docs.google.com и telegra.ph разблокированы. Но похоже, что за время ночной блокировки запрещённый список разрешённых кандидатов ушёл уже на многие UGC-площадки: Medium, GitHub…
Вчера Microsoft разрешил пользователям совсем отказаться от использования паролей в аккаунте Microsoft и связанных с ним сервисах, например, электронной почте live.com. Для этого нужно установить на телефон их приложение Microsoft Authenticator, привязать его к аккаунту Microsoft и потом отключить пароль в настройках (Security - additional security - passwordless account). После этого при попытке залогиниться в учетную запись приложение на телефоне предлагает "Утвердить" или "Отклонить".
Кроме этого для беспарольного доступа можно использовать Windows Hello, коды через смс и по имейл, а также физические ключи. Беспарольный доступ не поддерживается для:
• Xbox 360
• Office 2010/Office for Mac 2011 или более ранних версий
• Windows 8.1, Windows 7 или более ранних версий.
• Windows Remote Desktop.
• Доступа к электронной почте по протоколам IMAP и POP.
В общем, Microsoft пытается избавиться от паролей и считает привязанное устройство более надежным способом аутентификации.
Ссылки:
[1] https://www.microsoft.com/security/blog/2021/09/15/the-passwordless-future-is-here-for-your-microsoft-account/
[2] https://support.microsoft.com/en-us/account-billing/strengthen-security-for-your-account-and-sign-in-faster-by-removing-your-password-4d4b4267-7d04-4402-9aac-4436a063d004
Кроме этого для беспарольного доступа можно использовать Windows Hello, коды через смс и по имейл, а также физические ключи. Беспарольный доступ не поддерживается для:
• Xbox 360
• Office 2010/Office for Mac 2011 или более ранних версий
• Windows 8.1, Windows 7 или более ранних версий.
• Windows Remote Desktop.
• Доступа к электронной почте по протоколам IMAP и POP.
В общем, Microsoft пытается избавиться от паролей и считает привязанное устройство более надежным способом аутентификации.
Ссылки:
[1] https://www.microsoft.com/security/blog/2021/09/15/the-passwordless-future-is-here-for-your-microsoft-account/
[2] https://support.microsoft.com/en-us/account-billing/strengthen-security-for-your-account-and-sign-in-faster-by-removing-your-password-4d4b4267-7d04-4402-9aac-4436a063d004
Помните, как неделю назад ботнет из роутеров Mikrotik атаковал Яндекс? Теперь компания Mikrotik выпустила инструкцию, что нужно проверить хозяевам этих роутеров в админке, чтобы убедиться, что ваш роутер не входит в ботнет:
• System -> Scheduler. Убиваем непонятные скрипты.
• IP -> Socks прокси. Если это не вы сами настраивали, удаляйте.
• L2TP клиент под названием "lvpn" или другие, которые вы не узнаете.
• Правило файрволла в цепочке input для порта 5678.
Попутно напоминают регулярно обновлять прошивки, не "светить" порты наружу в интернет и поменять пароли. Собственно вся история случилась от того, что хозяева кучи роутеров Mikrotik не обновляли их с 2018 года, а сами эти роутеры обновляться не умеют.
В общем, если у вас Mikrotik - лезьте в админку проверять и обновляться.
Кстати, одновременно с этим на сайте Qrator Labs появилась возможность проверить, входит ли ваш IP-адрес в число известных адресов этого ботнета. Это в верхнем правом углу, окошко называется Meris botnet checker.
Ссылки:
[1] https://habr.com/ru/company/yandex/blog/577026/
[2] https://blog.mikrotik.com/security/meris-botnet.html
[3] https://radar.qrator.net/
• System -> Scheduler. Убиваем непонятные скрипты.
• IP -> Socks прокси. Если это не вы сами настраивали, удаляйте.
• L2TP клиент под названием "lvpn" или другие, которые вы не узнаете.
• Правило файрволла в цепочке input для порта 5678.
Попутно напоминают регулярно обновлять прошивки, не "светить" порты наружу в интернет и поменять пароли. Собственно вся история случилась от того, что хозяева кучи роутеров Mikrotik не обновляли их с 2018 года, а сами эти роутеры обновляться не умеют.
В общем, если у вас Mikrotik - лезьте в админку проверять и обновляться.
Кстати, одновременно с этим на сайте Qrator Labs появилась возможность проверить, входит ли ваш IP-адрес в число известных адресов этого ботнета. Это в верхнем правом углу, окошко называется Meris botnet checker.
Ссылки:
[1] https://habr.com/ru/company/yandex/blog/577026/
[2] https://blog.mikrotik.com/security/meris-botnet.html
[3] https://radar.qrator.net/
Сегодня у многих российских пользователей перестал работать Newpipe, популярный сторонний клиент для Youtube на Android. При этом вебсайт и официальный клиент Youtube - работают. Выглядит так, как будто Newpipe попал под раздачу случайно, а пытаются блокировать что-то другое, но что - пока непонятно.
Кстати, если вы хотите обсуждать, что у кого работает, а что - заблокировано, приходите в чат этого канала.
Ссылки:
[1] https://ntc.party/t/tls-youtube/1311/9
UPD: [2] https://github.com/TeamNewPipe/NewPipe/issues/7114
Кстати, если вы хотите обсуждать, что у кого работает, а что - заблокировано, приходите в чат этого канала.
Ссылки:
[1] https://ntc.party/t/tls-youtube/1311/9
UPD: [2] https://github.com/TeamNewPipe/NewPipe/issues/7114
Вчера Apple и Google сходили[1] в Совет Федерации на ковёр за «вмешательство в выборы», а сегодня удалили приложение Навального из сторов[2], а Apple ещё и отключил свой почти-VPN для России[3].
Если первое можно назвать скорее вынужденным шагом, чтобы избежать дальнейшей конфронтации, при этом это не сильная репутационная проблема для них, то причина закрытия частного узла пока неизвестна. Но скорее всего то же давление со стороны властей, и если в некоторых странах сервис заранее не запускался (Китай, Беларусь, Колумбия, Египет, Казахстан, Саудовская Аравия, ЮАР, Туркменистан, Уганда, Филиппины), то добавить в этот список новую страну, проблемы не оказалось.
[1] http://council.gov.ru/events/news/129769/
[2] https://www.iphones.ru/iNotes/apple-otklyuchila-dlya-rossii-funkciyu-chastnyy-uzel-v-ios-15-i-macos-12-09-16-2021
[3] https://www.google.ru/amp/s/www.kommersant.ru/amp/4988251
Если первое можно назвать скорее вынужденным шагом, чтобы избежать дальнейшей конфронтации, при этом это не сильная репутационная проблема для них, то причина закрытия частного узла пока неизвестна. Но скорее всего то же давление со стороны властей, и если в некоторых странах сервис заранее не запускался (Китай, Беларусь, Колумбия, Египет, Казахстан, Саудовская Аравия, ЮАР, Туркменистан, Уганда, Филиппины), то добавить в этот список новую страну, проблемы не оказалось.
[1] http://council.gov.ru/events/news/129769/
[2] https://www.iphones.ru/iNotes/apple-otklyuchila-dlya-rossii-funkciyu-chastnyy-uzel-v-ios-15-i-macos-12-09-16-2021
[3] https://www.google.ru/amp/s/www.kommersant.ru/amp/4988251
Совет Федерации Федерального Собрания Российской Федерации
А. Климов: Иностранные цифровые компании должны выполнить обоснованные требования российской стороны о невмешательстве в выборы
Временная комиссия СФ по защите государственного суверенитета и предотвращению вмешательства во внутренние дела РФ обсудила факты вмешательства компаний Google и Apple в выборы в Государственную Думу.
При этом заметьте, гугл-документ с незаконной выборкой разрешённых кандидатов все ещё доступен.
Ого!
«Google removed the app in Russia under pressure after officials threatened to imprison its local employees, a person close to the company said, speaking on condition of anonymity. Apple and Google didn’t immediately respond to requests for comment.»
Гугл и Apple удалили приложения после угрозы посадить в тюрьму их местных сотрудников.
https://www.bloomberg.com/news/articles/2021-09-16/russia-targets-google-apple-in-crackdown-before-elections
«Google removed the app in Russia under pressure after officials threatened to imprison its local employees, a person close to the company said, speaking on condition of anonymity. Apple and Google didn’t immediately respond to requests for comment.»
Гугл и Apple удалили приложения после угрозы посадить в тюрьму их местных сотрудников.
https://www.bloomberg.com/news/articles/2021-09-16/russia-targets-google-apple-in-crackdown-before-elections
Bloomberg.com
Russian Opposition Blasts Google, Apple For Pulling Vote App
Russian opposition activists accused Apple Inc. and Alphabet Inc.’s Google of removing a protest-voting app from their Russian stores Friday under pressure from authorities as parliamentary elections got underway.
В полночь Павел Дуров выпустил пост [1] о том, что Телеграм блокирует бот Умного голосования из-за "дней тишины".
"Так как предвыборная кампания в России подошла к концу и начался сам процесс выборов, начинаются так называемые "дни тишины" – закрепленная в законах многих стран традиция, которая предусматривает отсутствие агитации в ходе самих выборов. Мы считаем эту практику легитимной и призываем пользователей Telegram уважать ее – с полуночи по московскому времени мы планируем ограничить функционирование ботов, связанных с предвыборной агитацией."
Ночью также были выпилены фейковые боты [2], которые маскировались под УМГ.
Ссылки:
[1] https://t.me/durov_russia/32
[2] https://twitter.com/zd_vladislav/status/1438999540003221505
"Так как предвыборная кампания в России подошла к концу и начался сам процесс выборов, начинаются так называемые "дни тишины" – закрепленная в законах многих стран традиция, которая предусматривает отсутствие агитации в ходе самих выборов. Мы считаем эту практику легитимной и призываем пользователей Telegram уважать ее – с полуночи по московскому времени мы планируем ограничить функционирование ботов, связанных с предвыборной агитацией."
Ночью также были выпилены фейковые боты [2], которые маскировались под УМГ.
Ссылки:
[1] https://t.me/durov_russia/32
[2] https://twitter.com/zd_vladislav/status/1438999540003221505
Telegram
Павел Дуров
Сегодня Apple и Google заблокировали приложение Алексея Навального в России. В итоге основным предвыборным инструментом от команды Навального для россиян стал бот Умного Голосования в Telegram. Мы рады, что миллионы россиян имели возможность воспользоваться…
Интересный момент тут такой:
- перед текущими выборами «день тишины отменили» для этих выборов
- запрет агитации вступил на сутки раньше - в ночь с 16 на 17 сентября.
- перед текущими выборами «день тишины отменили» для этих выборов
- запрет агитации вступил на сутки раньше - в ночь с 16 на 17 сентября.
Известный исследователь статистики выборов Сергей Шпилькин обратил внимание, что на сайте российского ЦИК используется новое техническое решение, препятствующее автоматическому парсингу (копированию с сайта для анализа) результатов выборов. "Похоже, они нагенерили случайных кастомных стилей, и каждое число (не цифра) кодируется символом и его стилем. Это не обычный шифр Цезаря".
В сочетании с рейт-лимитингом (ограничением запросов с одного айпи) и капчей эта штука реально пока защищает результаты выборов на сайте ЦИК от автоматического парсинга исследователями. Непростое решение, и это же кто-то его специально разрабатывал!
Ссылка: https://www.facebook.com/sergey.shpilkin/posts/4392964697458799
В сочетании с рейт-лимитингом (ограничением запросов с одного айпи) и капчей эта штука реально пока защищает результаты выборов на сайте ЦИК от автоматического парсинга исследователями. Непростое решение, и это же кто-то его специально разрабатывал!
Ссылка: https://www.facebook.com/sergey.shpilkin/posts/4392964697458799
Вчера вышла IOS 15/IpadOS 15.
Обещанная функция "Частный узел", которая должна была быть новым крутым VPN от Apple, "не поддерживается в некоторых странах и регионах, в числе которых - Россия." Поэтому в настройках Safari опцию "скрытие IP-адреса от вебсайтов" (тот же "Частный узел", только настройка в другом месте) в России тоже не завезли.
Все остальное вроде есть:
• Теперь в Safari можно скрывать IP-адрес от трекеров: Настройки - Safari - Конфиденциальность и безопасность - Скрытие IP-адреса - От трекеров.
• В почтовом клиенте появилась опция "Защита конфиденциальности": Настройки - Почта - Защита конфиденциальности. Она сама скачивает картинки из email-ов в промежуточное хранилище, Apple Privacy Cache, а потом показывает пользователю уже оттуда, когда он их запросит. Это мешает компаниям, рассылающим маркетинговые имейлы, следить за тем, открывали ли их имейл, и откуда.
• В "Настройки - Конфиденциальность - Отслеживание активности" можно смотреть, какие приложения запрашивали какие разрешения (например, геопозицию и микрофон) за последние семь дней.
• Появилась возможность сохранять коды двухфакторной аутентификации во встроенной хранилке паролей и подставлять оттуда: "Настройки - Пароли - Настроить код проверки".
• Ссылки звонков мессенджера Facetime теперь можно отправлять пользователям, у которых нет гаджетов Apple. Это ссылки типа https://facetime.apple.com/join/#, они открываются браузером.
• Появилась возможность разрешить приложению доступ к геопозиции однократно.
• Только для платных подписчиков iCloud+ (50 гигабайт за 59 рублей в месяц) завезли функцию "iСloud - Скрыть e-мейл". Это алиасы для пересылки в домене @icloud.com.
А еще Apple больше не заставляет переходить на последнюю мажорную (в смысле "большую") версию своей мобильной операционной системы, чтобы получать обновления безопасности. Можно остаться на IOS 14 и продолжать их получать, это само по себе новость.
Ссылка: https://www.apple.com/ios/ios-15/
Обещанная функция "Частный узел", которая должна была быть новым крутым VPN от Apple, "не поддерживается в некоторых странах и регионах, в числе которых - Россия." Поэтому в настройках Safari опцию "скрытие IP-адреса от вебсайтов" (тот же "Частный узел", только настройка в другом месте) в России тоже не завезли.
Все остальное вроде есть:
• Теперь в Safari можно скрывать IP-адрес от трекеров: Настройки - Safari - Конфиденциальность и безопасность - Скрытие IP-адреса - От трекеров.
• В почтовом клиенте появилась опция "Защита конфиденциальности": Настройки - Почта - Защита конфиденциальности. Она сама скачивает картинки из email-ов в промежуточное хранилище, Apple Privacy Cache, а потом показывает пользователю уже оттуда, когда он их запросит. Это мешает компаниям, рассылающим маркетинговые имейлы, следить за тем, открывали ли их имейл, и откуда.
• В "Настройки - Конфиденциальность - Отслеживание активности" можно смотреть, какие приложения запрашивали какие разрешения (например, геопозицию и микрофон) за последние семь дней.
• Появилась возможность сохранять коды двухфакторной аутентификации во встроенной хранилке паролей и подставлять оттуда: "Настройки - Пароли - Настроить код проверки".
• Ссылки звонков мессенджера Facetime теперь можно отправлять пользователям, у которых нет гаджетов Apple. Это ссылки типа https://facetime.apple.com/join/#, они открываются браузером.
• Появилась возможность разрешить приложению доступ к геопозиции однократно.
• Только для платных подписчиков iCloud+ (50 гигабайт за 59 рублей в месяц) завезли функцию "iСloud - Скрыть e-мейл". Это алиасы для пересылки в домене @icloud.com.
А еще Apple больше не заставляет переходить на последнюю мажорную (в смысле "большую") версию своей мобильной операционной системы, чтобы получать обновления безопасности. Можно остаться на IOS 14 и продолжать их получать, это само по себе новость.
Ссылка: https://www.apple.com/ios/ios-15/
Тестирование блокировок VPN продолжаются. Сейчас блокируется на ТСПУ страница саппорта NordVPN, а пользователи из регионов сообщают о проблемах самого NordVPN.
Министерство обороны Литвы опубликовало результаты собственного исследования безопасности трех популярных китайских смартфонов с поддержкой 5G: Huawei P40 5G, Xiaomi Mi 10T 5G и OnePlus 8T 5G.
Результаты: смартфоны Xiaomi отсылают скрытую зашифрованную смску в при регистрации нового смартфона в Xiaomi Cloud, какие-то служебные данные. А еще аудиторы нашли на телефоне Xiaomi обновляемый файл
/data/user/0/com.android.thememanager/files/MiAdBlacklistConfig
со списком терминов, запрещенных в Китае. Список стандартный: "Свободный Тибет", "Независимость Монголии", "Демократическое движение", "Голос Америки", "Да здравствует независимость Тайваня", названия каких-то исламских организаций. Всего 449 строк. В ЕС фильтрация отключена, но, если Xiaomi захочет, может удаленно включить.
А больше аудиторы особо ничего не нашли, только что обновления безопасности на Android поздно приходят, но это мы и так знаем.
Ссылка (pdf на литовском): https://kam.lt/download/72223/5g-cn-tyrimas[.]pdf
Результаты: смартфоны Xiaomi отсылают скрытую зашифрованную смску в при регистрации нового смартфона в Xiaomi Cloud, какие-то служебные данные. А еще аудиторы нашли на телефоне Xiaomi обновляемый файл
/data/user/0/com.android.thememanager/files/MiAdBlacklistConfig
со списком терминов, запрещенных в Китае. Список стандартный: "Свободный Тибет", "Независимость Монголии", "Демократическое движение", "Голос Америки", "Да здравствует независимость Тайваня", названия каких-то исламских организаций. Всего 449 строк. В ЕС фильтрация отключена, но, если Xiaomi захочет, может удаленно включить.
А больше аудиторы особо ничего не нашли, только что обновления безопасности на Android поздно приходят, но это мы и так знаем.
Ссылка (pdf на литовском): https://kam.lt/download/72223/5g-cn-tyrimas[.]pdf
EFF официально отправляет на пенсию легендарное расширение для браузеров HTTPS Everywhere, которое было нужно, чтобы автоматически перекидывать пользователей на зашифрованную (https) версию сайтов. То есть технически оно еще будет работать до конца 2022 года, но EFF считает, что смысла в нем больше нет - во всех популярных браузерах теперь есть встроенная поддержка режима "только HTTPS".
Как включить родной режим "только HTTPS" в браузерах:
Chrome: Настройки - Конфиденциальность и безопасность - Безопасность - Всегда использовать безопасные соединения
Firefox: Настройки - Приватность и защита - Режим "только HTTPS"
А в Safari 15, который вышел позавчера, ничего даже включать не надо - в нем по-умолчанию включена функция HTTPS upgrade.
Ссылка: https://www.eff.org/deeplinks/2021/09/https-actually-everywhere
Как включить родной режим "только HTTPS" в браузерах:
Chrome: Настройки - Конфиденциальность и безопасность - Безопасность - Всегда использовать безопасные соединения
Firefox: Настройки - Приватность и защита - Режим "только HTTPS"
А в Safari 15, который вышел позавчера, ничего даже включать не надо - в нем по-умолчанию включена функция HTTPS upgrade.
Ссылка: https://www.eff.org/deeplinks/2021/09/https-actually-everywhere
Electronic Frontier Foundation
HTTPS Is Actually Everywhere
For more than 10 years, EFF’s HTTPS Everywhere browser extension has provided a much-needed service to users: encrypting their browser communications with websites and making sure they benefit from
Forwarded from Roskomsvoboda
💬«VPN-блокировки не за горами, но с ними можно бороться»
Почти два года назад в силу вступил Закон о «суверенном Рунете», согласно которому, российский сегмент интернета должен «централизованно управляться Роскомнадзором». Однако для осуществления полного контроля над интернетом Роскомнадзору мешают VPN-сервисы.
Технические специалисты «РосКомСвободы» разобрались в сути вопроса и объяснили, каким образом россияне могут бороться с цензурой в Сети.
Здесь – перечень текущего состояния VPN-протоколов, их возможности и принципы работы:
➡️ https://roskomsvoboda.org/post/vpn-soprotivlenie-1/
❗️Напомним, что надёжный VPN-сервис вы можете приобрести в нашем маркетплейсе VPNlove.me. Там мы собрали все проверенные нами сервисы, которым доверяем и пользуемся сами.
Почти два года назад в силу вступил Закон о «суверенном Рунете», согласно которому, российский сегмент интернета должен «централизованно управляться Роскомнадзором». Однако для осуществления полного контроля над интернетом Роскомнадзору мешают VPN-сервисы.
Технические специалисты «РосКомСвободы» разобрались в сути вопроса и объяснили, каким образом россияне могут бороться с цензурой в Сети.
Здесь – перечень текущего состояния VPN-протоколов, их возможности и принципы работы:
➡️ https://roskomsvoboda.org/post/vpn-soprotivlenie-1/
❗️Напомним, что надёжный VPN-сервис вы можете приобрести в нашем маркетплейсе VPNlove.me. Там мы собрали все проверенные нами сервисы, которым доверяем и пользуемся сами.
Роскомсвобода
«VPN-блокировки не за горами, но с ними можно бороться»
Технические специалисты «РосКомСвободы» подготовили просветительский материал по теме VPN, и мы публикуем его первую часть, в которой рассказывается о вероятности блокировок таких сервисов, способах технического противостояния цензуре и защите пользователей.
Очередные новости про функцию "Частный узел" от Apple (это их платный аналог VPN, который не работает в России). В браузере Safari в IOS 15 с подключенным "Частным узлом" исследователи обнаружили утечку IP-адреса через WebRTC, которая позволяет вебсайту узнать реальный адрес клиента.
WebRTC - распространенная технология, на которой работает, например, Google Meet, Jitsi Meet и еще куча подобных сервисов, которым нужно связывать клиентов напрямую (как правило, для звонка). А утечка связана с механизмом, при помощи которого браузеры пытаются найти друг друга. Оказывается, в Safari в IOS этот трафик идет не через "Частный узел", а мимо, то есть напрямую.
Проблема - позорная, ей сто лет и все коммерческие провайдеры VPN умеют такое решать. А тут Apple, который одновременно разработчик браузера, операционной системы и самого сервиса "Частный узел". Наверное, очень быстро пофиксят.
Ссылка: https://fingerprintjs.com/blog/ios15-icloud-private-relay-vulnerability/
WebRTC - распространенная технология, на которой работает, например, Google Meet, Jitsi Meet и еще куча подобных сервисов, которым нужно связывать клиентов напрямую (как правило, для звонка). А утечка связана с механизмом, при помощи которого браузеры пытаются найти друг друга. Оказывается, в Safari в IOS этот трафик идет не через "Частный узел", а мимо, то есть напрямую.
Проблема - позорная, ей сто лет и все коммерческие провайдеры VPN умеют такое решать. А тут Apple, который одновременно разработчик браузера, операционной системы и самого сервиса "Частный узел". Наверное, очень быстро пофиксят.
Ссылка: https://fingerprintjs.com/blog/ios15-icloud-private-relay-vulnerability/
В России с конца августа выписывают штрафы за неподключение к НСДИ (Национальной системе доменных имен) операторов связи и компаний, имеющих номера автономных систем. А тут на Хабре пишут, как Роскомнадзор это проверяет. Если автор прав, то логируется само наличие запросов к НСДИ, и от кого запросы есть, того не штрафуют.
"НСДИ детектирует подключение к ней по наличию запросов, но совершенно не может определить, что вы делаете с ответами."
На основании этого предположения, автор и комментаторы предлагают варианты, как можно при помощи DNS-серверов dnsmasq и bind генерировать такие запросы, но при этом не использовать ответы от НСДИ, чтобы не платить штрафов, но и не попадать под цензуру по DNS и не ждать подолгу ответов (НСДИ пока медленный). Классическая инженерная смекалка, хотите обсудить - приходите в чат канала.
Ссылка: https://habr.com/ru/post/579634/
"НСДИ детектирует подключение к ней по наличию запросов, но совершенно не может определить, что вы делаете с ответами."
На основании этого предположения, автор и комментаторы предлагают варианты, как можно при помощи DNS-серверов dnsmasq и bind генерировать такие запросы, но при этом не использовать ответы от НСДИ, чтобы не платить штрафов, но и не попадать под цензуру по DNS и не ждать подолгу ответов (НСДИ пока медленный). Классическая инженерная смекалка, хотите обсудить - приходите в чат канала.
Ссылка: https://habr.com/ru/post/579634/
Разработчики приложения Lockdown Privacy критикуют Apple в Washington Post[1], говорят, что разрекламированная защита от отслеживания в IOS ("Настройки-Конфиденциальность-Отслеживание-Трекинг-запросы приложениями") не работает, по факту приложения продолжают собирать данные.
Lockdown Privacy - это такой фримиум (в смысле с платной частью) комбайн "два в одном", VPN + локальный файрвол. Файрвол пропускает трафик приложений через себя, отслеживает, куда они обращаются, блокирует и подсчитывает обращения. В общем, похоже на Tracker Control[2] в Android, но под IOS. Приложение использует свои собственные обновляемые списки трекеров, примерно как в блокировщиках рекламы (Amazon Trackers, Data Trackers, Email Trackers, Facebook Trackers, Game Marketing и так далее).
Ну и разработчики просто взяли свое приложение, поставили на чистый IOS, и по две минуты посмотрели, куда и сколько "стучат" 10 популярных приложений и игр под IOS с выключенной и с включенной системной защитой от отслеживания, и какую информацию передают. В их тесте, приложения в целом "стучат" на 13% меньше с включенной защитой. А некоторые начинают стучать больше.
В полной версии исследования[3] на сайте Lockdown Privacy есть список того, кто и сколько стучит и какую информацию отправляет. Ну и там еще пишут, что Apple придумал собственное длинное определение того, что такое "отслеживание" и по нему сбор данных может не быть отслеживанием. Но там казуистика в стиле "чтобы считаться отслеживанием, сбор данных должен соответствовать этому списку критериев и при этом не попадать вот в этот официальный список исключений".
Понятно, что Lockdown Privacy пиарят свое приложение. Но при этом они описали модель простого бесплатного эксперимента для примерной оценки, куда и сколько обращаются любые приложения на IOS, который каждый из нас может повторить и сделать собственные выводы. Это круто.
Ссылки:
[1] https://www.washingtonpost.com/technology/2021/09/23/iphone-tracking/
[2] https://trackercontrol.org/
[3] https://blog.lockdownprivacy.com/2021/09/22/study-effectiveness-of-apples-app-tracking-transparency.html
Lockdown Privacy - это такой фримиум (в смысле с платной частью) комбайн "два в одном", VPN + локальный файрвол. Файрвол пропускает трафик приложений через себя, отслеживает, куда они обращаются, блокирует и подсчитывает обращения. В общем, похоже на Tracker Control[2] в Android, но под IOS. Приложение использует свои собственные обновляемые списки трекеров, примерно как в блокировщиках рекламы (Amazon Trackers, Data Trackers, Email Trackers, Facebook Trackers, Game Marketing и так далее).
Ну и разработчики просто взяли свое приложение, поставили на чистый IOS, и по две минуты посмотрели, куда и сколько "стучат" 10 популярных приложений и игр под IOS с выключенной и с включенной системной защитой от отслеживания, и какую информацию передают. В их тесте, приложения в целом "стучат" на 13% меньше с включенной защитой. А некоторые начинают стучать больше.
В полной версии исследования[3] на сайте Lockdown Privacy есть список того, кто и сколько стучит и какую информацию отправляет. Ну и там еще пишут, что Apple придумал собственное длинное определение того, что такое "отслеживание" и по нему сбор данных может не быть отслеживанием. Но там казуистика в стиле "чтобы считаться отслеживанием, сбор данных должен соответствовать этому списку критериев и при этом не попадать вот в этот официальный список исключений".
Понятно, что Lockdown Privacy пиарят свое приложение. Но при этом они описали модель простого бесплатного эксперимента для примерной оценки, куда и сколько обращаются любые приложения на IOS, который каждый из нас может повторить и сделать собственные выводы. Это круто.
Ссылки:
[1] https://www.washingtonpost.com/technology/2021/09/23/iphone-tracking/
[2] https://trackercontrol.org/
[3] https://blog.lockdownprivacy.com/2021/09/22/study-effectiveness-of-apples-app-tracking-transparency.html
Forwarded from Roskomsvoboda
⚡️Открываем третий набор в Privacy Accelerator
Это – онлайн-программа, где мы прокачиваем проекты в сфере приватности, доступа к информации и legal-tech.
Командам предстоит в течение трёх месяцев уделять проекту не менее 20 часов в неделю, работать с менторами и наставниками, а также посещать общие лекции и вебинары.
⏰ Приём заявок открыт до 3 октября включительно. Старт программы намечен на 18 октября 2021.
➡️ Подробности о том, чего мы ждём от проектов и как подать заявку читайте здесь.
Это – онлайн-программа, где мы прокачиваем проекты в сфере приватности, доступа к информации и legal-tech.
Командам предстоит в течение трёх месяцев уделять проекту не менее 20 часов в неделю, работать с менторами и наставниками, а также посещать общие лекции и вебинары.
⏰ Приём заявок открыт до 3 октября включительно. Старт программы намечен на 18 октября 2021.
➡️ Подробности о том, чего мы ждём от проектов и как подать заявку читайте здесь.
Хабр
Privacy Accelerator открывает третий набор
Да-да, у нас в Privacy Accelerator уже третий набор проектов в сфере приватности, доступа к информации, также legal-tech! Заявки принимаем на официальном сайте до 3 октября включительно. А ниже...
MIT Technology Review пишет[1], что в этом году исследователи нашли 66 "уязвимостей нулевого дня" ("зиродей"), которые реально использовались хакерами. В смысле, не просто исследователь нашел уязвимость, рассказал на конференции и сдал производителю, а чтобы кого-то реально так ломали, и на в момент инцидента уязвимость была еще не исправлена. Это и есть определение "зиродеев" - у производителя было 0 дней на исправление уязвимости, он о ней не знает и защиты пока нет.
И с одной стороны, количество обнаруженных зиродеев растет: в 2020 году таких уязвимостей было зарегистрировано 37, а в 2019 - 28. С другой, исследователи комментируют, что современный софт гораздо лучше обнаруживает подобные атаки, а раньше их просто реже замечали и меньше регистрировали. И рост может быть связан с этим.
А еще оказывается, что гугловские исследователи уязвимостей Project Zero держат специальную публичную таблицу, куда они вносят все зиродеи, которые реально использовались [2]. Там в этом году всего 48 записей, зато есть описание каждого случая и разбивка по продуктам. За 2021 года в Android 5 зиродеев, в Chrome - 10, в Windows - 9, в движке Webkit - 7 (вот[3] список софта, который работает на Webkit), по 4 в Internet Explorer и Exchange Server, три в IOS, и остального - меньше.
Общее количество - это ценный контекст. Иначе читаешь про какие-нибудь вирусы NSO Group, с которыми недавно случился скандал[4], и думаешь, что у всех государств - полные карманы зиродеев, чтобы ломать кого угодно. Но нет, их по-прежнему используется не так много и они по-прежнему очень дорогие - цены за последние три года даже немного выросли.
Ссылки:
[1] https://www.technologyreview.com/2021/09/23/1036140/2021-record-zero-day-hacks-reasons/
[2] https://docs.google.com/spreadsheets/d/1lkNJ0uQwbeC1ZTRrxdtuPLCIl7mlUreoKfSIgajnSyY/edit#gid=2129022708
[3] https://ru.wikipedia.org/wiki/WebKit
[4] https://t.me/rks_tech_talk/118
И с одной стороны, количество обнаруженных зиродеев растет: в 2020 году таких уязвимостей было зарегистрировано 37, а в 2019 - 28. С другой, исследователи комментируют, что современный софт гораздо лучше обнаруживает подобные атаки, а раньше их просто реже замечали и меньше регистрировали. И рост может быть связан с этим.
А еще оказывается, что гугловские исследователи уязвимостей Project Zero держат специальную публичную таблицу, куда они вносят все зиродеи, которые реально использовались [2]. Там в этом году всего 48 записей, зато есть описание каждого случая и разбивка по продуктам. За 2021 года в Android 5 зиродеев, в Chrome - 10, в Windows - 9, в движке Webkit - 7 (вот[3] список софта, который работает на Webkit), по 4 в Internet Explorer и Exchange Server, три в IOS, и остального - меньше.
Общее количество - это ценный контекст. Иначе читаешь про какие-нибудь вирусы NSO Group, с которыми недавно случился скандал[4], и думаешь, что у всех государств - полные карманы зиродеев, чтобы ломать кого угодно. Но нет, их по-прежнему используется не так много и они по-прежнему очень дорогие - цены за последние три года даже немного выросли.
Ссылки:
[1] https://www.technologyreview.com/2021/09/23/1036140/2021-record-zero-day-hacks-reasons/
[2] https://docs.google.com/spreadsheets/d/1lkNJ0uQwbeC1ZTRrxdtuPLCIl7mlUreoKfSIgajnSyY/edit#gid=2129022708
[3] https://ru.wikipedia.org/wiki/WebKit
[4] https://t.me/rks_tech_talk/118
MIT Technology Review
2021 has broken the record for zero-day hacking attacks
But the reasons why are complicated—and not all bad news.
Московский Центр организации дорожного движения (ЦОДД) начал тестирование уличных микрофонов-шумомеров, чтобы в перспективе штрафовать слишком громкий транспорт. Стандарты и юридическая часть пока в разработке. Где-то на Чистых прудах в Москве такая штука уже стоит. Выглядит она как на картинке.
"Камера нового типа оборудована четырьмя направленными в сторону проезжей части микрофонами на Х-образном креплении... Прибор будет не только фиксировать звук, но и снимать фото и видео (для работы ночью предусмотрен ИК-датчик)."
Если поставить много уличных камер и решить проблему хранения и обработки записей, то писать звук - очень логичный следующий шаг.
Ссылка: https://www.kommersant.ru/doc/5007056
"Камера нового типа оборудована четырьмя направленными в сторону проезжей части микрофонами на Х-образном креплении... Прибор будет не только фиксировать звук, но и снимать фото и видео (для работы ночью предусмотрен ИК-датчик)."
Если поставить много уличных камер и решить проблему хранения и обработки записей, то писать звук - очень логичный следующий шаг.
Ссылка: https://www.kommersant.ru/doc/5007056