Исследователи из Италии и Нидерландов научили нейросеть распознавать пин-коды банкоматов по видеозаписям с прикрытыми руками, как на картинке. На четырех цифрах они получили точность 41% с трех попыток (после них карта блокируется), а на пяти цифрах - 30%.
Варианты решения, которые предлагают исследователи:
▪️Просто делать PIN длиннее. Для банков это самое простое, но пользователи плохо помнят.
▪️Использовать в банкоматах виртуальные клавиатуры, где цифры будут меняться местами. Но при изменении порядка цифр пользователи начинают ошибаться.
Точность распознавания у людей-наблюдателей в тех же условиях - около 8% для четырехзначного кода против 41% у нейросети. А значит, в будущем нам может понадобиться заново придумывать, как вообще безопасно делать аутентификацию в публичных местах. А то одни проблемы - биометрию нельзя заменить после утечки, а за вводом секретов учатся подсматривать системы видеонаблюдения.
Ссылка: https://arxiv.org/pdf/2110.08113.pdf
Варианты решения, которые предлагают исследователи:
▪️Просто делать PIN длиннее. Для банков это самое простое, но пользователи плохо помнят.
▪️Использовать в банкоматах виртуальные клавиатуры, где цифры будут меняться местами. Но при изменении порядка цифр пользователи начинают ошибаться.
Точность распознавания у людей-наблюдателей в тех же условиях - около 8% для четырехзначного кода против 41% у нейросети. А значит, в будущем нам может понадобиться заново придумывать, как вообще безопасно делать аутентификацию в публичных местах. А то одни проблемы - биометрию нельзя заменить после утечки, а за вводом секретов учатся подсматривать системы видеонаблюдения.
Ссылка: https://arxiv.org/pdf/2110.08113.pdf
Известный облачный сервис из Новой Зеландии Mega.io выпустил отчет о прозрачности за третий квартал 2021 года. У них облако со сквозным шифрованием, поэтому они не знают, что хранят в их облаке пользователи. Поэтому интересно, как Mega решает проблему государственных запросов информации и как обходится с удалением контента, доступного по публичным ссылкам.
Итак, за третий квартал этого года:
▪️Mega получила 746 тысяч запросов на удаление контента, нарушающего авторские права. В этом случае Mega удаляет все без проверки, потому что файлы зашифрованы и проверить их технически невозможно. Как правило, они удаляют менее, чем за 4 часа с момента жалобы, и часто это происходит за несколько минут. Тот, кто жалуется, может выбирать, хочет ли он, чтобы Mega просто убрала публичные ссылки и оставила сами файлы, или удалила и файлы тоже.
▪️Полностью удалены аккаунты 2448 пользователей за повторные нарушения авторских прав, а всего за последние 12 месяцев удаленных аккаунтов - 9716. У Mega работает система: "три предупреждения по DMCA за шесть месяцев и аккаунт удаляется". Оспаривать можно.
▪️Mega также принимает жалобы на запрещенный контент (детскую порнографию, насилие и экстремизм, инструменты для взлома, украденные данные и т.д.) При поступлении такой жалобы публичные ссылки удаляются автоматом, аккаунт разместившего пользователя деактивируется и информация об этом уходит правоохранителям в Новой Зеландии, где зарегистрирован сервис, а те уже решают, заводить ли дело. В третьем квартале 2021 года таким образом закрыли около 50 тысяч аккаунтов, из них абсолютное большинство - за размещение ссылок на детскую порнографию. В отчете написано, что Mega никак не сканирует хранящиеся в сервисе файлы по известным базам запрещенного контента, потому что сквозное шифрование и поэтому нет такой технической возможности.
▪️За последний год Mega получила 18 запросов информации о пользователях от государственных органов Новой Зеландии или от иностранных государств через судебные решения в NZ. В списке стран, от которых приходили такие запросы, России нет. По всем запросам Mega выдала метаданные. В отчете уточняется, что если речь идет о тяжких преступлениях, в том числе сексуальной эксплуатации детей, Mega иногда выдает информацию иностранным правоохранителям без решения местных судов в NZ.
▪️Кроме этого, существуют "срочные запросы", когда полиция Новой Зеландии запрашивает информацию пользователей в рамках расследований. Таких запросов в третьем квартале Mega обслужила около тысячи. В отчете написано, что подобные запросы от иностранных правоохранителей Mega "может рассмотреть."
В общем, сквозное шифрование в Mega.io совершенно не означает анонимности. Компания активно выдает метаданные пользователей и удаляет контент, на который пожаловались, без проверки. А еще интересно, что в отчете о прозрачности они вообще нигде не пишут, сколько процентов каких запросов они отказались обслуживать))).
