Разработчик расширения для браузера Unfollow Everything рассказывает, как Facebook угрожал ему судом и отключил его аккаунты в Facebook и Instagram навсегда.
Идея расширения простая - автоматическая отписка от всей ленты в Facebook, при этом соцсеть превращается в мессенджер и в ней больше не хочется сидеть целыми днями. Разработчик попробовал сделать это один раз руками, и ему так понравилось, что он написал и опубликовал расширение для Chrome. И даже не то, чтобы оно прямо взлетело, всего около 13 000 загрузок. Но Facebook прислал ему письмо и потребовал его удалить, угрожал судом и заблокировал его аккаунты в обеих своих соцсетях. Разработчик посоветовался с юристами, и решил, что судиться ему невыгодно, действительно есть шансы проиграть, а у него денег нет оплачивать расходы. Удалил.
Facebook вообще регулярно таким занимается. В прошлом году они таким же образом наехали на мобильный клиент соцсетей под названием Friendly за нарушение условий использования Facebook "путем изменения внешнего вида и функций Facebook и Instagram" и "препятствования их нормальному функционированию" и те отбивались при помощи юристов из EFF (Фонда Электронных Рубежей). А до этого, тоже в 2020 году корпорация угрожала судом университетскому проекту NYU Ad Observatory, в рамках которого пользователям Facebook предлагали установить исследовательское расширение, которое должно было фиксировать, какую рекламу кому показывают. И так далее.
В общем, юристы FB не любят, когда у пользователей появляется удобная возможность менять что-то в интерфейсе.
Ссылки:
[1] https://slate.com/technology/2021/10/facebook-unfollow-everything-cease-desist.html
[2] https://www.eff.org/deeplinks/2020/11/once-again-facebook-using-privacy-sword-kill-independent-innovation
[3] https://www.eff.org/deeplinks/2020/10/facebooks-election-week-war-accountability-wrong-wrong-wrong
Идея расширения простая - автоматическая отписка от всей ленты в Facebook, при этом соцсеть превращается в мессенджер и в ней больше не хочется сидеть целыми днями. Разработчик попробовал сделать это один раз руками, и ему так понравилось, что он написал и опубликовал расширение для Chrome. И даже не то, чтобы оно прямо взлетело, всего около 13 000 загрузок. Но Facebook прислал ему письмо и потребовал его удалить, угрожал судом и заблокировал его аккаунты в обеих своих соцсетях. Разработчик посоветовался с юристами, и решил, что судиться ему невыгодно, действительно есть шансы проиграть, а у него денег нет оплачивать расходы. Удалил.
Facebook вообще регулярно таким занимается. В прошлом году они таким же образом наехали на мобильный клиент соцсетей под названием Friendly за нарушение условий использования Facebook "путем изменения внешнего вида и функций Facebook и Instagram" и "препятствования их нормальному функционированию" и те отбивались при помощи юристов из EFF (Фонда Электронных Рубежей). А до этого, тоже в 2020 году корпорация угрожала судом университетскому проекту NYU Ad Observatory, в рамках которого пользователям Facebook предлагали установить исследовательское расширение, которое должно было фиксировать, какую рекламу кому показывают. И так далее.
В общем, юристы FB не любят, когда у пользователей появляется удобная возможность менять что-то в интерфейсе.
Ссылки:
[1] https://slate.com/technology/2021/10/facebook-unfollow-everything-cease-desist.html
[2] https://www.eff.org/deeplinks/2020/11/once-again-facebook-using-privacy-sword-kill-independent-innovation
[3] https://www.eff.org/deeplinks/2020/10/facebooks-election-week-war-accountability-wrong-wrong-wrong
ProtonVPN наконец включил поддержку протокола Wireguard в последних версиях своих приложений для Windows, macOS, Android и iOS, в том числе на бесплатных аккаунтах. Wireguard теперь - опция по умолчанию. Поддержку в приложении для Linux пока допиливают (мало реальных пользователей, поэтому им новинка доедет в последнюю очередь), конфигурационных файлов под Wireguard для использования без родных приложений пока не дают, просят подождать.
Если вы вообще не в курсе, о чем это все - тыц ссылка на Хабр с описанием. С одной стороны, обычно становится быстрее. С другой - месяц назад в России Wireguard на какое-то время блокировали, но вроде после выборов никто больше не жалуется.
Будете тестить скорость Wireguard против OpenVPN в Протоне - поделитесь результатами.
Ссылки:
[1] https://protonvpn.com/blog/wireguard/
[2] https://habr.com/ru/company/ruvds/blog/537010/
[3] https://t.iss.one/rks_tech_talk/188
Если вы вообще не в курсе, о чем это все - тыц ссылка на Хабр с описанием. С одной стороны, обычно становится быстрее. С другой - месяц назад в России Wireguard на какое-то время блокировали, но вроде после выборов никто больше не жалуется.
