Безопасники криптовалютной биржи Kraken выложили ролик о том, как супер-дешево копировать отпечатки пальцев для разблокировки устройств. Посмотрите видео, там ровно минута: они фотографируют реальный отпечаток с ровной поверхности, инвертируют цвета и чистят снимок, результат печатают на лазерном принтере на трафаретной пленке, а потом заливают столярным клеем. Высохший слой клея снимают и прикладывают к реальному пальцу. Пишут, что таким способом у них получилось разблокировать iPad, Macbook и аппаратный криптовалютный кошелек.
Настолько просто и дешево, что аж не верится.
https://youtu.be/VYI9XNO4XzU
https://blog.kraken.com/post/11905/your-fingerprint-can-be-hacked-for-5-heres-how/
Настолько просто и дешево, что аж не верится.
https://youtu.be/VYI9XNO4XzU
https://blog.kraken.com/post/11905/your-fingerprint-can-be-hacked-for-5-heres-how/
Telegram требует от разработчиков сторонних клиентов добавить поддержку отображения рекламы (спонсорских сообщений Telegram) в каналах до 1 января 2022 года, иначе обещает отключать от сети. Сообщение об этом добавили в документацию для разработчиков.
"К сожалению, Telegram не может финансово поддерживать приложения сторонних разработчиков, которые не будут показывать пользователям спонсорские сообщения, и они (эти приложения) придется отключать... Правила монетизации сторонних приложений не меняются: разработчики могут монетизировать свой труд через показ рекламы или другими законными способами, при условии, что все способы монетизации явно указаны в описаниях в магазинах приложений."
6 ноября Дуров анонсировал будущую возможность выключать рекламу в Telegram по подписке за деньги. Поэтому ему важно, чтобы у пользователей не было возможности просто перейти на сторонние клиенты и не видеть рекламу.
https://corefork.telegram.org/api/sponsored-messages#sponsored-messages-in-third-party-apps
https://habr.com/ru/news/t/587610/
"К сожалению, Telegram не может финансово поддерживать приложения сторонних разработчиков, которые не будут показывать пользователям спонсорские сообщения, и они (эти приложения) придется отключать... Правила монетизации сторонних приложений не меняются: разработчики могут монетизировать свой труд через показ рекламы или другими законными способами, при условии, что все способы монетизации явно указаны в описаниях в магазинах приложений."
6 ноября Дуров анонсировал будущую возможность выключать рекламу в Telegram по подписке за деньги. Поэтому ему важно, чтобы у пользователей не было возможности просто перейти на сторонние клиенты и не видеть рекламу.
https://corefork.telegram.org/api/sponsored-messages#sponsored-messages-in-third-party-apps
https://habr.com/ru/news/t/587610/
После громкой истории про мобильную малварь Pegasus израильской компании NSO Group, Apple подала в американский суд. Требуют официального запрета для NSO Group на взлом или любое использование устройств и сервисов Apple!
По аналогичному поводу с NSO Group уже судится Whatsapp и тот суд пока что ничем не закончился. Но Apple права: у проблемы уязвимостей нулевого дня ("зиродеев") нет технического решения. Пока у NSO Group и подобных компаний есть право делать конструкторы для удаленного взлома на основе зиродеев и возможность продавать их разным странам и на этом зарабатывать, противостояние снаряда и брони будет продолжаться. Apple будет закрывать эти уязвимости, а NSO будет покупать новые. Эксперты говорят, что единственный способ прекратить легальное использование зиродеев для взлома устройств - просто запретить их, как химическое оружие.
Кстати, если вы полностью пропустили июльскую историю про Pegasus, мы про нее регулярно здесь пишем (1,2,3), и недавно сделали обзорный материал на сайте, почитайте.
https://www.apple.com/newsroom/2021/11/apple-sues-nso-group-to-curb-the-abuse-of-state-sponsored-spyware/
https://xn--r1a.website/rks_tech_talk/118
https://xn--r1a.website/rks_tech_talk/121
https://xn--r1a.website/rks_tech_talk/122
https://roskomsvoboda.org/post/pegasus-nso-group/
По аналогичному поводу с NSO Group уже судится Whatsapp и тот суд пока что ничем не закончился. Но Apple права: у проблемы уязвимостей нулевого дня ("зиродеев") нет технического решения. Пока у NSO Group и подобных компаний есть право делать конструкторы для удаленного взлома на основе зиродеев и возможность продавать их разным странам и на этом зарабатывать, противостояние снаряда и брони будет продолжаться. Apple будет закрывать эти уязвимости, а NSO будет покупать новые. Эксперты говорят, что единственный способ прекратить легальное использование зиродеев для взлома устройств - просто запретить их, как химическое оружие.
