Вышел Tor Browser 11.0. В нем окончательно прекращена поддержка старых 16-символьных адресов .onion версии 2 (в текущей версии 3 в адресах всегда 56 символов), случился переход на кодовую базу Firefox 91 ESR c предыдущей версии Firefox 78 ESR, и, соответственно, сильно обновился интерфейс браузера.
Можно считать, что переход на протокол onion третьей версии на этом окончательно завершился. Весь процесс занял 6 лет.
https://www.torproject.org/download/
Можно считать, что переход на протокол onion третьей версии на этом окончательно завершился. Весь процесс занял 6 лет.
https://www.torproject.org/download/
www.torproject.org
The Tor Project | Privacy & Freedom Online
Defend yourself against tracking and surveillance. Circumvent censorship.
Известный ресурс iFixit записал видео о том, что в iPhone 13 при замене экрана не у официалов перестает работать Face ID. В новом поколении iPhone под экраном - совсем мелкий чип, и при замене экрана теперь надо ее "одобрять" в Apple при помощи закрытого софта, который Apple дает только сертифицированным ремонтным центрам. Остается вариант перепаивать старый чип на новый экран под микроскопом, и в этом же видео автор популярного Youtube-канала "Right to repair" (Право на ремонт) объясняет, как это сделать людям с опытом, оборудованием и совсем прямыми руками.
При этом iFixit считает, что реально для работы FaceID этот новый чип не нужен, то есть это то, что называется "антифича". Выглядит так, как будто Apple продолжает бороться с независимым ремонтом.
https://youtu.be/x8bexo6PaM0
При этом iFixit считает, что реально для работы FaceID этот новый чип не нужен, то есть это то, что называется "антифича". Выглядит так, как будто Apple продолжает бороться с независимым ремонтом.
https://youtu.be/x8bexo6PaM0
Мы вчера писали про видео с Youtube-канала iFixit, как при замене экрана iPhone 13 в неофициальном ремонте перестает работать FaceID. Видео получилось шумным, и в ответ компания Apple дала комментарий, что исправит ситуацию "в одном из следующих обновлений". То есть при замене экрана в неофициальных мастерских перепаивать чип под микроскопом не понадобится. В каком обновлении это будет исправлено, они точно не говорят.
Все-таки Apple внимательно относится к тому, что о них пишут.
https://www.theverge.com/2021/11/9/22772433/apple-iphone-13-screen-replacements-face-id-software-update
Все-таки Apple внимательно относится к тому, что о них пишут.
https://www.theverge.com/2021/11/9/22772433/apple-iphone-13-screen-replacements-face-id-software-update
The Verge
Apple backs off of breaking Face ID after DIY iPhone 13 screen replacements
A software update should help make replacements easier.
История века на Пикабу. Рекламный робот Tele2 позвонил на телефон абонента с предложением о переходе на другой тарифный план, трубку снял Тинькоффский голосовой помощник Олег, и, поскольку он использовал слово "хорошо", робот Теле2 понял это как согласие. Абоненту подключили новый тарифный план, пока он спал.
"Полный диалог Олега в текстовой форме не вместился, но при прослушивании записи, последняя фраза там от сотрудника Теле2: "С вашего согласия новый тариф предоставил, он начнет действовать сразу после пополнения счета. Пользуйтесь с удовольствием, до свидания".
https://pikabu.ru/story/tele2_pereklyuchil_na_novyiy_tarif_s_pomoshchyu_assistenta_olega_8591368
"Полный диалог Олега в текстовой форме не вместился, но при прослушивании записи, последняя фраза там от сотрудника Теле2: "С вашего согласия новый тариф предоставил, он начнет действовать сразу после пополнения счета. Пользуйтесь с удовольствием, до свидания".
https://pikabu.ru/story/tele2_pereklyuchil_na_novyiy_tarif_s_pomoshchyu_assistenta_olega_8591368
Цифровые правозащитники EFF опубликовали новое расследование. Дата-брокер Veraset шесть месяцев после начала пандемии COVID в 2020 году бесплатно передавал местным властям округа Колумбия в США данные геолокации сотен тысяч американцев из Вашингтона и окрестностей. Речь идет о данных, которые компания собирает из тысяч мобильных приложений и встроенных в них SDK. Как всегда в подобных историях, данные были "анонимные", то есть там не было ФИО в явном виде. Зато там были уникальные рекламные идентификаторы гаджетов, которые всегда можно связать с ФИО у другого дата-брокера (мы про это пару раз писали в этом канале, например тыц). То есть технически в результате местное правительство округа Колумбия через 24-72 часа имело доступ к данным типа "в каком конкретном месте конкретный Пупкин был 20 августа 2020 года в 20:00".
