Московский Центр организации дорожного движения (ЦОДД) начал тестирование уличных микрофонов-шумомеров, чтобы в перспективе штрафовать слишком громкий транспорт. Стандарты и юридическая часть пока в разработке. Где-то на Чистых прудах в Москве такая штука уже стоит. Выглядит она как на картинке.
"Камера нового типа оборудована четырьмя направленными в сторону проезжей части микрофонами на Х-образном креплении... Прибор будет не только фиксировать звук, но и снимать фото и видео (для работы ночью предусмотрен ИК-датчик)."
Если поставить много уличных камер и решить проблему хранения и обработки записей, то писать звук - очень логичный следующий шаг.
Ссылка: https://www.kommersant.ru/doc/5007056
"Камера нового типа оборудована четырьмя направленными в сторону проезжей части микрофонами на Х-образном креплении... Прибор будет не только фиксировать звук, но и снимать фото и видео (для работы ночью предусмотрен ИК-датчик)."
Если поставить много уличных камер и решить проблему хранения и обработки записей, то писать звук - очень логичный следующий шаг.
Ссылка: https://www.kommersant.ru/doc/5007056
Американские кинокомпании собрались вместе и подали в суд на Liquid VPN и предполагаемого владельца сервиса (он американец), требуют 10 миллионов долларов и чтобы Liquid:
• Закрыл для клиентов доступ к пиратским сайтам и трекерам.
• Блокировал порты 6881-6889.
• Начал наказывать пиратов-"повторных нарушителей" (для этого нужно начать логировать трафик пользователей).
Liquid VPN на сайте прямо писал "лучший VPN для торрентов", "вас не достанут правообладатели с претензиями по DMCA, потому что мы не храним логи" и "можно смотреть пиратские стримы без последствий", и теперь им за это прилетело. Суд идет с марта, представители VPN-провайдера на него не ходят, сейчас правообладатели говорят, значит пусть суд удовлетворяет наши требования.
Чем бы ни кончился этот суд, люди будут продолжать использовать коммерческие VPN, чтобы качать пиратский контент. Если американских провайдеров прижмут - уйдут в другие юрисдикции. Но рекламироваться провайдерам точно стоит поаккуратнее.
Ссылка: https://arstechnica.com/information-technology/2021/09/film-studios-sue-liquidvpn-for-10-million-but-is-it-fair/
• Закрыл для клиентов доступ к пиратским сайтам и трекерам.
• Блокировал порты 6881-6889.
• Начал наказывать пиратов-"повторных нарушителей" (для этого нужно начать логировать трафик пользователей).
Liquid VPN на сайте прямо писал "лучший VPN для торрентов", "вас не достанут правообладатели с претензиями по DMCA, потому что мы не храним логи" и "можно смотреть пиратские стримы без последствий", и теперь им за это прилетело. Суд идет с марта, представители VPN-провайдера на него не ходят, сейчас правообладатели говорят, значит пусть суд удовлетворяет наши требования.
Чем бы ни кончился этот суд, люди будут продолжать использовать коммерческие VPN, чтобы качать пиратский контент. Если американских провайдеров прижмут - уйдут в другие юрисдикции. Но рекламироваться провайдерам точно стоит поаккуратнее.
Ссылка: https://arstechnica.com/information-technology/2021/09/film-studios-sue-liquidvpn-for-10-million-but-is-it-fair/
Ars Technica
Film studios sue “no logs” VPN provider for $10 million
Independent movie studios are demanding $10 million in damages from LiquidVPN.
Телеграм-канал Mobile-review пишет, что сегодня не работают новые активации Android. У зарегистрированных аккаунтов проблем нет, а новые (или сброшенные к заводским настройкам) телефоны не активируются в Google с самого утра, пишут "Вы не в сети", как на картинке. "Началось с утра сегодня, проверено на Онор, сяоми, Самсунг".
Кто-нибудь знает, что происходит?
Ссылка: https://t.iss.one/mobilereviewcom/9308
Кто-нибудь знает, что происходит?
Ссылка: https://t.iss.one/mobilereviewcom/9308
Сегодня арестовали Илью Сачкова из Group-IB за дело по госизмене. Это скорее всего значит, что мы не узнаем в чем формальная причина ареста (потому что дело будет расследоваться в закрытом режиме), а также не факт, что узнаем какая причина реальная.
В реальности же статья резиновая, и под "оказание консультационной или иной помощи иностранному государству, международной либо иностранной организации или их представителям в деятельности, направленной против безопасности Российской Федерации" можно подтянуть вообще что угодно, если лицо является публичным, хоть общение с иностранными заказчиками, хоть интервью Блумбергу.
