Моя презентация с конгресса EDPC о слежке через государственные мобильные приложения [1].
В презентации всё сказанное не передашь, так что задавайте вопросы/комментируйте в чате

Ссылки:
[1] www.beautiful.ai

#privacy
_______
Источник | #begtin

Моя презентация с конгресса EDPC о слежке через государственные мобильные приложения [1].
В презентации всё сказанное не передашь, так что задавайте вопросы/комментируйте в чате

Ссылки:
[1] www.beautiful.ai

#privacy
_______
Источник | #begtin

Объясните мне, знающие люди, зачем часть сайтов и, может быть, инфраструктуры Мэрии Москвы находится за пределами РФ? Например, хостится на серверах Hetzner, Германия. Это такой хостер-дискаунтер, хороший в своём классе, но далёкий от России.

Вот примеры:
- inno.mos.ru - IP: 78.46.71.197 (открывается пустая страница)
- cgrt.mos.ru - IP: 176.9.230.170 (не открывается)
- gk.tech.mos.ru - IP: 138.201.197.43 (заглушка на немецком языке)
- aupd-test.mos.ru - IP: 95.216.13.234 (тестовая страница Московской электронной школы)
- new.dit.mos.ru - IP: 176.9.230.170 (не открывается)

Я, конечно, всё понимаю, немецкое качество и всё такое, но как так можно случайно сделать?

Это не единственный зарубежный хостер на который указывают домены в зане mos.ru и этот список не финальный. Читающим меня сотрудникам ДИТ Москвы я бы посоветовал проверить тщательно, потому что нельзя так делать.

#privacy #security #internet #moscow
_______
Источник | #begtin

Обновление Tor Browser 11.0.1 с интеграцией поддержки сервиса Blockchair
[www.opennet.ru]

В новом выпуске в число поисковых движков добавлен сервис Blockchair, позволяющий осуществлять поиск по 17 блокчейнам популярных криптовалют (Bitcoin, Etherеum, DogeCoin, Litecoin, Monero и т.п.). Например, пользователь теперь может набрать в адресной строке номер криптокошелька или транзакции, выбрать Blockchair и получить подробную информацию о состоянии кошелька и связанных с ним операциях. Кроме поддержки Blockchair в новой версии также отключена система рекомендаций Firefox (рекомендуемые для установки дополнения) и устранена проблема с работой после изменения настройки "Always use private browsing mode" в about:preferences#privacy.
_______
Источник | #dcntr

Почему в прошлой публикации я написал что МИД мог бы свалить всю вину на разработчиков приложения?

Во-первых потому что в большинстве госприложений запрашивается меньше небезопасных разрешений. Так приложение МИДа запрашивает их 8 штук, аналогичные запросы делают только несколько приложений Московского Пр-ва, мы делали исследование год назад где писали об этом [1], но там это было, как бы, хотя бы частично обосновано.

А во вторых, и в главных, важно знать как устроено приложение МИДа. Это не специализированное мобильное приложение вроде Госуслуг, Госключа или Активного гражданина или ещё много чего. Это контентное приложение построенное на материалах сайта МИДа РФ. А если конкретнее - это оболочка над браузером который обращается к сайту m.mid.ru скорее всего сделанное на движке 1С Битрикс мобильное приложение [2].

Так вот совершенно непонятно зачем мобильному приложению которое, по сути, просто надстройка над сайтом и без дополнительных функций нужны разрешения на доступ к камере или записи аудио. В приложении просто не предусмотрены задачи для которых эти разрешения применимы.

После углублённого анализа выяснилось следующее.

Это сложное xapk приложение с набором вложенных apk файлов под разные языки и базовым приложением ru.mid.app.apk внутри этого xapk. В AndroidManifest.xml общего приложения затребуются максимум разрешений, а внутри ru.mid.app.apk их нет вообще. Поэтому при проверке по приложению указано то что при установке не затребуются. В итоге всё сводится к тому что:
1) Разработчики ошиблись в структуре манифеста затребующего разрешения, но именно разрешения из этого манифеста указываются в Google Apps и они используются всеми сервисами и инструментами анализа Android приложений.
2) МИД РФ не в курсе что по факту разрешения приложению не нужны, и начал оправдывать их запрос. Реакция МИДа была не вполне нормальной.
3) По факту приложение не может собирать аудио, подключаться к камере и тд. поскольку это приложение надстройка над мобильным сайтом МИДа, см. выше

В который раз, не масонская ложа, а великая лажа (с). Ну, ошибки разработчиков - это лучше чем заговор, но выглядит всё это вопиюще глупо.

