Слышали про распознавание походки? Это способ автоматической идентификации людей на видео, альтернативный распознаванию лиц. Походка уникальна, ее трудно подделать, видео можно снимать с большого расстояния на камеры, и работает против людей в масках. Как минимум пару лет в Китае существуют готовые системы, работающие в реальном времени.
При этом известно, что, к примеру, обувь на каблуках, опьянение, тяжелые сумки или мешковатая одежда мешают точному распознаванию. А на днях энтузиаст придумал печатать на 3d принтере тяжелые вкладыши в ботинки, чтобы изменять походку, и выложил проект на Github. И тут начинается магия опенсорс: в анонс на Реддите сразу приходит комментатор, который профессионально занимается слежкой. Он рассказывает, что такие вкладыши не подходят для длительного или регулярного ношения из-за большой нагрузки на коленный или бедренный суставы, но на один раз на пару километров может хватить. Рекомендует вместо этого менять походку при помощи жесткого коленного бандажа - люди с ним начинают прихрамывать и на суставы нагрузка значительно меньше. И вообще много и интересно комментирует про способы обхода этого способа распознавания. Если знаете английский - можете почитать.
Интересно, используется ли идентификация по походке в системах видеонаблюдения в России?
При этом известно, что, к примеру, обувь на каблуках, опьянение, тяжелые сумки или мешковатая одежда мешают точному распознаванию. А на днях энтузиаст придумал печатать на 3d принтере тяжелые вкладыши в ботинки, чтобы изменять походку, и выложил проект на Github. И тут начинается магия опенсорс: в анонс на Реддите сразу приходит комментатор, который профессионально занимается слежкой. Он рассказывает, что такие вкладыши не подходят для длительного или регулярного ношения из-за большой нагрузки на коленный или бедренный суставы, но на один раз на пару километров может хватить. Рекомендует вместо этого менять походку при помощи жесткого коленного бандажа - люди с ним начинают прихрамывать и на суставы нагрузка значительно меньше. И вообще много и интересно комментирует про способы обхода этого способа распознавания. Если знаете английский - можете почитать.
Интересно, используется ли идентификация по походке в системах видеонаблюдения в России?
Сегодня Whatsapp анонсировал возможность прикладывать к текстовым сообщениям фото и видео однократного просмотра.
Эфемерные фото и видео исчезают после первого просмотра, не сохраняются в фотогалерее получателя, их нельзя пересылать, добавлять в избранное и делиться ими. Если получатель не открывает такой файл, то он исчезает через 14 дней после отправки. Такие фото и видео, как и все остальное содержание текстовых чатов, защищены сквозным шифрованием, поэтому сам Whatsapp не имеет доступа к ним.
Обещают, что до всех поддерживаемых платформ эфемерные фото и видео доедут на этой неделе. В новой версии клиента на Android функция уже есть, можно тестировать!
Эфемерные фото и видео исчезают после первого просмотра, не сохраняются в фотогалерее получателя, их нельзя пересылать, добавлять в избранное и делиться ими. Если получатель не открывает такой файл, то он исчезает через 14 дней после отправки. Такие фото и видео, как и все остальное содержание текстовых чатов, защищены сквозным шифрованием, поэтому сам Whatsapp не имеет доступа к ним.
Обещают, что до всех поддерживаемых платформ эфемерные фото и видео доедут на этой неделе. В новой версии клиента на Android функция уже есть, можно тестировать!
Наш основной Telegram-канал пишет про вчерашнюю блокировку в России "Правозащиты Открытки", "Открытых медиа" и размещённого на Appspot "МБХ Медиа". Технологически не произошло ничего нового: ресурсы находятся в Реестре запрещенных сайтов с позавчерашнего дня, и разве что МБХ Медиа (https://mbk-news.appspot.com) расположен на Google Appspot. Но неделю назад мы на примере зеркала сайта Навального https://comnavalny.appspot.com/ уже убедились, что новое оборудование Роскомнадзора умеет блокировать ресурсы на Appspot и подобных сервисах.
Сегодня все три заблокированных ресурса объявили о закрытии, чтобы дальше не повышать риски для сотрудников. Самоцензура - самый эффективный способ цензуры, со стороны клиента его не обойдешь никаким VPN. Но безопасность сотрудников - это важно, их решение можно понять.
А какие способы противодействия блокировкам со стороны сервера сейчас вообще эффективны, что может сделать такой сайт (кроме как рассчитывать, что пользователи сами разберутся и придут через VPN)? Похоже, что создание простых зеркал со сменой IP-адреса и доменного имени на сегодня - не лучший вариант, за этим следят и их быстро блокируют. Помните, неделю назад новое зеркало https://navalny.app стали блокировать через семь часов после создания и еще до официального внесения его в реестр?
Для обхода со стороны сервера остаются соцсети, мессенджеры (Telegram) и технологии противодействия блокировкам, встроенные в мобильные приложения. Например, NewNode, про который сегодня пишет "За телеком". Кстати, а что еще?
Сегодня все три заблокированных ресурса объявили о закрытии, чтобы дальше не повышать риски для сотрудников. Самоцензура - самый эффективный способ цензуры, со стороны клиента его не обойдешь никаким VPN. Но безопасность сотрудников - это важно, их решение можно понять.
А какие способы противодействия блокировкам со стороны сервера сейчас вообще эффективны, что может сделать такой сайт (кроме как рассчитывать, что пользователи сами разберутся и придут через VPN)? Похоже, что создание простых зеркал со сменой IP-адреса и доменного имени на сегодня - не лучший вариант, за этим следят и их быстро блокируют. Помните, неделю назад новое зеркало https://navalny.app стали блокировать через семь часов после создания и еще до официального внесения его в реестр?
Для обхода со стороны сервера остаются соцсети, мессенджеры (Telegram) и технологии противодействия блокировкам, встроенные в мобильные приложения. Например, NewNode, про который сегодня пишет "За телеком". Кстати, а что еще?
