Сегодня в Китае заблокированы сайты крупных криптовалютных бирж Binance.com, Huobi.com и Okex.com. У Binance также перестало работать мобильное приложение. И кстати, ровно месяц назад любые упоминания этих бирж исчезли из китайских поисковых систем Baidu и Sogou и социальных сетей. Не любит китайское государство криптобиржи.

До конца сентября Mozilla собирается предложить всем пользователям Firefox в Канаде включить DNS-поверх-HTTPS (DoH), то есть шифровать весь DNS трафик в Firefox. Канада - вторая страна, в которой Firefox предлагает всем пользователям включать DoH, в прошлом году Mozilla то же самое сделала в США. У Mozilla есть собственный список доверенных DNS-серверов, которые поддерживают DoH, и теперь в их число входит канадская CIRA.

Какую проблему они вообще решают? DNS - это старая технология, в которой запросы и ответы не зашифрованы, а поэтому маршрутизаторы между пользователем и доверенным DNS-сервером могут следить за пользовательскими запросами, блокировать их или модифицировать. Это - известный способ интернет-цензуры, он, к примеру, активно используется в Китае. Так вот DoH - это способ решения этой проблемы на уровне браузера.

Поддержка этой технологии уже давно есть во всех основных браузерах, но она, как правило, отключена. К примеру, будет ли DoH работать в Chrome с настройками по умолчанию, зависит от того, поддерживает ли эту технологию используемый в системе DNS-сервер. Конечно, DNS-через-HTTPS можно включить руками, но такое делаем только мы с вами, а остальным пользователям лень разбираться и менять настройки. Вот для них Mozilla и старается. Как обычно, безопасность приложения определяется его настройками по умолчанию.

Если вы еще не ковырялись с DoH, вот как он включается в Firefox и Chrome. И есть онлайн-тестилки, например у Cisco.

Защищенный сервис электронной почты Tutanota жалуется на Google. Имейлы от платных пользователей Tutanota на Gmail не доходят, если в теле сообщения есть ссылка на https://tutanota.com. У бесплатных аккаунтов такой проблемы нет. Наверное, косяк конфигурации спам-фильтров, но выглядит некрасиво.

На Медузе вышло интервью Евгения Антипова, создателя "Глаза Бога" - канала и бота, предлагающего услуги "пробива". "Глаз Бога" удалили из Telegram 2 июля по решению суда, но проект запустил кучу клонов. Теперь Антипов обещает публиковать компромат на Telegram: "все, что у меня на них есть — а есть у меня сильно много — вылить в сеть. Все их сообщения, все голосовые, где они рассказывают, как сливают информацию всем подряд. И про коррупцию в Telegram, и про их связь с РКН — все-все абсолютно."

И вот еще интересная цитата: "После обыска [в апреле 2021 года] меня отвезли на разговор в Следственный комитет. И я услышал там от их сотрудников, которые в праве шарят: «Когда нужно узнать, кто кого ищет в боте, мы запрашиваем не вас, а Telegram: у нас к ним больше доверия. Вы-то можете что-то подмешать к ответу на запрос, загрязнить данные — а они так не будут делать: там люди с репутацией сидят. В Telegram мы возьмем все, что нужно, от и до»."

А еще Антипов рассказывает, что "Глаз Бога" сохраняет и анализирует, кто кого "пробивает", например, кого и когда ищут сотрудники спецслужб и журналисты: "Журналисты ... мы раздали им подписки, чтобы они подсели на «Глаз Бога» — и поставили все их запросы на монитор. И теперь можно смотреть, кто какие запросы сейчас делает: о ком ищут информацию."

В общем, однозначно надо читать целиком, очень много любопытных заявлений.

Перестал реcолвиться домен pikabu.ru, возвращает статус "Не делегирован". Что случилось, пока неизвестно, в реестре запрещенных сайтов их нет.
UPD: Починили!

На vc.ru обсуждают вчерашнюю историю. Человеку звонит "Служба безопасности Сбербанка", а дальше следим за руками: "Во время общения с "младшим сотрудником", "старший" звонит на номер 900 подставляя на исходящий мой номер. Там робот предлагает продиктовать мне остаток по картам, просит назвать номер, если назвать номер наугад, то робот дружелюбно сообщает что такой карты нет, и называет номера всех действующих карт (Сбер,это реально круто, спасибо). Далее называешь номер любой из карт, и он сообщает тебе остаток."

