Apple выпустила приложение Tracker Detect для Android, которое ищет рядом с телефоном чужие метки Apple AirTag или другие отслеживающие устройства, совместимые с Apple-овским стандартом Find My.

Tracker Detect помогает решить проблему использования меток AirTag для скрытой слежки. Например, эти метки используют угонщики автомобилей - подкладывают в дорогие машины, чтобы выяснить, где их оставят на ночь.

Чтобы минимизировать возможности такой слежки, Apple изначально запрограммировала AirTag пищать через трое суток вдали от "своего" телефона, а в июне уменьшила время до 8-24 часов обновлением прошивки. Кроме этого, AirTag - не анонимны, каждый из них имеет уникальный серийный номер, привязанный к AppleID, но что к чему привязано, нужно запрашивать у Apple. Наконец, телефоны Apple сообщают владельцам о чужих AirTag метках поблизости. Теперь Apple выпустили решение для пользователей Android.

Но, кстати, подобные сторонние приложения существовали и до этого, например AirGuard из Fdroid. Новое приложение - просто официальное.

Ссылки:
https://play.google.com/store/apps/details?id=com.apple.trackerdetect
https://www.schneier.com/blog/archives/2021/12/thieves-using-airtags-to-follow-cars.html
https://www.f-droid.org/packages/de.seemoo.at_tracking_detection/

Мессенджер Signal выпустил обновление, в котором максимальное количество участников групповых аудио- и видеозвонков увеличено с пяти до 40.

В анонсе разработчики подробно описывают, как им удалось запилить поддержку групповых звонков с большим количеством участников и сквозным шифрованием одновременно. Говорят, что решали интересную проблему:

• Если все участники шлют свое аудио и видео каждому другому участнику по отдельности и так же получают (full mesh), то сквозное шифрование есть, но многим участникам будет не хватать пропускной способности - в звонке на 40 человек надо поддерживать 39 соединений.
• Если каждый участник шлет свое аудио и видео на сервер, а сервер "микширует" из этого единственный аудио и видео поток для каждого другого участника, то пропускной способности участникам будет хватать, но нельзя сделать сквозное шифрование - серверу нужны расшифрованные аудио- и видеопотоки каждого участника для микширования.
• Поэтому пришлось выбирать третий вариант: selective forwarding, когда каждый участник шлет свои аудио и видео на сервер, а сервер пересылает их остальным, не расшифровывая (потому что ключей шифрования у него нет). В результате команда Signal выбрала самостоятельно написать такой сервер и выложила код на GitHub.

Signal все-таки молодцы, они очень подробно объясняют, как у них что устроено. В подобных решениях как раз момент со сквозным шифрованием групповых звонков часто остается неясным.

https://signal.org/blog/how-to-build-encrypted-group-calls/

Канадские исследователи Citizen Lab выпустили подробный технический отчет о малвари Predator компании Cytrox - прямом конкуренте Pegasus от NSO Group. Примерно та же история - малварь-как-сервис для удаленного заражения телефонов жертв по заказу госорганов, но на этот раз производитель - в Европе.

Predator нашли на iPhone-ах двух египтян, оба заражения случились в июне этого года, распространяли ее ссылками в Whatsapp, на которые жертве нужно было нажать для заражения (то есть все-таки single click, требует активного действия от жертвы, а не как Pegasus). Версия для Android тоже есть. Исследователи поискали по интернету инфраструктуру малвари и предполагают, что клиенты Cytrox расположены в куче стран, в том числе Армении и Сербии.

Как проверить свои устройства: у Amnesty Tech есть приложение MVT, которое помогает определить заражение Pegasus-ом. И они вчера добавили себе на Github конфигурационные файлы, при помощи которых можно поискать на своих телефонах этот Predator. Только, если что, это не мобильное приложение и придется почитать документацию.

Ссылки:
https://citizenlab.ca/2021/12/pegasus-vs-predator-dissidents-doubly-infected-iphone-reveals-cytrox-mercenary-spyware/
https://docs.mvt.re/en/latest/iocs/

Мониторинговый проект OONI выпустил подробный технический отчет о российских блокировках Tor. Отчет суммирует все, что мы с вами наблюдаем с начала декабря, с красивыми графиками, ссылками на измерения и описанием методологии тестов.

