претензиями по DMCA, потому что мы не храним логи" и "можно смотреть пиратские стримы без последствий", и теперь им за это прилетело. Суд идет с марта, представители VPN-провайдера на него не ходят, сейчас правообладатели говорят, значит пусть суд удовлетворяет наши требования.
Чем бы ни кончился этот суд, люди будут продолжать использовать коммерческие VPN, чтобы качать пиратский контент. Если американских провайдеров прижмут - уйдут в другие юрисдикции. Но рекламироваться провайдерам точно стоит поаккуратнее.
Ссылка: https://arstechnica.com/information-technology/2021/09/film-studios-sue-liquidvpn-for-10-million-but-is-it-fair/
• Закрыл для клиентов доступ к пиратским сайтам и трекерам.
• Блокировал порты 6881-6889.
• Начал наказывать пиратов-"повторных нарушителей" (для этого нужно начать логировать трафик пользователей).
Liquid VPN на сайте прямо писал "лучший VPN для торрентов", "вас не достанут правообладатели с претензиями по DMCA, потому что мы не храним логи" и "можно смотреть пиратские стримы без последствий", и теперь им за это прилетело. Суд идет с марта, представители VPN-провайдера на него не ходят, сейчас правообладатели говорят, значит пусть суд удовлетворяет наши требования.
Чем бы ни кончился этот суд, люди будут продолжать использовать коммерческие VPN, чтобы качать пиратский контент. Если американских провайдеров прижмут - уйдут в другие юрисдикции. Но рекламироваться провайдерам точно стоит поаккуратнее.
Ссылка: https://arstechnica.com/information-technology/2021/09/film-studios-sue-liquidvpn-for-10-million-but-is-it-fair/
Ars Technica
Film studios sue “no logs” VPN provider for $10 million
Independent movie studios are demanding $10 million in damages from LiquidVPN.
Телеграм-канал Mobile-review пишет, что сегодня не работают новые активации Android. У зарегистрированных аккаунтов проблем нет, а новые (или сброшенные к заводским настройкам) телефоны не активируются в Google с самого утра, пишут "Вы не в сети", как на картинке. "Началось с утра сегодня, проверено на Онор, сяоми, Самсунг".
Кто-нибудь знает, что происходит?
Ссылка: https://t.iss.one/mobilereviewcom/9308
Кто-нибудь знает, что происходит?
Ссылка: https://t.iss.one/mobilereviewcom/9308
Сегодня арестовали Илью Сачкова из Group-IB за дело по госизмене. Это скорее всего значит, что мы не узнаем в чем формальная причина ареста (потому что дело будет расследоваться в закрытом режиме), а также не факт, что узнаем какая причина реальная.
В реальности же статья резиновая, и под "оказание консультационной или иной помощи иностранному государству, международной либо иностранной организации или их представителям в деятельности, направленной против безопасности Российской Федерации" можно подтянуть вообще что угодно, если лицо является публичным, хоть общение с иностранными заказчиками, хоть интервью Блумбергу.
В реальности же статья резиновая, и под "оказание консультационной или иной помощи иностранному государству, международной либо иностранной организации или их представителям в деятельности, направленной против безопасности Российской Федерации" можно подтянуть вообще что угодно, если лицо является публичным, хоть общение с иностранными заказчиками, хоть интервью Блумбергу.
Forbes.ru
Основателя Group-IB арестовали по делу о госизмене
Основателя Group-IB арестовали на два месяца по делу о госизмене. По этой статье ему грозит до 20 лет лишения свободы. Ранее в компании, занимающейся кибербезопасностью, прошли обыски
IT-журналист Брайан Кребс пишет о рынке Telegram-ботов, которые предлагают сервис автоматических роботизированных звонков для выманивания кодов двухфакторной аутентификации.
Работает это так: клиент бота оплачивает услугу, а потом вводит телефонный номер жертвы и кем будет притворяться бот (банком, платежной системой, мобильным оператором и тд). Робот звонит жертве с подделанного номера и просит ввести на цифровой клавиатуре временный код TOTP или код из смс-ки, жертва вводит код, клиент сервиса в реальном времени видит введенный код в интерфейсе бота. Разработчики одного из таких ботов пишут, что восемь из десяти жертв, которые вообще сняли трубку, в результате вводят код.