После шести месяцев бесплатного пробного периода местные власти округа Колумбия решили платную подписку не покупать. Объясняют, что думали на основе этих данных принимать какие-то решения, типа когда начинать и заканчивать карантины, но не получилось.
Это не первая история о том, как дата-брокеры сливают госорганам в США данные, собранные с устройств пользователей, но тут все вместе - в этой истории есть и pdf-ы с техническими подробностями, и COVID, и отдавали бесплатно. Кстати интересно, работают ли все эти крупные международные дата-брокеры, которые собирают данные геолокации через мобильные приложения, с российскими госорганами? Данные по российским пользователям у них точно есть.
https://www.eff.org/deeplinks/2021/11/data-broker-veraset-gave-bulk-device-level-gps-data-dc-government
После шести месяцев бесплатного пробного периода местные власти округа Колумбия решили платную подписку не покупать. Объясняют, что думали на основе этих данных принимать какие-то решения, типа когда начинать и заканчивать карантины, но не получилось.
Это не первая история о том, как дата-брокеры сливают госорганам в США данные, собранные с устройств пользователей, но тут все вместе - в этой истории есть и pdf-ы с техническими подробностями, и COVID, и отдавали бесплатно. Кстати интересно, работают ли все эти крупные международные дата-брокеры, которые собирают данные геолокации через мобильные приложения, с российскими госорганами? Данные по российским пользователям у них точно есть.
https://www.eff.org/deeplinks/2021/11/data-broker-veraset-gave-bulk-device-level-gps-data-dc-government
👍1
На прошлой неделе Ведомство по патентам и товарным знакам США опубликовало новый патент Apple, в котором говорится про "Очки приватности". Если у пользователя на лице какие-то специальные очки, то iPhone должен их распознать и показывать пользователю вывод на экране, который не виден окружающим. В патенте написано, что, к примеру, такая технология подойдет для использования в общественном транспорте. Как это технически должно работать, не уточняют, пишут про blur, то есть размытие. А еще из текста патента неясно, очки вообще как-то помогают пользователю увидеть вывод на экране, или FaceID просто на них должен реагировать, чтобы включать этот специальный режим.
Что-то похожее существует очень давно, назвается "экран (или фильтр) приватности", их сначала делала компания 3M, а сейчас подтянулись и другие производители. Может вы видели такие съемные экраны для мониторов, экранов ноутбуков и телефонов, ограничивающие угол обзора так, что изображение видно, только если сидеть прямо перед ними. Но те экраны - это просто кусок специальной пленки, и чтобы его "отключить" его нужно снять. Как Apple собирается программно включать и выключать свой запатентованный режим приватности - непонятно.
И, кстати, даже не факт, что такая технология у Apple реально есть. Кори Доктороу в своей книжке "How to destroy surveillance capitalism" (Как уничтожить капитализм, основанный на слежке) недавно писал, как крупные технологические компании пытаются патентовать то, чего у них нет, причем максимально общие идеи без подробностей. Это нужно, чтобы потом, когда они реально что-нибудь такое разработают, кто-нибудь их не засудил.
Но сама идея крутая. Вот бы сделали.
https://www.patentlyapple.com/patently-apple/2021/11/apple-advances-face-id-to-create-multiple-user-profiles-while-introducing-new-privacy-eyewear-and-more.html
Что-то похожее существует очень давно, назвается "экран (или фильтр) приватности", их сначала делала компания 3M, а сейчас подтянулись и другие производители. Может вы видели такие съемные экраны для мониторов, экранов ноутбуков и телефонов, ограничивающие угол обзора так, что изображение видно, только если сидеть прямо перед ними. Но те экраны - это просто кусок специальной пленки, и чтобы его "отключить" его нужно снять. Как Apple собирается программно включать и выключать свой запатентованный режим приватности - непонятно.