Кстати, если вы полностью пропустили июльскую историю про Pegasus, мы про нее регулярно здесь пишем (1,2,3), и недавно сделали обзорный материал на сайте, почитайте.
https://www.apple.com/newsroom/2021/11/apple-sues-nso-group-to-curb-the-abuse-of-state-sponsored-spyware/
https://xn--r1a.website/rks_tech_talk/118
https://xn--r1a.website/rks_tech_talk/121
https://xn--r1a.website/rks_tech_talk/122
https://roskomsvoboda.org/post/pegasus-nso-group/
🗨 Запрос помощи зала
Помогите провалидировать решение команды Privacy Accelerator!
👉 Мы ищем тех, кто удалял когда-нибудь содержимое своего электронного ящика с почтового сервера в целях безопасности или просто интересуется данной темой.
Отпишитесь, пожалуйста, в комментариях к посту, если готовы помочь, чтобы мы связались с вами.
Помогите провалидировать решение команды Privacy Accelerator!
👉 Мы ищем тех, кто удалял когда-нибудь содержимое своего электронного ящика с почтового сервера в целях безопасности или просто интересуется данной темой.
Отпишитесь, пожалуйста, в комментариях к посту, если готовы помочь, чтобы мы связались с вами.
Удаляли ли вы когда-нибудь содержимое своего электронного ящика с почтового сервера в целях безопасности?
Anonymous Poll
47%
Да
53%
Нет
ProtonVPN опубликовал у себя в блоге сравнение VPN протоколов OpenVPN и Wireguard. Если вкратце:
OpenVPN:
Плюсы: опенсорц, безопасный, проверенный (в смысле давно используется), проходил аудиты (хотя ниже пишут, что и Wireguard проходил), может использоваться для обхода цензуры (в смысле можно настроить TCP на 443 порт).
Минусы: медленный, нужно больше ресурсов CPU, быстрее жрет батарейку на мобильных устройствах.
Wireguard:
Плюсы: опенсорц, быстрый, эффективный, быстро устанавливает соединение, безопасный
Минусы: Безопасность пока теоретическая (в смысле, в отличие от OpenVPN у исследователей не было возможности 20 лет его ковырять), хуже с обходом цензуры (в смысле не поддерживает TCP), поддерживается на меньшем количестве устройств (это они про роутеры), приватность требует дополнительных усилий со стороны провайдера.
В целом, советуют пользователям всегда выбирать Wireguard, кроме трех случаев:
1. Если нужна гарантированная высокая безопасность - OpenVPN гораздо дольше тестировали.
2. Если нужен обход цензуры - в смысле OpenVPN можно переключать в режим TCP. При этом они уточняют, что хорошо настроенный DPI может блокировать и тот, и другой протокол.
3. Если ваше устройство просто не поддерживает Wireguard.
А вы в каких случаях выбираете OpenVPN?
https://protonvpn.com/blog/openvpn-vs-wireguard/
OpenVPN:
Плюсы: опенсорц, безопасный, проверенный (в смысле давно используется), проходил аудиты (хотя ниже пишут, что и Wireguard проходил), может использоваться для обхода цензуры (в смысле можно настроить TCP на 443 порт).
Минусы: медленный, нужно больше ресурсов CPU, быстрее жрет батарейку на мобильных устройствах.
Wireguard:
Плюсы: опенсорц, быстрый, эффективный, быстро устанавливает соединение, безопасный
Минусы: Безопасность пока теоретическая (в смысле, в отличие от OpenVPN у исследователей не было возможности 20 лет его ковырять), хуже с обходом цензуры (в смысле не поддерживает TCP), поддерживается на меньшем количестве устройств (это они про роутеры), приватность требует дополнительных усилий со стороны провайдера.
В целом, советуют пользователям всегда выбирать Wireguard, кроме трех случаев:
1. Если нужна гарантированная высокая безопасность - OpenVPN гораздо дольше тестировали.