В реальности же статья резиновая, и под "оказание консультационной или иной помощи иностранному государству, международной либо иностранной организации или их представителям в деятельности, направленной против безопасности Российской Федерации" можно подтянуть вообще что угодно, если лицо является публичным, хоть общение с иностранными заказчиками, хоть интервью Блумбергу.
Forbes.ru
Основателя Group-IB арестовали по делу о госизмене
Основателя Group-IB арестовали на два месяца по делу о госизмене. По этой статье ему грозит до 20 лет лишения свободы. Ранее в компании, занимающейся кибербезопасностью, прошли обыски
IT-журналист Брайан Кребс пишет о рынке Telegram-ботов, которые предлагают сервис автоматических роботизированных звонков для выманивания кодов двухфакторной аутентификации.
Работает это так: клиент бота оплачивает услугу, а потом вводит телефонный номер жертвы и кем будет притворяться бот (банком, платежной системой, мобильным оператором и тд). Робот звонит жертве с подделанного номера и просит ввести на цифровой клавиатуре временный код TOTP или код из смс-ки, жертва вводит код, клиент сервиса в реальном времени видит введенный код в интерфейсе бота. Разработчики одного из таких ботов пишут, что восемь из десяти жертв, которые вообще сняли трубку, в результате вводят код.
Сервисом пользуются киберпреступники, которые знают пароль жертвы, например, из массовой утечки паролей, но не могут им воспользоваться, потому что включена двухфакторная. Про один из сервисов написано, что "подписка" стоит 300 долларов в месяц. Можно даже глянуть короткое демонстрационное видео, как это работает.
Представляете, людям по телефону звонит робот и неожиданно спрашивает код двухфакторной, а они такие, ну ладно, конечно введу!
Работает это так: клиент бота оплачивает услугу, а потом вводит телефонный номер жертвы и кем будет притворяться бот (банком, платежной системой, мобильным оператором и тд). Робот звонит жертве с подделанного номера и просит ввести на цифровой клавиатуре временный код TOTP или код из смс-ки, жертва вводит код, клиент сервиса в реальном времени видит введенный код в интерфейсе бота. Разработчики одного из таких ботов пишут, что восемь из десяти жертв, которые вообще сняли трубку, в результате вводят код.
Сервисом пользуются киберпреступники, которые знают пароль жертвы, например, из массовой утечки паролей, но не могут им воспользоваться, потому что включена двухфакторная. Про один из сервисов написано, что "подписка" стоит 300 долларов в месяц. Можно даже глянуть короткое демонстрационное видео, как это работает.
Представляете, людям по телефону звонит робот и неожиданно спрашивает код двухфакторной, а они такие, ну ладно, конечно введу!
Krebs on Security
The Rise of One-Time Password Interception Bots
In February, KrebsOnSecurity wrote about a novel cybercrime service that helped attackers intercept the one-time passwords (OTPs) that many websites require as a second authentication factor in addition to passwords. That service quickly went offline, but…
Вторая часть серии постов про блокировку VPN в России и в мире.
На этот раз речь идет про Китай и немного Туркмению с небольшими техническими подробностями.
https://roskomsvoboda.org/post/vpn-soprotivlenie-2/
На этот раз речь идет про Китай и немного Туркмению с небольшими техническими подробностями.
https://roskomsvoboda.org/post/vpn-soprotivlenie-2/
Роскомсвобода
Блокировки VPN в мире: как это происходит
Во второй части просветительского материала о технологии VPN технические специалисты «РосКомСвободы» рассказывают о способах борьбы властей разных стран с обходом блокировок, о применяемых для этого технических средствах, а также об уровне их эффективности.
The Markup рассказывает[1] о рынке данных геолокации, которые собирают мобильные приложения. Они нашли 47 компаний (список есть в материале), которые собирают или скупают такие данные, ежегодный объем этого рынка - 12 миллиардов долларов США. Одна компания, Nest, говорит, что у нее есть данные 1.6 миллиарда людей из 44 стран, а другая, Mobilewalla, предлагает 40+ стран, 1.9+ миллиарда устройств, данные за 5+ лет, 50 миллиардов новых записей в день.
Как устроен этот рынок?
Шаг 1: Данные собираются из приложений
Дата-брокеры не раскрывают, из каких конкретно приложений они собирают данные, а сами приложения прячут эту информацию в условиях использования. На запрос Markup ответил только Foursquare - сказал, что собирает через свои собственные приложения (Swarm, CityGuide, Rewards и так далее) и свой SDK (набор средств разработки), который используется еще в 26 приложениях. Сбор данных через SDK - распространенная практика, из 47 компаний, про которые идет речь в исследовании, собственные SDK есть у 12.