И, кстати, даже не факт, что такая технология у Apple реально есть. Кори Доктороу в своей книжке "How to destroy surveillance capitalism" (Как уничтожить капитализм, основанный на слежке) недавно писал, как крупные технологические компании пытаются патентовать то, чего у них нет, причем максимально общие идеи без подробностей. Это нужно, чтобы потом, когда они реально что-нибудь такое разработают, кто-нибудь их не засудил.
Но сама идея крутая. Вот бы сделали.
https://www.patentlyapple.com/patently-apple/2021/11/apple-advances-face-id-to-create-multiple-user-profiles-while-introducing-new-privacy-eyewear-and-more.html
Разработчики из ОАЭ придумали сигнализацию под названием Themis, которая срабатывает на мат и обидные термины, и показали прототип на выставке Dubai Design Week. Это железяка размером с небольшую настольную лампу с микрофонами и системой распознавания речи, которая распознает мат, расистские и другие обидные термины и включает сирену на две минуты.
"После этого Themis выключается, и присутствующие могут открыто и спокойно обсудить причины, почему могло сработать устройство," - говорит разработчица. Пишут, что прототип уже где-то тестируется в университетах, и что во время выставки им заинтересовались клиенты для использования в офисах и школах, например для модерации дебатов.
Роботы-модераторы, только в реале.
https://www.telegraph.co.uk/news/2021/11/13/thought-police-have-arrived-trigger-warning-alarm-goes-every/
"После этого Themis выключается, и присутствующие могут открыто и спокойно обсудить причины, почему могло сработать устройство," - говорит разработчица. Пишут, что прототип уже где-то тестируется в университетах, и что во время выставки им заинтересовались клиенты для использования в офисах и школах, например для модерации дебатов.
Роботы-модераторы, только в реале.
https://www.telegraph.co.uk/news/2021/11/13/thought-police-have-arrived-trigger-warning-alarm-goes-every/
Apple собирается открыть онлайн-магазин по продаже запчастей и фирменных инструментов для самостоятельного ремонта своих гаджетов на дому. Программа под названием Self Service Repair запустится в начале 2022 года в США. На первом этапе в магазине будут продавать около 200 запчастей для iPhone 12 и 13, в том числе экраны, аккумуляторы и модули камеры. В будущем обещают добавить в программу новые страны и новые запчасти, в том числе для ноутбуков Macbook. В анонсе пишут, что после ремонта пользователи смогут сдавать сломанную запчасть или аккумулятор на переработку за деньги. А что произойдет с гарантией при таком ремонте, в пресс-релизе не пишут.
Сторонники "права на ремонт" ликуют. Apple долго ругали за то, что они не любят неавторизованный ремонт (в последний раз неделю назад, тыц), и, похоже, компания прислушалась к этой критике. Крутая новость.
https://www.apple.com/newsroom/2021/11/apple-announces-self-service-repair/
Сторонники "права на ремонт" ликуют. Apple долго ругали за то, что они не любят неавторизованный ремонт (в последний раз неделю назад, тыц), и, похоже, компания прислушалась к этой критике. Крутая новость.
https://www.apple.com/newsroom/2021/11/apple-announces-self-service-repair/
Корейские исследователи придумали, как при помощи смартфонов, оснащенных датчиком глубины (ToF) искать скрытые камеры в помещениях. Датчик ToF применяется для измерения расстояния до предметов при фокусировке камеры, и такие датчики, например, есть в Samsung S20 и Huawei P30 Pro. Суть метода в том, что линзы скрытых камер создают специфические блики на результирующей карте глубины. Исследователи пишут, что на сканирование одного помещения нужна примерно минута, а в их тестировании они смогли найти 88.9% скрытых камер в помещениях.
Обещают скоро выпустить в открытый доступ приложение для Android, а пока можно почитать исследование (pdf), посмотреть полное видео презентации и пару демонстрационных роликов (1, 2). Очень актуально для гостиниц и посуточных съемных квартир - СМИ регулярно пишут, как постояльцы находят в них установленные хозяевами скрытые камеры.
Ссылки:
https://youtu.be/F4bZwQHBdV4 (короткий ролик 1)
https://youtu.be/AFjGQNaqmXA (короткий ролик 2)
https://youtu.be/t4Txdhlji4k (видео полной презентации с конференции)
https://dl.acm.org/doi/pdf/10.1145/3485730.3485941 (pdf презентации)
Обещают скоро выпустить в открытый доступ приложение для Android, а пока можно почитать исследование (pdf), посмотреть полное видео презентации и пару демонстрационных роликов (1, 2). Очень актуально для гостиниц и посуточных съемных квартир - СМИ регулярно пишут, как постояльцы находят в них установленные хозяевами скрытые камеры.