Сервисом пользуются киберпреступники, которые знают пароль жертвы, например, из массовой утечки паролей, но не могут им воспользоваться, потому что включена двухфакторная. Про один из сервисов написано, что "подписка" стоит 300 долларов в месяц. Можно даже глянуть короткое демонстрационное видео, как это работает.
Представляете, людям по телефону звонит робот и неожиданно спрашивает код двухфакторной, а они такие, ну ладно, конечно введу!
Работает это так: клиент бота оплачивает услугу, а потом вводит телефонный номер жертвы и кем будет притворяться бот (банком, платежной системой, мобильным оператором и тд). Робот звонит жертве с подделанного номера и просит ввести на цифровой клавиатуре временный код TOTP или код из смс-ки, жертва вводит код, клиент сервиса в реальном времени видит введенный код в интерфейсе бота. Разработчики одного из таких ботов пишут, что восемь из десяти жертв, которые вообще сняли трубку, в результате вводят код.
Сервисом пользуются киберпреступники, которые знают пароль жертвы, например, из массовой утечки паролей, но не могут им воспользоваться, потому что включена двухфакторная. Про один из сервисов написано, что "подписка" стоит 300 долларов в месяц. Можно даже глянуть короткое демонстрационное видео, как это работает.
Представляете, людям по телефону звонит робот и неожиданно спрашивает код двухфакторной, а они такие, ну ладно, конечно введу!
Krebs on Security
The Rise of One-Time Password Interception Bots
In February, KrebsOnSecurity wrote about a novel cybercrime service that helped attackers intercept the one-time passwords (OTPs) that many websites require as a second authentication factor in addition to passwords. That service quickly went offline, but…
Вторая часть серии постов про блокировку VPN в России и в мире.
На этот раз речь идет про Китай и немного Туркмению с небольшими техническими подробностями.
https://roskomsvoboda.org/post/vpn-soprotivlenie-2/
На этот раз речь идет про Китай и немного Туркмению с небольшими техническими подробностями.
https://roskomsvoboda.org/post/vpn-soprotivlenie-2/
Роскомсвобода
Блокировки VPN в мире: как это происходит
Во второй части просветительского материала о технологии VPN технические специалисты «РосКомСвободы» рассказывают о способах борьбы властей разных стран с обходом блокировок, о применяемых для этого технических средствах, а также об уровне их эффективности.
The Markup рассказывает[1] о рынке данных геолокации, которые собирают мобильные приложения. Они нашли 47 компаний (список есть в материале), которые собирают или скупают такие данные, ежегодный объем этого рынка - 12 миллиардов долларов США. Одна компания, Nest, говорит, что у нее есть данные 1.6 миллиарда людей из 44 стран, а другая, Mobilewalla, предлагает 40+ стран, 1.9+ миллиарда устройств, данные за 5+ лет, 50 миллиардов новых записей в день.
Как устроен этот рынок?
Шаг 1: Данные собираются из приложений
Дата-брокеры не раскрывают, из каких конкретно приложений они собирают данные, а сами приложения прячут эту информацию в условиях использования. На запрос Markup ответил только Foursquare - сказал, что собирает через свои собственные приложения (Swarm, CityGuide, Rewards и так далее) и свой SDK (набор средств разработки), который используется еще в 26 приложениях. Сбор данных через SDK - распространенная практика, из 47 компаний, про которые идет речь в исследовании, собственные SDK есть у 12.
Шаг 2: Данные перепродаются
На этом этапе все просто: все игроки перепродают кому угодно все, что можно. Существуют крупные сервисы обмена и перепродажи, например Amazon AWS Data Exchange[2] и Oracle Data Marketplace[3]. На этом этапе данные геолокации максимально обогащаются, сопоставляются и на их основе делаются предположения о доходе и круге интересов пользователей.
Шаг 3: Покупатели используют данные
Несколько типичных примеров, кому и зачем вообще нужно покупать данные геолокации:
• Владельцам магазинов и инвесторам - чтобы понять посещаемость и демографию посетителей. Бизнесы также таргетируют рекламу на клиентов конкурентов: например, пишут, что Бургер Кинг в США показывал рекламу и предлагал бургер за 1 цент всем, кто находится ближе чем на 300 метров к Макдональдсу.
• Полиции, спецслужбам и госорганам - для работы.
• Политическим партиям - чтобы планировать политические компании. В исследовании приводят пример таргетинга политической рекламы на тех, кто ходил на митинг.
Основные проблемы это рынка:
• Пользователям сложно понять, какие приложения продают какие данные.