Шаг 2: Данные перепродаются
На этом этапе все просто: все игроки перепродают кому угодно все, что можно. Существуют крупные сервисы обмена и перепродажи, например Amazon AWS Data Exchange[2] и Oracle Data Marketplace[3]. На этом этапе данные геолокации максимально обогащаются, сопоставляются и на их основе делаются предположения о доходе и круге интересов пользователей.
Шаг 3: Покупатели используют данные
Несколько типичных примеров, кому и зачем вообще нужно покупать данные геолокации:
• Владельцам магазинов и инвесторам - чтобы понять посещаемость и демографию посетителей. Бизнесы также таргетируют рекламу на клиентов конкурентов: например, пишут, что Бургер Кинг в США показывал рекламу и предлагал бургер за 1 цент всем, кто находится ближе чем на 300 метров к Макдональдсу.
• Полиции, спецслужбам и госорганам - для работы.
• Политическим партиям - чтобы планировать политические компании. В исследовании приводят пример таргетинга политической рекламы на тех, кто ходил на митинг.
Основные проблемы это рынка:
• Пользователям сложно понять, какие приложения продают какие данные.
• Данные в результате хранятся вечно и их может купить кто угодно.
• Удалить собственные данные из датасетов для пользователя либо нереально, либо геморрой и пользователи по факту этого не делают.
• Googlе и Apple пытаются банить из магазинов продукты особо отличившихся дата-брокеров, но рынок по-прежнему живой, значит, этого недостаточно.
Такой вот surveillance capitalism ("капитализм, основанный на слежке").
[1] https://themarkup.org/privacy/2021/09/30/theres-a-multibillion-dollar-market-for-your-phones-location-data
[2] https://aws.amazon.com/ru/data-exchange/
[3] https://www.oracle.com/cx/advertising/data-providers/
Как устроен этот рынок?
Шаг 1: Данные собираются из приложений
Дата-брокеры не раскрывают, из каких конкретно приложений они собирают данные, а сами приложения прячут эту информацию в условиях использования. На запрос Markup ответил только Foursquare - сказал, что собирает через свои собственные приложения (Swarm, CityGuide, Rewards и так далее) и свой SDK (набор средств разработки), который используется еще в 26 приложениях. Сбор данных через SDK - распространенная практика, из 47 компаний, про которые идет речь в исследовании, собственные SDK есть у 12.
Шаг 2: Данные перепродаются
На этом этапе все просто: все игроки перепродают кому угодно все, что можно. Существуют крупные сервисы обмена и перепродажи, например Amazon AWS Data Exchange[2] и Oracle Data Marketplace[3]. На этом этапе данные геолокации максимально обогащаются, сопоставляются и на их основе делаются предположения о доходе и круге интересов пользователей.
Шаг 3: Покупатели используют данные
Несколько типичных примеров, кому и зачем вообще нужно покупать данные геолокации:
• Владельцам магазинов и инвесторам - чтобы понять посещаемость и демографию посетителей. Бизнесы также таргетируют рекламу на клиентов конкурентов: например, пишут, что Бургер Кинг в США показывал рекламу и предлагал бургер за 1 цент всем, кто находится ближе чем на 300 метров к Макдональдсу.
• Полиции, спецслужбам и госорганам - для работы.
• Политическим партиям - чтобы планировать политические компании. В исследовании приводят пример таргетинга политической рекламы на тех, кто ходил на митинг.
Основные проблемы это рынка:
• Пользователям сложно понять, какие приложения продают какие данные.
• Данные в результате хранятся вечно и их может купить кто угодно.
• Удалить собственные данные из датасетов для пользователя либо нереально, либо геморрой и пользователи по факту этого не делают.
• Googlе и Apple пытаются банить из магазинов продукты особо отличившихся дата-брокеров, но рынок по-прежнему живой, значит, этого недостаточно.
Такой вот surveillance capitalism ("капитализм, основанный на слежке").
[1] https://themarkup.org/privacy/2021/09/30/theres-a-multibillion-dollar-market-for-your-phones-location-data
[2] https://aws.amazon.com/ru/data-exchange/
[3] https://www.oracle.com/cx/advertising/data-providers/
5 октября должен официально выйти Windows 11 и в конце прошлой недели уже появились установочные ISO-файлы для участников Windows Insider Program и рецепты как обновиться с "десятки"[1].
А теперь проект Universal Media Creation Tool[2] выпустил скрипт Skip_TPM_Check_on_Dynamic_Update.cmd[3], который отключает в ISO-файлах Windows 11 проверку системных требований: Secure Boot, TPM 2.0, 64 гигабайта свободного места на диске и ограничения по CPU. Редакция Bleeping Computer его тестировала[4] и у них Windows 11 (build 22449) установился на виртуальную машину без TPM, и с недостаточным объемом свободного места на диске.