Ссылки:
https://youtu.be/F4bZwQHBdV4 (короткий ролик 1)
https://youtu.be/AFjGQNaqmXA (короткий ролик 2)
https://youtu.be/t4Txdhlji4k (видео полной презентации с конференции)
https://dl.acm.org/doi/pdf/10.1145/3485730.3485941 (pdf презентации)
DuckDuckGo запускает публичное тестирование новой функции своего Android приложения, которое называется App Tracking Protection. Это полный аналог популярного приложения Tracker Control из репозитория FDroid - локальный VPN, который пускает через себя трафик приложений и блокирует встроенные внешние трекеры, собирающие информацию о пользователе. В анонсе разработчики пишут, что недавно тестировали популярные приложения для Android (правда, не говорят, сколько), и из них 87% стучали в Google и 68% - в Facebook.
Для тестирования функции просят становиться в лист ожидания в приложении DuckDuckGo для Android:
Settings > Privacy > App Tracking Protection > Join the Private Waitlist.
https://spreadprivacy.com/introducing-app-tracking-protection/
Для тестирования функции просят становиться в лист ожидания в приложении DuckDuckGo для Android:
Settings > Privacy > App Tracking Protection > Join the Private Waitlist.
https://spreadprivacy.com/introducing-app-tracking-protection/
Spread Privacy
Introducing App Tracking Protection for Android: The easiest way to block most trackers lurking in your apps
Join the waitlist to try App Tracking Protection for Android today!
Один британский айтишник решил поискать, не лежат ли в Github чьи-нибудь файлы cookies.sqlite. Это файл, в котором браузер Firefox хранит куки-файлы, в том числе авторизационные куки, которых достаточно, чтобы логиниться в аккаунты, не зная пароля. Айтишник запустил поиск, нашел 4.5 тысячи таких файлов, и написал отчет о найденной уязвимости в Github через программу обнаружения уязвимостей HackerOne. А Github ему резонно ответил, денег не дадим, а если пользователи сами выкладывают в паблик свои файлы с авторизационными куками, то это не наша проблема. Тогда айтишник обиделся и дал интервью изданию The Register, а теперь про это пишет Коммерсантъ с комментариями российских безопасников.
Что тут сказать. Новые истории про "дорки" (специальные поиски), чтобы искать пароли пользователей, всплывают постоянно. В этом году в СМИ точно была история про "утечку из Trello", тогда кто-то из компании Infoline искал публичные проиндексированные доски Trello по ключевому слову "пароль" и нашел кучу. Но искать чужие хранилища куки на Github - действительно свежая оригинальная идея, и да, чужие авторизационные куки иногда позволяет обойти двухфакторную. Интересно только, кому и зачем приходит в голову идея синхронизировать свой профиль Firefox в Github.
Ссылки:
https://www.theregister.com/2021/11/18/firefox_cookies_github/
https://www.kommersant.ru/doc/5087736
https://lenta.ru/news/2021/04/20/leak/
Что тут сказать. Новые истории про "дорки" (специальные поиски), чтобы искать пароли пользователей, всплывают постоянно. В этом году в СМИ точно была история про "утечку из Trello", тогда кто-то из компании Infoline искал публичные проиндексированные доски Trello по ключевому слову "пароль" и нашел кучу. Но искать чужие хранилища куки на Github - действительно свежая оригинальная идея, и да, чужие авторизационные куки иногда позволяет обойти двухфакторную. Интересно только, кому и зачем приходит в голову идея синхронизировать свой профиль Firefox в Github.
Ссылки:
https://www.theregister.com/2021/11/18/firefox_cookies_github/
https://www.kommersant.ru/doc/5087736
https://lenta.ru/news/2021/04/20/leak/
Новый материал на Хабре про то, что служба безопасности сервиса Авито теперь просит подозрительные аккаунты предоставлять фото документов и видео своего лица. Автор текста не хочет предоставлять Авито свой паспорт, но нашел аккаунты явных мошенников, которые такую проверку прошли (за нее дают плашку "Документы проверены"), и недоумевает. Как обычно, комментарии интереснее самого материала.