Telegram
RosKomSvoboda
Так, внимание! ❗️ Ночью Генпрокуратура заблокировала не три, а четыре сайта:
🔹 «Правозащита Открытки»,
🔹 сайт премии «Профессия — журналист»,
🔹 «Открытые медиа»
🔹 размещённый на Appspot «МБХ Медиа».
Подобные блокировки по линии Генпрокуратуры происходят…
🔹 «Правозащита Открытки»,
🔹 сайт премии «Профессия — журналист»,
🔹 «Открытые медиа»
🔹 размещённый на Appspot «МБХ Медиа».
Подобные блокировки по линии Генпрокуратуры происходят…
Криптограф Мэтью Грин пишет, что сегодня-завтра Apple анонсирует новый функционал в IOS: локальное сканирование устройств на наличие детской порнографии. "Нейронная система сопоставления" будет автоматически искать на устройствах файлы, похожие на детскую порнографию, и сообщать об этом в Apple. На первом этапе система будет проверять только изображения и видео, уже загруженные в iCloud, то есть, к которым у Apple и так уже есть доступ.
Новый функционал выглядит как попытка компромисса между технологическими компаниями, которые хотят внедрять сквозное (end-to-end) шифрование, и государствами, которые хотят бороться с терроризмом и детской порнографией, наезжают на шифрование и требуют доступа к файлам пользователей. В системах со сквозным шифрованием искать "плохое" технически возможно на самих устройствах. Как писал на прошлой неделе директор Protonmail, "поле боя переместилось в сам смартфон".
Чего мы пока не знаем?
• Будет ли эта система искать соответствия по базе уже известных изображений, или она будет пытаться распознать новые?
• Как система будет обрабатывать ложные срабатывания? Кто-то же должен будет в результате принимать решение, верно ли догадалась нейронка.
Почему это может быть хорошая идея?
Возможно, Apple собирается добавить сквозное шифрование фото и видео в iCloud и таким способом готовится к этому.
Почему это - ужасная идея?
Если можно искать на устройствах пользователей что-то одно, наверное, получится искать и что-то другое, а это - идеальная технология массовой слежки. Государства могут требовать искать на смартфонах, например, политику, и Apple может быть тяжело отказать. И если у Apple получится внедрить эту технологию, и пользователи не разбегутся, то ее будут внедрять и другие технологические компании.
Новый функционал выглядит как попытка компромисса между технологическими компаниями, которые хотят внедрять сквозное (end-to-end) шифрование, и государствами, которые хотят бороться с терроризмом и детской порнографией, наезжают на шифрование и требуют доступа к файлам пользователей. В системах со сквозным шифрованием искать "плохое" технически возможно на самих устройствах. Как писал на прошлой неделе директор Protonmail, "поле боя переместилось в сам смартфон".
Чего мы пока не знаем?
• Будет ли эта система искать соответствия по базе уже известных изображений, или она будет пытаться распознать новые?
• Как система будет обрабатывать ложные срабатывания? Кто-то же должен будет в результате принимать решение, верно ли догадалась нейронка.
Почему это может быть хорошая идея?
Возможно, Apple собирается добавить сквозное шифрование фото и видео в iCloud и таким способом готовится к этому.
Почему это - ужасная идея?
Если можно искать на устройствах пользователей что-то одно, наверное, получится искать и что-то другое, а это - идеальная технология массовой слежки. Государства могут требовать искать на смартфонах, например, политику, и Apple может быть тяжело отказать. И если у Apple получится внедрить эту технологию, и пользователи не разбегутся, то ее будут внедрять и другие технологические компании.
Развивается вчерашняя история, как Apple собирается внедрить в iPhone обязательный сканер детской порнографии. Во-первых пока это будет работать только в США. Во-вторых, сейчас функции предполагается две: обязательный сканер по официальной базе и родительский контроль фото в Семейных аккаунтах.
Первая функция - сканер фото при отправке в iCloud, который будет сравнивать файлы с базой данных Национального центра по делам пропавших без вести и эксплуатируемых детей (NCMEC). Это поиск по известным образцам, и база цифровых отпечатков будет храниться локально на устройствах. "Плохих" совпадающих файлов на iPhone должно быть несколько (не говорят, сколько), тогда iPhone сообщит в Apple.
Вторая функция - это сканер фото, полученных и отправленных детьми до 13 лет через мессенджер iMessage. Это - не поиск по образцам, это нейронка, которая тоже будет работать локально. Опцию смогут включать или выключать родители через настройки Семейного аккаунта, и они же будут получать уведомления.
Если ребенок до 13 лет в Семейном аккаунте хочет отправить фото, которое система считает "откровенным", iMessage покажет уведомление "Хотите ли вы действительно отправить это сообщение? Если да, ваш родитель получит уведомление." Если отказаться, сообщение не отправляется, родитель уведомление не получает. Если согласиться, сообщение сохраняется на устройстве в настройках родительского контроля и удалить его с детского аккаунта невозможно. То же самое со входящими - перед просмотром iMessage будет предупреждать, что отправит родителю уведомление. Можно отказаться и не смотреть. Для пользователей от 13 до 17 лет в семейных аккаунтах система будет предупреждать и сохранять фото, но без уведомления родителя.
Похоже, что в противостоянии технических компаний и государств по поводу шифрования Apple определился с позицией: использовать сквозное шифрование, но локально сканировать содержимое устройств на запрещенный контент.
Первая функция - сканер фото при отправке в iCloud, который будет сравнивать файлы с базой данных Национального центра по делам пропавших без вести и эксплуатируемых детей (NCMEC). Это поиск по известным образцам, и база цифровых отпечатков будет храниться локально на устройствах. "Плохих" совпадающих файлов на iPhone должно быть несколько (не говорят, сколько), тогда iPhone сообщит в Apple.
Вторая функция - это сканер фото, полученных и отправленных детьми до 13 лет через мессенджер iMessage. Это - не поиск по образцам, это нейронка, которая тоже будет работать локально. Опцию смогут включать или выключать родители через настройки Семейного аккаунта, и они же будут получать уведомления.