▪️Доступ к сети Tor в России блокируется с 1 декабря.
▪️У OONI есть достаточно измерений из 65 российских автономных сетей (AS). Из них блокировки наблюдаются только в 15 AS, в том числе принадлежащих Tele2, МТС, Вымпелкому, Мегафону, Акадо-телеком, Уфанет, Netbynet и еще парочке (AS48092, AS3216, AS8334, AS8359, AS8402, AS12714, AS12958, AS15493, AS15582, AS15672, AS16345, AS24955, AS25159, AS31133, AS31208).
▪️В одной и той же сети у некоторых пользователей доступ может быть заблокирован, а у других пользователей - нет. Пример такой сети - AS16345 (VEON).
▪️Блокировки могут ненадолго отключаться, например, так было 8 декабря.
▪️Блокировка работает по IP-адресам, причем в некоторых сетях блокируются известные мосты obfs4.
▪️В реестре Роскомнадзора заблокированных сайтов IP-адресов сети Tor нет, поэтому видимо блокировка доступа к сети Tor технически устроена не так, как блокируются сайты из реестра.
▪️Российские провайдеры могут пытаться блокировать встроенный в Tor браузер транспорт для обхода блокировок Snowflake, но разработчики Tor Browser исправят проблему в следующем релизе.

Основная рекомендация - использовать мосты. Если вы все пропустили, официальная инструкция вот, а наша инструкция - здесь.

Ссылки:
https://ooni.org/post/2021-russia-blocks-tor/
https://forum.torproject.net/t/tor-blocked-in-russia-how-to-circumvent-censorship/982
https://xn--r1a.website/rks_tech_talk/323

Проект подписчика нашего канала - конструктор ботов Telegram. Опенсорс, можно разворачивать у себя на сервере, обещают не хранить сообщений и готовы допиливать по запросу под задачи конкретных заказчиков.

@OLGramBot - свободный конструктор ботов обратной связи в Telegram

• Связь с подписчиками ваших телеграм-каналов
• Обработка заявок клиентов в групповых чатах
• Автоответчик на сообщения клиентов ☎️
• Безопасность. Сервера проекта в Германии 🇩🇪
• Открытый код
• Никакой рекламы

Проект особенно пригодится:
• Администраторам телеграм-каналов
• Call-центрам, группам технической поддержки
• Продавцам и всем, кому нужно обрабатывать заявки клиентов в телеграме

Попробуйте: @OlgramBot
Большие информации: https://olgram.readthedocs.io

### реклама на канале ###

Владелец сайта encryptionin.space (это зеркало заблокированного в России сайта torproject.org) 16 декабря получил письмо от Роскомнадзора, а его зеркало было внесено в Реестр запрещенных сайтов и теперь тоже блокируется. Номер судебного решения в реестре - тот же, что и у изначального решения по сайту torproject.org, то есть этим решением будут блокировать зеркала.

До этого хозяин зеркала анонсировал его в ветке об обходе блокировки сайта torproject.org на форуме Tor Project (который на другом домене и поэтому в России не блокируется). По всей видимости, кто-то в Роскомнадзоре эту ветку читает. Теперь этот же человек анонсировал в ветке следующий набор рабочих зеркал, посмотрим, насколько долго проживут.

www.torproject.org > tor.invidious.site
support.torproject.org > support.tor.invidious.site
tb-manual.torproject.org > tb-manual.tor.invidious.site
gettor.torproject.org > gettor.tor.invidious.site
community.torproject.org > community.tor.invidious.site
blog.torproject.org > blog.tor.invidious.site
2019.www.torproject.org > 2019.tor.invidious.site

И понятно, что у него там просто обратный прокси, который перенаправляет запросы на заблокированный в России сайт. Но с этими меняющимися зеркалами как минимум проверять цифровые подписи скачанного исполняемого файла опять становится 100% обязательным. Если вы не в теме - самое время разобраться.