"Сейчас даже у школьника немного погрузившегося в серый/черный арбитраж проблемы генерации фото паспортов с абсолютно любыми данными вообще нет. Подобных сервисов много даже в открытом доступе и они свободно рекламируются в тематических пабликах и видео на ютубе. Стоимость начинается от десятков рублей за фото страницы паспорта. За несколько сотен вам сделают фото и видео с паспортом в руках с заменой лица дипфейком и любыми данными. По большей части вся эта инфраструктура подделки доков существует под фейсбук и платежки."
https://habr.com/ru/post/590201/
"Сейчас даже у школьника немного погрузившегося в серый/черный арбитраж проблемы генерации фото паспортов с абсолютно любыми данными вообще нет. Подобных сервисов много даже в открытом доступе и они свободно рекламируются в тематических пабликах и видео на ютубе. Стоимость начинается от десятков рублей за фото страницы паспорта. За несколько сотен вам сделают фото и видео с паспортом в руках с заменой лица дипфейком и любыми данными. По большей части вся эта инфраструктура подделки доков существует под фейсбук и платежки."
https://habr.com/ru/post/590201/
Яндекс скоро собирается запустить авторизацию через Госуслуги (в смысле, технически через ЕСИА)! Об этом рассказал на конференции глава Минцифры Максут Шадаев, а ТАСС его процитировал. С одной стороны, вроде, ну и ладно, пока Госуслуги привязывать не обязательно, а это просто еще одна опция. А с другой стороны - зачем это Яндексу?
Если вы еще не подписаны на чат этого канала https://t.me/rks_tech_talk_chat - приходите обсуждать!
https://tass.ru/ekonomika/12996999
Если вы еще не подписаны на чат этого канала https://t.me/rks_tech_talk_chat - приходите обсуждать!
https://tass.ru/ekonomika/12996999
Безопасники криптовалютной биржи Kraken выложили ролик о том, как супер-дешево копировать отпечатки пальцев для разблокировки устройств. Посмотрите видео, там ровно минута: они фотографируют реальный отпечаток с ровной поверхности, инвертируют цвета и чистят снимок, результат печатают на лазерном принтере на трафаретной пленке, а потом заливают столярным клеем. Высохший слой клея снимают и прикладывают к реальному пальцу. Пишут, что таким способом у них получилось разблокировать iPad, Macbook и аппаратный криптовалютный кошелек.
Настолько просто и дешево, что аж не верится.
https://youtu.be/VYI9XNO4XzU
https://blog.kraken.com/post/11905/your-fingerprint-can-be-hacked-for-5-heres-how/
Настолько просто и дешево, что аж не верится.
https://youtu.be/VYI9XNO4XzU
https://blog.kraken.com/post/11905/your-fingerprint-can-be-hacked-for-5-heres-how/
Telegram требует от разработчиков сторонних клиентов добавить поддержку отображения рекламы (спонсорских сообщений Telegram) в каналах до 1 января 2022 года, иначе обещает отключать от сети. Сообщение об этом добавили в документацию для разработчиков.
"К сожалению, Telegram не может финансово поддерживать приложения сторонних разработчиков, которые не будут показывать пользователям спонсорские сообщения, и они (эти приложения) придется отключать... Правила монетизации сторонних приложений не меняются: разработчики могут монетизировать свой труд через показ рекламы или другими законными способами, при условии, что все способы монетизации явно указаны в описаниях в магазинах приложений."
6 ноября Дуров анонсировал будущую возможность выключать рекламу в Telegram по подписке за деньги. Поэтому ему важно, чтобы у пользователей не было возможности просто перейти на сторонние клиенты и не видеть рекламу.
https://corefork.telegram.org/api/sponsored-messages#sponsored-messages-in-third-party-apps
https://habr.com/ru/news/t/587610/
"К сожалению, Telegram не может финансово поддерживать приложения сторонних разработчиков, которые не будут показывать пользователям спонсорские сообщения, и они (эти приложения) придется отключать... Правила монетизации сторонних приложений не меняются: разработчики могут монетизировать свой труд через показ рекламы или другими законными способами, при условии, что все способы монетизации явно указаны в описаниях в магазинах приложений."