Будете тестить скорость Wireguard против OpenVPN в Протоне - поделитесь результатами.
Ссылки:
[1] https://protonvpn.com/blog/wireguard/
[2] https://habr.com/ru/company/ruvds/blog/537010/
[3] https://t.iss.one/rks_tech_talk/188
Proton VPN
WireGuard speed, Proton privacy | Proton VPN
WireGuard is a secure, private, and fast open-source VPN protocol available to all ProtonVPN users.
👍1
Кстати, если бы Яндекс.Новости вывели иностранное агентство в виде фильтра в свои настройки, то очень многим он мог бы пригодиться
Forwarded from Сетевые Свободы
❗️«Яндекс.Новости» стали самостоятельно маркировать материалы СМИ-иностранных агентов
Так, в группе новостей про журналиста Ивана Сафронова сообщение телеканала «Дождь» теперь сопровождается словосочетанием «Иностранный агент», а при нажатии на стрелку выпадает известная плашка целиком.
Аналогичная ситуация с «Медиазоной», в новости к ней добавлено, что она иностранный агент.
Так, в группе новостей про журналиста Ивана Сафронова сообщение телеканала «Дождь» теперь сопровождается словосочетанием «Иностранный агент», а при нажатии на стрелку выпадает известная плашка целиком.
Аналогичная ситуация с «Медиазоной», в новости к ней добавлено, что она иностранный агент.
Группа криптографов и экспертов по безопасности выпустила совместную работу "Жучки в наших карманах - риски сканирования на клиентских устройствах". В списке авторов - Витфред Диффи (тот самый Диффи, который соавтор идеи криптографии с открытым ключом), Брюс Шнайер, Росс Андерсон, всего 15 мега-крутых имен.
Речь идет об идее Apple искать на iPhone детское порно и сообщать об этом государству (CSAM) и подобных попытках технологических компаний организовать проверку контента прямо на клиентских устройствах (в работе это назвается Client Side Scanning - CSS). Эта идея в сочетании со сквозным (end-to-end) шифрованием представляется ее сторонникам решением проблемы борьбы с преступностью с сохранением приватности.
Все авторы - против этой идеи в целом, то есть не конкретной реализации, которую предлагал Apple, и пока поставил на паузу, а вообще любого такого сканирования. Они считают, что если присмотреться, CSS - массовая слежка, только автоматическая и распределенная и поэтому как будто не похоже. Если выбирать между слабым шифрованием и CSS, авторы считают, что CSS - хуже, потому что проверяются не только коммуникации, а и информация, которая просто хранится на устройствах.
Авторы говорят, что даже если все начинается с попыток решить такую реальную проблему как распространение детского порно, в будущем государства скорее всего захотят оказывать давление на технологические компании, чтобы искать другой контент, который в этих государствах считается незаконным или нежелательным. Например, EC уже говорит о намерениях при помощи этой технологии бороться с терроризмом и экстремизмом. Еще одна проблема, которую государства скорее всего быстро захотят решать - соблюдение авторских прав и запрет пиратского контента. А там пошло-поехало.
Система непрозрачна, поэтому у пользователей нет возможности проверить, какой именно контент CSS ищет, как составлены списки и кому стучат их устройства. В отличие от антивируса или блокировщика рекламы, которые тоже сканируют контент, но в явных интересах хозяина устройства, CSS работает против него. Из-за этого может измениться само отношение пользователей к своим гаджетам - известно, что люди ведут себя по-другому, когда знают, что за ними следят. Это "опасный социальный эксперимент".
46 страниц на английском в pdf, в тексте много технических подробностей, очень рекомендуем почитать целиком: https://arxiv.org/abs/2110.07450
Речь идет об идее Apple искать на iPhone детское порно и сообщать об этом государству (CSAM) и подобных попытках технологических компаний организовать проверку контента прямо на клиентских устройствах (в работе это назвается Client Side Scanning - CSS). Эта идея в сочетании со сквозным (end-to-end) шифрованием представляется ее сторонникам решением проблемы борьбы с преступностью с сохранением приватности.
Все авторы - против этой идеи в целом, то есть не конкретной реализации, которую предлагал Apple, и пока поставил на паузу, а вообще любого такого сканирования. Они считают, что если присмотреться, CSS - массовая слежка, только автоматическая и распределенная и поэтому как будто не похоже. Если выбирать между слабым шифрованием и CSS, авторы считают, что CSS - хуже, потому что проверяются не только коммуникации, а и информация, которая просто хранится на устройствах.