И оно реально так и работает, достаточно позвонить с правильного номера, чтобы получить у робота информацию по остаткам и последние четыре цифры номера карты. Никакая другая авторизация не нужна, можете сами проверить. А подделать исходящий номер - решаемая задача.

Получается, что последние четыре цифры номера карты Сбербанка и остаток на счету - это информация, доступная технически грамотным мошенникам. Учитывайте это, когда будете принимать входящие звонки.

На Кубе протесты, поэтому там отрубали интернет, а теперь блокируют Telegram, Whatsapp Signal, Facebook и Instagram. При этом VPN работает.

Местные айтишники в соцсетях рассказывают про децентрализованные мессенджеры Briar и Matrix, причем Briar даже специально разрабатывался для подобных ситуаций и хорошо работает без интернета. А обычные пользователи пока в основном пишут, что пользуются VPN: установить и включить его - проще и удобнее, чем договариваться с контактами о смене мессенджера.

Админ Пикабу рассказывает историю про утреннее разделегирование.

• 5 июля регистратор Reg.ru просит админа Пикабу актуализировать паспортные данные. Админ по имейлу отвечает, что паспортные данные не менялись, и уезжает в отпуск.
• 8 июля Reg.ru присылает следующий имейл, что при непредоставлении паспортных данных разделегирует домен. Админ в отпуске и не видит этого имейла.
• 13 июля в два часа ночи Reg.ru разделегирует домен, админ понимает это в пять утра и с пяти до десяти утра через поддержку возвращает делегирование.

В посте голосование, кто из них достоин быть принятым в лигу тупых, админ или reg.ru. Большинство ответивших считают, что оба.

Вышла новая версия специализированного дистрибутива Tails 4.20. Tails - это известный liveusb, заточенный под использование Tor. Помимо обновлений версий пакетов, основное нововведение в новой версии - это мастер настройки Tor Connection Assistant, который на старте предлагает пользователю выбрать, соединяться с Tor "автоматически" (обычно) или через obfs4 мост. Называется эта опция "прятать от моей локальной сети, что я пользуюсь Tor (более безопасно)". Чтобы использовать мосты, пользователю нужно вводить их руками, и мастер предлагает отправить имейл на bridges@torproject.org. В будущем мастер настройки обещают допиливать, чтобы система запоминала мосты между перезагрузками, пока этого нет.

В общем, в этой версии работу с obfs4 мостами просто сделали немного удобнее. И теперь там Tor Browser 10.5.2 с поддержкой нового типа бриджей Snowflake, про который мы недавно писали. Snowflake позволяет пользователям, у которых Tor заблокирован, соединяться с сетью Tor через компьютеры волонтеров.

ЦОДД (Центр организации дорожного движения) запустил тепловую карту поездок по Москве на такси. Операторы в реальном времени передают обезличенные данные о поездках в ГИС ЕРНИС, и потом данные появляются на этой карте на следующий день, сегодня посмотреть нельзя. При выборе отдельных элементов карта показывает по ним статистику. Можно посмотреть, куда уезжали из сегмента и откуда приезжали. Очень впечатляет.

The Telegraph рассказывает, как сотрудники Facebook следили за пользователями в личных целях: читали их переписку в мессенджерах и отслеживали геолокацию. Эта публикация - отрывок из новой книги-расследования под названием "Ugly Truth: Inside Facebook’s Battle for Domination" ("Уродливая правда: внутри битвы Facebook за господство").

Всего с начала 2014 по август 2015 года Facebook уволил 52 человека за использование служебного положения для слежки за пользователями. Большинство из уволенных - мужчины-инженеры, которые шпионили за женщинами. В материале приводится несколько типичных историй: инженер читает переписку женщины, с которой он сходил на свидание, а она перестала отвечать ему в чате; другой инженер читает закрытую информацию из профиля женщины перед первым свиданием; еще один поехал с женщиной в путешествие, они поссорились и она переехала в другой отель, а он ее там нашел по геолокации. И так далее. Внутренние системы Facebook были слабо защищены от слежки за пользователями со стороны сотрудников до того, как компания наняла известного безопасника Алекса Стамоса в 2015 году на роль директора по безопасности. Стамос стал публично говорить об этой проблеме и пытаться защитить данные пользователей от сотрудников.