• Данные в результате хранятся вечно и их может купить кто угодно.
• Удалить собственные данные из датасетов для пользователя либо нереально, либо геморрой и пользователи по факту этого не делают.
• Googlе и Apple пытаются банить из магазинов продукты особо отличившихся дата-брокеров, но рынок по-прежнему живой, значит, этого недостаточно.
Такой вот surveillance capitalism ("капитализм, основанный на слежке").
[1] https://themarkup.org/privacy/2021/09/30/theres-a-multibillion-dollar-market-for-your-phones-location-data
[2] https://aws.amazon.com/ru/data-exchange/
[3] https://www.oracle.com/cx/advertising/data-providers/
Как устроен этот рынок?
Шаг 1: Данные собираются из приложений
Дата-брокеры не раскрывают, из каких конкретно приложений они собирают данные, а сами приложения прячут эту информацию в условиях использования. На запрос Markup ответил только Foursquare - сказал, что собирает через свои собственные приложения (Swarm, CityGuide, Rewards и так далее) и свой SDK (набор средств разработки), который используется еще в 26 приложениях. Сбор данных через SDK - распространенная практика, из 47 компаний, про которые идет речь в исследовании, собственные SDK есть у 12.
Шаг 2: Данные перепродаются
На этом этапе все просто: все игроки перепродают кому угодно все, что можно. Существуют крупные сервисы обмена и перепродажи, например Amazon AWS Data Exchange[2] и Oracle Data Marketplace[3]. На этом этапе данные геолокации максимально обогащаются, сопоставляются и на их основе делаются предположения о доходе и круге интересов пользователей.
Шаг 3: Покупатели используют данные
Несколько типичных примеров, кому и зачем вообще нужно покупать данные геолокации:
• Владельцам магазинов и инвесторам - чтобы понять посещаемость и демографию посетителей. Бизнесы также таргетируют рекламу на клиентов конкурентов: например, пишут, что Бургер Кинг в США показывал рекламу и предлагал бургер за 1 цент всем, кто находится ближе чем на 300 метров к Макдональдсу.
• Полиции, спецслужбам и госорганам - для работы.
• Политическим партиям - чтобы планировать политические компании. В исследовании приводят пример таргетинга политической рекламы на тех, кто ходил на митинг.
Основные проблемы это рынка:
• Пользователям сложно понять, какие приложения продают какие данные.
• Данные в результате хранятся вечно и их может купить кто угодно.
• Удалить собственные данные из датасетов для пользователя либо нереально, либо геморрой и пользователи по факту этого не делают.
• Googlе и Apple пытаются банить из магазинов продукты особо отличившихся дата-брокеров, но рынок по-прежнему живой, значит, этого недостаточно.
Такой вот surveillance capitalism ("капитализм, основанный на слежке").
[1] https://themarkup.org/privacy/2021/09/30/theres-a-multibillion-dollar-market-for-your-phones-location-data
[2] https://aws.amazon.com/ru/data-exchange/
[3] https://www.oracle.com/cx/advertising/data-providers/
5 октября должен официально выйти Windows 11 и в конце прошлой недели уже появились установочные ISO-файлы для участников Windows Insider Program и рецепты как обновиться с "десятки"[1].
А теперь проект Universal Media Creation Tool[2] выпустил скрипт Skip_TPM_Check_on_Dynamic_Update.cmd[3], который отключает в ISO-файлах Windows 11 проверку системных требований: Secure Boot, TPM 2.0, 64 гигабайта свободного места на диске и ограничения по CPU. Редакция Bleeping Computer его тестировала[4] и у них Windows 11 (build 22449) установился на виртуальную машину без TPM, и с недостаточным объемом свободного места на диске.
Понятно было, что умельцы быстро найдут способ обойти ограничения в новой операционке от Microsoft, и вот уже нашли! А если вы не доверяете чужим скриптам (и правильно делаете!), это буквально .bat скрипт - там можно прочитать, что он делает.