Если ребенок до 13 лет в Семейном аккаунте хочет отправить фото, которое система считает "откровенным", iMessage покажет уведомление "Хотите ли вы действительно отправить это сообщение? Если да, ваш родитель получит уведомление." Если отказаться, сообщение не отправляется, родитель уведомление не получает. Если согласиться, сообщение сохраняется на устройстве в настройках родительского контроля и удалить его с детского аккаунта невозможно. То же самое со входящими - перед просмотром iMessage будет предупреждать, что отправит родителю уведомление. Можно отказаться и не смотреть. Для пользователей от 13 до 17 лет в семейных аккаунтах система будет предупреждать и сохранять фото, но без уведомления родителя.
Похоже, что в противостоянии технических компаний и государств по поводу шифрования Apple определился с позицией: использовать сквозное шифрование, но локально сканировать содержимое устройств на запрещенный контент.
Electronic Frontier Foundation
Apple's Plan to "Think Different" About Encryption Opens a Backdoor
Apple has announced impending changes to its operating systems that include new “protections for children” features in iCloud and iMessage. If you’ve spent any time following the Crypto Wars, you
Vice пишет про нелегальный бизнес бана пользователей в Instagram за деньги.
"Мы профессионально баним с 2020 года и обладаем большим опытом. Наши цены - не самые низкие, но вы получаете услугу, соответствующую оплате" пишет один из продавцов на форуме OG Users. В объявлении написано, что бан стоит $60 долларов и работает для аккаунтов с количеством фолловеров до 99 тысяч, главное, чтобы в профиле было фото человека. Продавец признается, что у него много верифицированных аккаунтов в Instagram, и он меняет фото и информацию профиля в одном из таких аккаунтов на фото и информацию жертвы, и потом жалуется в поддержку. Говорит, что этот способ обычно работает и клиентов достаточно. А дальше в материале пишут про другой известный способ забанить другого пользователя - через массовые жалобы на нарушение аккаунтом жертвы условий использования.
Это получается, если верифицированный аккаунт Инсты пожаловался "кражу личности" на обычный, то верифицированный - всегда прав? Или продавец врет?
"Мы профессионально баним с 2020 года и обладаем большим опытом. Наши цены - не самые низкие, но вы получаете услугу, соответствующую оплате" пишет один из продавцов на форуме OG Users. В объявлении написано, что бан стоит $60 долларов и работает для аккаунтов с количеством фолловеров до 99 тысяч, главное, чтобы в профиле было фото человека. Продавец признается, что у него много верифицированных аккаунтов в Instagram, и он меняет фото и информацию профиля в одном из таких аккаунтов на фото и информацию жертвы, и потом жалуется в поддержку. Говорит, что этот способ обычно работает и клиентов достаточно. А дальше в материале пишут про другой известный способ забанить другого пользователя - через массовые жалобы на нарушение аккаунтом жертвы условий использования.
Это получается, если верифицированный аккаунт Инсты пожаловался "кражу личности" на обычный, то верифицированный - всегда прав? Или продавец врет?
На прошлой неделе Zoom согласился выплатить 85 миллионов долларов по групповому иску за вранье по поводу сквозного (end-to-end) шифрования и за передачу данных пользователей без разрешения корпорациям Google и Facebook. Пользователи, которые принимали участие в групповом иске, получат от 15 до 25 долларов на человека.
Что там случилось? С 2016 года Zoom писал, что у них есть сквозное шифрование, - в технической документации, на сайте, в интерфейсе приложения и в ответах на вопросы пользователей в техническую поддержку. А потом оказалось, что настоящее сквозное шифрование было только в отдельном корпоративном продукте Zoom Connector, где клиенты сами разворачивают собственные сервера Zoom (Настоящее - это такое, при котором клиенты сами генерируют ключи шифрования и обмениваются ими. А потом сервер, через который они обмениваются данными, не может получить доступ к содержимому коммуникаций, потому что у него просто нет ключей).
А для самого продукта Zoom компания фактически придумала свое собственное определение, что такое сквозное шифрование, и по этому определению ключи генерирует сервер и расшифровывать коммуникации он фактически может. В марте 2020 года об этом стало известно и на Zoom подали в суд, потому что такие хитрые собственные определения - это просто способ вводить пользователей в заблуждение. Правда, с тех пор "настоящее" сквозное шифрование в Zoom сделали, оно там в режиме technical preview с ноября 2020 года.
Во-вторых, в политике конфиденциальности Zoom написано, что "Zoom не торгует данными пользователей" и "Zoom серьезно относится с приватности пользователей и предпринимает адекватные меры для ее защиты". При этом в продукте некоторое время использовался Facebook SDK и поэтому по факту Facebook данные пользователей получал. Теперь Zoom больше не пользуется Facebook SDK, но пользуется Google-овским продуктом Firebase Analytics SDK, так что теперь данные пользователей получает Google. В иске утверждается, что пользователей о таком нужно ставить в известность.
Про собственное определение сквозного шифрования - удивительная история. А про использование Facebook SDK и Firebase Analytics - это очень распространенная практика в мире мобильных приложений. Например, есть приложение Tracker Control, которое устанавливается на Android локальным VPN, гоняет весь трафик через себя и потом показывает, какое приложение в какие подобные сервисы передает данные. Если никогда не ковырялись - попробуйте!
Что там случилось? С 2016 года Zoom писал, что у них есть сквозное шифрование, - в технической документации, на сайте, в интерфейсе приложения и в ответах на вопросы пользователей в техническую поддержку. А потом оказалось, что настоящее сквозное шифрование было только в отдельном корпоративном продукте Zoom Connector, где клиенты сами разворачивают собственные сервера Zoom (Настоящее - это такое, при котором клиенты сами генерируют ключи шифрования и обмениваются ими. А потом сервер, через который они обмениваются данными, не может получить доступ к содержимому коммуникаций, потому что у него просто нет ключей).
А для самого продукта Zoom компания фактически придумала свое собственное определение, что такое сквозное шифрование, и по этому определению ключи генерирует сервер и расшифровывать коммуникации он фактически может. В марте 2020 года об этом стало известно и на Zoom подали в суд, потому что такие хитрые собственные определения - это просто способ вводить пользователей в заблуждение. Правда, с тех пор "настоящее" сквозное шифрование в Zoom сделали, оно там в режиме technical preview с ноября 2020 года.