2. Если нужен обход цензуры - в смысле OpenVPN можно переключать в режим TCP. При этом они уточняют, что хорошо настроенный DPI может блокировать и тот, и другой протокол.
3. Если ваше устройство просто не поддерживает Wireguard.
А вы в каких случаях выбираете OpenVPN?
https://protonvpn.com/blog/openvpn-vs-wireguard/
Proton VPN
OpenVPN vs. WireGuard
OpenVPN and WireGuard are arguably the two most useful VPN protocols for modern VPN users. We look at the pros and cons of each.
В Великобритании собрались законодательно запрещать пароли по умолчанию в умных устройствах и роутерах. Их парламент обсуждает законопроект, по которому:
▪️Пароли по умолчанию запрещены (по всей видимости, пользователь не сможет использовать устройство, пока не задаст уникальный пароль).
▪️По всем подобным устройствам должна публиковаться информация о сроке, в течение которого они будут получать обновления безопасности. Если обновлений вообще не будет, об этом должно быть тоже явно написано.
Хорошая идея, пытаются решить проблему ботнетов из умных телевизоров и взломов казино через умный термометр в аквариуме с паролем по умолчанию (дада, была такая история). Это особенно важно, потому что куча умного оборудования вообще не перепрошивается, и если там есть дыра, то это навсегда, пока не выбросишь. Сейчас информацию об этом приходится искать отдельно, а если законопроект примут, производителям придется явно писать об этом.
https://www.bbc.com/news/technology-59400762
▪️Пароли по умолчанию запрещены (по всей видимости, пользователь не сможет использовать устройство, пока не задаст уникальный пароль).
▪️По всем подобным устройствам должна публиковаться информация о сроке, в течение которого они будут получать обновления безопасности. Если обновлений вообще не будет, об этом должно быть тоже явно написано.
Хорошая идея, пытаются решить проблему ботнетов из умных телевизоров и взломов казино через умный термометр в аквариуме с паролем по умолчанию (дада, была такая история). Это особенно важно, потому что куча умного оборудования вообще не перепрошивается, и если там есть дыра, то это навсегда, пока не выбросишь. Сейчас информацию об этом приходится искать отдельно, а если законопроект примут, производителям придется явно писать об этом.
https://www.bbc.com/news/technology-59400762
В США рассекретили документ от ноября 2020 года о том, какой доступ к каким мессенджерам имеет ФБР. iMessage и Whatsapp выдают больше всего, причем iMessage выдает расшифрованные бэкапы сообщений из iCloud (если они там есть), зато Whatsapp делится информацией о новых действиях в нужных аккаунтах почти в реальном времени.
▪️Signal: содержания сообщений не предоставляет, предоставляет дату регистрации аккаунта и когда пользователь в последний раз соединялся.
▪️Telegram: содержания сообщений не предоставляет, информацию по решению суда не выдает. В документе есть ссылка на политику Telegram, что он может выдать IP-адрес и номер телефона по расследованиям подтвержденных случаев терроризма.
▪️Viber: содержания сообщений не предоставляет, предоставляет номер телефона и IP-адрес на момент регистрации, по запросу предоставляет метаданные (какой номер телефона на какой когда писал и звонил).
▪️iMessage: содержание сообщений предоставляет "ограничено" (что это значит, в документе не объясняют). Предоставляет основную информацию о пользователе. По ордеру на обыск выдает бэкапы iCloud. Если пользователь бэкапит iMessage в iCloud, то выдает и этот бэкап сообщений iMessage (они в облаке зашифрованы, но у Apple есть ключи). При этом Apple, в отличие от Whatsapp, не предоставляет pen register - это когда ФБР почти в реальном времени получает новую информацию о действиях пользователя в аккаунте.
▪️Whatsapp: содержание сообщений можно получить, если у пользователя iPhone и архив Whatsapp бэкапится в iCloud (то есть выдает фактически Apple). Предоставляет основную информацию о пользователе. По решению суда представляет список заблокированных аккаунте пользователей. По ордеру на обыск представляет адресную книгу. При этом предоставляет pen register (фактически, такой вариант прослушки на уровне метаданных) - сообщает о новых действиях в нужном аккаунте с задержкой в 15 минут, то есть кто кому когда писал и звонил.