Ссылки:
https://reestr.rublacklist.net/search/?q=encryptionin.space
https://forum.torproject.net/t/tor-blocked-in-russia-how-to-circumvent-censorship/982/10
https://support.tor.invidious.site/ru/tbb/how-to-verify-signature/

До 30 декабря меняются правила использования Google Диска (который Drive). Google будет автоматически искать в аккаунтах файлы, которые нарушают политику использования, уведомлять об этом хозяина файлов и совершать одно из трех действий:

1. убирать с файлов возможность расшаривания и ставить на них метку в интерфейсе, но не удалять сами файлы.
2. удалять файлы.
3. аннулировать аккаунт, где хранятся файлы.

В анонсе пишут, что это шаг против размещения в Google Диске малвари и файлов, которые используются для фишинга, а также файлов, где содержится сексуально откровенный контент, язык вражды, и потенциально вредных для детей. Про пиратский контент ничего не пишут. Обещают, что будут делать исключения "по соображениям искусства, образования, документалистики или науки" и что решения можно будет обжаловать.

Анонс вызывает много вопросов. Например, это вообще нейронка будет перебирать все файлы или будут сравнивать хеши с известными базами, как это собирался делать Apple? И как будет происходить обжалование, модераторы будут сидеть и как-то отличать хороший "сексуально откровенный контент" от плохого? И можно ли пользователям будет хранить в Google Диске личные нюдсы, ведь многие синхронизируют свои фото с телефонов Android в Google Диск?

Редакция Techradar пыталась задавать в Google эти вопросы, но получила дежурный ответ, типа "мы постоянно прилагаем усилия для безопасности с сохранением приватности, максимальная безопасность для всех пользователей".

Но без всех этих подробностей непохоже на систему, в которой сохраняется приватность пользователей.

Ссылки:
https://workspaceupdates.googleblog.com/2021/12/abuse-notification-emails-google-drive.html
https://www.techradar.com/news/google-drive-could-soon-start-locking-your-personal-files
https://support.google.com/docs/answer/2463328

В 2022 году на Госуслугах/ЕСИА включат обязательную двухфакторную аутентификацию. Наверное, работать будет по-прежнему через смс, судя по тому, что 21 декабря Госдума приняла во втором чтении поправки, что такие смс от Госуслуг должны быть бесплатными. Пока у 90% пользователей Госуслуг второй фактор не подключен.

Отличная новость. Понятно, что у нас всех двухфакторная уже включена, но родственникам может понадобиться ваша помощь с ее настройкой, а то когда еще включат обязательную. Это раздел "Профиль - Безопасность - Вход с подтверждением по СМС".

https://iz.ru/1267696/anna-kaledina/na-kod-vpered-na-gosuslugakh-gotoviat-prinuditelnuiu-dvukhfaktornuiu-avtorizatciiu

Сегодня, похоже, день новостей про двухфакторную аутентификацию. VK анонсировал сервис VK Protect.

* Во всех сервисах экосистемы (вот список) появляется аутентификация через VK ID и опциональная двухфакторная.
* С февраля 2022 года для администраторов сообществ "ВКонтакте" с более чем 10 тыс. подписчиков двухфакторная станет обязательной.

Ну что, индустрия явно двигается в сторону обязательной двухфакторной.

https://vk.com/press/vk-protect

В последнем IOS 15.2 (а также iPadOS 15.2 и macOS 12.1) все-таки вышла новая функция "Родительского контроля", касающаяся отправки и получения детскими аккаунтами интимных фото через iMessage. По умолчанию она отключена, но если родитель ее включает, то ребенку такая фотография при получении показывается размытой, и нужно согласиться с предупреждением, чтобы ее посмотреть. Аналогично, при отправке интимного фото нужно согласиться с дополнительным предупреждением. Технология определения нюдсов отрабатывает локально на устройстве и ничего никуда не передает.

Когда в Apple изначально анонсировали эту функцию, то писали, что для пользователей младше 13 лет для просмотра интимных фото нужно будет согласиться, что копия уйдет родителям. В IOS 15.2 обязательного копирования родителям нет.

Кстати, непонятно, доступна ли эта функция пользователям IOS в России - ее просто нет в русском варианте анонса. Значит ли это, что у IOS разный функционал в разных странах?

https://support.apple.com/en-us/HT212788
https://support.apple.com/ru-ru/HT212788

Помните историю, как израильская компания NSO Group продавала услуги взлома телефонов, когда среди жертв были министры, правозащитники и личные враги арабских шейхов? Там фигурировал взлом айфонов через уязвимость в сообщениях.

Достаточно знать номер жертвы и все — получаешь полный удаленный контроль над телефоном.

Google project zero опубликовал технический анализ этого взлома.

Процитирую резюме из вот этого краткого пересказа: вам приходит гифка, которая на самом деле пдфка, и ее по ошибке не копируют, а пытаются прочитать; в ней доисторическая картинка в формате ксероксов, которая в результате [ошибки] целочисленного переполнения может писать в память, и внутри этой "картинки" семьдесят тысяч блоков логических операций, которые эмулируют небольшой компьютер, который уже находит то место в памяти, которое нужно изменить, чтобы убежать из песочницы [получить полный контроль над телефоном].

Автор вспоминает корабли в бутылке, а у меня в ушах звучит вот эта ирландская песня.

Технически это шедевр, а использовали его для слежки, пыток и убийств.

Помните ноябрьскую историю, как при неофициальной замене экрана у iPhone 13 переставал работать Face ID и Apple обещал, что исправит в будущем обновлении? Вчера ресурс iFixit убедился, что в обновлении IOS 15.2 проблему наконец исправили, теперь Face ID после замены экрана работает.

Для эксперимента они пересадили с одного iPhone 13 Pro Max на другой камеру, батарейку и экран. При этом в настройках в пункте "Настройки - Об этом устройстве - История замены запасных частей и обслуживания iPhone" появилась информация о неизвестных запчастях, а также исчезла функция автоматической калибровки цветовой температуры True Tone и информация об износе аккумулятора в разделе Battery Health. В остальном все работает. За работающий Face ID iFixit добавил линейке iPhone 13 один балл в рейтинге ремонтопригодности, было 5 из 10, стало 6.

Выходит, Apple действительно прислушивается к шумной критике.

Ссылки:
https://www.ifixit.com/News/56386/ios-15-2-fixes-iphone-13s-face-id-repair-trap-and-improves-its-repair-score
https://support.apple.com/ru-ru/HT212878

Роскомнадзор заблокировал сайт правозащитного проекта ОВД-Инфо ovdinfo.org по решению Луховицкого районного суда Московской области.

https://xn--r1a.website/ovdinfo/12696

В пятницу 24 декабря российские пользователи Tor стали сообщать, что у них перестали работать некоторые мосты, которые до этого работали. То есть похоже, мосты потихоньку блокируют.

Разработчики рекомендуют пользователям, которых это коснулось, запрашивать новые мосты
• в настройках Tor Browser "Настройки - Tor - Мосты - Использовать мост - Запросить мост у Torproject.org"
• через https://bridges.torproject.org/
• по имейлу bridges@torproject.org
• или через Telegram-бота @GetBridgesBot.

https://gitlab.torproject.org/tpo/community/support/-/issues/40050#note_2768029

Вышла новая версия известного Windows приложения для обхода блокировок - Goodbye DPI v0.1.8 от ValdikSS. Это не VPN и не прокси, а совсем другая магия:

"Она умеет блокировать пакеты с перенаправлением от пассивного DPI, заменять Host на hoSt, удалять пробел между двоеточием и значением хоста в заголовке Host, «фрагментировать» HTTP и HTTPS-пакеты (устанавливать TCP Window Size), и добавлять дополнительный пробел между HTTP-методом и путем. Преимущество этого метода обхода в том, что он полностью автономный: нет внешних серверов, которые могут заблокировать" (из старого анонса на Хабре).

Новая версия приложения и список изменений: https://github.com/ValdikSS/GoodbyeDPI/releases
Как установить и конфигурировать: https://github.com/ValdikSS/GoodbyeDPI
Описание принципа работы приложения на Хабре: https://habr.com/ru/post/335436/
Форум поддержки: https://ntc.party/c/community-software/goodbyedpi/8

Что-то интересное уже пару дней происходит с облачным менеджером паролей Lastpass. Пользователи жалуются на форумах (например, Hacker News), что кто-то заходит или пытается зайти в их аккаунты с бразильских IP-адресов с правильными паролями.