Ссылка: https://mega.io/blog/mega-transparency-report-2021
Итак, за третий квартал этого года:
▪️Mega получила 746 тысяч запросов на удаление контента, нарушающего авторские права. В этом случае Mega удаляет все без проверки, потому что файлы зашифрованы и проверить их технически невозможно. Как правило, они удаляют менее, чем за 4 часа с момента жалобы, и часто это происходит за несколько минут. Тот, кто жалуется, может выбирать, хочет ли он, чтобы Mega просто убрала публичные ссылки и оставила сами файлы, или удалила и файлы тоже.
▪️Полностью удалены аккаунты 2448 пользователей за повторные нарушения авторских прав, а всего за последние 12 месяцев удаленных аккаунтов - 9716. У Mega работает система: "три предупреждения по DMCA за шесть месяцев и аккаунт удаляется". Оспаривать можно.
▪️Mega также принимает жалобы на запрещенный контент (детскую порнографию, насилие и экстремизм, инструменты для взлома, украденные данные и т.д.) При поступлении такой жалобы публичные ссылки удаляются автоматом, аккаунт разместившего пользователя деактивируется и информация об этом уходит правоохранителям в Новой Зеландии, где зарегистрирован сервис, а те уже решают, заводить ли дело. В третьем квартале 2021 года таким образом закрыли около 50 тысяч аккаунтов, из них абсолютное большинство - за размещение ссылок на детскую порнографию. В отчете написано, что Mega никак не сканирует хранящиеся в сервисе файлы по известным базам запрещенного контента, потому что сквозное шифрование и поэтому нет такой технической возможности.
▪️За последний год Mega получила 18 запросов информации о пользователях от государственных органов Новой Зеландии или от иностранных государств через судебные решения в NZ. В списке стран, от которых приходили такие запросы, России нет. По всем запросам Mega выдала метаданные. В отчете уточняется, что если речь идет о тяжких преступлениях, в том числе сексуальной эксплуатации детей, Mega иногда выдает информацию иностранным правоохранителям без решения местных судов в NZ.
▪️Кроме этого, существуют "срочные запросы", когда полиция Новой Зеландии запрашивает информацию пользователей в рамках расследований. Таких запросов в третьем квартале Mega обслужила около тысячи. В отчете написано, что подобные запросы от иностранных правоохранителей Mega "может рассмотреть."
В общем, сквозное шифрование в Mega.io совершенно не означает анонимности. Компания активно выдает метаданные пользователей и удаляет контент, на который пожаловались, без проверки. А еще интересно, что в отчете о прозрачности они вообще нигде не пишут, сколько процентов каких запросов они отказались обслуживать))).
Ссылка: https://mega.io/blog/mega-transparency-report-2021
mega.io
Mega Transparency Report - 2021
Megas 2021 Transparency Report provides statistics on takedown requests, subscriber information disclosure and related issues for the year to 30th September 2021. This is intended to provide transparency for users, regulatory bodies and suppliers as to Megas…
👍1
Интерфакс цитирует Сергея Хуторцева, директора Центра мониторинга и управления сетью связи общего пользования, созданного на базе "Главного радиочастотного центра", подведомственного Роскомнадзору.
Технические средства противодействия угрозам (ТСПУ), которые фильтруют трафик от запрещенного в РФ контента, установлены в этом году на более чем на 500 узлах операторов связи, через них идет 73% трафика широкополосного доступа в интернет (ШПД) и 100% мобильного трафика, в 2022 году ТСПУ планируется установить на более чем 1 тыс. узлов, что позволит покрыть 95% трафика ШПД.
Процент потихоньку растет.
Ссылка: https://www.interfax.ru/russia/798386
Технические средства противодействия угрозам (ТСПУ), которые фильтруют трафик от запрещенного в РФ контента, установлены в этом году на более чем на 500 узлах операторов связи, через них идет 73% трафика широкополосного доступа в интернет (ШПД) и 100% мобильного трафика, в 2022 году ТСПУ планируется установить на более чем 1 тыс. узлов, что позволит покрыть 95% трафика ШПД.
Процент потихоньку растет.
Ссылка: https://www.interfax.ru/russia/798386
Вышел новый Chrome 95, в котором отключили поддержку протокола FTP. А еще всякие околоайтишные сайты написали, что в нем "прекращена поддержка старых ключей U2F". Пользователи забеспокоились, на что заменять свои ключи U2F для двухфакторной аутентификации типа Yubikey (как на картинке) или Rutoken U2F. Но менять ничего не надо, журналисты просто ошиблись.
Что там реально случилось? Есть ключи U2F, а есть U2F API. Так вот U2F API официально объявлен "устаревшим" (deprecated) и его поддержка будет прекращена в Chrome 98. Разработчикам дают время исправиться. А аппаратные ключи двухфакторной в Chrome продолжат работать. С ними все в порядке, выдыхаем.