Во-вторых, в политике конфиденциальности Zoom написано, что "Zoom не торгует данными пользователей" и "Zoom серьезно относится с приватности пользователей и предпринимает адекватные меры для ее защиты". При этом в продукте некоторое время использовался Facebook SDK и поэтому по факту Facebook данные пользователей получал. Теперь Zoom больше не пользуется Facebook SDK, но пользуется Google-овским продуктом Firebase Analytics SDK, так что теперь данные пользователей получает Google. В иске утверждается, что пользователей о таком нужно ставить в известность.
Про собственное определение сквозного шифрования - удивительная история. А про использование Facebook SDK и Firebase Analytics - это очень распространенная практика в мире мобильных приложений. Например, есть приложение Tracker Control, которое устанавливается на Android локальным VPN, гоняет весь трафик через себя и потом показывает, какое приложение в какие подобные сервисы передает данные. Если никогда не ковырялись - попробуйте!
Ars Technica
Zoom to pay $85M for lying about encryption and sending data to Facebook and Google
Zoom users to get $15 or $25 each in proposed settlement of class-action lawsuit.
Редакция Motherboard получила внутренний документ Google о количестве уволенных сотрудников за нарушение политик безопасности. В 2020 корпорация уволила по этой статье 36 человек, из них 86% - за передачу третьим лицам внутренней информации (это про интеллектуальную собственность и внутренние документы компании), а 10% - за "неправомерное использование систем". Редакция предполагает, что этот последний пункт включает в себя доступ к данным пользователей и сотрудников и передачу их третьим лицам. Получается, что в прошлом году в Google за это уволили трех или четырех человек.
Комментарий Google в статье: "По поводу данных пользователей: мы строго ограничиваем доступ сотрудников и используем для этого лучшие решения, такие как:
• предоставление доступа к данным пользователей только сотрудникам, которым он необходим для работы
• доступ к данным только по заявке, в которой указана цель доступа
• многоступенчатая система одобрения таких заявок
• и мониторинг аномалий доступа и нарушений".
Интересно, как им удается почти избегать утечек пользовательских данных из такой огромной системы.
Комментарий Google в статье: "По поводу данных пользователей: мы строго ограничиваем доступ сотрудников и используем для этого лучшие решения, такие как:
• предоставление доступа к данным пользователей только сотрудникам, которым он необходим для работы
• доступ к данным только по заявке, в которой указана цель доступа
• многоступенчатая система одобрения таких заявок
• и мониторинг аномалий доступа и нарушений".
Интересно, как им удается почти избегать утечек пользовательских данных из такой огромной системы.
Mozilla работает над созданием платного сервиса Mozilla Privacy Pack и собирается анонсировать его в ближайшие месяцы. Об этом рассказывает немецкий блогер на основе предварительных документов. Пишет, что тарифные планы Privacy Pack будут стоить $10 или $13 в месяц и в продукт будут входить уже существующие сервисы:
Firefox Relay - служба адресов пересылки имейл (алиасов), уже доступная на https://relay.firefox.com/, это аналог сервисов типа simplelogin.io и anonaddy.com. Она выдает адреса пересылки типа <id>@relay.firefox.com, с подпиской будут давать <id>@<мой_домен>.mozmail.com.
Firefox Monitor - служба проверки адресов имейл в массовых утечках и рассылки уведомлений о новых утечках, уже доступная на https://monitor.firefox.com/. Это аналог HaveIbeenPwned.com.
Mozilla VPN - платный VPN сервис, который пока доступен только в нескольких странах (в том числе США, Канаде, Великобритании и Германии). Он не самый дешевый, но VPN вообще сейчас дорожают. Ну и Mozilla рассказывает, что у них крутые инженеры, которые точно не накосячат с безопасностью и приватностью.
Дополнительно в платном тарифном плане обещают обучающие материалы, мобильные приложения и какие-то мелкие плюшки.
Ну круто. Mozilla давно хочет придумать способы зарабатывать новыми способами, пока ее основной доход - выплаты от поисковых систем-партнеров. Так что платный тарифный план выглядит логичным, плюс продвигает новые сервисы компании. А у пользователей Firefox появится возможность таким способом донатить на развитие любимого браузера.
Firefox Relay - служба адресов пересылки имейл (алиасов), уже доступная на https://relay.firefox.com/, это аналог сервисов типа simplelogin.io и anonaddy.com. Она выдает адреса пересылки типа <id>@relay.firefox.com, с подпиской будут давать <id>@<мой_домен>.mozmail.com.
Firefox Monitor - служба проверки адресов имейл в массовых утечках и рассылки уведомлений о новых утечках, уже доступная на https://monitor.firefox.com/. Это аналог HaveIbeenPwned.com.
Mozilla VPN - платный VPN сервис, который пока доступен только в нескольких странах (в том числе США, Канаде, Великобритании и Германии). Он не самый дешевый, но VPN вообще сейчас дорожают. Ну и Mozilla рассказывает, что у них крутые инженеры, которые точно не накосячат с безопасностью и приватностью.
Дополнительно в платном тарифном плане обещают обучающие материалы, мобильные приложения и какие-то мелкие плюшки.
Ну круто. Mozilla давно хочет придумать способы зарабатывать новыми способами, пока ее основной доход - выплаты от поисковых систем-партнеров. Так что платный тарифный план выглядит логичным, плюс продвигает новые сервисы компании. А у пользователей Firefox появится возможность таким способом донатить на развитие любимого браузера.
Firefox
Firefox Relay
Firefox Relay makes it easy to create email masks that forward your messages to your true inbox. Use them to protect your online accounts from hackers and unwanted messages.
В то время как московское метро тестирует оплату проезда по распознаванию лица, а Сбербанк запустил идентификацию по лицу в 21 тысяче банкоматов, израильские исследователи рассказывают о способах обманывать биометрию дипфейками. Они успешно научились генерировать "мастер-лица" (по аналогии с мастер-ключами) и ломать эти системы быстрым перебором. В их тесте девять изображений позволяют успешно идентифицироваться как 40-60% пользователей в трех больших существующих системах FaceNet, SphereFace, и Dlib. Исследователи пишут, что нет никакой проблемы в том, чтобы потом анимировать эти лица для обхода систем, которым нужно движение.