Понятно было, что умельцы быстро найдут способ обойти ограничения в новой операционке от Microsoft, и вот уже нашли! А если вы не доверяете чужим скриптам (и правильно делаете!), это буквально .bat скрипт - там можно прочитать, что он делает.
Ссылки:
[1] https://vc.ru/tech/297391-microsoft-otkryla-dostup-k-ustanovke-finalnoy-versii-windows-11
[2] https://gist.github.com/AveYo/c74dc774a8fb81a332b5d65613187b15
[3] https://gist.github.com/AveYo/c74dc774a8fb81a332b5d65613187b15#file-skip_tpm_check_on_dynamic_update-cmd
[4] https://www.bleepingcomputer.com/news/microsoft/new-windows-11-install-script-bypasses-tpm-system-requirements/
А теперь проект Universal Media Creation Tool[2] выпустил скрипт Skip_TPM_Check_on_Dynamic_Update.cmd[3], который отключает в ISO-файлах Windows 11 проверку системных требований: Secure Boot, TPM 2.0, 64 гигабайта свободного места на диске и ограничения по CPU. Редакция Bleeping Computer его тестировала[4] и у них Windows 11 (build 22449) установился на виртуальную машину без TPM, и с недостаточным объемом свободного места на диске.
Понятно было, что умельцы быстро найдут способ обойти ограничения в новой операционке от Microsoft, и вот уже нашли! А если вы не доверяете чужим скриптам (и правильно делаете!), это буквально .bat скрипт - там можно прочитать, что он делает.
Ссылки:
[1] https://vc.ru/tech/297391-microsoft-otkryla-dostup-k-ustanovke-finalnoy-versii-windows-11
[2] https://gist.github.com/AveYo/c74dc774a8fb81a332b5d65613187b15
[3] https://gist.github.com/AveYo/c74dc774a8fb81a332b5d65613187b15#file-skip_tpm_check_on_dynamic_update-cmd
[4] https://www.bleepingcomputer.com/news/microsoft/new-windows-11-install-script-bypasses-tpm-system-requirements/
Роскомнадзор, судя по всему, задел своими блокировками какие-то популярные облака.
С утра все жалуются на плохо работающий WhatsApp и Slack. Что-то похожее было, когда блокировали Телеграм.
С утра все жалуются на плохо работающий WhatsApp и Slack. Что-то похожее было, когда блокировали Телеграм.
Facebook совместно с Ray-Ban недавно выпустил умные очки. Это сдвоенная 5-мегапиксельная камера, вмонтированная в очки, которая умеет делать фото и снимать 30-секундные ролики, и управляется кнопкой или голосовыми командами. Теперь защитники цифровых прав Access Now выпустили пост о том, почему эти очки - зло.
Главная проблема: когда очки работают, об этом свидетельствует только тусклый белый светодиод (как на фото). Днем и на расстоянии его вообще не видно. Дизайн очков ничем особо не отличается от обычных Ray-Ban, звукового сигнала о начале записи они не подают. В общем, идеальное средство скрытой съемки без согласия на нее.
Второе: Facebook требует привязки очков к своему аккаунту, а фото и видео можно скачивать из очков только через приложение Facebook View, которое требует кучу разрешений, например, геолокацию и контакты. Реальной необходимости в привязке к аккаунту и сборе этой информации нет.
В общем, владельцы очков смогут следить за окружающими, а Facebook будет следить за ними.
Главная проблема: когда очки работают, об этом свидетельствует только тусклый белый светодиод (как на фото). Днем и на расстоянии его вообще не видно. Дизайн очков ничем особо не отличается от обычных Ray-Ban, звукового сигнала о начале записи они не подают. В общем, идеальное средство скрытой съемки без согласия на нее.
Второе: Facebook требует привязки очков к своему аккаунту, а фото и видео можно скачивать из очков только через приложение Facebook View, которое требует кучу разрешений, например, геолокацию и контакты. Реальной необходимости в привязке к аккаунту и сборе этой информации нет.
В общем, владельцы очков смогут следить за окружающими, а Facebook будет следить за ними.
А вот и объяснение, откуда у пользователей второй день проблемы со Slack. Компания что-то меняла в настройках DNS в четверг вечером и накосячила, а потом остальные DNS-сервера запомнили неверные значения. Варианта решения в статье предлагают три:
• провайдерские DNS-сервера должны у себя сбросить закешированные ответы от slack.com
• клиенты могут на своих устройствах переключиться на DNS-сервера Google (которые 8.8.8.8) и перезагрузить Slack (сделать Ctrl/Command + R).
• само починится сегодня в полночь по Москве
UPD: Само в полночь не починится, если наглые провайдерские кеширующие DNS-ы игнорируют значение TTL в DNS-записях, а такие бывают!
