Forwarded from Ivan Begtin
Поскольку тема приватности все острее, я буду здесь в канале добавлять ее все больше. Разбавляя публикации про данные, государство и цифровую экономику.
Пока же для тех кто ни на шутку озабочен приватностью в сети - вот несколько ключевых ресурсов.
- Руководство EFF по самозащите от слежки - https://ssd.eff.org/ru
- Как быстро включить TLS/SSL на своем сайте - https://certbot.eff.org/
- Большой каталог инструментов обеспечения приватности - https://prism-break.org/ru/
- Детальное руководство по обеспечению безопасности MacOS для настоящих параноиков - https://github.com/drduh/macOS-Security-and-Privacy-Guide
- Еще один большой каталог инструментов https://privacytoolsio.github.io/privacytools.io
Мой личный выбор:
- не менее 2-х VPN сервисов. Я использую свой сервер с OpenVPN и один из популярных VPN сервисов который заменю на ProtonVPN скорее всего
- для безопасных дисков и файловых контейнеров - Veracrypt
- для почты - ProtonMail для безопасной переписки, GMail для бытовой/рабочей.
- двухфакторная авторизация во всех сервисах. Везде где возможно через приложение для одноразовых паролей
- для хранения паролей - KeePass
- для генерации сложных паролей - StrongPasswordGenerator, LastPass и личный рандомайзер
- для сертификатов серверов - Let's encrypt
И так далее. Могу сказать что я сейчас живу вдали от настоящей паранойи и обеспечиваю лишь тот комфортный уровень безопасности в котором можно обеспечить приватность.
#privacy #vpn #security
Пока же для тех кто ни на шутку озабочен приватностью в сети - вот несколько ключевых ресурсов.
- Руководство EFF по самозащите от слежки - https://ssd.eff.org/ru
- Как быстро включить TLS/SSL на своем сайте - https://certbot.eff.org/
- Большой каталог инструментов обеспечения приватности - https://prism-break.org/ru/
- Детальное руководство по обеспечению безопасности MacOS для настоящих параноиков - https://github.com/drduh/macOS-Security-and-Privacy-Guide
- Еще один большой каталог инструментов https://privacytoolsio.github.io/privacytools.io
Мой личный выбор:
- не менее 2-х VPN сервисов. Я использую свой сервер с OpenVPN и один из популярных VPN сервисов который заменю на ProtonVPN скорее всего
- для безопасных дисков и файловых контейнеров - Veracrypt
- для почты - ProtonMail для безопасной переписки, GMail для бытовой/рабочей.
- двухфакторная авторизация во всех сервисах. Везде где возможно через приложение для одноразовых паролей
- для хранения паролей - KeePass
- для генерации сложных паролей - StrongPasswordGenerator, LastPass и личный рандомайзер
- для сертификатов серверов - Let's encrypt
И так далее. Могу сказать что я сейчас живу вдали от настоящей паранойи и обеспечиваю лишь тот комфортный уровень безопасности в котором можно обеспечить приватность.
#privacy #vpn #security
ssd.eff.org
Главная страница
Мы, сотрудники независимой некоммерческой организации Electronic Frontier Foundation, работаем на протяжении почти тридцати лет в области обеспечения конфиденциальности в сети Интернет. Пособие «Самозащита от слежки» поможет вам и вашим друзьям избежать слежки…
Forwarded from Ivan Begtin (Ivan Begtin)
Для тех кто задумывается о будущем регулирования Интернета в России, вот самый свежий китайский опыт. В Урумчи, столице Синьцзянь-Уйгурского автономного района КНР, власти потребовали от граждан в обязательном порядке установить специальную шпионскую программу на свои телефоны на базе Android. Об этом подробно пишут Mashable [1] и The Next Web [2] со ссылкой на Radio Free Asia [3] (текст на китайском)
Приложение собирает информацию о переписке через чаты Weibo и WeChat, данные Wi-FI подключения, информацию о SIM карте и сканирует файлы в форматах 3GP,AMR,AVI,WEBM,FLV,IVX,M4A,MP3,MP4,MPG,RMVB,RAM,WMA,WMV,TXT,HTML,CHM,PNG,JPG на телефоне пользователя на предмет соответствия их MD5 отпечатков 46 тысячам отпечаткова материалов/документов/видео/аудио признанных террористическими.