Похоже, нас ожидает война дипфейков против биометрии по лицу.
Ссылки:
[1] https://www.vice.com/en/article/k78ygn/researchers-create-master-faces-to-bypass-facial-recognition
[2] https://rg.ru/2021/07/29/pochti-polovina-bankomatov-sberbanka-stala-biometricheskoj.html
Похоже, нас ожидает война дипфейков против биометрии по лицу.
Ссылки:
[1] https://www.vice.com/en/article/k78ygn/researchers-create-master-faces-to-bypass-facial-recognition
[2] https://rg.ru/2021/07/29/pochti-polovina-bankomatov-sberbanka-stala-biometricheskoj.html
Vice
Researchers Create 'Master Faces' to Bypass Facial Recognition
According to the paper, their findings imply that facial recognition systems are “extremely vulnerable.”
Судя по этой истории, боты Youtube автоматически выписывают владельцам каналов предупреждения (страйки) по ключевым словам. Ошибочных страйков много, но если жаловаться в поддержку и в Twitter, то их часто отменяют, правда не обязательно с первого раза.
Об этом рассказывает техноблогер TechDoctorUK (223 тысячи подписчиков, 12.7 миллионов просмотров). Пару лет назад у него на канале действительно были обзоры приложений для пиратского стриминга типа Modbro, но он их все убрал и теперь не нарушает. Но поскольку он использует ключевые слова вроде "free access", то Youtube ему все-равно выписывает страйки, даже за обзоры приложений из Google Play Market. Блогер рассказывает, что получил аж пять ошибочных страйков (например, за обзоры приложений Xumo TV, Pluto TV и Teleboy из Play Market). Говорит, если у Googlе есть претензии к приложениям, почему они доступны в магазине? Единственное объяснение происходящего - эти страйки выписывают боты, которые работают по ключевым словам и ошибаются.
В правилах Youtube описано много ограничений. Там, в частности, запрещено "Видео, в которых показывается, как с помощью специальных приложений, сайтов и других информационных технологий можно получить незаконный доступ к платному контенту." За нарушение правил раздаются предупреждения (страйки). Каждый страйк обозначает определенные ограничения, три страйка за 90 дней и аккаунт удаляется.
Рабочие стратегии противодействия ошибочным страйкам, которые описывает TechDoctorUK:
• Обязательно оспаривать.
• Повторно оспаривать, даже если в первый раз Youtube отказал.
• Одновременно жаловаться в Twitter, тэгить TeamYoutube, там пока люди).
Судя по всему, опять нейросеть следит за поведением и принимает решения сама, без людей.
Ссылки:
[1] https://torrentfreak.com/youtuber-receives-strikes-for-reviewing-legal-video-apps-available-on-google-play-210811/
[2] https://support.google.com/youtube/answer/2802032?hl=ru
Об этом рассказывает техноблогер TechDoctorUK (223 тысячи подписчиков, 12.7 миллионов просмотров). Пару лет назад у него на канале действительно были обзоры приложений для пиратского стриминга типа Modbro, но он их все убрал и теперь не нарушает. Но поскольку он использует ключевые слова вроде "free access", то Youtube ему все-равно выписывает страйки, даже за обзоры приложений из Google Play Market. Блогер рассказывает, что получил аж пять ошибочных страйков (например, за обзоры приложений Xumo TV, Pluto TV и Teleboy из Play Market). Говорит, если у Googlе есть претензии к приложениям, почему они доступны в магазине? Единственное объяснение происходящего - эти страйки выписывают боты, которые работают по ключевым словам и ошибаются.
В правилах Youtube описано много ограничений. Там, в частности, запрещено "Видео, в которых показывается, как с помощью специальных приложений, сайтов и других информационных технологий можно получить незаконный доступ к платному контенту." За нарушение правил раздаются предупреждения (страйки). Каждый страйк обозначает определенные ограничения, три страйка за 90 дней и аккаунт удаляется.
Рабочие стратегии противодействия ошибочным страйкам, которые описывает TechDoctorUK:
• Обязательно оспаривать.
• Повторно оспаривать, даже если в первый раз Youtube отказал.
• Одновременно жаловаться в Twitter, тэгить TeamYoutube, там пока люди).
Судя по всему, опять нейросеть следит за поведением и принимает решения сама, без людей.
Ссылки:
[1] https://torrentfreak.com/youtuber-receives-strikes-for-reviewing-legal-video-apps-available-on-google-play-210811/
[2] https://support.google.com/youtube/answer/2802032?hl=ru
Torrentfreak
YouTuber Receives Strikes For Reviewing Legal Video Apps Available on Google Play * TorrentFreak
YouTuber TechDoctorUK is currently suspended from YouTube after the platform flagged yet another of his legal tutorial videos as piracy-related.
Facebook анонсировал звонки и видео со сквозным шифрованием в режиме секретной переписки в мобильном приложении Messenger. Обещают, что для этого в правом верхнем углу в режиме секретной переписки появятся дополнительные кнопки, а во время звонка на экране будет написано "end-to-end encrypted". Пока в последних версиях приложений для IOS и Android кнопок нет, ждем следующего апдейта. Заодно в этом же анонсе Facebook рассказывает о планах выпустить групповые секретные чаты и звонки, но попозже.
Режим секретной переписки в мобильном приложении Facebook - это такой аналог Whatsapp, чаты со сквозным шифрованием. Смысл в том, что сам Facebook не знает, о чем переписываются пользователи в этом режиме. Работает эта функция только на мобильных устройствах и чтобы ее активировать, нужно в конкретном чате выбрать ("Информация - Перейти в режим секретной переписки").
Несмотря на шифрование, Facebook будет по-прежнему иметь доступ к метаданным (кто кому когда звонил, как долго продолжался звонок и так далее). Наверное, для их бизнес-целей этого достаточно.