• провайдерские DNS-сервера должны у себя сбросить закешированные ответы от slack.com
• клиенты могут на своих устройствах переключиться на DNS-сервера Google (которые 8.8.8.8) и перезагрузить Slack (сделать Ctrl/Command + R).
• само починится сегодня в полночь по Москве
UPD: Само в полночь не починится, если наглые провайдерские кеширующие DNS-ы игнорируют значение TTL в DNS-записях, а такие бывают!
Вышло новое исследование о том, как устроен Великий китайский файрвол.
Известно, что китайская интернет-цензура - это сочетание блокировок по IP-адресу, подмены DNS (то есть запрашиваешь запрещенный домен, а тебя перенаправляют на страницу-"заглушку") и фильтрации HTTPS-трафика по заголовкам SNI (так работает российский ТСПУ и так были устроены недавние внереестровые блокировки в России). Для обхода последнего типа блокировок был разработан зашифрованный SNI (ESNI), но в Китае ESNI просто блокируют целиком.
Так вот, раньше было известно, что блокировками по IP занимается один "черный ящик", по DNS - другой, а по SNI - третий. А теперь выяснилось, что как минимум с 2019 года SNI-ящиков, которые отвечают за HTTPS-трафик, стало два. Они выполняют одну и ту же задачу, но работают по-разному и весь пользовательский трафик проходит через оба, последовательно. За счет этого китайские цензоры добиваются большей точности фильтрации (например, вот тут говорят, что первый дает точность 87%, второй 88%, а вместе они дают 98%). В PDF исследователи рассказывают, как они пришли к такому выводу и как можно обходить фильтрацию "первого" и "второго" ящика.
Что в этой истории интересного: в Китае не заменяют старое оборудование для онлайн-цензуры на новое, а подключают новое к старому, цепочками. Это делает всю систему менее надежной (например, в августе 200 тысяч российских абонентов сидели 40 минут без интернета из-за аварии ТСПУ), а значит, для разработчиков качество онлайн-цензуры приоритетнее надежности. А может, такое дублирование дает возможность отключать один из двух черных ящиков во время аварии и все-таки не оставлять китайских интернет-пользователей совсем без цензуры)
Ссылка на исследование: https://geneva.cs.umd.edu/papers/foci21.pdf
Известно, что китайская интернет-цензура - это сочетание блокировок по IP-адресу, подмены DNS (то есть запрашиваешь запрещенный домен, а тебя перенаправляют на страницу-"заглушку") и фильтрации HTTPS-трафика по заголовкам SNI (так работает российский ТСПУ и так были устроены недавние внереестровые блокировки в России). Для обхода последнего типа блокировок был разработан зашифрованный SNI (ESNI), но в Китае ESNI просто блокируют целиком.
Так вот, раньше было известно, что блокировками по IP занимается один "черный ящик", по DNS - другой, а по SNI - третий. А теперь выяснилось, что как минимум с 2019 года SNI-ящиков, которые отвечают за HTTPS-трафик, стало два. Они выполняют одну и ту же задачу, но работают по-разному и весь пользовательский трафик проходит через оба, последовательно. За счет этого китайские цензоры добиваются большей точности фильтрации (например, вот тут говорят, что первый дает точность 87%, второй 88%, а вместе они дают 98%). В PDF исследователи рассказывают, как они пришли к такому выводу и как можно обходить фильтрацию "первого" и "второго" ящика.
Что в этой истории интересного: в Китае не заменяют старое оборудование для онлайн-цензуры на новое, а подключают новое к старому, цепочками. Это делает всю систему менее надежной (например, в августе 200 тысяч российских абонентов сидели 40 минут без интернета из-за аварии ТСПУ), а значит, для разработчиков качество онлайн-цензуры приоритетнее надежности. А может, такое дублирование дает возможность отключать один из двух черных ящиков во время аварии и все-таки не оставлять китайских интернет-пользователей совсем без цензуры)
Ссылка на исследование: https://geneva.cs.umd.edu/papers/foci21.pdf
Forwarded from GlobalCheck
Уже больше двух часов сервисы Facebook, в том числе Instagram и Whatsapp, недоступны для европейских пользователей.
Причина - проблемы с анонсами подсетей, в которых располагаются DNS-серверы, на которых работают домены сервисов Facebook.
За доступностью можно следить на графиках:
- facebook.com
- instagram.com
- g.whatsapp.net (один из служебных доменов, с которым работает приложение Whatsapp).
Причина - проблемы с анонсами подсетей, в которых располагаются DNS-серверы, на которых работают домены сервисов Facebook.
За доступностью можно следить на графиках:
- facebook.com
- instagram.com
- g.whatsapp.net (один из служебных доменов, с которым работает приложение Whatsapp).