Ссылка: https://developer.chrome.com/blog/deps-rems-95/
Что там реально случилось? Есть ключи U2F, а есть U2F API. Так вот U2F API официально объявлен "устаревшим" (deprecated) и его поддержка будет прекращена в Chrome 98. Разработчикам дают время исправиться. А аппаратные ключи двухфакторной в Chrome продолжат работать. С ними все в порядке, выдыхаем.
Ссылка: https://developer.chrome.com/blog/deps-rems-95/
Telegram-канал "Осторожно, новости" пишет про инцидент с оплатой лицом Facepay в московском метро. Муж и жена прошли турникет на станции "Пражская" друг за другом, и говорят, что оплатили Facepay. Дверцы между ними не закрывались, за турникетом их остановили полицейские и заставили оплатить поездку еще раз. Полицейские, очевидно, считали, что заплатил только первый, а второй "пристроился паровозиком", чтобы пройти бесплатно.
Ага, Facepay пока "конфликтует" с функцией отлова пассажиров, которые пристраиваются к другим, чтобы бесплатно проходить в метро. Как разрешить такой конфликт - интересная инженерная проблема. Варианты "перестать отлавливать вообще" и "отключить Facepay" отбрасываем как маловероятные. Тогда нужен какой-то способ, как полицейский может доказать пассажиру, что тот не платил, или как пассажир может доказать полицейскому, что он заплатил. Турникеты в Москве - створчатые, то есть дверцы, а не "триподы".
Как бы вы решали эту проблему?
Ссылка: https://t.iss.one/ostorozhno_novosti/2876
Ага, Facepay пока "конфликтует" с функцией отлова пассажиров, которые пристраиваются к другим, чтобы бесплатно проходить в метро. Как разрешить такой конфликт - интересная инженерная проблема. Варианты "перестать отлавливать вообще" и "отключить Facepay" отбрасываем как маловероятные. Тогда нужен какой-то способ, как полицейский может доказать пассажиру, что тот не платил, или как пассажир может доказать полицейскому, что он заплатил. Турникеты в Москве - створчатые, то есть дверцы, а не "триподы".
Как бы вы решали эту проблему?
Ссылка: https://t.iss.one/ostorozhno_novosti/2876
В сентябре провайдер зашифрованной почты Protonmail выдал IP-адрес и модель устройства французского эколога по решению швейцарского суда, и многие задумались, можно ли им после такого вообще верить. Вообще Protonmail по умолчанию не логирует IP-адреса пользователей, но оказалось, что если они получат правильный запрос на конкретного пользователя, то могут начать.
Так вот, в это же время Protonmail судился с Швейцарским сервисом надзора за почтой и телекоммуникациями (PTSS), и вот только что выиграл. PTSS считал, что компания - оператор связи и поэтому должна хранить данные пользователей, как этого требует швейцарское законодательство. Речь о швейцарском аналоге требований российского закона Яровой, который определяет, сколько и каких данных пользователей должны хранить опсосы.
В пятницу, швейцарский Федеральный административный суд вынес решение по этому делу: провайдеры email - не операторы, и требования швейцарского законодательства по хранению данных пользователей их не касаются. До этого, швейцарский Верховный суд решил, что компании, предоставляющие услуги "чата, мгновенных сообщений, интернет-видео и телефонии, или имейл" - не телекомы.
Протон радуется: "Эти два решения - победа приватности в Швейцарии и победа для швейцарских технологических стартапов, поскольку они освобождают нас от обременительных правил, придуманных для операторов связи, и от необходимости выдавать некоторую информацию о пользователях в ответ на швейцарские юридические запросы".
Ссылка: https://www.reuters.com/technology/proton-wins-swiss-court-appeal-over-surveillance-rules-2021-10-22/
Так вот, в это же время Protonmail судился с Швейцарским сервисом надзора за почтой и телекоммуникациями (PTSS), и вот только что выиграл. PTSS считал, что компания - оператор связи и поэтому должна хранить данные пользователей, как этого требует швейцарское законодательство. Речь о швейцарском аналоге требований российского закона Яровой, который определяет, сколько и каких данных пользователей должны хранить опсосы.
В пятницу, швейцарский Федеральный административный суд вынес решение по этому делу: провайдеры email - не операторы, и требования швейцарского законодательства по хранению данных пользователей их не касаются. До этого, швейцарский Верховный суд решил, что компании, предоставляющие услуги "чата, мгновенных сообщений, интернет-видео и телефонии, или имейл" - не телекомы.
Протон радуется: "Эти два решения - победа приватности в Швейцарии и победа для швейцарских технологических стартапов, поскольку они освобождают нас от обременительных правил, придуманных для операторов связи, и от необходимости выдавать некоторую информацию о пользователях в ответ на швейцарские юридические запросы".