Наверное, это неплохая новость - будет какая-то дополнительная приватность для людей, которые пользуются Facebook на мобильных устройствах. Но бизнес-модель Facebook и приватность вообще плохо совместимы. А еще, если уж возможность есть, почему просто не включить сквозное шифрование звонков по умолчанию и не устраивать пользователям неудобства?
Режим секретной переписки в мобильном приложении Facebook - это такой аналог Whatsapp, чаты со сквозным шифрованием. Смысл в том, что сам Facebook не знает, о чем переписываются пользователи в этом режиме. Работает эта функция только на мобильных устройствах и чтобы ее активировать, нужно в конкретном чате выбрать ("Информация - Перейти в режим секретной переписки").
Несмотря на шифрование, Facebook будет по-прежнему иметь доступ к метаданным (кто кому когда звонил, как долго продолжался звонок и так далее). Наверное, для их бизнес-целей этого достаточно.
Наверное, это неплохая новость - будет какая-то дополнительная приватность для людей, которые пользуются Facebook на мобильных устройствах. Но бизнес-модель Facebook и приватность вообще плохо совместимы. А еще, если уж возможность есть, почему просто не включить сквозное шифрование звонков по умолчанию и не устраивать пользователям неудобства?
Messenger News
Messenger Updates End-to-End Encrypted Chats with New Features
Лука Сафонов на Хабре проверял, насколько просто сломать аккаунт в Госуслугах, чтобы взять на него кредит или микрозайм. Краткие выводы:
• При переборе паролей одного аккаунта через несколько попыток сервис выдает reCaptcha и делает полностью автоматический перебор невозможным.
• При переборе разных аккаунтов с одним и тем же паролем - тоже.
• Атаковать веб-приложение у него не получилось (если что, он умеет).
• Дампов учеток с Госуслуг ни в поисковых системах, ни на форумах он не нашел.
Остается фишинг и повторное использование пользователями одинаковых паролей. Но это - атака на пользователя, а не на Госуслуги, и решать эту проблему должен сам пользователь. Двухфакторная аутентификация эту проблему решает, Госуслуги ее рекомендуют.
В общем, Сафонов подтверждает то, о чем мы уже писали. Используйте на Госуслугах уникальный пароль и включите двухэтапную проверку входа по SMS здесь: https://lk.gosuslugi.ru/settings/login И родственникам обязательно помогите настроить, а то они не умеют всю эту магию.
Ссылки:
[1] https://habr.com/ru/post/569370/
[2] https://t.iss.one/rks_tech_talk/127
[3] https://lk.gosuslugi.ru/settings/login
• При переборе паролей одного аккаунта через несколько попыток сервис выдает reCaptcha и делает полностью автоматический перебор невозможным.
• При переборе разных аккаунтов с одним и тем же паролем - тоже.
• Атаковать веб-приложение у него не получилось (если что, он умеет).
• Дампов учеток с Госуслуг ни в поисковых системах, ни на форумах он не нашел.
Остается фишинг и повторное использование пользователями одинаковых паролей. Но это - атака на пользователя, а не на Госуслуги, и решать эту проблему должен сам пользователь. Двухфакторная аутентификация эту проблему решает, Госуслуги ее рекомендуют.
В общем, Сафонов подтверждает то, о чем мы уже писали. Используйте на Госуслугах уникальный пароль и включите двухэтапную проверку входа по SMS здесь: https://lk.gosuslugi.ru/settings/login И родственникам обязательно помогите настроить, а то они не умеют всю эту магию.
Ссылки:
[1] https://habr.com/ru/post/569370/
[2] https://t.iss.one/rks_tech_talk/127
[3] https://lk.gosuslugi.ru/settings/login
Хабр
Взлом госуслуг: мифы и реальность
В последнее время в СМИ обсуждаются множественные случаи взлома портала "Госуслуги". В этой статье я постараюсь выяснить что из этого миф и выдумки, а что является правдой, а для этого придется самому...
Оказывается, в мобильном приложении Snapchat для Android временные сообщения (снапы) после самоудаления остаются лежать файлами в директории приложения, пока получатель не разлогинится (!!!), и только потом удаляются с файловой системы. Не закроет приложение, а именно разлогинится, выйдет из аккаунта. То есть никогда)
Вот утилита на Github, которая копирует такие "удаленные" сообщения из рабочей директории Snapchat. Если присмотреться, то это просто красивая обертка вокруг команды "mv" (в смысле move, переместить файл, если кто случайно не в курсе). Правда, она работает только на Android-смартфонах с root, иначе в рабочую директорию нет доступа. Но они-то там лежат!
В официальном блоге Snapchat объяснял: "После того, как временное сообщение было открыто, оно удаляется с диска на устройстве получателя. Мы стараемся, чтобы это произошло немедленно, но иногда это происходит в течение минуты или двух. Файлы удаляются с файловой системы стандартной инструкцией "удалить". А по факту это вообще не так.
Пишут, что у Snapchat 293 миллиона ежедневных активных пользователей. Но это скорее история о том, что мобильные приложения пишут одни люди, политику конфиденциальности - другие, а корпоративный блог - третьи. А эфемерные сообщения, к сожалению, иногда гарантированно удаляются только из интерфейса приложений(
Ссылки:
[1] https://github.com/sdushantha/snaprecovery#how-the-recovery-works
[2] https://web.archive.org/web/20210810160033/https://newsroom.snap.com/snaps-stored/
Вот утилита на Github, которая копирует такие "удаленные" сообщения из рабочей директории Snapchat. Если присмотреться, то это просто красивая обертка вокруг команды "mv" (в смысле move, переместить файл, если кто случайно не в курсе). Правда, она работает только на Android-смартфонах с root, иначе в рабочую директорию нет доступа. Но они-то там лежат!
В официальном блоге Snapchat объяснял: "После того, как временное сообщение было открыто, оно удаляется с диска на устройстве получателя. Мы стараемся, чтобы это произошло немедленно, но иногда это происходит в течение минуты или двух. Файлы удаляются с файловой системы стандартной инструкцией "удалить". А по факту это вообще не так.