Forwarded from addmeto (Grigory Bakunov)
Что произошло с фейсбуком Пролистал большую статью от https://blog.cloudflare.com/october-2021-facebook-outage/ клаудфлер про сегодняшнее падение фейсбука, решил написать свою, сильно более простую. Сегодня приблизительно в 19:45 по Москве оглушительно рухнул Фейсбук и почти все его внешние и внутренние сервисы. Лежал Facebook, Messenger, Instagram, WhatsApp, лежали корпоративные и бизнес-сервисы фейсбука, не отвечали ни сайты ни мобильные приложения.
Что произошло: судя по всему кто-то из сетевых администраторов внес изменения в конфигурацию сети фейсбука, причем так, что большая часть этой сети перестала существовать. Интернет, который многие считают единой сетью на самом деле состоит из большого количества более мелких сетей, по сути это сетка сеток. Чтобы информация из одной подсети попадала в другую, была построена система обмена информацией о конфигурации и расположении узлов в подсетях, маршрутизаторы обмениваются друг с другом информацией о расположении подведомственных им сетей по протоколу BGP.
Так вот, одна из таких подсетей анонсировала всем внутри и снаружи что часть сети фейсбука теперь находится не у нее. Так получилось, что именно в этой подсети жили NS-сервера, отвечающие за домены, принадлежащие компании, а значит начиная с какого-то момента все, кто пытался узнать на каком IP-адресе находится facebook.com стали получать пустой ответ. Последствия предсказуемы: не работает фейсбук и все его сервисы у пользователей, внешних и внутренних.
Почему так долго: вместе с тем сотрудники фейсбука оказались в незавидном положении - недоступны все внутренние ресурсы компании, включая мессенджеры и корпоративные адресные книги. Нельзя зайти в офис (часть офисов пускали только по беджикам, которые привязаны к интернет-авторизации), потеряны почти любые привычные способы коммуникации. В добавок ко всему большую часть проблем можно было решить только при физическом доступе к серверам, который существенно осложнен привычной расслабленностью удаленной работы. Первые признаки восстановления систем можно было заметить уже после 12 ночи, т.е. через 3 часа глухого молчания.
При этом крепко досталось всему интернету. Лежали почти все крупные соцсети, которым внезапно достался трафик фейсбука - люди не найдя привычной инсты и вотсапа пошли искать спасения в твиттере и телеграмме. Получившие новый трафик поначалу радовались, но потом начали стонать под полученной неожиданно нагрузкой. Сильно пострадали все публичные DNS сервера - мобильные клиенты facebook и все сайты, где была авторизация через facebook или кнопка like безостановочно DDoSили свои днс запросами к несуществующему фейсбуку. Трафик некоторых мобильных приложений вырос в 30-50 раз. Впечатляет?
Будет ли такое повторяться? Будет. Потому что современный интернет все еще базируется на принципах, которые были выработаны 30, а иногда и больше лет назад. Никто тогда не думал о глобальной мировой сети тогда, за прошедшие годы человечество построило интернет таким, какой он есть сейчас - централизованным, уязвимым, и потому не устойчивым. Последние выключения cloudflare, amazon, facebook и других крупных интернетообразующих сервисов показали, насколько хрупкая конструкция этот наш интернет. И кажется это то, что срочно пора исправить.
Что произошло: судя по всему кто-то из сетевых администраторов внес изменения в конфигурацию сети фейсбука, причем так, что большая часть этой сети перестала существовать. Интернет, который многие считают единой сетью на самом деле состоит из большого количества более мелких сетей, по сути это сетка сеток. Чтобы информация из одной подсети попадала в другую, была построена система обмена информацией о конфигурации и расположении узлов в подсетях, маршрутизаторы обмениваются друг с другом информацией о расположении подведомственных им сетей по протоколу BGP.
Так вот, одна из таких подсетей анонсировала всем внутри и снаружи что часть сети фейсбука теперь находится не у нее. Так получилось, что именно в этой подсети жили NS-сервера, отвечающие за домены, принадлежащие компании, а значит начиная с какого-то момента все, кто пытался узнать на каком IP-адресе находится facebook.com стали получать пустой ответ. Последствия предсказуемы: не работает фейсбук и все его сервисы у пользователей, внешних и внутренних.
Почему так долго: вместе с тем сотрудники фейсбука оказались в незавидном положении - недоступны все внутренние ресурсы компании, включая мессенджеры и корпоративные адресные книги. Нельзя зайти в офис (часть офисов пускали только по беджикам, которые привязаны к интернет-авторизации), потеряны почти любые привычные способы коммуникации. В добавок ко всему большую часть проблем можно было решить только при физическом доступе к серверам, который существенно осложнен привычной расслабленностью удаленной работы. Первые признаки восстановления систем можно было заметить уже после 12 ночи, т.е. через 3 часа глухого молчания.