Еще в таблице есть информация про Line, Threema, WeСhat и Wickr, но это уже сами почитайте) Интересно, что у всех мессенджеров вроде почти одинаковое шифрование (кроме Telegram, дада), но метаданные все выдают по-разному.
https://propertyofthepeople.org/document-detail/?doc-id=21114562
https://www.rollingstone.com/politics/politics-features/whatsapp-imessage-facebook-apple-fbi-privacy-1261816/
▪️Signal: содержания сообщений не предоставляет, предоставляет дату регистрации аккаунта и когда пользователь в последний раз соединялся.
▪️Telegram: содержания сообщений не предоставляет, информацию по решению суда не выдает. В документе есть ссылка на политику Telegram, что он может выдать IP-адрес и номер телефона по расследованиям подтвержденных случаев терроризма.
▪️Viber: содержания сообщений не предоставляет, предоставляет номер телефона и IP-адрес на момент регистрации, по запросу предоставляет метаданные (какой номер телефона на какой когда писал и звонил).
▪️iMessage: содержание сообщений предоставляет "ограничено" (что это значит, в документе не объясняют). Предоставляет основную информацию о пользователе. По ордеру на обыск выдает бэкапы iCloud. Если пользователь бэкапит iMessage в iCloud, то выдает и этот бэкап сообщений iMessage (они в облаке зашифрованы, но у Apple есть ключи). При этом Apple, в отличие от Whatsapp, не предоставляет pen register - это когда ФБР почти в реальном времени получает новую информацию о действиях пользователя в аккаунте.
▪️Whatsapp: содержание сообщений можно получить, если у пользователя iPhone и архив Whatsapp бэкапится в iCloud (то есть выдает фактически Apple). Предоставляет основную информацию о пользователе. По решению суда представляет список заблокированных аккаунте пользователей. По ордеру на обыск представляет адресную книгу. При этом предоставляет pen register (фактически, такой вариант прослушки на уровне метаданных) - сообщает о новых действиях в нужном аккаунте с задержкой в 15 минут, то есть кто кому когда писал и звонил.
Еще в таблице есть информация про Line, Threema, WeСhat и Wickr, но это уже сами почитайте) Интересно, что у всех мессенджеров вроде почти одинаковое шифрование (кроме Telegram, дада), но метаданные все выдают по-разному.
https://propertyofthepeople.org/document-detail/?doc-id=21114562
https://www.rollingstone.com/politics/politics-features/whatsapp-imessage-facebook-apple-fbi-privacy-1261816/
👍2
Google выкинул из поисковой выдачи для голландских IP все ссылки на легендарный торрент-трекер Pirate Bay, его прокси и зеркала (всего 114 доменов). Torrentfreak пишет, что Google это сделал вот по этому решению суда, которое, строго говоря, вообще никакого отношения не имеет к поисковой выдаче - оно предписывает блокировать этот список доменов трем интернет-провайдерам в Нидерландах.
Torrentfreak: "Насколько нам известно, Google впервые исполняет решение о блокировке пиратского сайта, в котором Google не упоминается".
https://torrentfreak.com/google-removes-pirate-bay-domains-from-search-results-citing-dutch-court-order-211130/
Torrentfreak: "Насколько нам известно, Google впервые исполняет решение о блокировке пиратского сайта, в котором Google не упоминается".
https://torrentfreak.com/google-removes-pirate-bay-domains-from-search-results-citing-dutch-court-order-211130/
Помните, после президентских выборов в США в январе протестующие штурмовали Капитолий, а теперь их судят? Смотрите, что Google вчера выдал суду по геопозиции одного из них. 57 точек за час, и это перемещения человека внутри здания.
Вот о какой точности идет речь, когда мы предоставляем приложению права отслеживать геопозицию.
https://twitter.com/josephfcox/status/1465391629020405765
Вот о какой точности идет речь, когда мы предоставляем приложению права отслеживать геопозицию.
https://twitter.com/josephfcox/status/1465391629020405765
Ноябрьская история: безопасники из Dr. Web поковыряли четыре популярные модели детских смарт-часов, которые продаются в России: Elari Kidphone 4G, Wokka Lokka Q50, Elari FixiTime Lite, Smart Baby Watch Q19. PDF с отчетом - это просто песня, нужно читать, тем более, все по-русски. Вот пара чуть отредактированных цитат, самый жир!