Пишут, что у Snapchat 293 миллиона ежедневных активных пользователей. Но это скорее история о том, что мобильные приложения пишут одни люди, политику конфиденциальности - другие, а корпоративный блог - третьи. А эфемерные сообщения, к сожалению, иногда гарантированно удаляются только из интерфейса приложений(
Ссылки:
[1] https://github.com/sdushantha/snaprecovery#how-the-recovery-works
[2] https://web.archive.org/web/20210810160033/https://newsroom.snap.com/snaps-stored/
В новой версии приложения iCloud для Windows появился парольный менеджер, который работает через расширения в Chrome и MS Edge. Правда, генерировать пароли он не умеет и скорее похож на собственную хранилку паролей в Chrome, чем на полноценный облачный сервис, типа Bitwarden. Но если вам нужно синхронизировать пароли между гаджетами Apple и браузерами в Windows без стороннего софта - теперь у вас есть и такая возможность.
Небольшая компания Business Efficiency Solutions (BES) обвиняет китайскую корпорацию Huawei, что та заставила ее разработчиков внедрить бэкдор в систему безопасного города для Лахора — второго по величине города в Пакистане.
BES и Huawei вместе занимались разработкой и внедрением этого проекта, но в процессе поссорились, и сейчас судятся в Пакистане и в США. BES утверждает, что Huawei заставила их дублировать общую базу данных системы безопасного города с настоящими персданными на сервер Huawei в Китае. Huawei объясняет, что в Китае была только тестовая база без настоящих данных, которая использовалась только в процессе внедрения.
Пакистан начал официальное расследование, но окончательных результатов пока нет. Очень интересно, чем закончится. А то американцы рассказывали, что Huawei шпионит, когда вводили санкции, но совсем без технических подробностей.
BES и Huawei вместе занимались разработкой и внедрением этого проекта, но в процессе поссорились, и сейчас судятся в Пакистане и в США. BES утверждает, что Huawei заставила их дублировать общую базу данных системы безопасного города с настоящими персданными на сервер Huawei в Китае. Huawei объясняет, что в Китае была только тестовая база без настоящих данных, которая использовалась только в процессе внедрения.
Пакистан начал официальное расследование, но окончательных результатов пока нет. Очень интересно, чем закончится. А то американцы рассказывали, что Huawei шпионит, когда вводили санкции, но совсем без технических подробностей.
Citizen Lab выпустил отчет о том, как Apple по политическим причинам запрещает заказывать у себя на сайте гаджеты с кастомной гравировкой некоторых слов и выражений. У Apple есть страновые списки запрещенных слов (вот ссылка на сами списки в Github), и не всегда эта цензура введена для соответствия местным законам. Исследователи предполагают, что иногда это просто политическая цензура по инициативе самой корпорации.
О чем эта история: на официальном сайте Apple можно заказать гравировку при покупке нового Ipad, AirPods, AirTag и еще нескольких устройств. Недавно журналисты издания Mashable выяснили, что некоторые ругательства не получается заказать для гравировки - система выдает ошибку. Агаа, подумали исследователи Citizen Lab и стали перебирать термины на сайтах Apple в Китае, Гонконге, Тайване, Японии, Канаде и США.
Выводы их исследования:
• Что касается ругательств и разных других плохих слов, например, расистских терминов, между странами есть отличия - в одной стране слово запрещено, а в другой - нет. У Apple нет внятной публичной документации, как формируются списки.
• В Китае Apple не дает гравировать всякую политику, в том числе ссылки на руководство Компартии, имена диссидентов и названия независимых СМИ, и вообще слова, связанные с религией, демократией и правами человека. Например, запрещены собственно словосочетания "права человека" или "свобода прессы". Из 1045 запрещенных в Китае слов и словосочетаний 458 - политика.
• Частично эти же списки блокировки дублируются в Гонконге и Тайване. В Гонконге Apple явно блокирует больше, чем обязана, а на Тайване - вообще юридически не должна, но блокирует.
• Похоже, что иногда Apple сама не понимает, что и почему запрещено, и просто копирует чужие списки. Например, запрещены десять китайских имен с распространенной фамилией "Чжан". И неизвестно, почему - вроде нет таких диссидентов. Исследователи предполагают, что Apple их просто скопировала из какого-то местного китайского списка, не разобравшись.
Citizen Lab делают отличные исследования, если вы знаете английский - почитайте оригинал. И спасибо постоянному читателю за наводку.
Ссылки:
[1] https://citizenlab.ca/2021/08/engrave-danger-an-analysis-of-apple-engraving-censorship-across-six-regions/
[2] https://github.com/citizenlab/chat-censorship/tree/master/apple
О чем эта история: на официальном сайте Apple можно заказать гравировку при покупке нового Ipad, AirPods, AirTag и еще нескольких устройств. Недавно журналисты издания Mashable выяснили, что некоторые ругательства не получается заказать для гравировки - система выдает ошибку. Агаа, подумали исследователи Citizen Lab и стали перебирать термины на сайтах Apple в Китае, Гонконге, Тайване, Японии, Канаде и США.
Выводы их исследования:
• Что касается ругательств и разных других плохих слов, например, расистских терминов, между странами есть отличия - в одной стране слово запрещено, а в другой - нет. У Apple нет внятной публичной документации, как формируются списки.
• В Китае Apple не дает гравировать всякую политику, в том числе ссылки на руководство Компартии, имена диссидентов и названия независимых СМИ, и вообще слова, связанные с религией, демократией и правами человека. Например, запрещены собственно словосочетания "права человека" или "свобода прессы". Из 1045 запрещенных в Китае слов и словосочетаний 458 - политика.
• Частично эти же списки блокировки дублируются в Гонконге и Тайване. В Гонконге Apple явно блокирует больше, чем обязана, а на Тайване - вообще юридически не должна, но блокирует.
• Похоже, что иногда Apple сама не понимает, что и почему запрещено, и просто копирует чужие списки. Например, запрещены десять китайских имен с распространенной фамилией "Чжан". И неизвестно, почему - вроде нет таких диссидентов. Исследователи предполагают, что Apple их просто скопировала из какого-то местного китайского списка, не разобравшись.