При этом крепко досталось всему интернету. Лежали почти все крупные соцсети, которым внезапно достался трафик фейсбука - люди не найдя привычной инсты и вотсапа пошли искать спасения в твиттере и телеграмме. Получившие новый трафик поначалу радовались, но потом начали стонать под полученной неожиданно нагрузкой. Сильно пострадали все публичные DNS сервера - мобильные клиенты facebook и все сайты, где была авторизация через facebook или кнопка like безостановочно DDoSили свои днс запросами к несуществующему фейсбуку. Трафик некоторых мобильных приложений вырос в 30-50 раз. Впечатляет?
Будет ли такое повторяться? Будет. Потому что современный интернет все еще базируется на принципах, которые были выработаны 30, а иногда и больше лет назад. Никто тогда не думал о глобальной мировой сети тогда, за прошедшие годы человечество построило интернет таким, какой он есть сейчас - централизованным, уязвимым, и потому не устойчивым. Последние выключения cloudflare, amazon, facebook и других крупных интернетообразующих сервисов показали, насколько хрупкая конструкция этот наш интернет. И кажется это то, что срочно пора исправить.
The Cloudflare Blog
Understanding how Facebook disappeared from the Internet
Today at 1651 UTC, we opened an internal incident entitled "Facebook DNS lookup returning SERVFAIL" because we were worried that something was wrong with our DNS resolver 1.1.1.1. But as we were about to post on our public status page we realized something…
👍2
Сегодня выходит новая версия Firefox 93 для Android, в которой встроенный в браузер парольный менеджер сможет работать как системная хранилка паролей, то есть cможет вставлять логины и пароли в другие приложения, а пароли, введенные в приложения, можно будет автоматом сохранять в Firefox. Анонс уже вышел, в Play Market приложение пока не доехало, но обещают сегодня. Чтобы новая функция заработала, нужно будет выбрать в Firefox настройку "Настройки-Логины и пароли-Autofill in other apps".
Бесплатные браузерные парольные менеджеры постепенно обрастают функциями - сначала они научились синхронизировать пароли между устройствами, потом генерировать, теперь пароли приложений. Надо будет потестить.
Ссылка: https://blog.mozilla.org/en/mozilla/news/superhero-passwords-may-be-your-kryptonite-wherever-you-go-online/
Бесплатные браузерные парольные менеджеры постепенно обрастают функциями - сначала они научились синхронизировать пароли между устройствами, потом генерировать, теперь пароли приложений. Надо будет потестить.
Ссылка: https://blog.mozilla.org/en/mozilla/news/superhero-passwords-may-be-your-kryptonite-wherever-you-go-online/
В мае Google собирался тестировать автоматическое включение своим пользователям двухфакторной аутентификации. Похоже, тест прошел успешно, - теперь Google объявил, что до конца 2021 года автоматически включит двухфакторную для 150 миллионов пользователей.
Автоматически будут включать, если у пользователя:
1) Есть возможность использовать Google Prompt/Уведомления от Google. Это значит либо смартфон на Android, либо iPhone c установленными приложениями, которые умеют показывать эти уведомления (это приложения Поиск Google, Gmail или Google Smart Lock).
2) В аккаунте есть другой, резервный способ двухфакторной (например, Google Prompt + привязанный телефонный номер, на который есть возможность принимать коды).
Кроме этого, уже с 1 ноября двухфакторную обяжут включить всех владельцев Youtube-каналов с включенной монетизацией. По оценкам Googlе, это два миллиона аккаунтов.
Идея вполне рациональная и похоже, у них все получится. А если двухфакторная в Google аккаунте кому-нибудь очень не нужна, понятно, как избежать включения.
UPD: Google Prompt (Уведомления от Google) это диалоговые окна типа "кто-то сейчас заходит в ваш аккаунт из Новосибирска, это вы? да/нет"
Ссылка: https://blog.google/technology/safety-security/making-sign-safer-and-more-convenient/
Автоматически будут включать, если у пользователя:
1) Есть возможность использовать Google Prompt/Уведомления от Google. Это значит либо смартфон на Android, либо iPhone c установленными приложениями, которые умеют показывать эти уведомления (это приложения Поиск Google, Gmail или Google Smart Lock).
2) В аккаунте есть другой, резервный способ двухфакторной (например, Google Prompt + привязанный телефонный номер, на который есть возможность принимать коды).
Кроме этого, уже с 1 ноября двухфакторную обяжут включить всех владельцев Youtube-каналов с включенной монетизацией. По оценкам Googlе, это два миллиона аккаунтов.
