Forwarded from Roskomsvoboda
❗️Tor Project запустил зеркало своего заблокированного в РФ сайта
Что известно сейчас:
🔹Блокировка происходит по решению Саратовского райсуда
🔹Зеркало находится вот здесь
🔹Поддомены кроме www не блокируются
🔹Доступен поддомен с мостами
🔹Tor Project обратился к русскоязычным специалистам за помощью
➡️ https://roskomsvoboda.org/post/torproject-vykatil-zerkalo
Что известно сейчас:
🔹Блокировка происходит по решению Саратовского райсуда
🔹Зеркало находится вот здесь
🔹Поддомены кроме www не блокируются
🔹Доступен поддомен с мостами
🔹Tor Project обратился к русскоязычным специалистам за помощью
➡️ https://roskomsvoboda.org/post/torproject-vykatil-zerkalo
Из возможных вариантов блокировки Тора наши власти применили практически все методы, но не на полную мощность:
0. Блокировка сайта Tor (реализовано)
1. Блокировка IP-адресов публичных Tor-нод (реализовано частично)
2. Блокировка публичных Tor-мостов (реализовано частично)
3. Блокировка транспорта (реализовано частично)
О том, как вообще работает Тор, что это за ноды и мосты, можно ли заблокировть Тор полностью (на текущий момент нельзя), что и как блокируется в текущий момент, и как обходить каждый из типов блокировок рассказываем в новом материале
https://roskomsvoboda.org/post/blokirovka-tor-na-palciah/
0. Блокировка сайта Tor (реализовано)
1. Блокировка IP-адресов публичных Tor-нод (реализовано частично)
2. Блокировка публичных Tor-мостов (реализовано частично)
3. Блокировка транспорта (реализовано частично)
О том, как вообще работает Тор, что это за ноды и мосты, можно ли заблокировть Тор полностью (на текущий момент нельзя), что и как блокируется в текущий момент, и как обходить каждый из типов блокировок рассказываем в новом материале
https://roskomsvoboda.org/post/blokirovka-tor-na-palciah/
Роскомсвобода
Блокировка Tor: что вообще происходит?
Технические специалисты «Роскомсвободы» объясняют, какие инструменты задействовало государство для ограничения доступа к популярному сервису и что можно сделать для возобновления его работы на ваших электронных устройствах.
👍1
Сегодня утром блокировку сети Tor (IP-адресов известных нод, некоторых мостов и транспорта snowflake) убрали, доступ к сети Tor у российских пользователей опять работает. Блокируется только веб-сайт torproject.org.
Сеть Tor опять блокируют, теперь о блокировках также сообщают абоненты МГТС.
Кроме этого пользователи сообщают, что сегодня с некоторых провайдеров перестал соединяться популярный бесплатный VPN Psiphon (https://www.psiphon3.com/ru/download.html), например он не соединяется на Мегафон Москва.
И кстати, вы тоже замечаете, что в последнее время блокировки перестали быть одинаковыми для всех и могут по-разному работать в разных городах и у разных операторов?
Кроме этого пользователи сообщают, что сегодня с некоторых провайдеров перестал соединяться популярный бесплатный VPN Psiphon (https://www.psiphon3.com/ru/download.html), например он не соединяется на Мегафон Москва.
И кстати, вы тоже замечаете, что в последнее время блокировки перестали быть одинаковыми для всех и могут по-разному работать в разных городах и у разных операторов?
Psiphon3
Psiphon | Скачайте приложение для Android или клиентское ПО для Windows.
Скачайте Psiphon для Windows и Android напрямую и бесплатно
Google выкинул из Play Store несколько приложений, которые работали с дата-брокером Huq, а еще нескольким разослал предупреждения - требует "гораздо яснее" описывать, какие данные они собирают и как передают дата-брокерам, иначе обещает тоже удалить из маркета.
Мы про Huq уже писали - они делают SDK, который встроен в кучу популярных мобильных приложений и собирает данные геолокации пользователей, это такой способ монетизации. В октябре расследователи из Motherboard выяснили, что некоторые приложения собирали данные без явного согласия, например, начинали собирать, если пользователь впервые открыл приложение, увидел запрос на сбор данных и закрыл приложение, ничего не выбирая. Хуже того, некоторые собирали данные, когда пользователь явно отказался. Huq тогда заявил, что они не при делах, типа разработчики сами должны получать и обрабатывать согласие пользователей, а Google обещал расследование.