6 ноября Дуров анонсировал будущую возможность выключать рекламу в Telegram по подписке за деньги. Поэтому ему важно, чтобы у пользователей не было возможности просто перейти на сторонние клиенты и не видеть рекламу.
https://corefork.telegram.org/api/sponsored-messages#sponsored-messages-in-third-party-apps
https://habr.com/ru/news/t/587610/
После громкой истории про мобильную малварь Pegasus израильской компании NSO Group, Apple подала в американский суд. Требуют официального запрета для NSO Group на взлом или любое использование устройств и сервисов Apple!
По аналогичному поводу с NSO Group уже судится Whatsapp и тот суд пока что ничем не закончился. Но Apple права: у проблемы уязвимостей нулевого дня ("зиродеев") нет технического решения. Пока у NSO Group и подобных компаний есть право делать конструкторы для удаленного взлома на основе зиродеев и возможность продавать их разным странам и на этом зарабатывать, противостояние снаряда и брони будет продолжаться. Apple будет закрывать эти уязвимости, а NSO будет покупать новые. Эксперты говорят, что единственный способ прекратить легальное использование зиродеев для взлома устройств - просто запретить их, как химическое оружие.
Кстати, если вы полностью пропустили июльскую историю про Pegasus, мы про нее регулярно здесь пишем (1,2,3), и недавно сделали обзорный материал на сайте, почитайте.
https://www.apple.com/newsroom/2021/11/apple-sues-nso-group-to-curb-the-abuse-of-state-sponsored-spyware/
https://t.me/rks_tech_talk/118
https://t.me/rks_tech_talk/121
https://t.me/rks_tech_talk/122
https://roskomsvoboda.org/post/pegasus-nso-group/
По аналогичному поводу с NSO Group уже судится Whatsapp и тот суд пока что ничем не закончился. Но Apple права: у проблемы уязвимостей нулевого дня ("зиродеев") нет технического решения. Пока у NSO Group и подобных компаний есть право делать конструкторы для удаленного взлома на основе зиродеев и возможность продавать их разным странам и на этом зарабатывать, противостояние снаряда и брони будет продолжаться. Apple будет закрывать эти уязвимости, а NSO будет покупать новые. Эксперты говорят, что единственный способ прекратить легальное использование зиродеев для взлома устройств - просто запретить их, как химическое оружие.
Кстати, если вы полностью пропустили июльскую историю про Pegasus, мы про нее регулярно здесь пишем (1,2,3), и недавно сделали обзорный материал на сайте, почитайте.
https://www.apple.com/newsroom/2021/11/apple-sues-nso-group-to-curb-the-abuse-of-state-sponsored-spyware/
https://t.me/rks_tech_talk/118
https://t.me/rks_tech_talk/121
https://t.me/rks_tech_talk/122
https://roskomsvoboda.org/post/pegasus-nso-group/
🗨 Запрос помощи зала
Помогите провалидировать решение команды Privacy Accelerator!
👉 Мы ищем тех, кто удалял когда-нибудь содержимое своего электронного ящика с почтового сервера в целях безопасности или просто интересуется данной темой.
Отпишитесь, пожалуйста, в комментариях к посту, если готовы помочь, чтобы мы связались с вами.
Помогите провалидировать решение команды Privacy Accelerator!
👉 Мы ищем тех, кто удалял когда-нибудь содержимое своего электронного ящика с почтового сервера в целях безопасности или просто интересуется данной темой.
Отпишитесь, пожалуйста, в комментариях к посту, если готовы помочь, чтобы мы связались с вами.
Удаляли ли вы когда-нибудь содержимое своего электронного ящика с почтового сервера в целях безопасности?
Anonymous Poll
47%
Да
53%
Нет
ProtonVPN опубликовал у себя в блоге сравнение VPN протоколов OpenVPN и Wireguard. Если вкратце:
OpenVPN:
Плюсы: опенсорц, безопасный, проверенный (в смысле давно используется), проходил аудиты (хотя ниже пишут, что и Wireguard проходил), может использоваться для обхода цензуры (в смысле можно настроить TCP на 443 порт).
Минусы: медленный, нужно больше ресурсов CPU, быстрее жрет батарейку на мобильных устройствах.