Авторы говорят, что даже если все начинается с попыток решить такую реальную проблему как распространение детского порно, в будущем государства скорее всего захотят оказывать давление на технологические компании, чтобы искать другой контент, который в этих государствах считается незаконным или нежелательным. Например, EC уже говорит о намерениях при помощи этой технологии бороться с терроризмом и экстремизмом. Еще одна проблема, которую государства скорее всего быстро захотят решать - соблюдение авторских прав и запрет пиратского контента. А там пошло-поехало.
Система непрозрачна, поэтому у пользователей нет возможности проверить, какой именно контент CSS ищет, как составлены списки и кому стучат их устройства. В отличие от антивируса или блокировщика рекламы, которые тоже сканируют контент, но в явных интересах хозяина устройства, CSS работает против него. Из-за этого может измениться само отношение пользователей к своим гаджетам - известно, что люди ведут себя по-другому, когда знают, что за ними следят. Это "опасный социальный эксперимент".
46 страниц на английском в pdf, в тексте много технических подробностей, очень рекомендуем почитать целиком: https://arxiv.org/abs/2110.07450
Whatsapp анонсировал шифрование облачных резервных копий для своих приложений под IOS и Android. Функция будет выкатываться постепенно, поэтому приехать может не сразу. Включить ее можно будет в том же разделе, где остальные настройки резервных копий.
До этого сами коммуникации в Whatsapp были защищены сквозным (end-to-end) шифрованием, но бэкапы в облака Google и Apple зашифрованы не были. В результате злоумышленник, получивший доступ к облачным сервисам, мог восстановить бэкапы на новое устройство и получить доступ к архиву переписки пользователя. Ну и, строго говоря, Apple или Google могли выдать резервную копию архива переписки по запросу. Из-за этого многие пользователи резервные копии в Whatsapp отключали.
Теперь добавляется два варианта защиты: дополнительный пароль на бэкапы или 64-битный ключ шифрования. Если ее включить, обе эти проблемы вроде как решаются.
Хорошая новость, хотя Whatsapp не становится от этого любимым мессенджером любителей онлайн-приватности. При этом даже странно, что у них получилось. Apple тоже очень хотел сделать сквозное шифрование бэкапов iMessage в iCloud, а потом передумал - на них тогда надавил ФБР, типа, с этими зашифрованными бэкапами в iCloud будет неудобно расследовать преступления.
Ссылка: https://about.fb.com/news/2021/10/end-to-end-encrypted-backups-on-whatsapp/
До этого сами коммуникации в Whatsapp были защищены сквозным (end-to-end) шифрованием, но бэкапы в облака Google и Apple зашифрованы не были. В результате злоумышленник, получивший доступ к облачным сервисам, мог восстановить бэкапы на новое устройство и получить доступ к архиву переписки пользователя. Ну и, строго говоря, Apple или Google могли выдать резервную копию архива переписки по запросу. Из-за этого многие пользователи резервные копии в Whatsapp отключали.
Теперь добавляется два варианта защиты: дополнительный пароль на бэкапы или 64-битный ключ шифрования. Если ее включить, обе эти проблемы вроде как решаются.
Хорошая новость, хотя Whatsapp не становится от этого любимым мессенджером любителей онлайн-приватности. При этом даже странно, что у них получилось. Apple тоже очень хотел сделать сквозное шифрование бэкапов iMessage в iCloud, а потом передумал - на них тогда надавил ФБР, типа, с этими зашифрованными бэкапами в iCloud будет неудобно расследовать преступления.
Ссылка: https://about.fb.com/news/2021/10/end-to-end-encrypted-backups-on-whatsapp/
Meta
End-to-End Encrypted Backups on WhatsApp | Meta
We're protecting backups stored on Google Drive or iCloud with end-to-end encryption on WhatsApp.
Тут на госуслугах обьявили цифровую перепись населения. "Персданные не собираем, передаем в обезличенном виде, введи свой адрес проживания и ФИО всех проживающих."
Прекрасно...
Прекрасно...
👎1
Duckduckgo отреагировал на недавнюю историю про Google и государственные запросы аккаунтов пользователей по ключевым словам в поиске.
"Duckduckgo вообще не сохраняет историю поисков и поэтому с момента своего запуска в 2008 году получил ровно 0 государственных запросов (search warrants) любого рода".
Пиарятся, конечно, но это важная информация.
Ссылка: https://twitter.com/DuckDuckGo/status/1447559362906447874
"Duckduckgo вообще не сохраняет историю поисков и поэтому с момента своего запуска в 2008 году получил ровно 0 государственных запросов (search warrants) любого рода".
Пиарятся, конечно, но это важная информация.