Теперь понятно, как такие расследования работают. Жаль только, что Google сам не справляется за подобным следить, и нужно, чтобы эти истории искали внешние расследователи типа Motherboard.
https://www.vice.com/en/article/y3vp35/google-tells-apps-disclose-location-data-removed-huq
Мы про Huq уже писали - они делают SDK, который встроен в кучу популярных мобильных приложений и собирает данные геолокации пользователей, это такой способ монетизации. В октябре расследователи из Motherboard выяснили, что некоторые приложения собирали данные без явного согласия, например, начинали собирать, если пользователь впервые открыл приложение, увидел запрос на сбор данных и закрыл приложение, ничего не выбирая. Хуже того, некоторые собирали данные, когда пользователь явно отказался. Huq тогда заявил, что они не при делах, типа разработчики сами должны получать и обрабатывать согласие пользователей, а Google обещал расследование.
Теперь понятно, как такие расследования работают. Жаль только, что Google сам не справляется за подобным следить, и нужно, чтобы эти истории искали внешние расследователи типа Motherboard.
https://www.vice.com/en/article/y3vp35/google-tells-apps-disclose-location-data-removed-huq
Vice
Google Tells Specific Apps to Disclose Location Gathering or Be Removed
The move comes after Motherboard reported that apps working with a location data vendor called Huq were collecting data even when users opted-out.
В новой IOS 15.2 появилась функция "Отчет о конфиденциальности приложений" (она же App Privacy Report). Находится в разделе "Настройки-Конфиденциальность", по умолчанию отключена. Если включить, появляются разделы с инфой за последние семь дней (но накапливаться она начинает только после включения):
• Доступ к данным и сенсорам: какие приложения когда использовали какие разрешения, например, использовали GPS или обращались к адресной книге.
• Сетевая активность приложений: какие приложения обращались к каким доменам.
• Сетевая активность веб-сайтов: то же самое, но для браузеров.
• Часто контактируемые домены: то же самое, что сетевая активность, но отсортировано по доменам, а не по приложениям.
Выглядит очень удобно, но в отличие от специализированных приложений типа Lockdown Privacy это не настраиваемый файрволл, это только отчеты.
https://support.apple.com/ru-ru/HT212958
• Доступ к данным и сенсорам: какие приложения когда использовали какие разрешения, например, использовали GPS или обращались к адресной книге.
• Сетевая активность приложений: какие приложения обращались к каким доменам.
• Сетевая активность веб-сайтов: то же самое, но для браузеров.
• Часто контактируемые домены: то же самое, что сетевая активность, но отсортировано по доменам, а не по приложениям.
Выглядит очень удобно, но в отличие от специализированных приложений типа Lockdown Privacy это не настраиваемый файрволл, это только отчеты.
https://support.apple.com/ru-ru/HT212958
Apple Support
Сведения об отчете о конфиденциальности приложений
Узнайте, как отчет о конфиденциальности приложений помогает получить сведения о том, как приложения используют предоставленные им разрешения, а также о сетевой активности приложений.
В паблике всплыла сотня маркетинговых презентаций компании Huawei, в том числе продуктов для государственных и правоохранительных органов, которые китайская компания случайно выложила в публичный доступ. Журналисты Washington Post сделали по ним материал и перевели на английский пять самых интересных слайдов (ссылки на pdf-файлы в конце поста).
Судя по слайдам, Huawei производит:
• Платформу умных камер видеонаблюдения с системой распознавания лиц. Судя по слайдам, этот продукт используется в городе Урумчи с 2017 года.
• Продукт для определения личности говорящего на аудиозаписях по базе образцов голоса.
• Корпоративный продукт для слежки за сотрудниками при помощи умных камер, которые фиксируют, когда сотрудников нет на месте, когда они спят на работе и когда играют на смартфоне.
• Платформу управления "умными тюрьмами", которая, судя по презентации, уже используется в нескольких регионах Китая.
• Интегрированную платформу электронной слежки за гражданами с использованием идентификаторов устройств (в презентации упоминаются отслеживание по Mac и Wifi), камер с распознаванием лиц и считывателей номеров автомобилей.
Реальный "Большой брат".
Ссылки:
1. https://www.washingtonpost.com/world/2021/12/14/huawei-surveillance-china/
2. https://www.washingtonpost.com/context/huawei-surveillance-voice-recording-analysis/b6523eb9-c55f-436e-bd8f-b3f1aa35b36d/?itid=lk_interstitial_manual_28
3. https://www.washingtonpost.com/context/huawei-surveillance-location-tracking/ce666144-f027-4405-9702-27e317893f56/?itid=lk_interstitial_manual_47
4. https://www.washingtonpost.com/context/huawei-surveillance-xinjiang-surveillance/c7b9de8a-920a-4380-a3ff-5420abf8c594/?itid=lk_interstitial_manual_56
5. https://www.washingtonpost.com/context/huawei-surveillance-prison-and-detention-center-monitoring/2661eb99-270e-4d9d-8fd9-2e7857f6e95d/?itid=lk_interstitial_manual_36
Судя по слайдам, Huawei производит:
• Платформу умных камер видеонаблюдения с системой распознавания лиц. Судя по слайдам, этот продукт используется в городе Урумчи с 2017 года.
