Айтишник Сергей Савельев, который передал проекту Gulagu.net видео пыток заключенных, дал интервью, которое сегодня все цитируют. И там, как обычно бывает, сильно не хватает технических подробностей. Как он вынес столько данных - не понятно, но как будто он специально этого не объясняет, только намекает, что объем умещался в ладошку. Учитывая, что он обслуживал видеорегистраторы, может он списывал microsd карточки как сломанные и где-то физически прятал?
Но например, он еще рассказывает, что при допросе в аэропорту ему сказали: "Там твой телефон прослушивали, мессенджер читали, с какой почты ты там все это отправлял мы в курсе." Телефон ладно, но что значит "мессенджер читали"? Это же важно! Какой мессенджер? И как это вообще происходит? Варианты, которые логически приходят в голову:
Мессенджер не читали:
▪️Савельев ошибается, дезинформирует или не помнит подробностей разговора?
▪️Человек, который говорил с Савельевым, дезинформировал его в целях психологического воздействия?
Мессенджер действительно читали:
▪️Савельеву установили трояна, воспользовавшись физическим доступом к его гаджету?
▪️Когда Савельев говорит "мессенджер" он имеет в виду что-нибудь типа Facebook Messenger или Google Chat, который позволяет атаковать сам аккаунт, например, фишинговыми письмами?
▪️Читали собеседника Савельева, правозащитника Осечкина (сломали одним из способов из этого списка)?
▪️Мессенджер это Telegram, у Савельева не было двухфакторной аутентификации, к его аккаунту подключили новое устройство, получив вместо него смску?
▪️Мессенджер это VK или другая компания в российской юрисдикции?
▪️Савельеву установили трояна удаленно (что-то типа Pegasus)?
▪️Реально существует какой-то еще способ "мессенджер читать" без доступа к устройству?
Последние два варианта с точки зрения приватности обычных пользователей - самые неприятные. Догадывайся сколько хочешь, а ответов нет, разве что дальше всплывут какие-нибудь дополнительные технические подробности. И который раз уже такое: кто-нибудь скажет что-нибудь в СМИ, а контекста, чтобы сделать технические выводы, не хватает. И в этот момент пользователи начинают волноваться и срочно переходить с Telegram на Signal или с Signal на Telegram.
Кстати, какие еще вы видите варианты?
Но например, он еще рассказывает, что при допросе в аэропорту ему сказали: "Там твой телефон прослушивали, мессенджер читали, с какой почты ты там все это отправлял мы в курсе." Телефон ладно, но что значит "мессенджер читали"? Это же важно! Какой мессенджер? И как это вообще происходит? Варианты, которые логически приходят в голову:
Мессенджер не читали:
▪️Савельев ошибается, дезинформирует или не помнит подробностей разговора?
▪️Человек, который говорил с Савельевым, дезинформировал его в целях психологического воздействия?
Мессенджер действительно читали:
▪️Савельеву установили трояна, воспользовавшись физическим доступом к его гаджету?
▪️Когда Савельев говорит "мессенджер" он имеет в виду что-нибудь типа Facebook Messenger или Google Chat, который позволяет атаковать сам аккаунт, например, фишинговыми письмами?
▪️Читали собеседника Савельева, правозащитника Осечкина (сломали одним из способов из этого списка)?
▪️Мессенджер это Telegram, у Савельева не было двухфакторной аутентификации, к его аккаунту подключили новое устройство, получив вместо него смску?
▪️Мессенджер это VK или другая компания в российской юрисдикции?
▪️Савельеву установили трояна удаленно (что-то типа Pegasus)?
▪️Реально существует какой-то еще способ "мессенджер читать" без доступа к устройству?
Последние два варианта с точки зрения приватности обычных пользователей - самые неприятные. Догадывайся сколько хочешь, а ответов нет, разве что дальше всплывут какие-нибудь дополнительные технические подробности. И который раз уже такое: кто-нибудь скажет что-нибудь в СМИ, а контекста, чтобы сделать технические выводы, не хватает. И в этот момент пользователи начинают волноваться и срочно переходить с Telegram на Signal или с Signal на Telegram.
Кстати, какие еще вы видите варианты?
Технический директор Роскомсвободы Станислав Шакиров написал для РБК обзор современных проблем и технологий приватности.
Privacy Tech — это серьезный большой рынок. Помимо ИТ-гигантов, которые разрабатывают свои собственные продукты для защиты конфиденциальности[...] на этом рынке хорошо себя чувствуют стартапы. Crunchbase пишет о 220 стартапах в сфере конфиденциальности и защиты персональных данных (по данным на октябрь 2021 года), инвестиции в которые уже превысили $4,2 млрд США.
https://trends.rbc.ru/trends/industry/616ea4d99a79475ac0ce76ad
Privacy Tech — это серьезный большой рынок. Помимо ИТ-гигантов, которые разрабатывают свои собственные продукты для защиты конфиденциальности[...] на этом рынке хорошо себя чувствуют стартапы. Crunchbase пишет о 220 стартапах в сфере конфиденциальности и защиты персональных данных (по данным на октябрь 2021 года), инвестиции в которые уже превысили $4,2 млрд США.
https://trends.rbc.ru/trends/industry/616ea4d99a79475ac0ce76ad
РБК Тренды
Privacy Tech: что такое технологии приватности и почему о них все говорят
Конфиденциальность — одна из наиболее актуальных проблем глобальной цифровой эпохи. Как устроен Privacy Tech и почему его продукты становятся все более востребованы?