Elari Kidphone 4G: Модуль Android.DownLoader.1049.origin передает на сервер hxxps://g[.]sinfoon[.]com:40081/data информацию о SIM-карте и номере телефона, данные о местоположении, большой объем информации об устройстве и установленных на нем приложениях, а также о количестве СМС, телефонных звонков и контактов в адресной книге.
Wokka Lokka Q50: Моделью можно управлять при помощи СМС-команд. При этом в инструкции сведения о такой возможности отсутствуют. Главной уязвимостью Wokka Lokka Q50 является использование стандартного для всех устройств линейки пароля 123456 для передачи СМС-команд (в некоторых версиях часов используется пароль 523681). При этом в часах отсутствует функция его принудительной смены при первом включении. Нет рекомендации о его замене и в комплектной инструкции, сменить его через управляющее приложение тоже нельзя. Зная номер телефона установленной в часы SIM-карты, злоумышленник сможет получить контроль над устройством. Например, запросить GPS-координаты командой pw,123456,url#, которые поступят в ответном СМС, или дистанционно прослушать окружение через обратный звонок на указанный в команде номер.
Dr.Web сдал отчеты производителям. Интересно, станут ли они исправлять эти проблемы вообще, они же, наверное, эти устройства закупают где-нибудь в Китае с готовыми прошивками.
https://news.drweb.ru/show/?i=14350
Elari Kidphone 4G: Модуль Android.DownLoader.1049.origin передает на сервер hxxps://g[.]sinfoon[.]com:40081/data информацию о SIM-карте и номере телефона, данные о местоположении, большой объем информации об устройстве и установленных на нем приложениях, а также о количестве СМС, телефонных звонков и контактов в адресной книге.
Wokka Lokka Q50: Моделью можно управлять при помощи СМС-команд. При этом в инструкции сведения о такой возможности отсутствуют. Главной уязвимостью Wokka Lokka Q50 является использование стандартного для всех устройств линейки пароля 123456 для передачи СМС-команд (в некоторых версиях часов используется пароль 523681). При этом в часах отсутствует функция его принудительной смены при первом включении. Нет рекомендации о его замене и в комплектной инструкции, сменить его через управляющее приложение тоже нельзя. Зная номер телефона установленной в часы SIM-карты, злоумышленник сможет получить контроль над устройством. Например, запросить GPS-координаты командой pw,123456,url#, которые поступят в ответном СМС, или дистанционно прослушать окружение через обратный звонок на указанный в команде номер.
Dr.Web сдал отчеты производителям. Интересно, станут ли они исправлять эти проблемы вообще, они же, наверное, эти устройства закупают где-нибудь в Китае с готовыми прошивками.
https://news.drweb.ru/show/?i=14350
Dr.Web
«Доктор Веб» обнаружил уязвимости в детских смарт-часах
Родители всегда стремятся позаботиться о своих детях. Благодаря развитию технологий все чаще в этом им помогают различные компактные носимые устройства — смарт-часы и GPS-трекеры. Все больше моделей таких устройств по функциональности приближаются к полноценным…
В мессенджере Signal появилась возможность рекуррентых пожертвований разработчикам мессенджера! Пункт в настройках называется "Станьте поддерживающим Signal". Варианты в российских рублях - 250, 700 и 1400 в месяц. Директор Signal, Мокси Марлинспайк пишет в анонсе:
"У Signal нет данных на продажу, нет рекламодателей, которым можно их продавать, и нет инвесторов, которые получают от этого выгоду. Мы делаем технологии другого типа - где ваши данные остаются в ваших руках - но мы также строим организацию другого типа. Без инвесторов, квартальных отчетов о прибылях, или соображений о цене акций.
А если пользователи Signal - единственные, кому наш мессенджер приносит пользу, то им его и поддерживать. Это непохоже на то, как обычно устроены интернет-технологии, которые живут за счет данных пользователей и приносят прибыль крупным инвесторам. Мы верим, что смена этой парадигмы нужна, чтобы построить будущее, где технологии будут всем нам приносить пользу."
Очень правильная монетизация, пусть у них все получится.
"У Signal нет данных на продажу, нет рекламодателей, которым можно их продавать, и нет инвесторов, которые получают от этого выгоду. Мы делаем технологии другого типа - где ваши данные остаются в ваших руках - но мы также строим организацию другого типа. Без инвесторов, квартальных отчетов о прибылях, или соображений о цене акций.