• Продукт для определения личности говорящего на аудиозаписях по базе образцов голоса.
• Корпоративный продукт для слежки за сотрудниками при помощи умных камер, которые фиксируют, когда сотрудников нет на месте, когда они спят на работе и когда играют на смартфоне.
• Платформу управления "умными тюрьмами", которая, судя по презентации, уже используется в нескольких регионах Китая.
• Интегрированную платформу электронной слежки за гражданами с использованием идентификаторов устройств (в презентации упоминаются отслеживание по Mac и Wifi), камер с распознаванием лиц и считывателей номеров автомобилей.
Реальный "Большой брат".
Ссылки:
1. https://www.washingtonpost.com/world/2021/12/14/huawei-surveillance-china/
2. https://www.washingtonpost.com/context/huawei-surveillance-voice-recording-analysis/b6523eb9-c55f-436e-bd8f-b3f1aa35b36d/?itid=lk_interstitial_manual_28
3. https://www.washingtonpost.com/context/huawei-surveillance-location-tracking/ce666144-f027-4405-9702-27e317893f56/?itid=lk_interstitial_manual_47
4. https://www.washingtonpost.com/context/huawei-surveillance-xinjiang-surveillance/c7b9de8a-920a-4380-a3ff-5420abf8c594/?itid=lk_interstitial_manual_56
5. https://www.washingtonpost.com/context/huawei-surveillance-prison-and-detention-center-monitoring/2661eb99-270e-4d9d-8fd9-2e7857f6e95d/?itid=lk_interstitial_manual_36
Вот несколько кадров из предыдущего поста. На первом - корпоративная система слежки за сотрудниками. На втором - интегрированная система слежки с использованием камер видеонаблюдения, идентификаторов гаджетов и номеров автомобилей.
Apple выпустила приложение Tracker Detect для Android, которое ищет рядом с телефоном чужие метки Apple AirTag или другие отслеживающие устройства, совместимые с Apple-овским стандартом Find My.
Tracker Detect помогает решить проблему использования меток AirTag для скрытой слежки. Например, эти метки используют угонщики автомобилей - подкладывают в дорогие машины, чтобы выяснить, где их оставят на ночь.
Чтобы минимизировать возможности такой слежки, Apple изначально запрограммировала AirTag пищать через трое суток вдали от "своего" телефона, а в июне уменьшила время до 8-24 часов обновлением прошивки. Кроме этого, AirTag - не анонимны, каждый из них имеет уникальный серийный номер, привязанный к AppleID, но что к чему привязано, нужно запрашивать у Apple. Наконец, телефоны Apple сообщают владельцам о чужих AirTag метках поблизости. Теперь Apple выпустили решение для пользователей Android.
Но, кстати, подобные сторонние приложения существовали и до этого, например AirGuard из Fdroid. Новое приложение - просто официальное.
Ссылки:
https://play.google.com/store/apps/details?id=com.apple.trackerdetect
https://www.schneier.com/blog/archives/2021/12/thieves-using-airtags-to-follow-cars.html
https://www.f-droid.org/packages/de.seemoo.at_tracking_detection/
Tracker Detect помогает решить проблему использования меток AirTag для скрытой слежки. Например, эти метки используют угонщики автомобилей - подкладывают в дорогие машины, чтобы выяснить, где их оставят на ночь.
Чтобы минимизировать возможности такой слежки, Apple изначально запрограммировала AirTag пищать через трое суток вдали от "своего" телефона, а в июне уменьшила время до 8-24 часов обновлением прошивки. Кроме этого, AirTag - не анонимны, каждый из них имеет уникальный серийный номер, привязанный к AppleID, но что к чему привязано, нужно запрашивать у Apple. Наконец, телефоны Apple сообщают владельцам о чужих AirTag метках поблизости. Теперь Apple выпустили решение для пользователей Android.
Но, кстати, подобные сторонние приложения существовали и до этого, например AirGuard из Fdroid. Новое приложение - просто официальное.