Citizen Lab делают отличные исследования, если вы знаете английский - почитайте оригинал. И спасибо постоянному читателю за наводку.
Ссылки:
[1] https://citizenlab.ca/2021/08/engrave-danger-an-analysis-of-apple-engraving-censorship-across-six-regions/
[2] https://github.com/citizenlab/chat-censorship/tree/master/apple
The Citizen Lab
Engrave Danger: An Analysis of Apple Engraving Censorship across Six Regions - The Citizen Lab
Within mainland China, we found that Apple censors political content including broad references to Chinese leadership and China’s political system, names of dissidents and independent news organizations, and general terms relating to religions, democracy…
Неправительственные организации добились, чтобы Google публиковал в отчетах о прозрачности информацию о "запросах по геолокации" и "запросах по ключевым словам". Это запросы от правоохранительных органов типа "какие устройства в какой-то период времени находились примерно здесь?" и "какие пользователи искали по этим ключевым словам или этот адрес".
Судя по всему, это чисто внутренняя американская история и требует решения суда. В США такие запросы всплывают в материалах уголовных дел, но Googlе никогда не публиковал по ним открытую статистику. Было только известно, что на некоторые такие запросы Googlе выдавал информацию о десятках тысяч пользователей.
И в декабре 2020 года шестьдесят неправительственных организаций подписали открытое письмо Googlе с просьбой "рассекретить" такие запросы. Теперь американская корпорация согласилась с их требованиями и будет открыто публиковать поквартальные данные, а пока выпустила специальное приложение к отчету о прозрачности с данными за 2018-2020 годы.
Круто. Иногда кажется, что корпорациям вообще не интересны все эти открытые письма и они реагируют только на суды и штрафы, если вообще реагируют. А тут хорошая новость.
Ссылки:
[1] https://www.stopspying.org/latest-news/2021/8/19/google-agrees-to-civil-rights-groups-demand-for-geofence-warrants-report
[2] https://www.stopspying.org/geofence-letter
[3] https://services.google.com/fh/files/misc/supplemental_information_geofence_warrants_united_states.pdf
Судя по всему, это чисто внутренняя американская история и требует решения суда. В США такие запросы всплывают в материалах уголовных дел, но Googlе никогда не публиковал по ним открытую статистику. Было только известно, что на некоторые такие запросы Googlе выдавал информацию о десятках тысяч пользователей.
И в декабре 2020 года шестьдесят неправительственных организаций подписали открытое письмо Googlе с просьбой "рассекретить" такие запросы. Теперь американская корпорация согласилась с их требованиями и будет открыто публиковать поквартальные данные, а пока выпустила специальное приложение к отчету о прозрачности с данными за 2018-2020 годы.
Круто. Иногда кажется, что корпорациям вообще не интересны все эти открытые письма и они реагируют только на суды и штрафы, если вообще реагируют. А тут хорошая новость.
Ссылки:
[1] https://www.stopspying.org/latest-news/2021/8/19/google-agrees-to-civil-rights-groups-demand-for-geofence-warrants-report
[2] https://www.stopspying.org/geofence-letter
[3] https://services.google.com/fh/files/misc/supplemental_information_geofence_warrants_united_states.pdf
Facebook выпустил две специальных функции для пользователей в Афганистане, это борьба против талибского OSINT:
1. Lock your profile/Закрыть свой профиль - по нажатию одной кнопки меняет права просмотра на все посты и фото в ленте на "Только для друзей" и скрывает от всех остальных фото профиля.
2. Для всех афганских пользователей временно отключена возможность третьим лицам смотреть их список друзей.
Иностранным пользователям, у которых есть френды из Афганистана, рекомендуют вручную закрывать списки друзей, но автоматически для них ничего не меняется.
1. Lock your profile/Закрыть свой профиль - по нажатию одной кнопки меняет права просмотра на все посты и фото в ленте на "Только для друзей" и скрывает от всех остальных фото профиля.
2. Для всех афганских пользователей временно отключена возможность третьим лицам смотреть их список друзей.
Иностранным пользователям, у которых есть френды из Афганистана, рекомендуют вручную закрывать списки друзей, но автоматически для них ничего не меняется.
Представитель Пиратской партии утверждает на Хабре, что российские системы электронного голосования не обеспечивают тайну голосования, то есть позволяют сопоставить пользователя и его голос. Автор описывает проблемы систем от Департамента Информационных Технологий Москвы (далее ДИТ) и от Ростелекома/ЦИК (РТК). Пишет, что пытается обсуждать эти проблемы с разработчиками уже два года и получает отписки, а внимательно разобраться не получается, потому что исходники - закрыты.
"Сопоставление логов вебсерверов, проводивших авторизацию пользователя в ЕСИА/mos.ru, выдающих бюллетень, “анонимно” принимающих голос избирателя позволяют ДИТу и РТК однозначно сопоставить пользователя и его голос. Ведь в логах вебсервера оказываются IP адрес, версия браузера, версия ОС и т. п. И поэтому ДИТ имеет возможность однозначно сопоставить расшифрованный голос в итоговом протоколе с зашифрованным голосом в блокчейне, а по ИП адресу и другим следам выяснить, кто же этот голос оставил."
Как часто бывает на Хабре, комменты не менее интересны, чем сам материал.
Ссылка: https://habr.com/ru/post/574122/
"Сопоставление логов вебсерверов, проводивших авторизацию пользователя в ЕСИА/mos.ru, выдающих бюллетень, “анонимно” принимающих голос избирателя позволяют ДИТу и РТК однозначно сопоставить пользователя и его голос. Ведь в логах вебсервера оказываются IP адрес, версия браузера, версия ОС и т. п. И поэтому ДИТ имеет возможность однозначно сопоставить расшифрованный голос в итоговом протоколе с зашифрованным голосом в блокчейне, а по ИП адресу и другим следам выяснить, кто же этот голос оставил."
Как часто бывает на Хабре, комменты не менее интересны, чем сам материал.
Ссылка: https://habr.com/ru/post/574122/