А если пользователи Signal - единственные, кому наш мессенджер приносит пользу, то им его и поддерживать. Это непохоже на то, как обычно устроены интернет-технологии, которые живут за счет данных пользователей и приносят прибыль крупным инвесторам. Мы верим, что смена этой парадигмы нужна, чтобы построить будущее, где технологии будут всем нам приносить пользу."
Очень правильная монетизация, пусть у них все получится.
Сегодня РКН выпустил очередное предостережение о блокировке новых VPN-сервисов: https://rkn.gov.ru/news/rsoc/news73968.htm
На этот раз в список попали Betternet, Lantern, X-VPN, Cloudflare WARP, Tachyon VPN, PrivateTunnel.
Это уже третье такое письмо за год (вот ссылки на предыдущие 1, 2, 3). В прошлых сериях обещали блокировать OperaVPN (в результате те заблокировали сами себя), VyprVPN, Hola!VPN, ExpressVPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN, IPVanish VPN.
И по наблюдениям на московском Ростелекоме не работает Tunnelbear без обфускации, поэтому если у кого-то есть такая же проблема - нужно поставить галку как на рисунке.
А как у вас другие VPN-сервисы? Все работают нормально без маскировки трафика?
На этот раз в список попали Betternet, Lantern, X-VPN, Cloudflare WARP, Tachyon VPN, PrivateTunnel.
Это уже третье такое письмо за год (вот ссылки на предыдущие 1, 2, 3). В прошлых сериях обещали блокировать OperaVPN (в результате те заблокировали сами себя), VyprVPN, Hola!VPN, ExpressVPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN, IPVanish VPN.
И по наблюдениям на московском Ростелекоме не работает Tunnelbear без обфускации, поэтому если у кого-то есть такая же проблема - нужно поставить галку как на рисунке.
А как у вас другие VPN-сервисы? Все работают нормально без маскировки трафика?
В чате нашего канала https://xn--r1a.website/rks_tech_talk_chat уже третий человек за сутки пишет, что у них сегодня не работает Tor. А у вас работает? Если нет, напишите, плиз, в комментах провайдера и регион.
Anonymous Poll
25%
Tor работает
10%
Tor не работает
65%
Не знаю, просто хочу посмотреть результаты
⚡️На текущий момент Tor блокируется Ростелекомом в Москве.
Чтобы подключиться к сети Тор, теперь приходится использовать мосты, получить их можно тут: https://bridges.torproject.org
Далее вводим в поле, отмеченное на картинке.
Чтобы подключиться к сети Тор, теперь приходится использовать мосты, получить их можно тут: https://bridges.torproject.org
Далее вводим в поле, отмеченное на картинке.
‼️ На change.org нашлась петиция от "Лиги безопасного интернета" (российской окологосударственной НКО, традиционно пиарящейся на десткой порнографии) с просьбой запретить Тор.
А еще:
Тут (explorer OONI) можно смотреть блокировки Тора почти реалтайм.
Здесь форумчане ntc.party немного покопали кому принадлежат сети (AS), на которых происходит блокировки Тора.
А еще:
Тут (explorer OONI) можно смотреть блокировки Тора почти реалтайм.
Здесь форумчане ntc.party немного покопали кому принадлежат сети (AS), на которых происходит блокировки Тора.
Change.org
Подпишите петицию
Призываем российские власти ограничить доступ к TOR!
Forwarded from Roskomsvoboda
Российские пользователи стали жаловаться на блокировку Tor
Наши подписчики из Москвы и регионов сообщают о проблемах в работе Tor. Это также зафиксировал проект OONI, отслеживающий интернет-цензуру по всему миру.
Технический специалист «Роскомсвободы» Вадим Мисбах-Соловьёв отмечает, что любой трафик можно отследить по косвенным признакам (метаинформации в пакетах) и обратил внимание, что пока доступ можно восстановить:
💬«Пока что помогает использование "мостов" (подключение не к тем серверам, список которых идёт с самим пакетом Tor, а к юзерским, взятым из интернета), но списки мостов тоже вполне себе публичны, и если провайдеры зададутся целью, то им не составит труда и эти списки скачивать и добавлять в блок-лист».
Масштабная блокировка или очередное тестирование оборудования?
➡️ https://roskomsvoboda.org/post/blokiruyut-tor-v-rf/
Наши подписчики из Москвы и регионов сообщают о проблемах в работе Tor. Это также зафиксировал проект OONI, отслеживающий интернет-цензуру по всему миру.