Исследователи из Италии и Нидерландов научили нейросеть распознавать пин-коды банкоматов по видеозаписям с прикрытыми руками, как на картинке. На четырех цифрах они получили точность 41% с трех попыток (после них карта блокируется), а на пяти цифрах - 30%.
Варианты решения, которые предлагают исследователи:
▪️Просто делать PIN длиннее. Для банков это самое простое, но пользователи плохо помнят.
▪️Использовать в банкоматах виртуальные клавиатуры, где цифры будут меняться местами. Но при изменении порядка цифр пользователи начинают ошибаться.
Точность распознавания у людей-наблюдателей в тех же условиях - около 8% для четырехзначного кода против 41% у нейросети. А значит, в будущем нам может понадобиться заново придумывать, как вообще безопасно делать аутентификацию в публичных местах. А то одни проблемы - биометрию нельзя заменить после утечки, а за вводом секретов учатся подсматривать системы видеонаблюдения.
Ссылка: https://arxiv.org/pdf/2110.08113.pdf
Варианты решения, которые предлагают исследователи:
▪️Просто делать PIN длиннее. Для банков это самое простое, но пользователи плохо помнят.
▪️Использовать в банкоматах виртуальные клавиатуры, где цифры будут меняться местами. Но при изменении порядка цифр пользователи начинают ошибаться.
Точность распознавания у людей-наблюдателей в тех же условиях - около 8% для четырехзначного кода против 41% у нейросети. А значит, в будущем нам может понадобиться заново придумывать, как вообще безопасно делать аутентификацию в публичных местах. А то одни проблемы - биометрию нельзя заменить после утечки, а за вводом секретов учатся подсматривать системы видеонаблюдения.
Ссылка: https://arxiv.org/pdf/2110.08113.pdf
Известный облачный сервис из Новой Зеландии Mega.io выпустил отчет о прозрачности за третий квартал 2021 года. У них облако со сквозным шифрованием, поэтому они не знают, что хранят в их облаке пользователи. Поэтому интересно, как Mega решает проблему государственных запросов информации и как обходится с удалением контента, доступного по публичным ссылкам.
Итак, за третий квартал этого года:
▪️Mega получила 746 тысяч запросов на удаление контента, нарушающего авторские права. В этом случае Mega удаляет все без проверки, потому что файлы зашифрованы и проверить их технически невозможно. Как правило, они удаляют менее, чем за 4 часа с момента жалобы, и часто это происходит за несколько минут. Тот, кто жалуется, может выбирать, хочет ли он, чтобы Mega просто убрала публичные ссылки и оставила сами файлы, или удалила и файлы тоже.
▪️Полностью удалены аккаунты 2448 пользователей за повторные нарушения авторских прав, а всего за последние 12 месяцев удаленных аккаунтов - 9716. У Mega работает система: "три предупреждения по DMCA за шесть месяцев и аккаунт удаляется". Оспаривать можно.
▪️Mega также принимает жалобы на запрещенный контент (детскую порнографию, насилие и экстремизм, инструменты для взлома, украденные данные и т.д.) При поступлении такой жалобы публичные ссылки удаляются автоматом, аккаунт разместившего пользователя деактивируется и информация об этом уходит правоохранителям в Новой Зеландии, где зарегистрирован сервис, а те уже решают, заводить ли дело. В третьем квартале 2021 года таким образом закрыли около 50 тысяч аккаунтов, из них абсолютное большинство - за размещение ссылок на детскую порнографию. В отчете написано, что Mega никак не сканирует хранящиеся в сервисе файлы по известным базам запрещенного контента, потому что сквозное шифрование и поэтому нет такой технической возможности.
▪️За последний год Mega получила 18 запросов информации о пользователях от государственных органов Новой Зеландии или от иностранных государств через судебные решения в NZ. В списке стран, от которых приходили такие запросы, России нет. По всем запросам Mega выдала метаданные. В отчете уточняется, что если речь идет о тяжких преступлениях, в том числе сексуальной эксплуатации детей, Mega иногда выдает информацию иностранным правоохранителям без решения местных судов в NZ.
▪️Кроме этого, существуют "срочные запросы", когда полиция Новой Зеландии запрашивает информацию пользователей в рамках расследований. Таких запросов в третьем квартале Mega обслужила около тысячи. В отчете написано, что подобные запросы от иностранных правоохранителей Mega "может рассмотреть."