Ссылка: https://www.reuters.com/technology/proton-wins-swiss-court-appeal-over-surveillance-rules-2021-10-22/
В прошлом посте мы ошиблись в формулировке: "Protonmail по-умолчанию не логирует IP-адреса", но вы все заметили! Исправляемся, вот цитаты из политики приватности Protonmail:
Действия в аккаунте Protonmail
Из-за ограничений протокола SMTP у нас есть доступ к следующим метаданным email: email-адреса отправителя и получателя, IP-адреса, с которых отправлены сообщения, тема сообщения и время отправки и приема сообщений.
Логирование IP
По умолчанию мы не храним ПОСТОЯННЫХ логов, связанных с использованием наших сервисов. При этом, логи IP могут сохраняться временнодля борьбы с нарушениями условий использования и фродом, и ваш IP-адрес может сохраняться постоянно, если вы занимаетесь деятельностью, которая нарушает наши условия (спам, DDoS против нашей инфраструктуры, брутфорс атаки и тд).
То есть постоянно они не хранят, но могут хранить временно, если пользователь нарушает, или если попросит швейцарский суд.
Действия в аккаунте Protonmail
Из-за ограничений протокола SMTP у нас есть доступ к следующим метаданным email: email-адреса отправителя и получателя, IP-адреса, с которых отправлены сообщения, тема сообщения и время отправки и приема сообщений.
Логирование IP
По умолчанию мы не храним ПОСТОЯННЫХ логов, связанных с использованием наших сервисов. При этом, логи IP могут сохраняться временнодля борьбы с нарушениями условий использования и фродом, и ваш IP-адрес может сохраняться постоянно, если вы занимаетесь деятельностью, которая нарушает наши условия (спам, DDoS против нашей инфраструктуры, брутфорс атаки и тд).
То есть постоянно они не хранят, но могут хранить временно, если пользователь нарушает, или если попросит швейцарский суд.
Интересное исследование о том, как дата-брокеры собирают данные с телефонов пользователей через свои SDK, встроенные в приложения. На этот раз исследователи разбирались с тем, как собирает данные британская компания Huq.
SDK Huq встроен в кучу популярных бесплатных приложений для Android с миллионами установок, например РадарДетектор (GPS радар), CamFind, Network Signal Info, QR & Barcode Scanner и так далее (полный список в исследовании). Этот SDK - это способ монетизации приложений, Huq платит разработчикам за переданные данные. Huq собирает точную геолокацию, названия ближайших сетей wifi, рекламный и неизменяемые идентификаторы телефона, имя устройства и кучу другой информации. По правилам Google на такое нужно явное согласие пользователя. При этом в исследовании фактически:
▪️Некоторые приложения не давали пользователю возможности отказаться от сбора данных. Хочешь использовать приложение - соглашайся со сбором (ладно, хотя бы честно).
▪️Несколько приложений собирали и передавали данные, если пользователь закрывал приложение, не согласившись с условиями использования (увидел условия, никуда не нажал, закрыл приложение).
▪️Два приложения (QR & Barcode Scanner и Network Signal Info) собирали и передавали данные, даже если пользователь явно отказался, нажав на кнопку "нет" или выключив опцию сбора. То есть в интерфейсе написано "Сбор данных отключен, данные не будут передаваться третьим лицам", а по факту трафик идет, все передается.
Vice попросил комментарий у самой компании Huq, а они говорят, что вообще не в курсе, согласился пользователь или нет, - это ответственность разработчиков приложений. При этом недавно они же рассказывали, как ежемесячно тестируют приложения своих клиентов, чтобы убедиться, что те не нарушают условий использования. Разработчики "плохих" приложений просто не отвечают. Исследователи пожаловались в Google, те отвечают, что в курсе и ведут расследование.
Это еще одна история про бизнес-модели бесплатных мобильных приложений в эпоху капитализма, основанного на слежке. "Если ты не платишь, то ты товар".
Ссылки:
[1] https://blog.appcensus.io/2021/10/25/what-the-huq/
[2] https://www.vice.com/en/article/5dgmqz/huq-location-data-opt-out-no-consent
SDK Huq встроен в кучу популярных бесплатных приложений для Android с миллионами установок, например РадарДетектор (GPS радар), CamFind, Network Signal Info, QR & Barcode Scanner и так далее (полный список в исследовании). Этот SDK - это способ монетизации приложений, Huq платит разработчикам за переданные данные. Huq собирает точную геолокацию, названия ближайших сетей wifi, рекламный и неизменяемые идентификаторы телефона, имя устройства и кучу другой информации. По правилам Google на такое нужно явное согласие пользователя. При этом в исследовании фактически:
▪️Некоторые приложения не давали пользователю возможности отказаться от сбора данных. Хочешь использовать приложение - соглашайся со сбором (ладно, хотя бы честно).