Технический специалист «Роскомсвободы» Вадим Мисбах-Соловьёв отмечает, что любой трафик можно отследить по косвенным признакам (метаинформации в пакетах) и обратил внимание, что пока доступ можно восстановить:
💬«Пока что помогает использование "мостов" (подключение не к тем серверам, список которых идёт с самим пакетом Tor, а к юзерским, взятым из интернета), но списки мостов тоже вполне себе публичны, и если провайдеры зададутся целью, то им не составит труда и эти списки скачивать и добавлять в блок-лист».
Масштабная блокировка или очередное тестирование оборудования?
➡️ https://roskomsvoboda.org/post/blokiruyut-tor-v-rf/
Роскомсвобода
Российские пользователи стали жаловаться на блокировку Tor
Сообщения об этом приходят из Москвы и других регионов, и кроме этого проект OONI, отслеживающий интернет-цензуру по всему миру, зафиксировал проблемы с доступностью популярного сервиса.
Известная малварь Pegasus израильского разработчика NSO Group в последние пару месяцев использовалась для заражения телефонов как минимум 11 сотрудников американского посольства в Кампале, столице Уганды. У NSO есть политика, что они не работают по США, но оказывается, это просто значит, что в их систему нельзя забить цель для удаленного заражения, номер телефона которой начинается с "+1". В остальном все решает "клиент", в смысле государства и госорганы, которым NSO продает свой сервис, и условных американских госслужащих с иностранными номерами атаковать можно. Теперь NSO заблокировала какого-то клиента у себя в системе и обещает сотрудничать со следствием.
Технически выходит, что если кому-нибудь нужно защищаться конкретно от Pegasus, нужен номер на "+1". И кстати, из-за всей этой истории Apple стала сообщать о попытках взлома самим хозяевам телефонов, но уже постфактум, то есть это не предотвращение.
https://www.bleepingcomputer.com/news/security/us-state-dept-employees-phones-hacked-using-nso-spyware/
Технически выходит, что если кому-нибудь нужно защищаться конкретно от Pegasus, нужен номер на "+1". И кстати, из-за всей этой истории Apple стала сообщать о попытках взлома самим хозяевам телефонов, но уже постфактум, то есть это не предотвращение.
https://www.bleepingcomputer.com/news/security/us-state-dept-employees-phones-hacked-using-nso-spyware/
У части российских пользователей по-прежнему не работает Tor, в основном на мобильных операторах и в основном в Москве, но не только. При этом по данным OONI Explorer (это такая система измерения блокировок), у кучи пользователей в России Tor продолжает работать. А по статистике Tor, количество пользователей сети из России напрямую (без мостов) за неделю не изменилось.
Tor выпустил новую инструкцию по обходу блокировок на русском, там как раз про использование мостов. Если вкратце, там написано:
1. Попробуйте в настройках Tor Browser "Настройки - Tor - Мосты - Использовать мост - Запросить мост у Torproject.org"
2. Либо идите на https://bridges.torproject.org/, возьмите на странице адреса мостов, вставьте в настройки браузера как мы показывали здесь.
3. Либо напишите имейл на bridges@torproject.org с пустой темой и текстом "get transport obfs4" и адреса мостов придут в ответе.
Кстати, количество российских пользователей, использующих мосты, за последнюю неделю заметно выросло.
А еще в Tor Browser для таких случаев есть Snowflake, это когда трафик ходит в Tor через устройства других пользователей, которые решили вам помогать. Настраивается по адресу "Настройки - Tor - Использовать мост - Выбрать встроенный мост - Snowflake".
Ссылки:
https://explorer.ooni.org/search?until=2021-12-06&since=2021-12-05&probe_cc=RU&test_name=tor
https://metrics.torproject.org/userstats-relay-country.html?start=2021-11-30&end=2021-12-06&country=ru&events=off
https://forum.torproject.net/t/tor-blocked-in-russia-how-to-circumvent-censorship/982
https://metrics.torproject.org/userstats-bridge-country.html?start=2021-11-30&end=2021-12-06&country=ru
Tor выпустил новую инструкцию по обходу блокировок на русском, там как раз про использование мостов. Если вкратце, там написано:
1. Попробуйте в настройках Tor Browser "Настройки - Tor - Мосты - Использовать мост - Запросить мост у Torproject.org"
2. Либо идите на https://bridges.torproject.org/, возьмите на странице адреса мостов, вставьте в настройки браузера как мы показывали здесь.