Ссылки:
[1] https://vc.ru/tech/297391-microsoft-otkryla-dostup-k-ustanovke-finalnoy-versii-windows-11
[2] https://gist.github.com/AveYo/c74dc774a8fb81a332b5d65613187b15
[3] https://gist.github.com/AveYo/c74dc774a8fb81a332b5d65613187b15#file-skip_tpm_check_on_dynamic_update-cmd
[4] https://www.bleepingcomputer.com/news/microsoft/new-windows-11-install-script-bypasses-tpm-system-requirements/
А теперь проект Universal Media Creation Tool[2] выпустил скрипт Skip_TPM_Check_on_Dynamic_Update.cmd[3], который отключает в ISO-файлах Windows 11 проверку системных требований: Secure Boot, TPM 2.0, 64 гигабайта свободного места на диске и ограничения по CPU. Редакция Bleeping Computer его тестировала[4] и у них Windows 11 (build 22449) установился на виртуальную машину без TPM, и с недостаточным объемом свободного места на диске.
Понятно было, что умельцы быстро найдут способ обойти ограничения в новой операционке от Microsoft, и вот уже нашли! А если вы не доверяете чужим скриптам (и правильно делаете!), это буквально .bat скрипт - там можно прочитать, что он делает.
Ссылки:
[1] https://vc.ru/tech/297391-microsoft-otkryla-dostup-k-ustanovke-finalnoy-versii-windows-11
[2] https://gist.github.com/AveYo/c74dc774a8fb81a332b5d65613187b15
[3] https://gist.github.com/AveYo/c74dc774a8fb81a332b5d65613187b15#file-skip_tpm_check_on_dynamic_update-cmd
[4] https://www.bleepingcomputer.com/news/microsoft/new-windows-11-install-script-bypasses-tpm-system-requirements/
Роскомнадзор, судя по всему, задел своими блокировками какие-то популярные облака.
С утра все жалуются на плохо работающий WhatsApp и Slack. Что-то похожее было, когда блокировали Телеграм.
С утра все жалуются на плохо работающий WhatsApp и Slack. Что-то похожее было, когда блокировали Телеграм.
Facebook совместно с Ray-Ban недавно выпустил умные очки. Это сдвоенная 5-мегапиксельная камера, вмонтированная в очки, которая умеет делать фото и снимать 30-секундные ролики, и управляется кнопкой или голосовыми командами. Теперь защитники цифровых прав Access Now выпустили пост о том, почему эти очки - зло.
Главная проблема: когда очки работают, об этом свидетельствует только тусклый белый светодиод (как на фото). Днем и на расстоянии его вообще не видно. Дизайн очков ничем особо не отличается от обычных Ray-Ban, звукового сигнала о начале записи они не подают. В общем, идеальное средство скрытой съемки без согласия на нее.
Второе: Facebook требует привязки очков к своему аккаунту, а фото и видео можно скачивать из очков только через приложение Facebook View, которое требует кучу разрешений, например, геолокацию и контакты. Реальной необходимости в привязке к аккаунту и сборе этой информации нет.
В общем, владельцы очков смогут следить за окружающими, а Facebook будет следить за ними.
Главная проблема: когда очки работают, об этом свидетельствует только тусклый белый светодиод (как на фото). Днем и на расстоянии его вообще не видно. Дизайн очков ничем особо не отличается от обычных Ray-Ban, звукового сигнала о начале записи они не подают. В общем, идеальное средство скрытой съемки без согласия на нее.
Второе: Facebook требует привязки очков к своему аккаунту, а фото и видео можно скачивать из очков только через приложение Facebook View, которое требует кучу разрешений, например, геолокацию и контакты. Реальной необходимости в привязке к аккаунту и сборе этой информации нет.
В общем, владельцы очков смогут следить за окружающими, а Facebook будет следить за ними.
А вот и объяснение, откуда у пользователей второй день проблемы со Slack. Компания что-то меняла в настройках DNS в четверг вечером и накосячила, а потом остальные DNS-сервера запомнили неверные значения. Варианта решения в статье предлагают три:
• провайдерские DNS-сервера должны у себя сбросить закешированные ответы от slack.com
• клиенты могут на своих устройствах переключиться на DNS-сервера Google (которые 8.8.8.8) и перезагрузить Slack (сделать Ctrl/Command + R).
• само починится сегодня в полночь по Москве
UPD: Само в полночь не починится, если наглые провайдерские кеширующие DNS-ы игнорируют значение TTL в DNS-записях, а такие бывают!
• провайдерские DNS-сервера должны у себя сбросить закешированные ответы от slack.com
• клиенты могут на своих устройствах переключиться на DNS-сервера Google (которые 8.8.8.8) и перезагрузить Slack (сделать Ctrl/Command + R).