Идея вполне рациональная и похоже, у них все получится. А если двухфакторная в Google аккаунте кому-нибудь очень не нужна, понятно, как избежать включения.
UPD: Google Prompt (Уведомления от Google) это диалоговые окна типа "кто-то сейчас заходит в ваш аккаунт из Новосибирска, это вы? да/нет"
Ссылка: https://blog.google/technology/safety-security/making-sign-safer-and-more-convenient/
Facebook опубликовал техническое объяснение, почему 4 октября все упало. Примерно то же самое, о чем уже писал Cloudflare, но официально. Ошибка в команде на роутерах, система аудита не сработала, внутренняя сеть легла, перестали анонсироваться маршруты по BGP, инженерам пришлось ехать "ножками" в дата-центры, а там накручена безопасность.
Цитата: "Мы провели большую работу по усилению защиты наших систем от неавторизованного доступа, и интересно, насколько эта защита замедлила восстановление работоспособности систем, не нарушенной действиями нарушителя безопасности, а случившейся по нашей собственной непреднамеренной ошибке. Считаю, что это все-таки хороший баланс - высокая безопасность ежедневной работы, но повышенное время восстановления при редком (как мы надеемся) событии вроде того, которое случилось".
Безопасность бывает неудобной)
Ссылка: https://engineering.fb.com/2021/10/05/networking-traffic/outage-details/
Цитата: "Мы провели большую работу по усилению защиты наших систем от неавторизованного доступа, и интересно, насколько эта защита замедлила восстановление работоспособности систем, не нарушенной действиями нарушителя безопасности, а случившейся по нашей собственной непреднамеренной ошибке. Считаю, что это все-таки хороший баланс - высокая безопасность ежедневной работы, но повышенное время восстановления при редком (как мы надеемся) событии вроде того, которое случилось".
Безопасность бывает неудобной)
Ссылка: https://engineering.fb.com/2021/10/05/networking-traffic/outage-details/
Вышел третий и он же завершающий наш пост о блокировках VPN в России и в мире.
1. Ликбез по протоколам
2. Блокировки VPN в мире
3. Блокировки VPN в России (новый!)
1. Ликбез по протоколам
2. Блокировки VPN в мире
3. Блокировки VPN в России (новый!)
В Firefox - новая фишка, Firefox Suggest - фактически реклама в адресной строке. Появляется не каждый раз, включена по умолчанию, выглядит как на картинке, пока работает только в США. "Для показа не собирается, не хранится и не передается никаких дополнительных данных".
Дополнительно у американских пользователей Firefox появилась еще и настройка "контекстные предложения" (contextual suggestions), это персонализация этой рекламы. Браузер будет просить явного разрешения пользователей, чтобы ее включить. Если согласиться, браузер будет передавать данные пользователя о поисковых запросах и просмотренных предложениях партнеру Mozilla, компании adMarketplace, через собственный прокси Mozilla (чтобы анонимизировать пользователей и не передавать лишних данных). От персонализации пользователи могут отказаться или настроить в Settings - Privacy and Security - Contextual suggestions.
Похоже, пытаются заработать.
Ссылка: https://support.mozilla.org/en-US/kb/navigate-web-faster-firefox-suggest
Дополнительно у американских пользователей Firefox появилась еще и настройка "контекстные предложения" (contextual suggestions), это персонализация этой рекламы. Браузер будет просить явного разрешения пользователей, чтобы ее включить. Если согласиться, браузер будет передавать данные пользователя о поисковых запросах и просмотренных предложениях партнеру Mozilla, компании adMarketplace, через собственный прокси Mozilla (чтобы анонимизировать пользователей и не передавать лишних данных). От персонализации пользователи могут отказаться или настроить в Settings - Privacy and Security - Contextual suggestions.
Похоже, пытаются заработать.
Ссылка: https://support.mozilla.org/en-US/kb/navigate-web-faster-firefox-suggest
Сейчас наблюдаются проблемы с доступностью https://wikipedia.org
В Москве не работает на Ростелекоме, Мегафоне, МТС, но работает на Билайне.
Также недоступно по многим регионам, но не по всем.
Проблема википедии или снова РКН что-то экспериментирует?
Интересно, конечно, получается: если что-то упало - то виноват по дефолту РКН. И только потом уже может вскрыться что-то еще.
"Ложки нашлись, а остадок остался"
В Москве не работает на Ростелекоме, Мегафоне, МТС, но работает на Билайне.
Также недоступно по многим регионам, но не по всем.
Проблема википедии или снова РКН что-то экспериментирует?
Интересно, конечно, получается: если что-то упало - то виноват по дефолту РКН. И только потом уже может вскрыться что-то еще.
"Ложки нашлись, а остадок остался"