Ссылка: https://twitter.com/DuckDuckGo/status/1447559362906447874
Проект Pine64 анонсировал новый смартфон на Linux для гиков, Pinephone Pro. Стоит 399 долларов, производство намечено на ноябрь, а поставки начнутся в декабре. Любителям приватности телефон интересен во-первых Linux-дистрибутивами без корпоративной слежки, а во-вторых, "железными" переключателями модема, wifi/bluetooth, микрофона, камер и наушников (как на картинке).
Из коробки там Manjaro Linux с KDE Plasma Mobile, но можно будет запускать на телефоне и другие дистрибутивы типа postmarketOS. При предзаказе будущих покупателей просят описать свой опыт работы с Linux-устройствами и дать ссылки на свой Github/Gitlab, то есть штука совсем не массовая. Если решите заказать - посмотрите Youtube-обзоры предыдущего поколения, которое называется просто Pinephone, чтобы у вас не было нереалистичных ожиданий.
Очень хочется заказать и поковыряться!
Ссылка: https://www.pine64.org/pinephonepro/
Из коробки там Manjaro Linux с KDE Plasma Mobile, но можно будет запускать на телефоне и другие дистрибутивы типа postmarketOS. При предзаказе будущих покупателей просят описать свой опыт работы с Linux-устройствами и дать ссылки на свой Github/Gitlab, то есть штука совсем не массовая. Если решите заказать - посмотрите Youtube-обзоры предыдущего поколения, которое называется просто Pinephone, чтобы у вас не было нереалистичных ожиданий.
Очень хочется заказать и поковыряться!
Ссылка: https://www.pine64.org/pinephonepro/
Айтишник Сергей Савельев, который передал проекту Gulagu.net видео пыток заключенных, дал интервью, которое сегодня все цитируют. И там, как обычно бывает, сильно не хватает технических подробностей. Как он вынес столько данных - не понятно, но как будто он специально этого не объясняет, только намекает, что объем умещался в ладошку. Учитывая, что он обслуживал видеорегистраторы, может он списывал microsd карточки как сломанные и где-то физически прятал?
Но например, он еще рассказывает, что при допросе в аэропорту ему сказали: "Там твой телефон прослушивали, мессенджер читали, с какой почты ты там все это отправлял мы в курсе." Телефон ладно, но что значит "мессенджер читали"? Это же важно! Какой мессенджер? И как это вообще происходит? Варианты, которые логически приходят в голову:
Мессенджер не читали:
▪️Савельев ошибается, дезинформирует или не помнит подробностей разговора?
▪️Человек, который говорил с Савельевым, дезинформировал его в целях психологического воздействия?
Мессенджер действительно читали:
▪️Савельеву установили трояна, воспользовавшись физическим доступом к его гаджету?
▪️Когда Савельев говорит "мессенджер" он имеет в виду что-нибудь типа Facebook Messenger или Google Chat, который позволяет атаковать сам аккаунт, например, фишинговыми письмами?
▪️Читали собеседника Савельева, правозащитника Осечкина (сломали одним из способов из этого списка)?
▪️Мессенджер это Telegram, у Савельева не было двухфакторной аутентификации, к его аккаунту подключили новое устройство, получив вместо него смску?
▪️Мессенджер это VK или другая компания в российской юрисдикции?
▪️Савельеву установили трояна удаленно (что-то типа Pegasus)?
▪️Реально существует какой-то еще способ "мессенджер читать" без доступа к устройству?
Последние два варианта с точки зрения приватности обычных пользователей - самые неприятные. Догадывайся сколько хочешь, а ответов нет, разве что дальше всплывут какие-нибудь дополнительные технические подробности. И который раз уже такое: кто-нибудь скажет что-нибудь в СМИ, а контекста, чтобы сделать технические выводы, не хватает. И в этот момент пользователи начинают волноваться и срочно переходить с Telegram на Signal или с Signal на Telegram.
Кстати, какие еще вы видите варианты?
Но например, он еще рассказывает, что при допросе в аэропорту ему сказали: "Там твой телефон прослушивали, мессенджер читали, с какой почты ты там все это отправлял мы в курсе." Телефон ладно, но что значит "мессенджер читали"? Это же важно! Какой мессенджер? И как это вообще происходит? Варианты, которые логически приходят в голову:
Мессенджер не читали:
▪️Савельев ошибается, дезинформирует или не помнит подробностей разговора?
▪️Человек, который говорил с Савельевым, дезинформировал его в целях психологического воздействия?
Мессенджер действительно читали:
▪️Савельеву установили трояна, воспользовавшись физическим доступом к его гаджету?