Ссылки:
[1] privacygosmobapps.infoculture.ru
[2] www.1c-bitrix.ru

#privacy #security #android
_______
Источник | #begtin

Крайне любопытное новое устройство - втыкающийся в USB-разъем магнитный размыкатель, который вызывает заранее придуманное действие на компьютере. Типовое применение: стереть все данные с компьютера бухгалтера, если в помещение ворвались злоумышленники. Ну или просто блокировка экрана, если вы не настолько параноик.

Решение действительно неплохое, посмотрите видео - одно короткое действие, причем можно даже не касаться клавиатуры - и все готово. У меня есть точно такое же решение на базе Yubikey, но оно сильно сложнее и дороже. Но я и данные на диске всегда зашифрованными держу 🙂 www.buskill.in
_______
Источник | #addmeto

По поводу моей последней публикации про DNS4EU Евросоюза [1], Михаил Климарев (@zatelecom) прокомментировал у себя в телеграм канале [2] о том что Да, это будет цензура. Если вы денег заплатите.

Но нет, не только если вы денег заплатите. Я ещё раз обращаю на пункт 12. Lawful filtering это не про добровольность и не про родительский контроль, это про фильтрацию в соответствии с регулированием в странах Евросоюза, решениями судов и не только. Он явно указан в этой инициативе и маловероятно что не будет применяться.

Другой вопрос что ограничения на использование альтернативных DNS серверов и сервисов в Евросоюзе не вводятся, во всяком случае пока. Обязательности использования этих серверов также нет. Во всяком случае на сегодняшний день.

Ссылки:
[1] https://t.me/begtin/3447
[2] https://t.me/zatelecom/20261

#privacy #eu #internet #internetfiltering
_______
Источник | #begtin

MyVPN

Приложение для создания личного VPN-сервера. L2TP, PPTP, OpenVPN, WireGuard и д.р.

Провайдеры: DigitalOcean, Linode, CryptoServers, Hetzner Cloud

github.com

#soft #privacy #infosec #VPN
_______
Источник | #GitTools | #полезности

🇷🇺✌️🏛️#роструд #кт #работники #privacy
Работодатель не может запретить сотрудникам разглашать размер зарплаты
🔸В трудовом договоре работодатель запретил сотруднику разглашать размер зарплаты под угрозой дисциплинарной ответственности. Причина – по мнению работодателя, сведения о зарплате являются информацией, содержащей персональные данные. Роструд спросили, вправе ли работодатель включать такое положение в трудовой договор (Письмо Роструда от 24 мая 2022 г. № ПГ/11476-6-1).
🔸В письме сообщается, что обязать работника скрывать размер собственной зарплаты работодатель не вправе. В связи с этим такое условие, даже если оно включено в трудовой договор, не подлежит применению как противоречащее трудовому законодательству и ограничивающее права работника.
🔸Сославшись на письмо Роскомнадзора от 7 февраля 2014 г. № 08 КМ-3681, чиновники пояснили, что сведения о заработной плате лица являются информацией, содержащей персональные данные субъекта.
_______
Источник | #prv_adv

🌍😱📱#privacy #аналитика #meta #fb
Семь патентов Facebook, внушающих ужас:

1️⃣ Считывание ваших личных отношений — «Реконструкция статуса отношений пользователей соцсети». В заявке рассматривается возможность просчитать вероятность того, что вы находитесь в романтических отношениях – используя информацию о том, как часто вы посещаете страницу другого пользователя, сколько человек изображено на вашей аватарке и каков у вас процент друзей противоположного пола.

2️⃣ Классификация личности — «Определение характеристик личности пользователя через его коммуникации и характеристики в соцсети». В патенте предлагается использовать ваши посты и сообщения, чтобы сделать выводы о типе вашей личности. Описывается метод оценки «степени» экстраверсии (интроверсии) пользователя, открытости или эмоциональной стабильности, чтобы затем, исходя из этих характеристик, показывать вам новости и рекламу.

3️⃣ Предсказание вашего будущего — «Предсказание изменений в жизни участников соцсети». В этой заявке описывается использование ваших сообщений, а также данных о местоположении и транзакциях по банковским картам, чтобы предвидеть грядущие значимые изменения в жизни – рождение ребенка, смена места работы, выпускной и пр.