▪️Несколько приложений собирали и передавали данные, если пользователь закрывал приложение, не согласившись с условиями использования (увидел условия, никуда не нажал, закрыл приложение).
▪️Два приложения (QR & Barcode Scanner и Network Signal Info) собирали и передавали данные, даже если пользователь явно отказался, нажав на кнопку "нет" или выключив опцию сбора. То есть в интерфейсе написано "Сбор данных отключен, данные не будут передаваться третьим лицам", а по факту трафик идет, все передается.
Vice попросил комментарий у самой компании Huq, а они говорят, что вообще не в курсе, согласился пользователь или нет, - это ответственность разработчиков приложений. При этом недавно они же рассказывали, как ежемесячно тестируют приложения своих клиентов, чтобы убедиться, что те не нарушают условий использования. Разработчики "плохих" приложений просто не отвечают. Исследователи пожаловались в Google, те отвечают, что в курсе и ведут расследование.
Это еще одна история про бизнес-модели бесплатных мобильных приложений в эпоху капитализма, основанного на слежке. "Если ты не платишь, то ты товар".
Ссылки:
[1] https://blog.appcensus.io/2021/10/25/what-the-huq/
[2] https://www.vice.com/en/article/5dgmqz/huq-location-data-opt-out-no-consent
👍1
Мы выложили в Youtube 15-минутный свежий доклад Ивана Бегтина "Слежка за гражданами через мобильные государственные приложения". Если вы интересуетесь темой, рекомендуем читать и смотреть Ивана!
https://www.youtube.com/watch?v=6UeHi2BTjW8
Вот слайды:
https://www.beautiful.ai/player/-MmSXg4uXGoxpIGjBlSc/Slezhka-cherez-gosudarstvennye-mobilnye-prilozheniya
Вот полный текст исследования:
https://privacygosmobapps.infoculture.ru/
https://www.youtube.com/watch?v=6UeHi2BTjW8
Вот слайды:
https://www.beautiful.ai/player/-MmSXg4uXGoxpIGjBlSc/Slezhka-cherez-gosudarstvennye-mobilnye-prilozheniya
Вот полный текст исследования:
https://privacygosmobapps.infoculture.ru/
YouTube
Слежка за гражданами через мобильные государственные приложения / Иван Бегтин
Доклад Ивана Бегтина о слежке через приложения на Евразийском конгрессе по защите данных #EDPC
https://edpc.network
Полный текст исследования:
➡️ https://privacygosmobapps.infoculture.ru
Сайт "Информационной культуры"
➡️ https://www.infoculture.ru
Полная…
https://edpc.network
Полный текст исследования:
➡️ https://privacygosmobapps.infoculture.ru
Сайт "Информационной культуры"
➡️ https://www.infoculture.ru
Полная…
В Великобритании пять крупных сетей супермаркетов начинают тестировать продукт компании Yoti - нейронку, которая по изображению с камеры определяет возраст покупателей на кассе. Это нужно, например, чтобы помочь кассиру принять решение, можно ли продавать алкоголь и сигареты. Нейронку тренировали на возраст от 6 до 60 лет, в среднем ошибка составляет 2.79 лет для всего диапазона и менее 1.5 лет для людей младше 25. Если нейронка считает, что покупатель младше какого-то возраста, взятого с запасом (например, 25 лет), продавец будет по-прежнему просить показать паспорт, как это происходило до сих пор. На младшем возрасте погрешность меньше, потому что систему просто больше тренировали - Yoti видит в распознавании точного возраста подростков больше потенциального спроса. Пишут, что их уже тестируют какие-то игровые сервисы и порносайты, чтобы отсекать пользователей младше 13.
Разработчики говорят, что изображения нигде не хранятся, регистрация в системе от пользователя не требуется, никакой аутентификации или сличения с базой лиц не происходит, то есть распознаванием лиц система не занимается. Из-за этого разработчики утверждают, что система не должна попадать под госрегулирование систем распознавания лиц, потому что это просто нейронка.
Интересно, чем закончится тестирование.
Ссылка: https://www.wired.com/story/ai-predicts-how-old-children-are/
Разработчики говорят, что изображения нигде не хранятся, регистрация в системе от пользователя не требуется, никакой аутентификации или сличения с базой лиц не происходит, то есть распознаванием лиц система не занимается. Из-за этого разработчики утверждают, что система не должна попадать под госрегулирование систем распознавания лиц, потому что это просто нейронка.
Интересно, чем закончится тестирование.
Ссылка: https://www.wired.com/story/ai-predicts-how-old-children-are/
В ЕС скандал - похоже, что кто-то спер приватные ключи, которыми подписывают официальные QR-коды европейских ковидных сертификатов Green Pass, и выложил в тематические Telegram-каналы валидные ковидные сертификаты Гитлера, Микки Мауса, Губки Боба и тд.