▪️Когда Савельев говорит "мессенджер" он имеет в виду что-нибудь типа Facebook Messenger или Google Chat, который позволяет атаковать сам аккаунт, например, фишинговыми письмами?
▪️Читали собеседника Савельева, правозащитника Осечкина (сломали одним из способов из этого списка)?
▪️Мессенджер это Telegram, у Савельева не было двухфакторной аутентификации, к его аккаунту подключили новое устройство, получив вместо него смску?
▪️Мессенджер это VK или другая компания в российской юрисдикции?
▪️Савельеву установили трояна удаленно (что-то типа Pegasus)?
▪️Реально существует какой-то еще способ "мессенджер читать" без доступа к устройству?
Последние два варианта с точки зрения приватности обычных пользователей - самые неприятные. Догадывайся сколько хочешь, а ответов нет, разве что дальше всплывут какие-нибудь дополнительные технические подробности. И который раз уже такое: кто-нибудь скажет что-нибудь в СМИ, а контекста, чтобы сделать технические выводы, не хватает. И в этот момент пользователи начинают волноваться и срочно переходить с Telegram на Signal или с Signal на Telegram.
Кстати, какие еще вы видите варианты?
Технический директор Роскомсвободы Станислав Шакиров написал для РБК обзор современных проблем и технологий приватности.
Privacy Tech — это серьезный большой рынок. Помимо ИТ-гигантов, которые разрабатывают свои собственные продукты для защиты конфиденциальности[...] на этом рынке хорошо себя чувствуют стартапы. Crunchbase пишет о 220 стартапах в сфере конфиденциальности и защиты персональных данных (по данным на октябрь 2021 года), инвестиции в которые уже превысили $4,2 млрд США.
https://trends.rbc.ru/trends/industry/616ea4d99a79475ac0ce76ad
Privacy Tech — это серьезный большой рынок. Помимо ИТ-гигантов, которые разрабатывают свои собственные продукты для защиты конфиденциальности[...] на этом рынке хорошо себя чувствуют стартапы. Crunchbase пишет о 220 стартапах в сфере конфиденциальности и защиты персональных данных (по данным на октябрь 2021 года), инвестиции в которые уже превысили $4,2 млрд США.
https://trends.rbc.ru/trends/industry/616ea4d99a79475ac0ce76ad
РБК Тренды
Privacy Tech: что такое технологии приватности и почему о них все говорят
Конфиденциальность — одна из наиболее актуальных проблем глобальной цифровой эпохи. Как устроен Privacy Tech и почему его продукты становятся все более востребованы?
Исследователи из Италии и Нидерландов научили нейросеть распознавать пин-коды банкоматов по видеозаписям с прикрытыми руками, как на картинке. На четырех цифрах они получили точность 41% с трех попыток (после них карта блокируется), а на пяти цифрах - 30%.
Варианты решения, которые предлагают исследователи:
▪️Просто делать PIN длиннее. Для банков это самое простое, но пользователи плохо помнят.
▪️Использовать в банкоматах виртуальные клавиатуры, где цифры будут меняться местами. Но при изменении порядка цифр пользователи начинают ошибаться.
Точность распознавания у людей-наблюдателей в тех же условиях - около 8% для четырехзначного кода против 41% у нейросети. А значит, в будущем нам может понадобиться заново придумывать, как вообще безопасно делать аутентификацию в публичных местах. А то одни проблемы - биометрию нельзя заменить после утечки, а за вводом секретов учатся подсматривать системы видеонаблюдения.
Ссылка: https://arxiv.org/pdf/2110.08113.pdf
Варианты решения, которые предлагают исследователи:
▪️Просто делать PIN длиннее. Для банков это самое простое, но пользователи плохо помнят.
▪️Использовать в банкоматах виртуальные клавиатуры, где цифры будут меняться местами. Но при изменении порядка цифр пользователи начинают ошибаться.
Точность распознавания у людей-наблюдателей в тех же условиях - около 8% для четырехзначного кода против 41% у нейросети. А значит, в будущем нам может понадобиться заново придумывать, как вообще безопасно делать аутентификацию в публичных местах. А то одни проблемы - биометрию нельзя заменить после утечки, а за вводом секретов учатся подсматривать системы видеонаблюдения.
Ссылка: https://arxiv.org/pdf/2110.08113.pdf
Известный облачный сервис из Новой Зеландии Mega.io выпустил отчет о прозрачности за третий квартал 2021 года. У них облако со сквозным шифрованием, поэтому они не знают, что хранят в их облаке пользователи. Поэтому интересно, как Mega решает проблему государственных запросов информации и как обходится с удалением контента, доступного по публичным ссылкам.