Wireguard:
Плюсы: опенсорц, быстрый, эффективный, быстро устанавливает соединение, безопасный
Минусы: Безопасность пока теоретическая (в смысле, в отличие от OpenVPN у исследователей не было возможности 20 лет его ковырять), хуже с обходом цензуры (в смысле не поддерживает TCP), поддерживается на меньшем количестве устройств (это они про роутеры), приватность требует дополнительных усилий со стороны провайдера.
В целом, советуют пользователям всегда выбирать Wireguard, кроме трех случаев:
1. Если нужна гарантированная высокая безопасность - OpenVPN гораздо дольше тестировали.
2. Если нужен обход цензуры - в смысле OpenVPN можно переключать в режим TCP. При этом они уточняют, что хорошо настроенный DPI может блокировать и тот, и другой протокол.
3. Если ваше устройство просто не поддерживает Wireguard.
А вы в каких случаях выбираете OpenVPN?
https://protonvpn.com/blog/openvpn-vs-wireguard/
OpenVPN:
Плюсы: опенсорц, безопасный, проверенный (в смысле давно используется), проходил аудиты (хотя ниже пишут, что и Wireguard проходил), может использоваться для обхода цензуры (в смысле можно настроить TCP на 443 порт).
Минусы: медленный, нужно больше ресурсов CPU, быстрее жрет батарейку на мобильных устройствах.
Wireguard:
Плюсы: опенсорц, быстрый, эффективный, быстро устанавливает соединение, безопасный
Минусы: Безопасность пока теоретическая (в смысле, в отличие от OpenVPN у исследователей не было возможности 20 лет его ковырять), хуже с обходом цензуры (в смысле не поддерживает TCP), поддерживается на меньшем количестве устройств (это они про роутеры), приватность требует дополнительных усилий со стороны провайдера.
В целом, советуют пользователям всегда выбирать Wireguard, кроме трех случаев:
1. Если нужна гарантированная высокая безопасность - OpenVPN гораздо дольше тестировали.
2. Если нужен обход цензуры - в смысле OpenVPN можно переключать в режим TCP. При этом они уточняют, что хорошо настроенный DPI может блокировать и тот, и другой протокол.
3. Если ваше устройство просто не поддерживает Wireguard.
А вы в каких случаях выбираете OpenVPN?
https://protonvpn.com/blog/openvpn-vs-wireguard/
Proton VPN
OpenVPN vs. WireGuard
OpenVPN and WireGuard are arguably the two most useful VPN protocols for modern VPN users. We look at the pros and cons of each.
В Великобритании собрались законодательно запрещать пароли по умолчанию в умных устройствах и роутерах. Их парламент обсуждает законопроект, по которому:
▪️Пароли по умолчанию запрещены (по всей видимости, пользователь не сможет использовать устройство, пока не задаст уникальный пароль).
▪️По всем подобным устройствам должна публиковаться информация о сроке, в течение которого они будут получать обновления безопасности. Если обновлений вообще не будет, об этом должно быть тоже явно написано.
Хорошая идея, пытаются решить проблему ботнетов из умных телевизоров и взломов казино через умный термометр в аквариуме с паролем по умолчанию (дада, была такая история). Это особенно важно, потому что куча умного оборудования вообще не перепрошивается, и если там есть дыра, то это навсегда, пока не выбросишь. Сейчас информацию об этом приходится искать отдельно, а если законопроект примут, производителям придется явно писать об этом.
https://www.bbc.com/news/technology-59400762
▪️Пароли по умолчанию запрещены (по всей видимости, пользователь не сможет использовать устройство, пока не задаст уникальный пароль).
▪️По всем подобным устройствам должна публиковаться информация о сроке, в течение которого они будут получать обновления безопасности. Если обновлений вообще не будет, об этом должно быть тоже явно написано.
Хорошая идея, пытаются решить проблему ботнетов из умных телевизоров и взломов казино через умный термометр в аквариуме с паролем по умолчанию (дада, была такая история). Это особенно важно, потому что куча умного оборудования вообще не перепрошивается, и если там есть дыра, то это навсегда, пока не выбросишь. Сейчас информацию об этом приходится искать отдельно, а если законопроект примут, производителям придется явно писать об этом.
https://www.bbc.com/news/technology-59400762
В США рассекретили документ от ноября 2020 года о том, какой доступ к каким мессенджерам имеет ФБР. iMessage и Whatsapp выдают больше всего, причем iMessage выдает расшифрованные бэкапы сообщений из iCloud (если они там есть), зато Whatsapp делится информацией о новых действиях в нужных аккаунтах почти в реальном времени.