Вот для этого и придумали e2ee (end-to-end encryption, оконечное шифрование). Если его нет, то гораздо выше вероятность, что какие-нибудь мудаки-сотрудники будут тихо шпионить за пользователями в личных целях или продавать эту информацию какой-нибудь Саудовской Аравии (как в прошлогодней истории про Twitter).

Известный провайдер бесплатного VPN Psiphon показывает статистику использования на Кубе, где сейчас блокируют мессенджеры и соцсети, но работает VPN. Около 700 тысяч новых пользователей за несколько дней!

Psiphon - это канадская компания, которая отличается от большинства других бесплатных провайдеров VPN бизнес-моделью. Она не торгует данными пользователей (хотя может делиться статистикой со спонсорами и исследователями), а в основном собирает спонсорские деньги на то, чтобы предоставлять бесплатный VPN в ситуациях вроде кубинской. Их часто рекомендуют тем, кому нужен "какой-нибудь бесплатный VPN".

Сайт Psiphon.ca давно занесен в российский реестр запрещенных сайтов, но сам VPN в России работает. И если послать имейл с любым текстом на get@psiphon3.com, то робот присылает в ответ приложения для Windows и Android аттачментами и прямые ссылки на скачивание приложений с серверов Amazon.

Вчера Whatsapp запустил бета-версию с поддержкой пяти устройств в одном аккаунте. Раньше один телефон с аккаунтом Whatsapp подключался к сети Whatsapp, а уже к телефону можно было подключить один компьютер, который фактически был просто отдельным устройством ввода-вывода для телефона.

Во вчерашней бете разработчики добавили поддержку максимум четырех "несмартфонов", и все они - независимые устройства, которые соединены с инфраструктурой Whatsapp напрямую. На всех подключенных устройствах работают голосовые и видео звонки. При этом Facebook обещает, что оконечное (e2e) шифрование сохранилось и даже объясняет, как это реализовано. В интерфейсе по прежнему видны пользователи, а не их устройства, но "под капотом" разработчики разделили сущности "аккаунт" и "устройство в аккаунте", и теперь отправитель зашифровывает каждое сообщение ключами всех устройств, привязанных к аккаунту получателя. Если вас интересуют дополнительные технические подробности - читайте анонс.

То, что делает Whatsapp, это стандартное решение проблемы "как поженить оконечное шифрование и поддержку нескольких устройств". У этого решения есть стандартное слабое место: если отправитель не знает, какими ключами шифровать и спрашивает сервер, то сервер может в ответ в своих интересах дать не только "хорошие" ключи, а еще и "плохие". Кто-то из американских спецслужб такое публично предлагал Apple по поводу iMessage: "Давайте вы оставите свое оконечное шифрование, а просто будете все (или некоторые) сообщения в сети шифровать дополнительно и нашим ключом тоже".

Но в целом поддержка нескольких устройств - хорошая новость, и теперь ее можно реально попробовать.

История про поддельные письма с требованиями от поддельных правообладателей.

На Reddit есть такой бот, SaveVideo, он сохраняет видео в файлы. На днях владелец объявил о закрытии бота и связанного с ним сайта RedditSave.com, потому что получил от администрации Reddit письмо с угрозой судебного разбирательства. Письмо длинное, убедительное (pdf в материале по ссылке), и вообще, сейчас правообладатели щемят подобные сервисы, так что владелец не удивился. Тут появляется администрация Reddit и говорит, что они никакого письма не посылали, и это подделка.

После этого журналист Torrentfreak решил дополнительно пройтись по базе Lumen, куда попадают официальные жалобы в адрес соцсетей и поисковиков. Он нашел там еще несколько требованиий выкинуть RedditSave из поисковой выдачи Googlе, отправленных от имени Reddit на этой неделе. И заодно он нашел жалобу в адрес Google с требованием выкинуть из результатов поиска еще 29 сайтов, которые умеют сохранять видео с Reddit. Reddit в ответ заявляет, что это - тоже подделка, кто-то ими притворяется. Google пока ссылки не блокирует, может разобрались, что жалобы фейковые, может статью на Torrentfreak прочитали, а может просто времени слишком мало прошло.

В общем, если бы не поднялся шум, хозяин RedditSave бы сам навсегда выключил и бот и сайт, иногда для этого достаточно просто убедительного имейла. Непубличность списков блокировки - потенциальная дыра, которую могут использовать мошенники.