Инструкция по инсталляции рассылается через социальную сеть WeChat, пользователи которые не установят приложение или удалят его после установки, могут быть задержаны на 10 суток.
Ранее новость о разработке приложения уже проходила в апреле 2017 года в The Paper [4] (текст на китайском) однако там не было ничего, ни о принципах работы приложения, ни о задержании в случае не установки приложение.
И, вдогонку, в продолжение темы запретов VPN'ов и мессенженров. Ответ на вопросы тех кто задается мыслями о том как государство может помешать использовать зарубежные мессенжеры не имея доступа к телефону. Во первых, может воспользовавшись подходом выше, а во вторых, возвращаясь в 2015 год можно вспомнить что в Китае, в том же Урумчи, тем кто использовал запрещенные сервисы просто отключали телефонную связь, о чем пишут Mashable [5] и NYT [6]
Ссылки:
[1] http://mashable.com/2017/07/21/china-spyware-xinjiang/#VLuEQrOiIOqV
[2] https://thenextweb.com/asia/2017/07/25/chinas-forcing-its-citizens-to-install-a-terrifying-big-brother-app-on-their-phones-or-go-to-jail/
[3] http://www.rfa.org/mandarin/yataibaodao/shaoshuminzu/ql2-07132017112039.html
[4] http://www.thepaper.cn/newsDetail_forward_1672043
[5] http://mashable.com/2015/11/24/china-xinjiang-messaging-whatsapp/
[6] http://www.nytimes.com/2015/11/24/business/international/china-cuts-mobile-service-of-xinjiang-residents-evading-internet-filters.html?_r=0
#privacy #safety #security
Приложение собирает информацию о переписке через чаты Weibo и WeChat, данные Wi-FI подключения, информацию о SIM карте и сканирует файлы в форматах 3GP,AMR,AVI,WEBM,FLV,IVX,M4A,MP3,MP4,MPG,RMVB,RAM,WMA,WMV,TXT,HTML,CHM,PNG,JPG на телефоне пользователя на предмет соответствия их MD5 отпечатков 46 тысячам отпечаткова материалов/документов/видео/аудио признанных террористическими.
Инструкция по инсталляции рассылается через социальную сеть WeChat, пользователи которые не установят приложение или удалят его после установки, могут быть задержаны на 10 суток.
Ранее новость о разработке приложения уже проходила в апреле 2017 года в The Paper [4] (текст на китайском) однако там не было ничего, ни о принципах работы приложения, ни о задержании в случае не установки приложение.
И, вдогонку, в продолжение темы запретов VPN'ов и мессенженров. Ответ на вопросы тех кто задается мыслями о том как государство может помешать использовать зарубежные мессенжеры не имея доступа к телефону. Во первых, может воспользовавшись подходом выше, а во вторых, возвращаясь в 2015 год можно вспомнить что в Китае, в том же Урумчи, тем кто использовал запрещенные сервисы просто отключали телефонную связь, о чем пишут Mashable [5] и NYT [6]
Ссылки:
[1] http://mashable.com/2017/07/21/china-spyware-xinjiang/#VLuEQrOiIOqV
[2] https://thenextweb.com/asia/2017/07/25/chinas-forcing-its-citizens-to-install-a-terrifying-big-brother-app-on-their-phones-or-go-to-jail/
[3] http://www.rfa.org/mandarin/yataibaodao/shaoshuminzu/ql2-07132017112039.html
[4] http://www.thepaper.cn/newsDetail_forward_1672043
[5] http://mashable.com/2015/11/24/china-xinjiang-messaging-whatsapp/
[6] http://www.nytimes.com/2015/11/24/business/international/china-cuts-mobile-service-of-xinjiang-residents-evading-internet-filters.html?_r=0
#privacy #safety #security
Mashable
China forces its Muslim minority to install spyware on their phones
The instruction was sent out to residents in Xinjiang, home to millions of Muslim people.
Forwarded from Ivan Begtin (Ivan Begtin)
В Эстонии маленькая-большая криптокатастрофа
Из за выявленной уязвимости в генераторе случайных чисел библиотеки RSA огромное число систем требуют обновления, а ведь некоторые используются, например, для идентификации граждан. Обо всем этом пишет Arstechnica в статье "Millions of high-security crypto keys crippled by newly discovered flaw" [1] где упоминается и необходимость перевыпуска 750 тысяч идентификационных карточек в Эстонии и другие последствия.