Ссылки:
https://play.google.com/store/apps/details?id=com.apple.trackerdetect
https://www.schneier.com/blog/archives/2021/12/thieves-using-airtags-to-follow-cars.html
https://www.f-droid.org/packages/de.seemoo.at_tracking_detection/
👍2
Мессенджер Signal выпустил обновление, в котором максимальное количество участников групповых аудио- и видеозвонков увеличено с пяти до 40.
В анонсе разработчики подробно описывают, как им удалось запилить поддержку групповых звонков с большим количеством участников и сквозным шифрованием одновременно. Говорят, что решали интересную проблему:
• Если все участники шлют свое аудио и видео каждому другому участнику по отдельности и так же получают (full mesh), то сквозное шифрование есть, но многим участникам будет не хватать пропускной способности - в звонке на 40 человек надо поддерживать 39 соединений.
• Если каждый участник шлет свое аудио и видео на сервер, а сервер "микширует" из этого единственный аудио и видео поток для каждого другого участника, то пропускной способности участникам будет хватать, но нельзя сделать сквозное шифрование - серверу нужны расшифрованные аудио- и видеопотоки каждого участника для микширования.
• Поэтому пришлось выбирать третий вариант: selective forwarding, когда каждый участник шлет свои аудио и видео на сервер, а сервер пересылает их остальным, не расшифровывая (потому что ключей шифрования у него нет). В результате команда Signal выбрала самостоятельно написать такой сервер и выложила код на GitHub.
Signal все-таки молодцы, они очень подробно объясняют, как у них что устроено. В подобных решениях как раз момент со сквозным шифрованием групповых звонков часто остается неясным.
https://signal.org/blog/how-to-build-encrypted-group-calls/
В анонсе разработчики подробно описывают, как им удалось запилить поддержку групповых звонков с большим количеством участников и сквозным шифрованием одновременно. Говорят, что решали интересную проблему:
• Если все участники шлют свое аудио и видео каждому другому участнику по отдельности и так же получают (full mesh), то сквозное шифрование есть, но многим участникам будет не хватать пропускной способности - в звонке на 40 человек надо поддерживать 39 соединений.
• Если каждый участник шлет свое аудио и видео на сервер, а сервер "микширует" из этого единственный аудио и видео поток для каждого другого участника, то пропускной способности участникам будет хватать, но нельзя сделать сквозное шифрование - серверу нужны расшифрованные аудио- и видеопотоки каждого участника для микширования.
• Поэтому пришлось выбирать третий вариант: selective forwarding, когда каждый участник шлет свои аудио и видео на сервер, а сервер пересылает их остальным, не расшифровывая (потому что ключей шифрования у него нет). В результате команда Signal выбрала самостоятельно написать такой сервер и выложила код на GitHub.
Signal все-таки молодцы, они очень подробно объясняют, как у них что устроено. В подобных решениях как раз момент со сквозным шифрованием групповых звонков часто остается неясным.
https://signal.org/blog/how-to-build-encrypted-group-calls/
Канадские исследователи Citizen Lab выпустили подробный технический отчет о малвари Predator компании Cytrox - прямом конкуренте Pegasus от NSO Group. Примерно та же история - малварь-как-сервис для удаленного заражения телефонов жертв по заказу госорганов, но на этот раз производитель - в Европе.
Predator нашли на iPhone-ах двух египтян, оба заражения случились в июне этого года, распространяли ее ссылками в Whatsapp, на которые жертве нужно было нажать для заражения (то есть все-таки single click, требует активного действия от жертвы, а не как Pegasus). Версия для Android тоже есть. Исследователи поискали по интернету инфраструктуру малвари и предполагают, что клиенты Cytrox расположены в куче стран, в том числе Армении и Сербии.
Как проверить свои устройства: у Amnesty Tech есть приложение MVT, которое помогает определить заражение Pegasus-ом. И они вчера добавили себе на Github конфигурационные файлы, при помощи которых можно поискать на своих телефонах этот Predator. Только, если что, это не мобильное приложение и придется почитать документацию.
Ссылки:
https://citizenlab.ca/2021/12/pegasus-vs-predator-dissidents-doubly-infected-iphone-reveals-cytrox-mercenary-spyware/
https://docs.mvt.re/en/latest/iocs/
Predator нашли на iPhone-ах двух египтян, оба заражения случились в июне этого года, распространяли ее ссылками в Whatsapp, на которые жертве нужно было нажать для заражения (то есть все-таки single click, требует активного действия от жертвы, а не как Pegasus). Версия для Android тоже есть. Исследователи поискали по интернету инфраструктуру малвари и предполагают, что клиенты Cytrox расположены в куче стран, в том числе Армении и Сербии.
Как проверить свои устройства: у Amnesty Tech есть приложение MVT, которое помогает определить заражение Pegasus-ом. И они вчера добавили себе на Github конфигурационные файлы, при помощи которых можно поискать на своих телефонах этот Predator. Только, если что, это не мобильное приложение и придется почитать документацию.
Ссылки:
https://citizenlab.ca/2021/12/pegasus-vs-predator-dissidents-doubly-infected-iphone-reveals-cytrox-mercenary-spyware/
https://docs.mvt.re/en/latest/iocs/
The Citizen Lab
Pegasus vs. Predator
Two Egyptians—exiled politician Ayman Nour and the host of a popular news program (who wishes to remain anonymous)—were hacked with Predator spyware, built and sold by the previously little-known mercenary spyware developer Cytrox. The phone of Ayman Nour…
Мониторинговый проект OONI выпустил подробный технический отчет о российских блокировках Tor. Отчет суммирует все, что мы с вами наблюдаем с начала декабря, с красивыми графиками, ссылками на измерения и описанием методологии тестов.
▪️Доступ к сети Tor в России блокируется с 1 декабря.
▪️У OONI есть достаточно измерений из 65 российских автономных сетей (AS). Из них блокировки наблюдаются только в 15 AS, в том числе принадлежащих Tele2, МТС, Вымпелкому, Мегафону, Акадо-телеком, Уфанет, Netbynet и еще парочке (AS48092, AS3216, AS8334, AS8359, AS8402, AS12714, AS12958, AS15493, AS15582, AS15672, AS16345, AS24955, AS25159, AS31133, AS31208).
▪️В одной и той же сети у некоторых пользователей доступ может быть заблокирован, а у других пользователей - нет. Пример такой сети - AS16345 (VEON).
▪️Блокировки могут ненадолго отключаться, например, так было 8 декабря.
▪️Блокировка работает по IP-адресам, причем в некоторых сетях блокируются известные мосты obfs4.
▪️В реестре Роскомнадзора заблокированных сайтов IP-адресов сети Tor нет, поэтому видимо блокировка доступа к сети Tor технически устроена не так, как блокируются сайты из реестра.
▪️Российские провайдеры могут пытаться блокировать встроенный в Tor браузер транспорт для обхода блокировок Snowflake, но разработчики Tor Browser исправят проблему в следующем релизе.
Основная рекомендация - использовать мосты. Если вы все пропустили, официальная инструкция вот, а наша инструкция - здесь.
Ссылки:
https://ooni.org/post/2021-russia-blocks-tor/
https://forum.torproject.net/t/tor-blocked-in-russia-how-to-circumvent-censorship/982
https://xn--r1a.website/rks_tech_talk/323
▪️Доступ к сети Tor в России блокируется с 1 декабря.
▪️У OONI есть достаточно измерений из 65 российских автономных сетей (AS). Из них блокировки наблюдаются только в 15 AS, в том числе принадлежащих Tele2, МТС, Вымпелкому, Мегафону, Акадо-телеком, Уфанет, Netbynet и еще парочке (AS48092, AS3216, AS8334, AS8359, AS8402, AS12714, AS12958, AS15493, AS15582, AS15672, AS16345, AS24955, AS25159, AS31133, AS31208).
▪️В одной и той же сети у некоторых пользователей доступ может быть заблокирован, а у других пользователей - нет. Пример такой сети - AS16345 (VEON).
▪️Блокировки могут ненадолго отключаться, например, так было 8 декабря.
▪️Блокировка работает по IP-адресам, причем в некоторых сетях блокируются известные мосты obfs4.
▪️В реестре Роскомнадзора заблокированных сайтов IP-адресов сети Tor нет, поэтому видимо блокировка доступа к сети Tor технически устроена не так, как блокируются сайты из реестра.
▪️Российские провайдеры могут пытаться блокировать встроенный в Tor браузер транспорт для обхода блокировок Snowflake, но разработчики Tor Browser исправят проблему в следующем релизе.
Основная рекомендация - использовать мосты. Если вы все пропустили, официальная инструкция вот, а наша инструкция - здесь.
Ссылки:
https://ooni.org/post/2021-russia-blocks-tor/
https://forum.torproject.net/t/tor-blocked-in-russia-how-to-circumvent-censorship/982
https://xn--r1a.website/rks_tech_talk/323
Проект подписчика нашего канала - конструктор ботов Telegram. Опенсорс, можно разворачивать у себя на сервере, обещают не хранить сообщений и готовы допиливать по запросу под задачи конкретных заказчиков.