Одновременно с этим на подпольных форумах появились предложения об изготовлении польских и швейцарских валидных QR-кодов вакцинации, цены от 250 евро. При этом поддельные валидные сертификаты из Telegram-каналов якобы сделаны в куче разных стран: Франции, Германии, Италии, Нидерландах, Польше и др. То есть непохоже, что утечка приватных ключей касается только одного или двух государств. ЕС уже запустил расследование.
Проблема тут не только в существовании поддельных сертификатов. Какие-то ключи уже отозвали и теперь все настоящие сертификаты, подписанные теми же ключами, по идее должны автоматически "протухнуть". Один итальянский журналист вчера уже написал, что его валидный сертификат перестал работать. Заодно оказалось, что разные приложения для проверки валидности работают по-разному, и например в приложении VerificationC19 "левые" сертификаты уже не распознаются, а швейцарский CovidCheck пока считает, что с ними все нормально.
Похоже, придется заменять ключи и перевыпускать сертификаты. Интересно, как европейцы справятся.
Ссылка: https://www.bleepingcomputer.com/news/security/eu-investigating-leak-of-private-key-used-to-forge-covid-passes/
Одновременно с этим на подпольных форумах появились предложения об изготовлении польских и швейцарских валидных QR-кодов вакцинации, цены от 250 евро. При этом поддельные валидные сертификаты из Telegram-каналов якобы сделаны в куче разных стран: Франции, Германии, Италии, Нидерландах, Польше и др. То есть непохоже, что утечка приватных ключей касается только одного или двух государств. ЕС уже запустил расследование.
Проблема тут не только в существовании поддельных сертификатов. Какие-то ключи уже отозвали и теперь все настоящие сертификаты, подписанные теми же ключами, по идее должны автоматически "протухнуть". Один итальянский журналист вчера уже написал, что его валидный сертификат перестал работать. Заодно оказалось, что разные приложения для проверки валидности работают по-разному, и например в приложении VerificationC19 "левые" сертификаты уже не распознаются, а швейцарский CovidCheck пока считает, что с ними все нормально.
Похоже, придется заменять ключи и перевыпускать сертификаты. Интересно, как европейцы справятся.
Ссылка: https://www.bleepingcomputer.com/news/security/eu-investigating-leak-of-private-key-used-to-forge-covid-passes/
BleepingComputer
EU investigating leak of private key used to forge Covid passes
The private key used to sign EU Digital Covid certificates has been reportedly leaked and is being circulated on messaging apps and forums. The key has also been misused to generate forged certificates, such as those for Adolf Hitler, Mickey Mouse, Sponge…
Forwarded from Roskomsvoboda
Pegasus: как работает и где использовали
Технические специалисты «Роскомсвободы» подробно рассказали о работе шпионского ПО Pegasus от израильской компании NSO Group.
Это ПО удалённо устанавливается на смартфоны и без ведома владельца может собирать данные с его устройства. Его применяли власти как минимум 14 стран для слежки за оппозицией.
Как работает это ПО и можно ли защититься от угрозы – в нашем материале:
➡️ https://roskomsvoboda.org/post/pegasus-nso-group/
Технические специалисты «Роскомсвободы» подробно рассказали о работе шпионского ПО Pegasus от израильской компании NSO Group.
Это ПО удалённо устанавливается на смартфоны и без ведома владельца может собирать данные с его устройства. Его применяли власти как минимум 14 стран для слежки за оппозицией.
Как работает это ПО и можно ли защититься от угрозы – в нашем материале:
➡️ https://roskomsvoboda.org/post/pegasus-nso-group/
Роскомсвобода
Pegasus: как работает и где использовали
В подробностях рассказываем о шпионском ПО компании NSO Group.
Вышел Tor Browser 11.0. В нем окончательно прекращена поддержка старых 16-символьных адресов .onion версии 2 (в текущей версии 3 в адресах всегда 56 символов), случился переход на кодовую базу Firefox 91 ESR c предыдущей версии Firefox 78 ESR, и, соответственно, сильно обновился интерфейс браузера.
Можно считать, что переход на протокол onion третьей версии на этом окончательно завершился. Весь процесс занял 6 лет.
https://www.torproject.org/download/
Можно считать, что переход на протокол onion третьей версии на этом окончательно завершился. Весь процесс занял 6 лет.
https://www.torproject.org/download/
www.torproject.org
The Tor Project | Privacy & Freedom Online
Defend yourself against tracking and surveillance. Circumvent censorship.