Vice пишет про дата-брокеров, продающих привязку "анонимных" рекламных идентификаторов устройств к персональным данным. Журналисты переписывались с дата-брокером BIGDBM под видом потенциальных покупателей, и выяснили, что по рекламному идентификатору устройства можно получить "имя, фамилию, адрес, номер телефона, привязанные имейлы, данные о собственности" и так далее.

В общем, такой "пробив" на максималках. Вначале приложения собирают анонимные данные пользователей, а потом эти данные можно деанонимизировать в другом месте. Например, Vice писал про напоминалку о молитве для мусульман Salaat First с 10 миллионами скачиваний в Play Store, которая продавала дата-брокерам данные геолокации пользователей, но там нет персональных данных, только обезличенные идентификаторы!

Рекламные идентификаторы - это IFDA на устройствах Apple и AAID от Google, уникальные номера девайсов, которые используются для таргетированной рекламы и аналитики. Начиная с версии IOS 14.5, которая вышла в апреле, IFDA в IOS доступен приложениям только с явного разрешения пользователя и в среднем около 90% пользователей Apple отказываются.

Google собирается внедрить отдельное разрешение для передачи рекламного идентификатора приложениям только в 2022 году, но уже в конце этого года обещают, что если выключить персонализацию рекламы, ID поменяется на нули. Пока не сделали, ждем.

Крупные мировые СМИ скоординированно публикуют (1,2) результаты утечки данных израильской компании NSO Group, разработчика малвари Pegasus, которую израильтяне продают государствам. У NSO утек список 50 тысяч номеров телефонов людей, которых их "клиенты" заражали этой малварью. Исследователи Amnesty International получили доступ к 67 смартфонам из этого списка и действительно нашли на 37 из них Pegasus или его следы. В списке целей малвари - журналисты, правозащитники, бизнесмены и госслужащие, в том числе министры, дипломаты, и даже главы государств. NSO Group не продает малварь в Россию, но в списке стран-клиентов есть Казахстан и Азербайджан.

Пока что все телефоны, на которых обнаружили Pegasus - это iPhone, просто потому, что под эту платформу заточена текущая методология исследования Amnesty International. Это не значит, что Android надежнее или что его не ломают, просто iPhone удобнее анализировать. Самый свежий IOS 14.6 Pegasus ломает.

Атаки могут выглядеть как ссылки через sms, Whatsapp и iMessage, на которые жертва должна нажать, но в последнее время Pegasus также стал также использовать уязвимости zero-click, то есть не требующие от пользователя никаких действий для заражения. После заражения малварь получает доступ ко всему содержимому телефона, в том числе камере, микрофону, данным геолокации, логу звонков и мессенджерам. Исторически так уже случалось, что когда производитель закрывал уязвимость, которую использовал Pegasus, NSO тут же выкатывала обновление продукта с изменением технологии атаки. Конечный пользователь никак не может защититься от такой атаки, никакое шифрование, VPN или защищенные мессенджеры тут не помогают.

В общем, компания NSO скупает уязвимости нулевого дня (zero-day), и делает на их основе крутой продукт для удаленного взлома и слежки за пользователями через смартфоны. Потом она продает этот продукт в 40 одобренных стран, которые обещают, что будут использовать его только для борьбы с преступностью и терроризмом, а потом страны-клиенты NSO используют Pegasus и для решения других задач. Причем NSO - далеко не единственный поставщик таких решений, и в результате утечки мы скорее начинаем лучше понимать масштаб происходящего, и как устроен сам этот рынок.

Как теперь продолжать доверять своему смартфону?

В продолжение предыдущего поста: после выхода утечки NSO директор Whatsapp сразу напомнил, что два года назад его компания воевала с NSO по поводу Pegasus. Действительно, в 2019 году Whatsapp обнаружил, что NSO Group заражала смартфоны клиентов своей малварью через уязвимость в функции видеозвонков, исправил уязвимость, опубликовал информацию в крупных СМИ и даже подал на NSO Group в американский суд. Тогда NSO заявил, что никого не атакует и за атаки не отвечает, а только инструмент продает.

Это такая гонка вооружений: NSO и подобные компании скупают (или ищут сами) и используют уязвимости нулевого дня и зарабатывают на этом, производители типа Apple и Whatsapp их исправляют в новых версиях, и так до бесконечности. И продолжаться это будет тех пор, пока атаковать - выгоднее, чем защищаться, так работает экономика безопасности.