@OLGramBot - свободный конструктор ботов обратной связи в Telegram
• Связь с подписчиками ваших телеграм-каналов
• Обработка заявок клиентов в групповых чатах
• Автоответчик на сообщения клиентов ☎️
• Безопасность. Сервера проекта в Германии 🇩🇪
• Открытый код
• Никакой рекламы
Проект особенно пригодится:
• Администраторам телеграм-каналов
• Call-центрам, группам технической поддержки
• Продавцам и всем, кому нужно обрабатывать заявки клиентов в телеграме
Попробуйте: @OlgramBot
Большие информации: https://olgram.readthedocs.io
### реклама на канале ###
@OLGramBot - свободный конструктор ботов обратной связи в Telegram
• Связь с подписчиками ваших телеграм-каналов
• Обработка заявок клиентов в групповых чатах
• Автоответчик на сообщения клиентов ☎️
• Безопасность. Сервера проекта в Германии 🇩🇪
• Открытый код
• Никакой рекламы
Проект особенно пригодится:
• Администраторам телеграм-каналов
• Call-центрам, группам технической поддержки
• Продавцам и всем, кому нужно обрабатывать заявки клиентов в телеграме
Попробуйте: @OlgramBot
Большие информации: https://olgram.readthedocs.io
### реклама на канале ###
Владелец сайта encryptionin.space (это зеркало заблокированного в России сайта torproject.org) 16 декабря получил письмо от Роскомнадзора, а его зеркало было внесено в Реестр запрещенных сайтов и теперь тоже блокируется. Номер судебного решения в реестре - тот же, что и у изначального решения по сайту torproject.org, то есть этим решением будут блокировать зеркала.
До этого хозяин зеркала анонсировал его в ветке об обходе блокировки сайта torproject.org на форуме Tor Project (который на другом домене и поэтому в России не блокируется). По всей видимости, кто-то в Роскомнадзоре эту ветку читает. Теперь этот же человек анонсировал в ветке следующий набор рабочих зеркал, посмотрим, насколько долго проживут.
www.torproject.org > tor.invidious.site
support.torproject.org > support.tor.invidious.site
tb-manual.torproject.org > tb-manual.tor.invidious.site
gettor.torproject.org > gettor.tor.invidious.site
community.torproject.org > community.tor.invidious.site
blog.torproject.org > blog.tor.invidious.site
2019.www.torproject.org > 2019.tor.invidious.site
И понятно, что у него там просто обратный прокси, который перенаправляет запросы на заблокированный в России сайт. Но с этими меняющимися зеркалами как минимум проверять цифровые подписи скачанного исполняемого файла опять становится 100% обязательным. Если вы не в теме - самое время разобраться.
Ссылки:
https://reestr.rublacklist.net/search/?q=encryptionin.space
https://forum.torproject.net/t/tor-blocked-in-russia-how-to-circumvent-censorship/982/10
https://support.tor.invidious.site/ru/tbb/how-to-verify-signature/
До этого хозяин зеркала анонсировал его в ветке об обходе блокировки сайта torproject.org на форуме Tor Project (который на другом домене и поэтому в России не блокируется). По всей видимости, кто-то в Роскомнадзоре эту ветку читает. Теперь этот же человек анонсировал в ветке следующий набор рабочих зеркал, посмотрим, насколько долго проживут.
www.torproject.org > tor.invidious.site
support.torproject.org > support.tor.invidious.site
tb-manual.torproject.org > tb-manual.tor.invidious.site
gettor.torproject.org > gettor.tor.invidious.site
community.torproject.org > community.tor.invidious.site
blog.torproject.org > blog.tor.invidious.site
2019.www.torproject.org > 2019.tor.invidious.site
И понятно, что у него там просто обратный прокси, который перенаправляет запросы на заблокированный в России сайт. Но с этими меняющимися зеркалами как минимум проверять цифровые подписи скачанного исполняемого файла опять становится 100% обязательным. Если вы не в теме - самое время разобраться.
Ссылки:
https://reestr.rublacklist.net/search/?q=encryptionin.space
https://forum.torproject.net/t/tor-blocked-in-russia-how-to-circumvent-censorship/982/10
https://support.tor.invidious.site/ru/tbb/how-to-verify-signature/
До 30 декабря меняются правила использования Google Диска (который Drive). Google будет автоматически искать в аккаунтах файлы, которые нарушают политику использования, уведомлять об этом хозяина файлов и совершать одно из трех действий:
1. убирать с файлов возможность расшаривания и ставить на них метку в интерфейсе, но не удалять сами файлы.
2. удалять файлы.
3. аннулировать аккаунт, где хранятся файлы.