Ссылки:
[1] https://arstechnica.com/information-technology/2017/10/crypto-failure-cripples-millions-of-high-security-keys-750k-estonian-ids/
#privacy #security
Из за выявленной уязвимости в генераторе случайных чисел библиотеки RSA огромное число систем требуют обновления, а ведь некоторые используются, например, для идентификации граждан. Обо всем этом пишет Arstechnica в статье "Millions of high-security crypto keys crippled by newly discovered flaw" [1] где упоминается и необходимость перевыпуска 750 тысяч идентификационных карточек в Эстонии и другие последствия.
Ссылки:
[1] https://arstechnica.com/information-technology/2017/10/crypto-failure-cripples-millions-of-high-security-keys-750k-estonian-ids/
#privacy #security
Ars Technica
Millions of high-security crypto keys crippled by newly discovered flaw
Factorization weakness lets attackers impersonate key holders and decrypt their data.
Forwarded from Ivan Begtin (Ivan Begtin)
Если вам кажется что только в Вашей стране, где бы Вы ни были, всё делают через одно место и это не голова, то это не так. Например, Chaos Computer Club (CCC), старейшая хакерская команда в Германии, пишут о том что германская компания Gematik отвечающая за информатизацию здравоохранения плохо понимают в информационной безопасности того что они делают [1].
Текст на немецком языке, но легко переводится и смысл его в том что по номеру медицинской страховки сотрудник аптеки может получить о человеке всю информацию о его рецептах, без дополнительной авторизации и подтверждения самого человека. Учитывая что в Германии идёт цифровизация здравоохранения с переходом на электронные рецепты - то это становится актуально.
Я бы ещё обратил внимание на модель угроз которую они описывают. Сотрудник аптеки может продать таблоидам номера страховок знаменитостей и те могут узнать из рецептов от чего знаменитости лечатся.
Это не единственный "косяк" от Gematik, но достаточно яркий.
А если вернуться к российским реалиям, то для авторизации на российском портале ЕМИАС [2] достаточно номера карточки медицинского страхования и даты рождения. После этого доступны данные о записях к врачам, рецептам и направлениям (хорошо хоть не самой медкарты).
Это означает что любой врач в системе ОМС имеющий доступ к Вашему анамнезу может увидеть всю эту информацию на сайте ЕМИАС и Вы никогда об этом не узнаете. Но, всё интереснее. В медицинских полисах последние 6 цифр - это и есть дата рождения. Если у кого-то есть номер вашего мед полиса и даже если этот кто-то не знает даты Вашего рождения он/она может получить доступ к этому же личному кабинету.
Страны разные, проблемы похожие.
Ссылки:
[1] https://www.ccc.de/updates/2022/erezept-mangelhaft
[2] https://emias.info/
#security #privacy #germany #russia
Текст на немецком языке, но легко переводится и смысл его в том что по номеру медицинской страховки сотрудник аптеки может получить о человеке всю информацию о его рецептах, без дополнительной авторизации и подтверждения самого человека. Учитывая что в Германии идёт цифровизация здравоохранения с переходом на электронные рецепты - то это становится актуально.
Я бы ещё обратил внимание на модель угроз которую они описывают. Сотрудник аптеки может продать таблоидам номера страховок знаменитостей и те могут узнать из рецептов от чего знаменитости лечатся.
Это не единственный "косяк" от Gematik, но достаточно яркий.
А если вернуться к российским реалиям, то для авторизации на российском портале ЕМИАС [2] достаточно номера карточки медицинского страхования и даты рождения. После этого доступны данные о записях к врачам, рецептам и направлениям (хорошо хоть не самой медкарты).
Это означает что любой врач в системе ОМС имеющий доступ к Вашему анамнезу может увидеть всю эту информацию на сайте ЕМИАС и Вы никогда об этом не узнаете. Но, всё интереснее. В медицинских полисах последние 6 цифр - это и есть дата рождения. Если у кого-то есть номер вашего мед полиса и даже если этот кто-то не знает даты Вашего рождения он/она может получить доступ к этому же личному кабинету.
Страны разные, проблемы похожие.
Ссылки:
[1] https://www.ccc.de/updates/2022/erezept-mangelhaft
[2] https://emias.info/
#security #privacy #germany #russia