▪️Signal: содержания сообщений не предоставляет, предоставляет дату регистрации аккаунта и когда пользователь в последний раз соединялся.
▪️Telegram: содержания сообщений не предоставляет, информацию по решению суда не выдает. В документе есть ссылка на политику Telegram, что он может выдать IP-адрес и номер телефона по расследованиям подтвержденных случаев терроризма.
▪️Viber: содержания сообщений не предоставляет, предоставляет номер телефона и IP-адрес на момент регистрации, по запросу предоставляет метаданные (какой номер телефона на какой когда писал и звонил).
▪️iMessage: содержание сообщений предоставляет "ограничено" (что это значит, в документе не объясняют). Предоставляет основную информацию о пользователе. По ордеру на обыск выдает бэкапы iCloud. Если пользователь бэкапит iMessage в iCloud, то выдает и этот бэкап сообщений iMessage (они в облаке зашифрованы, но у Apple есть ключи). При этом Apple, в отличие от Whatsapp, не предоставляет pen register - это когда ФБР почти в реальном времени получает новую информацию о действиях пользователя в аккаунте.
▪️Whatsapp: содержание сообщений можно получить, если у пользователя iPhone и архив Whatsapp бэкапится в iCloud (то есть выдает фактически Apple). Предоставляет основную информацию о пользователе. По решению суда представляет список заблокированных аккаунте пользователей. По ордеру на обыск представляет адресную книгу. При этом предоставляет pen register (фактически, такой вариант прослушки на уровне метаданных) - сообщает о новых действиях в нужном аккаунте с задержкой в 15 минут, то есть кто кому когда писал и звонил.
Еще в таблице есть информация про Line, Threema, WeСhat и Wickr, но это уже сами почитайте) Интересно, что у всех мессенджеров вроде почти одинаковое шифрование (кроме Telegram, дада), но метаданные все выдают по-разному.
https://propertyofthepeople.org/document-detail/?doc-id=21114562
https://www.rollingstone.com/politics/politics-features/whatsapp-imessage-facebook-apple-fbi-privacy-1261816/
▪️Signal: содержания сообщений не предоставляет, предоставляет дату регистрации аккаунта и когда пользователь в последний раз соединялся.
▪️Telegram: содержания сообщений не предоставляет, информацию по решению суда не выдает. В документе есть ссылка на политику Telegram, что он может выдать IP-адрес и номер телефона по расследованиям подтвержденных случаев терроризма.
▪️Viber: содержания сообщений не предоставляет, предоставляет номер телефона и IP-адрес на момент регистрации, по запросу предоставляет метаданные (какой номер телефона на какой когда писал и звонил).
▪️iMessage: содержание сообщений предоставляет "ограничено" (что это значит, в документе не объясняют). Предоставляет основную информацию о пользователе. По ордеру на обыск выдает бэкапы iCloud. Если пользователь бэкапит iMessage в iCloud, то выдает и этот бэкап сообщений iMessage (они в облаке зашифрованы, но у Apple есть ключи). При этом Apple, в отличие от Whatsapp, не предоставляет pen register - это когда ФБР почти в реальном времени получает новую информацию о действиях пользователя в аккаунте.
▪️Whatsapp: содержание сообщений можно получить, если у пользователя iPhone и архив Whatsapp бэкапится в iCloud (то есть выдает фактически Apple). Предоставляет основную информацию о пользователе. По решению суда представляет список заблокированных аккаунте пользователей. По ордеру на обыск представляет адресную книгу. При этом предоставляет pen register (фактически, такой вариант прослушки на уровне метаданных) - сообщает о новых действиях в нужном аккаунте с задержкой в 15 минут, то есть кто кому когда писал и звонил.
Еще в таблице есть информация про Line, Threema, WeСhat и Wickr, но это уже сами почитайте) Интересно, что у всех мессенджеров вроде почти одинаковое шифрование (кроме Telegram, дада), но метаданные все выдают по-разному.
https://propertyofthepeople.org/document-detail/?doc-id=21114562
https://www.rollingstone.com/politics/politics-features/whatsapp-imessage-facebook-apple-fbi-privacy-1261816/
👍2