• само починится сегодня в полночь по Москве
UPD: Само в полночь не починится, если наглые провайдерские кеширующие DNS-ы игнорируют значение TTL в DNS-записях, а такие бывают!
Вышло новое исследование о том, как устроен Великий китайский файрвол.
Известно, что китайская интернет-цензура - это сочетание блокировок по IP-адресу, подмены DNS (то есть запрашиваешь запрещенный домен, а тебя перенаправляют на страницу-"заглушку") и фильтрации HTTPS-трафика по заголовкам SNI (так работает российский ТСПУ и так были устроены недавние внереестровые блокировки в России). Для обхода последнего типа блокировок был разработан зашифрованный SNI (ESNI), но в Китае ESNI просто блокируют целиком.
Так вот, раньше было известно, что блокировками по IP занимается один "черный ящик", по DNS - другой, а по SNI - третий. А теперь выяснилось, что как минимум с 2019 года SNI-ящиков, которые отвечают за HTTPS-трафик, стало два. Они выполняют одну и ту же задачу, но работают по-разному и весь пользовательский трафик проходит через оба, последовательно. За счет этого китайские цензоры добиваются большей точности фильтрации (например, вот тут говорят, что первый дает точность 87%, второй 88%, а вместе они дают 98%). В PDF исследователи рассказывают, как они пришли к такому выводу и как можно обходить фильтрацию "первого" и "второго" ящика.
Что в этой истории интересного: в Китае не заменяют старое оборудование для онлайн-цензуры на новое, а подключают новое к старому, цепочками. Это делает всю систему менее надежной (например, в августе 200 тысяч российских абонентов сидели 40 минут без интернета из-за аварии ТСПУ), а значит, для разработчиков качество онлайн-цензуры приоритетнее надежности. А может, такое дублирование дает возможность отключать один из двух черных ящиков во время аварии и все-таки не оставлять китайских интернет-пользователей совсем без цензуры)
Ссылка на исследование: https://geneva.cs.umd.edu/papers/foci21.pdf
Известно, что китайская интернет-цензура - это сочетание блокировок по IP-адресу, подмены DNS (то есть запрашиваешь запрещенный домен, а тебя перенаправляют на страницу-"заглушку") и фильтрации HTTPS-трафика по заголовкам SNI (так работает российский ТСПУ и так были устроены недавние внереестровые блокировки в России). Для обхода последнего типа блокировок был разработан зашифрованный SNI (ESNI), но в Китае ESNI просто блокируют целиком.
Так вот, раньше было известно, что блокировками по IP занимается один "черный ящик", по DNS - другой, а по SNI - третий. А теперь выяснилось, что как минимум с 2019 года SNI-ящиков, которые отвечают за HTTPS-трафик, стало два. Они выполняют одну и ту же задачу, но работают по-разному и весь пользовательский трафик проходит через оба, последовательно. За счет этого китайские цензоры добиваются большей точности фильтрации (например, вот тут говорят, что первый дает точность 87%, второй 88%, а вместе они дают 98%). В PDF исследователи рассказывают, как они пришли к такому выводу и как можно обходить фильтрацию "первого" и "второго" ящика.
Что в этой истории интересного: в Китае не заменяют старое оборудование для онлайн-цензуры на новое, а подключают новое к старому, цепочками. Это делает всю систему менее надежной (например, в августе 200 тысяч российских абонентов сидели 40 минут без интернета из-за аварии ТСПУ), а значит, для разработчиков качество онлайн-цензуры приоритетнее надежности. А может, такое дублирование дает возможность отключать один из двух черных ящиков во время аварии и все-таки не оставлять китайских интернет-пользователей совсем без цензуры)
Ссылка на исследование: https://geneva.cs.umd.edu/papers/foci21.pdf
Forwarded from GlobalCheck
Уже больше двух часов сервисы Facebook, в том числе Instagram и Whatsapp, недоступны для европейских пользователей.
Причина - проблемы с анонсами подсетей, в которых располагаются DNS-серверы, на которых работают домены сервисов Facebook.
За доступностью можно следить на графиках:
- facebook.com
- instagram.com
- g.whatsapp.net (один из служебных доменов, с которым работает приложение Whatsapp).
Причина - проблемы с анонсами подсетей, в которых располагаются DNS-серверы, на которых работают домены сервисов Facebook.
За доступностью можно следить на графиках:
- facebook.com
- instagram.com
- g.whatsapp.net (один из служебных доменов, с которым работает приложение Whatsapp).