Известный ресурс iFixit записал видео о том, что в iPhone 13 при замене экрана не у официалов перестает работать Face ID. В новом поколении iPhone под экраном - совсем мелкий чип, и при замене экрана теперь надо ее "одобрять" в Apple при помощи закрытого софта, который Apple дает только сертифицированным ремонтным центрам. Остается вариант перепаивать старый чип на новый экран под микроскопом, и в этом же видео автор популярного Youtube-канала "Right to repair" (Право на ремонт) объясняет, как это сделать людям с опытом, оборудованием и совсем прямыми руками.
При этом iFixit считает, что реально для работы FaceID этот новый чип не нужен, то есть это то, что называется "антифича". Выглядит так, как будто Apple продолжает бороться с независимым ремонтом.
https://youtu.be/x8bexo6PaM0
При этом iFixit считает, что реально для работы FaceID этот новый чип не нужен, то есть это то, что называется "антифича". Выглядит так, как будто Apple продолжает бороться с независимым ремонтом.
https://youtu.be/x8bexo6PaM0
Мы вчера писали про видео с Youtube-канала iFixit, как при замене экрана iPhone 13 в неофициальном ремонте перестает работать FaceID. Видео получилось шумным, и в ответ компания Apple дала комментарий, что исправит ситуацию "в одном из следующих обновлений". То есть при замене экрана в неофициальных мастерских перепаивать чип под микроскопом не понадобится. В каком обновлении это будет исправлено, они точно не говорят.
Все-таки Apple внимательно относится к тому, что о них пишут.
https://www.theverge.com/2021/11/9/22772433/apple-iphone-13-screen-replacements-face-id-software-update
Все-таки Apple внимательно относится к тому, что о них пишут.
https://www.theverge.com/2021/11/9/22772433/apple-iphone-13-screen-replacements-face-id-software-update
The Verge
Apple backs off of breaking Face ID after DIY iPhone 13 screen replacements
A software update should help make replacements easier.
История века на Пикабу. Рекламный робот Tele2 позвонил на телефон абонента с предложением о переходе на другой тарифный план, трубку снял Тинькоффский голосовой помощник Олег, и, поскольку он использовал слово "хорошо", робот Теле2 понял это как согласие. Абоненту подключили новый тарифный план, пока он спал.
"Полный диалог Олега в текстовой форме не вместился, но при прослушивании записи, последняя фраза там от сотрудника Теле2: "С вашего согласия новый тариф предоставил, он начнет действовать сразу после пополнения счета. Пользуйтесь с удовольствием, до свидания".
https://pikabu.ru/story/tele2_pereklyuchil_na_novyiy_tarif_s_pomoshchyu_assistenta_olega_8591368
"Полный диалог Олега в текстовой форме не вместился, но при прослушивании записи, последняя фраза там от сотрудника Теле2: "С вашего согласия новый тариф предоставил, он начнет действовать сразу после пополнения счета. Пользуйтесь с удовольствием, до свидания".
https://pikabu.ru/story/tele2_pereklyuchil_na_novyiy_tarif_s_pomoshchyu_assistenta_olega_8591368
Цифровые правозащитники EFF опубликовали новое расследование. Дата-брокер Veraset шесть месяцев после начала пандемии COVID в 2020 году бесплатно передавал местным властям округа Колумбия в США данные геолокации сотен тысяч американцев из Вашингтона и окрестностей. Речь идет о данных, которые компания собирает из тысяч мобильных приложений и встроенных в них SDK. Как всегда в подобных историях, данные были "анонимные", то есть там не было ФИО в явном виде. Зато там были уникальные рекламные идентификаторы гаджетов, которые всегда можно связать с ФИО у другого дата-брокера (мы про это пару раз писали в этом канале, например тыц). То есть технически в результате местное правительство округа Колумбия через 24-72 часа имело доступ к данным типа "в каком конкретном месте конкретный Пупкин был 20 августа 2020 года в 20:00".
После шести месяцев бесплатного пробного периода местные власти округа Колумбия решили платную подписку не покупать. Объясняют, что думали на основе этих данных принимать какие-то решения, типа когда начинать и заканчивать карантины, но не получилось.
Это не первая история о том, как дата-брокеры сливают госорганам в США данные, собранные с устройств пользователей, но тут все вместе - в этой истории есть и pdf-ы с техническими подробностями, и COVID, и отдавали бесплатно. Кстати интересно, работают ли все эти крупные международные дата-брокеры, которые собирают данные геолокации через мобильные приложения, с российскими госорганами? Данные по российским пользователям у них точно есть.
https://www.eff.org/deeplinks/2021/11/data-broker-veraset-gave-bulk-device-level-gps-data-dc-government
После шести месяцев бесплатного пробного периода местные власти округа Колумбия решили платную подписку не покупать. Объясняют, что думали на основе этих данных принимать какие-то решения, типа когда начинать и заканчивать карантины, но не получилось.