Итак, за третий квартал этого года:
▪️Mega получила 746 тысяч запросов на удаление контента, нарушающего авторские права. В этом случае Mega удаляет все без проверки, потому что файлы зашифрованы и проверить их технически невозможно. Как правило, они удаляют менее, чем за 4 часа с момента жалобы, и часто это происходит за несколько минут. Тот, кто жалуется, может выбирать, хочет ли он, чтобы Mega просто убрала публичные ссылки и оставила сами файлы, или удалила и файлы тоже.
▪️Полностью удалены аккаунты 2448 пользователей за повторные нарушения авторских прав, а всего за последние 12 месяцев удаленных аккаунтов - 9716. У Mega работает система: "три предупреждения по DMCA за шесть месяцев и аккаунт удаляется". Оспаривать можно.
▪️Mega также принимает жалобы на запрещенный контент (детскую порнографию, насилие и экстремизм, инструменты для взлома, украденные данные и т.д.) При поступлении такой жалобы публичные ссылки удаляются автоматом, аккаунт разместившего пользователя деактивируется и информация об этом уходит правоохранителям в Новой Зеландии, где зарегистрирован сервис, а те уже решают, заводить ли дело. В третьем квартале 2021 года таким образом закрыли около 50 тысяч аккаунтов, из них абсолютное большинство - за размещение ссылок на детскую порнографию. В отчете написано, что Mega никак не сканирует хранящиеся в сервисе файлы по известным базам запрещенного контента, потому что сквозное шифрование и поэтому нет такой технической возможности.
▪️За последний год Mega получила 18 запросов информации о пользователях от государственных органов Новой Зеландии или от иностранных государств через судебные решения в NZ. В списке стран, от которых приходили такие запросы, России нет. По всем запросам Mega выдала метаданные. В отчете уточняется, что если речь идет о тяжких преступлениях, в том числе сексуальной эксплуатации детей, Mega иногда выдает информацию иностранным правоохранителям без решения местных судов в NZ.
▪️Кроме этого, существуют "срочные запросы", когда полиция Новой Зеландии запрашивает информацию пользователей в рамках расследований. Таких запросов в третьем квартале Mega обслужила около тысячи. В отчете написано, что подобные запросы от иностранных правоохранителей Mega "может рассмотреть."
В общем, сквозное шифрование в Mega.io совершенно не означает анонимности. Компания активно выдает метаданные пользователей и удаляет контент, на который пожаловались, без проверки. А еще интересно, что в отчете о прозрачности они вообще нигде не пишут, сколько процентов каких запросов они отказались обслуживать))).
Ссылка: https://mega.io/blog/mega-transparency-report-2021
Итак, за третий квартал этого года:
▪️Mega получила 746 тысяч запросов на удаление контента, нарушающего авторские права. В этом случае Mega удаляет все без проверки, потому что файлы зашифрованы и проверить их технически невозможно. Как правило, они удаляют менее, чем за 4 часа с момента жалобы, и часто это происходит за несколько минут. Тот, кто жалуется, может выбирать, хочет ли он, чтобы Mega просто убрала публичные ссылки и оставила сами файлы, или удалила и файлы тоже.
▪️Полностью удалены аккаунты 2448 пользователей за повторные нарушения авторских прав, а всего за последние 12 месяцев удаленных аккаунтов - 9716. У Mega работает система: "три предупреждения по DMCA за шесть месяцев и аккаунт удаляется". Оспаривать можно.
▪️Mega также принимает жалобы на запрещенный контент (детскую порнографию, насилие и экстремизм, инструменты для взлома, украденные данные и т.д.) При поступлении такой жалобы публичные ссылки удаляются автоматом, аккаунт разместившего пользователя деактивируется и информация об этом уходит правоохранителям в Новой Зеландии, где зарегистрирован сервис, а те уже решают, заводить ли дело. В третьем квартале 2021 года таким образом закрыли около 50 тысяч аккаунтов, из них абсолютное большинство - за размещение ссылок на детскую порнографию. В отчете написано, что Mega никак не сканирует хранящиеся в сервисе файлы по известным базам запрещенного контента, потому что сквозное шифрование и поэтому нет такой технической возможности.
▪️За последний год Mega получила 18 запросов информации о пользователях от государственных органов Новой Зеландии или от иностранных государств через судебные решения в NZ. В списке стран, от которых приходили такие запросы, России нет. По всем запросам Mega выдала метаданные. В отчете уточняется, что если речь идет о тяжких преступлениях, в том числе сексуальной эксплуатации детей, Mega иногда выдает информацию иностранным правоохранителям без решения местных судов в NZ.
▪️Кроме этого, существуют "срочные запросы", когда полиция Новой Зеландии запрашивает информацию пользователей в рамках расследований. Таких запросов в третьем квартале Mega обслужила около тысячи. В отчете написано, что подобные запросы от иностранных правоохранителей Mega "может рассмотреть."