Продолжение истории про вредоносное ПО NSO Group. Большинство уже исследованных телефонов, (13 из 23 подтвержденных заражений и еще 6 из 11 гаджетов со следами атаки) взломали именно через уязвимости в iMessage. Последние заражения происходили без участия пользователя, на новых моделях iPhone c последней прошивкой IOS14.6. Журналисты приводят совсем свежую историю живущей во Франции жены марокканского диссидента, которой таким способом взломали iPhone 11, она дала об этом интервью исследователям, а потом попросила у знакомых во временное пользование другой iPhone, и ей сразу удаленно взломали и его.

Комментаторы советуют пользователям отключать iMessage (в IOS "Настройки-Сообщения-iMessage"), но это поможет только от новых заражений через этот мессенджер, а уже зараженные устройства такими и останутся. Amnesty International выпустил технический документ для компьютерных криминалистов, позволяющий найти Pegasus на устройствах с IOS, но для обычных пользователей он слишком сложный.

А кроме этого, Amazon Web Services сегодня объявил, что после выхода расследования отключил аккаунты и инфраструктуру, связанную с NSO Group. Это важно, потому что Pegasus - не коробочный продукт, который производитель отдает клиентам, и те уже отдельно разворачивают его на своих серверах. Это именно Saas, ПО как услуга: софт и инфраструктуру, которую используют клиенты Pegasus, поддерживает сама израильская компания. Исследователь, знакомый с устройством основного конкурента и аналога NSO Pegasus - продукта Hacking Team Galileo, прокомментировал, что у государственных клиентов нет технических навыков обслуживать такие сложные системы самостоятельно, это делает за них производитель. Поэтому, когда израильская компания заявляет, что она не имеет отношения к действиям клиентов с использованием Pegasus, она просто предпочитает не смотреть в ту сторону.

Продолжает развиваться скандал со шпионским ПО NSO Group Pegasus. Пока журналисты публикуют истории про новых жертв, Amnesty International опубликовала у себя на github список 1400 доменов, связанных с Pegasus. Теперь системные администраторы могут блокировать эти домены на собственном сетевом оборудовании.

А публичный DNS-сервер NextDNS уже объявил, что блокирует эти домены для всех своих пользователей. NextDNS - это публичный DNS-провайдер с дополнительными наворотами типа блокирования известных фишинговых сайтов, трекеров, рекламы и подобных вещей. Требует регистрации, 300 000 запросов в месяц бесплатно, а потом либо все навороты отключаются и он до конца месяца становится просто публичным ресолвером (как 8.8.8.8 от Google или 1.1.1.1 от Cloudflare), либо 149 рублей в месяц. В общем, постепенно появляются возможности блокировать сервера, связанные с NSO Group.

А тем временем TechCrunch публикует инструкцию, как обнаружить малварь Pegasus на самих устройствах. Нужен набор утилит Mobile Verification Toolkit, конфигурация из github Amnesty International и опытный айтишник. Обычные пользователи такое не потянут, но уже можно хотя бы попросить помощи у айтишников.

Кстати, загрузили вчера Censor Tracker на ProductHunt. Это наш плагин для браузера, который не только позволяет обходить блокировки, но и помогает выявить то, что блокируется ТСПУ по "суверенному рунету".

У кого там есть аккаунт будем рады апвоту!

Работает сейчас и для Firefox и для Chrome.
С багрепортами и тестами будем рады видеть вас в этой группе!

Поисковая система DuckDuckGo объявила о запуске тестирования функции "Защита Email". Это их сервис пересылки электронной почты с очисткой писем от трекинга, аналог Firefox Relay, Simplelogin.io и грядущей Apple-овской функции Hide My Email.

Пользователи DuckDuckGo получат бесплатный постоянный адрес для пересылки в домене @duck.com и смогут генерировать временные адреса для форвардинга подписок в мобильных приложениях и браузерных расширениях DuckDuckGo. При пересылке система будет автоматически вырезать весь трекинг из писем. В анонсе написано, что трекинговые элементы встроены примерно в 70% сообщений электронной почты.

Чтобы принять участие в тестировании, нужно встать в очередь в мобильных приложениях в разделе "Настройки-Email protection".