3. Либо напишите имейл на bridges@torproject.org с пустой темой и текстом "get transport obfs4" и адреса мостов придут в ответе.
Кстати, количество российских пользователей, использующих мосты, за последнюю неделю заметно выросло.
А еще в Tor Browser для таких случаев есть Snowflake, это когда трафик ходит в Tor через устройства других пользователей, которые решили вам помогать. Настраивается по адресу "Настройки - Tor - Использовать мост - Выбрать встроенный мост - Snowflake".
Ссылки:
https://explorer.ooni.org/search?until=2021-12-06&since=2021-12-05&probe_cc=RU&test_name=tor
https://metrics.torproject.org/userstats-relay-country.html?start=2021-11-30&end=2021-12-06&country=ru&events=off
https://forum.torproject.net/t/tor-blocked-in-russia-how-to-circumvent-censorship/982
https://metrics.torproject.org/userstats-bridge-country.html?start=2021-11-30&end=2021-12-06&country=ru
Очередная история о том, как мобильные приложения зарабатывают на продаже данных: популярное приложение родительского контроля Life360 с 33 миллионами активных пользователей продает данные геолокации пользователей десятку разных дата-брокеров, и заработало на этом 16 миллионов долларов в 2020 году. Источники расследования называют Life360 одним из самых крупных источников данных в этой индустрии вообще.
Несколько дата-брокеров, с которыми работает Life360, работают с американскими госорганами и продают им данные для анализа перемещения граждан в рамках борьбы с коронавирусом, а один продает данные американскому Минобороны. Как обычно, данные типа анонимные, но только в том смысле, что фамилий там нет.
Сама компания Life360 комментирует: "Данные - важная часть нашей бизнес-модели, которая позволяет нам бесплатно предоставлять большинству пользователей базовый функционал Life360, в том числе данные, которые способствуют безопасному вождению и спасли многие жизни".
Мы про такое регулярно пишем. И про то, что большинство людей спит дома и работает в одном и том же месте, то есть у нас есть уникальный деанонимизирующий "фингерпринт локаций". И про то, что на рынке дата-брокеров есть отдельные игроки-"деанонимизаторы", которые помогают сопоставить якобы анонимные уникальные рекламные идентификаторы устройств и персональные данные их владельцев. И о том, как государства покупают такие данные или получают бесплатно для своих целей.
И кстати, у приложения Life360 в маркетах - куча русскоязычных отзывов.
Ссылки:
https://themarkup.org/privacy/2021/12/06/the-popular-family-safety-app-life360-is-selling-precise-location-data-on-its-tens-of-millions-of-user
https://xn--r1a.website/rks_tech_talk/129
https://xn--r1a.website/rks_tech_talk/117
https://xn--r1a.website/rks_tech_talk/296
Несколько дата-брокеров, с которыми работает Life360, работают с американскими госорганами и продают им данные для анализа перемещения граждан в рамках борьбы с коронавирусом, а один продает данные американскому Минобороны. Как обычно, данные типа анонимные, но только в том смысле, что фамилий там нет.
Сама компания Life360 комментирует: "Данные - важная часть нашей бизнес-модели, которая позволяет нам бесплатно предоставлять большинству пользователей базовый функционал Life360, в том числе данные, которые способствуют безопасному вождению и спасли многие жизни".
Мы про такое регулярно пишем. И про то, что большинство людей спит дома и работает в одном и том же месте, то есть у нас есть уникальный деанонимизирующий "фингерпринт локаций". И про то, что на рынке дата-брокеров есть отдельные игроки-"деанонимизаторы", которые помогают сопоставить якобы анонимные уникальные рекламные идентификаторы устройств и персональные данные их владельцев. И о том, как государства покупают такие данные или получают бесплатно для своих целей.
И кстати, у приложения Life360 в маркетах - куча русскоязычных отзывов.
Ссылки:
https://themarkup.org/privacy/2021/12/06/the-popular-family-safety-app-life360-is-selling-precise-location-data-on-its-tens-of-millions-of-user
https://xn--r1a.website/rks_tech_talk/129
https://xn--r1a.website/rks_tech_talk/117
https://xn--r1a.website/rks_tech_talk/296