В общем, сквозное шифрование в Mega.io совершенно не означает анонимности. Компания активно выдает метаданные пользователей и удаляет контент, на который пожаловались, без проверки. А еще интересно, что в отчете о прозрачности они вообще нигде не пишут, сколько процентов каких запросов они отказались обслуживать))).
Ссылка: https://mega.io/blog/mega-transparency-report-2021
mega.io
Mega Transparency Report - 2021
Megas 2021 Transparency Report provides statistics on takedown requests, subscriber information disclosure and related issues for the year to 30th September 2021. This is intended to provide transparency for users, regulatory bodies and suppliers as to Megas…
👍1
Интерфакс цитирует Сергея Хуторцева, директора Центра мониторинга и управления сетью связи общего пользования, созданного на базе "Главного радиочастотного центра", подведомственного Роскомнадзору.
Технические средства противодействия угрозам (ТСПУ), которые фильтруют трафик от запрещенного в РФ контента, установлены в этом году на более чем на 500 узлах операторов связи, через них идет 73% трафика широкополосного доступа в интернет (ШПД) и 100% мобильного трафика, в 2022 году ТСПУ планируется установить на более чем 1 тыс. узлов, что позволит покрыть 95% трафика ШПД.
Процент потихоньку растет.
Ссылка: https://www.interfax.ru/russia/798386
Технические средства противодействия угрозам (ТСПУ), которые фильтруют трафик от запрещенного в РФ контента, установлены в этом году на более чем на 500 узлах операторов связи, через них идет 73% трафика широкополосного доступа в интернет (ШПД) и 100% мобильного трафика, в 2022 году ТСПУ планируется установить на более чем 1 тыс. узлов, что позволит покрыть 95% трафика ШПД.
Процент потихоньку растет.
Ссылка: https://www.interfax.ru/russia/798386
Вышел новый Chrome 95, в котором отключили поддержку протокола FTP. А еще всякие околоайтишные сайты написали, что в нем "прекращена поддержка старых ключей U2F". Пользователи забеспокоились, на что заменять свои ключи U2F для двухфакторной аутентификации типа Yubikey (как на картинке) или Rutoken U2F. Но менять ничего не надо, журналисты просто ошиблись.
Что там реально случилось? Есть ключи U2F, а есть U2F API. Так вот U2F API официально объявлен "устаревшим" (deprecated) и его поддержка будет прекращена в Chrome 98. Разработчикам дают время исправиться. А аппаратные ключи двухфакторной в Chrome продолжат работать. С ними все в порядке, выдыхаем.
Ссылка: https://developer.chrome.com/blog/deps-rems-95/
Что там реально случилось? Есть ключи U2F, а есть U2F API. Так вот U2F API официально объявлен "устаревшим" (deprecated) и его поддержка будет прекращена в Chrome 98. Разработчикам дают время исправиться. А аппаратные ключи двухфакторной в Chrome продолжат работать. С ними все в порядке, выдыхаем.
Ссылка: https://developer.chrome.com/blog/deps-rems-95/
Telegram-канал "Осторожно, новости" пишет про инцидент с оплатой лицом Facepay в московском метро. Муж и жена прошли турникет на станции "Пражская" друг за другом, и говорят, что оплатили Facepay. Дверцы между ними не закрывались, за турникетом их остановили полицейские и заставили оплатить поездку еще раз. Полицейские, очевидно, считали, что заплатил только первый, а второй "пристроился паровозиком", чтобы пройти бесплатно.
Ага, Facepay пока "конфликтует" с функцией отлова пассажиров, которые пристраиваются к другим, чтобы бесплатно проходить в метро. Как разрешить такой конфликт - интересная инженерная проблема. Варианты "перестать отлавливать вообще" и "отключить Facepay" отбрасываем как маловероятные. Тогда нужен какой-то способ, как полицейский может доказать пассажиру, что тот не платил, или как пассажир может доказать полицейскому, что он заплатил. Турникеты в Москве - створчатые, то есть дверцы, а не "триподы".
Как бы вы решали эту проблему?
Ссылка: https://t.iss.one/ostorozhno_novosti/2876
Ага, Facepay пока "конфликтует" с функцией отлова пассажиров, которые пристраиваются к другим, чтобы бесплатно проходить в метро. Как разрешить такой конфликт - интересная инженерная проблема. Варианты "перестать отлавливать вообще" и "отключить Facepay" отбрасываем как маловероятные. Тогда нужен какой-то способ, как полицейский может доказать пассажиру, что тот не платил, или как пассажир может доказать полицейскому, что он заплатил. Турникеты в Москве - створчатые, то есть дверцы, а не "триподы".