В анонсе пишут, что это шаг против размещения в Google Диске малвари и файлов, которые используются для фишинга, а также файлов, где содержится сексуально откровенный контент, язык вражды, и потенциально вредных для детей. Про пиратский контент ничего не пишут. Обещают, что будут делать исключения "по соображениям искусства, образования, документалистики или науки" и что решения можно будет обжаловать.
Анонс вызывает много вопросов. Например, это вообще нейронка будет перебирать все файлы или будут сравнивать хеши с известными базами, как это собирался делать Apple? И как будет происходить обжалование, модераторы будут сидеть и как-то отличать хороший "сексуально откровенный контент" от плохого? И можно ли пользователям будет хранить в Google Диске личные нюдсы, ведь многие синхронизируют свои фото с телефонов Android в Google Диск?
Редакция Techradar пыталась задавать в Google эти вопросы, но получила дежурный ответ, типа "мы постоянно прилагаем усилия для безопасности с сохранением приватности, максимальная безопасность для всех пользователей".
Но без всех этих подробностей непохоже на систему, в которой сохраняется приватность пользователей.
Ссылки:
https://workspaceupdates.googleblog.com/2021/12/abuse-notification-emails-google-drive.html
https://www.techradar.com/news/google-drive-could-soon-start-locking-your-personal-files
https://support.google.com/docs/answer/2463328
1. убирать с файлов возможность расшаривания и ставить на них метку в интерфейсе, но не удалять сами файлы.
2. удалять файлы.
3. аннулировать аккаунт, где хранятся файлы.
В анонсе пишут, что это шаг против размещения в Google Диске малвари и файлов, которые используются для фишинга, а также файлов, где содержится сексуально откровенный контент, язык вражды, и потенциально вредных для детей. Про пиратский контент ничего не пишут. Обещают, что будут делать исключения "по соображениям искусства, образования, документалистики или науки" и что решения можно будет обжаловать.
Анонс вызывает много вопросов. Например, это вообще нейронка будет перебирать все файлы или будут сравнивать хеши с известными базами, как это собирался делать Apple? И как будет происходить обжалование, модераторы будут сидеть и как-то отличать хороший "сексуально откровенный контент" от плохого? И можно ли пользователям будет хранить в Google Диске личные нюдсы, ведь многие синхронизируют свои фото с телефонов Android в Google Диск?
Редакция Techradar пыталась задавать в Google эти вопросы, но получила дежурный ответ, типа "мы постоянно прилагаем усилия для безопасности с сохранением приватности, максимальная безопасность для всех пользователей".
Но без всех этих подробностей непохоже на систему, в которой сохраняется приватность пользователей.
Ссылки:
https://workspaceupdates.googleblog.com/2021/12/abuse-notification-emails-google-drive.html
https://www.techradar.com/news/google-drive-could-soon-start-locking-your-personal-files
https://support.google.com/docs/answer/2463328
Workspace Updates Blog
Google Workspace Updates: New notifications when Drive content violates abuse program policies
🤮1
В 2022 году на Госуслугах/ЕСИА включат обязательную двухфакторную аутентификацию. Наверное, работать будет по-прежнему через смс, судя по тому, что 21 декабря Госдума приняла во втором чтении поправки, что такие смс от Госуслуг должны быть бесплатными. Пока у 90% пользователей Госуслуг второй фактор не подключен.
Отличная новость. Понятно, что у нас всех двухфакторная уже включена, но родственникам может понадобиться ваша помощь с ее настройкой, а то когда еще включат обязательную. Это раздел "Профиль - Безопасность - Вход с подтверждением по СМС".
https://iz.ru/1267696/anna-kaledina/na-kod-vpered-na-gosuslugakh-gotoviat-prinuditelnuiu-dvukhfaktornuiu-avtorizatciiu
Отличная новость. Понятно, что у нас всех двухфакторная уже включена, но родственникам может понадобиться ваша помощь с ее настройкой, а то когда еще включат обязательную. Это раздел "Профиль - Безопасность - Вход с подтверждением по СМС".
https://iz.ru/1267696/anna-kaledina/na-kod-vpered-na-gosuslugakh-gotoviat-prinuditelnuiu-dvukhfaktornuiu-avtorizatciiu
Известия
На код вперед: на Госуслугах готовят обязательную двухфакторную авторизацию
Зачем Минцифры планирует усилить защиту пользователей
Сегодня, похоже, день новостей про двухфакторную аутентификацию. VK анонсировал сервис VK Protect.
* Во всех сервисах экосистемы (вот список) появляется аутентификация через VK ID и опциональная двухфакторная.