В общем, сквозное шифрование в Mega.io совершенно не означает анонимности. Компания активно выдает метаданные пользователей и удаляет контент, на который пожаловались, без проверки. А еще интересно, что в отчете о прозрачности они вообще нигде не пишут, сколько процентов каких запросов они отказались обслуживать))).
Ссылка: https://mega.io/blog/mega-transparency-report-2021
Итак, за третий квартал этого года:
▪️Mega получила 746 тысяч запросов на удаление контента, нарушающего авторские права. В этом случае Mega удаляет все без проверки, потому что файлы зашифрованы и проверить их технически невозможно. Как правило, они удаляют менее, чем за 4 часа с момента жалобы, и часто это происходит за несколько минут. Тот, кто жалуется, может выбирать, хочет ли он, чтобы Mega просто убрала публичные ссылки и оставила сами файлы, или удалила и файлы тоже.
▪️Полностью удалены аккаунты 2448 пользователей за повторные нарушения авторских прав, а всего за последние 12 месяцев удаленных аккаунтов - 9716. У Mega работает система: "три предупреждения по DMCA за шесть месяцев и аккаунт удаляется". Оспаривать можно.
▪️Mega также принимает жалобы на запрещенный контент (детскую порнографию, насилие и экстремизм, инструменты для взлома, украденные данные и т.д.) При поступлении такой жалобы публичные ссылки удаляются автоматом, аккаунт разместившего пользователя деактивируется и информация об этом уходит правоохранителям в Новой Зеландии, где зарегистрирован сервис, а те уже решают, заводить ли дело. В третьем квартале 2021 года таким образом закрыли около 50 тысяч аккаунтов, из них абсолютное большинство - за размещение ссылок на детскую порнографию. В отчете написано, что Mega никак не сканирует хранящиеся в сервисе файлы по известным базам запрещенного контента, потому что сквозное шифрование и поэтому нет такой технической возможности.
▪️За последний год Mega получила 18 запросов информации о пользователях от государственных органов Новой Зеландии или от иностранных государств через судебные решения в NZ. В списке стран, от которых приходили такие запросы, России нет. По всем запросам Mega выдала метаданные. В отчете уточняется, что если речь идет о тяжких преступлениях, в том числе сексуальной эксплуатации детей, Mega иногда выдает информацию иностранным правоохранителям без решения местных судов в NZ.
▪️Кроме этого, существуют "срочные запросы", когда полиция Новой Зеландии запрашивает информацию пользователей в рамках расследований. Таких запросов в третьем квартале Mega обслужила около тысячи. В отчете написано, что подобные запросы от иностранных правоохранителей Mega "может рассмотреть."
В общем, сквозное шифрование в Mega.io совершенно не означает анонимности. Компания активно выдает метаданные пользователей и удаляет контент, на который пожаловались, без проверки. А еще интересно, что в отчете о прозрачности они вообще нигде не пишут, сколько процентов каких запросов они отказались обслуживать))).
Ссылка: https://mega.io/blog/mega-transparency-report-2021
mega.io
Mega Transparency Report - 2021
Megas 2021 Transparency Report provides statistics on takedown requests, subscriber information disclosure and related issues for the year to 30th September 2021. This is intended to provide transparency for users, regulatory bodies and suppliers as to Megas…
👍1
Интерфакс цитирует Сергея Хуторцева, директора Центра мониторинга и управления сетью связи общего пользования, созданного на базе "Главного радиочастотного центра", подведомственного Роскомнадзору.
Технические средства противодействия угрозам (ТСПУ), которые фильтруют трафик от запрещенного в РФ контента, установлены в этом году на более чем на 500 узлах операторов связи, через них идет 73% трафика широкополосного доступа в интернет (ШПД) и 100% мобильного трафика, в 2022 году ТСПУ планируется установить на более чем 1 тыс. узлов, что позволит покрыть 95% трафика ШПД.
Процент потихоньку растет.
Ссылка: https://www.interfax.ru/russia/798386
Технические средства противодействия угрозам (ТСПУ), которые фильтруют трафик от запрещенного в РФ контента, установлены в этом году на более чем на 500 узлах операторов связи, через них идет 73% трафика широкополосного доступа в интернет (ШПД) и 100% мобильного трафика, в 2022 году ТСПУ планируется установить на более чем 1 тыс. узлов, что позволит покрыть 95% трафика ШПД.
Процент потихоньку растет.
Ссылка: https://www.interfax.ru/russia/798386
Вышел новый Chrome 95, в котором отключили поддержку протокола FTP. А еще всякие околоайтишные сайты написали, что в нем "прекращена поддержка старых ключей U2F". Пользователи забеспокоились, на что заменять свои ключи U2F для двухфакторной аутентификации типа Yubikey (как на картинке) или Rutoken U2F. Но менять ничего не надо, журналисты просто ошиблись.
Что там реально случилось? Есть ключи U2F, а есть U2F API. Так вот U2F API официально объявлен "устаревшим" (deprecated) и его поддержка будет прекращена в Chrome 98. Разработчикам дают время исправиться. А аппаратные ключи двухфакторной в Chrome продолжат работать. С ними все в порядке, выдыхаем.
Ссылка: https://developer.chrome.com/blog/deps-rems-95/
Что там реально случилось? Есть ключи U2F, а есть U2F API. Так вот U2F API официально объявлен "устаревшим" (deprecated) и его поддержка будет прекращена в Chrome 98. Разработчикам дают время исправиться. А аппаратные ключи двухфакторной в Chrome продолжат работать. С ними все в порядке, выдыхаем.
Ссылка: https://developer.chrome.com/blog/deps-rems-95/
Telegram-канал "Осторожно, новости" пишет про инцидент с оплатой лицом Facepay в московском метро. Муж и жена прошли турникет на станции "Пражская" друг за другом, и говорят, что оплатили Facepay. Дверцы между ними не закрывались, за турникетом их остановили полицейские и заставили оплатить поездку еще раз. Полицейские, очевидно, считали, что заплатил только первый, а второй "пристроился паровозиком", чтобы пройти бесплатно.
Ага, Facepay пока "конфликтует" с функцией отлова пассажиров, которые пристраиваются к другим, чтобы бесплатно проходить в метро. Как разрешить такой конфликт - интересная инженерная проблема. Варианты "перестать отлавливать вообще" и "отключить Facepay" отбрасываем как маловероятные. Тогда нужен какой-то способ, как полицейский может доказать пассажиру, что тот не платил, или как пассажир может доказать полицейскому, что он заплатил. Турникеты в Москве - створчатые, то есть дверцы, а не "триподы".
Как бы вы решали эту проблему?
Ссылка: https://news.1rj.ru/str/ostorozhno_novosti/2876
Ага, Facepay пока "конфликтует" с функцией отлова пассажиров, которые пристраиваются к другим, чтобы бесплатно проходить в метро. Как разрешить такой конфликт - интересная инженерная проблема. Варианты "перестать отлавливать вообще" и "отключить Facepay" отбрасываем как маловероятные. Тогда нужен какой-то способ, как полицейский может доказать пассажиру, что тот не платил, или как пассажир может доказать полицейскому, что он заплатил. Турникеты в Москве - створчатые, то есть дверцы, а не "триподы".
Как бы вы решали эту проблему?
Ссылка: https://news.1rj.ru/str/ostorozhno_novosti/2876
В сентябре провайдер зашифрованной почты Protonmail выдал IP-адрес и модель устройства французского эколога по решению швейцарского суда, и многие задумались, можно ли им после такого вообще верить. Вообще Protonmail по умолчанию не логирует IP-адреса пользователей, но оказалось, что если они получат правильный запрос на конкретного пользователя, то могут начать.
Так вот, в это же время Protonmail судился с Швейцарским сервисом надзора за почтой и телекоммуникациями (PTSS), и вот только что выиграл. PTSS считал, что компания - оператор связи и поэтому должна хранить данные пользователей, как этого требует швейцарское законодательство. Речь о швейцарском аналоге требований российского закона Яровой, который определяет, сколько и каких данных пользователей должны хранить опсосы.
В пятницу, швейцарский Федеральный административный суд вынес решение по этому делу: провайдеры email - не операторы, и требования швейцарского законодательства по хранению данных пользователей их не касаются. До этого, швейцарский Верховный суд решил, что компании, предоставляющие услуги "чата, мгновенных сообщений, интернет-видео и телефонии, или имейл" - не телекомы.
Протон радуется: "Эти два решения - победа приватности в Швейцарии и победа для швейцарских технологических стартапов, поскольку они освобождают нас от обременительных правил, придуманных для операторов связи, и от необходимости выдавать некоторую информацию о пользователях в ответ на швейцарские юридические запросы".
Ссылка: https://www.reuters.com/technology/proton-wins-swiss-court-appeal-over-surveillance-rules-2021-10-22/
Так вот, в это же время Protonmail судился с Швейцарским сервисом надзора за почтой и телекоммуникациями (PTSS), и вот только что выиграл. PTSS считал, что компания - оператор связи и поэтому должна хранить данные пользователей, как этого требует швейцарское законодательство. Речь о швейцарском аналоге требований российского закона Яровой, который определяет, сколько и каких данных пользователей должны хранить опсосы.
В пятницу, швейцарский Федеральный административный суд вынес решение по этому делу: провайдеры email - не операторы, и требования швейцарского законодательства по хранению данных пользователей их не касаются. До этого, швейцарский Верховный суд решил, что компании, предоставляющие услуги "чата, мгновенных сообщений, интернет-видео и телефонии, или имейл" - не телекомы.
Протон радуется: "Эти два решения - победа приватности в Швейцарии и победа для швейцарских технологических стартапов, поскольку они освобождают нас от обременительных правил, придуманных для операторов связи, и от необходимости выдавать некоторую информацию о пользователях в ответ на швейцарские юридические запросы".
Ссылка: https://www.reuters.com/technology/proton-wins-swiss-court-appeal-over-surveillance-rules-2021-10-22/
В прошлом посте мы ошиблись в формулировке: "Protonmail по-умолчанию не логирует IP-адреса", но вы все заметили! Исправляемся, вот цитаты из политики приватности Protonmail:
Действия в аккаунте Protonmail
Из-за ограничений протокола SMTP у нас есть доступ к следующим метаданным email: email-адреса отправителя и получателя, IP-адреса, с которых отправлены сообщения, тема сообщения и время отправки и приема сообщений.
Логирование IP
По умолчанию мы не храним ПОСТОЯННЫХ логов, связанных с использованием наших сервисов. При этом, логи IP могут сохраняться временнодля борьбы с нарушениями условий использования и фродом, и ваш IP-адрес может сохраняться постоянно, если вы занимаетесь деятельностью, которая нарушает наши условия (спам, DDoS против нашей инфраструктуры, брутфорс атаки и тд).
То есть постоянно они не хранят, но могут хранить временно, если пользователь нарушает, или если попросит швейцарский суд.
Действия в аккаунте Protonmail
Из-за ограничений протокола SMTP у нас есть доступ к следующим метаданным email: email-адреса отправителя и получателя, IP-адреса, с которых отправлены сообщения, тема сообщения и время отправки и приема сообщений.
Логирование IP
По умолчанию мы не храним ПОСТОЯННЫХ логов, связанных с использованием наших сервисов. При этом, логи IP могут сохраняться временнодля борьбы с нарушениями условий использования и фродом, и ваш IP-адрес может сохраняться постоянно, если вы занимаетесь деятельностью, которая нарушает наши условия (спам, DDoS против нашей инфраструктуры, брутфорс атаки и тд).
То есть постоянно они не хранят, но могут хранить временно, если пользователь нарушает, или если попросит швейцарский суд.
Интересное исследование о том, как дата-брокеры собирают данные с телефонов пользователей через свои SDK, встроенные в приложения. На этот раз исследователи разбирались с тем, как собирает данные британская компания Huq.
SDK Huq встроен в кучу популярных бесплатных приложений для Android с миллионами установок, например РадарДетектор (GPS радар), CamFind, Network Signal Info, QR & Barcode Scanner и так далее (полный список в исследовании). Этот SDK - это способ монетизации приложений, Huq платит разработчикам за переданные данные. Huq собирает точную геолокацию, названия ближайших сетей wifi, рекламный и неизменяемые идентификаторы телефона, имя устройства и кучу другой информации. По правилам Google на такое нужно явное согласие пользователя. При этом в исследовании фактически:
▪️Некоторые приложения не давали пользователю возможности отказаться от сбора данных. Хочешь использовать приложение - соглашайся со сбором (ладно, хотя бы честно).
▪️Несколько приложений собирали и передавали данные, если пользователь закрывал приложение, не согласившись с условиями использования (увидел условия, никуда не нажал, закрыл приложение).
▪️Два приложения (QR & Barcode Scanner и Network Signal Info) собирали и передавали данные, даже если пользователь явно отказался, нажав на кнопку "нет" или выключив опцию сбора. То есть в интерфейсе написано "Сбор данных отключен, данные не будут передаваться третьим лицам", а по факту трафик идет, все передается.
Vice попросил комментарий у самой компании Huq, а они говорят, что вообще не в курсе, согласился пользователь или нет, - это ответственность разработчиков приложений. При этом недавно они же рассказывали, как ежемесячно тестируют приложения своих клиентов, чтобы убедиться, что те не нарушают условий использования. Разработчики "плохих" приложений просто не отвечают. Исследователи пожаловались в Google, те отвечают, что в курсе и ведут расследование.
Это еще одна история про бизнес-модели бесплатных мобильных приложений в эпоху капитализма, основанного на слежке. "Если ты не платишь, то ты товар".
Ссылки:
[1] https://blog.appcensus.io/2021/10/25/what-the-huq/
[2] https://www.vice.com/en/article/5dgmqz/huq-location-data-opt-out-no-consent
SDK Huq встроен в кучу популярных бесплатных приложений для Android с миллионами установок, например РадарДетектор (GPS радар), CamFind, Network Signal Info, QR & Barcode Scanner и так далее (полный список в исследовании). Этот SDK - это способ монетизации приложений, Huq платит разработчикам за переданные данные. Huq собирает точную геолокацию, названия ближайших сетей wifi, рекламный и неизменяемые идентификаторы телефона, имя устройства и кучу другой информации. По правилам Google на такое нужно явное согласие пользователя. При этом в исследовании фактически:
▪️Некоторые приложения не давали пользователю возможности отказаться от сбора данных. Хочешь использовать приложение - соглашайся со сбором (ладно, хотя бы честно).
▪️Несколько приложений собирали и передавали данные, если пользователь закрывал приложение, не согласившись с условиями использования (увидел условия, никуда не нажал, закрыл приложение).
▪️Два приложения (QR & Barcode Scanner и Network Signal Info) собирали и передавали данные, даже если пользователь явно отказался, нажав на кнопку "нет" или выключив опцию сбора. То есть в интерфейсе написано "Сбор данных отключен, данные не будут передаваться третьим лицам", а по факту трафик идет, все передается.
Vice попросил комментарий у самой компании Huq, а они говорят, что вообще не в курсе, согласился пользователь или нет, - это ответственность разработчиков приложений. При этом недавно они же рассказывали, как ежемесячно тестируют приложения своих клиентов, чтобы убедиться, что те не нарушают условий использования. Разработчики "плохих" приложений просто не отвечают. Исследователи пожаловались в Google, те отвечают, что в курсе и ведут расследование.
Это еще одна история про бизнес-модели бесплатных мобильных приложений в эпоху капитализма, основанного на слежке. "Если ты не платишь, то ты товар".
Ссылки:
[1] https://blog.appcensus.io/2021/10/25/what-the-huq/
[2] https://www.vice.com/en/article/5dgmqz/huq-location-data-opt-out-no-consent
👍1
Мы выложили в Youtube 15-минутный свежий доклад Ивана Бегтина "Слежка за гражданами через мобильные государственные приложения". Если вы интересуетесь темой, рекомендуем читать и смотреть Ивана!
https://www.youtube.com/watch?v=6UeHi2BTjW8
Вот слайды:
https://www.beautiful.ai/player/-MmSXg4uXGoxpIGjBlSc/Slezhka-cherez-gosudarstvennye-mobilnye-prilozheniya
Вот полный текст исследования:
https://privacygosmobapps.infoculture.ru/
https://www.youtube.com/watch?v=6UeHi2BTjW8
Вот слайды:
https://www.beautiful.ai/player/-MmSXg4uXGoxpIGjBlSc/Slezhka-cherez-gosudarstvennye-mobilnye-prilozheniya
Вот полный текст исследования:
https://privacygosmobapps.infoculture.ru/
YouTube
Слежка за гражданами через мобильные государственные приложения / Иван Бегтин
Доклад Ивана Бегтина о слежке через приложения на Евразийском конгрессе по защите данных #EDPC
https://edpc.network
Полный текст исследования:
➡️ https://privacygosmobapps.infoculture.ru
Сайт "Информационной культуры"
➡️ https://www.infoculture.ru
Полная…
https://edpc.network
Полный текст исследования:
➡️ https://privacygosmobapps.infoculture.ru
Сайт "Информационной культуры"
➡️ https://www.infoculture.ru
Полная…
В Великобритании пять крупных сетей супермаркетов начинают тестировать продукт компании Yoti - нейронку, которая по изображению с камеры определяет возраст покупателей на кассе. Это нужно, например, чтобы помочь кассиру принять решение, можно ли продавать алкоголь и сигареты. Нейронку тренировали на возраст от 6 до 60 лет, в среднем ошибка составляет 2.79 лет для всего диапазона и менее 1.5 лет для людей младше 25. Если нейронка считает, что покупатель младше какого-то возраста, взятого с запасом (например, 25 лет), продавец будет по-прежнему просить показать паспорт, как это происходило до сих пор. На младшем возрасте погрешность меньше, потому что систему просто больше тренировали - Yoti видит в распознавании точного возраста подростков больше потенциального спроса. Пишут, что их уже тестируют какие-то игровые сервисы и порносайты, чтобы отсекать пользователей младше 13.
Разработчики говорят, что изображения нигде не хранятся, регистрация в системе от пользователя не требуется, никакой аутентификации или сличения с базой лиц не происходит, то есть распознаванием лиц система не занимается. Из-за этого разработчики утверждают, что система не должна попадать под госрегулирование систем распознавания лиц, потому что это просто нейронка.
Интересно, чем закончится тестирование.
Ссылка: https://www.wired.com/story/ai-predicts-how-old-children-are/
Разработчики говорят, что изображения нигде не хранятся, регистрация в системе от пользователя не требуется, никакой аутентификации или сличения с базой лиц не происходит, то есть распознаванием лиц система не занимается. Из-за этого разработчики утверждают, что система не должна попадать под госрегулирование систем распознавания лиц, потому что это просто нейронка.
Интересно, чем закончится тестирование.
Ссылка: https://www.wired.com/story/ai-predicts-how-old-children-are/
В ЕС скандал - похоже, что кто-то спер приватные ключи, которыми подписывают официальные QR-коды европейских ковидных сертификатов Green Pass, и выложил в тематические Telegram-каналы валидные ковидные сертификаты Гитлера, Микки Мауса, Губки Боба и тд.
Одновременно с этим на подпольных форумах появились предложения об изготовлении польских и швейцарских валидных QR-кодов вакцинации, цены от 250 евро. При этом поддельные валидные сертификаты из Telegram-каналов якобы сделаны в куче разных стран: Франции, Германии, Италии, Нидерландах, Польше и др. То есть непохоже, что утечка приватных ключей касается только одного или двух государств. ЕС уже запустил расследование.
Проблема тут не только в существовании поддельных сертификатов. Какие-то ключи уже отозвали и теперь все настоящие сертификаты, подписанные теми же ключами, по идее должны автоматически "протухнуть". Один итальянский журналист вчера уже написал, что его валидный сертификат перестал работать. Заодно оказалось, что разные приложения для проверки валидности работают по-разному, и например в приложении VerificationC19 "левые" сертификаты уже не распознаются, а швейцарский CovidCheck пока считает, что с ними все нормально.
Похоже, придется заменять ключи и перевыпускать сертификаты. Интересно, как европейцы справятся.
Ссылка: https://www.bleepingcomputer.com/news/security/eu-investigating-leak-of-private-key-used-to-forge-covid-passes/
Одновременно с этим на подпольных форумах появились предложения об изготовлении польских и швейцарских валидных QR-кодов вакцинации, цены от 250 евро. При этом поддельные валидные сертификаты из Telegram-каналов якобы сделаны в куче разных стран: Франции, Германии, Италии, Нидерландах, Польше и др. То есть непохоже, что утечка приватных ключей касается только одного или двух государств. ЕС уже запустил расследование.
Проблема тут не только в существовании поддельных сертификатов. Какие-то ключи уже отозвали и теперь все настоящие сертификаты, подписанные теми же ключами, по идее должны автоматически "протухнуть". Один итальянский журналист вчера уже написал, что его валидный сертификат перестал работать. Заодно оказалось, что разные приложения для проверки валидности работают по-разному, и например в приложении VerificationC19 "левые" сертификаты уже не распознаются, а швейцарский CovidCheck пока считает, что с ними все нормально.
Похоже, придется заменять ключи и перевыпускать сертификаты. Интересно, как европейцы справятся.
Ссылка: https://www.bleepingcomputer.com/news/security/eu-investigating-leak-of-private-key-used-to-forge-covid-passes/
BleepingComputer
EU investigating leak of private key used to forge Covid passes
The private key used to sign EU Digital Covid certificates has been reportedly leaked and is being circulated on messaging apps and forums. The key has also been misused to generate forged certificates, such as those for Adolf Hitler, Mickey Mouse, Sponge…
Forwarded from Roskomsvoboda
Pegasus: как работает и где использовали
Технические специалисты «Роскомсвободы» подробно рассказали о работе шпионского ПО Pegasus от израильской компании NSO Group.
Это ПО удалённо устанавливается на смартфоны и без ведома владельца может собирать данные с его устройства. Его применяли власти как минимум 14 стран для слежки за оппозицией.
Как работает это ПО и можно ли защититься от угрозы – в нашем материале:
➡️ https://roskomsvoboda.org/post/pegasus-nso-group/
Технические специалисты «Роскомсвободы» подробно рассказали о работе шпионского ПО Pegasus от израильской компании NSO Group.
Это ПО удалённо устанавливается на смартфоны и без ведома владельца может собирать данные с его устройства. Его применяли власти как минимум 14 стран для слежки за оппозицией.
Как работает это ПО и можно ли защититься от угрозы – в нашем материале:
➡️ https://roskomsvoboda.org/post/pegasus-nso-group/
Роскомсвобода
Pegasus: как работает и где использовали
В подробностях рассказываем о шпионском ПО компании NSO Group.
Вышел Tor Browser 11.0. В нем окончательно прекращена поддержка старых 16-символьных адресов .onion версии 2 (в текущей версии 3 в адресах всегда 56 символов), случился переход на кодовую базу Firefox 91 ESR c предыдущей версии Firefox 78 ESR, и, соответственно, сильно обновился интерфейс браузера.
Можно считать, что переход на протокол onion третьей версии на этом окончательно завершился. Весь процесс занял 6 лет.
https://www.torproject.org/download/
Можно считать, что переход на протокол onion третьей версии на этом окончательно завершился. Весь процесс занял 6 лет.
https://www.torproject.org/download/
www.torproject.org
The Tor Project | Privacy & Freedom Online
Defend yourself against tracking and surveillance. Circumvent censorship.
Известный ресурс iFixit записал видео о том, что в iPhone 13 при замене экрана не у официалов перестает работать Face ID. В новом поколении iPhone под экраном - совсем мелкий чип, и при замене экрана теперь надо ее "одобрять" в Apple при помощи закрытого софта, который Apple дает только сертифицированным ремонтным центрам. Остается вариант перепаивать старый чип на новый экран под микроскопом, и в этом же видео автор популярного Youtube-канала "Right to repair" (Право на ремонт) объясняет, как это сделать людям с опытом, оборудованием и совсем прямыми руками.
При этом iFixit считает, что реально для работы FaceID этот новый чип не нужен, то есть это то, что называется "антифича". Выглядит так, как будто Apple продолжает бороться с независимым ремонтом.
https://youtu.be/x8bexo6PaM0
При этом iFixit считает, что реально для работы FaceID этот новый чип не нужен, то есть это то, что называется "антифича". Выглядит так, как будто Apple продолжает бороться с независимым ремонтом.
https://youtu.be/x8bexo6PaM0
Мы вчера писали про видео с Youtube-канала iFixit, как при замене экрана iPhone 13 в неофициальном ремонте перестает работать FaceID. Видео получилось шумным, и в ответ компания Apple дала комментарий, что исправит ситуацию "в одном из следующих обновлений". То есть при замене экрана в неофициальных мастерских перепаивать чип под микроскопом не понадобится. В каком обновлении это будет исправлено, они точно не говорят.
Все-таки Apple внимательно относится к тому, что о них пишут.
https://www.theverge.com/2021/11/9/22772433/apple-iphone-13-screen-replacements-face-id-software-update
Все-таки Apple внимательно относится к тому, что о них пишут.
https://www.theverge.com/2021/11/9/22772433/apple-iphone-13-screen-replacements-face-id-software-update
The Verge
Apple backs off of breaking Face ID after DIY iPhone 13 screen replacements
A software update should help make replacements easier.
История века на Пикабу. Рекламный робот Tele2 позвонил на телефон абонента с предложением о переходе на другой тарифный план, трубку снял Тинькоффский голосовой помощник Олег, и, поскольку он использовал слово "хорошо", робот Теле2 понял это как согласие. Абоненту подключили новый тарифный план, пока он спал.
"Полный диалог Олега в текстовой форме не вместился, но при прослушивании записи, последняя фраза там от сотрудника Теле2: "С вашего согласия новый тариф предоставил, он начнет действовать сразу после пополнения счета. Пользуйтесь с удовольствием, до свидания".
https://pikabu.ru/story/tele2_pereklyuchil_na_novyiy_tarif_s_pomoshchyu_assistenta_olega_8591368
"Полный диалог Олега в текстовой форме не вместился, но при прослушивании записи, последняя фраза там от сотрудника Теле2: "С вашего согласия новый тариф предоставил, он начнет действовать сразу после пополнения счета. Пользуйтесь с удовольствием, до свидания".
https://pikabu.ru/story/tele2_pereklyuchil_na_novyiy_tarif_s_pomoshchyu_assistenta_olega_8591368
Цифровые правозащитники EFF опубликовали новое расследование. Дата-брокер Veraset шесть месяцев после начала пандемии COVID в 2020 году бесплатно передавал местным властям округа Колумбия в США данные геолокации сотен тысяч американцев из Вашингтона и окрестностей. Речь идет о данных, которые компания собирает из тысяч мобильных приложений и встроенных в них SDK. Как всегда в подобных историях, данные были "анонимные", то есть там не было ФИО в явном виде. Зато там были уникальные рекламные идентификаторы гаджетов, которые всегда можно связать с ФИО у другого дата-брокера (мы про это пару раз писали в этом канале, например тыц). То есть технически в результате местное правительство округа Колумбия через 24-72 часа имело доступ к данным типа "в каком конкретном месте конкретный Пупкин был 20 августа 2020 года в 20:00".
После шести месяцев бесплатного пробного периода местные власти округа Колумбия решили платную подписку не покупать. Объясняют, что думали на основе этих данных принимать какие-то решения, типа когда начинать и заканчивать карантины, но не получилось.
Это не первая история о том, как дата-брокеры сливают госорганам в США данные, собранные с устройств пользователей, но тут все вместе - в этой истории есть и pdf-ы с техническими подробностями, и COVID, и отдавали бесплатно. Кстати интересно, работают ли все эти крупные международные дата-брокеры, которые собирают данные геолокации через мобильные приложения, с российскими госорганами? Данные по российским пользователям у них точно есть.
https://www.eff.org/deeplinks/2021/11/data-broker-veraset-gave-bulk-device-level-gps-data-dc-government
После шести месяцев бесплатного пробного периода местные власти округа Колумбия решили платную подписку не покупать. Объясняют, что думали на основе этих данных принимать какие-то решения, типа когда начинать и заканчивать карантины, но не получилось.
Это не первая история о том, как дата-брокеры сливают госорганам в США данные, собранные с устройств пользователей, но тут все вместе - в этой истории есть и pdf-ы с техническими подробностями, и COVID, и отдавали бесплатно. Кстати интересно, работают ли все эти крупные международные дата-брокеры, которые собирают данные геолокации через мобильные приложения, с российскими госорганами? Данные по российским пользователям у них точно есть.
https://www.eff.org/deeplinks/2021/11/data-broker-veraset-gave-bulk-device-level-gps-data-dc-government
👍1