Как бы вы решали эту проблему?
Ссылка: https://t.iss.one/ostorozhno_novosti/2876
В сентябре провайдер зашифрованной почты Protonmail выдал IP-адрес и модель устройства французского эколога по решению швейцарского суда, и многие задумались, можно ли им после такого вообще верить. Вообще Protonmail по умолчанию не логирует IP-адреса пользователей, но оказалось, что если они получат правильный запрос на конкретного пользователя, то могут начать.
Так вот, в это же время Protonmail судился с Швейцарским сервисом надзора за почтой и телекоммуникациями (PTSS), и вот только что выиграл. PTSS считал, что компания - оператор связи и поэтому должна хранить данные пользователей, как этого требует швейцарское законодательство. Речь о швейцарском аналоге требований российского закона Яровой, который определяет, сколько и каких данных пользователей должны хранить опсосы.
В пятницу, швейцарский Федеральный административный суд вынес решение по этому делу: провайдеры email - не операторы, и требования швейцарского законодательства по хранению данных пользователей их не касаются. До этого, швейцарский Верховный суд решил, что компании, предоставляющие услуги "чата, мгновенных сообщений, интернет-видео и телефонии, или имейл" - не телекомы.
Протон радуется: "Эти два решения - победа приватности в Швейцарии и победа для швейцарских технологических стартапов, поскольку они освобождают нас от обременительных правил, придуманных для операторов связи, и от необходимости выдавать некоторую информацию о пользователях в ответ на швейцарские юридические запросы".
Ссылка: https://www.reuters.com/technology/proton-wins-swiss-court-appeal-over-surveillance-rules-2021-10-22/
Так вот, в это же время Protonmail судился с Швейцарским сервисом надзора за почтой и телекоммуникациями (PTSS), и вот только что выиграл. PTSS считал, что компания - оператор связи и поэтому должна хранить данные пользователей, как этого требует швейцарское законодательство. Речь о швейцарском аналоге требований российского закона Яровой, который определяет, сколько и каких данных пользователей должны хранить опсосы.
В пятницу, швейцарский Федеральный административный суд вынес решение по этому делу: провайдеры email - не операторы, и требования швейцарского законодательства по хранению данных пользователей их не касаются. До этого, швейцарский Верховный суд решил, что компании, предоставляющие услуги "чата, мгновенных сообщений, интернет-видео и телефонии, или имейл" - не телекомы.
Протон радуется: "Эти два решения - победа приватности в Швейцарии и победа для швейцарских технологических стартапов, поскольку они освобождают нас от обременительных правил, придуманных для операторов связи, и от необходимости выдавать некоторую информацию о пользователях в ответ на швейцарские юридические запросы".
Ссылка: https://www.reuters.com/technology/proton-wins-swiss-court-appeal-over-surveillance-rules-2021-10-22/
В прошлом посте мы ошиблись в формулировке: "Protonmail по-умолчанию не логирует IP-адреса", но вы все заметили! Исправляемся, вот цитаты из политики приватности Protonmail:
Действия в аккаунте Protonmail
Из-за ограничений протокола SMTP у нас есть доступ к следующим метаданным email: email-адреса отправителя и получателя, IP-адреса, с которых отправлены сообщения, тема сообщения и время отправки и приема сообщений.
Логирование IP
По умолчанию мы не храним ПОСТОЯННЫХ логов, связанных с использованием наших сервисов. При этом, логи IP могут сохраняться временнодля борьбы с нарушениями условий использования и фродом, и ваш IP-адрес может сохраняться постоянно, если вы занимаетесь деятельностью, которая нарушает наши условия (спам, DDoS против нашей инфраструктуры, брутфорс атаки и тд).
То есть постоянно они не хранят, но могут хранить временно, если пользователь нарушает, или если попросит швейцарский суд.
Действия в аккаунте Protonmail
Из-за ограничений протокола SMTP у нас есть доступ к следующим метаданным email: email-адреса отправителя и получателя, IP-адреса, с которых отправлены сообщения, тема сообщения и время отправки и приема сообщений.
Логирование IP
По умолчанию мы не храним ПОСТОЯННЫХ логов, связанных с использованием наших сервисов. При этом, логи IP могут сохраняться временнодля борьбы с нарушениями условий использования и фродом, и ваш IP-адрес может сохраняться постоянно, если вы занимаетесь деятельностью, которая нарушает наши условия (спам, DDoS против нашей инфраструктуры, брутфорс атаки и тд).
То есть постоянно они не хранят, но могут хранить временно, если пользователь нарушает, или если попросит швейцарский суд.