4️⃣ Идентификация вашей фотокамеры — «Привязка фотокамер к пользователям соцсети». Патент предлагает анализировать фотографии, чтобы создать уникальную «подпись» для каждой фотокамеры – основываясь на «битых» пикселях или царапинах на линзах. Эта подпись может быть использована, чтобы определить, что вы знакомы с кем-то, кто загружает снимки, сделанные на вашем устройстве, – даже если ранее связь между вами не была зафиксирована. Также с помощью этого приёма можно предположить близость между вами и вашим другом, основываясь на частоте использования вами одной и той же камеры.

5️⃣ Прослушивание окружающей вас обстановки — «Корреляция данных о медиапотреблении с профилем пользователя». Патент описывает возможность использования микрофона вашего телефона для идентификации телешоу, которые вы смотрите, и определения – понижаете ли вы звук рекламы во время просмотра ТВ. Также предлагается использовать «интерференционный узор, создаваемый силовым кабелем телевизора», чтобы определить, что за передача идет в данный момент.

6️⃣ Отслеживание распорядка вашей жизни — «Уведомления об отклонениях в распорядке жизни». Патентная заявка описывает способ отслеживать ваш еженедельный распорядок действий, и отправлять другим пользователям уведомления об отклонениях от обычного расписания. Дополнительно предлагается считывать геоданные вашего телефона посреди ночи – чтобы установить, где вы живете.

7️⃣ Выводы о ваших привычках — «Статистика для непрерывного отслеживания местоположения». В патенте предлагается сопоставлять локацию вашего телефона с локациями телефонов ваших друзей, чтобы вычислить, с кем вы встречаетесь чаще всего. Также предлагается фиксировать, как долго телефон не перемещается, чтобы определить, сколько часов вы спите.
_______
Источник | #prv_adv

Результаты свежего исследования Инфокультуры с анализом приватности (читай - слежки) 1014 мобильных приложений для Android опубликованных в магазине приложений RuStore.

Мы работали над ним около месяца, анализируя все опубликованные приложения на предмет тех разрешений которые затребуют на устройствах пользователей и наличия в них кода специальных библиотек (трекеров) используемых для слежки за потребителями.

Почему RuStore и приложения оттуда? Потому что усилиями Минцифры РФ и Правительства РФ именно этот магазин приложений стал официальным, фактически, нормативно закреплённым. Можно говорить о том что компания ВК и Правительство РФ теперь несут совокупную ответственность за то как приложения оттуда следят за нами.

Выводы [не]удивительные:
- большая часть приложения включает трекеры, требуют больше разрешений чем им реально может быть нужно, а сам магазин приложений не имеет стандартов верификации.
- большая часть приложений передают данные компаниям в юрисдикциях которые Правительство РФ называет "недружественными"
- даже госприложения включают трекеры, например компании Google, передающие данные о гражданах в другие страны и в BigTech корпорации

44 госприложения мы анализировали в прошлом году, но в этот раз решили подойти масштабнее и проанализировали 1014 приложений всех категорий. Было это дольше, но не менее увлекательно.

С результатами исследования мы публикуем все данные в CSV и исходный код по их подготовке [2].

Если будут сложности самостоятельного анализа данных в CSV и если Вы журналист или исследователь, хотите сделать собственную визуализацию или материал, свяжитесь с нами на infoculture@infoculture.ru, мы поможем․

Ссылки:
[1] rustoreprivacy.infoculture.ru
[2] github.com

#privacy #infoculture #android #mobileapps
_______
Источник | #begtin

Если вам кажется что только в Вашей стране, где бы Вы ни были, всё делают через одно место и это не голова, то это не так. Например, Chaos Computer Club (CCC), старейшая хакерская команда в Германии, пишут о том что германская компания Gematik отвечающая за информатизацию здравоохранения плохо понимают в информационной безопасности того что они делают [1].

Текст на немецком языке, но легко переводится и смысл его в том что по номеру медицинской страховки сотрудник аптеки может получить о человеке всю информацию о его рецептах, без дополнительной авторизации и подтверждения самого человека. Учитывая что в Германии идёт цифровизация здравоохранения с переходом на электронные рецепты - то это становится актуально.

Я бы ещё обратил внимание на модель угроз которую они описывают. Сотрудник аптеки может продать таблоидам номера страховок знаменитостей и те могут узнать из рецептов от чего знаменитости лечатся.

Это не единственный "косяк" от Gematik, но достаточно яркий.

А если вернуться к российским реалиям, то для авторизации на российском портале ЕМИАС [2] достаточно номера карточки медицинского страхования и даты рождения. После этого доступны данные о записях к врачам, рецептам и направлениям (хорошо хоть не самой медкарты).