Это не первая история о том, как дата-брокеры сливают госорганам в США данные, собранные с устройств пользователей, но тут все вместе - в этой истории есть и pdf-ы с техническими подробностями, и COVID, и отдавали бесплатно. Кстати интересно, работают ли все эти крупные международные дата-брокеры, которые собирают данные геолокации через мобильные приложения, с российскими госорганами? Данные по российским пользователям у них точно есть.
https://www.eff.org/deeplinks/2021/11/data-broker-veraset-gave-bulk-device-level-gps-data-dc-government
👍1
На прошлой неделе Ведомство по патентам и товарным знакам США опубликовало новый патент Apple, в котором говорится про "Очки приватности". Если у пользователя на лице какие-то специальные очки, то iPhone должен их распознать и показывать пользователю вывод на экране, который не виден окружающим. В патенте написано, что, к примеру, такая технология подойдет для использования в общественном транспорте. Как это технически должно работать, не уточняют, пишут про blur, то есть размытие. А еще из текста патента неясно, очки вообще как-то помогают пользователю увидеть вывод на экране, или FaceID просто на них должен реагировать, чтобы включать этот специальный режим.
Что-то похожее существует очень давно, назвается "экран (или фильтр) приватности", их сначала делала компания 3M, а сейчас подтянулись и другие производители. Может вы видели такие съемные экраны для мониторов, экранов ноутбуков и телефонов, ограничивающие угол обзора так, что изображение видно, только если сидеть прямо перед ними. Но те экраны - это просто кусок специальной пленки, и чтобы его "отключить" его нужно снять. Как Apple собирается программно включать и выключать свой запатентованный режим приватности - непонятно.
И, кстати, даже не факт, что такая технология у Apple реально есть. Кори Доктороу в своей книжке "How to destroy surveillance capitalism" (Как уничтожить капитализм, основанный на слежке) недавно писал, как крупные технологические компании пытаются патентовать то, чего у них нет, причем максимально общие идеи без подробностей. Это нужно, чтобы потом, когда они реально что-нибудь такое разработают, кто-нибудь их не засудил.
Но сама идея крутая. Вот бы сделали.
https://www.patentlyapple.com/patently-apple/2021/11/apple-advances-face-id-to-create-multiple-user-profiles-while-introducing-new-privacy-eyewear-and-more.html
Что-то похожее существует очень давно, назвается "экран (или фильтр) приватности", их сначала делала компания 3M, а сейчас подтянулись и другие производители. Может вы видели такие съемные экраны для мониторов, экранов ноутбуков и телефонов, ограничивающие угол обзора так, что изображение видно, только если сидеть прямо перед ними. Но те экраны - это просто кусок специальной пленки, и чтобы его "отключить" его нужно снять. Как Apple собирается программно включать и выключать свой запатентованный режим приватности - непонятно.
И, кстати, даже не факт, что такая технология у Apple реально есть. Кори Доктороу в своей книжке "How to destroy surveillance capitalism" (Как уничтожить капитализм, основанный на слежке) недавно писал, как крупные технологические компании пытаются патентовать то, чего у них нет, причем максимально общие идеи без подробностей. Это нужно, чтобы потом, когда они реально что-нибудь такое разработают, кто-нибудь их не засудил.
Но сама идея крутая. Вот бы сделали.
https://www.patentlyapple.com/patently-apple/2021/11/apple-advances-face-id-to-create-multiple-user-profiles-while-introducing-new-privacy-eyewear-and-more.html
Разработчики из ОАЭ придумали сигнализацию под названием Themis, которая срабатывает на мат и обидные термины, и показали прототип на выставке Dubai Design Week. Это железяка размером с небольшую настольную лампу с микрофонами и системой распознавания речи, которая распознает мат, расистские и другие обидные термины и включает сирену на две минуты.
"После этого Themis выключается, и присутствующие могут открыто и спокойно обсудить причины, почему могло сработать устройство," - говорит разработчица. Пишут, что прототип уже где-то тестируется в университетах, и что во время выставки им заинтересовались клиенты для использования в офисах и школах, например для модерации дебатов.
Роботы-модераторы, только в реале.
https://www.telegraph.co.uk/news/2021/11/13/thought-police-have-arrived-trigger-warning-alarm-goes-every/
"После этого Themis выключается, и присутствующие могут открыто и спокойно обсудить причины, почему могло сработать устройство," - говорит разработчица. Пишут, что прототип уже где-то тестируется в университетах, и что во время выставки им заинтересовались клиенты для использования в офисах и школах, например для модерации дебатов.
Роботы-модераторы, только в реале.
https://www.telegraph.co.uk/news/2021/11/13/thought-police-have-arrived-trigger-warning-alarm-goes-every/