* С февраля 2022 года для администраторов сообществ "ВКонтакте" с более чем 10 тыс. подписчиков двухфакторная станет обязательной.
Ну что, индустрия явно двигается в сторону обязательной двухфакторной.
https://vk.com/press/vk-protect
* Во всех сервисах экосистемы (вот список) появляется аутентификация через VK ID и опциональная двухфакторная.
* С февраля 2022 года для администраторов сообществ "ВКонтакте" с более чем 10 тыс. подписчиков двухфакторная станет обязательной.
Ну что, индустрия явно двигается в сторону обязательной двухфакторной.
https://vk.com/press/vk-protect
VK
VK запускает реформу системы информационной безопасности и обновленную программу защиты данных пользователей — VK Protect | VK…
Программа объединит все технические решения, которые обеспечивают защиту в рамках экосистемы VK, и поможет людям эффективно управлять приватностью и использовать инструменты для защиты информации.
В последнем IOS 15.2 (а также iPadOS 15.2 и macOS 12.1) все-таки вышла новая функция "Родительского контроля", касающаяся отправки и получения детскими аккаунтами интимных фото через iMessage. По умолчанию она отключена, но если родитель ее включает, то ребенку такая фотография при получении показывается размытой, и нужно согласиться с предупреждением, чтобы ее посмотреть. Аналогично, при отправке интимного фото нужно согласиться с дополнительным предупреждением. Технология определения нюдсов отрабатывает локально на устройстве и ничего никуда не передает.
Когда в Apple изначально анонсировали эту функцию, то писали, что для пользователей младше 13 лет для просмотра интимных фото нужно будет согласиться, что копия уйдет родителям. В IOS 15.2 обязательного копирования родителям нет.
Кстати, непонятно, доступна ли эта функция пользователям IOS в России - ее просто нет в русском варианте анонса. Значит ли это, что у IOS разный функционал в разных странах?
https://support.apple.com/en-us/HT212788
https://support.apple.com/ru-ru/HT212788
Когда в Apple изначально анонсировали эту функцию, то писали, что для пользователей младше 13 лет для просмотра интимных фото нужно будет согласиться, что копия уйдет родителям. В IOS 15.2 обязательного копирования родителям нет.
Кстати, непонятно, доступна ли эта функция пользователям IOS в России - ее просто нет в русском варианте анонса. Значит ли это, что у IOS разный функционал в разных странах?
https://support.apple.com/en-us/HT212788
https://support.apple.com/ru-ru/HT212788
Apple Support
About iOS 15 Updates
iOS 15 brings audio and video enhancements to FaceTime, including spatial audio and Portrait mode. Shared with You resurfaces the articles, photos, and other shared content from your Messages conversations in the corresponding app. Focus helps you reduce…
Forwarded from запуск завтра
Помните историю, как израильская компания NSO Group продавала услуги взлома телефонов, когда среди жертв были министры, правозащитники и личные враги арабских шейхов? Там фигурировал взлом айфонов через уязвимость в сообщениях.
Достаточно знать номер жертвы и все — получаешь полный удаленный контроль над телефоном.
Google project zero опубликовал технический анализ этого взлома.
Процитирую резюме из вот этого краткого пересказа: вам приходит гифка, которая на самом деле пдфка, и ее по ошибке не копируют, а пытаются прочитать; в ней доисторическая картинка в формате ксероксов, которая в результате [ошибки] целочисленного переполнения может писать в память, и внутри этой "картинки" семьдесят тысяч блоков логических операций, которые эмулируют небольшой компьютер, который уже находит то место в памяти, которое нужно изменить, чтобы убежать из песочницы [получить полный контроль над телефоном].
Автор вспоминает корабли в бутылке, а у меня в ушах звучит вот эта ирландская песня.
Технически это шедевр, а использовали его для слежки, пыток и убийств.
Достаточно знать номер жертвы и все — получаешь полный удаленный контроль над телефоном.
Google project zero опубликовал технический анализ этого взлома.
Процитирую резюме из вот этого краткого пересказа: вам приходит гифка, которая на самом деле пдфка, и ее по ошибке не копируют, а пытаются прочитать; в ней доисторическая картинка в формате ксероксов, которая в результате [ошибки] целочисленного переполнения может писать в память, и внутри этой "картинки" семьдесят тысяч блоков логических операций, которые эмулируют небольшой компьютер, который уже находит то место в памяти, которое нужно изменить, чтобы убежать из песочницы [получить полный контроль над телефоном].
Автор вспоминает корабли в бутылке, а у меня в ушах звучит вот эта ирландская песня.
Технически это шедевр, а использовали его для слежки, пыток и убийств.
❤1