Lastpass прокомментировал, что это credential stuffing, в смысле атакующие берут пары имейл-пароль из известных утечек и пытаются логиниться ими в аккаунты Lastpass, и иногда успешно. Если это правда, то это чистое безумие. То есть живет себе пользователь и пользуется одним и тем же паролем везде. Ему говорят, переходи на менеджер паролей а то безопасность. И он такой, ага, отлично, и ставит свой старый пароль от всех аккаунтов еще и мастер-паролем от облачного менеджера паролей.

Правда, одновременно с этим исследователи, которые сейчас ковыряют логи малвари Redline Stealer, ворующей пароли из браузеров, говорят, что в этих логах - тысячи паролей от Lastpass. Совпадение?)))

https://news.ycombinator.com/item?id=29705957
https://twitter.com/MayhemDayOne/status/1475897344537374722

Новая история на Хабре про инцидент с аккаунтом Telegram.

У пользователя из Беларуси прошел обыск, он разблокировал свой iPhone сотрудникам МВД, но "облачный пароль" (второй фактор защиты) не отдавал и на устройстве он записан не был. Каким-то образом сотрудники МВД подключили в аккаунт новое устройство, имея доступ к активной сессии, но не зная "облачного пароля". Позже пользователь сменил облачный пароль и попытался выкинуть из аккаунта "чужие" сессии, но в результате выкидывало его самого. Связаться с поддержкой Telegram не удалось, но удалось удалить аккаунт.

Вопрос, который задает пользователь - как можно подключить в Telegram новое устройство, не зная облачного пароля? Самое логичное предположение в комментах: при настройке "облачного пароля" в аккаунте Telegram пользователь дополнительно указал адрес имейл для восстановления, на iPhone был доступ к этому имейлу.

А какие еще есть варианты?

https://habr.com/ru/post/598939/

За последнюю неделю вышло еще два обновления Goodbye DPI - свободного приложения для Windows для обхода блокировок. Текущая версия - 0.2.1.

Принцип работы описан здесь. Если не хотите долго разбираться с опциями, для обхода блокировок российским пользователям рекомендуется запускать скрипт 1_russia_blacklist_dnsredir.cmd, а пользователям в остальных странах - 2_any_country_dnsredir.cmd. Если у вас что-то не заработает или будут вопросы или предложения разработчику, он активно отвечает у себя на форуме поддержки.

Ссылки:
https://github.com/ValdikSS/GoodbyeDPI/releases
https://ntc.party/c/community-software/goodbyedpi/8

⚡️ Фиксируем полное отключение интернета в Алма-Ате, Казахстан.
Интернет отключили около 30 минут назад.
В том числе не работает интернет у проводных операторов.

Там проходят протесты против повышения цен на газ.

Из Казахстана приходят сообщения о блокировках мессенджеров Whatsapp, Signal, FB Messenger, Telegram. Здесь пишут, что вообще не работает мобильный интернет в сетях Altel, Beeline, Tele2, Activ.

А в популярном казахстанском ИБ-шном чате https://xn--r1a.website/cyberseckz айтишники обсуждают, что перестали работать некоторые популярные VPN-провайдеры, но что-то работает, поэтому люди перебирают варианты. Там же есть отчеты о том, что на зарубежные сервера не коннектятся корпоративные Cisco VPN, и личные VPN по Wireguard. Много жалоб, что не работает OpenVPN.

То есть в Казахстане блокируют и сам мобильный интернет, и мессенджеры и средства обхода блокировок. Судя по отзывам похоже, что мессенджеры блокируют для всех одинаково, а вот с мобильным интернетом и VPN блокировки работают по-разному в разных городах и у разных провайдеров.

https://xn--r1a.website/BannedInKazakhstan/321
https://ntc.party/t/mobile-network-shutdown-all-around-kazakhstan/1601
https://xn--r1a.website/cyberseckz