Tor Project вчера получил письмо от Роскомнадзора. Там вроде бы написано, что Роскомнадзор собирается блокировать сайт https://www.torproject.org, если Tor чего-то не сделает. Но что надо сделать? Кто-нибудь понимает, что здесь написано?

----------

Направляется уведомление о внесении в «Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено» следующего(их) указателя (указателей) страницы (страниц) сайта в сети «Интернет»: https://www.torproject.org.
В случае непринятия провайдером хостинга и (или) владельцем сайта мер по удалению запрещенной информации и (или) ограничению доступа к сайту в сети «Интернет», будет принято решение о включении в единый реестр сетевого адреса, позволяющего идентифицировать сайт в сети «Интернет», содержащий информацию, распространение которой в Российской Федерации запрещено, а доступ к нему будет ограничен.
Сведения о включении доменных имен, указателей страниц сайтов сети «Интернет» и сетевых адресов доступны круглосуточно в сети «Интернет» по адресу http://eais.rkn.gov.ru .
С уважением, ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ.

----------

https://gitlab.torproject.org/tpo/community/support/-/issues/40050#note_2764565

Сайт https://www.torproject.org заблокирован. Ссылка в реестре - на старое решение суда 2017 года.

https://reestr.rublacklist.net/record/3845366/

Из-за особенностей реализации блокировки сайта torproject.org, поддомены кроме www не блокируются. Например, нормально работает bridges.torproject.org - поддомен, на котором пользователи могут получить адреса мостов.

Кроме этого, известный исследователь ValdikSS ночью нашел способ восстановить работоспособность транспорта Snowflake в Tor Browser для тех, у кого он блокируется. ValdikSS опубликовал на (тоже не заблокированном) gitlab.torproject.org свои версии исполняемых файлов snowflake-client для Windows и Linux, которыми нужно перезаписать файлы из комплекта Tor Browser, чтобы Snowflake опять заработал. Snowflake позволяет пользователям, у которых нет доступа к Tor, ходить в сеть через устройства других пользователей как через прокси.

https://gitlab.torproject.org/tpo/anti-censorship/pluggable-transports/snowflake/-/issues/40014
https://ntc.party/t/ooni-reports-of-tor-blocking-in-certain-isps-since-2021-12-01/1477/37

❗️Tor Project запустил зеркало своего заблокированного в РФ сайта

Что известно сейчас:
🔹Блокировка происходит по решению Саратовского райсуда
🔹Зеркало находится вот здесь
🔹Поддомены кроме www не блокируются
🔹Доступен поддомен с мостами
🔹Tor Project обратился к русскоязычным специалистам за помощью

➡️ https://roskomsvoboda.org/post/torproject-vykatil-zerkalo

Из возможных вариантов блокировки Тора наши власти применили практически все методы, но не на полную мощность:
0. Блокировка сайта Tor (реализовано)
1. Блокировка IP-адресов публичных Tor-нод (реализовано частично)
2. Блокировка публичных Tor-мостов (реализовано частично)
3. Блокировка транспорта (реализовано частично)

О том, как вообще работает Тор, что это за ноды и мосты, можно ли заблокировть Тор полностью (на текущий момент нельзя), что и как блокируется в текущий момент, и как обходить каждый из типов блокировок рассказываем в новом материале
https://roskomsvoboda.org/post/blokirovka-tor-na-palciah/

Сегодня утром блокировку сети Tor (IP-адресов известных нод, некоторых мостов и транспорта snowflake) убрали, доступ к сети Tor у российских пользователей опять работает. Блокируется только веб-сайт torproject.org.

Сеть Tor опять блокируют, теперь о блокировках также сообщают абоненты МГТС.

Кроме этого пользователи сообщают, что сегодня с некоторых провайдеров перестал соединяться популярный бесплатный VPN Psiphon (https://www.psiphon3.com/ru/download.html), например он не соединяется на Мегафон Москва.

И кстати, вы тоже замечаете, что в последнее время блокировки перестали быть одинаковыми для всех и могут по-разному работать в разных городах и у разных операторов?

Google выкинул из Play Store несколько приложений, которые работали с дата-брокером Huq, а еще нескольким разослал предупреждения - требует "гораздо яснее" описывать, какие данные они собирают и как передают дата-брокерам, иначе обещает тоже удалить из маркета.

Мы про Huq уже писали - они делают SDK, который встроен в кучу популярных мобильных приложений и собирает данные геолокации пользователей, это такой способ монетизации. В октябре расследователи из Motherboard выяснили, что некоторые приложения собирали данные без явного согласия, например, начинали собирать, если пользователь впервые открыл приложение, увидел запрос на сбор данных и закрыл приложение, ничего не выбирая. Хуже того, некоторые собирали данные, когда пользователь явно отказался. Huq тогда заявил, что они не при делах, типа разработчики сами должны получать и обрабатывать согласие пользователей, а Google обещал расследование.

Теперь понятно, как такие расследования работают. Жаль только, что Google сам не справляется за подобным следить, и нужно, чтобы эти истории искали внешние расследователи типа Motherboard.

https://www.vice.com/en/article/y3vp35/google-tells-apps-disclose-location-data-removed-huq

В новой IOS 15.2 появилась функция "Отчет о конфиденциальности приложений" (она же App Privacy Report). Находится в разделе "Настройки-Конфиденциальность", по умолчанию отключена. Если включить, появляются разделы с инфой за последние семь дней (но накапливаться она начинает только после включения):

• Доступ к данным и сенсорам: какие приложения когда использовали какие разрешения, например, использовали GPS или обращались к адресной книге.
• Сетевая активность приложений: какие приложения обращались к каким доменам.
• Сетевая активность веб-сайтов: то же самое, но для браузеров.
• Часто контактируемые домены: то же самое, что сетевая активность, но отсортировано по доменам, а не по приложениям.

Выглядит очень удобно, но в отличие от специализированных приложений типа Lockdown Privacy это не настраиваемый файрволл, это только отчеты.

https://support.apple.com/ru-ru/HT212958

В паблике всплыла сотня маркетинговых презентаций компании Huawei, в том числе продуктов для государственных и правоохранительных органов, которые китайская компания случайно выложила в публичный доступ. Журналисты Washington Post сделали по ним материал и перевели на английский пять самых интересных слайдов (ссылки на pdf-файлы в конце поста).

Судя по слайдам, Huawei производит:

• Платформу умных камер видеонаблюдения с системой распознавания лиц. Судя по слайдам, этот продукт используется в городе Урумчи с 2017 года.
• Продукт для определения личности говорящего на аудиозаписях по базе образцов голоса.
• Корпоративный продукт для слежки за сотрудниками при помощи умных камер, которые фиксируют, когда сотрудников нет на месте, когда они спят на работе и когда играют на смартфоне.
• Платформу управления "умными тюрьмами", которая, судя по презентации, уже используется в нескольких регионах Китая.
• Интегрированную платформу электронной слежки за гражданами с использованием идентификаторов устройств (в презентации упоминаются отслеживание по Mac и Wifi), камер с распознаванием лиц и считывателей номеров автомобилей.

Реальный "Большой брат".

Ссылки:
1. https://www.washingtonpost.com/world/2021/12/14/huawei-surveillance-china/
2. https://www.washingtonpost.com/context/huawei-surveillance-voice-recording-analysis/b6523eb9-c55f-436e-bd8f-b3f1aa35b36d/?itid=lk_interstitial_manual_28
3. https://www.washingtonpost.com/context/huawei-surveillance-location-tracking/ce666144-f027-4405-9702-27e317893f56/?itid=lk_interstitial_manual_47
4. https://www.washingtonpost.com/context/huawei-surveillance-xinjiang-surveillance/c7b9de8a-920a-4380-a3ff-5420abf8c594/?itid=lk_interstitial_manual_56
5. https://www.washingtonpost.com/context/huawei-surveillance-prison-and-detention-center-monitoring/2661eb99-270e-4d9d-8fd9-2e7857f6e95d/?itid=lk_interstitial_manual_36

Apple выпустила приложение Tracker Detect для Android, которое ищет рядом с телефоном чужие метки Apple AirTag или другие отслеживающие устройства, совместимые с Apple-овским стандартом Find My.

Tracker Detect помогает решить проблему использования меток AirTag для скрытой слежки. Например, эти метки используют угонщики автомобилей - подкладывают в дорогие машины, чтобы выяснить, где их оставят на ночь.

Чтобы минимизировать возможности такой слежки, Apple изначально запрограммировала AirTag пищать через трое суток вдали от "своего" телефона, а в июне уменьшила время до 8-24 часов обновлением прошивки. Кроме этого, AirTag - не анонимны, каждый из них имеет уникальный серийный номер, привязанный к AppleID, но что к чему привязано, нужно запрашивать у Apple. Наконец, телефоны Apple сообщают владельцам о чужих AirTag метках поблизости. Теперь Apple выпустили решение для пользователей Android.

Но, кстати, подобные сторонние приложения существовали и до этого, например AirGuard из Fdroid. Новое приложение - просто официальное.

Ссылки:
https://play.google.com/store/apps/details?id=com.apple.trackerdetect
https://www.schneier.com/blog/archives/2021/12/thieves-using-airtags-to-follow-cars.html
https://www.f-droid.org/packages/de.seemoo.at_tracking_detection/

Мессенджер Signal выпустил обновление, в котором максимальное количество участников групповых аудио- и видеозвонков увеличено с пяти до 40.

В анонсе разработчики подробно описывают, как им удалось запилить поддержку групповых звонков с большим количеством участников и сквозным шифрованием одновременно. Говорят, что решали интересную проблему:

• Если все участники шлют свое аудио и видео каждому другому участнику по отдельности и так же получают (full mesh), то сквозное шифрование есть, но многим участникам будет не хватать пропускной способности - в звонке на 40 человек надо поддерживать 39 соединений.
• Если каждый участник шлет свое аудио и видео на сервер, а сервер "микширует" из этого единственный аудио и видео поток для каждого другого участника, то пропускной способности участникам будет хватать, но нельзя сделать сквозное шифрование - серверу нужны расшифрованные аудио- и видеопотоки каждого участника для микширования.
• Поэтому пришлось выбирать третий вариант: selective forwarding, когда каждый участник шлет свои аудио и видео на сервер, а сервер пересылает их остальным, не расшифровывая (потому что ключей шифрования у него нет). В результате команда Signal выбрала самостоятельно написать такой сервер и выложила код на GitHub.

Signal все-таки молодцы, они очень подробно объясняют, как у них что устроено. В подобных решениях как раз момент со сквозным шифрованием групповых звонков часто остается неясным.

https://signal.org/blog/how-to-build-encrypted-group-calls/

Канадские исследователи Citizen Lab выпустили подробный технический отчет о малвари Predator компании Cytrox - прямом конкуренте Pegasus от NSO Group. Примерно та же история - малварь-как-сервис для удаленного заражения телефонов жертв по заказу госорганов, но на этот раз производитель - в Европе.

Predator нашли на iPhone-ах двух египтян, оба заражения случились в июне этого года, распространяли ее ссылками в Whatsapp, на которые жертве нужно было нажать для заражения (то есть все-таки single click, требует активного действия от жертвы, а не как Pegasus). Версия для Android тоже есть. Исследователи поискали по интернету инфраструктуру малвари и предполагают, что клиенты Cytrox расположены в куче стран, в том числе Армении и Сербии.

Как проверить свои устройства: у Amnesty Tech есть приложение MVT, которое помогает определить заражение Pegasus-ом. И они вчера добавили себе на Github конфигурационные файлы, при помощи которых можно поискать на своих телефонах этот Predator. Только, если что, это не мобильное приложение и придется почитать документацию.

Ссылки:
https://citizenlab.ca/2021/12/pegasus-vs-predator-dissidents-doubly-infected-iphone-reveals-cytrox-mercenary-spyware/
https://docs.mvt.re/en/latest/iocs/

Мониторинговый проект OONI выпустил подробный технический отчет о российских блокировках Tor. Отчет суммирует все, что мы с вами наблюдаем с начала декабря, с красивыми графиками, ссылками на измерения и описанием методологии тестов.

▪️Доступ к сети Tor в России блокируется с 1 декабря.
▪️У OONI есть достаточно измерений из 65 российских автономных сетей (AS). Из них блокировки наблюдаются только в 15 AS, в том числе принадлежащих Tele2, МТС, Вымпелкому, Мегафону, Акадо-телеком, Уфанет, Netbynet и еще парочке (AS48092, AS3216, AS8334, AS8359, AS8402, AS12714, AS12958, AS15493, AS15582, AS15672, AS16345, AS24955, AS25159, AS31133, AS31208).
▪️В одной и той же сети у некоторых пользователей доступ может быть заблокирован, а у других пользователей - нет. Пример такой сети - AS16345 (VEON).
▪️Блокировки могут ненадолго отключаться, например, так было 8 декабря.
▪️Блокировка работает по IP-адресам, причем в некоторых сетях блокируются известные мосты obfs4.
▪️В реестре Роскомнадзора заблокированных сайтов IP-адресов сети Tor нет, поэтому видимо блокировка доступа к сети Tor технически устроена не так, как блокируются сайты из реестра.
▪️Российские провайдеры могут пытаться блокировать встроенный в Tor браузер транспорт для обхода блокировок Snowflake, но разработчики Tor Browser исправят проблему в следующем релизе.

Основная рекомендация - использовать мосты. Если вы все пропустили, официальная инструкция вот, а наша инструкция - здесь.

Ссылки:
https://ooni.org/post/2021-russia-blocks-tor/
https://forum.torproject.net/t/tor-blocked-in-russia-how-to-circumvent-censorship/982
https://xn--r1a.website/rks_tech_talk/323

Проект подписчика нашего канала - конструктор ботов Telegram. Опенсорс, можно разворачивать у себя на сервере, обещают не хранить сообщений и готовы допиливать по запросу под задачи конкретных заказчиков.

@OLGramBot - свободный конструктор ботов обратной связи в Telegram

• Связь с подписчиками ваших телеграм-каналов
• Обработка заявок клиентов в групповых чатах
• Автоответчик на сообщения клиентов ☎️
• Безопасность. Сервера проекта в Германии 🇩🇪
• Открытый код
• Никакой рекламы

Проект особенно пригодится:
• Администраторам телеграм-каналов
• Call-центрам, группам технической поддержки
• Продавцам и всем, кому нужно обрабатывать заявки клиентов в телеграме

Попробуйте: @OlgramBot
Большие информации: https://olgram.readthedocs.io

### реклама на канале ###

Владелец сайта encryptionin.space (это зеркало заблокированного в России сайта torproject.org) 16 декабря получил письмо от Роскомнадзора, а его зеркало было внесено в Реестр запрещенных сайтов и теперь тоже блокируется. Номер судебного решения в реестре - тот же, что и у изначального решения по сайту torproject.org, то есть этим решением будут блокировать зеркала.

До этого хозяин зеркала анонсировал его в ветке об обходе блокировки сайта torproject.org на форуме Tor Project (который на другом домене и поэтому в России не блокируется). По всей видимости, кто-то в Роскомнадзоре эту ветку читает. Теперь этот же человек анонсировал в ветке следующий набор рабочих зеркал, посмотрим, насколько долго проживут.

www.torproject.org > tor.invidious.site
support.torproject.org > support.tor.invidious.site
tb-manual.torproject.org > tb-manual.tor.invidious.site
gettor.torproject.org > gettor.tor.invidious.site
community.torproject.org > community.tor.invidious.site
blog.torproject.org > blog.tor.invidious.site
2019.www.torproject.org > 2019.tor.invidious.site

И понятно, что у него там просто обратный прокси, который перенаправляет запросы на заблокированный в России сайт. Но с этими меняющимися зеркалами как минимум проверять цифровые подписи скачанного исполняемого файла опять становится 100% обязательным. Если вы не в теме - самое время разобраться.

Ссылки:
https://reestr.rublacklist.net/search/?q=encryptionin.space
https://forum.torproject.net/t/tor-blocked-in-russia-how-to-circumvent-censorship/982/10
https://support.tor.invidious.site/ru/tbb/how-to-verify-signature/

До 30 декабря меняются правила использования Google Диска (который Drive). Google будет автоматически искать в аккаунтах файлы, которые нарушают политику использования, уведомлять об этом хозяина файлов и совершать одно из трех действий:

1. убирать с файлов возможность расшаривания и ставить на них метку в интерфейсе, но не удалять сами файлы.
2. удалять файлы.
3. аннулировать аккаунт, где хранятся файлы.

В анонсе пишут, что это шаг против размещения в Google Диске малвари и файлов, которые используются для фишинга, а также файлов, где содержится сексуально откровенный контент, язык вражды, и потенциально вредных для детей. Про пиратский контент ничего не пишут. Обещают, что будут делать исключения "по соображениям искусства, образования, документалистики или науки" и что решения можно будет обжаловать.

Анонс вызывает много вопросов. Например, это вообще нейронка будет перебирать все файлы или будут сравнивать хеши с известными базами, как это собирался делать Apple? И как будет происходить обжалование, модераторы будут сидеть и как-то отличать хороший "сексуально откровенный контент" от плохого? И можно ли пользователям будет хранить в Google Диске личные нюдсы, ведь многие синхронизируют свои фото с телефонов Android в Google Диск?

Редакция Techradar пыталась задавать в Google эти вопросы, но получила дежурный ответ, типа "мы постоянно прилагаем усилия для безопасности с сохранением приватности, максимальная безопасность для всех пользователей".

Но без всех этих подробностей непохоже на систему, в которой сохраняется приватность пользователей.

Ссылки:
https://workspaceupdates.googleblog.com/2021/12/abuse-notification-emails-google-drive.html
https://www.techradar.com/news/google-drive-could-soon-start-locking-your-personal-files
https://support.google.com/docs/answer/2463328

В 2022 году на Госуслугах/ЕСИА включат обязательную двухфакторную аутентификацию. Наверное, работать будет по-прежнему через смс, судя по тому, что 21 декабря Госдума приняла во втором чтении поправки, что такие смс от Госуслуг должны быть бесплатными. Пока у 90% пользователей Госуслуг второй фактор не подключен.

Отличная новость. Понятно, что у нас всех двухфакторная уже включена, но родственникам может понадобиться ваша помощь с ее настройкой, а то когда еще включат обязательную. Это раздел "Профиль - Безопасность - Вход с подтверждением по СМС".

https://iz.ru/1267696/anna-kaledina/na-kod-vpered-na-gosuslugakh-gotoviat-prinuditelnuiu-dvukhfaktornuiu-avtorizatciiu