Это означает что любой врач в системе ОМС имеющий доступ к Вашему анамнезу может увидеть всю эту информацию на сайте ЕМИАС и Вы никогда об этом не узнаете. Но, всё интереснее. В медицинских полисах последние 6 цифр - это и есть дата рождения. Если у кого-то есть номер вашего мед полиса и даже если этот кто-то не знает даты Вашего рождения он/она может получить доступ к этому же личному кабинету.

Страны разные, проблемы похожие.

Ссылки:
[1] www.ccc.de
[2] emias.info

#security #privacy #germany #russia
__
Источник | #begtin
#хроникицифровизации

​mautrix-telegram – гибридный мост Matrix-Telegram для организации общения между пользователями разных протоколов шифрования (Matrix и MTProto)

Мосты создаются по инициативе Matrix. После поднятия и настройки вы можете взаимодействовать с группами и пользователями, как если бы они были Matrix комнатами и Matrix пользователями

⤷ Ссылка на проект

GitHub | #Interesting #Privacy #Security #Telegram
_______
Source: GitHub Community

Я вот уже несколько дней отказываюсь комментировать журналистам всё что связано с мобилизацией, войной, информатизацией военкоматов. Сейчас предостаточно политологов которые комментируют происходящее чуть ли не ежеминутно.

Я лично нахожусь в России, и надеюсь находится так долго как только смогу, как бы власти не усложняли жизнь мне и многим другим.

Но есть то я могу точно сказать и о чём говорить важно. Вся эта история с "отечественными сертификатами" у Сбербанка и корневыми сертификатами НУЦ Минцифры очень плохая.

Смысл сертификата в том чтобы обеспечивать защищённый канал связи между пользователем и сервером. Корневой сертификат необходим для того чтобы браузеры и другое ПО не выдавало ошибки при попытках связи с серверами использующими сертификаты выпущенные удостоверяющими центрами (УЦ).

УЦ, в свою очередь проходят определенную сертификацию для того чтобы обеспечить это доверие. Число таких корневых сертификатов в ОС Windows, MacOS, IOS, Android ограничено и то что там за все эти годы не появилось российского корневого УЦ должно только настораживать.

Добавив корневой сертификат в доверенные, сделает доверенными не только сертификат Сбербанка, но и может быть выпущен сертификат с помощью которого можно перехватывать трафик к HTTPS сайтам, например, органами правоохраны. Власти Казахстана пытались навязать госсертификат в декабре 2020 года (легко гуглится), но всё это провалилось в итоге. А здесь даже принуждения нет, вернее оно через принуждение сервисом: хочешь Сбербанк - ставь сертификат.

Поэтому, если всё таки, жизнь так распорядилась что доступ к сайту Сбербанка необходим или на другие сайты его распространят я рекомендую:
- либо устанавливать сертификат на отдельное, редко используемое устройство;
- либо устанавливать его на виртуальную операционную систему; используемую редко и не устанавливать его на основное устройство(-а)
- либо перестать использовать Сбербанк и любой иной сервис который такие сертификаты будет навязывать

#security #privacy
_______
Источник | #begtin

Подробности по делу за использование VPN, на самом деле там оказался не VPN, а мессенжер Vipole

что ничуть не лучше, поскольку формулировки дела таковы:
...осуществил поиск вредоносной компьютерной программы «Vipole», выражающейся в невозможности однозначной идентификации пользователя сети «Интернет» и его сетевой активности...
и
...осознавая, что использование данной программы приведет к нейтрализации средств защиты компьютерной информации провайдеров, регулярно осуществлял запуск вредоносной компьютерной программы «Vipole» со своего персонального компьютера, тем самым используя ее...

Под эти формулировки попадают, и VPN, и мессенжеры вроде Signal и ещё много что.

#privacy #security #vpn #messengers
_______
Источник | #begtin

#news #privacy

American Privacy Rights Act

Обсуждения законодательных органов США о защите конфиденциальности в Интернете, начатые еще в 2019, наконец привели к проекту двухпартийного закона о конфиденциальности данных American Privacy Rights Act. Закон призван ограничить данные потребителей, которые технологические компании могут собирать, и даст американцам право предотвращать продажу личной информации или принуждать к ее удалению. В планах также создание нового бюро, занимающееся вопросами конфиденциальности. Законопроект любопытен к изучению в совокупности с уже имеющимися законами штатов.

ссылка на пост
ссылка на cheat sheet
ссылка на Consumer Privacy Bills по штатам

___________
_______
Источник | #mooreslaws
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot